Описание:
Один из вариантов временных(remote-access) клиент-серверных подключений, поддержанных на маршрутизаторах ESR - это WireGuard. Ниже приведено описание настройки WireGuard-соединения между сервером ESR и клиентом ОС Windows.
Процесс настройки:
- Конфигурация Windows
- Генерация ключей на ESR
- Конфигурация ESR
Конфигурация Windows:
Публичный ключ: bRew2vGB9ZJnXrF5c6515EFc2FgyIqqEdDIoI2Yav30= необходимо скопировать на ESR в качестве public-key в конфигурацию peer → remote-access wireguard. Ключ сохранен в файл wg_client.pub.
PublicKey = HITzwUb0edADCstZnnSFhZumth5fPbTAEp6HhKOAHHw= - это публичный ключ, сгенерированный на ESR
Address = 172.16.1.2/24 - туннельный адрес клиента
AllowedIPs = 172.16.1.1/24 - туннельный адрес сервера ESR
Endpoint = 192.0.2.1:43020 - ip адрес подключения к серверу ESR
Генерация ключей на ESR
Генерация приватного ключа:
esr# crypto generate private-key x25519 private_key_x25519 esr# show crypto certificates private-key File name -------------------------------------------------------------------------------------------------------------- private_key_x25519
Генерация публичного ключа ключа(устанавливается на Windows):
esr# crypto generate public-key x25519 private-key private_key_x25519 wg_server.pub esr# show crypto certificates public-key File name -------------------------------------------------------------------------------------------------------------- wg_server.pub
Копирование публичного ключа для установки на Windows:
esr# copy crypto:public-key/wg_server.pub tftp://<ipaddr>:/wg_server.pub |******************************************| 100% (45B) Success!
Копирование на ESR публичного ключа, взятого с клиента WireGuard на Windows:
esr# copy tftp://<ipaddr>:/wg_client.pub crypto:public-key/wg_client.pub |******************************************| 100% (45B) Crypto file loaded successfully! esr# show crypto certificates public-key File name -------------------------------------------------------------------------------------------------------------- wg_client.pub wg_server.pub
Конфигурация ESR
Конфигурация производилась без использование Firewall(применялась команда ip firewall disable):
object-group network wireguard
ip address-range 172.16.1.2-172.16.1.20
exit
interface gigabitethernet 1/0/1
ip firewall disable
ip address 192.0.2.1/30
exit
remote-access wireguard wg
mtu 1420
ip firewall disable
port 43020
local-address 172.16.1.1/24
private-key private_key_x25519
enable
peer 1
subnet wireguard
public-key wg_client.pub
enable
exit
exit
ip route 0.0.0.0/0 192.0.2.2
Вывод диагностических команд:
esr# show remote-access status wireguard User IP-address Server ---------------- --------------------- -------------------------------------- peer 1 172.16.1.2 wireguard(wg) esr# show remote-access configuration wireguard wg State: Enabled VRF: -- Description: -- Port: 43020 MTU: 1420 Local addres: 172.16.1.1/24 Security zone: -- Private key: private_key_x25519 Peer: 1 State: Enabled Description: -- Public key: wg_client.pub Subnet: wireguard DNS servers: -- esr# ping 172.16.1.2 PING 172.16.1.2 (172.16.1.2) 56 bytes of data. !!!!! --- 172.16.1.2 ping statistics --- 5 packets transmitted, 5 received, 0% packet loss, time 4005ms rtt min/avg/max/mdev = 0.697/0.996/1.408/0.257 ms esr# show remote-access counters wireguard User IP-address Packets recv Bytes recv Err recv MC recv ------------- --------------------- ------------ ---------- ---------- ---------- peer 1 172.16.1.2 -- 21776 -- -- User IP-address Packets sent Bytes sent Err sent ------------- --------------------- ------------ ---------- ---------- peer 1 172.16.1.2 -- 12704 --