Site-to-Site VPN + mobilní klienti(y)

VPN
1

Ahoj,

mám případ použití, kdy se snažím dosáhnout následujícího:

-Sítě-sítová (lan-na-lan) brána propojující dvě vzdálené LAN sítě.

-Mobilní klienti (partneři) mají povolení se vzdáleně připojit k jednomu LAN, směrovat internetový provoz přes něj a také přistupovat k oběma LAN sítím přes sit-to-sit tunel.

Lan1 (192.168.1.1/24) je připojeno k LAN2 (192.168.2.1/24). V podstatě jsou navzájem peer. Oba mají allowedips=[druhý LAN CIDR] ve své konfiguraci. Na každé lokalitě je statická trasa směrovaná na routeru, která přesměrovává veškerý provoz směřující na CIDR druhé LAN na lokální wireguard klienta, který funguje jako brána. Tato část funguje perfektně. Shrnu to, co to dělá:

192.168.1.1/24 ↔ 192.168.1.15 (klient wireguard1) ↔ 192.168.100.1 (virtuální peer1) ↔ INTERNET ↔ 192.168.100.2 (virtuální peer2) ↔ 192.168.2.15 (klient wireguard2) ↔ 192.168.2.1/24

Teď přichází druhá část. Potřebujeme, aby mobilní klienti mohli připojit k wireguard klientovi1 nebo 2 (z výše uvedeného) a směrovat veškerý jejich provoz přes LAN1 nebo LAN2. To je snadné, přidali jsme allowedips = 0.0.0.0/0 do konfigurace každého mobilního klienta a funguje to perfektně. Internet je nyní směrován přes VPN a provoz vychází z LAN sítí tak, jak očekáváme.

Také potřebujeme, aby mobilní klienti, když jsou připojeni k jednomu z LAN prostřednictvím wireguard, měli přístup k oběma LAN prostřednictvím výše vytvořeného sit-to-sit tunelu. Jinými slovy, pokud se mobilní klient připojí k 192.168.1.15 (wireguard klient1), měl by být schopen přistupovat k 192.168.1.1/24 A 192.168.2.1/24. Momentálně však může přistupovat pouze k 192.168.1.1/24. To samé platí, pokud se mobilní klient připojí k 192.168.2.15, může přistupovat pouze k 192.168.2.1/24.

Chápu, že možná nepoužívám správnou terminologii tím, že ho nazývám klient1 a klient2, když jsou ve skutečnosti jednoduché peers podle topology wireguard. Oba působí jako VPN servery běžící na ubuntu server 20.04.

Mnohokrát děkuji!

2

Váš příspěvek obsahuje nějaké networkové zmatení, mám pravdu? Sít A používá 192.168.1.0/24 a síť B 192.168.2.0/24, že? Vaše vnitřní tunelová síť mezi sítí A a B se zdá být 192.168.100.0/24?

Jaká je vaše vnitřní tunelová síť, kterou používá mobilní klient na místě A? A je tato síť známá na místě B v AllowedIPs a je provoz směrován na místě B k wireguard peerovi?

3

Co je zadané v AllowedIPs pro mobilní klienty? Jsou nakonfigurováni tak, aby se připojili ke všem dvěma místům nebo jen k jednomu? Jak vypadá směrovací tabulka na některém z klientů po dokončení handshake?

4

Nejsem si jistý, zda to bude populární odpověď, ale obvykle rád mám samostatnou konfiguraci wireguard pro sit-to-sit nastavení a samostatnou konfiguraci mobilních klientů.

Snažit se o obojí v jedné konfiguraci může udělat věci trochu zbytečně složitými.

Také mít vaše mobilní klienty všechny přicházející přes samostatné wireguard rozhraní může být zcela užitečné z pohledu firewallu, pokud chcete nebo potřebujete na ně aplikovat odlišná filtrovací pravidla.

5

Správně, omlouvám se. Ještě jsem neměl kávu :slight_smile:

Sít A: 192.168.1.0/24

Sít B: 192.168.2.0/24

Vnitřní tunel (virtuální síť): 192.168.100.0/24 pro všechny

Sít A - 192.168.100.1

Sít B - 192.168.100.2

Mobil 1 - 192.168.100.3

Mobil 2 - 192.168.100.4

Oba routery (na místě A a B) mají statickou trasu pro směrování 192.168.100.0/24 přes svého příslušného wireguard klienta. Takže běžní klienti v LAN sítích jsou schopni pingovat adresy v tunelové síti (virutální síť).

6

#CONFIGUACE MÍSTA B

[Interface]

Address = 192.168.100.2/24

ListenPort = xxx

PrivateKey = xxx

#sít A

[Peer]

PublicKey = xxx

Endpoint = xxx:xxx

AllowedIPs = 192.168.100.1/32, 192.168.1.1/24

#mobil1

[Peer]

PublicKey = xxx

AllowedIPs = 192.168.100.3/32

#mobil2

[Peer]

PublicKey = xxx

AllowedIPs = 192.168.100.4/32

#mobil3

[Peer]

PublicKey = xxx

AllowedIPs = 192.168.100.5/32

#mobil4

[Peer]

PublicKey = xxx

AllowedIPs = 192.168.100.6/32