[分享] Wireguard Site to Site 合併區網
利用Openwrt以及DD-WRT的Wireguard將不同的區網合併成一個。
起因是因為偶爾會需要幫忙維護老婆娘家的網路,
因此需要一個利用VPN將兩邊的網路合併。
原先的構想是用熊貓板作就好,
後來改用DD-WRT來使用,省一個吃電的裝置。
首先要先有Openwrt或是DD-WRT的路由器,並且其中一個當伺服器,
而我的情形是Openwrt當伺服器,允許另外一個DD-WRT與Openwrt做Wireguard連線。
Wireguard的設定是一組公鑰與私鑰,以及可以選擇的預先分享私鑰。
互相連線的兩個端點要有彼此的公鑰就可以建立連線。
以設定上來講Wireguard簡單很多。
公鑰與私鑰的產生這邊就不說明,網路上很多資源,
但網路上針對Allowed IP的說明少很多,
所以這邊依照這陣子試的心得分享給有需要的人。
每一個LAN要設成不同網段,並且藉由Routed Allowed IP不用再設Static Route。
以下的LAN是指區網段的IP/Netmask,而WG指的是Wireguard使用的IP/Netmask。
Openwrt主機
LAN: 192.168.1.254/24
WG: 192.168.9.254/24
PEER1: (要合併的遠端子網路)
ALLOWED IP: 192.168.5.0/24, 192.168.6.0/24, 192.168.9.199
ROUTE ALLOWED IP: Checked
PEER2: (要合併的遠端子網路)
ALLOWED IP: 192.168.3.0/24, 192.168.9.200
ROUTE ALLOWED IP: Checked
PEER3: (手機管理時使用)
ALLOWED IP: 192.168.9.4
ROUTE ALLOWED IP: Unchecked
Openwrt遠端
LAN: 192.168.3.254/24
WG: 192.168.9.200/24
PEER:
ALLOWED IP: 192.168.1.0/24, 192.168.5.0/24, 192.168.6.0/24,\
192.168.9.0/24
ROUTE ALLOWED IP: Checked
DD-WRT遠端
LAN: 192.168.5.254/24, 192.168.6.254/24
WG: 192.168.9.199/24
PEER:
ALLOWED IP: 192.168.1.0/24, 192.168.3.0/24, 192.168.9.0/24
ROUTE ALLOWED IP: Checked
手機
WG: 192.168.9.4/24
DNS: 192.168.1.254 (連線時使用自架的AdGuard Home的DNS)
PEER:
ALLOWED IP: 192.168.1.0/24, 192.168.3.0/24, 192.168.5.0/24,\
192.168.6.0/24, 192.168.9.0/24
在設定完後Openwrt主機的Status -> Wireguard當中,
當PEER連線完成後,可以在後面的Allowed IP看到結果。
有需要合併的PEER,因為有勾選了Route Allowed IP,
所以就會將屬於該範圍的封包送到該PEER。
同時也可以在任意的子網路可以直接存取其它的網路。
像是在.5的網路環境底下,直接輸入.3的IP就可以連線。
就算遠端的子網路沒有辦法開PORT也是可以作得到的。
--
RouterOS要7以上才支援,跨大版本還在考慮中
目前用ipsec VPN相安無事,哪天心血來潮也來玩
ipsec在routeros硬體上有支援,wireguard效能應該比
較差?我只是還是用L2TP over IPsec
自己
我是RB760iGS刷Openwrt的~ 用不習慣RouterOS
http://i.imgur.com/Jw0WXkb.jpg 開前開後測速差別 都內網
早先我也這樣攪,後來 site 一多,管理太麻煩就換用
docker (wg-easy)。
wg-easy看起來不錯耶, 先記起來以後有需要再來換.
推一個 個人現在就是用WG連結老家跟住家兩地 缺點感覺跟大
家一樣 裝置一多會很懶得新增 wg easy感覺好炫炮 有空來試
試
對啊 其實我現在主機PEER大概有12個. 如果不是上週搞爛了
整個重設一次 才弄清楚Wireguard的Allowed IPs的機制
以後買FG啦,有好方法
請問一下這個方式可以取代teamviewer嗎?
家裡跟公司兩台電腦要對連 最近常被封
樓上 這個是架VPN 如果弄起來的話直接用內建遠端桌面就可以
了 不過要注意的是WG的封包特徵很明顯 單位有在管資安的話
不可能不注意到就是了
感謝 請問此法和ac86u內建的ddns有什麼利弊呢
資安單位是沒問題 老闆同意
還有更早以前的hamachi軟體(打電動用的)
華碩機器都內建OpenVPN了 配合它的DDNS弄起來絕對比自架Wi
reGuard方便啊 而且也可以把TeamViewer丟了 用內建遠端桌面
就好 如果沒別的原因 看起來你似乎不用捨近求遠自幹WG
感謝建議:)
OpenVPN從0開始會很麻煩 現在很多內建的都很快的架好了
WireGuard很愛跟OpenVPN比效率啦... 但不追求速度就還好了
推,目前也是用WireGuard,把我自己住處的ROS機器設定連回
家中區網
爆
[問卦] 為什麼有這麼多117.56的IP在逛PTT?(T)alk 【 休閒聊天區 】 -> (U)sers 線上使用者列表 Tab按4下,排序變成來自何方 然後就可以看到上百個117.56的IP在逛PTT 按Q可以一個一個查爆
[轉錄] 四叉貓:北市府IP兩年前問網路行銷KPI1.轉錄網址︰ 2.轉錄來源︰ 劉宇(四叉貓) 3.轉錄內容︰爆
[討論] 用手機就能上批踢踢 怎麼會被抓IP???????阿伯我百思不解一件事情 都甚麼時代了 手機連4G 走電信業者訊號就能上批踢踢了 根本不需要用PC 不用去連單位的網路阿42
[閒聊] 為什麼Hololive Live要封台灣IP?剛剛突然想到還沒購買我齁的3rd Live門票,點開要購買時發現竟然被封IP!? 尋思應該是日本慣常的傲嬌民族性,封所有海外IP啦~ 可是要掛VPN上去買票時,不小心掛到美國,結果竟然可以購買!!! 那不就表示你齁是刻意把台灣IP封掉的嗎...?62
Re: [問卦] 為什麼有這麼多117.56的IP在逛PTT?那個…… 不是我想說 只是好像又要發失智列車了 117.56這個網段是GSN的IP,也就是政府單位都是這個網段的IP, 其中當然也包含台北市政府和各級政府單位 但GSN並沒有給民間哪段IP是給哪個單位的對照表, 也就是說民間去查117.56.0.0/16的任一個IP,都會是寫國發會(行政院研討會)24
[問卦] 用公用網路IP在網路上罵人警察抓的到嗎請問大家 如果用自己的手機 連結公用網路IP 例如用捷運 高鐵的網路 然後在網路上匿名公然污辱別人15
Re: [問題] 刷openwrt建議機種最近也在找 OpenWrt 的機器, 我沒有 AX 的需求, 想請大家給點建議. 目前用 Asus AC66U B1 + Merlin, 準備拿回老家用, 新的想試試看 Openwrt (DD-WRT, Tomoto 都用過了) 家裡用量除了小孩線上課要開視訊, 平常其實不大 (沒人打電動, 也只有偶爾 半夜看點影片.) 目前 Merlin 有裝 Diversion (擋廣告), QoS, OpenVPN (非常少用)5
[求助] 關於vpn的設定各位特雷那大家好,小弟是上來求救的。 我平常都是使用VyprVpn,自從電腦重灌之後本來使用的通訊協定WireGuard突然就不能使用了,後來改用IKEv2才連線成功。 但是之後缺卻非常的卡,跑DMM版馬娘的時候,偶爾還會卡1-2秒的讀取才會開始比賽。 後來我查到VPN提供商使用的日本IP,利用win10系統內建的vpn來連線狀況改善不少,但是它能連線艦娘(網頁+poi)也能連線DMM,就是不能連DMM版馬娘程式,總是顯示連線中斷。 也有問過vpn提供商客服,給的方法也是沒用,變成要玩馬娘只能放棄其他的網路連線,讓我不堪其擾。X
[問卦] 慟!DHCP server 不喜歡我?剛在 Rpi zero w 上裝了 OpenWrt,使用情境是透過有線網路中繼小烏龜上的 DHCP server,發 wifi 出來使用。 我設的 interface 如下: - wlan0 (static addr, OpenWrt IP 綁在跟小烏龜不同網段上) - eth0 (unmanaged, 單純綁外接的 USB 網卡)