|
|
|
@ -95,7 +95,8 @@ Wireguard - минималистичный vpn. В нем нет никаких |
|
|
|
В wgvps.conf должны быть перечислены все пиры с их публичными ключами, |
|
|
|
а так же прописаны допустимые для них ip адреса. |
|
|
|
Назначим нашему клиенту 192.168.254.3. Сервер будет иметь ip 192.168.254.1. |
|
|
|
Endpoint обязательно должен быть прописан только на одном пире. |
|
|
|
Endpoint должен быть прописан хотя бы на одном пире. |
|
|
|
Если endpoint настроен для пира, то wireguard будет периодически пытаться к нему подключиться. |
|
|
|
В схеме клиент/сервер у сервера можно не прописывать endpoint-ы пиров, что позволит |
|
|
|
менять ip и быть за nat. Endpoint пира настраивается динамически после успешной фазы |
|
|
|
проверки ключа. |
|
|
|
@ -268,6 +269,17 @@ iptables -t mangle -C PREROUTING -m set --match-set ipban dst -j MARK --set-mark |
|
|
|
post-down ip route del dev $IFACE 192.168.0.0/17 |
|
|
|
---------------------------------------------- |
|
|
|
|
|
|
|
Так же необходимо указать wireguard дополнительные разрешенные ip для peer : |
|
|
|
|
|
|
|
--/etc/wireguard/wgvps.conf------------------- |
|
|
|
[Peer] |
|
|
|
PublicKey = bCdDaPYSTBZVO1HTmKD+Tztuf3PbOWGDWfz7Lb1E6C4= |
|
|
|
AllowedIPs = 192.168.254.3, 192.168.2.0/24 |
|
|
|
---------------------------------------------- |
|
|
|
|
|
|
|
Всем клиентам придется назначать различные диапазоны адресов в lan и индивидуально прописывать AllowedIPs |
|
|
|
для каждого peer. |
|
|
|
|
|
|
|
Отсутствие двойного NAT значительно облегчает проброс портов с внешнего IP vpn сервера в локалку какого-либо клиента. |
|
|
|
Для этого надо выполнить 2 действия : добавить разрешение в фаервол на клиенте и сделать dnat на сервере. |
|
|
|
Пример форварда портов 5001 и 5201 на 192.168.2.2 : |
|
|
|
|
bolvan
6 years ago