Wireguard配置HUB-SPOKE组网

最新推荐文章于 2024-09-08 18:08:33 发布
最新推荐文章于 2024-09-08 18:08:33 发布
阅读量1.2k 收藏 20
点赞数 25
文章标签: python linux 开发语言 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gtj0617/article/details/136469259
版权
本文详细介绍了Wireguard在HUB-SPOKE网络模型中的配置,包括通过NAT设备的穿透,以及PCA(HUB)、PCB和PCC(SPOKE)的配置步骤。强调了正确的私钥和公网信息设置,并演示了如何启用转发功能以实现站点间互通。
摘要由CSDN通过智能技术生成

4d72c0f3d16307c703e1910b6eb65f32.gif

正文共:888 字 13 图,预估阅读时间:1 分钟

通过前面几次的巩固Wireguard配置文件详解配置Wireguard的几个进阶玩法,我们现在已经数量掌握了Wireguard的配置要领,那么我们就来更新一下Wireguard的组网案例。

首先介绍一下HUB-SPOKE组网模型,分别用3台主机代表3个站点,PCA为HUB角色,PCB和PCC为SPOKE角色,配置PCB和PCC需要穿越NAT设备来访问PCA。每个主机配置一个虚拟接口veth,模拟本地网络。组网示意图如下:

0aa3a6f9bfd244cb0e505e8d504b3e0f.png

首先使用3条命令完成标准内核下的Wireguard安装,即使用ELRepo的预构建模块进行安装。具体操作过程请参考使用8条命令即可完成的VPN配置!CentOS快速配置WireGuard全互联组网,文章同时介绍了3种部署方式。

yum install -y epel-release elrepo-release
yum install -y yum-plugin-elrepo
yum install -y kmod-wireguard wireguard-tools

安装完Wireguard之后,我们先来配置HUB设备PCA。首先为PCA创建一个虚拟接口,并配置IP地址110.1.1.1/24。

ip link add loop1 type veth
ip address add dev loop1 110.1.1.1/24
ip link set up dev loop1

3a209290e7b08e9d6027a6118009f19d.png

作为HUB设备,配置时无需指定对端的IP地址和端口信息,但需要保证对端的公钥信息正确;再加上两端的私网信息,PCA的配置如下:

[Interface]
PrivateKey = 2DOnuYIGbLMplHdd3TjwUjbZGQfPC6kxbp+XE+Z1FlM=
Address = 10.1.1.1/24
ListenPort = 10086
[Peer]
PublicKey = Qldp06YMySdq77rT+JboZAAicv0JZtuMxCl2Eb79yj8=
AllowedIPs = 10.1.1.2/32,120.1.1.0/24
[Peer]
PublicKey = /F826MtOhPCmyqxnT0LoTMDErbCE/oBfXW0stbnXojE=
AllowedIPs = 10.1.1.3/32,130.1.1.0/24

d9ccbbd2c6b4b597fe3b0f323456e4b1.png

然后使能Wireguard接口配置。

wg-quick up /root/wg0.conf

f1487390a5e648b6fec9796a6a737ac6.png

同理,我们再来配置SPOKE设备,和HUB设备不同的是,SPOKE设备需要明确指定对端的IP地址和端口信息,不能留空;再加上去往HUB和另一个SPOKE的私网信息,PCB的配置如下:

[Interface]
PrivateKey = uMTJJ6LZKwHGfdUUtQdGt5d/qCey5xRZi2MFG27HQ0E=
Address = 10.1.1.2/24
ListenPort = 10086
[Peer]
PublicKey = reMkRBC1wrBqPOrqDRYVNGx4RBLwM2iYCKYzvC7lbCg=
Endpoint = 11.1.1.2:10086
AllowedIPs = 10.1.1.0/24,110.1.1.0/24,130.1.1.0/24
PersistentKeepalive = 10

d2b2ca4a42c905d822a085f3067795ba.png

记得为PCB创建一个虚拟接口,并配置IP地址120.1.1.1/24。

ip link add loop1 type veth
ip address add dev loop1 120.1.1.1/24
ip link set up dev loop1

e8175448e2cc0fba2f4525b2a424616d.png

然后使能Wireguard接口配置。

wg-quick up /root/wg0.conf

3476835c3986debad8e4458f3de227b8.png

同理,我们为PCC创建一个虚拟接口,并配置IP地址130.1.1.1/24。

ip link add loop1 type veth
ip address add dev loop1 130.1.1.1/24
ip link set up dev loop1

15da4d5b87f7a4672bd92b22938b4af2.png

再配置PCC,同样是明确指定HUB的IP地址和端口信息,再加上去往HUB和PCB的私网信息,PCC的配置如下:

[Interface]
PrivateKey = uJyPyJ5/WtiPi8S3dSHBzHT4ObPq9e7aZY0WnbLis0Q=
Address = 10.1.1.3/24
ListenPort = 10086
[Peer]
PublicKey = reMkRBC1wrBqPOrqDRYVNGx4RBLwM2iYCKYzvC7lbCg=
Endpoint = 11.1.1.2:10086
AllowedIPs = 10.1.1.0/24,110.1.1.0/24,120.1.1.0/24
PersistentKeepalive = 10

f9595b0ded9c472b1d75bae22ce83550.png

然后使能Wireguard接口配置。

wg-quick up /root/wg0.conf

ff02d478a3e2e290635103e7ac01f6b8.png

到这里,我们可以看到隧道基本上都连接成功了,我们来看一下HUB设备的状态。

74abdc975dc1aa31d71accde97bf5285.png

可以看到,两个SPOKE设备都和HUB设备成功连接,再测试一下联通性。

3a55921d657236c9747b040cabf48788.png

访问正常,为了使SPOKE设备之间能够互访,我们必须要开启HUB设备的转发功能。

echo 1 > /proc/sys/net/ipv4/ip_forward

然后我们再从SPOKE设备PCB上看一下联通性。

dc277ceed288b27831c3679f775126cf.png

可以看到,一切访问正常,HUB-SPOKE组网成功。

最后简单总结一下:从配置过程来看,配置一点都不复杂,最主要是保证公钥和私钥完全配置正确,就这么几行配置,我反反复复查了4天;再就是开启HUB设备的本地转发功能,不然无法经过HUB设备进行互通。

daa72e3f016dd759757ea1be56bc7837.gif

长按二维码
关注我们吧

6458b6a762beb48394fabd68e803270a.jpeg

640d489e716993d8d3b0a4869737961b.png

Wireguard配置文件详解

配置Wireguard的几个进阶玩法

如何用SD-WAN路由器实现串接透明部署?

IPv6的无状态动态主机配置协议(DHCP)服务

超线程和VT-d开启与否对性能的影响大不大?

VPP配置指南:NAT“三板斧”

openVPN连接操作指南

某度网盘人工审核不安全?家庭小NAS搞起来!

openVPN + VPP = openVPP

Netmaker服务器端快速搭建WireGuard网络

Danileaf_Guo
关注
VPN部署场景——拨号VPN—hub spoke模式
君逍遥o
09-22 1908
如图所示,某公司总部内部有一台OA服务器,其余分3个支机构都需要通过vpn拨入总部内网对OA服务器进行访问,为了方便配置,总部不想有太多的配置,总部只建立一条vpn隧道,实现所有分支机构和总部的通讯。
一例通过运营商的hub-spoke配置案例
05-11
在这个“一例通过运营商的hub-spoke配置案例”中,我们将深入探讨VRF(Virtual Routing and Forwarding)、单臂路由、MPLS(Multiprotocol Label Switching)以及EBGP(External Border Gateway Protocol)等关键...
WireGuard 组网教程:快速构建安全高效的私密网络并实现内网穿透
热门推荐
pursuit的博客
11-16 2万+
通过阅读本文,读者将了解 WireGuard 的基本概念和原理,学会安装和配置 WireGuard,以及如何使用 WireGuard 实现内网穿透。此外,还介绍了一些与 WireGuard 相关的工具,以帮助读者更好地管理和使用 WireGuard
华为MPLS VPN应用场景之HUB-SPOKE模型
最新发布
Alwaysone123的博客
09-08 578
HUB-SPOKE模型
HUB——Spoke组网
2202_76111829的博客
08-07 579
完成AS 100内的MP-BGP对等体配置,使用Loopback0接口地址作为Router ID以及建立BGP对等体的连接源地址,其中P5配置为RR,通过P5实现VPNv4路由的传递。in中学习到的分支路由,会经由AS 1的P6 ,再以BGP路由的形式传递到out实例中,但P5因存在自身AS,不会学习该路由,为此需配置allow-as-loop参数。PE2已经学习到前往另外一个分支以及总部的业务路由,并且下一跳都为总部的PE。PE4已经学习到前往另外一个分支以及总部的业务路由,并且下一跳都为总部的PE。
局域网组网 实验7 MPLS VNP
m0_51828898的博客
08-03 849
配置: AR1: # interface GigabitEthernet0/0/0 ip address 10.1.2.1 255.255.255.0 # interface GigabitEthernet0/0/1 # interface GigabitEthernet0/0/2 # interface NULL0 # interface LoopBack0 ip address 10.1.1.1 255.255.255.255 # ip route-static 10.1.3.0 255.2..
Hub-Spoke
lra2003的博客
10-28 1万+
1.Hub-Spoke Hub-Spoke VPN的核心思想是在VPN中设置中心访问控制设备,其它用户的互访都通过中心访问控制设备进行。上图是一个典型的Hub-Spoke网络,其中的元素分别为Hub-PE、Hub-CE、Spoke-PE和Spoke-CE,一般情况下Spoke-PE均与Hub-PE互联,Spoke-PE之间无需互联。在这里Hub-PE看上去有点类似于路由反射器RR的功能,其实并不是这样的,可以通过后面的配置中我们可以看到,在Hub-PE上并没有配置任何RR的功能,这里是通过Hub-PE和S
IP路由-OSPF支持Hub-And-Spoke组网典型配置举例.pdf
10-15
OSPF支持Hub-And-Spoke组网典型配置举例 OSPF(Open Shortest Path First,开放最短路径优先)是一种常用的链路状态路由协议,广泛应用于大型企业网络和ISP网络中。Hub-And-Spoke组网是一种典型的网络扁平化组网...
IP路由-OSPF支持Hub-And-Spoke组网典型配置举例-D.docx
10-24
Hub-And-Spoke组网中,OSPF的配置主要考虑以下几点: 1. **区域规划**:为了有效管理Hub与所有Spoke设备之间的路由,通常会将它们都置于同一个OSPF区域。这样做可以确保路由信息在区域内传播,避免不必要的路由...
IP路由-OSPF支持Hub-And-Spoke组网技术白皮书-D.docx
10-24
Hub-And-Spoke组网是一种常见的网络架构,通常用于集中式管理或者在多点之间建立点对点连接。在Hub-And-Spoke模型中,一个中心节点(Hub)作为所有其他节点(Spokes)的通信中心,而Spokes之间不直接通信,所有的...
IP路由-OSPF支持Hub-And-Spoke组网技术白皮书.pdf
10-15
[](https://example.com/hub-spoke-diagram.png) 图1: Hub-And-Spoke组网示意图 ##### 1.2 OSPF在Hub-And-Spoke组网中的问题与对策 在Hub-And-Spoke组网中,通常会将Hub设备与所有Spoke设备置于同一个OSPF区域内...
MPLS VPN基本组网 - Hub&Spoke
2301_78439235的博客
07-17 1230
Hub-PE的BGP-VPN实例(VPN_out)通过Export Target属性将路由发布给Spoke-PE2的同时,也会将该路由发布给Spoke-PE1。5.Hub-PE的BGP-VPN实例(VPN_out)引入OSPF200多实例路由,并将携带VPN_out的Export Target属性的路由发布给所有Spoke-PE。SPOKE侧不变,将HUB-PE侧的IGP删除,改成EBGP,需要注意的是SPOKE-PE,要互相引入路由,HUB-CE要设置allow-as-loop。
WireGuard 组网教程:快速构建安全高效的私密网络并实现内网穿透_wire guard
AUZKAY的博客
04-15 1292
WireGuard 的核心是一个称为加密密钥路由的概念,它的工作原理是将公钥与隧道内允许的隧道 IP 地址列表相关联。只需要有一台具有固定公网IP的服务器,就可以将其作为我们搭建的局域网的中心节点,让其他的主机(不论是否有公网IP,不论是否在NAT内),都通过这个中心节点和彼此相连。并不是特殊的节点,它和其他peer一样,唯一的区别是它有公网 IP,并且开启了内核级别的 IP 转发,可以将 威屁恩 的流量转发到其他客户端。此选项为现有的公钥加密提供了额外的对称密钥加密层,以增强对抗后量子计算的能力。
局域网组建(一) 远程办公实现 — WireGuard组建跨地域局域网(AlmaLinux+Docker)
Cx2008Lxl的博客
09-02 1万+
本实验在拥有公网IP的AlmaLinux服务器系统上,利用Docker的Place1/wg-access-server镜像搭建WireGuard,实现其他节点与之通信和节点间的互相通信,组建一个跨地域的局域网。
H3C路由器Hub-Spoke网络结构D***配置案例(试读连载一二))
weixin_33721427的博客
07-29 316
      [博主按]从本期开始,应广大网友的要求,将从我的两本即将在10月底出版的路由器新书《路由器配置与管理完全手册》(Cisco和H3C各一本)中抽取一些精彩小节,在11月底,每星期发表一篇内容试读文章,以便大家对这两本新书有更加充分的了解。  这两本书的目录参见: http://winda.blog.51cto.com/55153/333804 http://winda.blog.5...
MPLS隧道——Hub&Spoke组网类型
m0_49864110的博客
10-30 5997
此时向CE1、Hub-PE发送撤销路由,Hub-PE收到后向CE发送撤销路由,CE再发送撤销路由给Hub-PE。Hub-PE将路由发往CE,CE然后再将路由发往Hub-PE,Hub-PE需要配置允许接口AS号重复的路由。PE1发送路由到Hub-PE,Hub-PE将路由发送到Hub-CE,Hub-CE再将路由发送到Hub-PE。此时PE1又选AS65001路由为最优路由,再次向Hub-PE下发,这样反复循环,形成路由震荡。与Hub-PE使用IGP,Spoke-PE与Spoke-CE使用EBGP存在的问题。
上古神器WireGuard异地高效率组网
芝士味椒盐的博客
01-11 1万+
​ 缘由 相信很多的工作者、极客玩家或者学生党在项目开发以及发布的时候会遇到云上服务器资源不够(包括内存不够、磁盘不够等等),而我们可能由于一些问题,无法升级云服务器配置,这样的场景就很尴尬对吧?现在的确有许多的像netapp、以及zerotier这样的内网穿透的存在,但是存在一个问题就是不安全,路由网关并不是在我们自己机器上,而且这些市面的望穿也有高效的方法但是要用money,苦于囊中羞涩,这时候WireGuard就可以很好提供高性能的内网穿透能力。 举个例子:你是个学
WireGuard
早起早起的博客
01-26 365
WireGuard配置文件 vim /etc/wireguard/wg0.conf [Interface] PrivateKey = xxxxx Address = xxxx [Peer] PublicKey = dS+mGKn4nvENxW1tuwaiYR1Sx+75F6mIE1Y9Fxw3NlA= Endpoint = xxxxx AllowedIPs = 0.0.0.0/0 wg-quick WireGuard用来启动网络设备的“脚本” 1、up 2、down ...
动态多点虚拟私人网络-HUB-Spoke
weixin_43421779的博客
08-05 606
hub-spoke mgre-gre
MPLS HUB-SPOKE
06-28
MPLS (Multiprotocol Label Switching) 是一种网络技术,它扩展了传统的IP转发方式,引入了标签交换的概念,使得数据包能够更快速、更高效地在网络中传输。在 MPLS 中,Hub-Spoke模型是一种常见的网络架构设计,主要用于大型企业网络或服务提供商网络。 **Hub-Spoke模型:** - **Hub**: 在这种模型中,通常指的是中心节点或核心路由器,负责连接到多个子网(Spokes)。它是所有流量的主要入口和出口点。 - **Spoke**: 指的是从中心Hub辐射出去的分支网络,每个Spoke代表一个单独的区域或部门,如分公司、数据中心等。Spokes与Hub之间建立专用的MPLS隧道,数据通过这些隧道定向传输到Hub。 - **优点**: - 带宽效率:由于流量被集中处理,Hub可以为每个Spoke提供专用带宽,避免了全网广播或广播风暴。 - 网络扩展:当需要添加新的Spoke时,只需要在Hub和新Spoke之间配置连接,而无需修改整个网络的其他部分。 - 安全性:Hub可以实施防火墙策略,保护内部Spoke之间的通信不受外部干扰。 **如何工作:** 1. 数据包进入Hub时,会被打上标签,标识出它的目的地。 2. Hub根据标签转发数据包,不关心底层的IP路由信息。 3. Spoke之间的通信通过Hub进行,数据包在Hub内进行标签交换,然后沿预定路径到达目的地Spoke。 4. 当数据包到达目标Spoke时,标签被移除,执行最后的IP转发。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Danileaf_Guo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值