= สามารถเพียร์บน LAN ไปยังเซิร์ฟเวอร์ VPS/คลาวด์ อินพุตทั้งหมดจากระบบ LAN อื่นสองระบบได้หรือไม่ =

![ ](httpswww.redditstatic.com/desktop2x/img/renderTimingPixel.png)

ฉันสามารถทำสิ่งนี้ได้หรือไม่?

กล่อง WG เฉพาะบนอุโมงค์ LAN ไปยังเซิร์ฟเวอร์ VPS/cloud WG กล่อง WG ในเครื่องนี้มีอินเตอร์เฟสอีเธอร์เน็ตหลายตัว สามารถรับอินพุตที่ไม่ได้เชื่อมต่อจากกล่อง LAN อีกสองกล่องแล้วส่งต่อผ่านอุโมงค์ WG ไปยังเซิร์ฟเวอร์ VPS/คลาวด์ ได้หรือไม่ นอกจากนี้ LAN อื่น ๆ เหล่านี้สามารถส่ง SSH ไปยังกล่อง WG ด้วยการเชื่อมต่ออีเธอร์เน็ตอื่นได้หรือไม่

สรุปอินเทอร์เฟซแบบมีสายของกล่อง LAN WG:

1: ไปยังฝั่ง LAN ของเราเตอร์ สำหรับการเข้าถึง WAN และสำหรับ SSH ด้วย Mac

2. Mac ผ่านเราเตอร์สำหรับทราฟฟิก to-be-tunneled;

3. กล่อง LAN อื่น ๆ สำหรับการรับส่งข้อมูลเป็นอุโมงค์

Mac จะส่งทราฟฟิก to-be-tunneled ไปยังอินเทอร์เฟซ 2 และทราฟฟิก SSH บนอินเทอร์เฟซ 1; อินเทอร์เฟซทั้งสองเชื่อมต่อกับเราเตอร์ อินเทอร์เฟซ 3 เชื่อมต่อโดยตรงกับกล่อง LAN อื่น ที่อยู่ LAN ทั้งหมดอยู่บนเครือข่ายย่อยเดียวกันและเป็นที่อยู่แบบคงที่

ปัญหาที่ฉันเห็นจนถึงตอนนี้: ฉันคิดว่ากล่อง WG ต้อง NAT ทราฟฟิกการรับส่งข้อมูล (นอกเหนือจากเซิร์ฟเวอร์ VPS อีกครั้ง); ถ้าเป็นเช่นนั้น มีปัญหาอะไรไหม? และจะแยกการรับส่งข้อมูล SSH ออกจากอุโมงค์ได้อย่างไร

![ ](httpswww.redditstatic.com/desktop2x/img/renderTimingPixel.png)

ที่อยู่ LAN ทั้งหมดอยู่บนเครือข่ายย่อยเดียวกันและเป็นที่อยู่แบบคงที่

การมี LAN หลายตัวที่มีเครือข่ายย่อยเดียวกันเป็นความคิดที่ไม่ดี แต่ละ LAN ควรใช้เครือข่ายย่อยของตัวเอง และกล่อง WG ไม่ควรมีหลายอินเทอร์เฟซที่เชื่อมต่อกับเครือข่ายย่อยเดียวกัน

คุณไม่จำเป็นต้องใช้ NAT บนกล่อง WG แต่คุณควรกำหนดค่าซับเน็ต LAN เป็น ips ที่อนุญาตบนเซิร์ฟเวอร์ Cloud WG

แก้ไข: แทนที่ด้วยการตอบกลับครั้งต่อไปของฉัน

ตกลง ฉันคิดว่าตอนนี้คุณได้เปิดหลอดไฟเครือข่ายย่อยหลายเครือข่ายแล้ว ตอนนี้มีเครือข่ายย่อยเพียงเครือข่ายเดียวคือ 192.16816 มีกล่อง/โฮสต์/อุปกรณ์มากมาย - โทรศัพท์, เทอร์โมสตัท, คอมพิวเตอร์, ส่วนประกอบโฮมเธียเตอร์ ฯลฯ - นอกเหนือจากสามรายการที่กล่าวถึงใน OP ของฉัน (ซึ่งตอนนี้ฉันจะเรียกว่า 1_LAN_WG_box, 2_ Mac และ 3_other_LAN_box).

สมมติว่า 2_Mac จะเป็น 172.16.0.6 และ 3_other_LAN_box จะเป็น 172.17.0.7 ตัวเชื่อมต่อ ETH1 ของกล่อง LAN WG ยังคงอยู่ที่ 192.16816 ตัวเชื่อมต่อ ETH2 กลายเป็น 172.16.0.2 (ซับเน็ตของ 2_Mac) และตัวเชื่อมต่อ ETH3 กลายเป็น 172.17.0.1 (เกตเวย์บนซับเน็ตของ 3_other_LAN_box) นั่นเป็นการลบปัญหา Local-NAT


ฉันไม่ต้องการให้ Mac ใช้ VPN ตลอดเวลา แต่เป็นเพียงบางครั้งเท่านั้นในฐานะเว็บไคลเอนต์ ฉันวางแผนที่จะเปิดคุณสมบัติเบราว์เซอร์พร็อกซีเซิร์ฟเวอร์ โดยมีกล่อง LAN WG เป็นพร็อกซี เมื่อฉันต้องการใช้ VPN เท่านั้น ฉันคิดว่าฉันยังไม่ได้กล่าวถึงว่ากล่อง LAN WG เป็นหัวขาด; ฉันต้องการใช้ Mac เพื่อควบคุมและกำหนดค่าผ่าน SSH เช่นเดียวกับ 3_other_LAN_box

Mac 172.16.0.6 จะ SSH ไปยังกล่อง LAN WG ที่ที่อยู่ 192.16816 หลัง ฉันจะให้เราเตอร์หลักเป็นเส้นทางคงที่สำหรับสิ่งนั้น เบราว์เซอร์ Mac เมื่อฉันต้องการใช้ VPN จะใช้ที่อยู่ ETH2 172.16.0.2 ของกล่อง LAN WG เป็นพร็อกซีของเบราว์เซอร์

3_other_LAN_มีขั้วต่อ RJ45 เพียงช่องเดียว มันจะใช้กล่อง LAN WG เป็นเกตเวย์ หาก 3_other_LAN_box เชื่อมต่อกับสวิตช์ Mac สามารถ SSH ไปยัง 3_other_LAN_box ผ่านเส้นทางคงที่ของเราเตอร์หลัก

ฉันเดาว่านี่เป็นการออกแบบเครือข่ายครั้งแรกของฉัน! ปัญหาที่เหลืออยู่คือการแยกทราฟฟิก LAN WG box SSH ออกจากช่องสัญญาณ ฉันมีความคิดบางอย่างเกี่ยวกับเรื่องนี้ แต่ถ้าคำตอบสำหรับคำถามโดยรวมของฉันคือ "ใช้งานได้หรือไม่"คือ ใช่ ฉันจะทิ้งประเด็นนั้นไว้อีกกระทู้หนึ่ง นอกจากนี้สำหรับโพสต์อื่นจะเป็นเนื้อหาไฟล์ WG conf ที่รองรับการออกแบบ LAN นี้ - เว้นแต่ว่าจะใช้งานได้ในครั้งแรกของฉัน!

(ฉันได้พยายามทำให้ความคิดเห็นนี้ชัดเจน แต่ฉันเข้าใจว่ามีรายละเอียดมากมาย ฉันขอขอบคุณสำหรับความช่วยเหลือของคุณ!)

มีบางแง่มุมของการตอบกลับก่อนหน้าของฉันเมื่อ 13 ชม. ที่ผ่านมาฉันคิดว่าไม่น่าจะได้ผลฉันจึงเริ่มต้นใหม่ คุณสามารถเพิกเฉยต่อคำตอบนั้นได้หากต้องการ

ภาพใหญ่: ฉันมีกล่องอูบุนตูแบบไม่มีหัว ("WGbox") ฉันต้องการใช้เพื่อเชื่อมต่ออุปกรณ์ภายในเครื่องสองเครื่อง ได้แก่ Mac และเซิร์ฟเวอร์ข้อมูลแบบไม่มีหัว ("DS") ไปยังจุดสิ้นสุดภายในของ WG Tunnel กับเซิร์ฟเวอร์ WG บน VPS บนคลาวด์ DS จะถูกทันเนลตลอด 24/7 แต่ Mac จะทำเป็นครั้งคราวเท่านั้น ทั้ง WGbox และ DS เป็นแบบไม่มีหัว ต้องการการเข้าถึง SSH จาก Mac

WGbox มีตัวเชื่อมต่อ RJ45 สี่ตัว ตอนนี้ฉันมีซับเน็ต LAN หนึ่งเครือข่าย 192.168.1.0/24 เนื่องจากความต้องการการกำหนดเส้นทางเสมือนของ WG ฉันจึงต้องการซับเน็ตเพิ่มเติมอย่างน้อยหนึ่งเครือข่ายเพื่อเชื่อมต่ออุปกรณ์สองเครื่อง (Mac และ DS)

เมื่อพิจารณาจาก Mac เป็นอันดับแรก ฉันต้องการอุโมงค์การรับส่งข้อมูลเว็บเบราว์เซอร์ผ่าน WGbox เป็นครั้งคราว และสามารถ SSH ไปยัง WGbox เมื่อฉันไม่ได้เจาะช่องการรับส่งข้อมูลเว็บ ขณะนี้อินเทอร์เฟซแบบใช้สายเดียวที่ใช้งานอยู่ของ WGBox ถูกกำหนดให้เป็น 198.168.1.10 และ I SSH จาก Mac ซึ่งเป็น 198.168.1.200

ฉันจะเพิ่มเครือข่ายย่อยสำหรับ Mac ด้วยเกตเวย์เช่น 172.16.0.1/24 และกำหนดให้กับอินเทอร์เฟซแบบมีสายตัวที่สองบน WGbox ได้อย่างไร เมื่อฉันต้องการอุโมงค์ Mac ฉันจะเปลี่ยน IP/เกตเวย์ของ Mac เป็น 172.16.0.1/172.16.0.1 เนื่องจากเราเตอร์หลักอยู่บนเครือข่ายย่อย 192.168 โดยปกติฉันจะต้องใส่บริดจ์ลงใน iptables เพื่อกำหนดเส้นทางไปยัง 172.16.0.1 แต่เนื่องจาก Mac และ WGbox เชื่อมต่อกับสวิตช์เดียวกัน ฉันคิดว่าฉันสามารถหลีกเลี่ยงบริดจ์ได้

คุณคิดว่ามันใช้งานได้หรือไม่ ถ้าเป็นเช่นนั้น ฉันจะไปยังช่องสัญญาณและการเข้าถึง SSH สำหรับอุปกรณ์ DS หากไม่ โปรดแจ้งให้เราทราบเกี่ยวกับวิธีแก้ไข
"กล่อง WG ไม่ควรมีหลายอินเทอร์เฟซเชื่อมต่อกับซับเน็ตเดียวกัน"ทำไม ฉันไม่ได้โต้เถียง แค่คร่ำครวญ เพราะฉันคิดว่าการละเมิดกฎนั้นจะทำให้งานของฉันง่ายขึ้น และฉันต้องการทราบเหตุผลที่อยู่เบื้องหลัง

ฉันอาจอ่านข้อความนี้ผิด (นานวัน) แต่สิ่งที่ขัดขวางคุณจาก:

- ใช้ WGbox เป็นเกตเวย์ LAN สำหรับอุปกรณ์ทั้งหมดที่คุณต้องการกำหนดเส้นทางอย่างถาวรผ่านอุโมงค์ (คุณจะต้องตั้งค่านี้บนอุปกรณ์ที่เกี่ยวข้อง และยกเลิกหรือทำให้การตั้งค่า DHCP ของคุณยุ่งยากจากเกตเวย์ LAN เริ่มต้น)

- การตั้งค่าพร็อกซีบน WGbox ซึ่งคุณสามารถเปิดและปิดได้ตามต้องการบนอุปกรณ์ที่คุณ

*ไม่ต้องการ* เส้นทางอย่างถาวร?

ไม่จำเป็น (IMHO และการอ่านอย่างรวดเร็ว) เพื่อยุ่งกับซับเน็ตต่างๆ การเชื่อมต่อเครือข่ายหลายเครือข่าย ฯลฯ เว้นแต่ว่าฉันจะพลาดอะไรไป ไม่เกี่ยวข้องกับเรื่องนี้ ฉันขอแนะนำให้คุณแยกอุปกรณ์ "IoT"(อย่างน้อย) ออกเป็นเครือข่ายอื่น

ปัญหาเกี่ยวกับการมีอุปกรณ์ทั้งหมดบนเครือข่ายย่อยเดียวกันคือข้อกำหนดสำหรับ WGbox ในการ NAT การรับส่งข้อมูลในอุโมงค์ ฉันคิดว่ามันไม่จำเป็นต้องถึงแก่ชีวิต แต่ดูเหมือนว่าจะสิ้นเปลืองในแง่ของ VPS บนคลาวด์ที่ปลายอุโมงค์ที่ต้อง NAT ด้วย นอกจากนี้ยังทำให้การกำหนดค่า WGbox ยุ่งยากอีกด้วย แต่มันหลีกเลี่ยงความยุ่งยากจากการตั้งค่าซับเน็ตเพิ่มเติมและเชื่อมโยงเข้ากับเราเตอร์หลักของฉัน

สำหรับการเปิด/ปิดอุโมงค์ตามต้องการสำหรับการท่องเว็บจาก Mac ของฉัน ฉันเคยคิดที่จะตั้งค่าหนึ่งในอินเทอร์เฟซ WGbox เป็นพร็อกซีในเว็บเบราว์เซอร์ของฉัน (คุณหมายถึงอะไร) ในการเรียนรู้ด้วยตนเองโดยสังเขปโดยการค้นหาทางอินเทอร์เน็ต พบว่าสำหรับ HTTPS เบราว์เซอร์จะออก CONNECT กับพร็อกซีเซิร์ฟเวอร์เพื่อสร้างช่องสัญญาณไปยังเว็บเซิร์ฟเวอร์เป้าหมาย ฉันไม่แน่ใจว่า WGbox จะทำอะไรกับ CONNECT โดยทั่วไปฉันคิดว่าจะต้องมีการกำหนดค่าไฟร์วอลล์บางอย่างที่จำเป็นเพื่อหลีกเลี่ยงการทิ้ง WGbox หรือปฏิเสธการรับส่งข้อมูลเว็บของ Mac ก่อน WireGuard หรือบางที AllowedIPs 0.0.0.0/0 สำหรับส่วนเพียร์จะกำหนดค่าการควบคุมการเข้าถึงที่อนุญาตโดยอัตโนมัติ

ปรากฎว่ามีอุปกรณ์เพียงเครื่องเดียว (จนถึงตอนนี้) ซึ่งเป็นเซิร์ฟเวอร์ข้อมูลแบบไม่มีหัว ที่ฉันต้องการเจาะช่องสำหรับฟังก์ชันหลัก ฉันพูดว่า "ฟังก์ชันหลัก"เนื่องจากไม่มีส่วนหัว ฉันต้องการการเข้าถึง SSH จาก Mac นั่นไม่ใช่ DHCP (ซึ่งฉันสามารถจัดการได้ง่าย) เป็นสิ่งที่ทำให้การตั้งค่า WGbox เป็นเกตเวย์ยุ่งยาก นอกจากนี้ ในระหว่างเซสชัน SSH นั้นต้องการการเข้าถึง WAN ที่ไม่มีการเชื่อมต่อกับอุโมงค์สำหรับการอัปเดตระบบปฏิบัติการ ฯลฯ

== ÃÂÃÂber ชุมชน diese ==

มิทกลีเดอร์

ออนไลน์