= Μπορεί να πραγματοποιήσει ομότιμη σύνδεση από LAN σε VPS/διακομιστή cloud όλες τις εισόδους από δύο άλλα συστήματα LAN; =
Μπορώ να το κάνω αυτό;
Αποκλειστικό πλαίσιο WG σε σήραγγες LAN σε διακομιστή VPS/cloud WG. Αυτό το τοπικό πλαίσιο WG έχει πολλαπλές διεπαφές Ethernet. Μπορεί να λάβει είσοδο χωρίς σύνδεση από δύο άλλα κουτιά LAN και να την προωθήσει μέσω της σήραγγας WG στον διακομιστή VPS/cloud; Επιπλέον, μπορεί ένα από αυτά τα άλλα κουτιά LAN να μεταφέρει SSH στο πλαίσιο WG με άλλη σύνδεση ethernet;
Σύνοψη των ενσύρματων διεπαφών του κουτιού LAN WG:
1: στην πλευρά LAN του δρομολογητή, για πρόσβαση σε WAN και για SSH με Mac.
2. το Mac μέσω του δρομολογητή, για κυκλοφορία σε σήραγγα.
3. το άλλο κιβώτιο LAN, για κυκλοφορία που πρόκειται να γίνει σήραγγα.
Το Mac θα εξάγει την επισκεψιμότητά του στη διεπαφή 2 και την κυκλοφορία SSH στη διεπαφή 1. Και οι δύο αυτές διεπαφές συνδέονται με το δρομολογητή. Η διεπαφή 3 συνδέεται απευθείας με το άλλο κουτί LAN. Όλες οι διευθύνσεις LAN βρίσκονται στο ίδιο υποδίκτυο και είναι στατικές διευθύνσεις.
Θέματα που βλέπω μέχρι στιγμής: Νομίζω ότι το πλαίσιο WG πρέπει να NAT την κυκλοφορία του tunneling (εκτός από τον διακομιστή VPS και πάλι). αν ναι, υπάρχει πρόβλημα; Και πώς μπορεί να απομονωθεί η κίνηση SSH από το τούνελ;
Όλες οι διευθύνσεις LAN βρίσκονται στο ίδιο υποδίκτυο και είναι στατικές διευθύνσεις.
Το να έχετε πολλά LAN με το ίδιο υποδίκτυο είναι κακή ιδέα. Κάθε LAN θα πρέπει να χρησιμοποιεί το δικό του υποδίκτυο. Και το πλαίσιο WG δεν πρέπει να έχει πολλαπλές διεπαφές συνδεδεμένες στο ίδιο υποδίκτυο.
Δεν χρειάζεται να χρησιμοποιήσετε το NAT στο πλαίσιο WG, αντίθετα θα πρέπει να διαμορφώσετε τα υποδίκτυα LAN σε επιτρεπόμενες-ips στον διακομιστή cloud WG.
Επεξεργασία: αντικαταστάθηκε από την επόμενη απάντησή μου
Εντάξει, να σκέφτομαι τώρα που άναψες τη λάμπα πολλαπλών υποδικτύων Αυτή τη στιγμή υπάρχει μόνο ένα υποδίκτυο, το 192.16816. Υπάρχουν πολλά κουτιά/κεντρικοί υπολογιστές/συσκευές σε αυτό -- τηλέφωνα, θερμοστάτες, υπολογιστές, εξαρτήματα οικιακού κινηματογράφου κ.λπ. -- εκτός από τα τρία που αναφέρονται στο OP μου (τα οποία τώρα θα αναφέρω ως 1_LAN_WG_box, 2_ Mac, και 3_other_LAN_box).
Ας υποθέσουμε ότι το 2_Mac θα γίνει 172.16.0.6 και το 3_other_LAN_box θα γίνει 172.17.0.7. Η υποδοχή ETH1 του κουτιού LAN WG παραμένει στην 192.16816. Η υποδοχή ETH2 γίνεται 172.16.0.2 (υποδίκτυο 2_Mac) και η υποδοχή ETH3 γίνεται 172.17.0.1 (πύλη στο υποδίκτυο του 3_other_LAN_box). Αυτό αφαιρεί το τοπικό-ΝΑΤ θέμα.
Δεν θέλω το Mac στο VPN συνεχώς, αλλά μόνο περιστασιακά ως πελάτης ιστού. Σχεδίαζα να ενεργοποιήσω τη δυνατότητα του προγράμματος περιήγησης διακομιστή μεσολάβησης, με το πλαίσιο LAN WG ως διακομιστή μεσολάβησης, μόνο όταν θέλω να χρησιμοποιήσω το VPN. Νομίζω ότι δεν έχω αναφέρει ακόμα ότι το κουτί του LAN WG είναι ακέφαλο. Θέλω να χρησιμοποιήσω το Mac για τον έλεγχο και τη διαμόρφωση του μέσω SSH. Το ίδιο ισχύει και για το 3_other_LAN_box.
Το Mac, 172.16.0.6, θα SSH στο πλαίσιο LAN WG στη διεύθυνση 192.16816 του τελευταίου. Θα δώσω στον κύριο δρομολογητή μια στατική διαδρομή για αυτό. Το πρόγραμμα περιήγησης Mac, όταν θέλω να χρησιμοποιήσει το VPN, θα χρησιμοποιήσει τη διεύθυνση ETH2 172.16.0.2 του πλαισίου LAN WG ως διακομιστή μεσολάβησης του προγράμματος περιήγησης.
Το 3_other_LAN_έχει μόνο μία υποδοχή RJ45. Θα χρησιμοποιήσει το πλαίσιο LAN WG ως πύλη. Εάν το 3_other_LAN_box συνδεθεί σε έναν διακόπτη, τότε το Mac θα μπορούσε να SSH στο 3_other_LAN_box μέσω μιας στατικής διαδρομής κύριου δρομολογητή.
Υποθέτω ότι αυτό είναι το πρώτο μου σχέδιο δικτύου! Ένα πρόβλημα που απομένει είναι η απομόνωση της κίνησης SSH του πλαισίου LAN WG από τη σήραγγα. Έχω κάποιες σκέψεις για αυτό, αλλά αν η απάντηση στη συνολική ερώτησή μου, "Μπορεί αυτό να λειτουργήσει;"είναι ναι, θα αφήσω το θέμα για άλλη ανάρτηση. Επίσης, για μια άλλη ανάρτηση θα είναι το περιεχόμενο των αρχείων WG conf που φιλοξενεί αυτόν τον σχεδιασμό LAN -- εκτός κι αν όλα λειτουργούν στην πρώτη μου προσπάθεια!
(Προσπάθησα να καταστήσω αυτό το σχόλιο σαφές, αλλά καταλαβαίνω ότι περιέχει πολλές λεπτομέρειες. Εκτιμώ τη βοήθειά σας!)
Υπάρχουν ορισμένες πτυχές της προηγούμενης απάντησής μου των 13 ωρών. πριν νομίζω ότι είναι πιθανό να μην λειτουργήσει, οπότε ξεκινάω από την αρχή. Μπορείτε να αγνοήσετε αυτήν την απάντηση αν θέλετε.
Μεγάλη εικόνα: Έχω ένα κουτί Ubuntu χωρίς κεφαλή ("WGbox") Θέλω να χρησιμοποιήσω για να συνδέσω δύο τοπικές συσκευές, έναν Mac και έναν διακομιστή δεδομένων χωρίς κεφαλή ("DS") στο τοπικό άκρο μιας σήραγγας WG σε έναν διακομιστή WG σε cloud VPS. Το DS θα έχει σήραγγα 24/7, αλλά το Mac μόνο περιστασιακά. Τόσο το WGbox όσο και το DS, επειδή είναι χωρίς κεφάλι, χρειάζονται πρόσβαση SSH από το Mac.
Το WGbox έχει τέσσερις υποδοχές RJ45. Αυτήν τη στιγμή έχω ένα υποδίκτυο LAN, 192.168.1.0/24. Λόγω των αναγκών εικονικής δρομολόγησης της WG, θα χρειαστώ τουλάχιστον ένα επιπλέον υποδίκτυο για να κάνω σήραγγα δύο συσκευών (Mac και DS).
Λαμβάνοντας υπόψη το Mac πρώτα, θέλω περιστασιακά να διοχετεύω την κυκλοφορία ιστού του προγράμματος περιήγησης μέσω του WGbox και να μπορώ να μεταφέρω SSH στο WGbox όταν δεν πραγματοποιώ διοχέτευση της κυκλοφορίας ιστού. Επί του παρόντος, η μόνη ενσύρματη διεπαφή του WGBox σε χρήση έχει εκχωρηθεί 198.168.1.10 και I SSH σε αυτό από το Mac που είναι 198.168.1.200.
Τι θα λέγατε να προσθέσω ένα υποδίκτυο για Mac, με πύλη όπως 172.16.0.1/24 και να το εκχωρήσω σε μια δεύτερη ενσύρματη διεπαφή στο WGbox. Όταν θέλω να κάνω σήραγγα στο Mac, αλλάζω την IP/πύλη του Mac σε 172.16.0.1/172.16.0.1. Δεδομένου ότι ο κύριος δρομολογητής είναι στο υποδίκτυο 192.168, κανονικά θα έπρεπε να βάλω μια γέφυρα στα iptables του για να δρομολογήσω σε ένα 172.16.0.1. Αλλά επειδή το Mac και το WGbox είναι συνδεδεμένα στον ίδιο διακόπτη, νομίζω ότι μπορώ να αποφύγω τη γέφυρα.
Πιστεύετε ότι αυτό λειτουργεί; Αν ναι, θα προχωρήσω στο tunneling και την πρόσβαση SSH για τη συσκευή DS. Εάν όχι, πείτε μου οποιεσδήποτε σκέψεις σχετικά με τον τρόπο διόρθωσης.
"Το πλαίσιο WG δεν πρέπει να έχει πολλαπλές διεπαφές συνδεδεμένες στο ίδιο υποδίκτυο."Γιατί; Δεν διαφωνώ, απλώς γκρινιάζω, καθώς πιστεύω ότι η παραβίαση αυτού του κανόνα θα απλοποιούσε το έργο μου και θα ήθελα να μάθω τον λόγο πίσω από αυτό.
Μπορεί να το διαβάζω λάθος (μακριά μέρα), αλλά τι σας εμποδίζει να:
- χρήση του WGbox ως πύλης LAN για όλες τις συσκευές που θέλετε να δρομολογούνται μόνιμα μέσα από τη σήραγγα (θα πρέπει να το ρυθμίσετε στις αντίστοιχες συσκευές και είτε να εγκαταλείψετε είτε να περιπλέκετε τη ρύθμιση DHCP από την προεπιλεγμένη πύλη LAN);
- ρύθμιση ενός διακομιστή μεσολάβησης στο WGbox τον οποίο μπορείτε να ενεργοποιείτε και να απενεργοποιείτε όπως θέλετε, στις συσκευές που
*δεν θέλετε* να δρομολογηθεί μόνιμα;
Δεν χρειάζεται (IMHO και σε γρήγορη ανάγνωση) να μπερδεύω με διαφορετικά υποδίκτυα, πολλαπλές συνδέσεις δικτύου κ.λπ. Εκτός αν μου λείπει κάτι. Άσχετο με αυτό, θα σας πρότεινα θερμά να διαχωρίσετε τις συσκευές «IoT» (τουλάχιστον) σε διαφορετικό δίκτυο.
Ένα πρόβλημα με την ύπαρξη όλων των συσκευών στο ίδιο υποδίκτυο είναι η απαίτηση για το WGbox να NAT την κυκλοφορία της σήραγγας. Υποθέτω ότι αυτό δεν είναι απαραιτήτως μοιραίο, αλλά φαίνεται σπατάλη υπό το φως του νέφους VPS τέλος της σήραγγας που πρέπει επίσης να NAT. Περιπλέκει επίσης τη διαμόρφωση του WGbox. Αλλά αποφεύγει την επιπλοκή από τη ρύθμιση των πρόσθετων υποδικτύων και τη σύνδεση τους στον κύριο δρομολογητή μου.
Όσον αφορά την ενεργοποίηση/απενεργοποίηση του tunneling κατά βούληση για περιήγηση στον ιστό από το Mac μου, είχα σκεφτεί να ρυθμίσω μια από τις διεπαφές WGbox ως διακομιστή μεσολάβησης στο πρόγραμμα περιήγησής μου στον ιστό (αυτό εννοείτε;) Εν συντομία αυτοεκπαίδευση μέσω αναζήτησης στο Διαδίκτυο I διαπιστώσετε ότι για το HTTPS το πρόγραμμα περιήγησης εκδίδει ένα CONNECT στον διακομιστή μεσολάβησης για τη δημιουργία μιας σήραγγας στον διακομιστή ιστού προορισμού. Δεν είμαι σίγουρος τι θα κάνει το WGbox με το CONNECT. Γενικότερα, πιστεύω ότι θα χρειαζόταν κάποια διαμόρφωση τείχους προστασίας για να αποφευχθεί η απόρριψη ή η απόρριψη της κυκλοφορίας ιστού του Mac από το WGbox πριν από το WireGuard. Ή ίσως το AllowedIPs 0.0.0.0/0 για τις ενότητες Peer να ρυθμίσει αυτόματα τον έλεγχο επιτρεπόμενης πρόσβασης.
Αποδεικνύεται ότι υπάρχει μόνο μία συσκευή (μέχρι στιγμής), ο διακομιστής δεδομένων χωρίς κεφαλή, που θα ήθελα να βάλω σε σήραγγα για τη βασική του λειτουργία. Λέω "βασική λειτουργία"γιατί, επειδή είμαι ακέφαλος, χρειάζομαι πρόσβαση SSH σε αυτήν από Mac. Αυτό, όχι το DHCP (το οποίο μπορώ να χειριστώ εύκολα), είναι που περιπλέκει τη ρύθμιση του WGbox ως πύλης του. Επίσης, κατά τη διάρκεια των συνεδριών SSH, χρειάζεται κατά προτίμηση πρόσβαση σε WAN χωρίς σήραγγες για ενημερώσεις λειτουργικού συστήματος κ.λπ.
== ÃÂÃÂber diese Κοινότητα ==
Mitglieder
Σε σύνδεση
Reddit
