[分享] Wireguard Site to Site 合併區網

看板Broad_Band (寬頻網路)作者 (Saren)時間1年前 (2022/09/25 14:09), 編輯推噓8(8022)
留言30則, 7人參與, 1年前最新討論串1/1
利用Openwrt以及DD-WRT的Wireguard將不同的區網合併成一個。 起因是因為偶爾會需要幫忙維護老婆娘家的網路, 因此需要一個利用VPN將兩邊的網路合併。 原先的構想是用熊貓板作就好, 後來改用DD-WRT來使用,省一個吃電的裝置。 首先要先有Openwrt或是DD-WRT的路由器,並且其中一個當伺服器, 而我的情形是Openwrt當伺服器,允許另外一個DD-WRT與Openwrt做Wireguard連線。 Wireguard的設定是一組公鑰與私鑰,以及可以選擇的預先分享私鑰。 互相連線的兩個端點要有彼此的公鑰就可以建立連線。 以設定上來講Wireguard簡單很多。 公鑰與私鑰的產生這邊就不說明,網路上很多資源, 但網路上針對Allowed IP的說明少很多, 所以這邊依照這陣子試的心得分享給有需要的人。 每一個LAN要設成不同網段,並且藉由Routed Allowed IP不用再設Static Route。 以下的LAN是指區網段的IP/Netmask,而WG指的是Wireguard使用的IP/Netmask。 Openwrt主機 LAN: 192.168.1.254/24 WG: 192.168.9.254/24 PEER1: (要合併的遠端子網路) ALLOWED IP: 192.168.5.0/24, 192.168.6.0/24, 192.168.9.199 ROUTE ALLOWED IP: Checked PEER2: (要合併的遠端子網路) ALLOWED IP: 192.168.3.0/24, 192.168.9.200 ROUTE ALLOWED IP: Checked PEER3: (手機管理時使用) ALLOWED IP: 192.168.9.4 ROUTE ALLOWED IP: Unchecked Openwrt遠端 LAN: 192.168.3.254/24 WG: 192.168.9.200/24 PEER: ALLOWED IP: 192.168.1.0/24, 192.168.5.0/24, 192.168.6.0/24,\ 192.168.9.0/24 ROUTE ALLOWED IP: Checked DD-WRT遠端 LAN: 192.168.5.254/24, 192.168.6.254/24 WG: 192.168.9.199/24 PEER: ALLOWED IP: 192.168.1.0/24, 192.168.3.0/24, 192.168.9.0/24 ROUTE ALLOWED IP: Checked 手機 WG: 192.168.9.4/24 DNS: 192.168.1.254 (連線時使用自架的AdGuard Home的DNS) PEER: ALLOWED IP: 192.168.1.0/24, 192.168.3.0/24, 192.168.5.0/24,\ 192.168.6.0/24, 192.168.9.0/24 在設定完後Openwrt主機的Status -> Wireguard當中, 當PEER連線完成後,可以在後面的Allowed IP看到結果。 有需要合併的PEER,因為有勾選了Route Allowed IP, 所以就會將屬於該範圍的封包送到該PEER。 同時也可以在任意的子網路可以直接存取其它的網路。 像是在.5的網路環境底下,直接輸入.3的IP就可以連線。 就算遠端的子網路沒有辦法開PORT也是可以作得到的。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.170.115.152 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Broad_Band/M.1664086172.A.120.html

09/25 14:12, 1年前 , 1F
RouterOS要7以上才支援,跨大版本還在考慮中
09/25 14:12, 1F

09/25 14:13, 1年前 , 2F
目前用ipsec VPN相安無事,哪天心血來潮也來玩
09/25 14:13, 2F

09/25 14:21, 1年前 , 3F
ipsec在routeros硬體上有支援,wireguard效能應該比
09/25 14:21, 3F

09/25 14:21, 1年前 , 4F
較差?我只是還是用L2TP over IPsec
09/25 14:21, 4F

09/25 14:21, 1年前 , 5F
自己
09/25 14:21, 5F

09/25 14:31, 1年前 , 6F
我是RB760iGS刷Openwrt的~ 用不習慣RouterOS
09/25 14:31, 6F

09/25 19:28, 1年前 , 7F
開前開後測速差別 都內網
09/25 19:28, 7F

09/25 20:58, 1年前 , 8F
早先我也這樣攪,後來 site 一多,管理太麻煩就換用
09/25 20:58, 8F

09/25 20:58, 1年前 , 9F
docker (wg-easy)。
09/25 20:58, 9F

09/25 22:01, 1年前 , 10F
wg-easy看起來不錯耶, 先記起來以後有需要再來換.
09/25 22:01, 10F

09/26 21:17, 1年前 , 11F
推一個 個人現在就是用WG連結老家跟住家兩地 缺點感覺跟大
09/26 21:17, 11F

09/26 21:17, 1年前 , 12F
家一樣 裝置一多會很懶得新增 wg easy感覺好炫炮 有空來試
09/26 21:17, 12F

09/26 21:17, 1年前 , 13F
09/26 21:17, 13F

09/27 08:27, 1年前 , 14F
對啊 其實我現在主機PEER大概有12個. 如果不是上週搞爛了
09/27 08:27, 14F

09/27 08:27, 1年前 , 15F
整個重設一次 才弄清楚Wireguard的Allowed IPs的機制
09/27 08:27, 15F

09/27 09:28, 1年前 , 16F
以後買FG啦,有好方法
09/27 09:28, 16F

09/27 13:23, 1年前 , 17F
請問一下這個方式可以取代teamviewer嗎?
09/27 13:23, 17F

09/27 13:24, 1年前 , 18F
家裡跟公司兩台電腦要對連 最近常被封
09/27 13:24, 18F

09/27 14:05, 1年前 , 19F
樓上 這個是架VPN 如果弄起來的話直接用內建遠端桌面就可以
09/27 14:05, 19F

09/27 14:05, 1年前 , 20F
了 不過要注意的是WG的封包特徵很明顯 單位有在管資安的話
09/27 14:05, 20F

09/27 14:05, 1年前 , 21F
不可能不注意到就是了
09/27 14:05, 21F

09/27 14:07, 1年前 , 22F
感謝 請問此法和ac86u內建的ddns有什麼利弊呢
09/27 14:07, 22F

09/27 14:08, 1年前 , 23F
資安單位是沒問題 老闆同意
09/27 14:08, 23F

09/27 14:09, 1年前 , 24F
還有更早以前的hamachi軟體(打電動用的)
09/27 14:09, 24F

09/27 14:14, 1年前 , 25F
華碩機器都內建OpenVPN了 配合它的DDNS弄起來絕對比自架Wi
09/27 14:14, 25F

09/27 14:15, 1年前 , 26F
reGuard方便啊 而且也可以把TeamViewer丟了 用內建遠端桌面
09/27 14:15, 26F

09/27 14:15, 1年前 , 27F
就好 如果沒別的原因 看起來你似乎不用捨近求遠自幹WG
09/27 14:15, 27F

09/27 14:43, 1年前 , 28F
感謝建議:)
09/27 14:43, 28F

09/27 15:35, 1年前 , 29F
OpenVPN從0開始會很麻煩 現在很多內建的都很快的架好了
09/27 15:35, 29F

09/27 15:35, 1年前 , 30F
WireGuard很愛跟OpenVPN比效率啦... 但不追求速度就還好了
09/27 15:35, 30F
文章代碼(AID): #1ZB_2S4W (Broad_Band)
文章代碼(AID): #1ZB_2S4W (Broad_Band)