ฉันตั้งค่าเซิร์ฟเวอร์ wireguard ด้วย AWS ตั้งค่าไคลเอ็นต์ wireguard ด้วย raspberry PI
ตอนนี้ฉันต้องเปลี่ยนเส้นทางการรับส่งข้อมูล WG (wg0) เป็น eth1 (eth0 เป็นอัปลิงค์ไปยังสวิตช์ของฉัน)
-- เป้าหมายของฉันคือรับ IP จากเซิร์ฟเวอร์ WG ของฉันเมื่อไคลเอนต์เชื่อมต่อกับ PI eth1 (อุโมงค์เต็ม)
การกำหนดค่า WG ของฉัน
[อินเตอร์เฟซ]
ที่อยู่ = 10.1.1.1/24
ListenPort = 51820
คีย์ส่วนตัว = ##
PostUp = iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
[เพียร์]
คีย์สาธารณะ = ##
IP ที่อนุญาต = 10.1.1.2/32
ฉันติดตั้ง Netplan แต่ฉันหลงทางกับการกำหนดค่ามาก (ฉันต้องส่งทราฟฟิก WG0 ไปยัง ETH1)
การกำหนดค่าตามเหมาะสมหรือไม่: (อาจไม่ใช่...)
เครือข่าย:
รุ่น: 2
เรนเดอร์: เครือข่าย
พันธบัตร:
บอนด์0:
dhcp4: ใช่
อินเทอร์เฟซ:
- wg0
- eth1
พารามิเตอร์:
หลัก: wg0
มันจะดียิ่งขึ้นสำหรับ Raspberry PI ในการร่วม UniFi VLAN ของฉัน (อัปลิงค์) และรับ IP จากที่นั่น แต่ยังคงส่ง / รับทราฟฟิกทั้งหมดจากเซิร์ฟเวอร์ WG แต่นั่นซับซ้อนสำหรับฉัน ฉันเดาว่า
UPDATE: ฉันควรเพิ่ม WG config ใน Netplan หรือไม่
อุโมงค์:
เครือข่าย:
รุ่น: 2
เรนเดอร์: เครือข่าย
พันธบัตร:
บอนด์0:
dhcp4: ใช่
อินเทอร์เฟซ:
- wg0
- eth1
พารามิเตอร์:
หลัก: wg0
wg0:
โหมด: ไวร์การ์ด
ที่อยู่: 10.1.1.1/24
เพื่อน:
- คีย์:
คีย์สาธารณะ?
...
คีย์: Private_key?
ก่อนอื่นเลย พันธบัตร ไม่มีส่วนเกี่ยวข้องกับเรื่องนั้น และโดยพื้นฐานแล้ว การเจาะจะใช้กฎ ip ซึ่งจะค้นหาตารางเส้นทางอื่น (ซึ่งประกอบด้วยเส้นทางเริ่มต้นที่มี กำลังพัฒนา wg0) สำหรับการเข้าชมทั้งหมดจาก eth1.
เส้นทาง ip เพิ่ม dev wg0 ตารางเริ่มต้น 123
กฎ ip เพิ่มการค้นหา iif eth1 123
(จำนวน 123 เป็นไปตามอำเภอใจ คุณจะต้องปรับปรุงหากคุณเช่น ต้องการ eth1 โฮสต์ที่จะสามารถเข้าถึง eth0 เจ้าภาพ)
แน่นอนว่าต้องมีการเปิดใช้งานการส่งต่อ IP (sysctl) และอนุญาต (ไฟร์วอลล์ ถ้ามี) ด้วย
จากนั้นคุณตัดสินใจว่าคุณต้องการสวมหน้ากาก/NAT สำหรับ eth1 ซับเน็ต IP หรือเพิ่มเส้นทางการส่งคืนบนเซิร์ฟเวอร์ wireguard แนะนำให้ใช้อย่างหลังเมื่อเป็นไปได้ และหนึ่งในเหตุผลก็คือคุณจะต้องปลอมตัว/NAT บนเซิร์ฟเวอร์ wireguard อยู่ดี (สำหรับ 10.1.1.2 หรือ eth1 ซับเน็ต IP) โดยสมมติว่าคุณต้องการใช้อินเทอร์เฟซสำหรับการเชื่อมต่ออินเทอร์เน็ต (ควรรักษาจำนวนเลเยอร์ของ NAT ให้น้อยที่สุด)
(สมมุตินะครับ 10.1.1.2 คือ WG IP บน Pi ไม่ชัดเจนว่าคุณแสดงคอนเฟิร์มใด)
ตรวจสอบให้แน่ใจว่า eth1 ซับเน็ต IP ไม่ขัดแย้งกับสิ่งใดๆ ที่ใช้บนเซิร์ฟเวอร์ wireguard หากคุณเลือกที่จะไม่ NAT บน Pi ต้องเพิ่ม subnet ด้วย AllowIPs= บนเซิร์ฟเวอร์ wireguard ในกรณีนั้น
เป็นไปได้มากว่าคุณควรจะใช้ โพสต์อัพ= สำหรับการตั้งค่าดังกล่าว เนื่องจากผมไม่แน่ใจว่า netplan มีวิธีระบุให้คุณทราบหรือไม่ (เส้นทางที่เพิ่มควรจะหมดไปเมื่อ wg0 หายไป ดังนั้นคุณจะต้องลบกฎ ip ด้วย ก่อน/โพสต์ดาวน์=.)
แก้ไข: คุณน่าจะใช้ ตาราง=ปิด บนไคลเอนต์ conf เว้นแต่คุณต้องการให้ทราฟฟิกของ Pi เข้าไปในอุโมงค์ด้วย
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
