Wireguard

WireGuard® - чрезвычайно простой, но быстрый и современный VPN, в котором используется самая современная криптография.

Предупреждение

Поддержка WireGuard является экспериментальной и должна использоваться с осторожностью.

Данный плагин совместим во всеми реализациями WireGuard® в других операционных системах и устройствах.

Ниже будет приведен пример настройки двух устройств TING в режиме Site-to-Site со следующими соглашениями:

Устройство 1:

Имя

TING-1

IP адрес WAN-интерфейса

192.168.100.1

IP адрес LAN-интерфейса с подсетью

172.16.1.1/24

IP адрес WireGuard тунеля

10.0.0.1

Подсеть Wireguard тунеля

/24

Порт прослушивания

51820

Устройство 2:

Имя

TING-2

IP адрес WAN-интерфейса

192.168.200.1

IP адрес LAN-интерфейса с подсетью

172.16.2.1/24

IP адрес WireGuard тунеля

10.0.0.2

Подсеть Wireguard тунеля

/24

Порт прослушивания

51820

Необходимо настроить тунель WireGuard с маршрутизацией LAN-подсетей устройств.

1. Установка плагина

На обоих устройствах пройдите в раздел Система -> Прошивка -> Обновления. На вкладке Плагины нажмите на кнопку + напротив плагина os-wireguard для его установки.

2. Настройка серверной части

На устройстве TING-1:

Пройдите в раздел VPN -> WireGuard -> Локальный

Нажмите + для добавления нового подключения.

Заполните необходимые параметры:

Поле

Значение

Описание

Включен

Включено

Включить сервер

Имя

TING-1

Имя данного соединения

Открытый ключ

Пусто

Открытый ключ шифрования 1

Закрытый ключ

Пусто

Закрытый ключ шифрования 1

Порт прослушивания

51820

Порт, на которм данный сарвер будет принимать подключения

DNS-сервер

Пусто

Разделенный запятой список IP-адресов, которые будут установлены в качестве DNS-серверов для данного соединения

Адрес туннеля

10.0.0.1/24

Список IP-адресов с подсетями, которые будут использоваться для настройки внутри тунеля

Пиры

Пусто

Список пиров (клиентов), которые будут подключаться к данному серверу 2

Отключить маршруты

Выключено

Отключить добавление маршрутов

1(1,2)

При начальной настройке оставьте данное поле пустым - значение будет сгенерировано автоматически

2

При начальной настройке оставьте данное поле пустым - оно будет заполнено позже

Нажмите кнопку Сохранить.

Откройте только-что созданное подключение и убедитесь, что поля Открытый ключ и Закрытый ключ успешно сгенерированы и заполнены.

Проделайте аналогичную настройку на устройстве TING-2 за исключением следующих значений:

Поле

Значение

Описание

Имя

TING-2

Имя данного соединения

Адрес туннеля

10.0.0.2/24

Список IP-адресов с подсетями, которые будут использоваться для настройки внутри тунеля

3. Настройка клиентской части (Peer)

На устройстве TING-1:

Пройдите в раздел VPN -> WireGuard -> Конечная точка

Нажмите + для добавления нового подключения.

Заполните необходимые параметры:

Поле

Значение

Описание

Включен

Включено

Включить конечную точку

Имя

TING-2

Имя подключения

Открытый ключ

Открытый ключ шифрования устройства TING-2 из раздела VPN -> WireGuard -> Локальный на предыдущем шаге

Открытый ключ шифрования

Общий секретный ключ

Пусто

Общий секретный ключ 3

Разрешенные IP-адреса

10.0.0.2/32,172.16.2.0/24

Перечень адресов/сетей, которые необходимо маршрутизировать к данному пиру

Адрес конечной точки

192.168.200.1

Адрес, на котором сарвер принимает подключения 4

Порт конечной точки

51820

Порт, на котором сервер принимает подключения 4

Постоянное соединение

Пусто

Период интервала keepalive (секунды) 5

3
Общий секретный ключ может применяться для повышения стойкости шифрования.
Для его создания необходимо воспользоваться командной строкой:
wg genpsk

Примечание

Содержимое общего секретного ключа должно совпадать на обоих устройствах.

4(1,2)

Если данное устройство используется в качестве сервера (принимает входящее подключение), то данное поле может быть пустым.

5

Постоянное соединение (KeepAlive) применяется при настройке подключения к серверу, находящемуся за НАТ с использованием проброса портов.

Нажмите кнопку Сохранить.

Проделайте аналогичную настройку на устройстве TING-2 за исключением следующих значений:

Поле

Значение

Описание

Имя

TING-1

Имя подключения

Открытый ключ

Открытый ключ шифрования устройства TING-1 из раздела VPN -> WireGuard -> Локальный на предыдущем шаге

Открытый ключ шифрования

Разрешенные IP-адреса

10.0.0.1/32,172.16.1.0/24

Перечень адресов/сетей, которые необходимо маршрутизировать к данному пиру

Адрес конечной точки

192.168.100.1

Адрес, на котором сарвер принимает подключения

4. Донастройка серверной части.

На устройстве TING-1:

Пройдите в раздел VPN -> WireGuard -> Локальный

Откройте свойства созданного нами подключения TING-1.

В выпадающем списке Пиры выберите созданный на предыдущем шаге пир (TING-2)

Нажмите кнопку Сохранить

Аналогичным способом выполните донастройку серверной части на устройстве TING-2.

В выпадающем списке Пиры выберите созданный на предыдущем шаге пир (TING-1)

5. Включение плагина.

Перейдите в раздел VPN -> WireGuard -> Общие

Включите флажок Включить WireGuard.

Нажмите кнопку Сохранить

6. Добавление интерфейса.

На устройстве TING-1:

  • Пройдите в раздел Интерфейсы -> Назначения портов

    Добавьте в систему вновь созданный интерфейс wg[X].

    _images/os-wireguard-add-interface.png

    Нажмите кнопку Сохранить

  • Пройдите в раздел Интерфейсы -> [OPT1]

    Включите флажок Включить Интерфейс.

    Нажмите кнопку Сохранить, затем Применить изменения

Аналогичным способом выполните добавление интерфейса на устройстве TING-2.

7. Настройка межсетевого экрана.

На устройстве TING-1:

  • Перейдите в раздел Межсетевой экран->WAN

    Добавьте правило, разрешающие входящий трафик с IP адреса WAN интерфейса устройства TING-2 192.168.200.1 на порт прослушивания 51820 по протоколу UDP.

    Нажмите Сохранить.

  • Перейдите в раздел Межсетевой экран->OPT1 6

    6

    OPT1 - имя интерфейса, созданного на предыдущем шаге

    Добавьте правило, разрешающее трафик

    Нажмите Сохранить.

  • Перейдите в раздел Межсетевой экран->WireGuard

    Добавьте правило, разрешающие входящий трафик с отправителем WireGuard сеть

    Нажмите Сохранить.

  • Если необходимо выполнять исходящее преобразование портов (NAT):

    Перейдите в раздел Межсетевой экран-> NAT-> Исходящий

    Добавьте правило, где в качестве Интерфейса выберите созданный ранее интерфейс OPT1, в качестве IP-адрес источника выберите WireGuard сеть

    Нажмите Сохранить.

Нажмите кнопку Применить изменения

На устройстве TING-2:

  • Перейдите в раздел Межсетевой экран->WAN

    Добавьте правила, разрешающие входящий трафик с IP адреса WAN интерфейса устройства TING-1 192.168.100.1 на порт прослушивания 51820 по протоколу UDP.

    Нажмите Сохранить.

    Выполните дальнейшую настройку аналогично устройства TING-1

Нажмите кнопку Применить изменения

8. Настройка маршрутизации.

Если вам достаточно маршрутизации сетей, прописанных выше в настройках клиентской части (Peer),

10.0.0.0/24,172.16.1.0/24,172.16.2.0/24 - для устройств TING-1 и TING-2 соответственно,

то вы можете более ничего не настраивать - данная маршрутизация добавляется автоматически при настройке интерфейса WireGuard.

Если же вам необходима дополнительная настройка маршрутизации, либо вы хотите использовать данный тунель в качестве маршрута по умолчанию, то вам необходимо:

  • Добавить шлюз - для этого:

    Перейдите в раздел Система-> Шлюзы-> Одиночный

    Нажмите кнопку Добавить

    В качестве Интерфейса выберите созданный ранее интерфейс OPT1 ( если вы хотите использовать данный шлюз, как шлюз по умолчанию - отметьте соответствующий пункт)

    Нажмите Сохранить

  • Добавить маршрут(ы) - для этого:

    Перейдите в раздел Система-> Маршруты-> Конфигурация

    Нажмите кнопку Добавить

    Пропишите необходимые для маршрутизации сети.

    В качестве Шлюза выберите созданный ранее шлюз.

    Нажмите Сохранить