2つのホームLAN(100 km間隔)がインターネットプロバイダールーターを介してインターネットに接続され、2つのシングルボードコンピュータ(NanoPi R2S)を介してWireguard VPNに接続したいと思います。 NanoPi R2Sボードにはarmbianとwireguardがすでにインストールされています。
インターネット接続の1つに、固定およびその他の動的インターネットIPがあります。どちらもダイナミック DNS に入力され、ルータのクライアントが正常に動作しないため、nanopis にダイナミック DNS クライアントをインストールできるようになりました。両方のインターネットルーターでNAT仮想サーバー機能を使用してWireguardコンピュータを公開できます。
サイトA:
- 固定パブリックIP AAAAと名前サイトa
- LAN 192.168.0.0/24、デフォルトゲートウェイ 192.168.0.1
- DHCP が予約された NanoPi eth0 192.168.0.250
サイトB:
- 動的パブリックIP BBBBと名前サイトb
- LAN 192.168.1.0/24、デフォルトゲートウェイ 192.168.1.1
- DHCP が予約された NanoPi eth0 192.168.1.250
サイト B が動的 IP サイトからサイト B が公開しているサーバー ポートへの接続を確立すると仮定します。
その後、サイトA(192.168.0.0/24)のすべてのコンピュータに、192.168.0.250を介してサイトB(192.168.1.0/24)にトラフィックを転送する追加のルートが必要です。同様に、サイトB(192.168.1.0/24)のすべてのコンピュータには、サイトA(192.168.0.0/24)トラフィックを192.168.1.250を介して転送するパスが必要です。それはうまくいくでしょうか?
wg0インターフェイスにどのIPを割り当てるべきですか? 10.0.0.0/24?では、パスはどうなりますか?それでは、10.0.0.0/24トラフィックをルーティングする方法は?パスを指定する必要がありますか? Wireguardの設定方法は? Wireguardへの正確なコマンドは必要ないようです。トラフィック(IP、ルーティング)を設定する方法についてのガイドが必要です。
eth0とwg0を使用するNanoPi R2Sでは、双方向トラフィックにはeth0が必要です。 NanoPi(lan0)の他のイーサネットポートを簡単に使用してスループットを上げるか、1つのポートをワイヤガード専用に、もう一方のポートをLAN専用として使用できますか?どのように?
デバイス(携帯電話、ラップトップ)をあるサイトから別のサイトに移動してWiFi / DHCPに接続するとどうなりますか?サイトAのルートは他のサイトBを台無しにすることができ、その逆も同様ですので、毎回ルートを入力する必要があるかもしれません。ルータの1つがいくつかの静的ルートを入力できることを知っていますが、そのルートが何であるかを知る必要があります。
ベストアンサー1
解決策は非常に簡単ですが、サイト間VPNを作成する方法の説明をインターネットで見つけることができませんでした。だから私は私に役立つ解決策をここに投稿することにしました。
婦人声明:このソリューションはIPv4でのみ機能します。私のISPの1つはIPv6を提供していないので、IPv6を設定していません。これは今後も改善すべき部分です。
IP転送
IP転送を最初に有効にする必要があるため、nanopiはあるインターフェイスから別のインターフェイスにトラフィックを転送します。一行
net.ipv4.ip_forward=1
/etc/sysctl.conf
またはの.conf
一部のファイルに存在する必要があります/etc/sysctl.d/
。変更を適用するには、sysctl -p
または(Linuxディストリビューションに従って)を実行または再起動します。service procps reload
ワイヤーガード
Wireguardの設定方法については詳しく説明しません。インターネットにはこんな言葉がたくさんあります。私の場合、使用されたネットワークに関するいくつかの詳細を作成し、質問で述べたように、/etc/wireguard/wg0.conf
2つのWebサイトがあることを指摘します。
192.168.0.0/24
10.0.0.1
nanopiは、インターフェースにwireguardアドレスを持つwireguardサーバーとして機能しますwg0
。192.168.1.0/24
10.0.0.2
nanopiは、インターフェイスにwireguardアドレスを持つwireguardクライアントとして機能しますwg0
。
変更は次/etc/wireguard/wg0.conf
のとおりです。
最初、wg-quickがIPルールとルーティングを設定するのを防ぐディレクティブを追加しました。セクションTable = off
に行を追加します。[Interface]
Table = off
第二、VPN接続を介してトラフィックを転送するためのルートを追加します。もう一度[Interface]
セクションで:
PostUp = ip route add 192.168.1.0/24 via 10.0.0.2 dev wg0
PreDown = ip route del 192.168.1.0/24 via 10.0.0.2 dev wg0
上記の行は最初のサイトから来て、デバイスを介して他のネットワーク()からのすべてのトラフィックを192.168.1.0/24
VPN()の反対側に接続されたIPにルーティングするようにカーネルに指示します。他のサイトでは、構成のIP番号が異なります(、、、および)。10.0.0.2
wg0
192.168.0.0/24
10.0.0.1
第三、Wireguardクライアントとして機能する2番目のWireguardコンピュータはEndpoint
このセクションで定義されていますが、[Peer]
サーバーとして機能する最初のWireguardコンピュータはそうではありません。エンドポイントは、nanopiサーバーにアクセスできる正規のIPとポートです。ルーターからの着信接続を許可するには、サーバーnanopiをインターネットに公開する必要があります。サーバーWireguardコンピュータを搭載したサイトでは、インターネットルーターにNAT
同様Port forwarding
のものが必要です。 Wireguardが接続するポートにはUDPが必要です。WireguardサーバーのIPとポートに転送されます。各ルーターごとに設定用の異なるGUIがあるので、ここでは表示しません。
ルーティングとDHCP
wireguard接続が機能すると、VPNを介して他のサイトのnano piにアクセスできるようになります。ログインしている間192.168.0.250
(10.0.0.1
on)wg0
ping(またはログイン)が可能でなければならず、10.0.0.2
その逆も同様です。しかし、両方のネットワーク上の他のクライアントは、VPNを介してその場所に到達する方法を知りません。ローカルネットワークに属していないすべてのトラフィックを転送するデフォルトゲートウェイがあります。他のサイトのアドレスはローカルアドレスではないため、VPNを通過する必要があるすべてのトラフィックはISPルーターを介してインターネットに移動します。
1つのアプローチは、ネットワーク内のすべてのデバイスにカスタム静的パスを追加することです。一部の人はこれを許可しますが、多くの人はそうではありません。 WindowsまたはLinuxコンピュータはオプションでパスを追加できます。これはAndroidデバイスではすでに問題です。したがって、各デバイスに固定パスを設定する必要がない他のソリューションを見つける必要があります。
ISPルーターにそのルートを追加するオプションがある場合は、カスタムルートを追加できます。ここでは、これを達成する方法を正確に示すことはできません。通常、他のサイトから来るすべてのアドレス(たとえば、192.168.0.0
ネットマスクがあるか、または24
に255.255.255.0
リダイレクトする必要があります192.168.1.250
)。
これが不可能な場合は、nanopiにDHCPサーバーを設定し、ISPルーターでDHCP機能を無効にすることをお勧めします。isc-dhcp-server
ほぼすべてのLinuxディストリビューションにインストールでき、サーバーはDHCPを使用している限り、ネットワーク上のすべてのクライアントに正しいルーティング情報を送信できます。 DHCP サーバーの構成については詳しく説明しません。例は次のとおりです/etc/dhcp/dhcpd.conf
。
default-lease-time 600;
max-lease-time 7200;
option subnet-mask 255.255.255.0;
option broadcast-address 192.168.0.255;
option routers 192.168.0.1;
option domain-name "localdomain";
option domain-name-servers 192.168.0.250;
option rfc3442-classless-static-routes code 121 = array of integer 8;
option ms-classless-static-routes code 249 = array of integer 8;
option rfc3442-classless-static-routes 24, 192, 168, 1, 192, 168, 0, 250, 0, 192, 168, 0, 1;
option ms-classless-static-routes 24, 192, 168, 1, 192, 168, 0, 250, 0, 192, 168, 0, 1;
subnet 192.168.0.0 netmask 255.255.255.0 {
range 192.168.0.150 192.168.0.229;
default-lease-time 86400;
max-lease-time 172800;
}
host staticip {
default-lease-time 86400;
max-lease-time 172800;
hardware ethernet aa:bb:cc:dd:ee:ff;
fixed-address 192.168.0.4;
}
dhcp設定のすべてはかなり標準的です。 DHCPは192.168.0.150
からアドレスを割り当てています192.168.0.229
。必要に応じて変更してください。
私はこの行を指摘する必要がありoption rfc3442...
ますoption ms-classless...
。 DHCP がルーティング情報を送信するオプションを定義します。 1つはRFC 3442に準拠したクライアント用、もう1つは別のオプションを使用するMicrosoftクライアント用です。この数字の意味24, 192, 168, 1, 192, 168, 0, 250, 0, 192, 168, 0, 1
は次のとおりです。
- 最初の静的パス:
24
- ネットマスクサイズ192, 168, 1
- 上記で定義されたネットマスクの接頭辞192, 168, 0, 250
- 上記で定義したネットワークのゲートウェイ
- 2番目の静的パス:
0
- ネットマスクサイズ(デフォルトゲートウェイ)- 上記のマスクはネットワークがないため、ネットワークはありません。
0
192, 168, 0, 1
- 上記で定義したネットワークのゲートウェイ
デフォルトパスもここに提供する必要があります。この情報がDHCPを介して受信されると、クライアントはデフォルトのパスを無視する必要があるためです。
固定 IP アドレスを持つクライアントに対して DHCP 予約を作成する方法の例は、dchp 構成ファイルの最後にあります。ハードウェアイーサネット(MAC)アドレスと目的のIPを入力してください。
ファイアウォール
あるネットワーク上のクライアントは、ファイアウォールがトラフィックを許可している場合、Wireguard VPNを介して別のネットワーク上のクライアントにアクセスできるようになりました。
VPNコンピュータ(nanopiなど)にファイアウォールがある場合、トラフィックは許可されない可能性があります。ご使用の環境の基本設定とセキュリティ要件に基づいてファイアウォールルールを開発します。通過する必要があるVPNコンピュータで各個々のポートを開くか、すべてのポートを開くことができます(信頼できる環境にある場合)。 1つの方法はコマンドを使用することですfirewall-cmd
。例は次のとおりです。
# set "trusted" as a default zone
firewall-cmd --set-default-zone=trusted
# see in which zones the interfaces are
firewall-cmd --get-active-zones
# you may have to remove eth0 from the zone where it belongs to (public in this case)
firewall-cmd --permanent --zone=public --remove-interface=eth0
# add eth0 to trusted zone
firewall-cmd --permanent --zone=trusted --add-interface=eth0
# you may have to remove wg0 from the zone where it belongs to (public in this case)
firewall-cmd --permanent --zone=public --remove-interface=wg0
# add wg0 to trusted zone
firewall-cmd --permanent --zone=trusted --add-interface=wg0
# reload the new config
firewall-cmd --reload
その後、各デバイスには着信トラフィックをブロックするファイアウォールがあります。通常、Windowsファイアウォールは「ローカルネットワーク」の特定の接続のみを許可します。他のサイトはローカルネットワークにないため、サーバーはVPNを介して着信接続をブロックします。192.168.1.0/24
特定の接続をブロックする各ルールに異なるネットワーク(たとえば)を追加する必要があります。たとえば、Windows共有の場合は、コンピュータ共有のポート135-139と445のすべてのリスニングルールを変更する必要があります。同様に、共有にアクセスするコンピュータから発信するルールを変更する必要があります。
ファイアウォールをオフにするよりも時間をかけてファイアウォールを微調整することをお勧めします。
ガイドラインがサイト間VPNを設定するのに十分明確で有用であるか、少なくとも設定方法に関するアイデアを提供したことを願っています。ネットワーキングと管理の知識が必要です。