באַשטימען פון OpenVPN צו WireGuard צו פאַרבינדן נעטוואָרקס אין איין L2 נעץ

איך וואָלט ווי צו טיילן מיין דערפאַרונג פון קאַמביינינג נעטוואָרקס אין דריי דזשיאַגראַפיקלי ווייַט אַפּאַרטמאַנץ, יעדער פון וואָס ניצט ראָוטערס מיט OpenWRT ווי אַ גייטוויי, אין איין פּראָסט נעץ. ווען טשוזינג אַ אופֿן פֿאַר קאַמביינינג נעטוואָרקס צווישן L3 מיט סובנעט רוטינג און L2 מיט ברידזשינג, ווען אַלע נעץ נאָודז וועט זיין אין דער זעלביקער סובנעט, ייבערהאַנט איז געגעבן צו די רגע אופֿן, וואָס איז מער שווער צו קאַנפיגיער, אָבער גיט גרעסערע אַפּערטונאַטיז, זינט די טראַנספּעראַנט נוצן פון טעקנאַלאַדזשיז איז געווען פּלאַננעד אין די נעץ וואָס איז באשאפן Wake-on-Lan און DLNA.

טייל 1: הינטערגרונט

OpenVPN איז טכילעס אויסדערוויילט ווי דער פּראָטאָקאָל פֿאַר ימפּלאַמענינג דעם אַרבעט, ווייַל, ערשטער, עס קענען מאַכן אַ צאַפּן מיטל וואָס קענען זיין מוסיף צו די בריק אָן פראבלעמען, און צווייטנס, OpenVPN שטיצט אָפּעראַציע איבער די TCP פּראָטאָקאָל, וואָס איז אויך וויכטיק ווייַל גאָרניט פון די אַפּאַרטמאַנץ האָבן אַ דעדאַקייטאַד IP אַדרעס, און איך קען נישט נוצן STUN, ווייַל מיין שפּייַזער פֿאַר עטלעכע סיבה בלאַקס ינקאַמינג UDP קאַנעקשאַנז פון זייער נעטוואָרקס, בשעת די טקפּ פּראָטאָקאָל ערלויבט מיר צו פאָרויס די VPN סערווער פּאָרט צו רענטאַד וופּס ניצן SSH. יאָ, דעם צוגאַנג גיט אַ גרויס מאַסע, ווייַל די דאַטן זענען ינקריפּטיד צוויי מאָל, אָבער איך האט נישט וועלן צו באַקענען אַ וופּס אין מיין פּריוואַט נעץ, ווייַל עס איז נאָך אַ ריזיקירן פון דריט פּאַרטיעס צו באַקומען קאָנטראָל איבער עס, דעריבער, מיט אַזאַ אַ מיטל אויף מיין היים נעץ איז געווען גאָר אַנדיזייראַבאַל און עס איז באַשלאָסן צו באַצאָלן פֿאַר זיכערהייט מיט אַ גרויס אָוווערכעד.

צו פאָרויס די פּאָרט אויף די ראַוטער אויף וואָס עס איז פּלאַננעד צו צעוויקלען די סערווער, די sshtunnel פּראָגראַם איז געניצט. איך וועל נישט באַשרייַבן די ינטראַקאַסיז פון זיין קאַנפיגיעריישאַן - עס איז גאַנץ לייכט, איך וועט נאָר טאָן אַז זיין אַרבעט איז געווען צו פאָרויס TCP פּאָרט 1194 פֿון די ראַוטער צו די וופּס. דערנאָך, די OpenVPN סערווער איז קאַנפיגיערד אויף די tap0 מיטל וואָס איז געווען קאָננעקטעד צו די br-lan בריק. נאָך אָפּגעשטעלט די פֿאַרבינדונג צו די ניי באשאפן סערווער פֿון די לאַפּטאַפּ, עס איז געווארן קלאָר אַז דער געדאַנק פון פּאָרט פאָרווערדינג איז גערעכטפארטיקט און מיין לאַפּטאַפּ איז געווארן אַ מיטגליד פון דער ראַוטער נעץ, כאָטש עס איז נישט פיזיקלי אין עס.

עס איז בלויז איין קליין זאַך צו טאָן: עס איז נייטיק צו פאַרשפּרייטן IP אַדרעסעס אין פאַרשידענע אַפּאַרטמאַנץ אַזוי אַז זיי זענען נישט קאָנפליקט און קאַנפיגיער די ראָוטערס ווי OpenVPN קלייאַנץ.
די פאלגענדע ראַוטער IP אַדרעסעס און DHCP סערווער ריינדזשאַז זענען אויסגעקליבן:

• 192.168.10.1 מיט קייט 192.168.10.2 - 192.168.10.80 פֿאַר די סערווער
• 192.168.10.100 מיט קייט 192.168.10.101 - 192.168.10.149 פֿאַר די ראַוטער אין וווינונג נומ 2
• 192.168.10.150 מיט קייט 192.168.10.151 - 192.168.10.199 פֿאַר די ראַוטער אין וווינונג נומ 3

עס איז אויך נייטיק צו באַשטימען פּונקט די אַדרעסעס צו די קליענט ראָוטערס פון די OpenVPN סערווער דורך אַדינג די שורה צו זיין קאַנפיגיעריישאַן:

ifconfig-pool-persist /etc/openvpn/ipp.txt 0

און אַדינג די פאלגענדע שורות צו די /etc/openvpn/ipp.txt טעקע:

flat1_id 192.168.10.100
flat2_id 192.168.10.150

ווו flat1_id און flat2_id זענען די מיטל נעמען ספּעסיפיעד ווען קריייטינג סערטיפיקאַץ פֿאַר קאַנעקטינג צו OpenVPN

דערנאָך, OpenVPN קלייאַנץ זענען קאַנפיגיערד אויף די ראָוטערס, טאַפּ0 דעוויסעס אויף ביידע זענען צוגעגעבן צו די br-lan בריק. אין דעם בינע, אַלץ סימד צו זיין פייַן ווייַל אַלע דריי נעטוואָרקס קען זען יעדער אנדערע און אַרבעט ווי איינער. אָבער, אַ ניט זייער אָנגענעם דעטאַל ימערדזשד: מאל דעוויסעס קען באַקומען אַן IP אַדרעס נישט פֿון זייער ראַוטער, מיט אַלע די קאַנסאַקווענסאַז. פֿאַר עטלעכע סיבה, די ראַוטער אין איינער פון די אַפּאַרטמאַנץ האט נישט האָבן צייט צו ריספּאַנד צו DHCPDISCOVER אין צייט און די מיטל באקומען אַן אַדרעס וואָס איז נישט בדעה. איך איינגעזען אַז איך דאַרפֿן צו פילטער אַזאַ ריקוועס אין tap0 אויף יעדער פון די ראָוטערס, אָבער ווי עס פארקערט אויס, iptables קענען נישט אַרבעטן מיט די מיטל אויב עס איז טייל פון אַ בריק און עבטאַבלעס מוזן קומען צו מיין הילף. צו מיין באַדויערן, עס איז נישט אין מיין פירמוואַרע און איך האט צו ריבילד די בילדער פֿאַר יעדער מיטל. דורך טאן דעם און אַדינג די שורות צו /etc/rc.local פון יעדער ראַוטער, די פּראָבלעם איז סאַלווד:

ebtables -A INPUT --in-interface tap0 --protocol ipv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -A INPUT --in-interface tap0 --protocol ipv4 --ip-protocol udp --ip-source-port 67:68 -j DROP
ebtables -A FORWARD --out-interface tap0 --protocol ipv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -A FORWARD --out-interface tap0 --protocol ipv4 --ip-protocol udp --ip-source-port 67:68 -j DROP

די קאַנפיגיעריישאַן לאַסטיד פֿאַר דרייַ יאר.

טייל 2: ינטראָודוסינג WireGuard

לעצטנס, מענטשן אויף דער אינטערנעץ האָבן ינקריסינגלי אנגעהויבן צו רעדן וועגן WireGuard, אַדמיירינג די פּאַשטעס פון זייַן קאַנפיגיעריישאַן, הויך טראַנסמיסיע גיכקייַט, נידעריק פּינג מיט פאַרגלייַכלעך זיכערהייט. זוכן פֿאַר מער אינפֿאָרמאַציע וועגן עס געמאכט עס קלאָר אַז ניט ארבעטן ווי אַ בריק מיטגליד אדער ארבעטן איבער די TCP פּראָטאָקאָל איז געשטיצט דורך עס, וואָס געמאכט מיר טראַכטן אַז עס זענען נאָך קיין אַלטערנאַטיוועס צו OpenVPN פֿאַר מיר. דערפֿאַר האָב איך אָפּגעשטעלט צו וויסן WireGuard.

מיט עטלעכע טעג צוריק, די נייַעס איז פאַרשפּרייטן איבער ריסאָרסיז אין איין אָדער אנדערן וועג מיט עס אַז WireGuard לעסאָף וועט זיין אַרייַנגערעכנט אין די לינוקס קערן, סטאַרטינג מיט ווערסיע 5.6. נייַעס אַרטיקלען, ווי שטענדיק, געלויבט WireGuard. איך ווידער פּלאַנדזשד אין די זוכן פֿאַר וועגן צו פאַרבייַטן די גוט אַלט OpenVPN. דאס מאל איך געלאפן אין דעם אַרטיקל. עס האָט גערעדט וועגן קריייטינג אַן עטהערנעט טונעל איבער L3 ניצן GRE. דער אַרטיקל האט מיר האָפענונג. עס איז געבליבן ומקלאָר וואָס צו טאָן מיט די UDP פּראָטאָקאָל. די זוכן געפירט מיר צו אַרטיקלען וועגן ניצן סאָקאַט אין קאַנדזשאַנגקשאַן מיט אַ SSH טונעל צו פאָרויס אַ UDP פּאָרט, אָבער, זיי באמערקט אַז דער צוגאַנג אַרבעט בלויז אין איין קשר מאָדע, דאָס איז, די אַרבעט פון עטלעכע VPN קלייאַנץ וואָלט זיין אוממעגלעך. איך געקומען מיט דעם געדאַנק פון ינסטאָלינג אַ וופּן סערווער אויף אַ וופּס און באַשטעטיקן GRE פֿאַר קלייאַנץ, אָבער ווי עס פארקערט אויס, GRE שטיצט נישט ענקריפּשאַן, וואָס וועט פירן צו די פאַקט אַז אויב דריט פּאַרטיעס באַקומען אַקסעס צו די סערווער , אַלע פאַרקער צווישן מיין נעטוואָרקס וועט זיין אין זייער הענט, וואָס האט נישט פּאַסן מיר בייַ אַלע.

אַמאָל ווידער, דער באַשלוס איז געמאכט אין טויווע פון ​​יבעריק ענקריפּשאַן, דורך ניצן VPN איבער VPN ניצן די פאלגענדע סכעמע:

שטאַפּל XNUMX VPN:
וופּס איז סערווער מיט ינערלעך אַדרעס 192.168.30.1
MC איז קליענט וופּס מיט ינערלעך אַדרעס 192.168.30.2
MK2 איז קליענט וופּס מיט ינערלעך אַדרעס 192.168.30.3
MK3 איז קליענט וופּס מיט ינערלעך אַדרעס 192.168.30.4

צווייטע מדרגה VPN:
MC איז סערווער מיט פונדרויסנדיק אַדרעס 192.168.30.2 און ינערלעך 192.168.31.1
MK2 איז קליענט MC מיט די אַדרעס 192.168.30.2 און אַן ינערלעך IP 192.168.31.2
MK3 איז קליענט MC מיט די אַדרעס 192.168.30.2 און אַן ינערלעך IP 192.168.31.3

* MC - ראַוטער סערווער אין וווינונג 1, MK2 - ראַוטער אין וווינונג 2, MK3 - ראַוטער אין וווינונג 3
* מיטל קאַנפיגיעריישאַנז זענען ארויס אין די ספּוילער אין די סוף פון דעם אַרטיקל.

און אַזוי, פּינגס לויפן צווישן נעץ נאָודז 192.168.31.0/24, עס איז צייט צו מאַך אויף צו באַשטעטיקן אַ GRE טונעל. איידער דעם, כּדי נישט צו פאַרלירן אַקסעס צו ראָוטערס, עס איז ווערט צו שטעלן SSH טאַנאַלז צו פאָרווערדיד פּאָרט 22 צו די וופּס, אַזוי אַז, למשל, די ראַוטער פון וווינונג 10022 וועט זיין צוטריטלעך אויף פּאָרט 2 פון די וופּס, און ראַוטער פון וווינונג 11122 וועט זיין צוטריטלעך אויף פּאָרט 3 ראַוטער פון וווינונג XNUMX. עס איז בעסטער צו קאַנפיגיער פאָרווערדינג ניצן די זעלבע ששטוננעל, ווייַל עס וועט ומקערן דעם טונעל אויב עס פיילז.

דער טונעל איז קאַנפיגיערד, איר קענען פאַרבינדן צו SSH דורך די פאָרווערדיד פּאָרט:

ssh root@МОЙ_VPS -p 10022

דערנאָך איר זאָל דיסייבאַל OpenVPN:

/etc/init.d/openvpn stop

איצט לאָמיר שטעלן אַ GRE טונעל אויף די ראַוטער פֿון וווינונג 2:

ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.2
ip link set grelan0 up

און לייג די באשאפן צובינד צו די בריק:

brctl addif br-lan grelan0

לאָמיר דורכפירן אַ ענלעך פּראָצעדור אויף די סערווער ראַוטער:

ip link add grelan0 type gretap remote 192.168.31.2 local 192.168.31.1
ip link set grelan0 up

און אויך לייגן די באשאפן צובינד צו די בריק:

brctl addif br-lan grelan0

סטאַרטינג פון דעם מאָמענט, פּינגס אָנהייבן צו הצלחה גיין צו די נייַ נעץ און איך, מיט צופֿרידנקייט, גיין צו טרינקען קאַווע. דערנאָך, צו אָפּשאַצן ווי די נעץ אַרבעט אויף די אנדערע סוף פון די שורה, איך פּרובירן צו SSH אין איינער פון די קאָמפּיוטערס אין וווינונג 2, אָבער דער ssh קליענט פריזיז אָן פּראַמפּטינג אַ פּאַראָל. איך פּרוּווט צו פאַרבינדן צו דעם קאָמפּיוטער דורך טעלנעט אויף פּאָרט 22 און איך זען אַ שורה פון וואָס איך קענען פֿאַרשטיין אַז די קשר איז געגרינדעט, די SSH סערווער ריספּאַנדז, אָבער פֿאַר עטלעכע סיבה עס נאָר נישט פרעגן מיר צו קלאָץ. אין.

$ telnet 192.168.10.110 22
SSH-2.0-OpenSSH_8.1

איך בין טריינג צו פאַרבינדן צו עס דורך VNC און זען אַ שוואַרץ פאַרשטעלן. איך איבערצייגן זיך אַז די פּראָבלעם איז מיט די ווייַט קאָמפּיוטער, ווייַל איך קענען לייכט פאַרבינדן צו די ראַוטער פון דעם וווינונג מיט די ינערלעך אַדרעס. אָבער, איך באַשליסן צו פאַרבינדן צו די SSH פון דעם קאָמפּיוטער דורך די ראַוטער און איך בין סאַפּרייזד צו געפֿינען אַז די קשר איז געראָטן, און די ווייַט קאָמפּיוטער אַרבעט גאַנץ נאָרמאַל, אָבער עס קען נישט פאַרבינדן צו מיין קאָמפּיוטער.

איך אַראָפּנעמען די גרעלאַנ0 מיטל פון די בריק און לויפן OpenVPN אויף די ראַוטער אין וווינונג 2 און מאַכן זיכער אַז די נעץ אַרבעט ווי דערוואַרט ווידער און די קאַנעקשאַנז זענען נישט דראַפּט. דורך זוכן קום איך אויף פארומס וואו מען באַקלאָגט זיך אויף די זעלבע פראבלעמען, וואו מען ווערט רעאגירט אויפצוהערן דעם MTU. ניט גיכער געזאגט ווי געשען. אָבער, ביז די MTU איז געווען באַשטימט הויך גענוג - 7000 פֿאַר גרעטאַפּ דעוויסעס, אָדער דראַפּט טקפּ קאַנעקשאַנז אָדער נידעריק אַריבערפירן רייץ זענען באמערקט. רעכט צו דער הויך MTU פֿאַר גרעטאַפּ, די MTUs פֿאַר Layer 8000 און Layer 7500 WireGuard קאַנעקשאַנז זענען באַשטימט צו XNUMX און XNUMX ריספּעקטיוולי.

איך האָב דורכגעקאָכט אַן ענלעכע סעטאַפּ אויף די ראַוטער פֿון וווינונג 3, מיט דער בלויז חילוק איז אַז אַ צווייט גרעטאַפּ צובינד געהייסן grelan1 איז צוגעגעבן צו די סערווער ראַוטער, וואָס איז אויך צוגעגעבן צו די br-lan בריק.

אַלץ אַרבעט. איצט איר קענען שטעלן די גרעטאַפּ פֿאַרזאַמלונג אין סטאַרטאַפּ. פֿאַר דעם:

איך שטעלן די שורות אין /etc/rc.local אויף די ראַוטער אין וווינונג 2:

ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.2
ip link set dev grelan0 mtu 7000
ip link set grelan0 up
brctl addif br-lan grelan0

צוגעגעבן דעם צו /etc/rc.local אויף די ראַוטער אין וווינונג 3:

ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.3
ip link set dev grelan0 mtu 7000
ip link set grelan0 up
brctl addif br-lan grelan0

און אויף די סערווער ראַוטער:

ip link add grelan0 type gretap remote 192.168.31.2 local 192.168.31.1
ip link set dev grelan0 mtu 7000
ip link set grelan0 up
brctl addif br-lan grelan0

ip link add grelan1 type gretap remote 192.168.31.3 local 192.168.31.1
ip link set dev grelan1 mtu 7000
ip link set grelan1 up
brctl addif br-lan grelan1

נאָך רעבאָאָטינג די קליענט ראָוטערס, איך דיסקאַווערד אַז פֿאַר עטלעכע סיבה זיי זענען נישט קאַנעקטינג צו די סערווער. נאָך קאָננעקטעד צו זייער SSH (צום גליק, איך האט פריער קאַנפיגיערד sshtunnel פֿאַר דעם), עס איז געווען דיסקאַווערד אַז WireGuard פֿאַר עטלעכע סיבה איז געווען קריייטינג אַ מאַרשרוט פֿאַר די ענדפּוינט, אָבער עס איז פאַלש. אַזוי, פֿאַר 192.168.30.2, דער מאַרשרוט טיש האָט אָנגעוויזן אַ מאַרשרוט דורך די pppoe-wan צובינד, דאָס איז, דורך דער אינטערנעץ, כאָטש דער מאַרשרוט צו עס זאָל זיין ראַוטיד דורך די wg0 צובינד. נאָך דיליטינג דעם מאַרשרוט, די קשר איז געזונט. איך קען נישט געפֿינען אינסטרוקציעס ערגעץ ווי צו צווינגען WireGuard נישט צו שאַפֿן די רוץ. דערצו, איך האט נישט אפילו פֿאַרשטיין צי דאָס איז געווען אַ שטריך פון OpenWRT אָדער WireGuard זיך. אָן האָבן צו האַנדלען מיט דעם פּראָבלעם פֿאַר אַ לאַנג צייַט, איך פשוט צוגעגעבן אַ שורה צו ביידע ראָוטערס אין אַ טיימד שריפט וואָס אויסגעמעקט דעם מאַרשרוט:

route del 192.168.30.2

סאַמערייזינג

איך האָבן נישט נאָך אַטשיווד אַ גאַנץ פאַרלאָזן פון OpenVPN, ווייַל איך מאל דאַרפֿן צו פאַרבינדן צו אַ נייַ נעץ פֿון אַ לאַפּטאַפּ אָדער טעלעפאָן, און באַשטעטיקן אַ גרוטאַפּ מיטל אויף זיי איז בכלל אוממעגלעך, אָבער טראָץ דעם, איך האָבן אַ מייַלע אין די גיכקייַט. פון דאַטן אַריבערפירן צווישן אַפּאַרטמאַנץ און, פֿאַר בייַשפּיל, ניצן VNC איז ניט מער ומבאַקוועם. פּינג דיקריסט אַ ביסל, אָבער געווארן מער סטאַביל:

ווען ניצן OpenVPN:

[r0ck3r@desktop ~]$ ping -c 20 192.168.10.110
PING 192.168.10.110 (192.168.10.110) 56(84) bytes of data.
64 bytes from 192.168.10.110: icmp_seq=1 ttl=64 time=133 ms
...
64 bytes from 192.168.10.110: icmp_seq=20 ttl=64 time=125 ms

--- 192.168.10.110 ping statistics ---
20 packets transmitted, 20 received, 0% packet loss, time 19006ms
rtt min/avg/max/mdev = 124.722/126.152/136.907/3.065 ms

ווען ניצן WireGuard:

[r0ck3r@desktop ~]$ ping -c 20 192.168.10.110
PING 192.168.10.110 (192.168.10.110) 56(84) bytes of data.
64 bytes from 192.168.10.110: icmp_seq=1 ttl=64 time=124 ms
...
64 bytes from 192.168.10.110: icmp_seq=20 ttl=64 time=124 ms
--- 192.168.10.110 ping statistics ---
20 packets transmitted, 20 received, 0% packet loss, time 19003ms
rtt min/avg/max/mdev = 123.954/124.423/126.708/0.675 ms

עס איז מער אַפעקטאַד דורך די הויך פּינג צו די VPS, וואָס איז בעערעך 61.5 מיז

אָבער, די גיכקייַט האט געוואקסן באטייטיק. אַזוי, אין אַ וווינונג מיט אַ סערווער ראַוטער איך האָבן אַ אינטערנעט פֿאַרבינדונג גיכקייַט פון 30 מביט / סעק, און אין אנדערע אַפּאַרטמאַנץ עס איז 5 מביט / סעק. אין דער זעלביקער צייט, בשעת איך נוצן OpenVPN, איך קען נישט דערגרייכן אַ דאַטן אַריבערפירן גיכקייַט צווישן נעטוואָרקס פון מער ווי 3,8 מביט / סעק לויט iperf רידינגז, בשעת WireGuard "בוסטיד" עס צו די זעלבע 5 מביט / סעק.

WireGuard קאַנפיגיעריישאַן אויף VPS[Interface] Address = 192.168.30.1/24
ListenPort = 51820
PrivateKey = <ЗАКРЫТЫЙ_КЛЮЧ_ДЛЯ_VPS>

[Peer] PublicKey = <ОТКРЫТЫЙ_КЛЮЧ_VPN_1_МС>
AllowedIPs = 192.168.30.2/32

[Peer] PublicKey = <ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МК2>
AllowedIPs = 192.168.30.3/32

[Peer] PublicKey = <ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МК3>
AllowedIPs = 192.168.30.4/32

WireGuard קאַנפיגיעריישאַן אויף MS (צוגעלייגט צו /etc/config/נעטוואָרק)

#VPN первого уровня - клиент
config interface 'wg0'
        option proto 'wireguard'
        list addresses '192.168.30.2/24'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_1_МС'
        option auto '1'
        option mtu '8000'

config wireguard_wg0
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_1_VPS'
        option endpoint_port '51820'
        option route_allowed_ips '1'
        option persistent_keepalive '25'
        list allowed_ips '192.168.30.0/24'
        option endpoint_host 'IP_АДРЕС_VPS'

#VPN второго уровня - сервер
config interface 'wg1'
        option proto 'wireguard'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_2_МС'
        option listen_port '51821'
        list addresses '192.168.31.1/24'
        option auto '1'
        option mtu '7500'

config wireguard_wg1
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МК2'
        list allowed_ips '192.168.31.2'

config wireguard_wg1ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.3

        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МК3'
        list allowed_ips '192.168.31.3'

WireGuard קאַנפיגיעריישאַן אויף MK2 (צוגעלייגט צו /etc/config/נעטוואָרק)

#VPN первого уровня - клиент
config interface 'wg0'
        option proto 'wireguard'
        list addresses '192.168.30.3/24'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_1_МК2'
        option auto '1'
        option mtu '8000'

config wireguard_wg0
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_1_VPS'
        option endpoint_port '51820'
        option persistent_keepalive '25'
        list allowed_ips '192.168.30.0/24'
        option endpoint_host 'IP_АДРЕС_VPS'

#VPN второго уровня - клиент
config interface 'wg1'
        option proto 'wireguard'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_2_МК2'
        list addresses '192.168.31.2/24'
        option auto '1'
        option listen_port '51821'
        option mtu '7500'

config wireguard_wg1
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МС'
        option endpoint_host '192.168.30.2'
        option endpoint_port '51821'
        option persistent_keepalive '25'
        list allowed_ips '192.168.31.0/24'

WireGuard קאַנפיגיעריישאַן אויף MK3 (צוגעלייגט צו /etc/config/נעטוואָרק)

#VPN первого уровня - клиент
config interface 'wg0'
        option proto 'wireguard'
        list addresses '192.168.30.4/24'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_1_МК3'
        option auto '1'
        option mtu '8000'

config wireguard_wg0
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_1_VPS'
        option endpoint_port '51820'
        option persistent_keepalive '25'
        list allowed_ips '192.168.30.0/24'
        option endpoint_host 'IP_АДРЕС_VPS'

#VPN второго уровня - клиент
config interface 'wg1'
        option proto 'wireguard'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_2_МК3'
        list addresses '192.168.31.3/24'
        option auto '1'
        option listen_port '51821'
        option mtu '7500'

config wireguard_wg1
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МС'
        option endpoint_host '192.168.30.2'
        option endpoint_port '51821'
        option persistent_keepalive '25'
        list allowed_ips '192.168.31.0/24'

אין די דיסקרייבד קאַנפיגיעריישאַנז פֿאַר צווייט-מדרגה וופּן, איך פונט WireGuard קלייאַנץ צו פּאָרט 51821. אין טעאָריע, דאָס איז ניט נייטיק, זינט דער קליענט וועט פאַרלייגן אַ קשר פון קיין פריי אַנפּריווילאַדזשד פּאָרט, אָבער איך געמאכט עס אַזוי אַז עס איז מעגלעך צו פאַרווערן אַלע ינקאַמינג קאַנעקשאַנז אויף די wg0 ינטערפייסיז פון אַלע ראָוטערס אַחוץ ינקאַמינג UDP קאַנעקשאַנז צו פּאָרט 51821.

איך האָפֿן אַז דער אַרטיקל וועט זיין נוציק פֿאַר עמעצער.

פּס אויך, איך ווילן צו טיילן מיין שריפט וואָס סענדז מיר אַ PUSH אָנזאָג צו מיין טעלעפאָן אין די WirePusher אַפּלאַקיישאַן ווען אַ נייַע מיטל איז ארויס אויף מיין נעץ. דאָ איז די לינק צו די שריפט: github.com/r0ck3r/device_discover.

דערהייַנטיקן: קאַנפיגיעריישאַן פון OpenVPN סערווער און קלייאַנץ

OpenVPN סערווער

client-to-client

ca /etc/openvpn/server/ca.crt
cert /etc/openvpn/server/vpn-server.crt
dh /etc/openvpn/server/dh.pem
key /etc/openvpn/server/vpn-server.key

dev tap
ifconfig-pool-persist /etc/openvpn/ipp.txt 0
keepalive 10 60
proto tcp4
server-bridge 192.168.10.1 255.255.255.0 192.168.10.80 192.168.10.254
status /var/log/openvpn-status.log
verb 3
comp-lzo

OpenVPN קליענט

client
tls-client
dev tap
proto tcp
remote VPS_IP 1194 # Change to your router's External IP
resolv-retry infinite
nobind

ca client/ca.crt
cert client/client.crt
key client/client.key
dh client/dh.pem

comp-lzo
persist-tun
persist-key
verb 3

איך געוויינט easy-rsa צו דזשענערייט סערטיפיקאַץ

מקור: www.habr.com