[分享] Wireguard Site to Site 合併區網

看板 Broad_Band
作者
時間
留言 32則留言,8人參與討論
推噓 9  ( 9推 0噓 23→ )
利用Openwrt以及DD-WRT的Wireguard將不同的區網合併成一個。 起因是因為偶爾會需要幫忙維護老婆娘家的網路, 因此需要一個利用VPN將兩邊的網路合併。 原先的構想是用熊貓板作就好, 後來改用DD-WRT來使用,省一個吃電的裝置。 首先要先有Openwrt或是DD-WRT的路由器,並且其中一個當伺服器, 而我的情形是Openwrt當伺服器,允許另外一個DD-WRT與Openwrt做Wireguard連線。 Wireguard的設定是一組公鑰與私鑰,以及可以選擇的預先分享私鑰。 互相連線的兩個端點要有彼此的公鑰就可以建立連線。 以設定上來講Wireguard簡單很多。 公鑰與私鑰的產生這邊就不說明,網路上很多資源, 但網路上針對Allowed IP的說明少很多, 所以這邊依照這陣子試的心得分享給有需要的人。 每一個LAN要設成不同網段,並且藉由Routed Allowed IP不用再設Static Route。 以下的LAN是指區網段的IP/Netmask,而WG指的是Wireguard使用的IP/Netmask。 Openwrt主機 LAN: 192.168.1.254/24 WG: 192.168.9.254/24 PEER1: (要合併的遠端子網路) ALLOWED IP: 192.168.5.0/24, 192.168.6.0/24, 192.168.9.199 ROUTE ALLOWED IP: Checked PEER2: (要合併的遠端子網路) ALLOWED IP: 192.168.3.0/24, 192.168.9.200 ROUTE ALLOWED IP: Checked PEER3: (手機管理時使用) ALLOWED IP: 192.168.9.4 ROUTE ALLOWED IP: Unchecked Openwrt遠端 LAN: 192.168.3.254/24 WG: 192.168.9.200/24 PEER: ALLOWED IP: 192.168.1.0/24, 192.168.5.0/24, 192.168.6.0/24,\ 192.168.9.0/24 ROUTE ALLOWED IP: Checked DD-WRT遠端 LAN: 192.168.5.254/24, 192.168.6.254/24 WG: 192.168.9.199/24 PEER: ALLOWED IP: 192.168.1.0/24, 192.168.3.0/24, 192.168.9.0/24 ROUTE ALLOWED IP: Checked 手機 WG: 192.168.9.4/24 DNS: 192.168.1.254 (連線時使用自架的AdGuard Home的DNS) PEER: ALLOWED IP: 192.168.1.0/24, 192.168.3.0/24, 192.168.5.0/24,\ 192.168.6.0/24, 192.168.9.0/24 在設定完後Openwrt主機的Status -> Wireguard當中, 當PEER連線完成後,可以在後面的Allowed IP看到結果。 有需要合併的PEER,因為有勾選了Route Allowed IP, 所以就會將屬於該範圍的封包送到該PEER。 同時也可以在任意的子網路可以直接存取其它的網路。 像是在.5的網路環境底下,直接輸入.3的IP就可以連線。 就算遠端的子網路沒有辦法開PORT也是可以作得到的。 --
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.170.115.152 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Broad_Band/M.1664086172.A.120.html
1Ffonzae: RouterOS要7以上才支援,跨大版本還在考慮中 09/25 14:12
2Ffonzae: 目前用ipsec VPN相安無事,哪天心血來潮也來玩 09/25 14:13
3Flianpig5566: ipsec在routeros硬體上有支援,wireguard效能應該比 09/25 14:21
4Flianpig5566: 較差?我只是還是用L2TP over IPsec 09/25 14:21
5Flianpig5566: 自己 09/25 14:21
6FSaren: 我是RB760iGS刷Openwrt的~ 用不習慣RouterOS 09/25 14:31
7FSaren: https://i.imgur.com/Jw0WXkb.jpg 開前開後測速差別 都內網 09/25 19:28
8Fempingao: 早先我也這樣攪,後來 site 一多,管理太麻煩就換用 09/25 20:58
9Fempingao: docker (wg-easy)。 09/25 20:58
10FSaren: wg-easy看起來不錯耶, 先記起來以後有需要再來換. 09/25 22:01
11FGJME: 推一個 個人現在就是用WG連結老家跟住家兩地 缺點感覺跟大 09/26 21:17
12FGJME: 家一樣 裝置一多會很懶得新增 wg easy感覺好炫炮 有空來試 09/26 21:17
13FGJME: 試 09/26 21:17
14FSaren: 對啊 其實我現在主機PEER大概有12個. 如果不是上週搞爛了 09/27 08:27
15FSaren: 整個重設一次 才弄清楚Wireguard的Allowed IPs的機制 09/27 08:27
16Fasdfghjklasd: 以後買FG啦,有好方法 09/27 09:28
17Fsiegfriedlin: 請問一下這個方式可以取代teamviewer嗎? 09/27 13:23
18Fsiegfriedlin: 家裡跟公司兩台電腦要對連 最近常被封 09/27 13:24
19FGJME: 樓上 這個是架VPN 如果弄起來的話直接用內建遠端桌面就可以 09/27 14:05
20FGJME: 了 不過要注意的是WG的封包特徵很明顯 單位有在管資安的話 09/27 14:05
21FGJME: 不可能不注意到就是了 09/27 14:05
22Fsiegfriedlin: 感謝 請問此法和ac86u內建的ddns有什麼利弊呢 09/27 14:07
23Fsiegfriedlin: 資安單位是沒問題 老闆同意 09/27 14:08
24Fsiegfriedlin: 還有更早以前的hamachi軟體(打電動用的) 09/27 14:09
25FGJME: 華碩機器都內建OpenVPN了 配合它的DDNS弄起來絕對比自架Wi 09/27 14:14
26FGJME: reGuard方便啊 而且也可以把TeamViewer丟了 用內建遠端桌面 09/27 14:15
27FGJME: 就好 如果沒別的原因 看起來你似乎不用捨近求遠自幹WG 09/27 14:15
28Fsiegfriedlin: 感謝建議:) 09/27 14:43
29FSaren: OpenVPN從0開始會很麻煩 現在很多內建的都很快的架好了 09/27 15:35
30FSaren: WireGuard很愛跟OpenVPN比效率啦... 但不追求速度就還好了 09/27 15:35
31FAKSN74: 推,目前也是用WireGuard,把我自己住處的ROS機器設定連回 10/03 09:07
32FAKSN74: 家中區網 10/03 09:07

Broad_Band 最新熱門文章