Сравнение версий

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

Настройка сервера удаленного доступа к корпоративной сети по WireGuard-протоколу

WireGuard – простой, быстрый и современный VPN, использующий современную криптографию (ChaCha20, Poly1305, Curve25519, BLAKE2s, SipHash24, HKDF). WireGuard надежно инкапсулирует IP-пакеты поверх UDP. В основе WireGuard лежит концепция под названием «Маршрутизация криптоключей», которая работает путем связывания открытых ключей со списком IP-адресов туннеля, разрешенным находиться внутри туннеля. Каждый сетевой интерфейс имеет закрытый ключ и список пиров. У каждого узла есть открытый ключ. Открытые ключи короткие и простые и используются узлами для аутентификации друг друга. Их можно передавать для использования в файлах конфигурации любым внешним методом аналогично тому, как можно отправить открытый ключ SSH для доступа к серверу.

С алгоритмом настройки можно ознакомиться по ссылке в разделе: Алгоритм настройки сервера удаленного доступа к корпоративной сети по WireGuard-протоколу.

Пример настройки сервера удаленного доступа по WireGuard-протоколу с общим IP-адресом

Задача:

Настроить WireGuard-сервер на кластере маршрутизаторов ESR для подключения удаленных пользователей к ЛВС.

  • адресация внутри туннеля – 128.66.100.0/24;
  • VRRP адрес WireGuard-сервера внутри туннеля – 128.66.100.1;
  • порт подключения к серверу – 43020.
Исходная конфигурация кластера:

...

  • соседство устанавливается только с Active устройством;
  • клиентская подсеть: 192.0.2.0/24;
  • анонсирование подсетей, подключенных напрямую;
  • собственная AS 2500;
  • соседство – подсеть 203.0.113.0/24, vrrp IP-адрес для подключения 203.0.113.1, IP-адрес соседа 203.0.113.2, AS3000.

Рисунок 6 — Схема реализации eBGP с общим IP-адресом

Исходная конфигурация кластера:

...

  • соседство устанавливается с каждым маршрутизатором в кластере индивидуально;
  • клиентская подсеть: 192.0.2.0/24;
  • анонсирование подсетей, подключенных напрямую;
  • собственная AS 2500;
  • соседство для ESR-1 – подсеть 203.0.113.0/30, IP-адрес для подключения 203.0.113.1, IP-адрес соседа 203.0.113.2, AS3000;
  • соседство для ESR-2 – подсеть 203.0.113.4/30, IP-адрес для подключения 203.0.113.5, IP-адрес соседа 203.0.113.6, AS3500.

Рисунок 7 — Схема реализации eBGP с каждым участником кластера по индивидуальным IP-адресам

Исходные конфигурации маршрутизаторов в кластере:

...