مان ٽن جغرافيائي طور تي ريموٽ اپارٽمنٽ ۾ نيٽ ورڪ کي گڏ ڪرڻ جو منهنجو تجربو حصيداري ڪرڻ چاهيان ٿو، جن مان هر هڪ راؤٽر استعمال ڪري ٿو OpenWRT سان گڏ گيٽ وي جي طور تي، هڪ عام نيٽ ورڪ ۾. L3 جي وچ ۾ نيٽ ورڪ کي گڏ ڪرڻ لاء هڪ طريقو چونڊيو جڏهن سب نيٽ روٽنگ سان L2 ۽ برجنگ سان LXNUMX، جڏهن سڀ نيٽ ورڪ نوڊس ساڳئي سب نيٽ ۾ هوندا، ترجيح ٻئي طريقي کي ڏني وئي، جنهن کي ترتيب ڏيڻ وڌيڪ ڏکيو آهي، پر وڌيڪ موقعا فراهم ڪري ٿي، ڇاڪاڻ ته ويڪ-آن-لين ۽ ڊي ايل اين اي ٺاهيل نيٽ ورڪ ۾ ٽيڪنالاجيز جي شفاف استعمال جي منصوبابندي ڪئي وئي.
حصو 1: پس منظر
هن ڪم کي لاڳو ڪرڻ لاءِ چونڊيو ويو پروٽوڪول شروعاتي طور تي هو OpenVPN، ڇاڪاڻ ته، پهرين، اهو هڪ ٽيپ ڊيوائس ٺاهي سگهي ٿو جيڪو پل ۾ بغير ڪنهن مسئلي جي شامل ڪري سگهجي ٿو، ۽ ٻيو، OpenVPN اهو TCP کي سپورٽ ڪري ٿو، جيڪو پڻ اهم هو، ڇاڪاڻ ته ڪنهن به اپارٽمنٽ ۾ وقف IP پتو نه هو. مان STUN استعمال نه ڪري سگهيس ڇاڪاڻ ته منهنجو ISP، ڪنهن سبب جي ڪري، پنهنجي نيٽ ورڪن مان ايندڙ UDP ڪنيڪشن کي بلاڪ ڪري ٿو. TCP مون کي SSH استعمال ڪندي VPN سرور پورٽ کي ڪرائي تي ڏنل VPS ڏانهن فارورڊ ڪرڻ جي اجازت ڏني. جڏهن ته هي طريقو هڪ اهم اوور هيڊ پيدا ڪري ٿو، ڇاڪاڻ ته ڊيٽا ڊبل انڪرپٽ ٿيل آهي، مان VPS کي منهنجي پرائيويٽ نيٽ ورڪ ۾ ضم ڪرڻ نه چاهيندو هوس، ڇاڪاڻ ته ٽئين پارٽين جي ان تي ڪنٽرول حاصل ڪرڻ جو خطرو هو. تنهن ڪري، منهنجي گهر نيٽ ورڪ تي اهڙي ڊوائيس هجڻ انتهائي ناپسنديده هو، تنهن ڪري مون سيڪيورٽي لاءِ هڪ اهم اوور هيڊ ادا ڪرڻ جو فيصلو ڪيو.
روٽر تي پورٽ کي فارورڊ ڪرڻ لاءِ جتي سرور کي ڊيپلائي ڪرڻ جو منصوبو هو، مون sshtunnel پروگرام استعمال ڪيو. مان ان جي ترتيب جي تفصيل ۾ نه ويندس - اهو ڪافي آسان آهي. مان صرف اهو نوٽ ڪندس ته ان جو مقصد TCP پورٽ 1194 کي روٽر کان VPS ڏانهن فارورڊ ڪرڻ هو. اڳيون، مون سرور کي ترتيب ڏنو. OpenVPN ٽيپ0 ڊيوائس تي، جيڪو بر-لين برج سان ڳنڍيل هو. منهنجي ليپ ٽاپ مان نئين ٺاهيل سرور سان ڪنيڪشن جي جانچ ڪرڻ کان پوءِ، اهو واضح ٿيو ته پورٽ فارورڊنگ خيال ڪم ڪري چڪو آهي، ۽ منهنجو ليپ ٽاپ روٽر جي نيٽ ورڪ جو ميمبر بڻجي چڪو هو، جيتوڻيڪ اهو جسماني طور تي ان جو حصو نه هو.
صرف اهو ڪرڻ باقي هو ته IP پتي مختلف اپارٽمنٽن ۾ ورهايا وڃن ته جيئن اهي ٽڪراءُ نه ڪن ۽ روٽرز کي ترتيب ڏيو جيئن OpenVPN- گراهڪ.
ھيٺ ڏنل روٽر IP پتي ۽ DHCP سرور جي حدن کي چونڊيو ويو:
- 192.168.10.1 حد سان 192.168.10.2 - 192.168.10.80 سرور لاء
- 192.168.10.100 حد سان 192.168.10.101 - 192.168.10.149 اپارٽمنٽ نمبر 2 ۾ روٽر لاءِ
- 192.168.10.150 حد سان 192.168.10.151 - 192.168.10.199 اپارٽمنٽ نمبر 3 ۾ روٽر لاءِ
انهن ايڊريسن کي ڪلائنٽ روٽرز کي تفويض ڪرڻ پڻ ضروري هو. OpenVPN-سرور، ان جي ترتيب ۾ ھيٺ ڏنل لائن شامل ڪندي:
ifconfig-pool-persist /etc/openvpn/ipp.txt 0۽ هيٺيون لائينون شامل ڪندي /etc/openvpn/ipp.txt فائل ۾:
flat1_id 192.168.10.100
flat2_id 192.168.10.150
جتي flat1_id ۽ flat2_id ڊوائيس جا نالا آهن جيڪي ڳنڍڻ لاءِ سرٽيفڪيٽ ٺاهڻ وقت بيان ڪيا ويندا آهن OpenVPN
اڳيون، روٽر ترتيب ڏنا ويا OpenVPN- ڪلائنٽ، ٻنهي تي ٽيپ0 ڊوائيسز کي بر-لين پل ۾ شامل ڪيو ويو. هن موقعي تي، سڀ ڪجهه ٺيڪ لڳي رهيو هو، ڇاڪاڻ ته سڀئي ٽي نيٽ ورڪ هڪ ٻئي کي ڏسي سگهن ٿا ۽ هڪ واحد يونٽ جي طور تي ڪم ڪري سگهن ٿا. بهرحال، هڪ تمام ناپسنديده تفصيل سامهون آئي: ڪڏهن ڪڏهن ڊوائيسز غلط روٽر کان هڪ IP پتو وصول ڪندا هئا، جنهن جا سڀ نتيجا نڪرندا هئا. ڪنهن سبب جي ڪري، هڪ اپارٽمينٽ ۾ روٽر وقت تي DHCPDISCOVER جو جواب ڏيڻ ۾ ناڪام ٿيو، ۽ ڊوائيس کي غلط پتو مليو. مون کي احساس ٿيو ته مون کي هر روٽر تي ٽيپ0 ۾ اهڙين درخواستن کي فلٽر ڪرڻ جي ضرورت آهي، پر جيئن اهو نڪتو، iptables هڪ ڊوائيس سان ڪم نٿو ڪري سگهي جيڪڏهن اهو پل جو حصو آهي، تنهنڪري مون کي ebtables استعمال ڪرڻ جي ضرورت هئي. بدقسمتي سان، منهنجي فرم ويئر ان کي شامل نه ڪيو، تنهنڪري مون کي هر ڊوائيس لاءِ تصويرون ٻيهر ٺاهڻيون پيون. اهو ڪرڻ ۽ هر روٽر تي /etc/rc.local ۾ هيٺيون لائينون شامل ڪرڻ کان پوءِ، مسئلو حل ٿي ويو:
ebtables -A INPUT --in-interface tap0 --protocol ipv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -A INPUT --in-interface tap0 --protocol ipv4 --ip-protocol udp --ip-source-port 67:68 -j DROP
ebtables -A FORWARD --out-interface tap0 --protocol ipv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -A FORWARD --out-interface tap0 --protocol ipv4 --ip-protocol udp --ip-source-port 67:68 -j DROP
اها ترتيب ٽن سالن تائين برقرار رهي.
حصو 2: ڄاڻڻ WireGuard
تازو، انٽرنيٽ تي ان بابت ڳالهه ٻولهه وڌي رهي آهي WireGuard، ان جي ترتيب جي آساني، تيز منتقلي جي رفتار، گهٽ پنگ جي مقابلي واري سيڪيورٽي سان تعريف ڪندي. ان بابت اضافي معلومات جي ڳولا مان ظاهر ٿيو ته اهو برج ميمبر يا ٽي سي پي پروٽوڪول سپورٽ کي سپورٽ نٿو ڪري، جنهن مون کي يقين ڏياريو ته ڪو به متبادل نه هو. OpenVPN منهنجي لاءِ اهو اڃا تائين اتي ناهي. تنهن ڪري مون ڄاڻڻ ڇڏي ڏنو WireGuard.
ڪجهه ڏينهن اڳ، آئي ٽي سان لاڳاپيل ذريعن ذريعي ڪنهن نه ڪنهن طريقي سان خبرون پکڙجي ويون ته WireGuard آخرڪار ڪرنل ۾ شامل ڪيو ويندو Linux، ورجن 5.6 سان شروع ٿي رهيو آهي. نيوز آرٽيڪلز، هميشه وانگر، ساراهيا ويا WireGuardمان هڪ ڀيرو ٻيهر سٺي پراڻي کي تبديل ڪرڻ جا طريقا ڳولڻ ۾ ٻڏي ويس OpenVPNهن ڀيري مان ڀڄي ويس . اهو GRE استعمال ڪندي L3 مٿان هڪ Ethernet سرنگ ٺاهڻ بابت ڳالهايو. هن مضمون مون کي اميد ڏني. اهو واضح ناهي ته UDP پروٽوڪول سان ڇا ڪجي. ڳولا مون کي يو ڊي پي بندرگاهن کي اڳتي وڌائڻ لاءِ SSH سرنگ سان ملائي ساڪٽ استعمال ڪرڻ بابت مضمونن ڏانهن راغب ڪيو ، جڏهن ته ، انهن نوٽ ڪيو ته اهو طريقو صرف سنگل ڪنيڪشن موڊ ۾ ڪم ڪري ٿو ، اهو آهي ، ڪيترن ئي وي پي اين ڪلائنٽ جو ڪم ناممڪن هوندو. مون کي هڪ VPS تي VPN سرور نصب ڪرڻ ۽ گراهڪن لاءِ GRE ترتيب ڏيڻ جو خيال آيو، پر جيئن ته اهو نڪتو، GRE انڪرپشن کي سپورٽ نٿو ڪري، جيڪا حقيقت جي اڳواڻي ڪندي ته جيڪڏهن ٽئين پارٽيون سرور تائين رسائي حاصل ڪن. ، منهنجي نيٽ ورڪن جي وچ ۾ سڀ ٽريفڪ انهن جي هٿن ۾ هوندي، جيڪا مون کي بلڪل به مناسب نه هئي.
هڪ ڀيرو ٻيهر، فيصلو ڪيو ويو بيڪار انڪرپشن جي حق ۾، هيٺ ڏنل اسڪيم کي استعمال ڪندي وي پي اين مٿان وي پي اين استعمال ڪندي:
سطح XNUMX VPN:
VPS اهو آهي سرور اندروني ايڊريس سان 192.168.30.1
MS اهو آهي گراهڪ اندروني پتي سان VPS 192.168.30.2
MK2 اهو آهي گراهڪ اندروني پتي سان VPS 192.168.30.3
MK3 اهو آهي گراهڪ اندروني پتي سان VPS 192.168.30.4
ٻيو سطح VPN:
MS اهو آهي سرور خارجي پتي سان 192.168.30.2 ۽ اندروني 192.168.31.1
MK2 اهو آهي گراهڪ MS ايڊريس سان گڏ 192.168.30.2 ۽ اندروني IP 192.168.31.2 آهي
MK3 اهو آهي گراهڪ MS ايڊريس سان گڏ 192.168.30.2 ۽ اندروني IP 192.168.31.3 آهي
* MS - اپارٽمنٽ 1 ۾ روٽر سرور، MK2 - اپارٽمنٽ 2 ۾ روٽر، MK3 - اپارٽمنٽ 3 ۾ روٽر
* ڊيوائس جون ترتيبون مضمون جي آخر ۾ اسپيلر ۾ شايع ٿيل آهن.
۽ ائين، پنگ نيٽ ورڪ نوڊس 192.168.31.0/24 جي وچ ۾ هلي رهيا آهن، اهو وقت آهي GRE سرنگ قائم ڪرڻ لاءِ. ان کان اڳ، روٽرن تائين پهچ نه وڃائڻ لاءِ، پورٽ 22 کي VPS ڏانهن فارورڊ ڪرڻ لاءِ SSH سرنگون قائم ڪرڻ جي قابل آهي، ته جيئن مثال طور، اپارٽمينٽ 10022 کان روٽر VPS جي پورٽ 2 تي پهچندو، ۽ اپارٽمنٽ 11122 کان روٽر اپارٽمينٽ 3 کان پورٽ XNUMX روٽر تي پهچندو. اهو ساڳيو sshtunnel استعمال ڪندي فارورڊنگ کي ترتيب ڏيڻ لاءِ بهترين آهي، ڇاڪاڻ ته اهو سرنگ کي بحال ڪندو جيڪڏهن اهو ناڪام ٿيو.
سرنگ ترتيب ڏني وئي آهي، توهان فارورڊ پورٽ ذريعي SSH سان ڳنڍي سگهو ٿا:
ssh root@МОЙ_VPS -p 10022اڳيون توهان کي بند ڪرڻ گهرجي OpenVPN:
/etc/init.d/openvpn stopهاڻي اچو ته اپارٽمنٽ 2 کان روٽر تي هڪ GRE سرنگ قائم ڪريون:
ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.2
ip link set grelan0 up
۽ پل ۾ ٺاهيل انٽرفيس شامل ڪريو:
brctl addif br-lan grelan0
اچو ته سرور روٽر تي ساڳيو عمل انجام ڏيو:
ip link add grelan0 type gretap remote 192.168.31.2 local 192.168.31.1
ip link set grelan0 up
۽ پل ۾ ٺهيل انٽرفيس پڻ شامل ڪريو:
brctl addif br-lan grelan0
هن لمحي کان شروع ٿي، پنگ ڪاميابي سان نئين نيٽ ورڪ ڏانهن وڃڻ شروع ڪيو ۽ مان، اطمينان سان، ڪافي پيئڻ لاء وڃان ٿو. پوء، جائزو وٺڻ لاء ڪيئن نيٽ ورڪ لائن جي ٻئي پڇاڙيء تي ڪم ڪري رهيو آهي، آئون اپارٽمنٽ 2 ۾ ڪمپيوٽرن مان هڪ ۾ SSH ڪرڻ جي ڪوشش ڪريان ٿو، پر ssh ڪلائنٽ بغير پاسورڊ لاء اشارو ڪرڻ کان سواء منجمد ٿي ويو آهي. مان هن ڪمپيوٽر سان ڳنڍڻ جي ڪوشش ڪري رهيو آهيان telnet ذريعي پورٽ 22 تي ۽ مون کي هڪ لائن نظر اچي رهي آهي جنهن مان مان سمجهي سگهان ٿو ته ڪنيڪشن قائم ٿي رهيو آهي، SSH سرور جواب ڏئي رهيو آهي، پر ڪجهه سببن جي ڪري اهو صرف مون کي لاگ ان ٿيڻ جو اشارو نٿو ڏئي. ۾
$ telnet 192.168.10.110 22
SSH-2.0-OpenSSH_8.1
مان ان سان ڳنڍڻ جي ڪوشش ڪري رهيو آهيان VNC ذريعي ۽ هڪ ڪارو اسڪرين ڏسو. مان پاڻ کي يقين ڏيان ٿو ته اهو مسئلو ريموٽ ڪمپيوٽر سان آهي، ڇاڪاڻ ته آئون آساني سان هن اپارٽمنٽ مان روٽر سان ڳنڍي سگهان ٿو اندروني ايڊريس استعمال ڪندي. بهرحال، مان روٽر ذريعي هن ڪمپيوٽر جي SSH سان ڳنڍڻ جو فيصلو ڪريان ٿو ۽ اهو ڏسي حيران آهيان ته ڪنيڪشن ڪامياب آهي، ۽ ريموٽ ڪمپيوٽر عام طور تي ڪم ڪري ٿو، پر اهو پڻ منهنجي ڪمپيوٽر سان ڳنڍي نٿو سگهي.
مان grelan0 ڊوائيس کي پل تان ڪڍي ان کي هلائيان ٿو. OpenVPN اپارٽمينٽ 2 ۾ روٽر تي، مون تصديق ڪئي ته نيٽ ورڪ ٻيهر صحيح ڪم ڪري رهيو هو ۽ ڪنيڪشن گهٽ نه ٿي رهيا هئا. ڳولا ڪندي، مون کي اهڙا فورم مليا جتي ماڻهو ساڳين مسئلن بابت شڪايت ڪري رهيا هئا، ۽ جتي انهن کي MTU وڌائڻ جي صلاح ڏني وئي هئي. جيئن ئي چيو ويو ته اهو ٿي ويو. جڏهن ته، جيستائين MTU ڪافي بلند نه ڪيو ويو - گريٽيپ ڊوائيسز لاءِ 7000 - مون کي يا ته TCP ڪنيڪشن گهٽجي ويا يا گهٽ منتقلي جي رفتار جو تجربو ٿيو. گريٽيپ لاءِ اعليٰ MTU جي ڪري، ڪنيڪشن لاءِ MTU WireGuard پهرين ۽ ٻئي سطح ترتيب وار 8000 ۽ 7500 تي مقرر ڪئي وئي هئي.
مون اپارٽمنٽ 3 کان روٽر تي ساڳيو سيٽ اپ ڪيو، فرق صرف اهو آهي ته هڪ ٻيو گريپپ انٽرفيس نالي grelan1 سرور روٽر ۾ شامل ڪيو ويو، جيڪو پڻ br-lan پل ۾ شامل ڪيو ويو.
سڀ ڪجهه ڪم ڪري رهيو آهي. ھاڻي توھان شروع ڪري سگھوٿا گريٽاپ اسيمبليءَ کي. ان لاءِ:
مون اپارٽمينٽ 2 ۾ روٽر تي /etc/rc.local ۾ اهي لائينون رکيا آهن:
ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.2
ip link set dev grelan0 mtu 7000
ip link set grelan0 up
brctl addif br-lan grelan0
اپارٽمنٽ 3 ۾ روٽر تي هن کي شامل ڪيو /etc/rc.local:
ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.3
ip link set dev grelan0 mtu 7000
ip link set grelan0 up
brctl addif br-lan grelan0
۽ سرور روٽر تي:
ip link add grelan0 type gretap remote 192.168.31.2 local 192.168.31.1
ip link set dev grelan0 mtu 7000
ip link set grelan0 up
brctl addif br-lan grelan0
ip link add grelan1 type gretap remote 192.168.31.3 local 192.168.31.1
ip link set dev grelan1 mtu 7000
ip link set grelan1 up
brctl addif br-lan grelan1
ڪلائنٽ روٽرز کي ريبوٽ ڪرڻ کان پوءِ، مون دريافت ڪيو ته ڪنهن سبب جي ڪري اهي سرور سان نه ڳنڍجي رهيا هئا. انهن جي SSH سان ڳنڍڻ کان پوءِ (شڪر آهي، مون اڳ ۾ هن لاءِ sshtunnel ترتيب ڏنو هو)، مون دريافت ڪيو ته WireGuard ڪنهن سبب جي ڪري، اهو اينڊ پوائنٽ لاءِ هڪ رستو ٺاهي ٿو، پر اهو غلط آهي. مثال طور، 192.168.30.2 لاءِ، روٽ ٽيبل pppoe-wan انٽرفيس ذريعي هڪ رستو بيان ڪيو، يعني انٽرنيٽ ذريعي، جيتوڻيڪ ان ڏانهن رستو wg0 انٽرفيس ذريعي هدايت ڪيو وڃي ها. هن رستي کي ختم ڪرڻ کان پوءِ، ڪنيڪشن بحال ڪيو ويو. ڇا مان ڪٿي به هدايتون ڳولي سگهان ٿو ته ڪيئن زور ڏيڻو آهي WireGuard مان انهن رستن کي ٺاهڻ کان بچي نه سگهيس. ان کان علاوه، مون کي اهو به سمجهه ۾ نه آيو ته هي اوپن ڊبليو آر ٽي جي خاصيت هئي يا WireGuardمسئلو سمجهڻ ۾ گهڻو وقت خرچ ڪرڻ کان سواءِ، مون ٻنهي روٽرن تي ٽائمر-لوپ اسڪرپٽ ۾ صرف هڪ لائن شامل ڪئي جنهن هن روٽ کي ختم ڪري ڇڏيو:
route del 192.168.30.2
ويٺو آهي
مڪمل رد OpenVPN مون اڃا تائين اهو حاصل نه ڪيو آهي، ڇاڪاڻ ته مون کي ڪڏهن ڪڏهن ليپ ٽاپ يا فون تان نئين نيٽ ورڪ سان ڳنڍڻ جي ضرورت پوندي آهي، ۽ انهن تي گري ٽيپ ڊيوائس سيٽ ڪرڻ عام طور تي ناممڪن آهي. جڏهن ته، ان جي باوجود، مون اپارٽمنٽس جي وچ ۾ ڊيٽا جي منتقلي جي رفتار ۾ هڪ فائدو حاصل ڪيو آهي، ۽ مثال طور، VNC استعمال ڪرڻ هاڻي پريشاني کان پاڪ آهي. پنگ ٿورو گهٽجي ويو آهي پر وڌيڪ مستحڪم ٿي ويو آهي:
استعمال ڪندي OpenVPN:
[r0ck3r@desktop ~]$ ping -c 20 192.168.10.110
PING 192.168.10.110 (192.168.10.110) 56(84) bytes of data.
64 bytes from 192.168.10.110: icmp_seq=1 ttl=64 time=133 ms
...
64 bytes from 192.168.10.110: icmp_seq=20 ttl=64 time=125 ms
--- 192.168.10.110 ping statistics ---
20 packets transmitted, 20 received, 0% packet loss, time 19006ms
rtt min/avg/max/mdev = 124.722/126.152/136.907/3.065 ms
استعمال ڪندي WireGuard:
[r0ck3r@desktop ~]$ ping -c 20 192.168.10.110
PING 192.168.10.110 (192.168.10.110) 56(84) bytes of data.
64 bytes from 192.168.10.110: icmp_seq=1 ttl=64 time=124 ms
...
64 bytes from 192.168.10.110: icmp_seq=20 ttl=64 time=124 ms
--- 192.168.10.110 ping statistics ---
20 packets transmitted, 20 received, 0% packet loss, time 19003ms
rtt min/avg/max/mdev = 123.954/124.423/126.708/0.675 ms
اهو VPS ڏانهن اعلي پنگ کان وڌيڪ متاثر ٿيو آهي، جيڪو تقريبا 61.5 ايم ايس آهي.
جڏهن ته، رفتار تمام گهڻي وڌي وئي آهي. تنهن ڪري، روٽر سرور واري اپارٽمينٽ ۾، منهنجي انٽرنيٽ ڪنيڪشن جي رفتار 30 Mbps آهي، ۽ ٻين اپارٽمينٽ ۾ اها 5 Mbps آهي. ان کان علاوه، استعمال دوران OpenVPN مان iperf ريڊنگز جي مطابق 3,8 Mbps کان وڌيڪ نيٽ ورڪن جي وچ ۾ ڊيٽا ٽرانسفر جي رفتار حاصل ڪرڻ ۾ ناڪام رهيس، جڏهن ته WireGuard ان کي ساڳئي 5 Mbit/sec تائين "پمپ" ڪيو.
ڪنفگريشن WireGuard وي پي ايس تي[Interface]
Address = 192.168.30.1/24
ListenPort = 51820
PrivateKey = <ЗАКРЫТЫЙ_КЛЮЧ_ДЛЯ_VPS>
[پير]
پبلڪ ڪي = <VPN_1_MS_PUBLIC_KEY>
اجازت ڏنل IPs = 192.168.30.2/32
[پير]
پبلڪ ڪي = <VPN_2_MK2_PUBLIC_KEY>
اجازت ڏنل IPs = 192.168.30.3/32
[پير]
پبلڪ ڪي = <VPN_2_MK3_PUBLIC_KEY>
اجازت ڏنل IPs = 192.168.30.4/32
ڪنفگريشن WireGuard ايم ايس تي (/etc/config/network ۾ شامل ڪيو ويو)
#VPN первого уровня - клиент
config interface 'wg0'
option proto 'wireguard'
list addresses '192.168.30.2/24'
option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_1_МС'
option auto '1'
option mtu '8000'
config wireguard_wg0
option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_1_VPS'
option endpoint_port '51820'
option route_allowed_ips '1'
option persistent_keepalive '25'
list allowed_ips '192.168.30.0/24'
option endpoint_host 'IP_АДРЕС_VPS'
#VPN второго уровня - сервер
config interface 'wg1'
option proto 'wireguard'
option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_2_МС'
option listen_port '51821'
list addresses '192.168.31.1/24'
option auto '1'
option mtu '7500'
config wireguard_wg1
option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МК2'
list allowed_ips '192.168.31.2'
config wireguard_wg1ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.3
option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МК3'
list allowed_ips '192.168.31.3'
ڪنفگريشن WireGuard MK2 تي (/etc/config/network ۾ شامل ڪيو ويو)
#VPN первого уровня - клиент
config interface 'wg0'
option proto 'wireguard'
list addresses '192.168.30.3/24'
option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_1_МК2'
option auto '1'
option mtu '8000'
config wireguard_wg0
option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_1_VPS'
option endpoint_port '51820'
option persistent_keepalive '25'
list allowed_ips '192.168.30.0/24'
option endpoint_host 'IP_АДРЕС_VPS'
#VPN второго уровня - клиент
config interface 'wg1'
option proto 'wireguard'
option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_2_МК2'
list addresses '192.168.31.2/24'
option auto '1'
option listen_port '51821'
option mtu '7500'
config wireguard_wg1
option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МС'
option endpoint_host '192.168.30.2'
option endpoint_port '51821'
option persistent_keepalive '25'
list allowed_ips '192.168.31.0/24'
ڪنفگريشن WireGuard MK3 تي (/etc/config/network ۾ شامل ڪيو ويو)
#VPN первого уровня - клиент
config interface 'wg0'
option proto 'wireguard'
list addresses '192.168.30.4/24'
option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_1_МК3'
option auto '1'
option mtu '8000'
config wireguard_wg0
option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_1_VPS'
option endpoint_port '51820'
option persistent_keepalive '25'
list allowed_ips '192.168.30.0/24'
option endpoint_host 'IP_АДРЕС_VPS'
#VPN второго уровня - клиент
config interface 'wg1'
option proto 'wireguard'
option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_2_МК3'
list addresses '192.168.31.3/24'
option auto '1'
option listen_port '51821'
option mtu '7500'
config wireguard_wg1
option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МС'
option endpoint_host '192.168.30.2'
option endpoint_port '51821'
option persistent_keepalive '25'
list allowed_ips '192.168.31.0/24'
ٻئي سطح جي VPN لاءِ بيان ڪيل ترتيبن ۾، مان گراهڪن کي اشارو ڪريان ٿو WireGuard پورٽ 51821. اهو ضروري نه هجڻ گهرجي، ڇاڪاڻ ته ڪلائنٽ ڪنهن به مفت، غير مراعات يافته پورٽ کان ڪنيڪشن قائم ڪندو، پر مون اهو هن طريقي سان ڪيو ته جيئن مان سڀني روٽرز جي wg0 انٽرفيس تي سڀني ايندڙ ڪنيڪشن کي رد ڪري سگهان، سواءِ پورٽ 51821 تي ايندڙ UDP ڪنيڪشن جي.
مون کي اميد آهي ته مضمون ڪنهن لاء مفيد ٿيندو.
پي ايس انهي سان گڏ، مان پنهنجي اسڪرپٽ کي شيئر ڪرڻ چاهيان ٿو جيڪو مون کي موڪلي ٿو PUSH نوٽيفڪيشن منهنجي فون تي وائر پشر ايپليڪيشن ۾ جڏهن منهنجي نيٽ ورڪ تي هڪ نئين ڊوائيس ظاهر ٿئي ٿي. هتي اسڪرپٽ جي لنڪ آهي: .
تازه: ڪنفگريشن OpenVPN- سرور ۽ گراهڪ
OpenVPN-سرور
client-to-client
ca /etc/openvpn/server/ca.crt
cert /etc/openvpn/server/vpn-server.crt
dh /etc/openvpn/server/dh.pem
key /etc/openvpn/server/vpn-server.key
dev tap
ifconfig-pool-persist /etc/openvpn/ipp.txt 0
keepalive 10 60
proto tcp4
server-bridge 192.168.10.1 255.255.255.0 192.168.10.80 192.168.10.254
status /var/log/openvpn-status.log
verb 3
comp-lzoOpenVPN- گراهڪ
client
tls-client
dev tap
proto tcp
remote VPS_IP 1194 # Change to your router's External IP
resolv-retry infinite
nobind
ca client/ca.crt
cert client/client.crt
key client/client.key
dh client/dh.pem
comp-lzo
persist-tun
persist-key
verb 3 مون سرٽيفڪيٽ ٺاهڻ لاءِ آسان-rsa استعمال ڪيو
جو ذريعو: www.habr.com
