= هل يمكن نظير شبكة LAN إلى خادم VPS/cloud نفق جميع المدخلات من نظامين آخرين لشبكة LAN؟ =
هل يمكنني فعل هذا؟
صندوق WG مخصص على أنفاق LAN إلى خادم VPS/cloud WG. يحتوي صندوق WG المحلي هذا على واجهات إيثرنت متعددة. هل يمكنه أخذ مدخلات غير متصلة من صندوقين آخرين لشبكة LAN وإعادة توجيهها عبر نفق WG إلى خادم VPS/cloud؟ بالإضافة إلى ذلك، هل يمكن لأحد صناديق LAN الأخرى توصيل SSH بمربع WG باستخدام اتصال إيثرنت آخر؟
ملخص الواجهات السلكية لصندوق LAN WG:
1: إلى جانب LAN من جهاز التوجيه، للوصول إلى WAN ولـ SSH مع جهاز Mac؛
2. جهاز Mac عبر جهاز التوجيه، لحركة المرور التي سيتم نفقها؛
3. صندوق LAN الآخر، لحركة المرور التي سيتم نفقها.
يقوم جهاز Mac بإخراج حركة المرور الخاصة به عبر النفق إلى الواجهة 2، وحركة مرور SSH على الواجهة 1؛ تتصل كلتا الواجهتين بجهاز التوجيه. تتصل الواجهة 3 مباشرةً بصندوق LAN الآخر. كافة عناوين LAN موجودة على نفس الشبكة الفرعية وهي عناوين ثابتة.
المشكلات التي أراها حتى الآن: أعتقد أن صندوق WG يجب أن يقوم NAT بحركة المرور الخاصة به (بالإضافة إلى خادم VPS مرة أخرى)؛ إذا كان الأمر كذلك، أي مشكلة هناك؟ وكيف يمكن عزل حركة مرور SSH عن النفق؟
كافة عناوين LAN موجودة على نفس الشبكة الفرعية وهي عناوين ثابتة.
يعد وجود شبكات LAN متعددة بنفس الشبكة الفرعية فكرة سيئة. يجب أن تستخدم كل شبكة LAN الشبكة الفرعية الخاصة بها. ولا ينبغي أن يحتوي صندوق WG على واجهات متعددة متصلة بنفس الشبكة الفرعية.
لا يجب أن تحتاج إلى استخدام NAT في مربع WG، وبدلاً من ذلك يجب عليك تكوين شبكات LAN الفرعية في عناوين IP المسموح بها على خادم WG السحابي.
تحرير: حل محله ردي التالي
حسنًا، هذا هو تفكيري الآن بعد أن قمت بإضاءة مصباح الشبكات الفرعية المتعددة. يوجد الآن شبكة فرعية واحدة فقط، 192.16816. هناك العديد من الصناديق/المضيفين/الأجهزة - الهواتف، وأجهزة تنظيم الحرارة، وأجهزة الكمبيوتر، ومكونات المسرح المنزلي، وما إلى ذلك - بالإضافة إلى الثلاثة المذكورة في OP (والتي سأشير إليها الآن باسم 1_LAN_WG_box، و2_Mac، و 3_other_LAN_box).
لنفترض أن 2_Mac سيصبح 172.16.0.6 و3_other_LAN_box سيكون 172.17.0.7. يظل موصل ETH1 الخاص بصندوق LAN WG على 192.16816. يصبح موصل ETH2 الخاص به 172.16.0.2 (الشبكة الفرعية 2_Mac)، ويصبح موصل ETH3 الخاص به 172.17.0.1 (بوابة على الشبكة الفرعية 3_other_LAN_box). يؤدي ذلك إلى إزالة مشكلة NAT المحلية.
لا أريد جهاز Mac على VPN طوال الوقت ولكن في بعض الأحيان فقط كعميل ويب. كنت أخطط لتشغيل ميزة متصفح الخادم الوكيل ، مع مربع LAN WG باعتباره الوكيل ، فقط عندما أريد استخدام VPN. أعتقد أنني لم أذكر بعد أن مربع LAN WG مقطوع الرأس ؛ أرغب في استخدام جهاز Mac للتحكم فيه وتكوينه عبر SSH. الأمر نفسه ينطبق على 3_other_LAN_box.
سيقوم جهاز Mac ، 172.16.0.6 ، بإرسال SSH إلى مربع LAN WG على عنوان الأخير 192.16816. سأعطي جهاز التوجيه الرئيسي مسارًا ثابتًا لذلك. متصفح Mac ، عندما أريده أن يستخدم VPN ، سيستخدم عنوان ETH2 172.16.0.2 الخاص بمربع LAN WG كخادم وكيل للمتصفح.
3_other_LAN_ لديه موصل RJ45 واحد فقط. سيستخدم مربع LAN WG كبوابة. إذا كان 3_other_LAN_box متصلاً بمحول ، فيمكن لـ Mac SSH بـ 3_other_LAN_box من خلال مسار ثابت لجهاز التوجيه الرئيسي.
أعتقد أن هذا هو أول تصميم لشبكتي! المشكلة المتبقية هي عزل حركة مرور SSH الخاصة بـ LAN WG box من النفق. لدي بعض الأفكار حول ذلك ، ولكن إذا كانت الإجابة على سؤالي العام ، "هل يمكن أن ينجح هذا؟"نعم ، سأترك هذه المشكلة لمنشور آخر. أيضًا بالنسبة إلى منشور آخر ، سيكون محتوى ملفات WG conf الذي يلائم تصميم LAN هذا - ما لم يعمل كل ذلك في محاولتي الأولى!
(لقد حاولت توضيح هذا التعليق ولكني أفهم أنه يحتوي على الكثير من التفاصيل. وأنا أقدر مساعدتك!)
هناك بعض جوانب ردي السابق لمدة 13 ساعة. قبل أن أعتقد أنه من المحتمل ألا يعمل ، لذلك بدأت من جديد. يمكنك تجاهل هذا الرد إذا أردت.
الصورة الكبيرة: لدي صندوق Ubuntu بدون رأس ("WGbox") أريد استخدامه لتوصيل جهازين محليين ، جهاز Mac وخادم بيانات بدون رأس ("DS") بالنهاية المحلية لنفق WG إلى خادم WG على سحابة VPS. سيتم نفق DS على مدار الساعة طوال أيام الأسبوع ، ولكن نظام التشغيل Mac فقط من حين لآخر. يحتاج كل من WGbox و DS ، كونهما بلا رأس ، إلى وصول SSH من جهاز Mac.
يحتوي WGbox على أربعة موصلات RJ45. الآن لدي شبكة فرعية LAN واحدة ، 192.168.1.0/24. نظرًا لاحتياجات التوجيه الافتراضي لـ WG ، سأحتاج إلى شبكة فرعية إضافية واحدة على الأقل لتوصيل جهازين (Mac و DS).
بالنظر إلى جهاز Mac أولاً ، أريد أن أقوم أحيانًا بنقل حركة مرور الويب عبر WGbox ، وأن أكون قادرًا على SSH إلى WGbox عندما لا أنفق حركة مرور الويب. حاليًا تم تعيين واجهة WGBox السلكية الوحيدة المستخدمة 198.168.1.10 و I SSH لها من جهاز Mac وهو 198.168.1.200.
ماذا عن إضافة شبكة فرعية لنظام التشغيل Mac ، مع بوابة مثل 172.16.0.1/24 وتعيينها لواجهة سلكية ثانية على WGbox. عندما أرغب في تحويل جهاز Mac إلى نفق ، أقوم بتغيير IP / البوابة الخاصة بـ Mac إلى 172.16.0.1/172.16.0.1. نظرًا لأن جهاز التوجيه الرئيسي موجود على الشبكة الفرعية 192.168 ، فعادة ما يتعين علي وضع جسر في iptables الخاص به للتوجيه إلى 172.16.0.1. ولكن نظرًا لأن جهاز Mac و WGbox متصلان بالمفتاح نفسه ، أعتقد أنه يمكنني تجنب الجسر.
هل تعتقد أن هذا يعمل؟ إذا كان الأمر كذلك ، فسوف أنتقل إلى نفق والوصول إلى SSH لجهاز DS. إذا لم يكن الأمر كذلك ، فيرجى إبلاغي بأي أفكار حول كيفية الإصلاح.
"لا ينبغي أن يحتوي مربع WG على واجهات متعددة متصلة بالشبكة الفرعية نفسها."لماذا؟ أنا لا أجادل ، فقط أنين ، لأنني أعتقد أن انتهاك هذه القاعدة من شأنه أن يبسط مهمتي وأود أن أعرف السبب وراء ذلك.
ربما أخطأت في قراءة هذا (يوم طويل) ، لكن ما يمنعك من:
- استخدام WGbox كبوابة LAN لجميع الأجهزة التي تريد توجيهها بشكل دائم عبر النفق (ستحتاج إلى إعداد هذا على الأجهزة المعنية وإما التخلي عن إعداد DHCP أو تعقيده من بوابة LAN الافتراضية)؟
- إعداد وكيل على WGbox يمكنك تشغيله وإيقاف تشغيله كما يحلو لك ، على الأجهزة التي تستخدمها
* لا تريد * توجيهها بشكل دائم؟
لا حاجة (IMHO وقراءة سريعة) للعبث بشبكات فرعية مختلفة ، واتصالات شبكة متعددة وما إلى ذلك ما لم أفقد شيئًا. لا علاقة لذلك ، أود أن أقترح عليك بحرارة فصل أجهزة "إنترنت الأشياء"(على الأقل) في شبكة مختلفة.
هناك مشكلة في وجود جميع الأجهزة على نفس الشبكة الفرعية وهي مطلب WGbox إلى NAT حركة مرور النفق. أفترض أن هذا ليس بالضرورة قاتلًا ، ولكن يبدو أنه مضيعة للهدر في ضوء نهاية VPS السحابية للنفق الذي يحتاج إلى NAT أيضًا. كما أنه يعقد تكوين WGbox. ولكنه يتجنب التعقيدات الناتجة عن إعداد الشبكات الفرعية الإضافية وربطها بجهاز التوجيه الرئيسي.
بالنسبة لتشغيل / إيقاف تشغيل النفق حسب الرغبة لتصفح الويب من جهاز Mac الخاص بي ، فقد فكرت في إعداد إحدى واجهات WGbox كوكيل في متصفح الويب الخاص بي (هل هذا ما تقصده؟) باختصار التعليم الذاتي عن طريق البحث على الإنترنت اكتشف أنه بالنسبة لـ HTTPS ، يصدر المتصفح اتصالاً بالخادم الوكيل لإنشاء نفق إلى خادم الويب الهدف. لست متأكدًا مما سيفعله WGbox مع CONNECT. بشكل عام ، أعتقد أنه سيكون هناك بعض تكوين جدار الحماية المطلوب لتجنب WGbox إسقاط أو رفض حركة مرور الويب الخاصة بـ Mac قبل WireGuard. أو ربما تعمل عناوين الفنادق المسموح بها 0.0.0.0/0 للأقسام النظيرة على تكوين التحكم في الوصول المسموح به تلقائيًا.
تبين أن هناك جهازًا واحدًا فقط (حتى الآن) ، خادم البيانات بدون رأس ، أود أن يكون منفقًا لوظيفته الأساسية. أقول "الوظيفة الأساسية"لأنني ، لكوني مقطوعة الرأس ، أحتاج إلى وصول SSH إليها من جهاز Mac. هذا ، وليس DHCP (الذي يمكنني التعامل معه بسهولة) ، هو ما يعقد إعداد WGbox ليكون بوابته. أيضًا ، أثناء جلسات SSH ، يفضل الوصول إلى WAN غير النفقي لتحديثات نظام التشغيل ، إلخ.
== Ã Â Ã Â تموت المجتمع ==
ميتجليدر
متصل
Reddit
