= Diğer iki LAN sisteminden gelen tüm girdileri LAN üzerinden VPS/bulut sunucu tüneline eşleyebilir mi? =
Bunu yapabilir miyim?
VPS/bulut WG sunucusuna LAN tünellerinde özel WG kutusu. Bu yerel ÇG kutusu birden çok ethernet arabirimine sahiptir. Diğer iki LAN kutusundan tünellenmemiş girişi alıp WG tüneli üzerinden VPS/bulut sunucusuna iletebilir mi? Artı, bu diğer LAN kutularından biri, başka bir ethernet bağlantısıyla WG kutusuna SSH yapabilir mi?
LAN WG kutusunun kablolu arayüzlerinin özeti:
1: Mac ile WAN erişimi ve SSH için yönlendiricinin LAN tarafına;
2. tünellenecek trafik için yönlendirici aracılığıyla Mac;
3. tünellenecek trafik için diğer LAN kutusu.
Mac, tünellenecek trafiğini arayüz 2'ye ve SSH trafiğini arayüz 1'e verir; bu arabirimlerin her ikisi de yönlendiriciye bağlanır. Arayüz 3, doğrudan diğer LAN kutusuna bağlanır. Tüm LAN adresleri aynı alt ağdadır ve statik adreslerdir.
Şimdiye kadar gördüğüm sorunlar: WG kutusunun tünelleme trafiğini NAT yapması gerektiğini düşünüyorum (tekrar VPS sunucusuna ek olarak); eğer öyleyse, herhangi bir sorun var mı? Ve SSH trafiği tünelden nasıl izole edilebilir?
Tüm LAN adresleri aynı alt ağdadır ve statik adreslerdir.
Aynı alt ağa sahip birden çok LAN'a sahip olmak kötü bir fikirdir. Her LAN kendi alt ağını kullanmalıdır. Ve WG kutusunda aynı alt ağa bağlı birden çok arabirim bulunmamalıdır.
WG kutusunda NAT kullanmanıza gerek yoktur, bunun yerine bulut WG sunucusunda izin verilen iplerde LAN alt ağlarını yapılandırmalısınız.
Düzenleme: sonraki yanıtım yerini aldı
Tamam, çoklu alt ağ ampulünü yaktığınıza göre şimdi benim düşüncem şu anda yalnızca bir alt ağ var, 192.16816. Üzerinde birçok kutu/ana bilgisayar/cihaz var -- telefonlar, termostatlar, bilgisayarlar, ev sineması bileşenleri, vs. 3_other_LAN_box).
Diyelim ki 2_Mac 172.16.0.6 olacak ve 3_other_LAN_box 172.17.0.7 olacak. LAN WG kutusunun ETH1 konektörü 192.16816'da kalır. ETH2 konektörü 172.16.0.2 (2_Mac'in alt ağı) olur ve ETH3 konektörü 172.17.0.1 (3_other_LAN_box'ın alt ağındaki ağ geçidi) olur. Bu, yerel NAT sorununu ortadan kaldırır.
Mac'i her zaman VPN'de değil, yalnızca ara sıra bir web istemcisi olarak istiyorum. Yalnızca VPN kullanmak istediğimde proxy sunucu tarayıcı özelliğini LAN WG kutusu proxy olarak kullanarak açmayı planlıyordum. Sanırım LAN WG kutusunun başsız olduğundan henüz bahsetmedim; Mac'i SSH aracılığıyla kontrol etmek ve yapılandırmak için kullanmak istiyorum. Aynısı 3_other_LAN_box için de geçerlidir.
Mac, 172.16.0.6, sonrakinin 192.16816 adresindeki LAN WG kutusuna SSH yapacaktır. Ana yönlendiriciye bunun için statik bir yol vereceğim. Mac tarayıcısı, VPN kullanmasını istediğimde, LAN WG kutusunun ETH2 172.16.0.2 adresini tarayıcı proxy'si olarak kullanacak.
3_other_LAN_yalnızca bir RJ45 konektörüne sahiptir. Ağ geçidi olarak LAN WG kutusunu kullanacaktır. 3_other_LAN_box bir anahtara bağlanırsa, Mac ana yönlendirici statik yolu aracılığıyla 3_other_LAN_box'a SSH yapabilir.
Sanırım bu benim ilk ağ tasarımım! Kalan bir sorun, LAN WG kutusu SSH trafiğini tünelden yalıtmaktır. Bununla ilgili bazı düşüncelerim var ama genel sorumun cevabı "Bu işe yarayabilir mi?"evet, o konuyu başka bir yazıya bırakıyorum. Ayrıca başka bir gönderi için, bu LAN tasarımını barındıran WG conf dosyaları içeriği olacak -- ilk denememde hepsi işe yaramazsa!
(Bu yorumu netleştirmeye çalıştım ama çok fazla ayrıntı içerdiğini anlıyorum. Yardımınız için teşekkür ederim!)
13 saat önceki cevabımın bazı yönleri var. Bundan önce muhtemelen işe yaramayacağını düşünüyorum, bu yüzden baştan başlıyorum. İsterseniz bu yanıtı görmezden gelebilirsiniz.
Büyük resim: Başsız bir Ubuntu kutum ("WGbox") var. İki yerel cihazı, bir Mac'i ve bir başsız veri sunucusunu ("DS") bir WG tünelinin yerel ucuna bir WG sunucusuna bağlamak için kullanmak istiyorum. bulut VPS'si. DS 7/24 tünellenecektir, ancak Mac yalnızca ara sıra. Başsız olan WGbox ve DS'nin her ikisi de Mac'ten SSH erişimine ihtiyaç duyar.
WGbox'ta dört adet RJ45 konektörü vardır. Şu anda bir LAN alt ağım var, 192.168.1.0/24. WG'nin sanal yönlendirme ihtiyaçları nedeniyle, iki cihazı (Mac ve DS) tünellemek için en az bir ek alt ağa ihtiyacım olacak.
Önce Mac'i göz önünde bulundurarak, tarayıcı web trafiğini WGbox aracılığıyla ara sıra tünellemek ve web trafiğini tünellemediğim zamanlarda WGbox'a SSH yapabilmek istiyorum. Şu anda WGBox'ın kullanımdaki tek kablolu arabirimi 198.168.1.10 olarak atanmıştır ve 198.168.1.200 olan Mac'ten ona I SSH atanmıştır.
Mac için 172.16.0.1/24 gibi bir ağ geçidine sahip bir alt ağ eklemeye ve bunu WGbox'ta ikinci bir kablolu arabirime atamaya ne dersiniz? Mac'i tünellemek istediğimde, Mac'in IP/ağ geçidini 172.16.0.1/172.16.0.1 olarak değiştiriyorum. Ana yönlendirici 192.168 alt ağında olduğundan, normalde 172.16.0.1'e yönlendirmek için iptables'ına bir köprü koymam gerekir. Ancak Mac ve WGbox aynı anahtara bağlı olduğu için köprüden kaçınabileceğimi düşünüyorum.
Bunun işe yaradığını düşünüyor musun? Öyleyse, DS cihazı için tünel oluşturmaya ve SSH erişimine geçeceğim. Değilse, lütfen nasıl düzelteceğime dair herhangi bir düşüncenizi bana bildirin.
"WG kutusu, aynı alt ağa bağlı birden çok arabirime sahip olmamalıdır."Neden? Niye? Tartışmıyorum, sadece sızlanıyorum, çünkü bu kuralı ihlal etmenin işimi kolaylaştıracağını düşünüyorum ve bunun arkasındaki nedeni bilmek istiyorum.
Bunu (uzun bir gün) yanlış okuyor olabilirim ama sizi şunlardan alıkoyan nedir:
- WGbox'ı kalıcı olarak tünel üzerinden yönlendirmek istediğiniz tüm cihazlar için LAN ağ geçidi olarak kullanmak (bunu ilgili cihazlarda ayarlamanız ve DHCP kurulumunuzu varsayılan LAN ağ geçidinden vazgeçmeniz veya karmaşık hale getirmeniz gerekir)?
- WGbox'ta, istediğiniz cihazlarda açıp kapatabileceğiniz bir proxy kurulumu
* kalıcı olarak yönlendirilmek istemiyor musunuz?
Farklı alt ağlar, çoklu ağ bağlantıları vb. İle uğraşmaya gerek yok (IMHO ve hızlı bir okumada). Bununla ilgisi olmayan, "IoT"cihazlarını (en azından) farklı bir ağa ayırmanızı şiddetle tavsiye ederim.
Tüm cihazların aynı alt ağda bulunmasıyla ilgili bir sorun, WGbox'ın tünel trafiğini NAT yapması gerekliliğidir. Bunun mutlaka ölümcül olmadığını düşünüyorum, ancak tünelin sonundaki bulut VPS'nin NAT'a da sahip olması ışığında savurgan görünüyor. Ayrıca WGbox yapılandırmasını karmaşıklaştırır. Ancak, ek alt ağlar kurmanın ve bunları ana yönlendiricime bağlamanın karmaşıklığını önler.
Mac'imden web'de gezinmek için tünellemeyi isteğe bağlı olarak açıp kapatmaya gelince, WGbox arayüzlerinden birini web tarayıcımda proxy olarak kurmayı düşündüm (bunu mu demek istiyorsunuz?) Kısaca internet araması yaparak kendi kendine eğitim HTTPS için tarayıcının, hedef web sunucusuna bir tünel oluşturmak için proxy sunucusuna bir BAĞLANTI verdiğini bulun. WGbox'ın CONNECT ile ne yapacağından emin değilim. Daha genel olarak, WGbox'ın WireGuard'dan önce Mac'in web trafiğini düşürmesini veya reddetmesini önlemek için gerekli bazı güvenlik duvarı yapılandırması olacağını düşünüyorum. Ya da Peer bölümleri için AllowedIPs 0.0.0.0/0 izin verilen erişim kontrolünü otomatik olarak yapılandırabilir.
Ana işlevi için tünellemek istediğim tek bir cihaz (şimdiye kadar), başsız veri sunucusu olduğu ortaya çıktı. "Temel işlev"diyorum çünkü başsız olduğum için ona bir Mac'ten SSH erişimine ihtiyacım var. WGbox'ı ağ geçidi olarak ayarlamayı zorlaştıran şey DHCP değil (ki bunu kolayca halledebilirim). Ayrıca, SSH oturumları sırasında, işletim sistemi güncellemeleri vb. için tercihen tünelsiz WAN erişimine ihtiyaç duyar.
== ÃÂÃÂber diese Topluluğu ==
Mitglieder
İnternet üzerinden
Reddit
