= Maaari bang i-peer sa LAN sa VPS/cloud server tunnel ang lahat ng input mula sa dalawang iba pang LAN system? =
Magagawa ko ba ito?
Nakatuon ang WG box sa mga LAN tunnel sa VPS/cloud WG server. Ang lokal na WG box na ito ay may maraming ethernet interface. Maaari ba itong kumuha ng hindi naka-tunnel na input mula sa dalawa pang LAN box at ipasa ito sa pamamagitan ng WG tunnel sa VPS/cloud server? Dagdag pa, maaari bang isa sa mga LAN box na ito ang SSH sa WG box na may isa pang koneksyon sa ethernet?
Buod ng mga wired na interface ng LAN WG box:
1: sa LAN side ng router, para sa WAN access at para sa SSH na may Mac;
2. ang Mac sa pamamagitan ng router, para sa to-be-tunneled na trapiko;
3. ang isa pang LAN box, para sa to-be-tunneled traffic.
Ilalabas ng Mac ang magiging-tunneled na trapiko nito sa interface 2, at trapiko ng SSH sa interface 1; ang parehong mga interface ay kumonekta sa router. Direktang kumokonekta ang Interface 3 sa isa pang LAN box. Ang lahat ng LAN address ay nasa parehong subnet at mga static na address.
Mga isyung nakikita ko sa ngayon: Sa tingin ko ang WG box ay kailangang NAT ang trapiko sa pag-tunnel nito (bilang karagdagan sa VPS serverit muli); kung oo, may problema ba diyan? At paano maihihiwalay ang trapiko ng SSH sa tunnel?
Ang lahat ng LAN address ay nasa parehong subnet at mga static na address.
Ang pagkakaroon ng maraming LAN na may parehong subnet ay isang masamang ideya. Ang bawat LAN ay dapat gumamit ng sarili nitong subnet. At ang WG box ay hindi dapat magkaroon ng maraming interface na konektado sa parehong subnet.
Hindi mo kailangang gumamit ng NAT sa WG box, sa halip ay dapat mong i-configure ang mga LAN subnet sa mga pinapayagang ips sa cloud WG server.
I-edit: napalitan ng aking susunod na tugon
OK, narito ang iniisip ko ngayon na sinindihan mo ang multi-subnets na lightbulb Sa ngayon ay isa lang ang subnet, 192.16816. Maraming kahon/host/device dito -- mga telepono, thermostat, computer, mga bahagi ng home theater, atbp. -- bilang karagdagan sa tatlong nabanggit sa aking OP (na tatawagin ko ngayon bilang 1_LAN_WG_box, 2_ Mac, at 3_other_LAN_box).
Sabihin nating ang 2_Mac ay magiging 172.16.0.6 at ang 3_other_LAN_box ay magiging 172.17.0.7. Ang ETH1 connector ng LAN WG box ay nananatili sa 192.16816. Ang ETH2 connector nito ay nagiging 172.16.0.2 (2_Mac's subnet), at ang ETH3 connector nito ay nagiging 172.17.0.1 (gateway sa 3_other_LAN_box's subnet). Tinatanggal niyan ang local-NAT issue.
Hindi ko gusto ang Mac sa VPN sa lahat ng oras ngunit paminsan-minsan lamang bilang isang web client. Pinaplano kong i-on ang tampok na browser ng proxy server, kasama ang LAN WG box bilang proxy, kapag gusto kong gamitin ang VPN. Sa tingin ko hindi ko pa nabanggit na ang LAN WG box ay walang ulo; Gusto kong gamitin ang Mac upang kontrolin at i-configure ito sa pamamagitan ng SSH. Ang parehong naaangkop sa 3_other_LAN_box.
Ang Mac, 172.16.0.6, ay mag-SSH sa LAN WG box sa 192.16816 address ng huli. Bibigyan ko ang pangunahing router ng static na ruta para doon. Ang Mac browser, kapag gusto kong gumamit ito ng VPN, ay gagamit ng ETH2 172.16.0.2 address ng LAN WG box bilang browser proxy.
3_other_LAN_ay mayroon lamang isang RJ45 connector. Gagamitin nito ang LAN WG box bilang gateway. Kung kumokonekta ang 3_other_LAN_box sa isang switch, maaaring mag-SSH ang Mac sa 3_other_LAN_box sa pamamagitan ng pangunahing static na ruta ng router.
Ito yata ang una kong disenyo ng network! Ang natitirang isyu ay ang paghihiwalay sa LAN WG box na trapiko ng SSH mula sa tunnel. Mayroon akong ilang mga iniisip tungkol diyan, ngunit kung ang sagot sa aking pangkalahatang tanong, "Maaari ba itong gumana?"ay oo, iiwan ko ang isyu na iyon para sa isa pang post. Gayundin para sa isa pang post ay ang nilalaman ng WG conf files na tumutugma sa disenyo ng LAN na ito -- maliban kung gumagana ang lahat sa aking unang pagtatangka!
(Sinubukan kong gawing malinaw ang komentong ito ngunit naiintindihan ko na naglalaman ito ng maraming detalye. Pinahahalagahan ko ang iyong tulong!)
Mayroong ilang mga aspeto ng aking nakaraang tugon ng 13 oras. nakaraan na sa tingin ko ay malamang na hindi gumana, kaya ako ay nagsisimulang muli. Maaari mong balewalain ang tugon na iyon kung gusto mo.
Malaking larawan: Mayroon akong walang ulo na Ubuntu box ("WGbox") na gusto kong gamitin upang ikonekta ang dalawang lokal na device, isang Mac at isang walang ulo na data server ("DS") sa lokal na dulo ng isang WG tunnel sa isang WG server sa isang cloud VPS. Ang DS ay itatapon 24/7, ngunit ang Mac ay paminsan-minsan lamang. Parehong ang WGbox at DS, na walang ulo, ay nangangailangan ng SSH access mula sa Mac.
Ang WGbox ay may apat na RJ45 connector. Sa ngayon mayroon akong isang LAN subnet, 192.168.1.0/24. Dahil sa mga pangangailangan ng virtual na pagruruta ng WG, kakailanganin ko ng hindi bababa sa isang karagdagang subnet upang ma-tunnel ang dalawang device (Mac at DS).
Isinasaalang-alang muna ang Mac, gusto kong paminsan-minsan ay i-tunnel ang trapiko sa web ng browser sa pamamagitan ng WGbox, at makapag-SSH sa WGbox kapag hindi ako nag-tunnel ng trapiko sa web. Sa kasalukuyan, ang tanging wired interface ng WGBox na ginagamit ay nakatalaga sa 198.168.1.10 at SSH ko dito mula sa Mac na 198.168.1.200.
Paano kung magdagdag ako ng subnet para sa Mac, na may gateway tulad ng 172.16.0.1/24 at italaga iyon sa pangalawang wired na interface sa WGbox. Kapag gusto kong i-tunnel ang Mac, binabago ko ang IP/gateway ng Mac sa 172.16.0.1/172.16.0.1. Dahil ang pangunahing router ay nasa 192.168 subnet, karaniwang kailangan kong maglagay ng tulay sa mga iptable nito upang i-ruta sa isang 172.16.0.1. Ngunit dahil ang Mac at ang WGbox ay konektado sa parehong switch, sa palagay ko maiiwasan ko ang tulay.
Sa tingin mo ba ito gumagana? Kung gayon, magpapatuloy ako sa pag-tunnel at pag-access sa SSH para sa DS device. Kung hindi, mangyaring ipaalam sa akin ang anumang mga saloobin tungkol sa kung paano ayusin.
"Ang WG box ay hindi dapat magkaroon ng maraming interface na konektado sa parehong subnet."Bakit? Hindi ako nakikipagtalo, nanginginig lang, dahil sa tingin ko ang paglabag sa panuntunang iyon ay magpapasimple sa aking gawain at gusto kong malaman ang dahilan sa likod nito.
Maaaring mali ang pagkabasa ko dito (mahabang araw), ngunit ano ang pumipigil sa iyo mula sa:
- gamit ang WGbox bilang LAN gateway para sa lahat ng device na gusto mong permanenteng iruta sa tunnel (kakailanganin mong i-set up ito sa kani-kanilang device at isuko o gawing kumplikado ang setup ng DHCP mo mula sa default na gateway ng LAN)?
- pagse-set up ng proxy sa WGbox na maaari mong i-on at i-off hangga't gusto mo, sa mga device na gusto mo
*ayaw* permanenteng naruta?
Hindi na kailangan (IMHO at sa isang mabilis na pagbabasa) na magkagulo sa iba't ibang mga subnet, maramihang mga koneksyon sa network atbp. Maliban kung may nawawala ako. Walang kaugnayan dito, magiliw kong iminumungkahi sa iyo na paghiwalayin ang mga "IoT"na device (kahit man lang) sa ibang network.
Ang isang isyu sa pagkakaroon ng lahat ng mga device sa parehong subnet ay ang kinakailangan para sa WGbox upang NAT ang trapiko ng tunnel. Ipagpalagay ko na ito ay hindi kinakailangang nakamamatay, ngunit ito ay tila mapag-aksaya sa liwanag ng cloud VPS dulo ng tunnel na kailangang NAT din. Pinapalubha din nito ang pagsasaayos ng WGbox. Ngunit iniiwasan nito ang komplikasyon mula sa pag-set up ng mga karagdagang subnet at pag-bonding sa kanila sa aking pangunahing router.
Tulad ng para sa pag-on/off ng tunneling sa kalooban para sa pag-browse sa web mula sa aking Mac, naisip kong i-set up ang isa sa mga interface ng WGbox bilang proxy sa aking web browser (iyan ba ang ibig mong sabihin?) Sa maikling pag-aaral sa sarili sa pamamagitan ng paghahanap sa internet. malaman na para sa HTTPS ang browser ay naglalabas ng CONNECT sa proxy server upang magtatag ng tunnel sa target na web server. Hindi ako sigurado kung ano ang gagawin ng WGbox sa CONNECT. Sa pangkalahatan, sa tingin ko ay magkakaroon ng ilang pagsasaayos ng firewall na kinakailangan upang maiwasan ang pagbagsak o pagtanggi ng WGbox sa trapiko sa web ng Mac bago ang WireGuard. O baka ang AllowedIPs 0.0.0.0/0 para sa mga seksyon ng Peer ay awtomatikong magko-configure ng permissive access control.
Iisa lang pala ang device (sa ngayon), ang walang ulo na data server, na gusto kong i-tunnel para sa pangunahing function nito. Sinasabi ko ang "core function"dahil, dahil walang ulo, kailangan ko ng SSH access dito mula sa isang Mac. Iyon, hindi DHCP (na madali kong mahawakan), ang nagpapalubha sa pagtatakda ng WGbox upang maging gateway nito. Gayundin, sa panahon ng mga session ng SSH, mas kailangan nito ang hindi naka-tunnel na WAN access para sa mga update sa OS, atbp.
== ÃÂÃÂber diese Community ==
Mitglieder
Online
Reddit
