本实验将OpenWrt作为一般节点(不提供网关功能的客户端)接入WireGuard组建的跨地域局域网,实现与局域网内其他机器的通信。
由于OpenWrt也具备NAT功能,因此OpenWrt下的设备可以正常与WireGuard局域网内的设备互相通信,也可通过IP访问到WireGuard局域网内的其他设备。但是WireGuard局域网内的设备通过IP只能访问到OpenWrt,无法通过IP访问OpenWrt下的设备,除非在OpenWrt中进行端口映射或指定DMZ主机。
目录
一、OpenWrt安装
本实验将在VMware虚拟机中安装OpenWrt。
安装方法:
单臂软路由实现(一) VMware虚拟机内安装OpenWrt
https://blog.csdn.net/Cx2008Lxl/article/details/122988514 OpenWrt网卡配置:
① 网卡1(eth0):桥接至物理机接入Internet的网卡。
② 网卡2(eth1):VMnet1(仅主机模式),IP:192.168.200.1。
二、WireGuard安装与接口配置
1. 更新软件列表
登录OpenWrt后台,进入 “系统->Software” 菜单。点击 “UPDATE LISTS...” 等待更新完毕。
2. 安装WireGuard
在Filter文本框中输入wireguard,在列表中直接安装 “luci-i18n-wireguard-zh-cn”,系统将会自动完成其依赖的安装。
3. WireGuard接口配置
1)前往WireGuard管理面板,添加一个节点,并保存节点的配置文件。
局域网组建(一) 远程办公实现 — WireGuard组建跨地域局域网(AlmaLinux+Docker)https://blog.csdn.net/Cx2008Lxl/article/details/1266578272)接口创建(可以将WireGuard接口理解为WAN接口,它将提供一个OpenWrt路由的出口。)
在 “网络->接口->接口” 页面,新建一个接口,本实验接口名取名为WG0(可自行设定),接口协议选择 “WireGuard VPN”。
3)接口配置
接口创建完后,弹出新的窗口 “接口 >> WG0”,进一步配置WireGuard接口。
① 配置文件导入
选择 “常规设置” 选项卡,滑动到页面底部,点击 “Import configuration” 的导入配置按钮,将弹出配置输入文本框。
用文本编辑器(如记事本)打开步骤2.3.1保存的节点配置文件,复制文件的所有内容,粘贴到配置输入文本框中,点击 “IMPORT SETTINGS”按钮。
② 对端配置
引入配置后将自动回到 “接口 >> WG0” 窗口。切换到 “对端” 选项卡,点击 “编辑” 按钮。
在 “接口 >> WG0 >> 编辑对端” 窗口中,勾选 “路由允许的IP”,并保存。
③ 防火墙配置
回到 “接口 >> WG0” 窗口后,选择 “防火墙设置” 选项卡。
在 “创建/分配防火墙区域” 中,自定义创建一个新的防火墙区域,本实验命名为 “wireguard”,输入完后回车即可。点击 “保存” 按钮完成配置。
回到 “接口” 页面,点击 “保存并应用”。
4. 防火墙配置
切换到 “网络->防火墙” 页面,在 “Zones” 栏中,点击 “wireguard” 区域的编辑按钮。
在 “Firewall – Zone Settings” 窗口的 “常规设置” 选项卡中,将 “Forward” 设置为 “accept”,并勾选 “Masquerading”。在 “Allow forward from source zones” 中,选择 “lan” 区域,这样将允许lan内的数据包转发至WireGuard区域,实现OpenWrt下的设备与WireGuard区域通信。
保存配置,并点击 “保存并应用” 按钮。
三、OpenWrt路由选择
目前,OpenWrt拥有两个数据包出口,一个是WAN口,另一个是WireGuard接口(WG0接口)。WG0接口接入的是WireGuard组建的跨地区局域网,实验中该局域网配置有一个拥有公网IP的网关,因此WireGuard局域网也是可以接入Internet的。
如果希望OpenWrt的数据包出口始终为WG0接口,而不通过WAN口转发数据包。有以下两种方法:
① 法一:在 “网络->防火墙->常规设置” 页面修改防火墙配置,将WAN区域从lan区域允许转发到的目的区域中去除。
② 法二:在 “网络->接口->接口” 页面,配置 “WAN” 和 “WG0” 的网关跃点(编辑->高级设置->使用网关跃点),为WG0接口指定更小的网关跃点,为WAN接口指定更大的网关跃点(网关跃点越大优先级越低)。
如果希望OpenWrt数据包的出口根据目标IP进行选择,可以在OpenWrt中安装MWAN3插件,根据需求配置选择策略。
四、OpenWrt接入WireGuard测试
切换到 “网络->网络诊断” 页面。
【说明】
① 物理机通过网卡接入的局域网网段为192.168.68.0/24,网关为192.168.68.1。
② WireGuard组建的跨地区局域网网段为10.0.30.0/24,网关为10.0.30.1。
1)WireGuard局域网接入成功性测试
在 “网络诊断” 页面的 “IPV4 PING” 测试处,输入WireGuard局域网网关10.0.30.1,如果数据包成功发送和接收则表明接入WireGuard局域网正常。
2)路由选择测试
在 “网络诊断” 页面的 “IPV4 TRACEROUTE” 测试处,输入一个Internet网址,如 baidu.com,观察测试结果。
① 出口为WAN接口的测试结果:观察第1跳,如果为192.168.68.1则表明数据包直接通过WAN接口被转发到了物理机网卡接入的局域网网关。
② 出口为WG0接口的测试结果:观察第1跳,如果为10.0.30.1则表明数据包通过WG0接口转发到了WireGuard局域网内,并通过WireGuard局域网网关被转发出去。
至此,本实验OpenWrt作为一般节点接入WireGuard局域网的配置已经全部完成,如果OpenWrt没有运行在虚拟机中,而是实体路由器,则将设备接入LAN口后即可经过OpenWrt路由来访问WireGuard局域网或Internet。
五、物理机网卡配置
本实验OpenWrt运行于虚拟机下,WAN口桥接的物理机Internet网卡,LAN口用VMnet1虚拟网卡仅与物理机通信。因此物理机目前既可以通过Internet网卡直接访问Internet网络,也可通过VMnet1网卡经过OpenWrt路由后访问Internet网络。通过配置网关跃点可以选择网络的出口。
1. 网关跃点配置
① 打开 “控制面板->网络和 Internet->网络连接”。
② 选中接入Internet的网络适配器,“右键->属性->Internet协议版本4(TCP/IPv4)->属性->常规->高级”。取消 “自动跃点” 的选择,并输入较大的接口跃点数。
③ 选中OpenWrt的LAN口对应的虚拟网络适配器(本实验为VMnet1),为其指定较小的接口跃点数。此时将优先选择VMnet1作为物理机的网络出口。
2. 网络测试
① 连通性测试:打开CMD命令提示符,输入 “ping 192.168.200.1”(本实验OpenWrt的LAN口地址为192.168.200.1,如果为其他地址如192.168.128.1则改为对应地址即可),查看是否能成功发送和接收数据包,如果能则表明与OpenWrt路由器通信正常。
② 路由跟踪测试:输入 “tracert baidu.com”,查看路由路径。
如果第1跳为OpenWrt的LAN口地址(本实验为192.168.200.1),则表明物理机网关跃点配置正确,数据包均通过OpenWrt进行转发,否则请检查网关跃点配置情况,或将Internet网卡的网关跃点配置为更大的值。
如果第2跳为物理机网卡接入的局域网网关(本实验为192.168.68.1),则表明OpenWrt的出口为WAN接口。如果为WireGuard局域网网关(本实验为10.0.30.1),则表明OpenWrt的出口为WG0接口。
六、拓展实验
1)在VMware中再新建多台虚拟机,安装Windows操作系统。
2)在VMware内为这些Windows虚拟机构建一个局域网,与OpenWrt的LAN口相接,使OpenWrt作为这些Windows虚拟机的网关。
【提示】
① 在VMware菜单中,点击 “编辑->虚拟网络编辑器”,点击右下角 “更改设置”,为其提供管理员权限。在虚拟网络编辑器中,点击 “添加网络”,选择一个未被使用的网络(如VMnet2),按下图配置该网络,并指定网段(如192.168.100.0/24)。
② VMware中编辑OpenWrt虚拟机设置,添加一块网卡,在 “自定义:特定虚拟网络” 中指定这个未被使用的网络VMnet2。
③ 将OpenWrt的LAN接口设备指定为该网卡,并开启LAN接口的DHCP服务,此后有新的主机接入此虚拟网络(VMnet2),OpenWrt的DHCP服务器将会自动为其分配IP地址。
④ 配置这些Windows虚拟机的设置,将其网络适配器也加入到这个网络(VMnet2)中。
⑤ 在Windows虚拟机中进行网络测试(Ping、Tracert),观察网络连通性与路由的选择。
1977
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
