= Có thể ngang hàng trên mạng LAN với VPS/máy chủ đám mây tất cả đầu vào từ hai hệ thống mạng LAN khác không? =
Tôi có thể làm điều này?
Hộp WG chuyên dụng trên đường hầm LAN tới máy chủ VPS/đám mây WG. Hộp WG cục bộ này có nhiều giao diện ethernet. Nó có thể lấy đầu vào chưa được khai báo từ hai hộp LAN khác và chuyển tiếp nó qua đường hầm WG tới máy chủ VPS/đám mây không? Ngoài ra, một trong những hộp LAN khác này có thể SSH vào hộp WG bằng kết nối ethernet khác không?
Tổng hợp các giao diện có dây của LAN WG box:
1: đến phía mạng LAN của bộ định tuyến, để truy cập mạng WAN và SSH với máy Mac;
2. Mac thông qua bộ định tuyến, cho lưu lượng truy cập được tạo đường hầm;
3. Hộp LAN còn lại, dành cho lưu lượng cần tạo đường hầm.
Máy Mac sẽ xuất lưu lượng cần điều chỉnh của nó sang giao diện 2 và lưu lượng SSH trên giao diện 1; cả hai giao diện đó đều kết nối với bộ định tuyến. Giao diện 3 kết nối trực tiếp với hộp LAN khác. Tất cả các địa chỉ LAN nằm trên cùng một mạng con và là địa chỉ tĩnh.
Các vấn đề tôi thấy cho đến nay: Tôi nghĩ rằng hộp WG phải NAT lưu lượng đường hầm của nó (ngoài máy chủ VPSit một lần nữa); nếu vậy, bất kỳ vấn đề ở đó? Và làm cách nào để tách lưu lượng SSH khỏi đường hầm?
Tất cả các địa chỉ LAN nằm trên cùng một mạng con và là địa chỉ tĩnh.
Có nhiều mạng LAN với cùng một mạng con là một ý tưởng tồi. Mỗi mạng LAN nên sử dụng mạng con riêng của mình. Và hộp WG không nên có nhiều giao diện được kết nối với cùng một mạng con.
Bạn không cần sử dụng NAT trên hộp WG, thay vào đó, bạn nên định cấu hình mạng con LAN trong ip được phép trên máy chủ WG trên đám mây.
Chỉnh sửa: được thay thế bởi câu trả lời tiếp theo của tôi
OK, đây là suy nghĩ của tôi khi bạn đã thắp sáng bóng đèn đa mạng con Hiện tại chỉ có một mạng con, 192.16816. Có nhiều hộp/máy chủ/thiết bị trên đó -- điện thoại, bộ điều nhiệt, máy tính, linh kiện rạp hát tại nhà, v.v. -- ngoài ba hộp được đề cập trong OP của tôi (mà bây giờ tôi sẽ gọi là 1_LAN_WG_box, 2_ Mac và 3_other_LAN_box).
Giả sử 2_Mac sẽ trở thành 172.16.0.6 và 3_other_LAN_box sẽ là 172.17.0.7. Đầu nối ETH1 của hộp LAN WG vẫn là 192.16816. Đầu nối ETH2 của nó trở thành 172.16.0.2 (mạng con của 2_Mac) và đầu nối ETH3 của nó trở thành 172.17.0.1 (cổng trên mạng con của 3_other_LAN_box). Điều đó loại bỏ vấn đề NAT cục bộ.
Tôi không muốn máy Mac trên VPN mọi lúc mà chỉ thỉnh thoảng với tư cách là ứng dụng khách web. Tôi đã định bật tính năng trình duyệt máy chủ proxy, với hộp LAN WG làm proxy, chỉ khi tôi muốn sử dụng VPN. Tôi nghĩ rằng tôi chưa đề cập đến việc hộp LAN WG không có đầu; Tôi muốn sử dụng máy Mac để điều khiển và cấu hình thông qua SSH. Điều tương tự cũng áp dụng cho 3_other_LAN_box.
Máy Mac, 172.16.0.6, sẽ SSH vào hộp LAN WG tại địa chỉ 192.16816 của hộp sau. Tôi sẽ cung cấp cho bộ định tuyến chính một tuyến đường tĩnh cho việc đó. Trình duyệt Mac, khi tôi muốn nó sử dụng VPN, sẽ sử dụng địa chỉ ETH2 172.16.0.2 của hộp LAN WG làm proxy trình duyệt.
3_other_LAN_chỉ có một đầu nối RJ45. Nó sẽ sử dụng hộp LAN WG làm cổng. Nếu 3_other_LAN_box kết nối với một bộ chuyển mạch thì máy Mac có thể SSH tới 3_other_LAN_box thông qua một tuyến tĩnh của bộ định tuyến chính.
Tôi đoán đây là thiết kế mạng đầu tiên của tôi! Một vấn đề còn lại là cách ly lưu lượng truy cập SSH của hộp LAN WG khỏi đường hầm. Tôi có một số suy nghĩ về điều đó, nhưng nếu câu trả lời cho câu hỏi chung của tôi, "Điều này có hiệu quả không?"là có, tôi sẽ để lại vấn đề đó cho một bài đăng khác. Ngoài ra, đối với một bài đăng khác sẽ là nội dung tệp conf WG hỗ trợ thiết kế mạng LAN này - trừ khi tất cả đều hoạt động trong lần thử đầu tiên của tôi!
(Tôi đã cố gắng làm rõ nhận xét này nhưng tôi hiểu rằng nó chứa rất nhiều chi tiết. Tôi đánh giá cao sự giúp đỡ của bạn!)
Có một số khía cạnh của câu trả lời trước đây của tôi lúc 13 giờ. trước đây mà tôi nghĩ có khả năng không hoạt động, vì vậy tôi đang bắt đầu lại. Bạn có thể bỏ qua câu trả lời đó nếu bạn muốn.
Bức tranh toàn cảnh: Tôi có hộp Ubuntu không đầu ("WGbox") mà tôi muốn sử dụng để kết nối hai thiết bị cục bộ, máy Mac và máy chủ dữ liệu không đầu ("DS") với đầu cục bộ của đường hầm WG với máy chủ WG trên một VPS đám mây. DS sẽ được tạo đường hầm 24/7, nhưng Mac thì chỉ thỉnh thoảng. Cả WGbox và DS, đều không có đầu, cần quyền truy cập SSH từ máy Mac.
WGbox có bốn đầu nối RJ45. Hiện tại tôi có một mạng con LAN, 192.168.1.0/24. Do nhu cầu định tuyến ảo của WG, tôi sẽ cần ít nhất một mạng con bổ sung để tạo đường hầm cho hai thiết bị (Mac và DS).
Trước tiên, xem xét máy Mac, tôi muốn thỉnh thoảng tạo đường hầm lưu lượng truy cập web của trình duyệt qua WGbox và có thể SSH tới WGbox khi tôi không tạo đường hầm cho lưu lượng truy cập web. Hiện tại, giao diện có dây duy nhất đang được sử dụng của WGBox được gán 198.168.1.10 và tôi SSH tới nó từ máy Mac là 198.168.1.200.
Còn nếu tôi thêm một mạng con cho Mac, với cổng chẳng hạn như 172.16.0.1/24 và gán mạng đó cho giao diện có dây thứ hai trên WGbox. Khi tôi muốn tạo đường hầm cho Mac, tôi thay đổi IP/cổng của Mac thành 172.16.0.1/172.16.0.1. Vì bộ định tuyến chính nằm trên mạng con 192.168, nên thông thường tôi phải đặt một cầu nối vào iptables của nó để định tuyến đến 172.16.0.1. Nhưng vì Mac và WGbox được kết nối với cùng một công tắc nên tôi nghĩ rằng tôi có thể tránh được cây cầu.
Bạn có nghĩ rằng điều này làm việc? Nếu vậy, tôi sẽ chuyển sang tạo đường hầm và truy cập SSH cho thiết bị DS. Nếu không, xin vui lòng cho tôi biết bất kỳ suy nghĩ về cách khắc phục.
"hộp WG không nên có nhiều giao diện được kết nối với cùng một mạng con."Tại sao? Tôi không tranh cãi, chỉ than vãn, vì tôi nghĩ việc vi phạm quy tắc đó sẽ đơn giản hóa nhiệm vụ của tôi và tôi muốn biết lý do đằng sau nó.
Tôi có thể đọc sai điều này (cả ngày dài), nhưng điều gì ngăn cản bạn:
- sử dụng WGbox làm cổng LAN cho tất cả các thiết bị mà bạn muốn định tuyến vĩnh viễn qua đường hầm (bạn sẽ cần thiết lập điều này trên các thiết bị tương ứng và từ bỏ hoặc làm phức tạp thiết lập DHCP của bạn từ cổng LAN mặc định)?
- thiết lập proxy trên WGbox mà bạn có thể bật và tắt tùy ý, trên các thiết bị mà bạn
*không muốn* định tuyến vĩnh viễn?
Không cần (IMHO và đọc nhanh) để loay hoay với các mạng con khác nhau, nhiều kết nối mạng, v.v. Trừ khi tôi thiếu thứ gì đó. Không liên quan đến vấn đề này, tôi thực sự khuyên bạn nên tách các thiết bị "IoT"(ít nhất) thành một mạng khác.
Một vấn đề với việc có tất cả các thiết bị trên cùng một mạng con là yêu cầu đối với WGbox để NAT lưu lượng đường hầm. Tôi cho rằng điều đó không nhất thiết gây tử vong, nhưng có vẻ lãng phí vì VPS đám mây ở cuối đường hầm cũng phải NAT. Nó cũng làm phức tạp cấu hình WGbox. Nhưng nó tránh được sự phức tạp khi thiết lập các mạng con bổ sung và liên kết chúng trong bộ định tuyến chính của tôi.
Đối với việc bật/tắt đường hầm theo ý muốn để duyệt web từ máy Mac của mình, tôi đã nghĩ đến việc thiết lập một trong các giao diện WGbox làm proxy trong trình duyệt web của mình (ý bạn là vậy phải không?) Tự học ngắn gọn bằng cách tìm kiếm trên internet, tôi nhận thấy rằng đối với HTTPS, trình duyệt đưa ra kết nối KẾT NỐI với máy chủ proxy để thiết lập đường hầm đến máy chủ web đích. Tôi không chắc WGbox sẽ làm gì với CONNECT. Tổng quát hơn, tôi nghĩ rằng sẽ cần có một số cấu hình tường lửa để tránh WGbox làm rớt hoặc từ chối lưu lượng truy cập web của máy Mac trước WireGuard. Hoặc có thể AllowedIPs 0.0.0.0/0 cho các phần Ngang hàng sẽ tự động định cấu hình kiểm soát truy cập được phép.
Hóa ra chỉ có một thiết bị (cho đến nay), máy chủ dữ liệu không đầu, mà tôi muốn tạo đường hầm cho chức năng cốt lõi của nó. Tôi nói "chức năng cốt lõi"bởi vì không có đầu, tôi cần truy cập SSH vào nó từ máy Mac. Điều đó, không phải DHCP (mà tôi có thể xử lý dễ dàng), mới là điều phức tạp khi đặt WGbox làm cổng của nó. Ngoài ra, trong các phiên SSH, tốt nhất là nó cần quyền truy cập WAN không được tạo đường hầm để cập nhật hệ điều hành, v.v.
== ÃÂÃÂber diese Cộng đồng ==
Mitglieder
Trực tuyến
Reddit
