作者Saren (Saren)
看板Broad_Band
标题[分享] Wireguard Site to Site 合并区网
时间Sun Sep 25 14:09:30 2022
利用Openwrt以及DD-WRT的Wireguard将不同的区网合并成一个。
起因是因为偶尔会需要帮忙维护老婆娘家的网路,
因此需要一个利用VPN将两边的网路合并。
原先的构想是用熊猫板作就好,
後来改用DD-WRT来使用,省一个吃电的装置。
首先要先有Openwrt或是DD-WRT的路由器,并且其中一个当伺服器,
而我的情形是Openwrt当伺服器,允许另外一个DD-WRT与Openwrt做Wireguard连线。
Wireguard的设定是一组公钥与私钥,以及可以选择的预先分享私钥。
互相连线的两个端点要有彼此的公钥就可以建立连线。
以设定上来讲Wireguard简单很多。
公钥与私钥的产生这边就不说明,网路上很多资源,
但网路上针对Allowed IP的说明少很多,
所以这边依照这阵子试的心得分享给有需要的人。
每一个LAN要设成不同网段,并且藉由Routed Allowed IP不用再设Static Route。
以下的LAN是指区网段的IP/Netmask,而WG指的是Wireguard使用的IP/Netmask。
Openwrt主机
LAN: 192.168.1.254/24
WG: 192.168.9.254/24
PEER1: (要合并的远端子网路)
ALLOWED IP: 192.168.5.0/24, 192.168.6.0/24, 192.168.9.199
ROUTE ALLOWED IP: Checked
PEER2: (要合并的远端子网路)
ALLOWED IP: 192.168.3.0/24, 192.168.9.200
ROUTE ALLOWED IP: Checked
PEER3: (手机管理时使用)
ALLOWED IP: 192.168.9.4
ROUTE ALLOWED IP: Unchecked
Openwrt远端
LAN: 192.168.3.254/24
WG: 192.168.9.200/24
PEER:
ALLOWED IP: 192.168.1.0/24, 192.168.5.0/24, 192.168.6.0/24,\
192.168.9.0/24
ROUTE ALLOWED IP: Checked
DD-WRT远端
LAN: 192.168.5.254/24, 192.168.6.254/24
WG: 192.168.9.199/24
PEER:
ALLOWED IP: 192.168.1.0/24, 192.168.3.0/24, 192.168.9.0/24
ROUTE ALLOWED IP: Checked
手机
WG: 192.168.9.4/24
DNS: 192.168.1.254 (连线时使用自架的AdGuard Home的DNS)
PEER:
ALLOWED IP: 192.168.1.0/24, 192.168.3.0/24, 192.168.5.0/24,\
192.168.6.0/24, 192.168.9.0/24
在设定完後Openwrt主机的Status -> Wireguard当中,
当PEER连线完成後,可以在後面的Allowed IP看到结果。
有需要合并的PEER,因为有勾选了Route Allowed IP,
所以就会将属於该范围的封包送到该PEER。
同时也可以在任意的子网路可以直接存取其它的网路。
像是在.5的网路环境底下,直接输入.3的IP就可以连线。
就算远端的子网路没有办法开PORT也是可以作得到的。
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 1.170.115.152 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Broad_Band/M.1664086172.A.120.html
1F:→ fonzae: RouterOS要7以上才支援,跨大版本还在考虑中 09/25 14:12
2F:→ fonzae: 目前用ipsec VPN相安无事,哪天心血来潮也来玩 09/25 14:13
3F:推 lianpig5566: ipsec在routeros硬体上有支援,wireguard效能应该比 09/25 14:21
4F:→ lianpig5566: 较差?我只是还是用L2TP over IPsec 09/25 14:21
5F:→ lianpig5566: 自己 09/25 14:21
6F:→ Saren: 我是RB760iGS刷Openwrt的~ 用不习惯RouterOS 09/25 14:31
8F:推 empingao: 早先我也这样搅,後来 site 一多,管理太麻烦就换用 09/25 20:58
9F:→ empingao: docker (wg-easy)。 09/25 20:58
10F:→ Saren: wg-easy看起来不错耶, 先记起来以後有需要再来换. 09/25 22:01
11F:推 GJME: 推一个 个人现在就是用WG连结老家跟住家两地 缺点感觉跟大 09/26 21:17
12F:→ GJME: 家一样 装置一多会很懒得新增 wg easy感觉好炫炮 有空来试 09/26 21:17
13F:→ GJME: 试 09/26 21:17
14F:→ Saren: 对啊 其实我现在主机PEER大概有12个. 如果不是上周搞烂了 09/27 08:27
15F:→ Saren: 整个重设一次 才弄清楚Wireguard的Allowed IPs的机制 09/27 08:27
16F:→ asdfghjklasd: 以後买FG啦,有好方法 09/27 09:28
17F:推 siegfriedlin: 请问一下这个方式可以取代teamviewer吗? 09/27 13:23
18F:→ siegfriedlin: 家里跟公司两台电脑要对连 最近常被封 09/27 13:24
19F:推 GJME: 楼上 这个是架VPN 如果弄起来的话直接用内建远端桌面就可以 09/27 14:05
20F:→ GJME: 了 不过要注意的是WG的封包特徵很明显 单位有在管资安的话 09/27 14:05
21F:→ GJME: 不可能不注意到就是了 09/27 14:05
22F:推 siegfriedlin: 感谢 请问此法和ac86u内建的ddns有什麽利弊呢 09/27 14:07
23F:→ siegfriedlin: 资安单位是没问题 老板同意 09/27 14:08
24F:→ siegfriedlin: 还有更早以前的hamachi软体(打电动用的) 09/27 14:09
25F:推 GJME: 华硕机器都内建OpenVPN了 配合它的DDNS弄起来绝对比自架Wi 09/27 14:14
26F:→ GJME: reGuard方便啊 而且也可以把TeamViewer丢了 用内建远端桌面 09/27 14:15
27F:→ GJME: 就好 如果没别的原因 看起来你似乎不用舍近求远自干WG 09/27 14:15
28F:推 siegfriedlin: 感谢建议:) 09/27 14:43
29F:→ Saren: OpenVPN从0开始会很麻烦 现在很多内建的都很快的架好了 09/27 15:35
30F:→ Saren: WireGuard很爱跟OpenVPN比效率啦... 但不追求速度就还好了 09/27 15:35
31F:推 AKSN74: 推,目前也是用WireGuard,把我自己住处的ROS机器设定连回 10/03 09:07
32F:→ AKSN74: 家中区网 10/03 09:07