पासून संक्रमण OpenVPN वर WireGuard नेटवर्क्सना एका L2 नेटवर्कमध्ये एकत्र करणे

मला तीन भौगोलिकदृष्ट्या रिमोट अपार्टमेंटमध्ये नेटवर्क एकत्र करण्याचा माझा अनुभव सामायिक करायचा आहे, ज्यापैकी प्रत्येक एक गेटवे म्हणून OpenWRT राउटर वापरतो, एका सामान्य नेटवर्कमध्ये. सबनेट राउटिंगसह L3 आणि ब्रिजिंगसह L2 मधील नेटवर्क एकत्र करण्यासाठी पद्धत निवडताना, जेव्हा सर्व नेटवर्क नोड्स एकाच सबनेटमध्ये स्थित असतील, तेव्हा दुसर्‍या पद्धतीला प्राधान्य दिले गेले, जे कॉन्फिगर करणे अधिक कठीण आहे, परंतु अधिक संधी प्रदान करते, कारण वेक-ऑन-लॅन आणि डीएलएनए तयार होत असलेल्या नेटवर्कमध्ये तंत्रज्ञानाचा पारदर्शक वापर करण्याचे नियोजन करण्यात आले होते.

भाग 1: पार्श्वभूमी

हे कार्य अंमलात आणण्यासाठी निवडलेला प्रोटोकॉल सुरुवातीला असा होता OpenVPNकारण, पहिले म्हणजे, यामुळे एक असे टॅप डिव्हाइस तयार करता येते जे कोणत्याही अडचणींशिवाय ब्रिजमध्ये जोडता येते, आणि दुसरे म्हणजे, OpenVPN ते TCP ला सपोर्ट करते, जे महत्त्वाचे होते, कारण कोणत्याही अपार्टमेंटला स्वतंत्र IP ॲड्रेस नव्हता. मी STUN वापरू शकलो नाही कारण माझा ISP, काही कारणास्तव, त्याच्या नेटवर्कवरून येणारे UDP कनेक्शन ब्लॉक करतो. TCP मुळे मला SSH वापरून VPN सर्व्हर पोर्ट भाड्याच्या VPS कडे फॉरवर्ड करता आले. या पद्धतीमुळे डेटा डबल-एनक्रिप्टेड असल्यामुळे मोठा ओव्हरहेड निर्माण होत असला तरी, मला VPS ला माझ्या खाजगी नेटवर्कमध्ये समाविष्ट करायचे नव्हते, कारण तिसऱ्या व्यक्तींकडून त्यावर नियंत्रण मिळवण्याचा धोका होता. त्यामुळे, माझ्या होम नेटवर्कवर असे डिव्हाइस असणे अत्यंत अवांछनीय होते, म्हणून मी सुरक्षेसाठी मोठा ओव्हरहेड देण्याचे ठरवले.

ज्या राउटरवर सर्व्हर स्थापित करायचा होता, त्यावरील पोर्ट फॉरवर्ड करण्यासाठी मी sshtunnel प्रोग्राम वापरला. मी त्याच्या कॉन्फिगरेशनच्या तपशिलात जाणार नाही—ते अगदी सोपे आहे. मी फक्त एवढेच नमूद करेन की, राउटरवरून VPS कडे TCP पोर्ट 1194 फॉरवर्ड करणे हा त्याचा उद्देश होता. त्यानंतर, मी सर्व्हर कॉन्फिगर केला. OpenVPN br-lan ब्रिजला जोडलेल्या tap0 डिव्हाइसवर, माझ्या लॅपटॉपवरून नव्याने तयार केलेल्या सर्व्हरशी कनेक्शन तपासल्यावर हे स्पष्ट झाले की पोर्ट फॉरवर्डिंगची कल्पना यशस्वी झाली होती आणि माझा लॅपटॉप भौतिकरित्या राउटरच्या नेटवर्कचा भाग नसतानाही, तो त्या नेटवर्कचा सदस्य बनला होता.

आता फक्त एकच गोष्ट करायची राहिली होती, ती म्हणजे वेगवेगळ्या अपार्टमेंटमध्ये आयपी ॲड्रेसचे वितरण करणे जेणेकरून त्यांच्यात संघर्ष होणार नाही आणि राउटर कॉन्फिगर करणे. OpenVPN-ग्राहक.
खालील राउटर IP पत्ते आणि DHCP सर्व्हर श्रेणी निवडल्या होत्या:

• 192.168.10.1 एका श्रेणीसह 192.168.10.2 - 192.168.10.80 सर्व्हरसाठी
• 192.168.10.100 एका श्रेणीसह 192.168.10.101 - 192.168.10.149 अपार्टमेंट क्रमांक 2 मधील राउटरसाठी
• 192.168.10.150 एका श्रेणीसह 192.168.10.151 - 192.168.10.199 अपार्टमेंट क्रमांक 3 मधील राउटरसाठी

हे पत्ते क्लायंट राउटरना देणे देखील आवश्यक होते. OpenVPN-server च्या कॉन्फिगरेशनमध्ये खालील ओळ जोडून:

ifconfig-pool-persist /etc/openvpn/ipp.txt 0

आणि खालील ओळी /etc/openvpn/ipp.txt फाइलमध्ये जोडणे:

flat1_id 192.168.10.100
flat2_id 192.168.10.150

येथे flat1_id आणि flat2_id ही कनेक्ट करण्यासाठी प्रमाणपत्रे तयार करताना निर्दिष्ट केलेली डिव्हाइसची नावे आहेत. OpenVPN

पुढे, राउटर कॉन्फिगर करण्यात आले. OpenVPN- क्लायंट, दोन्हीवरील tap0 डिव्हाइसेस br-lan ब्रिजमध्ये जोडण्यात आले. या टप्प्यावर, सर्व काही ठीक वाटत होते, कारण तिन्ही नेटवर्क्स एकमेकांना पाहू शकत होते आणि एकच युनिट म्हणून कार्य करू शकत होते. तथापि, एक बरीच अप्रिय बाब समोर आली: कधीकधी डिव्हाइसेसना चुकीच्या राउटरकडून आयपी ॲड्रेस मिळत असे, आणि त्याचे सर्व दुष्परिणाम होत होते. काही कारणास्तव, एका अपार्टमेंटमधील राउटर DHCPDISCOVER ला वेळेवर प्रतिसाद देण्यात अयशस्वी झाला आणि डिव्हाइसला चुकीचा ॲड्रेस मिळाला. माझ्या लक्षात आले की मला प्रत्येक राउटरवरील tap0 मध्ये अशा विनंत्या फिल्टर करणे आवश्यक आहे, परंतु नंतर असे दिसून आले की, जर एखादे डिव्हाइस ब्रिजचा भाग असेल तर iptables त्याच्यासोबत काम करू शकत नाही, म्हणून मला ebtables वापरण्याची गरज होती. दुर्दैवाने, माझ्या फर्मवेअरमध्ये त्याचा समावेश नव्हता, म्हणून मला प्रत्येक डिव्हाइससाठी इमेजेस पुन्हा तयार कराव्या लागल्या. हे केल्यानंतर आणि प्रत्येक राउटरवरील /etc/rc.local मध्ये खालील ओळी जोडल्यानंतर, समस्या सुटली:

ebtables -A INPUT --in-interface tap0 --protocol ipv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -A INPUT --in-interface tap0 --protocol ipv4 --ip-protocol udp --ip-source-port 67:68 -j DROP
ebtables -A FORWARD --out-interface tap0 --protocol ipv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -A FORWARD --out-interface tap0 --protocol ipv4 --ip-protocol udp --ip-source-port 67:68 -j DROP

हे कॉन्फिगरेशन तीन वर्षे चालले.

भाग २: ओळख करून घेणे WireGuard

अलीकडे इंटरनेटवर याबद्दल वाढती चर्चा होत आहे WireGuardत्याच्या कॉन्फिगरेशनची सुलभता, उच्च ट्रान्सफर स्पीड, कमी पिंग आणि तुलनीय सुरक्षेची प्रशंसा करत. त्याबद्दल अधिक माहिती शोधल्यावर असे दिसून आले की ते ब्रिज मेंबर किंवा टीसीपी प्रोटोकॉलला सपोर्ट करत नाही, ज्यामुळे मला वाटले की दुसरा कोणताही पर्याय नाही. OpenVPN माझ्यासाठी ते अजूनही शक्य झालेलं नाही. त्यामुळे मी ओळख करून घेणं पुढे ढकलत राहिलो. WireGuard.

काही दिवसांपूर्वी, आयटी क्षेत्राशी संबंधित विविध माध्यमांतून एक ना एक प्रकारे अशी बातमी पसरली की... WireGuard शेवटी कर्नलमध्ये समाविष्ट केले जाईल Linuxआवृत्ती ५.६ पासून, नेहमीप्रमाणेच बातम्यांच्या लेखांची प्रशंसा करण्यात आली. WireGuardमी पुन्हा एकदा जुन्या चांगल्या गोष्टींना पर्याय शोधण्याच्या कामात स्वतःला झोकून दिले. OpenVPNयावेळी माझी गाठ पडली हा लेख. GRE वापरून L3 वर इथरनेट बोगदा तयार करण्याबद्दल बोलले. या लेखाने मला आशा दिली. UDP प्रोटोकॉलचे काय करावे हे अस्पष्ट राहिले. शोधामुळे मला यूडीपी पोर्ट फॉरवर्ड करण्यासाठी एसएसएच बोगद्याच्या संयोगाने सॉकॅट वापरण्याबद्दलच्या लेखांकडे नेले, तथापि, त्यांनी नमूद केले की हा दृष्टीकोन केवळ एकल कनेक्शन मोडमध्ये कार्य करतो, म्हणजेच अनेक व्हीपीएन क्लायंटचे कार्य अशक्य होईल. मला व्हीपीएसवर व्हीपीएन सर्व्हर स्थापित करण्याची आणि क्लायंटसाठी जीआरई सेट करण्याची कल्पना आली, परंतु असे झाले की, जीआरई एनक्रिप्शनला समर्थन देत नाही, ज्यामुळे तृतीय पक्षांना सर्व्हरवर प्रवेश मिळाल्यास , माझ्या नेटवर्कमधील सर्व रहदारी त्यांच्या हातात असेल, जे मला अजिबात शोभत नाही.

पुन्हा एकदा, खालील योजना वापरून VPN वर VPN वापरून, निरर्थक एन्क्रिप्शनच्या बाजूने निर्णय घेण्यात आला:

स्तर XNUMX VPN:
VPS तो आहे सर्व्हर अंतर्गत पत्त्यासह 192.168.30.1
एमसी तो आहे ग्राहक अंतर्गत पत्त्यासह VPS 192.168.30.2
MK2 तो आहे ग्राहक अंतर्गत पत्त्यासह VPS 192.168.30.3
MK3 तो आहे ग्राहक अंतर्गत पत्त्यासह VPS 192.168.30.4

द्वितीय स्तर VPN:
एमसी तो आहे सर्व्हर बाह्य पत्त्यासह 192.168.30.2 आणि अंतर्गत 192.168.31.1
MK2 तो आहे ग्राहक एमसी 192.168.30.2 पत्त्यासह आणि अंतर्गत IP 192.168.31.2 आहे
MK3 तो आहे ग्राहक एमसी 192.168.30.2 पत्त्यासह आणि अंतर्गत IP 192.168.31.3 आहे

* एमसी — अपार्टमेंट 1 मधील राउटर-सर्व्हर, MK2 - अपार्टमेंट 2 मधील राउटर, MK3 - अपार्टमेंट 3 मध्ये राउटर
* डिव्हाइस कॉन्फिगरेशन लेखाच्या शेवटी स्पॉयलरमध्ये प्रकाशित केले आहेत.

आणि म्हणून, नेटवर्क नोड्स 192.168.31.0/24 दरम्यान पिंग्स चालू आहेत, GRE बोगदा सेट करण्यासाठी पुढे जाण्याची वेळ आली आहे. याआधी, राउटरचा प्रवेश गमावू नये म्हणून, पोर्ट 22 ला VPS वर अग्रेषित करण्यासाठी SSH बोगदे सेट करणे फायदेशीर आहे, जेणेकरून, उदाहरणार्थ, अपार्टमेंट 10022 मधील राउटर VPS च्या पोर्ट 2 वर प्रवेशयोग्य असेल आणि अपार्टमेंट 11122 मधील राउटर अपार्टमेंट 3 मधील राउटर XNUMX पोर्टवर प्रवेशयोग्य असेल. समान sshtunnel वापरून फॉरवर्डिंग कॉन्फिगर करणे सर्वोत्तम आहे, कारण ते अयशस्वी झाल्यास ते बोगदा पुनर्संचयित करेल.

बोगदा कॉन्फिगर केला आहे, तुम्ही फॉरवर्ड केलेल्या पोर्टद्वारे SSH शी कनेक्ट करू शकता:

ssh root@МОЙ_VPS -p 10022

पुढे तुम्ही अक्षम केले पाहिजे OpenVPN:

/etc/init.d/openvpn stop

आता अपार्टमेंट २ मधील राउटरवर GRE बोगदा सेट करू:

ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.2
ip link set grelan0 up

आणि ब्रिजमध्ये तयार केलेला इंटरफेस जोडा:

brctl addif br-lan grelan0

सर्व्हर राउटरवर अशीच प्रक्रिया करूया:

ip link add grelan0 type gretap remote 192.168.31.2 local 192.168.31.1
ip link set grelan0 up

आणि ब्रिजमध्ये तयार केलेला इंटरफेस देखील जोडा:

brctl addif br-lan grelan0

या क्षणापासून, पिंग्ज यशस्वीरित्या नवीन नेटवर्कवर जाण्यास सुरवात करतात आणि मी, समाधानाने, कॉफी प्यायला जातो. त्यानंतर, ओळीच्या दुसऱ्या टोकाला नेटवर्क कसे कार्य करत आहे याचे मूल्यांकन करण्यासाठी, मी अपार्टमेंट 2 मधील एका संगणकावर SSH करण्याचा प्रयत्न करतो, परंतु ssh क्लायंट पासवर्डसाठी सूचित न करता गोठतो. मी पोर्ट 22 वर टेलनेट द्वारे या संगणकाशी कनेक्ट करण्याचा प्रयत्न करत आहे आणि मला एक ओळ दिसली ज्यावरून मी समजू शकतो की कनेक्शन स्थापित केले जात आहे, SSH सर्व्हर प्रतिसाद देत आहे, परंतु काही कारणास्तव ते मला लॉग करण्यास सूचित करत नाही. मध्ये

$ telnet 192.168.10.110 22
SSH-2.0-OpenSSH_8.1

मी VNC द्वारे त्याच्याशी कनेक्ट करण्याचा प्रयत्न करत आहे आणि एक काळी स्क्रीन पाहत आहे. मी स्वतःला पटवून देतो की समस्या रिमोट कॉम्प्यूटरमध्ये आहे, कारण मी अंतर्गत पत्ता वापरून या अपार्टमेंटमधून राउटरशी सहजपणे कनेक्ट करू शकतो. तथापि, मी राउटरद्वारे या संगणकाच्या SSH शी कनेक्ट करण्याचा निर्णय घेतला आणि कनेक्शन यशस्वी झाल्याचे पाहून आश्चर्य वाटले, आणि रिमोट संगणक अगदी सामान्यपणे कार्य करतो, परंतु तो माझ्या संगणकाशी देखील कनेक्ट होऊ शकत नाही.

मी grelan0 डिव्हाइस ब्रिजमधून बाहेर काढून ते चालवतो. OpenVPN अपार्टमेंट २ मधील राउटरवर, मी खात्री केली की नेटवर्क पुन्हा व्यवस्थित काम करत आहे आणि कनेक्शन ड्रॉप होत नाहीत. शोध घेतल्यावर, मला असे फोरम सापडले जिथे लोक याच समस्यांबद्दल तक्रार करत होते आणि त्यांना MTU वाढवण्याचा सल्ला देण्यात आला होता. बोलल्याबरोबरच तसे केले. तथापि, जोपर्यंत MTU पुरेसा जास्त सेट केला गेला नाही—gretap डिव्हाइसेससाठी ७०००—तोपर्यंत मला एकतर TCP कनेक्शन ड्रॉप होण्याचा किंवा कमी ट्रान्सफर स्पीडचा अनुभव येत होता. gretap साठी जास्त MTU असल्यामुळे, कनेक्शनसाठीचा MTU देखील वाढला. WireGuard पहिला आणि दुसरा स्तर अनुक्रमे ८००० आणि ७५०० वर निश्चित करण्यात आले होते.

मी अपार्टमेंट 3 वरून राउटरवर समान सेटअप केले, फक्त फरक इतकाच की सर्व्हर राउटरमध्ये grelan1 नावाचा दुसरा ग्रेटॅप इंटरफेस जोडला गेला, जो br-lan ब्रिजमध्ये देखील जोडला गेला.

सर्व काही कार्यरत आहे. आता तुम्ही ग्रेटॅप असेंब्ली स्टार्टअपमध्ये ठेवू शकता. यासाठी:

मी अपार्टमेंट २ मधील राउटरवर या ओळी /etc/rc.local मध्ये ठेवल्या आहेत:

ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.2
ip link set dev grelan0 mtu 7000
ip link set grelan0 up
brctl addif br-lan grelan0

अपार्टमेंट 3 मधील राउटरवर हे /etc/rc.local वर जोडले:

ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.3
ip link set dev grelan0 mtu 7000
ip link set grelan0 up
brctl addif br-lan grelan0

आणि सर्व्हर राउटरवर:

ip link add grelan0 type gretap remote 192.168.31.2 local 192.168.31.1
ip link set dev grelan0 mtu 7000
ip link set grelan0 up
brctl addif br-lan grelan0

ip link add grelan1 type gretap remote 192.168.31.3 local 192.168.31.1
ip link set dev grelan1 mtu 7000
ip link set grelan1 up
brctl addif br-lan grelan1

क्लायंट राउटर्स रीबूट केल्यानंतर, माझ्या लक्षात आले की काही कारणास्तव ते सर्वरशी कनेक्ट होत नव्हते. त्यांच्या SSH शी कनेक्ट केल्यानंतर (सुदैवाने, मी यासाठी आधीच sshtunnel कॉन्फिगर केले होते), माझ्या लक्षात आले की WireGuard काही कारणास्तव, ते एंडपॉइंटसाठी एक रूट तयार करते, पण तो चुकीचा असतो. उदाहरणार्थ, 192.168.30.2 साठी, रूट टेबलमध्ये pppoe-wan इंटरफेसद्वारे, म्हणजेच इंटरनेटद्वारे, एक रूट निर्दिष्ट केला होता, वास्तविक पाहता तिथला रूट wg0 इंटरफेसद्वारे निर्देशित केला जायला हवा होता. हा रूट डिलीट केल्यानंतर, कनेक्शन पुन्हा सुरू झाले. हे जबरदस्तीने कसे करावे याबद्दलच्या सूचना मला कुठे मिळतील का? WireGuard मी हे मार्ग तयार करणे टाळू शकलो नाही. शिवाय, हे OpenWRT चे वैशिष्ट्य आहे की... हे मला समजलेही नाही. WireGuardसमस्या शोधण्यात जास्त वेळ न घालवता, मी दोन्ही राउटर्सवरील टाइमर-आधारित स्क्रिप्टमध्ये एक ओळ जोडली, ज्यामुळे हा रूट डिलीट झाला:

route del 192.168.30.2

गोळा करीत आहे

संपूर्ण नकार OpenVPN मी अजून हे साध्य केलेले नाही, कारण मला अधूनमधून लॅपटॉप किंवा फोनवरून नवीन नेटवर्कशी कनेक्ट करण्याची गरज पडते आणि त्यावर gretap डिव्हाइस सेट करणे सहसा अशक्य असते. तथापि, असे असूनही, मला अपार्टमेंट्समधील डेटा ट्रान्सफरच्या वेगात फायदा झाला आहे आणि उदाहरणार्थ, VNC वापरणे आता त्रासमुक्त झाले आहे. पिंग किंचित कमी झाला आहे पण अधिक स्थिर झाला आहे:

वापरत आहे OpenVPN:

[r0ck3r@desktop ~]$ ping -c 20 192.168.10.110
PING 192.168.10.110 (192.168.10.110) 56(84) bytes of data.
64 bytes from 192.168.10.110: icmp_seq=1 ttl=64 time=133 ms
...
64 bytes from 192.168.10.110: icmp_seq=20 ttl=64 time=125 ms

--- 192.168.10.110 ping statistics ---
20 packets transmitted, 20 received, 0% packet loss, time 19006ms
rtt min/avg/max/mdev = 124.722/126.152/136.907/3.065 ms

वापरत आहे WireGuard:

[r0ck3r@desktop ~]$ ping -c 20 192.168.10.110
PING 192.168.10.110 (192.168.10.110) 56(84) bytes of data.
64 bytes from 192.168.10.110: icmp_seq=1 ttl=64 time=124 ms
...
64 bytes from 192.168.10.110: icmp_seq=20 ttl=64 time=124 ms
--- 192.168.10.110 ping statistics ---
20 packets transmitted, 20 received, 0% packet loss, time 19003ms
rtt min/avg/max/mdev = 123.954/124.423/126.708/0.675 ms

VPS वर उच्च पिंगमुळे याचा अधिक परिणाम होतो, जे अंदाजे 61.5 ms आहे

मात्र, वेग लक्षणीयरीत्या वाढला आहे. त्यामुळे, राउटर-सर्व्हर असलेल्या अपार्टमेंटमध्ये माझ्या इंटरनेट कनेक्शनचा वेग ३० Mbps आहे, आणि इतर अपार्टमेंटमध्ये तो ५ Mbps आहे. शिवाय, वापरादरम्यान OpenVPN iperf च्या वाचनानुसार, मला नेटवर्क्स दरम्यान ३.८ Mbps पेक्षा जास्त डेटा ट्रान्सफर गती मिळवता आली नाही, तर WireGuard त्याला त्याच 5 Mbit/sec पर्यंत वाढवले.

कॉन्फिगरेशन WireGuard व्हीपीएसवर[Interface]
Address = 192.168.30.1/24
ListenPort = 51820
PrivateKey = <ЗАКРЫТЫЙ_КЛЮЧ_ДЛЯ_VPS>

[सरदार]
पब्लिककी = <VPN_1_MS_PUBLIC_KEY>
अनुमत IP = 192.168.30.2/32

[सरदार]
पब्लिककी = <VPN_2_MK2_PUBLIC_KEY>
अनुमत IP = 192.168.30.3/32

[सरदार]
पब्लिककी = <VPN_2_MK3_PUBLIC_KEY>
अनुमत IP = 192.168.30.4/32

कॉन्फिगरेशन WireGuard MS वर (/etc/config/network मध्ये जोडले)

#VPN первого уровня - клиент
config interface 'wg0'
        option proto 'wireguard'
        list addresses '192.168.30.2/24'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_1_МС'
        option auto '1'
        option mtu '8000'

config wireguard_wg0
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_1_VPS'
        option endpoint_port '51820'
        option route_allowed_ips '1'
        option persistent_keepalive '25'
        list allowed_ips '192.168.30.0/24'
        option endpoint_host 'IP_АДРЕС_VPS'

#VPN второго уровня - сервер
config interface 'wg1'
        option proto 'wireguard'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_2_МС'
        option listen_port '51821'
        list addresses '192.168.31.1/24'
        option auto '1'
        option mtu '7500'

config wireguard_wg1
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МК2'
        list allowed_ips '192.168.31.2'

config wireguard_wg1ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.3

        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МК3'
        list allowed_ips '192.168.31.3'

कॉन्फिगरेशन WireGuard MK2 वर (/etc/config/network मध्ये जोडले)

#VPN первого уровня - клиент
config interface 'wg0'
        option proto 'wireguard'
        list addresses '192.168.30.3/24'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_1_МК2'
        option auto '1'
        option mtu '8000'

config wireguard_wg0
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_1_VPS'
        option endpoint_port '51820'
        option persistent_keepalive '25'
        list allowed_ips '192.168.30.0/24'
        option endpoint_host 'IP_АДРЕС_VPS'

#VPN второго уровня - клиент
config interface 'wg1'
        option proto 'wireguard'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_2_МК2'
        list addresses '192.168.31.2/24'
        option auto '1'
        option listen_port '51821'
        option mtu '7500'

config wireguard_wg1
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МС'
        option endpoint_host '192.168.30.2'
        option endpoint_port '51821'
        option persistent_keepalive '25'
        list allowed_ips '192.168.31.0/24'

कॉन्फिगरेशन WireGuard MK3 वर (/etc/config/network मध्ये जोडले)

#VPN первого уровня - клиент
config interface 'wg0'
        option proto 'wireguard'
        list addresses '192.168.30.4/24'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_1_МК3'
        option auto '1'
        option mtu '8000'

config wireguard_wg0
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_1_VPS'
        option endpoint_port '51820'
        option persistent_keepalive '25'
        list allowed_ips '192.168.30.0/24'
        option endpoint_host 'IP_АДРЕС_VPS'

#VPN второго уровня - клиент
config interface 'wg1'
        option proto 'wireguard'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_2_МК3'
        list addresses '192.168.31.3/24'
        option auto '1'
        option listen_port '51821'
        option mtu '7500'

config wireguard_wg1
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МС'
        option endpoint_host '192.168.30.2'
        option endpoint_port '51821'
        option persistent_keepalive '25'
        list allowed_ips '192.168.31.0/24'

दुसऱ्या स्तराच्या व्हीपीएनसाठी वर्णन केलेल्या कॉन्फिगरेशनमध्ये, मी क्लायंट्सना सूचित करतो WireGuard पोर्ट 51821. याची आवश्यकता नसावी, कारण क्लायंट कोणत्याही मोकळ्या, अप्रिव्हिलेज्ड पोर्टवरून कनेक्शन स्थापित करेल, परंतु मी हे अशा प्रकारे केले जेणेकरून मी पोर्ट 51821 वरील येणाऱ्या UDP कनेक्शन वगळता, सर्व राउटरच्या wg0 इंटरफेसवरील सर्व येणारी कनेक्शन नाकारू शकेन.

मला आशा आहे की लेख एखाद्यासाठी उपयुक्त ठरेल.

PS तसेच, मला माझी स्क्रिप्ट शेअर करायची आहे जी माझ्या नेटवर्कवर नवीन उपकरण दिसल्यावर वायरपुशर ऍप्लिकेशनमध्ये मला माझ्या फोनवर पुश सूचना पाठवते. स्क्रिप्टची लिंक येथे आहे: github.com/r0ck3r/device_discover.

अद्ययावत: कॉन्फिगरेशन OpenVPNसर्व्हर आणि क्लायंट

OpenVPN-सर्व्हर

client-to-client

ca /etc/openvpn/server/ca.crt
cert /etc/openvpn/server/vpn-server.crt
dh /etc/openvpn/server/dh.pem
key /etc/openvpn/server/vpn-server.key

dev tap
ifconfig-pool-persist /etc/openvpn/ipp.txt 0
keepalive 10 60
proto tcp4
server-bridge 192.168.10.1 255.255.255.0 192.168.10.80 192.168.10.254
status /var/log/openvpn-status.log
verb 3
comp-lzo

OpenVPN-ग्राहक

client
tls-client
dev tap
proto tcp
remote VPS_IP 1194 # Change to your router's External IP
resolv-retry infinite
nobind

ca client/ca.crt
cert client/client.crt
key client/client.key
dh client/dh.pem

comp-lzo
persist-tun
persist-key
verb 3

मी प्रमाणपत्रे तयार करण्यासाठी easy-rsa वापरले

स्त्रोत: www.habr.com