| Оглавление | ||
|---|---|---|
|
Настройка сервера удаленного доступа к корпоративной сети по PPTP-протоколу
...
| Блок кода |
|---|
esr(config)# object-group network pptp_remote esr(config-object-group-network)# ip address-range 10.10.10.5-10.10.10.25 esr(config-object-group-network)# exit |
Создадим профиль адресов, содержащий адреса, которые будут использовать удаленные пользователи:
| Блок кода |
|---|
esr(config)# object-group network pptp_dns
esr(config-object-group-network)# ip address-range 8.8.8.8,8.8.8.4
esr(config-object-group-network)# exit |
| Scroll Pagebreak |
|---|
...
WireGuard — простой, быстрый и современный VPN, использующий современную криптографию (ChaCha20, Poly1305, Curve25519, BLAKE2s, SipHash24, HKDF). WireGuard надежно инкапсулирует IP-пакеты поверх UDP. В основе WireGuard лежит концепция под названием «Маршрутизация криптоключей», которая работает путем связывания открытых ключей со списком IP-адресов туннеля, которым разрешено находиться внутри туннеля. Каждый сетевой интерфейс имеет закрытый ключ и список пиров. У каждого узла есть открытый ключ. Открытые ключи короткие и простые и используются узлами для аутентификации друг друга. Их можно передавать для использования в файлах конфигурации любым внешним методом, аналогично тому, как можно отправить открытый ключ SSH для доступа к серверу.
Алгоритм настройки
Шаг | Описание | Команда | Ключи |
|---|---|---|---|
1 | Создать WireGuard-туннель и перейти в режим его конфигурирования. | esr(config)# tunnel wireguard <INDEX> | <INDEX> – идентификатор туннеля в диапазоне: [1..16]. |
2 | Указать экземпляр VRF, в котором будет работать данный Wireguard-туннель (не обязательно). | esr(config-wireguard)# ip vrf forwarding <VRF> | <VRF> – имя VRF, задаётся строкой до 31 символа. |
3 | Указать описание конфигурируемого туннеля (не обязательно). | esr(config-wireguard)# description <DESCRIPTION> | <DESCRIPTION> – описание туннеля, задается строкой до 255 символов. |
4 | Включить Wireguard-туннель в зону безопасности и настроить правила взаимодействия между зонами или отключить firewall (см. раздел Конфигурирование Firewall). | esr(config-wireguard)# security-zone <NAME> | <NAME> – имя зоны безопасности, задаётся строкой до 31 символа. |
esr(config-wireguard)# ip firewall disable | |||
5 | Определить статический IP-адрес конфигурируемого туннеля (обязательно). | esr(config-wireguard)# ip address <ADDR/LEN> | <ADDR/LEN> – IP-адрес и длина маски подсети, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32]. |
6 | Задать MTU (не обязательно). | esr(config-wireguard)# mtu <MTU> | <MTU> – 552–10000. Значение по умолчанию: 1500. |
7 | Указать приватный ключ WireGuard-клиента (обязательно). | esr(config-wireguard)# private-key <NAME> | <NAME> – имя приватного ключа, задается строкой до 31 символа. |
8 | Перейти к настройке разрешенных пиров | esr(config-wireguard)# peer <COUNT> | <COUNT> – номер соответствующего пира, принимает значения [1..16]. |
| 9 | Указать описание пира (не обязательно). | esr(config-wireguard-tunnel-peer)# description <DESCRIPTION> | <DESCRIPTION> – описание туннеля, задается строкой до 255 символов. |
10 | Задать значение keepalive (не обязательно). | esr(config-wireguard-tunnel-peer)# keepalive timeout <SEC> | <SEC> – количество секунд, принимает значения [1..32767]. |
| 11 | Указать публичный ключ WireGuard-пира (обязательно). | esr(config-wireguard-tunnel-peer)# public-key <NAME> | <NAME> – имя приватного ключа, задается строкой до 31 символа. |
| 12 | Указать IP-адрес удаленного пира (обязательно). | esr(config-wireguard-tunnel-peer)# remote address <ADDR> | <ADDR> – IP-адрес локального шлюза, задается в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]. |
| 13 | Указать UDP-порт удаленного пира (обязательно) | esr(config-wireguard-tunnel-peer)# remote port <PORT> | <PORT>– UDP-порт, принимает значения [1..65535]. |
| 14 | Указать список IP-адресов, которым будет разрешено находиться внутри туннеля (обязательно). | esr(config-wireguard-tunnel-peer)# subnet <OBJ-GROUPNETWORK-NAME> | <OBJ-GROUP-NETWORKNAME> – имя профиля IPадресов, содержащего префиксы подсетей назначения, задается строкой до 31 символа. |
| 15 | Активировать пир (обязательно). | esr(config-wireguard-tunnel-peer)# enable | |
16 | Активировать туннель. | esr(config-wireguard)# enable | |
17 | Задать интервал времени, за который усредняется статистика о нагрузке на туннель (не обязательно). | esr(config-wireguard)# load-average <TIME> | <TIME> – интервал в секундах, принимает значения [5..150] Значение по умолчанию: 5. |
| 18 | Включить запись статистики использования текущего туннеля (не обязательно). | esr(config-wireguard)# history statistics |
Пример настройки
Задача:
Настроить WireGuard-клиента на маршрутизаторе:
...