= 他の 2 つの LAN システムからのすべての入力を VPS/クラウド サーバー トンネルに LAN でピアリングできますか? =
これはできますか?
VPS/クラウド WG サーバーへの LAN トンネル上の専用 WG ボックス。このローカル WG ボックスには、複数のイーサネット インターフェイスがあります。他の 2 つの LAN ボックスから非トンネル入力を取得し、WG トンネル経由で VPS/クラウド サーバーに転送できますか?さらに、これらの他のLANボックスの1つは、別のイーサネット接続を使用してWGボックスにSSHで接続できますか?
LAN WG ボックスの有線インターフェースのまとめ:
1: ルーターの LAN 側、WAN アクセスおよび Mac での SSH 用。
2. トンネリングされるトラフィック用のルーター経由の Mac。
3. トンネリングされるトラフィック用のもう 1 つの LAN ボックス。
Mac は、トンネリングされるトラフィックをインターフェイス 2 に出力し、SSH トラフィックをインターフェイス 1 に出力します。これらのインターフェイスは両方ともルーターに接続します。インターフェイス 3 は、他の LAN ボックスに直接接続します。すべての LAN アドレスは同じサブネット上にあり、静的アドレスです。
これまでに見た問題: WG ボックスは (VPS サーバーに加えて) トンネリングするトラフィックを NAT する必要があると思います。もしそうなら、何か問題はありますか?また、SSH トラフィックをトンネルから分離するにはどうすればよいでしょうか?
すべての LAN アドレスは同じサブネット上にあり、静的アドレスです。
同じサブネットを持つ複数の LAN を持つことは、悪い考えです。各 LAN は独自のサブネットを使用する必要があります。また、WG ボックスには、同じサブネットに接続された複数のインターフェイスがあってはなりません。
WG ボックスで NAT を使用する必要はありません。代わりに、クラウド WG サーバーの allowed-ips で LAN サブネットを構成する必要があります。
編集:私の次の返信に取って代わられました
OK、これがマルチサブネットの電球を点灯させた今の私の考えです。現在、192.16816 という 1 つのサブネットしかありません。その上には、電話、サーモスタット、コンピューター、ホーム シアター コンポーネントなど、多くのボックス/ホスト/デバイスがあります。さらに、OP で言及した 3 つ (これを 1_LAN_WG_box、2_ Mac、および3_other_LAN_box)。
2_Mac が 172.16.0.6 になり、3_other_LAN_box が 172.17.0.7 になるとします。 LAN WG ボックスの ETH1 コネクタは 192.16816 のままです。 ETH2 コネクタは 172.16.0.2 (2_Mac のサブネット) になり、ETH3 コネクタは 172.17.0.1 (3_other_LAN_box のサブネット上のゲートウェイ) になります。これにより、ローカル NAT の問題が解消されます。
Mac を常に VPN に接続したくはありませんが、たまにしか Web クライアントとして使用したくありません。 VPNを使いたいときだけ、LAN WGボックスをプロキシとして、プロキシサーバーブラウザ機能をオンにする予定でした。 LAN WG ボックスがヘッドレスであることについてはまだ言及していないと思います。 Mac を使用して、SSH 経由で制御および構成したいと考えています。 3_other_LAN_box も同様です。
Mac 172.16.0.6 は、後者のアドレス 192.16816 で LAN WG ボックスに SSH 接続します。そのための静的ルートをメインルーターに与えます。 VPN を使用する場合、Mac ブラウザは LAN WG ボックスの ETH2 172.16.0.2 アドレスをブラウザ プロキシとして使用します。
3_other_LAN_には RJ45 コネクタが 1 つしかありません。 LAN WG ボックスをゲートウェイとして使用します。 3_other_LAN_box がスイッチに接続されている場合、Mac はメイン ルーターの静的ルートを介して 3_other_LAN_box に SSH で接続できます。
これが私の最初のネットワーク設計だと思います。残りの問題は、LAN WG ボックスの SSH トラフィックをトンネルから分離することです。それについてはいくつかの考えがありますが、私の全体的な質問に対する答えが「これでうまくいくでしょうか?」はい、その問題は別の投稿に任せます。また、別の投稿として、この LAN 設計に対応する WG conf ファイルの内容を掲載します。最初の試行ですべてが機能しない限りは。
(私はこのコメントを明確にしようとしましたが、それには多くの詳細が含まれていることを理解しています。あなたの助けに感謝します!)
13時間の私の以前の返信にはいくつかの側面があります。その前に、うまくいかない可能性が高いと思うので、最初からやり直しています。必要に応じて、その返信を無視できます。
全体像: ヘッドレス Ubuntu ボックス (「WGbox」) を使用して、Mac とヘッドレス データ サーバー (「DS」) の 2 つのローカル デバイスを WG トンネルのローカル エンドの WG サーバーに接続するために使用したいと考えています。クラウド VPS。 DS は 24 時間 365 日トンネリングされますが、Mac はたまにしかありません。 WGbox と DS はどちらもヘッドレスであるため、Mac からの SSH アクセスが必要です。
WGbox には 4 つの RJ45 コネクタがあります。現在、192.168.1.0/24 という 1 つの LAN サブネットがあります。 WG の仮想ルーティングのニーズにより、2 つのデバイス (Mac と DS) をトンネリングするには、少なくとも 1 つの追加のサブネットが必要です。
最初に Mac を考えると、ブラウザの Web トラフィックを WGbox 経由で時々トンネリングし、Web トラフィックをトンネリングしていないときは WGbox に SSH できるようにしたいと考えています。現在、使用中の WGBox の唯一の有線インターフェイスには 198.168.1.10 が割り当てられており、Mac から 198.168.1.200 に SSH で接続しています。
172.16.0.1/24 などのゲートウェイを使用して Mac 用のサブネットを追加し、それを WGbox の 2 番目の有線インターフェイスに割り当てます。 Mac をトンネリングしたいときは、Mac の IP/ゲートウェイを 172.16.0.1/172.16.0.1 に変更します。メイン ルーターは 192.168 サブネット上にあるため、通常は iptables にブリッジを配置して 172.16.0.1 にルーティングする必要があります。でもMacとWGboxは同じスイッチに接続されているので、ブリッジは回避できると思います。
これはうまくいくと思いますか?その場合は、DS デバイスのトンネリングと SSH アクセスに進みます。そうでない場合は、修正方法についての考えを教えてください。
「WGボックスには、同じサブネットに接続された複数のインターフェースがあってはなりません。」なぜ?その規則に違反すると私の仕事が簡単になると思うので、私は主張しているのではなく、ただ泣き言を言っているだけであり、その理由を知りたい.
私はこれを誤解しているかもしれませんが (長い一日)、何があなたを妨げています:
- トンネルを介して永続的にルーティングするすべてのデバイスの LAN ゲートウェイとして WGbox を使用します (それぞれのデバイスでこれを設定する必要があり、デフォルトの LAN ゲートウェイからの DHCP 設定を放棄するか複雑にする必要があります)。
- WGbox にプロキシを設定し、必要に応じてオンとオフを切り替えることができます。
*望まない* 恒久的にルーティングされますか?
異なるサブネット、複数のネットワーク接続などをいじる必要はありません(IMHOと簡単な読み取りで)。何かが足りない場合を除きます。これとは関係ありませんが、「IoT」デバイスを (少なくとも) 別のネットワークに分離することを強くお勧めします。
すべてのデバイスを同じサブネット上に配置する場合の問題は、WGbox がトンネル トラフィックを NAT する必要があることです。これは必ずしも致命的ではないと思いますが、トンネルのクラウド VPS エンドでも NAT を実行する必要があることを考えると無駄に思えます。また、WGbox の構成も複雑になります。しかし、追加のサブネットをセットアップしてメイン ルーターに結合するという複雑さを回避できます。
Mac からの Web ブラウジングのトンネリングのオン/オフを自由に切り替える方法については、WGbox インターフェイスの 1 つを Web ブラウザーでプロキシとして設定することを考えていました (それはどういう意味ですか?)。 HTTPS の場合、ブラウザはプロキシ サーバーに CONNECT を発行して、ターゲット Web サーバーへのトンネルを確立します。 WGbox が CONNECT で何をするかはわかりません。より一般的には、WireGuard の前に WGbox が Mac の Web トラフィックをドロップまたは拒否するのを避けるために、いくつかのファイアウォール構成が必要になると思います。または、Peer セクションの AllowedIPs 0.0.0.0/0 は、寛容なアクセス制御を自動構成します。
コア機能のためにトンネリングしたいデバイスは (これまでのところ) ヘッドレス データ サーバーの 1 つだけであることがわかりました。 「コア機能」と言うのは、ヘッドレスであるため、Mac から SSH アクセスする必要があるためです。これは、DHCP (私は簡単に処理できます) ではなく、WGbox をゲートウェイとして設定することを複雑にします。また、SSH セッション中は、OS の更新などのために、できればトンネル化されていない WAN アクセスが必要です。
== ãâãâber diese コミュニティ ==
ミトグライダー
オンライン
これまでのところ Reddit で 1 票、9 件のコメントがあります
