Wireguard "Road Warrior"の設定

Wireguard "Road Warrior"の設定

私が見たWireguardの例では、通常、サーバーはクライアントのIPを指定しますが、私はそれを望んでいません。 N個のクライアントが接続してIPを取得でき、すべてのトラフィックがサーバーを介してルーティングされることを望みます。 OpenVPN接続と同じです。

wg0.conf良いサーバーとクライアントの例はありますか?

答え1

これは現在Wireguardの主な欠点の1つです。静的構成のみをサポートします。しかしあるワーキンググループダイナミクスしかし、開発が中断されたようです。

答え2

機能しない「ロードウォーリオ」設定に広く使用されているレシピがたくさんあります。 WireGuardサーバーを介してすべてのトラフィックをルーティングします。他の人は複数のクライアントに対してこれを設定した可能性があります。申し訳ありません。私ではありません。

これを試してみてください。動作し、テストされました。パート1をスキップしてパート2に進みます。

パート1のサマリーバージョン、パート1は完全には機能しません。全体的なプロセスについては、以下の「ステップバイステップガイド...」を読んでください。

(PDF参照:https://codeberg.org/kpiq/Tech-Space/src/branch/main/Resources/Firewall/OPNsense/OPNsense%20WireGuard%20Installation%20and%20Setup%20-%20Generic.pdf)

OPNsenseでWireGuardを設定するには、次の手順が必要です。

システム->ファームウェア->プラグインに移動して「os-wireguard」を検索し、プラグインをインストールしてOPNsenseファイアウォールにWireGuardプラグインをインストールします。

サーバーとクライアントの暗号鍵ペア(公開鍵と秘密鍵)を生成します。

[インターフェイス] - > [割り当て] に移動し、WireGuard デバイスを選択し、説明を追加し、インターフェイスを有効にし、変更を適用して、サーバーとクライアントで WireGuard トンネルインターフェイスを設定します。

クライアントがサーバーに接続して内部ネットワークにアクセスできるように、OPNsense WireGuard VPNサーバーでファイアウォールルールを設定します。

VPN - > WireGuard - > Generalに移動し、OPNsense Web GUIでWireGuardサーバーを有効にし、新しいローカル設定を追加し、ローカル設定にピアを追加し、WireGuardサーバーを有効にし、サーバーとクライアントでWireGuardトンネルインターフェイスを有効にします。します。 。

詳細については、ソース[https://www.sunnyvalley.io/docs/network-security-tutorials/how-to-setup-wireguard-on-opnsense ''[1]'']を参照してください。

====ソース:====

[''https://www.sunnyvalley.io/docs/network-security-tutorials/how-to-setup-wireguard-on-opnsense'']

第2部OPNsenseでWireGuardをインストールして設定するためのステップバイステップガイド:

多くの古いプログラムとは異なり、このプログラムは証明されています。効果がある!

[「https://www.sunnyvalley.io/docs/network-security-tutorials/how-to-setup-wireguard-on-opnsense」」の指示に従ってください。 VPN-WireGuard-Local タブで公開鍵と秘密鍵のフィールドをクリアすると、WireGuard サーバーインスタンスの暗号化鍵が自動的に生成されます。

HOME Network Local Configuration:

Name = homefwwg

Private key = <see Bitwarden, homefw, WG private key>

Public key = <see Bitwarden, homefw, WG public key>

Tunnel Address = 10.250.0.8/29

Listen Port = 51820

Peers = client1, client2

End Points Configuration:

Clients

Name = client1 (Android)

Public key =

AllowedIPs = 10.250.0.11/32

[WireGuard Interface]

IP Address = 10.250.0.11/32

DNS = 10.x.x.1, 10.x.x.2

Private key = <see Bitwarden, client1, WG private key>

[Peer]

Public key = <see Bitwarden, homefw, WG public key>

AllowedIPs = 0.0.0.0/0

Endpoint = home-public-ip-address:51820

Name = client2 (Windows)

Public key =

AllowedIPs = 10.250.0.10/32

[WireGuard Interface]

IP Address = 10.250.0.10/32

DNS = 10.x.x.1, 10.x.x.2

Private key = <see Bitwarden, client2, WG private key>

[Peer]

Public key = <see Bitwarden, homefw, WG public key>

AllowedIPs = 0.0.0.0/0

PersistentKeepAlive = 25

Endpoint = home-public-ip-address:51820

SunnyValleyガイドが推奨する手順に加えて、OPNsenseインストールWireGuardガイド(https://docs.opnsense.org/manual/how-tos/wireguard-client.html):

ファイアウォールルールの作成

これには2つのステップが含まれます。

  1. まず、クライアントがOPNsense WireGuardサーバーに接続できるように、WANインターフェイスにファイアウォールルールを作成し、

  2. クライアントが目的のIPにアクセスできるようにファイアウォールルールを作成します。ファイアウォール▸ルール▸WANに移動します。

    新しいルールを追加するには、[追加]をクリックします。

    構成ルールは次のとおりです(以下にオプションが記載されていない場合はデフォルトのままにしてください)。

    アクション=通過

    速い=確認済み

    インターフェース=広域ネットワーク

    方向

    TCP / IPバージョンIPv4またはIPv4 + IPv6(必要に応じてクライアントがサーバーに接続する方法によって異なります。トンネルが確立された後に許可されるトラフィックの種類とは異なります)

    プロトコルUDPソース/逆方向選択解除

    ソースwg1.net(「wg1」は、WireGuardサービスインスタンスを追加したときにOPNsenseによって自動的に生成されるWireGuardインターフェイス名です。「wg0」、「wg1」、またはその他の場合があります。)

    宛先/逆方向の選択解除

    宛先WANアドレス

    宛先ポートの範囲 ステップ 2 のローカル構成で指定された WireGuard ポート

    説明したい場合は追加してください

    ルールを保存して[変更の適用]をクリックします。

    次に、ファイアウォール▸ルール▸[ステップ5(a)で割り当てられたインターフェイス名]に移動します。このインターフェイスを割り当てていない場合は、以下の注意事項を参照してください。

    新しいルールを追加するには、[追加]をクリックします。

    構成ルールは次のとおりです(以下にオプションが記載されていない場合はデフォルトのままにしてください)。

    モバイルパス

    クイックチェック

    インターフェイスルールを構成するインターフェイス(HomeWireGuardなど)に関係なく、以下のTCP / IPバージョンIPv4またはIPv4 + IPv6ガイドライン(該当する場合)の注を参照してください。

    プロトコルすべてのソース/リバースの選択を解除

    ソース手順5(a)でインターフェイスを割り当てた場合は、インターフェイスサブネット用に作成されたエイリアスを選択します(例:HomeWireGuard net)。このインターフェイスを割り当てていない場合は、以下の注意事項を参照してください。

    宛先/逆方向の選択解除

    ターゲットは、「すべて」または特定のIP /サブネットなど、クライアントがアクセスできる必要があるIPを指定します。

    宛先ポートの範囲は任意です。

    説明したい場合は追加してください

    ルールを保存して[変更の適用]をクリックします。

OPNsenseのWireGuardのインストールと設定 - このガイドラインを更新しました。https://codeberg.org/kpiq/Tech-Space/wiki/WireGuard-install-and-configuration-on-OPNsense

関連情報