פּערכאָד ס OpenVPN אויף WireGuard צו פֿאַראייניקן נעטוואָרקס אין איין L2 נעטוואָרק

איך וואָלט ווי צו טיילן מיין דערפאַרונג פון קאַמביינינג נעטוואָרקס אין דריי דזשיאַגראַפיקלי ווייַט אַפּאַרטמאַנץ, יעדער פון וואָס ניצט ראָוטערס מיט OpenWRT ווי אַ גייטוויי, אין איין פּראָסט נעץ. ווען טשוזינג אַ אופֿן פֿאַר קאַמביינינג נעטוואָרקס צווישן L3 מיט סובנעט רוטינג און L2 מיט ברידזשינג, ווען אַלע נעץ נאָודז וועט זיין אין דער זעלביקער סובנעט, ייבערהאַנט איז געגעבן צו די רגע אופֿן, וואָס איז מער שווער צו קאַנפיגיער, אָבער גיט גרעסערע אַפּערטונאַטיז, זינט די טראַנספּעראַנט נוצן פון טעקנאַלאַדזשיז איז געווען פּלאַננעד אין די נעץ וואָס איז באשאפן Wake-on-Lan און DLNA.

טייל 1: הינטערגרונט

דער פּראָטאָקאָל אויסגעקליבן צו דורכפירן די דאָזיקע אויפגאַבע איז געווען אָנהייב OpenVPN, ווייל, ערשטנס, קען עס שאַפֿן אַ צאַפּן-אַפּאַראַט וואָס מען קען צולייגן צום בריק אָן קיין פּראָבלעמען, און צווייטנס, OpenVPN עס שטיצט TCP, וואָס איז אויך געווען וויכטיק, ווייל קיין איינע פון ​​די דירות האט נישט געהאט קיין באַזונדערע IP אַדרעס. איך קען נישט נוצן STUN ווייל מיין ISP, פֿאַר עפעס אַ סיבה, בלאָקירט אַרײַנקומענדיקע UDP פֿאַרבינדונגען פֿון אירע נעטוואָרקס. TCP האָט מיר דערלויבט צו פֿאָרווערדן דעם VPN סערווער פּאָרט צום געדינגענעם VPS ניצנדיק SSH. כאָטש דער צוגאַנג שאַפֿט אַ באַדײַטנדיקן אָוווערכעד, ווייל די דאַטן זענען טאָפּלט-ענקריפּטעד, האָב איך נישט געוואָלט אינטעגרירן דעם VPS אין מיין פּריוואַטן נעטוואָרק, ווייל עס איז געווען אַ ריזיקע אַז דריטע פּאַרטייען זאָלן באַקומען קאָנטראָל איבער אים. דעריבער, האָבן אַזאַ אַ מיטל אויף מיין היים נעטוואָרק איז געווען זייער נישט געוואונטשן, אַזוי איך האָב באַשלאָסן צו צאָלן אַ באַדײַטנדיקן אָוווערכעד פֿאַר זיכערהייט.

צו פאָרווערדן דעם פּאָרט אויף דעם ראַוטער וואו דער סערווער איז געווען פּלאַנירט צו ווערן דיפּלוייד, האָב איך גענוצט די sshtunnel פּראָגראַם. איך וועל נישט אַרײַנגיין אין די פרטים פון איר קאָנפיגוראַציע - עס איז גאַנץ גרינג. איך וועל נאָר באַמערקן אַז איר צוועק איז געווען צו פאָרווערדן TCP פּאָרט 1194 פֿון דעם ראַוטער צום VPS. דערנאָך, האָב איך קאָנפיגורירט דעם סערווער. OpenVPN אויף דעם tap0 דעווייס, וואס איז געווען פארבונדן צום br-lan בריק. נאכדעם וואס איך האב געטעסט די פארבינדונג צום ניי-געשאפענעם סערווער פון מיין לעפטאפ, איז עס קלאר געווארן אז די פארט פארווערדינג געדאנק האט געארבעט, און מיין לעפטאפ איז געווארן א מיטגליד פונעם ראוטער'ס נעטווארק, כאטש עס איז נישט געווען פיזיש א טייל דערפון.

דאָס איינציקע וואָס איז געבליבן צו טאָן איז געווען צו פֿאַרטיילן IP אַדרעסן אין פֿאַרשידענע וווינונגען אַזוי אַז זיי זאָלן נישט קאָנפליקטירן און קאָנפֿיגורירן די ראָוטערס ווי OpenVPN-קליענטן.
די פאלגענדע ראַוטער IP אַדרעסעס און DHCP סערווער ריינדזשאַז זענען אויסגעקליבן:

• 192.168.10.1 מיט קייט 192.168.10.2 - 192.168.10.80 פֿאַר די סערווער
• 192.168.10.100 מיט קייט 192.168.10.101 - 192.168.10.149 פֿאַר די ראַוטער אין וווינונג נומ 2
• 192.168.10.150 מיט קייט 192.168.10.151 - 192.168.10.199 פֿאַר די ראַוטער אין וווינונג נומ 3

עס איז אויך געווען נייטיק צו צוטיילן די אַדרעסן צו די קליענט ראָוטערס. OpenVPN-סערווער, דורך צולייגן די פאלגענדע שורה צו זיין קאנפיגוראציע:

ifconfig-pool-persist /etc/openvpn/ipp.txt 0

און אַדינג די פאלגענדע שורות צו די /etc/openvpn/ipp.txt טעקע:

flat1_id 192.168.10.100
flat2_id 192.168.10.150

וואו flat1_id און flat2_id זענען די דעווייס נעמען וואס זענען ספעציפירט ווען מען שאפט סערטיפיקאטן פארן זיך פארבינדן צו OpenVPN

דערנאך, די ראָוטערס זענען קאָנפיגורירט געוואָרן OpenVPN- קליענטן, tap0 דעווייסעס אויף ביידע זענען צוגעגעבן געווארן צום br-lan בריק. אין דעם פונקט, האט אלעס אויסגעזען גוט, ווייל אלע דריי נעטוואורקס האבן געקענט זען איינער דעם אנדערן און פונקציאנירן אלס איין איינהייט. אבער, א גאנץ אומאנגענעמע דעטאל איז ארויסגעקומען: מאנchmal האבן דעווייסעס באקומען אן IP אדרעס פון דעם אומרעכטן ראוטער, מיט אלע נאכפאלגנדע קאנסעקווענצן. פאר עפעס א סיבה, האט דער ראוטער אין איינע פון ​​די דירות נישט געקענט רעאגירן צו DHCPDISCOVER אין צייט, און דער דעווייס האט באקומען דעם אומרעכטן אדרעס. איך האב איינגעזען אז איך דארף פילטערן אזעלכע פארלאנגען אין tap0 אויף יעדן ראוטער, אבער ווי עס האט זיך ארויסגעשטעלט, קענען iptables נישט ארבעטן מיט א דעווייס אויב עס איז טייל פון א בריק, האב איך געדארפט ניצן ebtables. ליידער, האט מיין פירמווער עס נישט אריינגענומען, האב איך געדארפט איבערבויען די בילדער פאר יעדן דעווייס. נאכדעם וואס איך האב דאס געטאן און צוגעלייגט די פאלגנדע שורות צו /etc/rc.local אויף יעדן ראוטער, איז די פראבלעם געלעזט געווארן:

ebtables -A INPUT --in-interface tap0 --protocol ipv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -A INPUT --in-interface tap0 --protocol ipv4 --ip-protocol udp --ip-source-port 67:68 -j DROP
ebtables -A FORWARD --out-interface tap0 --protocol ipv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -A FORWARD --out-interface tap0 --protocol ipv4 --ip-protocol udp --ip-source-port 67:68 -j DROP

די קאַנפיגיעריישאַן לאַסטיד פֿאַר דרייַ יאר.

טייל 2: באַקענען זיך WireGuard

לעצטנס ווערט מער גערעדט אויף'ן אינטערנעץ וועגן WireGuard, באַוואונדערנדיק זײַן גרינגקייט פון קאָנפיגוראַציע, הויכע טראַנספער גיכקייט, נידעריקע פינג, און פאַרגלײַכלעכע זיכערהייט. א זוכעניש פֿאַר נאָך אינפֿאָרמאַציע וועגן אים האָט אַנטפּלעקט אַז עס שטיצט נישט קיין בריק מיטגליד אָדער TCP פּראָטאָקאָל שטיצע, וואָס האָט מיך געפֿירט צו גלויבן אַז עס איז נישטאָ קיין אַלטערנאַטיוו. OpenVPN פֿאַר מיר איז עס נאָך אַלץ נישט דאָרט. אַזוי איך האָב אָפּגעשטעלט צו באַקענען זיך WireGuard.

פאר א פאר טעג צוריק, האבן זיך נייעס פארשפרייט דורך רעסורסן פארבונדן מיט אינפארמאציע טעכנאלאגיע אויף איין אדער אנדערן וועג, אז WireGuard וועט ענדלעך אריינגערעכנט ווערן אין דעם קערנעל Linux, אָנהייבנדיק מיט ווערסיע 5.6. נייעס אַרטיקלען, ווי שטענדיק, זענען געלויבט געוואָרן. WireGuardאיך בין נאכאמאל אריינגעפאלן אין זוכן וועגן צו פארטרעטן דאס גוטע אלטע OpenVPNדאס מאָל בין איך אריינגעלאפן אין דעם אַרטיקל. עס האָט גערעדט וועגן קריייטינג אַן עטהערנעט טונעל איבער L3 ניצן GRE. דער אַרטיקל האט מיר האָפענונג. עס איז געבליבן ומקלאָר וואָס צו טאָן מיט די UDP פּראָטאָקאָל. די זוכן געפירט מיר צו אַרטיקלען וועגן ניצן סאָקאַט אין קאַנדזשאַנגקשאַן מיט אַ SSH טונעל צו פאָרויס אַ UDP פּאָרט, אָבער, זיי באמערקט אַז דער צוגאַנג אַרבעט בלויז אין איין קשר מאָדע, דאָס איז, די אַרבעט פון עטלעכע VPN קלייאַנץ וואָלט זיין אוממעגלעך. איך געקומען מיט דעם געדאַנק פון ינסטאָלינג אַ וופּן סערווער אויף אַ וופּס און באַשטעטיקן GRE פֿאַר קלייאַנץ, אָבער ווי עס פארקערט אויס, GRE שטיצט נישט ענקריפּשאַן, וואָס וועט פירן צו די פאַקט אַז אויב דריט פּאַרטיעס באַקומען אַקסעס צו די סערווער , אַלע פאַרקער צווישן מיין נעטוואָרקס וועט זיין אין זייער הענט, וואָס האט נישט פּאַסן מיר בייַ אַלע.

אַמאָל ווידער, דער באַשלוס איז געמאכט אין טויווע פון ​​יבעריק ענקריפּשאַן, דורך ניצן VPN איבער VPN ניצן די פאלגענדע סכעמע:

שטאַפּל XNUMX VPN:
וופּס איז סערווער מיט ינערלעך אַדרעס 192.168.30.1
MC איז קליענט וופּס מיט ינערלעך אַדרעס 192.168.30.2
MK2 איז קליענט וופּס מיט ינערלעך אַדרעס 192.168.30.3
MK3 איז קליענט וופּס מיט ינערלעך אַדרעס 192.168.30.4

צווייטע מדרגה VPN:
MC איז סערווער מיט פונדרויסנדיק אַדרעס 192.168.30.2 און ינערלעך 192.168.31.1
MK2 איז קליענט MC מיט די אַדרעס 192.168.30.2 און אַן ינערלעך IP 192.168.31.2
MK3 איז קליענט MC מיט די אַדרעס 192.168.30.2 און אַן ינערלעך IP 192.168.31.3

* MC - ראַוטער סערווער אין וווינונג 1, MK2 - ראַוטער אין וווינונג 2, MK3 - ראַוטער אין וווינונג 3
* מיטל קאַנפיגיעריישאַנז זענען ארויס אין די ספּוילער אין די סוף פון דעם אַרטיקל.

און אַזוי, פּינגס לויפן צווישן נעץ נאָודז 192.168.31.0/24, עס איז צייט צו מאַך אויף צו באַשטעטיקן אַ GRE טונעל. איידער דעם, כּדי נישט צו פאַרלירן אַקסעס צו ראָוטערס, עס איז ווערט צו שטעלן SSH טאַנאַלז צו פאָרווערדיד פּאָרט 22 צו די וופּס, אַזוי אַז, למשל, די ראַוטער פון וווינונג 10022 וועט זיין צוטריטלעך אויף פּאָרט 2 פון די וופּס, און ראַוטער פון וווינונג 11122 וועט זיין צוטריטלעך אויף פּאָרט 3 ראַוטער פון וווינונג XNUMX. עס איז בעסטער צו קאַנפיגיער פאָרווערדינג ניצן די זעלבע ששטוננעל, ווייַל עס וועט ומקערן דעם טונעל אויב עס פיילז.

דער טונעל איז קאַנפיגיערד, איר קענען פאַרבינדן צו SSH דורך די פאָרווערדיד פּאָרט:

ssh root@МОЙ_VPS -p 10022

ווייטער זאָלסטו אויסלעשן OpenVPN:

/etc/init.d/openvpn stop

איצט לאָמיר שטעלן אַ GRE טונעל אויף די ראַוטער פֿון וווינונג 2:

ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.2
ip link set grelan0 up

און לייג די באשאפן צובינד צו די בריק:

brctl addif br-lan grelan0

לאָמיר דורכפירן אַ ענלעך פּראָצעדור אויף די סערווער ראַוטער:

ip link add grelan0 type gretap remote 192.168.31.2 local 192.168.31.1
ip link set grelan0 up

און אויך לייגן די באשאפן צובינד צו די בריק:

brctl addif br-lan grelan0

סטאַרטינג פון דעם מאָמענט, פּינגס אָנהייבן צו הצלחה גיין צו די נייַ נעץ און איך, מיט צופֿרידנקייט, גיין צו טרינקען קאַווע. דערנאָך, צו אָפּשאַצן ווי די נעץ אַרבעט אויף די אנדערע סוף פון די שורה, איך פּרובירן צו SSH אין איינער פון די קאָמפּיוטערס אין וווינונג 2, אָבער דער ssh קליענט פריזיז אָן פּראַמפּטינג אַ פּאַראָל. איך פּרוּווט צו פאַרבינדן צו דעם קאָמפּיוטער דורך טעלנעט אויף פּאָרט 22 און איך זען אַ שורה פון וואָס איך קענען פֿאַרשטיין אַז די קשר איז געגרינדעט, די SSH סערווער ריספּאַנדז, אָבער פֿאַר עטלעכע סיבה עס נאָר נישט פרעגן מיר צו קלאָץ. אין.

$ telnet 192.168.10.110 22
SSH-2.0-OpenSSH_8.1

איך בין טריינג צו פאַרבינדן צו עס דורך VNC און זען אַ שוואַרץ פאַרשטעלן. איך איבערצייגן זיך אַז די פּראָבלעם איז מיט די ווייַט קאָמפּיוטער, ווייַל איך קענען לייכט פאַרבינדן צו די ראַוטער פון דעם וווינונג מיט די ינערלעך אַדרעס. אָבער, איך באַשליסן צו פאַרבינדן צו די SSH פון דעם קאָמפּיוטער דורך די ראַוטער און איך בין סאַפּרייזד צו געפֿינען אַז די קשר איז געראָטן, און די ווייַט קאָמפּיוטער אַרבעט גאַנץ נאָרמאַל, אָבער עס קען נישט פאַרבינדן צו מיין קאָמפּיוטער.

איך נעעם ארויס דעם grelan0 דעווייס פונעם בריק און לאז עס לויפן OpenVPN אויפן ראוטער אין דירה 2, האב איך באשטעטיקט אז די נעץ ארבעט ווידער ריכטיג און די קאנעקשאנס פאלן נישט אפ. זוכענדיג, בין איך געטראפן פארומס וואו מענטשן האבן זיך באקלאגט אויף די זעלבע פראבלעמען, און וואו מען האט זיי געראטן צו העכערן די MTU. קוים געזאגט ווי געטאן. אבער, ביז די MTU איז געווען געשטעלט הויך גענוג - 7000 פאר גרעטאפ דעווייסעס - האב איך דערפארן אדער פארלוירענע TCP קאנעקשאנס אדער נידעריגע טראנספער גיכקייטן. צוליב די הויכע MTU פאר גרעטאפ, די MTU פאר קאנעקשאנס... WireGuard די ערשטע און צווייטע לעוועלס זענען באַשטימט געוואָרן אויף 8000 און 7500 בהתאמה.

איך האָב דורכגעקאָכט אַן ענלעכע סעטאַפּ אויף די ראַוטער פֿון וווינונג 3, מיט דער בלויז חילוק איז אַז אַ צווייט גרעטאַפּ צובינד געהייסן grelan1 איז צוגעגעבן צו די סערווער ראַוטער, וואָס איז אויך צוגעגעבן צו די br-lan בריק.

אַלץ אַרבעט. איצט איר קענען שטעלן די גרעטאַפּ פֿאַרזאַמלונג אין סטאַרטאַפּ. פֿאַר דעם:

איך שטעלן די שורות אין /etc/rc.local אויף די ראַוטער אין וווינונג 2:

ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.2
ip link set dev grelan0 mtu 7000
ip link set grelan0 up
brctl addif br-lan grelan0

צוגעגעבן דעם צו /etc/rc.local אויף די ראַוטער אין וווינונג 3:

ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.3
ip link set dev grelan0 mtu 7000
ip link set grelan0 up
brctl addif br-lan grelan0

און אויף די סערווער ראַוטער:

ip link add grelan0 type gretap remote 192.168.31.2 local 192.168.31.1
ip link set dev grelan0 mtu 7000
ip link set grelan0 up
brctl addif br-lan grelan0

ip link add grelan1 type gretap remote 192.168.31.3 local 192.168.31.1
ip link set dev grelan1 mtu 7000
ip link set grelan1 up
brctl addif br-lan grelan1

נאכדעם וואס איך האב ריסטארט די קליענט ראוטערס, האב איך אנטדעקט אז פאר עפעס א סיבה האבן זיי זיך נישט פארבונדן צום סערווער. נאכדעם וואס איך האב זיך פארבונדן צו זייער SSH (צומ גליק, האב איך פריער קאנפיגורירט sshtunnel דערפאר), האב איך אנטדעקט אז WireGuard פֿאַר עפעס אַ סיבה, שאַפֿט עס אַ רוט פֿאַר דעם ענדפּונקט, אָבער עס איז נישט ריכטיק. למשל, פֿאַר 192.168.30.2, האָט די רוט טאַבעלע ספּעציפֿיצירט אַ רוט דורך דעם pppoe-wan אינטערפֿייס, ד.ה. דורך דעם אינטערנעט, כאָטש דער רוט צו אים זאָל האָבן געפירט געוואָרן דורך דעם wg0 אינטערפֿייס. נאָך דעם ווי איך האָב אויסגעמעקט דעם רוט, איז די פֿאַרבינדונג צוריקגעשטעלט געוואָרן. קען איך געפֿינען אינסטרוקציעס ערגעץ ווי אַזוי צו צווינגען WireGuard איך האָב נישט געקענט אויסמיידן צו שאַפֿן די רוטעס. דערצו, האָב איך ניט אַפֿילו פֿאַרשטאַנען צי דאָס איז אַ פֿונקציע פֿון OpenWRT צי פֿון די WireGuardאָן צו פֿאַרברענגען אַ סך צײַט צו פֿאַרשטיין דאָס פּראָבלעם, האָב איך פשוט צוגעגעבן אַ שורה צום טײַמער-לופּ סקריפּט אויף ביידע ראָוטערס וואָס האָבן אויסגעמעקט דעם רוט:

route del 192.168.30.2

סאַמערייזינג

גאַנץ אָפּוואַרף OpenVPN איך האב דאס נאכנישט דערגרייכט, ווייל איך דארף מאנchmal זיך פארבינדן צו א נייעם נעטווארק פון א לעפטאפ אדער טעלעפאן, און אויפשטעלן א גרעטאפּ דעווייס אויף זיי איז בכלל נישט מעגלעך. אבער, טראץ דעם, האב איך באקומען א פארטייל אין דאטן טראנספער גיכקייט צווישן דירות, און ניצן VNC, למשל, איז יעצט אן קיין פראבלעמען. פינג איז אביסל געפאלן אבער איז געווארן מער סטאביל:

ווען ניצן OpenVPN:

[r0ck3r@desktop ~]$ ping -c 20 192.168.10.110
PING 192.168.10.110 (192.168.10.110) 56(84) bytes of data.
64 bytes from 192.168.10.110: icmp_seq=1 ttl=64 time=133 ms
...
64 bytes from 192.168.10.110: icmp_seq=20 ttl=64 time=125 ms

--- 192.168.10.110 ping statistics ---
20 packets transmitted, 20 received, 0% packet loss, time 19006ms
rtt min/avg/max/mdev = 124.722/126.152/136.907/3.065 ms

ווען ניצן WireGuard:

[r0ck3r@desktop ~]$ ping -c 20 192.168.10.110
PING 192.168.10.110 (192.168.10.110) 56(84) bytes of data.
64 bytes from 192.168.10.110: icmp_seq=1 ttl=64 time=124 ms
...
64 bytes from 192.168.10.110: icmp_seq=20 ttl=64 time=124 ms
--- 192.168.10.110 ping statistics ---
20 packets transmitted, 20 received, 0% packet loss, time 19003ms
rtt min/avg/max/mdev = 123.954/124.423/126.708/0.675 ms

עס איז מער אַפעקטאַד דורך די הויך פּינג צו די VPS, וואָס איז בעערעך 61.5 מיז

אבער, די שנעלקייט האט זיך באדייטנד פארגרעסערט. אזוי, אין דער וואוינונג מיטן ראוטער-סערווער, האב איך אן אינטערנעט קאנעקשאן שנעלקייט פון 30 מעגאביטסביט, און אין די אנדערע וואוינונגען איז עס 5 מעגאביטסביט. דערצו, בעתן באנוץ OpenVPN איך בין נישט געווען ביכולת צו דערגרייכן א דאטן טראנספער גיכקייט צווישן נעטוואָרקס גרעסער ווי 3,8 Mbps לויט iperf לייענונגען, בשעת WireGuard "געפאמפעט" עס ארויף צו די זעלבע 5 מעביט/סעק.

קאָנפיגוראַטיאָן WireGuard אויף VPS[Interface]
Address = 192.168.30.1/24
ListenPort = 51820
PrivateKey = <ЗАКРЫТЫЙ_КЛЮЧ_ДЛЯ_VPS>

[ייַנקוקנ זיך]
פובליק קי = <VPN_1_MS_PUBLIC_KEY>
אַללאָוועדיפּס = 192.168.30.2/32

[ייַנקוקנ זיך]
פובליק קי = <VPN_2_MK2_PUBLIC_KEY>
אַללאָוועדיפּס = 192.168.30.3/32

[ייַנקוקנ זיך]
פובליק קי = <VPN_2_MK3_PUBLIC_KEY>
אַללאָוועדיפּס = 192.168.30.4/32

קאָנפיגוראַטיאָן WireGuard אויף MS (צוגעלייגט צו /etc/config/network)

#VPN первого уровня - клиент
config interface 'wg0'
        option proto 'wireguard'
        list addresses '192.168.30.2/24'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_1_МС'
        option auto '1'
        option mtu '8000'

config wireguard_wg0
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_1_VPS'
        option endpoint_port '51820'
        option route_allowed_ips '1'
        option persistent_keepalive '25'
        list allowed_ips '192.168.30.0/24'
        option endpoint_host 'IP_АДРЕС_VPS'

#VPN второго уровня - сервер
config interface 'wg1'
        option proto 'wireguard'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_2_МС'
        option listen_port '51821'
        list addresses '192.168.31.1/24'
        option auto '1'
        option mtu '7500'

config wireguard_wg1
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МК2'
        list allowed_ips '192.168.31.2'

config wireguard_wg1ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.3

        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МК3'
        list allowed_ips '192.168.31.3'

קאָנפיגוראַטיאָן WireGuard אויף MK2 (צוגעלייגט צו /etc/config/network)

#VPN первого уровня - клиент
config interface 'wg0'
        option proto 'wireguard'
        list addresses '192.168.30.3/24'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_1_МК2'
        option auto '1'
        option mtu '8000'

config wireguard_wg0
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_1_VPS'
        option endpoint_port '51820'
        option persistent_keepalive '25'
        list allowed_ips '192.168.30.0/24'
        option endpoint_host 'IP_АДРЕС_VPS'

#VPN второго уровня - клиент
config interface 'wg1'
        option proto 'wireguard'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_2_МК2'
        list addresses '192.168.31.2/24'
        option auto '1'
        option listen_port '51821'
        option mtu '7500'

config wireguard_wg1
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МС'
        option endpoint_host '192.168.30.2'
        option endpoint_port '51821'
        option persistent_keepalive '25'
        list allowed_ips '192.168.31.0/24'

קאָנפיגוראַטיאָן WireGuard אויף MK3 (צוגעלייגט צו /etc/config/network)

#VPN первого уровня - клиент
config interface 'wg0'
        option proto 'wireguard'
        list addresses '192.168.30.4/24'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_1_МК3'
        option auto '1'
        option mtu '8000'

config wireguard_wg0
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_1_VPS'
        option endpoint_port '51820'
        option persistent_keepalive '25'
        list allowed_ips '192.168.30.0/24'
        option endpoint_host 'IP_АДРЕС_VPS'

#VPN второго уровня - клиент
config interface 'wg1'
        option proto 'wireguard'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_2_МК3'
        list addresses '192.168.31.3/24'
        option auto '1'
        option listen_port '51821'
        option mtu '7500'

config wireguard_wg1
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МС'
        option endpoint_host '192.168.30.2'
        option endpoint_port '51821'
        option persistent_keepalive '25'
        list allowed_ips '192.168.31.0/24'

אין די באַשריבענע קאָנפיגוראַציעס פֿאַר די צווייטע מדרגה VPN, ווײַז איך אָן צו קליענטן WireGuard פּאָרט 51821. דאָס זאָל נישט זיין נייטיק, ווײַל דער קליענט וועט אויפשטעלן אַ פֿאַרבינדונג פֿון יעדן פֿרײַען, נישט-פּריווילעגירטן פּאָרט, אָבער איך האָב עס געטאָן אויף דעם אופֿן כּדי איך זאָל קענען אָפּזאָגן אַלע אַרײַנקומענדיקע פֿאַרבינדונגען אויף די wg0 אינטערפֿייסן פֿון אַלע ראָוטערס, אַחוץ אַרײַנקומענדיקע UDP פֿאַרבינדונגען צו פּאָרט 51821.

איך האָפֿן אַז דער אַרטיקל וועט זיין נוציק פֿאַר עמעצער.

פּס אויך, איך ווילן צו טיילן מיין שריפט וואָס סענדז מיר אַ PUSH אָנזאָג צו מיין טעלעפאָן אין די WirePusher אַפּלאַקיישאַן ווען אַ נייַע מיטל איז ארויס אויף מיין נעץ. דאָ איז די לינק צו די שריפט: github.com/r0ck3r/device_discover.

דערהייַנטיקן: קאָנפיגוראַטיאָן OpenVPNסערווערס און קליענטן

OpenVPN-סערווער

client-to-client

ca /etc/openvpn/server/ca.crt
cert /etc/openvpn/server/vpn-server.crt
dh /etc/openvpn/server/dh.pem
key /etc/openvpn/server/vpn-server.key

dev tap
ifconfig-pool-persist /etc/openvpn/ipp.txt 0
keepalive 10 60
proto tcp4
server-bridge 192.168.10.1 255.255.255.0 192.168.10.80 192.168.10.254
status /var/log/openvpn-status.log
verb 3
comp-lzo

OpenVPNקליענט

client
tls-client
dev tap
proto tcp
remote VPS_IP 1194 # Change to your router's External IP
resolv-retry infinite
nobind

ca client/ca.crt
cert client/client.crt
key client/client.key
dh client/dh.pem

comp-lzo
persist-tun
persist-key
verb 3

איך געוויינט easy-rsa צו דזשענערייט סערטיפיקאַץ

מקור: www.habr.com