作者AKSN74 (AKS-74n)
看板Broad_Band
標題[分享] 用Wireguard+OSPF建立Site to Site
時間Wed Nov 30 17:24:31 2022
各位好,個人這陣子使用Wireguard已經一段時間了,整體來說還算穩定
這邊額外分享一個RouterOS用OSPF做Site to Site連線的方式
免去了還要設定固定路由以及Source NAT的麻煩
畢竟RouterOS沒有像DD-WRT或者OpenWRT有Route Allowed IP的功能
不過建立這個之前,有幾點需要注意:
1. 如果同時有多個Site要串,強烈建議每一個Site都另外用獨立的WireGuard介面,
WireGuard的IP網段以及Port號也做區隔
2. 單純做終端連回(透過手機、電腦連回)的也不要跟做Site的WireGuard介面共用。
3. 部分RouterOS設備可能會有WireGuard的subnet設為25以上時會無法連線的狀況。
4. 兩端的區網網段不重疊
前三點個人認為跟RouterOS本身的問題關係很大
OK,先說明一下自己的佈建環境:
家裡:Mikrotik RB4011iGS+5HacQ2HnD-IN (使用中華光世代500M)
租屋:Mikrotik hAP ax^2 (使用房東的有線電視網路)
建立Wireguard的部分,這邊就簡單帶過
基本上在RouterOS建立Wireguard連線一樣是要建立一個Wireguard介面與網段
兩邊個別設定彼此的Public Key,租屋端設定連到家裡的WG資訊
然後Allowed Address都設定0.0.0.0/0
最後確定防火牆有開放WG的網段以及WG的Port就可以了
用內建的ping工具測試WG的IP能互通的話就表示連線正常
那麼以下就開始說明怎麼建立OSPF連線
1. 兩端各建立一個Bridge,名稱自訂,設定什麼的可以不動
https://i.imgur.com/M42AhaI.png
2. 到IP→Addresses,設定此Bridge的IP,假設是172.18.0.1
這個IP只是當作識別用,並不會有連線,因此隨便找一個不衝突的IP即可
兩端的Bridge IP也不能衝突
https://i.imgur.com/ufJqZCK.png
3. 進到Routing→Router ID,建立一個新的ID
名稱自訂,ID請設定跟Bridge一樣的IP,兩端都要設
https://i.imgur.com/uxeONkw.png
4. 到Routing→OSPF,建立一個新的Instance,Router ID改為剛剛建立的ID名稱
其他設定不用動,兩端都要設定
https://i.imgur.com/U9X4WCI.png
5. 切換到Areas頁籤,建立新的Area,設定都不用動
https://i.imgur.com/PpeotYx.png
6. 最後切換到Interface Templates頁籤,建立新的Template
在Interfaces中把連線的WG介面以及區網Bridge加入
https://i.imgur.com/z4ebPgB.png
這邊需要注意的是Network Type,可以選擇Broadcast或者是PTP
但兩端的Network Type必須一致
7. 設定完成後,切換到Neighbors頁籤,檢查是否有東西
成功的話會出現一筆有對方的WireGuard IP的資料,並且狀態是Full
如果沒有資料或者狀態不是Full,就要檢查連線是否有問題
https://i.imgur.com/ExjpGIT.png
另外看租屋端的IP→Route設定,會自動多了家中區網的Route設定
https://i.imgur.com/XtzCam4.png
家裡的也會自動多一筆類似的路由
https://i.imgur.com/6hse0iy.png
這樣就可以測試兩邊是否就能夠互通,正常狀況下是可以直接互通了
以上,就當作是另一種方式的參考
之後會再說明下怎麼在OSPF的情況下讓子網路端全都用主網路端對外
--
標題 [三國] 三國11,自創武將下野?!?!?! #1C_nVjV5 (Koei)
自創武將當君主
怎麼會玩著玩著,他就下野了
只是他流浪到那個城市,首都就換到那個城市了....
1F:推 grant790110:你是不是創了蔣介石 XDDDDD
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 125.227.14.175 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/Broad_Band/M.1669800276.A.3C5.html
※ 編輯: AKSN74 (125.227.14.175 臺灣), 11/30/2022 17:29:31
2F:→ Saren: allowed ip設0.0.0.0不會影響到遠端子網路的內部存取嗎? 12/01 20:55
不會,兩端的自身區網都還是可以正常存取
分享器上的WG路由設定跟用戶端用的WG軟體不太一樣
3F:→ Saren: 所以路由器本身也沒有0.0.0.0/0的路由 靠OSPF處理吧? 12/02 10:42
是的,ROS的WG不像電腦或手機的連線軟體會自動根據Allowed Address建立路由規則
而是要自己手動建立
另外OSPF則是根據Instance Template的每一個介面的IP網段,把路由資訊"相互分享"給其
他OSPF的Neighbor上
也因此每一個OSPF端點都可以看到所有Site的LAN路由
※ 編輯: AKSN74 (114.41.134.120 臺灣), 12/02/2022 21:00:55
※ 編輯: AKSN74 (114.26.23.166 臺灣), 03/24/2025 22:18:15