PTT推薦

[分享] Wireguard Site to Site 合併區網

Saren 發表於 2022/9/25 下午2:09:30
看板Broad_Band標題[分享] Wireguard Site to Site 合併區網作者
Saren
 (Saren)時間推噓 9 推:9 噓:0 →:23

利用Openwrt以及DD-WRT的Wireguard將不同的區網合併成一個。

起因是因為偶爾會需要幫忙維護老婆娘家的網路,
因此需要一個利用VPN將兩邊的網路合併。
原先的構想是用熊貓板作就好,
後來改用DD-WRT來使用,省一個吃電的裝置。

首先要先有Openwrt或是DD-WRT的路由器,並且其中一個當伺服器,
而我的情形是Openwrt當伺服器,允許另外一個DD-WRT與Openwrt做Wireguard連線。

Wireguard的設定是一組公鑰與私鑰,以及可以選擇的預先分享私鑰。
互相連線的兩個端點要有彼此的公鑰就可以建立連線。
以設定上來講Wireguard簡單很多。
公鑰與私鑰的產生這邊就不說明,網路上很多資源,
但網路上針對Allowed IP的說明少很多,
所以這邊依照這陣子試的心得分享給有需要的人。


每一個LAN要設成不同網段,並且藉由Routed Allowed IP不用再設Static Route。


以下的LAN是指區網段的IP/Netmask,而WG指的是Wireguard使用的IP/Netmask。
Openwrt主機
LAN: 192.168.1.254/24
WG: 192.168.9.254/24

PEER1: (要合併的遠端子網路)
ALLOWED IP: 192.168.5.0/24, 192.168.6.0/24, 192.168.9.199
ROUTE ALLOWED IP: Checked

PEER2: (要合併的遠端子網路)
ALLOWED IP: 192.168.3.0/24, 192.168.9.200
ROUTE ALLOWED IP: Checked

PEER3: (手機管理時使用)
ALLOWED IP: 192.168.9.4
ROUTE ALLOWED IP: Unchecked


Openwrt遠端
LAN: 192.168.3.254/24
WG: 192.168.9.200/24
PEER:
ALLOWED IP: 192.168.1.0/24, 192.168.5.0/24, 192.168.6.0/24,\
192.168.9.0/24
ROUTE ALLOWED IP: Checked


DD-WRT遠端
LAN: 192.168.5.254/24, 192.168.6.254/24
WG: 192.168.9.199/24
PEER:
ALLOWED IP: 192.168.1.0/24, 192.168.3.0/24, 192.168.9.0/24
ROUTE ALLOWED IP: Checked

手機
WG: 192.168.9.4/24
DNS: 192.168.1.254 (連線時使用自架的AdGuard Home的DNS)
PEER:
ALLOWED IP: 192.168.1.0/24, 192.168.3.0/24, 192.168.5.0/24,\
192.168.6.0/24, 192.168.9.0/24


在設定完後Openwrt主機的Status -> Wireguard當中,
當PEER連線完成後,可以在後面的Allowed IP看到結果。
有需要合併的PEER,因為有勾選了Route Allowed IP,
所以就會將屬於該範圍的封包送到該PEER。
同時也可以在任意的子網路可以直接存取其它的網路。
像是在.5的網路環境底下,直接輸入.3的IP就可以連線。

就算遠端的子網路沒有辦法開PORT也是可以作得到的。

--

※ PTT留言評論
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.170.115.152 (臺灣)
PTT 網址

fonzae09/25 14:12RouterOS要7以上才支援,跨大版本還在考慮中

fonzae09/25 14:13目前用ipsec VPN相安無事,哪天心血來潮也來玩

lianpig556609/25 14:21ipsec在routeros硬體上有支援,wireguard效能應該比

lianpig556609/25 14:21較差?我只是還是用L2TP over IPsec

lianpig556609/25 14:21 自己

Saren09/25 14:31我是RB760iGS刷Openwrt的~ 用不習慣RouterOS

Saren09/25 19:28http://i.imgur.com/Jw0WXkb.jpg 開前開後測速差別 都內網

圖https://i.imgur.com/Jw0WXkb.jpg?e=1667025647&s=Qg89PpKSQEsrEWbNuht_Qg, Wireguard Site to Site 合併區網

empingao09/25 20:58早先我也這樣攪,後來 site 一多,管理太麻煩就換用

empingao09/25 20:58docker (wg-easy)。

Saren09/25 22:01wg-easy看起來不錯耶, 先記起來以後有需要再來換.

GJME09/26 21:17推一個 個人現在就是用WG連結老家跟住家兩地 缺點感覺跟大

GJME09/26 21:17家一樣 裝置一多會很懶得新增 wg easy感覺好炫炮 有空來試

GJME09/26 21:17

Saren09/27 08:27對啊 其實我現在主機PEER大概有12個. 如果不是上週搞爛了

Saren09/27 08:27整個重設一次 才弄清楚Wireguard的Allowed IPs的機制

asdfghjklasd09/27 09:28以後買FG啦,有好方法

siegfriedlin09/27 13:23請問一下這個方式可以取代teamviewer嗎?

siegfriedlin09/27 13:24家裡跟公司兩台電腦要對連 最近常被封

GJME09/27 14:05樓上 這個是架VPN 如果弄起來的話直接用內建遠端桌面就可以

GJME09/27 14:05了 不過要注意的是WG的封包特徵很明顯 單位有在管資安的話

GJME09/27 14:05不可能不注意到就是了

siegfriedlin09/27 14:07感謝 請問此法和ac86u內建的ddns有什麼利弊呢

siegfriedlin09/27 14:08資安單位是沒問題 老闆同意

siegfriedlin09/27 14:09還有更早以前的hamachi軟體(打電動用的)

GJME09/27 14:14華碩機器都內建OpenVPN了 配合它的DDNS弄起來絕對比自架Wi

GJME09/27 14:15reGuard方便啊 而且也可以把TeamViewer丟了 用內建遠端桌面

GJME09/27 14:15就好 如果沒別的原因 看起來你似乎不用捨近求遠自幹WG

siegfriedlin09/27 14:43感謝建議:)

Saren09/27 15:35OpenVPN從0開始會很麻煩 現在很多內建的都很快的架好了

Saren09/27 15:35WireGuard很愛跟OpenVPN比效率啦... 但不追求速度就還好了

AKSN7410/03 09:07推,目前也是用WireGuard,把我自己住處的ROS機器設定連回

AKSN7410/03 09:07家中區網

其他人也閱讀了
PTT 熱門相關