Tôi không có kinh nghiệm với OpenVPN, nhưng, với một thiết lập bảo vệ dây đơn giản, bạn có thể có một máy chủ bảo vệ dây duy nhất có thể cho phép truy cập vào bất kỳ số lượng mạng con riêng tư nào.
Trong ví dụ này, 10.xx.xx.x là các mạng con riêng tư của tôi và 192.168.x.x là mạng lưới bảo vệ của tôi.
- Chọn hoặc thiết lập một máy chuyên dụng làm máy chủ bảo vệ dây và thiết lập cấu hình cơ bản. Ví dụ. phía máy chủ
[Giao diện]
Địa chỉ = 192.168.200.1
Khóa riêng tư = ...
Cổng nghe = 51820
[Đồng đẳng] Máy tính gia đình # Enes
Khóa công khai = ...
IP được phép = 192.168.200.2
và phía khách hàng
[Giao diện]
Khóa riêng tư = ...
Địa chỉ = 192.168.200.2
Cổng nghe = 51820
[Ngang nhau]
Khóa công khai = ...
Điểm cuối = your.wg.server
AllowedIPs = 192.168.200.1/32, 10.0.0.0/8 # Chúng ta có thể định tuyến bất cứ thứ gì chúng ta muốn!
- Định cấu hình máy chủ bảo vệ dây để cho phép chuyển tiếp ip, ví dụ: cài đặt sysctl:
sysctl -w net.ipv4.ip_forward=1
sysctl -w net.ipv6.conf.all.forwarding=1
- Định cấu hình máy chủ bảo vệ dây để cho phép giả mạo, ví dụ: với tường lửa, quy tắc tùy chỉnh trên vùng có giao diện bảo vệ dây (ví dụ: nội bộ)
tường lửa-cmd --add-rich-rule='rule family="ipv4" source address="192.168.211.0/24" masquerade' -- Permanent
tường lửa-cmd --reload
Và đó nên là nó. Sử dụng wg để xác minh rằng wireguard đang hoạt động và bạn sẽ có thể ping bất kỳ 10.x.x.x địa chỉ mà máy chủ wireguard có thể.
Tôi chạy thiết lập này với một máy chủ bảo vệ dây duy nhất VM chống lại hàng chục mạng con riêng với hàng trăm máy.
