Сравнение версий

Старая версия 4

changes.mady.by.user Сервисный центр Ethernet

Сохранено

по сравнению с

Новая версия 5

changes.mady.by.user Сервисный центр Ethernet

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

Шаг

Описание

Команда

Ключи

1

Создать профиль WireGuard-сервера.

esr(config)# remote-access wireguard <NAME>

<NAME> – имя профиля WireGuard-сервера, задаётся строкой до 31 символа.

2

Указать описание конфигурируемого сервера (не обязательно).

esr(config-wireguard-server)# description <DESCRIPTION>

<DESCRIPTION> – описание WireGuard-сервера, задаётся строкой до 255 символов.

3

Определить статический IP-адрес конфигурируемого сервера (обязательно).esr(config-wireguard-server)# local-address <ADDR/LEN><ADDR/LEN> – IP-адрес и длина маски подсети, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32].
4Указать UDP-порт, который будет прослушиваться WireGuard-сервером (не обязательно).esr(config-wireguard-server)# port <PORT><PORT> – UDP-порт, принимает значения [1..65535].
5Отключить функции Firewall или включить WireGuard-сервер в зону безопасности и настроить правила взаимодействия между зонами (см. раздел Конфигурирование Firewall).esr(config-wireguard-server)# ip firewall disable
esr(config-wireguard-server)# security-zone <NAME><NAME> – имя зоны безопасности, задаётся строкой до 31 символа. 
6Задать MTU (не обязательно).esr(config-wireguard-server)# mtu <MTU>

<MTU> – 552–10000.

Значение по умолчанию: 1500.

7Указать приватный ключ WireGuard-сервера (обязательно).esr(config-wireguard-server)# private-key <NAME><NAME> – имя приватного ключа, задаётся строкой до 31 символа.
8Указать список DNS-серверов, которые будут использовать удаленные пользователи (не
обязательно).		esr(config-wireguard-server)# dns-server <ADDR | ADDR, ADDR>

<ADDR | ADDR, ADDR> – IP-адрес или IP-адреса DNS-сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]. Можно указать до двух DNS-серверов.

9Включить профиль WireGuard-сервера.esr(config-wireguard-server)# enable
10Перейти к настройке разрешённых туннелей WireGuard-сервера.esr(config-wireguard-server)# peer <COUNT><COUNT> – номер соответствующего пира, принимает значения [1..16].
11Указать описание туннеля (не обязательно).esr(config-wireguard-server-peer)# description <DESCRITPION><DESCRIPTION> – описание WireGuard-сервера, задаётся строкой до 255 символов.
12Указать публичный ключ туннеля (обязательно).esr(config-wireguard-server-peer)# public-key <NAME><NAME> – имя публичного ключа, задаётся строкой до 31 символа.
13Указать список IP-адресов, которым будет разрешено находиться внутри туннеля (обязательно).

esr(config-wireguard-server-peer)#

subnet

access-addresses <TYPE> 
{<FROM-ADDR> - <TO-ADDR> | <OBJ-GROUP-NETWORK-NAME> | <ADDR/LEN>}

<TYPE> – тип аргумента, устанавливаемый в качестве адреса:

  • address-range – указать диапазон IPv4-адресов;
  • object-group – указать имя профиля;
  • prefix – указать адрес подсети и префикс.

<FROM-ADDR> – начальный IP-адрес диапазона;
<TO-ADDR> – конечный IP-адрес диапазона;

<OBJ-GROUP

-NETWORK

-NAME> – имя профиля IP-адресов,

содержащего префиксы подсетей назначения, задается

задаётся строкой до 31 символа;

<ADDR/LEN> – IP-адрес и маска подсети.

14Включить туннель (обязательно).esr(config-wireguard-server-peer)# enable

...

Блок кода
esr(config-wireguard-server)# peer 1
esr(config-wireguard-server-peer)# public-key client.pub
esr(config-wireguard-server-peer)# subnetaccess-addresses object-group client_wg

Включите туннель и WireGuard-сервер:

...

Шаг

Описание

Команда

Ключи

1

Создать WireGuard-туннель и перейти в режим его конфигурирования.

esr(config)# tunnel wireguard <INDEX>

<INDEX> – идентификатор туннеля в диапазоне: [1..16].

2

Указать экземпляр VRF, в котором будет работать данный Wireguard-туннель (не обязательно).

esr(config-wireguard)# ip vrf forwarding <VRF>

<VRF> – имя VRF, задаётся строкой до 31 символа.

3

Указать описание конфигурируемого туннеля (не обязательно).

esr(config-wireguard)# description <DESCRIPTION>

<DESCRIPTION> – описание туннеля, задается строкой до 255 символов.

4

Включить Wireguard-туннель в зону безопасности и настроить правила взаимодействия между зонами или отключить firewall (см. раздел Конфигурирование Firewall).

esr(config-wireguard)# security-zone <NAME>

<NAME> – имя зоны безопасности, задаётся строкой до 31 символа.

esr(config-wireguard)# ip firewall disable


5

Определить статический IP-адрес конфигурируемого туннеля (обязательно).

esr(config-wireguard)# ip address <ADDR/LEN>

<ADDR/LEN> – IP-адрес и длина маски подсети, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32].

6

Задать MTU (не обязательно). esr(config-wireguard)# mtu <MTU><MTU> – 552–10000. Значение по умолчанию: 1500.

7

Указать приватный ключ WireGuard-клиента (обязательно).esr(config-wireguard)# private-key <NAME><NAME> –  имя приватного ключа, задается строкой до 31 символа.

8

Перейти к настройке разрешенных пировesr(config-wireguard)# peer <COUNT>

<COUNT> – номер соответствующего пира, принимает значения [1..16].

9Указать описание пира (не обязательно).esr(config-wireguard-peer)# description <DESCRIPTION><DESCRIPTION> – описание туннеля, задается строкой до 255 символов.

10

Задать значение keepalive (не обязательно). esr(config-wireguard-peer)# keepalive timeout <SEC><SEC> – количество секунд, принимает значения [1..32767].
11Указать публичный ключ WireGuard-пира (обязательно).esr(config-wireguard-peer)# public-key <NAME><NAME> –  имя приватного ключа, задается строкой до 31 символа.
12Указать IP-адрес удаленного пира (обязательно).esr(config-wireguard-peer)# remote address <ADDR><ADDR> – IP-адрес локального шлюза, задается в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
13Указать UDP-порт удаленного пира (обязательно)esr(config-wireguard-peer)# remote port <PORT><PORT>– UDP-порт, принимает значения [1..65535].
14Указать список IP-адресов, которым будет разрешено находиться внутри туннеля (обязательно).esr(config-wireguard-peer)# subnet <OBJ-GROUPNETWORK-NAME>access-addresses <TYPE> 
{<FROM-ADDR> - <TO-ADDR> | <OBJ-GROUP-NETWORK-NAME> | <ADDR/LEN>}

<TYPE> – тип аргумента, устанавливаемый в качестве адреса:

  • address-range – указать диапазон IPv4-адресов;
  • object-group – указать имя профиля;
  • prefix – указать адрес подсети и префикс.

<FROM-ADDR> – начальный IP-адрес диапазона;
<TO-ADDR> – конечный IP-адрес диапазона;

<OBJ-GROUP-

NETWORKNAME>

NAME> – имя профиля

IPадресов, содержащего префиксы подсетей назначения, задается

IP-адресов, задаётся строкой до 31 символа;

<ADDR/LEN> – IP-адрес и маска подсети.

15Активировать пир (обязательно).esr(config-wireguard-peer)# enable

16

Активировать туннель.

esr(config-wireguard)# enable


17

Задать интервал времени, за который усредняется статистика о нагрузке на туннель (не обязательно).

esr(config-wireguard)# load-average <TIME>

<TIME> – интервал в секундах, принимает значения [5..150]

Значение по умолчанию: 5.

18Включить запись статистики использования текущего туннеля (не обязательно).

esr(config-wireguard)# history statistics


...

Блок кода
esr(config-wireguard)# peer 1
esr(config-wireguard-peer)# public-key server.pub
esr(config-wireguard-peer)# subnet access-addresses object-group server_wg
esr(config-wireguard-peer)# remote address 178.47.26.133
esr(config-wireguard-peer)# remote port 43020

...