= LAN에서 VPS/클라우드 서버로 피어를 통해 다른 두 LAN 시스템의 모든 입력을 터널링할 수 있습니까? =
할 수 있습니까?
VPS/클라우드 WG 서버에 대한 LAN 터널의 전용 WG 박스. 이 로컬 WG 상자에는 여러 이더넷 인터페이스가 있습니다. 두 개의 다른 LAN 상자에서 터널링되지 않은 입력을 받아 WG 터널을 통해 VPS/클라우드 서버로 전달할 수 있습니까? 또한 이러한 다른 LAN 상자 중 하나가 다른 이더넷 연결을 통해 WG 상자에 SSH로 연결할 수 있습니까?
LAN WG 상자의 유선 인터페이스 요약:
1: 라우터의 LAN 쪽, WAN 액세스 및 Mac과의 SSH용;
2. 터널링할 트래픽을 위해 라우터를 통한 Mac;
3. 터널링할 트래픽을 위한 다른 LAN 상자.
Mac은 터널링할 트래픽을 인터페이스 2로 출력하고 SSH 트래픽을 인터페이스 1로 출력합니다. 두 인터페이스 모두 라우터에 연결됩니다. 인터페이스 3은 다른 LAN 상자에 직접 연결됩니다. 모든 LAN 주소는 동일한 서브넷에 있으며 정적 주소입니다.
지금까지 본 문제: WG 박스는 터널링 트래픽을 NAT해야 한다고 생각합니다(VPS 서버에 추가하여 다시). 그렇다면 문제가 있습니까? 그리고 터널에서 SSH 트래픽을 어떻게 격리할 수 있습니까?
모든 LAN 주소는 동일한 서브넷에 있으며 정적 주소입니다.
동일한 서브넷에 LAN이 여러 개 있는 것은 좋지 않습니다. 각 LAN은 자체 서브넷을 사용해야 합니다. 그리고 WG 상자에는 동일한 서브넷에 연결된 여러 인터페이스가 없어야 합니다.
WG 상자에서 NAT를 사용할 필요가 없으며 대신 클라우드 WG 서버의 allowed-ips에서 LAN 서브넷을 구성해야 합니다.
편집: 내 다음 회신으로 대체됨
자, 다중 서브넷 전구에 불을 켰으니 이제 내 생각은 이렇습니다. 현재 서브넷은 192.16816 하나만 있습니다. 내 OP에 언급된 세 가지 외에도(이제 1_LAN_WG_box, 2_Mac, 3_기타_LAN_상자).
2_Mac이 172.16.0.6이 되고 3_other_LAN_box가 172.17.0.7이 된다고 가정해 보겠습니다. LAN WG 상자의 ETH1 커넥터는 192.16816에 남아 있습니다. ETH2 커넥터는 172.16.0.2(2_Mac의 서브넷)가 되고 ETH3 커넥터는 172.17.0.1(3_other_LAN_box의 서브넷에 있는 게이트웨이)이 됩니다. 그러면 local-NAT 문제가 제거됩니다.
나는 항상 VPN에 있는 Mac을 원하지 않고 가끔 웹 클라이언트로 사용합니다. VPN을 사용하고 싶을 때만 LAN WG 상자를 프록시로 사용하여 프록시 서버 브라우저 기능을 켤 계획이었습니다. LAN WG 상자가 헤드리스라는 점을 아직 언급하지 않은 것 같습니다. Mac을 사용하여 SSH를 통해 제어하고 구성하고 싶습니다. 3_other_LAN_box에도 동일하게 적용됩니다.
Mac 172.16.0.6은 후자의 192.16816 주소에서 LAN WG 상자에 SSH로 연결합니다. 이를 위한 정적 경로를 주 라우터에 제공하겠습니다. VPN을 사용하려는 경우 Mac 브라우저는 LAN WG 상자의 ETH2 172.16.0.2 주소를 브라우저 프록시로 사용합니다.
3_other_LAN_에는 RJ45 커넥터가 하나만 있습니다. LAN WG 상자를 게이트웨이로 사용합니다. 3_other_LAN_box가 스위치에 연결되면 Mac은 기본 라우터 정적 경로를 통해 3_other_LAN_box에 SSH로 연결할 수 있습니다.
이것이 내 첫 번째 네트워크 디자인인 것 같아요! 남은 문제는 터널에서 LAN WG box SSH 트래픽을 격리하는 것입니다. 그것에 대해 몇 가지 생각이 있지만 전반적인 질문에 대한 대답이 "이것이 가능합니까?"예, 해당 문제는 다른 게시물에 남겨 두겠습니다. 또한 다른 게시물에는 이 LAN 설계를 수용하는 WG conf 파일 콘텐츠가 있습니다. 첫 번째 시도에서 모두 작동하지 않는 한!
(이 댓글을 명확하게 하려고 노력했지만 많은 세부 사항이 포함되어 있음을 이해합니다. 도움을 주셔서 감사합니다!)
13시간 내 이전 회신에는 몇 가지 측면이 있습니다. 작동하지 않을 것 같아서 다시 시작합니다. 원하는 경우 해당 답장을 무시할 수 있습니다.
큰 그림: 두 개의 로컬 장치, Mac 및 헤드리스 데이터 서버("DS")를 WG 터널의 로컬 끝에 있는 WG 서버에 연결하는 데 사용하려는 헤드리스 Ubuntu 상자("WGbox")가 있습니다. 클라우드 VPS. DS는 연중무휴 24시간 터널링되지만 Mac은 가끔씩만 터널링됩니다. 헤드리스인 WGbox와 DS는 모두 Mac에서 SSH 액세스가 필요합니다.
WGbox에는 4개의 RJ45 커넥터가 있습니다. 지금은 하나의 LAN 서브넷, 192.168.1.0/24가 있습니다. WG의 가상 라우팅 요구 사항 때문에 두 장치(Mac 및 DS)를 터널링하려면 최소한 하나의 추가 서브넷이 필요합니다.
먼저 Mac을 고려할 때 저는 때때로 WGbox를 통해 브라우저 웹 트래픽을 터널링하고 웹 트래픽을 터널링하지 않을 때 WGbox에 SSH로 연결할 수 있기를 원합니다. 현재 사용 중인 WGBox의 유일한 유선 인터페이스는 198.168.1.10에 할당되어 있으며 Mac에서 198.168.1.200인 SSH로 연결합니다.
172.16.0.1/24와 같은 게이트웨이를 사용하여 Mac용 서브넷을 추가하고 WGbox의 두 번째 유선 인터페이스에 할당하는 것은 어떻습니까? Mac을 터널링하려면 Mac의 IP/게이트웨이를 172.16.0.1/172.16.0.1로 변경합니다. 메인 라우터가 192.168 서브넷에 있기 때문에 일반적으로 172.16.0.1로 라우팅하려면 iptables에 브리지를 넣어야 합니다. 하지만 Mac과 WGbox가 같은 스위치에 연결되어 있기 때문에 브리지를 피할 수 있을 것 같습니다.
이것이 효과가 있다고 생각하십니까? 그렇다면 DS 장치에 대한 터널링 및 SSH 액세스로 이동하겠습니다. 그렇지 않은 경우 수정 방법에 대한 의견을 알려주십시오.
"WG 상자에는 동일한 서브넷에 연결된 여러 인터페이스가 없어야 합니다."왜? 나는 그 규칙을 위반하는 것이 내 작업을 단순화할 것이라고 생각하고 그 이유를 알고 싶습니다.
나는 이것을 잘못 읽고 있을지 모르지만 (긴 하루), 당신을 방해하는 것은 무엇입니까?
- 터널을 통해 영구적으로 라우팅하려는 모든 장치에 대해 WGbox를 LAN 게이트웨이로 사용합니까(각 장치에서 이를 설정하고 기본 LAN 게이트웨이에서 DHCP 설정을 포기하거나 복잡하게 해야 함)?
- 원하는 대로 켜고 끌 수 있는 WGbox에 프록시 설정
*원치 않는* 영구 라우팅?
다른 서브넷, 여러 네트워크 연결 등을 엉망으로 만들 필요가 없습니다(IMHO 및 빠른 읽기). 이와 관련 없이 "IoT"장치를 (최소한) 다른 네트워크로 분리하는 것이 좋습니다.
모든 장치가 동일한 서브넷에 있는 문제는 WGbox가 터널 트래픽을 NAT해야 한다는 요구 사항입니다. 나는 그것이 반드시 치명적이지는 않다고 생각하지만 NAT도 해야 하는 터널의 클라우드 VPS 끝을 고려하면 낭비인 것 같습니다. 또한 WGbox 구성을 복잡하게 만듭니다. 그러나 추가 서브넷을 설정하고 메인 라우터에 본딩하는 복잡성을 피합니다.
Mac에서 웹 브라우징을 위해 터널링을 마음대로 켜고 끄는 것과 관련하여 WGbox 인터페이스 중 하나를 웹 브라우저의 프록시로 설정하는 것을 생각했습니다(이게 무슨 뜻인가요?) 인터넷 검색을 통한 간단한 독학 HTTPS의 경우 브라우저가 대상 웹 서버에 대한 터널을 설정하기 위해 프록시 서버에 CONNECT를 발행한다는 것을 확인하십시오. WGbox가 CONNECT와 함께 무엇을 할지 잘 모르겠습니다. 보다 일반적으로 WGbox가 WireGuard 이전에 Mac의 웹 트래픽을 삭제하거나 거부하는 것을 방지하기 위해 방화벽 구성이 필요하다고 생각합니다. 또는 Peer 섹션에 대한 AllowedIPs 0.0.0.0/0은 허용 액세스 제어를 자동 구성합니다.
핵심 기능을 위해 터널링하고 싶은 헤드리스 데이터 서버인 장치는 (지금까지) 단 하나뿐이었습니다. 헤드리스이기 때문에 Mac에서 SSH 액세스가 필요하기 때문에 "핵심 기능"이라고 말합니다. DHCP(쉽게 처리할 수 있음)가 아니라 WGbox를 게이트웨이로 설정하는 것이 복잡합니다. 또한 SSH 세션 중에는 OS 업데이트 등을 위해 가급적 터널링되지 않은 WAN 액세스가 필요합니다.
== ÃÂÃÂber diese 커뮤니티 ==
Mitglieder
온라인
지금까지 Reddit에서 40개 투표 및 12개 댓글
