2つのLAN間のWireguard接続とルータの背後にあるWireguardボックス

Question

解決策は非常に簡単ですが、サイト間VPNを作成する方法の説明をインターネットで見つけることができませんでした。だから私は私に役立つ解決策をここに投稿することにしました。

婦人声明：このソリューションはIPv4でのみ機能します。私のISPの1つはIPv6を提供していないので、IPv6を設定していません。これは今後も改善すべき部分です。

IP転送

IP転送を最初に有効にする必要があるため、nanopiはあるインターフェイスから別のインターフェイスにトラフィックを転送します。一行

net.ipv4.ip_forward=1

/etc/sysctl.confまたはの.conf一部のファイルに存在する必要があります/etc/sysctl.d/。変更を適用するには、sysctl -pまたは（Linuxディストリビューションに従って）を実行または再起動します。service procps reload

ワイヤーガード

Wireguardの設定方法については詳しく説明しません。インターネットにはこんな言葉がたくさんあります。私の場合、使用されたネットワークに関するいくつかの詳細を作成し、質問で述べたように、/etc/wireguard/wg0.conf2つのWebサイトがあることを指摘します。

192.168.0.0/2410.0.0.1nanopiは、インターフェースにwireguardアドレスを持つwireguardサーバーとして機能しますwg0。
192.168.1.0/2410.0.0.2nanopiは、インターフェイスにwireguardアドレスを持つwireguardクライアントとして機能しますwg0。

変更は次/etc/wireguard/wg0.confのとおりです。

最初、wg-quickがIPルールとルーティングを設定するのを防ぐディレクティブを追加しました。セクションTable = offに行を追加します。[Interface]

Table = off

第二、VPN接続を介してトラフィックを転送するためのルートを追加します。もう一度[Interface]セクションで：

PostUp = ip route add 192.168.1.0/24 via 10.0.0.2 dev wg0
PreDown = ip route del 192.168.1.0/24 via 10.0.0.2 dev wg0

上記の行は最初のサイトから来て、デバイスを介して他のネットワーク（）からのすべてのトラフィックを192.168.1.0/24VPN（）の反対側に接続されたIPにルーティングするようにカーネルに指示します。他のサイトでは、構成のIP番号が異なります（、、、および）。10.0.0.2wg0192.168.0.0/2410.0.0.1

第三、Wireguardクライアントとして機能する2番目のWireguardコンピュータはEndpointこのセクションで定義されていますが、[Peer]サーバーとして機能する最初のWireguardコンピュータはそうではありません。エンドポイントは、nanopiサーバーにアクセスできる正規のIPとポートです。ルーターからの着信接続を許可するには、サーバーnanopiをインターネットに公開する必要があります。サーバーWireguardコンピュータを搭載したサイトでは、インターネットルーターにNAT同様Port forwardingのものが必要です。 Wireguardが接続するポートにはUDPが必要です。WireguardサーバーのIPとポートに転送されます。各ルーターごとに設定用の異なるGUIがあるので、ここでは表示しません。

ルーティングとDHCP

wireguard接続が機能すると、VPNを介して他のサイトのnano piにアクセスできるようになります。ログインしている間192.168.0.250（10.0.0.1on）wg0ping（またはログイン）が可能でなければならず、10.0.0.2その逆も同様です。しかし、両方のネットワーク上の他のクライアントは、VPNを介してその場所に到達する方法を知りません。ローカルネットワークに属していないすべてのトラフィックを転送するデフォルトゲートウェイがあります。他のサイトのアドレスはローカルアドレスではないため、VPNを通過する必要があるすべてのトラフィックはISPルーターを介してインターネットに移動します。

1つのアプローチは、ネットワーク内のすべてのデバイスにカスタム静的パスを追加することです。一部の人はこれを許可しますが、多くの人はそうではありません。 WindowsまたはLinuxコンピュータはオプションでパスを追加できます。これはAndroidデバイスではすでに問題です。したがって、各デバイスに固定パスを設定する必要がない他のソリューションを見つける必要があります。

ISPルーターにそのルートを追加するオプションがある場合は、カスタムルートを追加できます。ここでは、これを達成する方法を正確に示すことはできません。通常、他のサイトから来るすべてのアドレス（たとえば、192.168.0.0ネットマスクがあるか、または24に255.255.255.0リダイレクトする必要があります192.168.1.250）。

これが不可能な場合は、nanopiにDHCPサーバーを設定し、ISPルーターでDHCP機能を無効にすることをお勧めします。isc-dhcp-serverほぼすべてのLinuxディストリビューションにインストールでき、サーバーはDHCPを使用している限り、ネットワーク上のすべてのクライアントに正しいルーティング情報を送信できます。 DHCP サーバーの構成については詳しく説明しません。例は次のとおりです/etc/dhcp/dhcpd.conf。

default-lease-time 600;
max-lease-time 7200;

option subnet-mask 255.255.255.0;
option broadcast-address 192.168.0.255;
option routers 192.168.0.1;
option domain-name "localdomain";
option domain-name-servers 192.168.0.250;

option rfc3442-classless-static-routes code 121 = array of integer 8;
option ms-classless-static-routes code 249 = array of integer 8;

option rfc3442-classless-static-routes 24, 192, 168, 1, 192, 168, 0, 250, 0, 192, 168, 0, 1;
option ms-classless-static-routes 24, 192, 168, 1, 192, 168, 0, 250, 0, 192, 168, 0, 1;

subnet 192.168.0.0 netmask 255.255.255.0 {
    range 192.168.0.150 192.168.0.229;

    default-lease-time 86400;
    max-lease-time 172800;
}

host staticip {
    default-lease-time 86400;
    max-lease-time 172800;

    hardware ethernet aa:bb:cc:dd:ee:ff;
    fixed-address 192.168.0.4;
}

dhcp設定のすべてはかなり標準的です。 DHCPは192.168.0.150からアドレスを割り当てています192.168.0.229。必要に応じて変更してください。

私はこの行を指摘する必要がありoption rfc3442...ますoption ms-classless...。 DHCP がルーティング情報を送信するオプションを定義します。 1つはRFC 3442に準拠したクライアント用、もう1つは別のオプションを使用するMicrosoftクライアント用です。この数字の意味24, 192, 168, 1, 192, 168, 0, 250, 0, 192, 168, 0, 1は次のとおりです。

最初の静的パス：
- 24- ネットマスクサイズ
- 192, 168, 1- 上記で定義されたネットマスクの接頭辞
- 192, 168, 0, 250- 上記で定義したネットワークのゲートウェイ
2番目の静的パス：
- 0- ネットマスクサイズ（デフォルトゲートウェイ）
- 上記のマスクはネットワークがないため、ネットワークはありません。0
- 192, 168, 0, 1- 上記で定義したネットワークのゲートウェイ

デフォルトパスもここに提供する必要があります。この情報がDHCPを介して受信されると、クライアントはデフォルトのパスを無視する必要があるためです。

固定 IP アドレスを持つクライアントに対して DHCP 予約を作成する方法の例は、dchp 構成ファイルの最後にあります。ハードウェアイーサネット（MAC）アドレスと目的のIPを入力してください。

ファイアウォール

あるネットワーク上のクライアントは、ファイアウォールがトラフィックを許可している場合、Wireguard VPNを介して別のネットワーク上のクライアントにアクセスできるようになりました。

VPNコンピュータ（nanopiなど）にファイアウォールがある場合、トラフィックは許可されない可能性があります。ご使用の環境の基本設定とセキュリティ要件に基づいてファイアウォールルールを開発します。通過する必要があるVPNコンピュータで各個々のポートを開くか、すべてのポートを開くことができます（信頼できる環境にある場合）。 1つの方法はコマンドを使用することですfirewall-cmd。例は次のとおりです。

# set "trusted" as a default zone
firewall-cmd --set-default-zone=trusted

# see in which zones the interfaces are
firewall-cmd --get-active-zones

# you may have to remove eth0 from the zone where it belongs to (public in this case)
firewall-cmd --permanent --zone=public --remove-interface=eth0
# add eth0 to trusted zone
firewall-cmd --permanent --zone=trusted --add-interface=eth0

# you may have to remove wg0 from the zone where it belongs to (public in this case)
firewall-cmd --permanent --zone=public --remove-interface=wg0
# add wg0 to trusted zone
firewall-cmd --permanent --zone=trusted --add-interface=wg0

# reload the new config
firewall-cmd --reload

その後、各デバイスには着信トラフィックをブロックするファイアウォールがあります。通常、Windowsファイアウォールは「ローカルネットワーク」の特定の接続のみを許可します。他のサイトはローカルネットワークにないため、サーバーはVPNを介して着信接続をブロックします。192.168.1.0/24特定の接続をブロックする各ルールに異なるネットワーク（たとえば）を追加する必要があります。たとえば、Windows共有の場合は、コンピュータ共有のポート135-139と445のすべてのリスニングルールを変更する必要があります。同様に、共有にアクセスするコンピュータから発信するルールを変更する必要があります。

ファイアウォールをオフにするよりも時間をかけてファイアウォールを微調整することをお勧めします。

ガイドラインがサイト間VPNを設定するのに十分明確で有用であるか、少なくとも設定方法に関するアイデアを提供したことを願っています。ネットワーキングと管理の知識が必要です。

Answer 1

解決策は非常に簡単ですが、サイト間VPNを作成する方法の説明をインターネットで見つけることができませんでした。だから私は私に役立つ解決策をここに投稿することにしました。

婦人声明：このソリューションはIPv4でのみ機能します。私のISPの1つはIPv6を提供していないので、IPv6を設定していません。これは今後も改善すべき部分です。

IP転送

IP転送を最初に有効にする必要があるため、nanopiはあるインターフェイスから別のインターフェイスにトラフィックを転送します。一行

net.ipv4.ip_forward=1

/etc/sysctl.confまたはの.conf一部のファイルに存在する必要があります/etc/sysctl.d/。変更を適用するには、sysctl -pまたは（Linuxディストリビューションに従って）を実行または再起動します。service procps reload

ワイヤーガード

Wireguardの設定方法については詳しく説明しません。インターネットにはこんな言葉がたくさんあります。私の場合、使用されたネットワークに関するいくつかの詳細を作成し、質問で述べたように、/etc/wireguard/wg0.conf2つのWebサイトがあることを指摘します。

192.168.0.0/2410.0.0.1nanopiは、インターフェースにwireguardアドレスを持つwireguardサーバーとして機能しますwg0。
192.168.1.0/2410.0.0.2nanopiは、インターフェイスにwireguardアドレスを持つwireguardクライアントとして機能しますwg0。

変更は次/etc/wireguard/wg0.confのとおりです。

最初、wg-quickがIPルールとルーティングを設定するのを防ぐディレクティブを追加しました。セクションTable = offに行を追加します。[Interface]

Table = off

第二、VPN接続を介してトラフィックを転送するためのルートを追加します。もう一度[Interface]セクションで：

PostUp = ip route add 192.168.1.0/24 via 10.0.0.2 dev wg0
PreDown = ip route del 192.168.1.0/24 via 10.0.0.2 dev wg0

上記の行は最初のサイトから来て、デバイスを介して他のネットワーク（）からのすべてのトラフィックを192.168.1.0/24VPN（）の反対側に接続されたIPにルーティングするようにカーネルに指示します。他のサイトでは、構成のIP番号が異なります（、、、および）。10.0.0.2wg0192.168.0.0/2410.0.0.1

第三、Wireguardクライアントとして機能する2番目のWireguardコンピュータはEndpointこのセクションで定義されていますが、[Peer]サーバーとして機能する最初のWireguardコンピュータはそうではありません。エンドポイントは、nanopiサーバーにアクセスできる正規のIPとポートです。ルーターからの着信接続を許可するには、サーバーnanopiをインターネットに公開する必要があります。サーバーWireguardコンピュータを搭載したサイトでは、インターネットルーターにNAT同様Port forwardingのものが必要です。 Wireguardが接続するポートにはUDPが必要です。WireguardサーバーのIPとポートに転送されます。各ルーターごとに設定用の異なるGUIがあるので、ここでは表示しません。

ルーティングとDHCP

wireguard接続が機能すると、VPNを介して他のサイトのnano piにアクセスできるようになります。ログインしている間192.168.0.250（10.0.0.1on）wg0ping（またはログイン）が可能でなければならず、10.0.0.2その逆も同様です。しかし、両方のネットワーク上の他のクライアントは、VPNを介してその場所に到達する方法を知りません。ローカルネットワークに属していないすべてのトラフィックを転送するデフォルトゲートウェイがあります。他のサイトのアドレスはローカルアドレスではないため、VPNを通過する必要があるすべてのトラフィックはISPルーターを介してインターネットに移動します。

1つのアプローチは、ネットワーク内のすべてのデバイスにカスタム静的パスを追加することです。一部の人はこれを許可しますが、多くの人はそうではありません。 WindowsまたはLinuxコンピュータはオプションでパスを追加できます。これはAndroidデバイスではすでに問題です。したがって、各デバイスに固定パスを設定する必要がない他のソリューションを見つける必要があります。

ISPルーターにそのルートを追加するオプションがある場合は、カスタムルートを追加できます。ここでは、これを達成する方法を正確に示すことはできません。通常、他のサイトから来るすべてのアドレス（たとえば、192.168.0.0ネットマスクがあるか、または24に255.255.255.0リダイレクトする必要があります192.168.1.250）。

これが不可能な場合は、nanopiにDHCPサーバーを設定し、ISPルーターでDHCP機能を無効にすることをお勧めします。isc-dhcp-serverほぼすべてのLinuxディストリビューションにインストールでき、サーバーはDHCPを使用している限り、ネットワーク上のすべてのクライアントに正しいルーティング情報を送信できます。 DHCP サーバーの構成については詳しく説明しません。例は次のとおりです/etc/dhcp/dhcpd.conf。

default-lease-time 600;
max-lease-time 7200;

option subnet-mask 255.255.255.0;
option broadcast-address 192.168.0.255;
option routers 192.168.0.1;
option domain-name "localdomain";
option domain-name-servers 192.168.0.250;

option rfc3442-classless-static-routes code 121 = array of integer 8;
option ms-classless-static-routes code 249 = array of integer 8;

option rfc3442-classless-static-routes 24, 192, 168, 1, 192, 168, 0, 250, 0, 192, 168, 0, 1;
option ms-classless-static-routes 24, 192, 168, 1, 192, 168, 0, 250, 0, 192, 168, 0, 1;

subnet 192.168.0.0 netmask 255.255.255.0 {
    range 192.168.0.150 192.168.0.229;

    default-lease-time 86400;
    max-lease-time 172800;
}

host staticip {
    default-lease-time 86400;
    max-lease-time 172800;

    hardware ethernet aa:bb:cc:dd:ee:ff;
    fixed-address 192.168.0.4;
}

dhcp設定のすべてはかなり標準的です。 DHCPは192.168.0.150からアドレスを割り当てています192.168.0.229。必要に応じて変更してください。

私はこの行を指摘する必要がありoption rfc3442...ますoption ms-classless...。 DHCP がルーティング情報を送信するオプションを定義します。 1つはRFC 3442に準拠したクライアント用、もう1つは別のオプションを使用するMicrosoftクライアント用です。この数字の意味24, 192, 168, 1, 192, 168, 0, 250, 0, 192, 168, 0, 1は次のとおりです。

最初の静的パス：
- 24- ネットマスクサイズ
- 192, 168, 1- 上記で定義されたネットマスクの接頭辞
- 192, 168, 0, 250- 上記で定義したネットワークのゲートウェイ
2番目の静的パス：
- 0- ネットマスクサイズ（デフォルトゲートウェイ）
- 上記のマスクはネットワークがないため、ネットワークはありません。0
- 192, 168, 0, 1- 上記で定義したネットワークのゲートウェイ

デフォルトパスもここに提供する必要があります。この情報がDHCPを介して受信されると、クライアントはデフォルトのパスを無視する必要があるためです。

固定 IP アドレスを持つクライアントに対して DHCP 予約を作成する方法の例は、dchp 構成ファイルの最後にあります。ハードウェアイーサネット（MAC）アドレスと目的のIPを入力してください。

ファイアウォール

あるネットワーク上のクライアントは、ファイアウォールがトラフィックを許可している場合、Wireguard VPNを介して別のネットワーク上のクライアントにアクセスできるようになりました。

VPNコンピュータ（nanopiなど）にファイアウォールがある場合、トラフィックは許可されない可能性があります。ご使用の環境の基本設定とセキュリティ要件に基づいてファイアウォールルールを開発します。通過する必要があるVPNコンピュータで各個々のポートを開くか、すべてのポートを開くことができます（信頼できる環境にある場合）。 1つの方法はコマンドを使用することですfirewall-cmd。例は次のとおりです。

# set "trusted" as a default zone
firewall-cmd --set-default-zone=trusted

# see in which zones the interfaces are
firewall-cmd --get-active-zones

# you may have to remove eth0 from the zone where it belongs to (public in this case)
firewall-cmd --permanent --zone=public --remove-interface=eth0
# add eth0 to trusted zone
firewall-cmd --permanent --zone=trusted --add-interface=eth0

# you may have to remove wg0 from the zone where it belongs to (public in this case)
firewall-cmd --permanent --zone=public --remove-interface=wg0
# add wg0 to trusted zone
firewall-cmd --permanent --zone=trusted --add-interface=wg0

# reload the new config
firewall-cmd --reload

その後、各デバイスには着信トラフィックをブロックするファイアウォールがあります。通常、Windowsファイアウォールは「ローカルネットワーク」の特定の接続のみを許可します。他のサイトはローカルネットワークにないため、サーバーはVPNを介して着信接続をブロックします。192.168.1.0/24特定の接続をブロックする各ルールに異なるネットワーク（たとえば）を追加する必要があります。たとえば、Windows共有の場合は、コンピュータ共有のポート135-139と445のすべてのリスニングルールを変更する必要があります。同様に、共有にアクセスするコンピュータから発信するルールを変更する必要があります。

ファイアウォールをオフにするよりも時間をかけてファイアウォールを微調整することをお勧めします。

ガイドラインがサイト間VPNを設定するのに十分明確で有用であるか、少なくとも設定方法に関するアイデアを提供したことを願っています。ネットワーキングと管理の知識が必要です。

2つのLAN間のWireguard接続とルータの背後にあるWireguardボックス

ベストアンサー1

IP転送

ワイヤーガード

ルーティングとDHCP

ファイアウォール

おすすめ記事