Приклад підключення мереж через додаток VPN-сервер WireGuard
Починаючи з версії KeeneticOS 5.0, маршрутизатори Keenetic містять додаток «VPN-сервер WireGuard» — сучасне, високопродуктивне VPN-рішення для безпечного віддаленого доступу до вашої домашньої мережі за допомогою будь-якого клієнта. Інший маршрутизатор Keenetic може слугувати VPN-клієнтом.
У цій інструкції ми наведемо приклад налаштування безпечного з’єднання за протоколом WireGuard між двома маршрутизаторами, де хостам на кожному маршрутизаторі потрібно надати доступ до віддаленої локальної мережі через VPN-тунель. Цей тип підключення також відомий як з'єднання «site-to-site VPN» або «мережа-мережа» (наприклад, між офісами для розширення мережевої інфраструктури).
Для більш гнучкого налаштування WireGuard VPN, а також для налаштування складних топологій та з'єднань «мережа-мережа», використовуйте налаштування на сторінці «Інші підключення». Для отримання додаткової інформації дивіться інструкцію Налаштування WireGuard VPN між двома маршрутизаторами Keenetic.
Важливо
Якщо ви плануєте використовувати маршрутизатор Keenetic як VPN-сервер, ви повинні спочатку перевірити, чи має він публічну IP-адресу. Якщо ви використовуєте службу KeenDNS, переконайтеся, що вона працює в режимі «Прямий доступ», для якого також потрібна публічна IP-адреса. Якщо жодна з цих умов не виконується, підключення до цього VPN-сервера з Інтернету буде неможливим.
Адреси мереж, що підключаються, повинні належати до різних підмереж!
Розглянемо схему підключення:
Є маршрутизатор Keenetic Keenetic з публічною WAN IP-адресою для доступу в Інтернет, на якому буде запущений VPN-сервер WireGuard. Інший маршрутизатор Keenetic встановить з ним VPN-з'єднання як VPN-клієнт з IP-адресою з приватного діапазону на WAN-інтерфейсі (VPN-клієнт також може мати публічну IP-адресу). Нам потрібно надати хостам на кожному маршрутизаторі доступ до віддаленої локальної мережі через VPN-тунель. У нашому прикладі ми з’єднаємо дві локальні мережі, 192.168.100.x та 192.168.22.x, через WireGuard VPN.
Налаштування VPN-сервера WireGuard
Щоб налаштувати безпечні з'єднання за протоколом WireGuard, вам потрібно встановити системний компонент «WireGuard VPN сервер». Ви можете зробити це у вебінтерфейсі на сторінці «Параметри системи» на вкладці KeeneticOS та оновлення, натиснувши «Змінити набір компонентів».
Після цього на сторінці «Додатки» з’явиться плитка «WireGuard VPN сервер». Натисніть посилання «WireGuard VPN сервер», щоб перейти до налаштувань.
У полі «Доступ до мережі» вкажіть сегмент локальної мережі, до якого клієнтам буде надано доступ.
Поле «IP-адреса сервера» містить адресу VPN-сервера. Це внутрішня IP-адреса тунельного інтерфейсу у форматі IP/маска підмережі. У нашому прикладі це 172.16.82.1/24, але ви можете використовувати будь-яку підмережу з приватного діапазону, якщо адреса не перетинається з іншими підмережами на самому маршрутизаторі. Клієнтам буде призначено IP-адресу з цієї ж підмережі.
Опція «NAT для клієнтів» увімкнена за замовчуванням. Це налаштування дозволяє VPN-клієнтам отримувати доступ до Інтернету.
Щоб продовжити налаштування, натисніть кнопку «+ Додати клієнта».
У розділі «Піри клієнтів» введіть ім'я в поле «Ім'я» та встановіть прапорець «Доступ».
Поле Дозволені IP-адреси визначає набір дозволених підмереж. Це діапазони адрес, з яких цей пір може отримувати та надсилати трафік. Якщо вам потрібно налаштувати доступ із сервера WireGuard до підмережі, розташованої за VPN-клієнтом, укажіть підмережу клієнта — або кілька підмереж (через кому) — у полі Дозволені IP-адреси, які ви хочете дозволити всередині тунелю. У нашому прикладі в цьому полі вказано віддалену підмережу 192.168.100.0/24.
Натисніть кнопку Зберегти.
Після створення піра автоматично відкриється вікно Налаштування клієнтського піра. У цьому вікні натисніть кнопку Завантажити конфігурацію, щоб зберегти файл конфігурації підключення WireGuard. Потім ви можете імпортувати отриманий файл (з розширенням .conf) у налаштування вашого VPN-клієнта.
Щоб зробити ресурси локальної мережі за VPN-клієнтом доступними для клієнтів у локальній мережі VPN-сервера, потрібно додати статичний маршрут. У нашому прикладі локальна мережа 192.168.100.0/255.255.255.0 (/24) буде доступна через інтерфейс WireGuard VPN Server.
Перейдіть на сторінку Маршрути та в розділі Маршрути користувача, натисніть кнопку + Створити. У вікні Параметри статичного маршруту, що з'явиться, виберіть Маршрут до мережі в полі Тип маршруту, а в полі Адреса мережі призначення вкажіть віддалену підмережу, до якої ви хочете надати доступ, що розташована на стороні VPN-клієнта. У полі Інтерфейс виберіть WireGuard VPN Server. При налаштуванні статичного маршруту слід увімкнути опцію Додавати автоматично.
На цьому налаштування VPN-сервера завершено; залишилося тільки увімкнути його. На сторінці Додатки, під плиткою WireGuard VPN Server, переведіть комутатор у положення Увімк.
Налаштування VPN-клієнта WireGuard
У вебінтерфейсі маршрутизатора, який буде виступати в ролі VPN-клієнта, перейдіть на сторінку Інші підключення і в розділі WireGuard натисніть кнопку Імпорт з файлу.
Вкажіть шлях до файлу з розширенням .conf, який був раніше збережений при налаштуванні VPN-сервера WireGuard, і з'єднання автоматично з'явиться в цьому розділі.
Далі, клацніть на створеному з'єднанні, щоб відредагувати та налаштувати його для встановлення з'єднання «мережа-до-мережі», як у нашому прикладі. У вікні Налаштування підключення, у полі IPv4-адреса, змініть маску підмережі з /32 на /24.
У розділі Налаштування піра, у полі Дозволені IP-адреси v4, потрібно додати віддалену мережу за VPN-сервером і внутрішню адресу віддаленого кінця тунелю. У нашому прикладі віддалена мережа — 192.168.22.0/24 (доступ до цієї мережі має бути надано через тунель зі сторони VPN-клієнта), а адреса віддаленого кінця тунелю — 172.16.82.1/32. Збережіть конфігурацію.
Далі налаштуйте параметри маршрутизації та міжмережевого екрана на маршрутизаторі VPN-клієнта. Для створеного вами з’єднання WireGuard потрібно вказати статичний маршрут до віддаленої мережі та дозволити вхідний трафік.
Щоб надсилати трафік до віддаленої мережі через тунель, потрібно додати статичний маршрут. Перейдіть на сторінку Маршрути та в розділі Маршрути користувача натисніть кнопку + Додати. У нашому прикладі у вікні Параметри статичного маршруту, що з’явиться, виберіть Маршрут до мережі у полі Тип маршруту, вкажіть віддалену підмережу 192.168.22.0 у полі Адреса мережі призначення, у полі Інтерфейс виберіть назву раніше створеного з'єднання WireGuard wg-client-01 та увімкніть опцію Додавати автоматично.
Щоб дозволити вхідний трафік на клієнті, перейдіть на сторінку Міжмережевий екран. Для з'єднання WireGuard wg-client-01 додайте та увімкніть правило, що дозволяє, для протоколу IPv4.
Тепер увімкніть з'єднання, створене у VPN-клієнті. Перейдіть на сторінку Інші підключення і в розділі WireGuard переведіть комутатор у положення Увімк.
На цьому налаштування VPN-клієнта та VPN-сервера завершено.
Щоб перевірити з'єднання, перейдіть до налаштувань VPN-сервера і на плитці WireGuard VPN Server натисніть на Статистика підключення, щоб переглянути стан з'єднання та додаткову інформацію про активні сеанси.
Щоб переконатися, що VPN-тунель працює, пропінгуйте віддалений маршрутизатор або пристрої за тунелем з хостів або безпосередньо з маршрутизатора.
Наприклад, з хоста в локальній мережі VPN-клієнта (з мережі 192.168.100.x) пропінгуйте IP-адресу VPN-сервера (у нашому випадку це 172.16.82.1) та локальну IP-адресу маршрутизатора у віддаленій мережі за тунелем (у нашому прикладі це 192.168.22.1). Потім з хоста в локальній мережі VPN-сервера (з мережі 192.168.22.x) пропінгуйте IP-адресу VPN-клієнта (у нашому випадку це 172.16.82.2) та локальну IP-адресу маршрутизатора у віддаленій мережі за тунелем (у нашому прикладі це 192.168.100.1).
Якщо ви налаштовуєте VPN-з'єднання віддалено і не маєте доступу до хостів локальної мережі, ви можете перевірити VPN-тунель безпосередньо з маршрутизатора. Для цього перейдіть на сторінку Діагностика у вебінтерфейсі та скористайтеся утилітою Ping. Пропінгуйте віддалений маршрутизатор та пристрої, що знаходяться за тунелем.