= Bolehkah peer pada LAN ke VPS/terowong pelayan awan semua input daripada dua sistem LAN lain? =
Bolehkah saya melakukan ini?
Kotak WG khusus pada terowong LAN ke pelayan VPS/cloud WG. Kotak WG tempatan ini mempunyai berbilang antara muka ethernet. Bolehkah ia mengambil input tidak terowong daripada dua kotak LAN lain dan memajukannya melalui terowong WG ke pelayan VPS/awan? Selain itu, bolehkah salah satu kotak LAN lain ini SSH ke kotak WG dengan sambungan ethernet lain?
Ringkasan antara muka berwayar kotak LAN WG:
1: ke bahagian LAN penghala, untuk akses WAN dan untuk SSH dengan Mac;
2. Mac melalui penghala, untuk trafik yang akan dilalui;
3. kotak LAN yang lain, untuk trafik yang akan dilalui.
Mac akan mengeluarkan trafik yang akan disalurkan ke antara muka 2, dan trafik SSH pada antara muka 1; kedua-dua antara muka tersebut bersambung ke penghala. Antara muka 3 bersambung terus ke kotak LAN yang lain. Semua alamat LAN berada pada subnet yang sama dan merupakan alamat statik.
Isu yang saya lihat setakat ini: Saya rasa kotak WG perlu NAT trafik terowongnya (sebagai tambahan kepada serverit VPS sekali lagi); jika ya, ada masalah di sana? Dan bagaimanakah trafik SSH boleh diasingkan daripada terowong?
Semua alamat LAN berada pada subnet yang sama dan merupakan alamat statik.
Mempunyai berbilang LAN dengan subnet yang sama adalah idea yang tidak baik. Setiap LAN harus menggunakan subnetnya sendiri. Dan kotak WG tidak sepatutnya mempunyai berbilang antara muka yang disambungkan ke subnet yang sama.
Anda tidak perlu menggunakan NAT pada kotak WG, sebaliknya anda harus mengkonfigurasi subnet LAN dalam ips yang dibenarkan pada pelayan WG awan.
Edit: digantikan dengan balasan saya yang seterusnya
OK, inilah pendapat saya sekarang bahawa anda telah menyalakan mentol lampu berbilang subnet Sekarang hanya terdapat satu subnet, 192.16816. Terdapat banyak kotak/hos/peranti padanya -- telefon, termostat, komputer, komponen teater rumah, dsb. -- sebagai tambahan kepada tiga yang disebut dalam OP saya (yang kini saya akan rujuk sebagai 1_LAN_WG_box, 2_ Mac dan 3_kotak_LAN_lain).
Katakan 2_Mac akan menjadi 172.16.0.6 dan 3_other_LAN_box akan menjadi 172.17.0.7. Penyambung ETH1 kotak LAN WG kekal pada 192.16816. Penyambung ETH2nya menjadi 172.16.0.2 (subnet 2_Mac), dan penyambung ETH3nya menjadi 172.17.0.1 (pintu masuk pada subnet 3_other_LAN_box). Itu menghapuskan isu tempatan-NAT.
Saya tidak mahu Mac menggunakan VPN sepanjang masa tetapi hanya sekali-sekala sebagai pelanggan web. Saya merancang untuk menghidupkan ciri penyemak imbas pelayan proksi, dengan kotak LAN WG sebagai proksi, hanya apabila saya mahu menggunakan VPN. Saya rasa saya belum menyebut lagi bahawa kotak LAN WG tidak berkepala; Saya mahu menggunakan Mac untuk mengawal dan mengkonfigurasinya melalui SSH. Perkara yang sama berlaku untuk 3_other_LAN_box.
Mac, 172.16.0.6, akan SSH ke kotak LAN WG di alamat 192.16816 yang terakhir. Saya akan memberikan penghala utama laluan statik untuk itu. Pelayar Mac, apabila saya mahu ia menggunakan VPN, akan menggunakan alamat ETH2 172.16.0.2 kotak LAN WG sebagai proksi penyemak imbas.
3_LAN_lain_hanya mempunyai satu penyambung RJ45. Ia akan menggunakan kotak LAN WG sebagai pintu masuk. Jika 3_other_LAN_box bersambung ke suis, maka Mac boleh SSH ke 3_other_LAN_box melalui laluan statik penghala utama.
Saya rasa ini adalah reka bentuk rangkaian pertama saya! Isu yang tinggal ialah mengasingkan trafik SSH kotak LAN WG daripada terowong. Saya mempunyai beberapa pemikiran tentang itu, tetapi jika jawapan kepada soalan keseluruhan saya, "Bolehkah ini berfungsi?"ya, saya akan tinggalkan isu itu untuk jawatan lain. Juga untuk siaran lain ialah kandungan fail WG conf yang menampung reka bentuk LAN ini -- melainkan semuanya berfungsi pada percubaan pertama saya!
(Saya telah cuba menjelaskan ulasan ini tetapi saya faham bahawa ia mengandungi banyak butiran. Saya menghargai bantuan anda!)
Terdapat beberapa aspek balasan saya sebelum ini selama 13 jam. lalu yang saya fikir mungkin tidak berfungsi, jadi saya mulakan semula. Anda boleh mengabaikan balasan itu jika anda suka.
Gambar besar: Saya mempunyai kotak Ubuntu tanpa kepala ("WGbox") yang saya mahu gunakan untuk menyambungkan dua peranti tempatan, Mac dan pelayan data tanpa kepala ("DS") ke hujung tempatan terowong WG ke pelayan WG pada VPS awan. DS akan disalurkan 24/7, tetapi Mac hanya sekali-sekala. Kedua-dua WGbox dan DS, tanpa kepala, memerlukan akses SSH daripada Mac.
WGbox mempunyai empat penyambung RJ45. Sekarang saya mempunyai satu subnet LAN, 192.168.1.0/24. Oleh kerana keperluan penghalaan maya WG, saya memerlukan sekurang-kurangnya satu subnet tambahan untuk menyalurkan dua peranti (Mac dan DS).
Memandangkan Mac dahulu, saya ingin sekali-sekala menyalurkan trafik web penyemak imbas melalui WGbox, dan dapat SSH ke WGbox apabila saya tidak menyelaraskan trafik web. Pada masa ini satu-satunya antara muka berwayar WGBox yang digunakan diberikan 198.168.1.10 dan saya SSH kepadanya daripada Mac iaitu 198.168.1.200.
Bagaimana pula saya menambah subnet untuk Mac, dengan get laluan seperti 172.16.0.1/24 dan menetapkannya kepada antara muka berwayar kedua pada WGbox. Apabila saya mahu terowong Mac, saya menukar IP/pintu masuk Mac kepada 172.16.0.1/172.16.0.1. Memandangkan penghala utama berada pada subnet 192.168, biasanya saya perlu meletakkan jambatan ke dalam iptablesnya untuk mengarahkan ke 172.16.0.1. Tetapi memandangkan Mac dan WGbox disambungkan kepada suis yang sama, saya fikir saya boleh mengelakkan jambatan itu.
Adakah anda fikir ini berkesan? Jika ya, saya akan beralih ke terowong dan akses SSH untuk peranti DS. Jika tidak, sila beritahu saya apa-apa pemikiran tentang cara untuk membetulkannya.
"kotak WG tidak sepatutnya mempunyai berbilang antara muka yang disambungkan ke subnet yang sama."kenapa? Saya tidak membantah, hanya merengek, kerana saya fikir melanggar peraturan itu akan memudahkan tugas saya dan saya ingin tahu sebab di sebaliknya.
Saya mungkin tersilap membaca ini (hari yang panjang), tetapi apa yang menghalang anda daripada:
- menggunakan WGbox sebagai get laluan LAN untuk semua peranti yang anda mahu diarahkan secara kekal melalui terowong (anda perlu menyediakannya pada peranti masing-masing dan sama ada menyerah atau merumitkan persediaan DHCP anda daripada get laluan LAN lalai)?
- menyediakan proksi pada WGbox yang anda boleh hidupkan dan matikan mengikut kehendak anda, pada peranti yang anda
*tidak mahu* dihalakan secara kekal?
Tidak perlu (IMHO dan membaca cepat) untuk mengacaukan subnet yang berbeza, berbilang sambungan rangkaian dll. Melainkan saya kehilangan sesuatu. Tidak berkaitan dengan ini, saya sangat menyarankan anda untuk memisahkan peranti "IoT"(sekurang-kurangnya) ke dalam rangkaian yang berbeza.
Isu dengan mempunyai semua peranti pada subnet yang sama ialah keperluan untuk WGbox untuk NAT trafik terowong. Saya rasa itu tidak semestinya membawa maut, tetapi nampaknya membazir memandangkan hujung VPS awan terowong perlu NAT juga. Ia juga merumitkan konfigurasi WGbox. Tetapi ia mengelakkan komplikasi daripada menyediakan subnet tambahan dan mengikatnya dalam penghala utama saya.
Bagi menghidupkan/mematikan terowong sesuka hati untuk menyemak imbas web dari Mac saya, saya terfikir untuk menyediakan salah satu antara muka WGbox sebagai proksi dalam penyemak imbas web saya (itukah maksud anda?) Secara ringkas pendidikan kendiri melalui carian internet, saya mendapati bahawa untuk HTTPS penyemak imbas mengeluarkan CONNECT ke pelayan proksi untuk mewujudkan terowong ke pelayan web sasaran. Saya tidak pasti apa yang akan dilakukan oleh WGbox dengan CONNECT. Secara umumnya, saya fikir akan ada beberapa konfigurasi tembok api yang diperlukan untuk mengelakkan WGbox menjatuhkan atau menolak trafik web Mac sebelum WireGuard. Atau mungkin AllowedIPs 0.0.0.0/0 untuk bahagian Peer akan mengkonfigurasi kawalan akses permisif secara automatik.
Ternyata hanya ada satu peranti (setakat ini), pelayan data tanpa kepala, yang saya ingin terowong untuk fungsi terasnya. Saya menyebut "fungsi teras"kerana, tanpa kepala, saya memerlukan akses SSH kepadanya daripada Mac. Itu, bukan DHCP (yang saya boleh kendalikan dengan mudah), yang merumitkan menetapkan WGbox sebagai pintu masuknya. Selain itu, semasa sesi SSH, ia lebih baik memerlukan akses WAN yang tidak terowong untuk kemas kini OS, dsb.
== ÃÂÃÂber diese Komuniti ==
Mitglieder
dalam talian
Reddit
