OpenWrt WireGuard 不分配密钥 将局域网主机纳入组网 并使用路由聚合 使其能访问真正的peer

最新推荐文章于 2024-04-12 05:06:05 发布
最新推荐文章于 2024-04-12 05:06:05 发布
阅读量2.9k 收藏 4
点赞数 1
分类专栏: lede net 文章标签: 路由器 网络规划设计 openwrt 网络协议 子网掩码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011570312/article/details/120631016
版权
lede 同时被 2 个专栏收录
26 篇文章 8 订阅
订阅专栏
net
3 篇文章 0 订阅
订阅专栏

背景分析

有时在组网中,多台主机本身处于同一物理网络,也在同一局域网下,想访问一个wg网上peer的服务。如果将每台主机视为一个peer,都分别分配一个key加入wg网,则稍显繁琐。因此,考虑是否可以将局域网网关作为一个peer,转发其他局域网主机的连接请求。

最终效果

配置完成后,整体像位于同一个子网内,但实际上局域网到wg peer的通信无形之中加了一层“防火墙”,局域网主机可以用自己的IP直接与虚拟内网上的服务器通信,反之则无法实现。同时,还可以选择哪些主机能够与peer通信,哪些不能。

实现原理

  • 按照路由聚合的思想,将wg组成的网络看作一个大网,如192.168.7.0/24,将本局域网看成大网中的一个小网,如192.168.7.0/25,当然也可按需求进行更多的划分。这些小网的主机都不会在wg.conf中注册,仅通过转发与wg网通信。
  • wg网虽然看作一个大网,但实际上其地址空间不能占用任何一个小网的地址。使用大网仅是为了转发方便。
  • 如果有多个小网,则小网之间的通信理论上不受之前说的防火墙效果限制。
  • 合理配置路由聚合,即可在不配置任何额外网关节点的情况下实现通信。

实现步骤

以实现原理中的wg网192.168.7.0/24,局域网192.168.7.0/25为例配置

  1. 接口中添加wg接口wire,配置本机IP地址为192.168.7.129/24(在局域网外,wg网内)。

  2. 将该接口加入新的防火墙区域,默认接受入站出站,拒绝转发。

  3. 添加允许lan转发到wirewire转发到lan
    1

  4. 配置欲访问peer,将允许IP设为peer的ip+wg大网段,并勾选路由允许的IP,具体如下图。由于最长掩码匹配原则,新增加的192.168.7.0/24路由表项并不会将局域网IP路由到wire,而是按正常路径(未配置wg网时的路径)转发,只有在访问超出小网范围的地址时才匹配wg网,保证了正常的网络通信不受影响。
    2

  5. 编辑peerwg.conf,将自己的地址设为192.168.7.254/32,并添加路由器为peer,允许的IP如下。

[Peer]
PublicKey = xxx
AllowedIPs = 192.168.7.129/32
AllowedIPs = 192.168.7.0/24
; 下面填写欲允许访问的小内网IP
AllowedIPs = 192.168.7.16/32
AllowedIPs = 192.168.7.17/32
AllowedIPs = 192.168.7.xx/32
  1. 配置成功,可以ping检测一下了。

3

源文雨
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
openmptcprouter:OpenMPTCProuter是一个开源解决方案,可以在OpenWrt使用多路径TCP(MPTCP)聚合多个Internet连接
02-05
openmptcprouter:OpenMPTCProuter是一个开源解决方案,可以在OpenWrt使用多路径TCP(MPTCP)聚合多个Internet连接
openwrt 虚拟机下使用asterisk实现局域网两个账户的VoIP语音通话
02-16
非常详细描述如何使用openwrt虚拟机搭建基于asterisk的Voip电话,实现了局域网内两个账户之间的互通,附有配置文件以及需要的软件
WireGuard教程:快速构建安全高效的私络并实现内穿透_wire guard
最新发布
fdsgdsgdfw的博客
04-12 923
WireGuard ® 是一款极其简单但快速且现代的 VPN,采用最先进的加技术。它的目标是比 IPsec 更快、更简单、更精简、更有用,同时避免令人头疼的问题。它的性能远高于 OpenVPN。WireGuard 被设计为通用 VPN,可在嵌入式接口和超级计算机上运行,适合许多不同的情况。它最初针对 Linux 内核发布,现在已跨平台(Windows、macOS、BSD、iOS、Android)且可广泛部署。它目前正在大力开发中,但它可能已被视为业内最安全、最易于使用且最简单的 VPN 解决方案。
远程访问openwrt路由器+配置动态DNS
01-06
前提条件 已刷 openwrt 固件的路由器 光猫桥接模式,路由器拨号上路由器 pppoe-wan 获取到的 ip 是公 ip 判断方法:只要ip不在以下范围就是公ip C类:192.168.0.0 – 192.168.255.255 B类:172.16.0.0 – 172.31.255.255 A类:10.0.0.0 – 10.255.255.255 操作方法(web演示) 登录路由器-络-防火墙-端口转发 按照图示操作 示例: 此时就可以用外访问路由器了,比如 我的路由器 lan 地址为 192.168.1.1。wan口公ip为 123.123.123.123,此时就
路由连接NAS做链路聚合
Phillweston的博客
01-17 1万+
路由连接NAS做链路聚合 群晖NAS支持多种链路聚合方式,如自适应负载平衡、IEEE 802.3ad动态Link Aggregation、平衡XOR等方式,其中,IEEE 802.3ad动态Link Aggregation模式需要第三方络设备支持。 注意: 链路聚合功能在原版OpenWRT和较老的LEDE固件上不可用,针对于软路由设备,需要注意口速度等因素,旁路由会影响最大上行带宽,因此这里不推荐使用路由设置。 采用LACP的链路方案,从而实现双通道并行加速 勾选强制链路,slave接口勾选连接NA
【笔记】openwrt - 【一文解决】ipv6设置、DDNS、端口转发
LawssssCat的博客
02-22 1万+
环境:移动运营商、openwrt探讨家用路由怎么配置ipv6实现外访问。尽量避开原理。(想了解原理推荐看下面贴出的视频链接)链接:红茶三杯链接:openwrt官方文档链接:他人整理文档。
局域网组建(二) OpenWrt作为一般节点接入WireGuard组建的跨地域局域网
Cx2008Lxl的博客
09-02 1万+
本实验将OpenWrt作为一般节点(不提供关功能的客户端)接入WireGuard组建的跨地域局域网,实现与局域网内其他机器的通信。
OpenWrt 安装 WireGuard
weixin_42562106的博客
12-15 1万+
安装以下步骤安装中文包和其他软件包搜索 (luci-i18n-base-zh-cn)包重启OpenWrt生效为 wg 接口配置“私”、“公”、“监听端口”、“IP 地址”。如果你已经有准备好的“私”、“公”,则直接粘贴进去即可。如果没有,则可以点击界面上的“生成新的对”按钮,会自动随机生成并填充。监听端口:按需自定义一个公访问的端口号。
树莓派刷OpenWrt 安装 WireGuard
weixin_42562106的博客
12-15 1103
准备SD卡。
OpenWRT穿透 ZeroTier
一直被模仿,从未被超越
01-18 2894
需求:在办公室内能远程连接家里的内家里的环境:主路由用的是老毛子,旁路由 OpenWrt办公室:10.3.0.0/24家里:192.168.123.0/24。
神器WireGuard安装与配置教程(超详细)
热门推荐
阿甘兄
09-28 5万+
超详细讲解WireGuard的安装、配置以及使用
wg-docker:运行带有Wireguard和Babel的关的Docker容器
02-21
wg-docker 运行Freifunk关的Docker容器。 它包含以下组件 线卫 线卫经纪人 巴贝德 mmfd l3roamd 可以从dockerhub提取图像: docker pull klausdieter371/wg-docker Babeld是从1.9分支构建的,因此与openwrt软件包供稿兼容。 这样可以正确传输特定于源的路由。 建立形象 该构建可以利用apt缓存。 docker build . \ --tag wireguard:latest \ --build-arg APT_PROXY_PORT=3142 \ --build-arg HOST_IP=192.168.13.9 将依赖于端口3142上可访问的192.168.13.9上的缓存启动构建 运行容器 该图像将需要设置一些变量和参数才能运行: 它被设计为在交互模式下按以下方式运行: modprobe
openwrt路由无法访问国内络,没
10-30
openwrt路由无法访问国内络,没
路由1s HC5661A刷openwrt固件 12M 支持ipv6
02-06
刷入OpenWrt固件方法: 通过Breed Web恢复控制台的界面进行常规固件升级即可,完成后直接wifi连接Openwrt码。
openwrt-mqtt-wifi-switch:发布OpenWRT wifi络的状态,并通过MQTT命令主题使其可切换
04-13
使用MQTT使OpenWRT Wifi络可切换 为OpenWRT路由器编写的Shell脚本,以通过MQTT命令主题使Wifi络可切换。 它还会连续发布每个Wifi络的已连接客户端数量及其mac地址。 为了易于集成到家庭辅助设备中,使用MQTT...
移动大内 OpenWrt路由 IPV6设置
lovenote521的博客
03-20 913
本例用的是 esir 大神的,版本是高大全 OpenWrt R21.8.6 GDQ v9.1[2021]背景:因为宽带是中国移动,光猫已改为桥接,通过软路由拨号,获取的IPv4是一个内地址,没有公的动态IP,打电话到移动客服说IPv4资源枯竭了,家庭宽带改不了公IP,考虑到后面要做DDNS,端口映射,就改用IPv6进行拨号了,接下来开始设置2、高级设置2、高级设置3、物理设置4、防火墙设置1、基本设置2、高级设置3、IPv6设置。
wireguard 组多地局域网
菜菜的菜菜
03-11 3661
wireguard 组多地局域网 现公司分布各地,欧洲,美洲,越南,香港,台湾,日本,国内,通过国际专线费用又高,而是用ipsec又有速度和其他的限制. 特别是国内分公司太多,专线费用也是很庞大的一笔开销 很多年前就看到wireguard这个小众的VPN,一直没研究.正好过年期间有时间,就部署了一下.测试效果还可以. 大概的图就是这样 通过指向总部路由指目的地址10.10.9.1走10.1.1.1,分公司路由指目的地址10.10.10.1走10.1.1.2 这样就能实现内打通 由于我现在
OpenWRT实现有线+WiFi的STA模式双WAN叠加
weixin_34161083的博客
03-27 1949
为什么80%的码农都做不了架构师?>>> ...
OpenWrt之IPTV双线融合教程
NueXini的博客
02-01 7813
前段时间开始, 电信就开始整理单播源传播的乱象, 就限制了非内无法打开直播源, 于是只能搞搞双线融合了, 让我的RTSP源重新焕发生机。
openwrt开启dmz服务后为什么不能通过内ip访问
06-02
OpenWrt中开启DMZ服务后,如果您仍然无法通过内IP访问,则可能是因为您的路由器没有正确地进行端口转发。请确保在开启DMZ服务后,您已正确地设置了端口转发规则。此外,您应该尝试清除浏览器缓存并重新启动路由器和计算机,这有助于解决一些络问题。如果问题仍然存在,请检查您的络拓扑结构,确保内部络和DMZ络之间没有任何防火墙或其他限制。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值