[分享] Wireguard Site to Site 合併區網 Saren PTT批踢踢實業坊

[分享] Wireguard Site to Site 合併區網

作者: Saren (Saren) 2022-09-25 14:09:30

利用Openwrt以及DD-WRT的Wireguard將不同的區網合併成一個。
起因是因為偶爾會需要幫忙維護老婆娘家的網路，
因此需要一個利用VPN將兩邊的網路合併。
原先的構想是用熊貓板作就好，
後來改用DD-WRT來使用，省一個吃電的裝置。
首先要先有Openwrt或是DD-WRT的路由器，並且其中一個當伺服器，
而我的情形是Openwrt當伺服器，允許另外一個DD-WRT與Openwrt做Wireguard連線。
Wireguard的設定是一組公鑰與私鑰，以及可以選擇的預先分享私鑰。
互相連線的兩個端點要有彼此的公鑰就可以建立連線。
以設定上來講Wireguard簡單很多。
公鑰與私鑰的產生這邊就不說明，網路上很多資源，
但網路上針對Allowed IP的說明少很多，
所以這邊依照這陣子試的心得分享給有需要的人。
每一個LAN要設成不同網段，並且藉由Routed Allowed IP不用再設Static Route。
以下的LAN是指區網段的IP/Netmask，而WG指的是Wireguard使用的IP/Netmask。
Openwrt主機
LAN: 192.168.1.254/24
WG: 192.168.9.254/24
PEER1: (要合併的遠端子網路)
ALLOWED IP: 192.168.5.0/24, 192.168.6.0/24, 192.168.9.199
ROUTE ALLOWED IP: Checked
PEER2: (要合併的遠端子網路)
ALLOWED IP: 192.168.3.0/24, 192.168.9.200
ROUTE ALLOWED IP: Checked
PEER3: (手機管理時使用)
ALLOWED IP: 192.168.9.4
ROUTE ALLOWED IP: Unchecked
Openwrt遠端
LAN: 192.168.3.254/24
WG: 192.168.9.200/24
PEER:
ALLOWED IP: 192.168.1.0/24, 192.168.5.0/24, 192.168.6.0/24,\
192.168.9.0/24
ROUTE ALLOWED IP: Checked
DD-WRT遠端
LAN: 192.168.5.254/24, 192.168.6.254/24
WG: 192.168.9.199/24
PEER:
ALLOWED IP: 192.168.1.0/24, 192.168.3.0/24, 192.168.9.0/24
ROUTE ALLOWED IP: Checked
手機
WG: 192.168.9.4/24
DNS: 192.168.1.254 (連線時使用自架的AdGuard Home的DNS)
PEER:
ALLOWED IP: 192.168.1.0/24, 192.168.3.0/24, 192.168.5.0/24,\
192.168.6.0/24, 192.168.9.0/24
在設定完後Openwrt主機的Status -> Wireguard當中，
當PEER連線完成後，可以在後面的Allowed IP看到結果。
有需要合併的PEER，因為有勾選了Route Allowed IP，
所以就會將屬於該範圍的封包送到該PEER。
同時也可以在任意的子網路可以直接存取其它的網路。
像是在.5的網路環境底下，直接輸入.3的IP就可以連線。
就算遠端的子網路沒有辦法開PORT也是可以作得到的。

作者: fonzae (fonzae) 2022-09-25 14:12:00

RouterOS要7以上才支援，跨大版本還在考慮中目前用ipsec VPN相安無事，哪天心血來潮也來玩

作者: lianpig5566 (家庭教師殺手里包恩) 2022-09-25 14:21:00

ipsec在routeros硬體上有支援，wireguard效能應該比較差？我只是還是用L2TP over IPsec自己

作者: Saren (Saren) 2022-09-25 14:31:00

我是RB760iGS刷Openwrt的~ 用不習慣RouterOShttp://i.imgur.com/Jw0WXkb.jpg 開前開後測速差別都內網

作者: empingao (empingao) 2022-09-25 20:58:00

早先我也這樣攪，後來 site 一多，管理太麻煩就換用docker (wg-easy)。

作者: Saren (Saren) 2022-09-25 22:01:00

wg-easy看起來不錯耶, 先記起來以後有需要再來換.

作者: GJME (（╯‵□′）╯︵┴─┴) 2022-09-26 21:17:00

推一個個人現在就是用WG連結老家跟住家兩地缺點感覺跟大家一樣裝置一多會很懶得新增 wg easy感覺好炫炮有空來試試

作者: Saren (Saren) 2022-09-27 08:27:00

對啊其實我現在主機PEER大概有12個. 如果不是上週搞爛了整個重設一次才弄清楚Wireguard的Allowed IPs的機制

作者: asdfghjklasd (好累的大一生活) 2022-09-27 09:28:00

以後買FG啦,有好方法

作者: siegfriedlin (齊格飛) 2022-09-27 13:23:00

請問一下這個方式可以取代teamviewer嗎？家裡跟公司兩台電腦要對連最近常被封

作者: GJME (（╯‵□′）╯︵┴─┴) 2022-09-27 14:05:00

樓上這個是架VPN 如果弄起來的話直接用內建遠端桌面就可以了不過要注意的是WG的封包特徵很明顯單位有在管資安的話不可能不注意到就是了

作者: siegfriedlin (齊格飛) 2022-09-27 14:07:00

感謝請問此法和ac86u內建的ddns有什麼利弊呢資安單位是沒問題老闆同意還有更早以前的hamachi軟體（打電動用的）

作者: GJME (（╯‵□′）╯︵┴─┴) 2022-09-27 14:14:00

華碩機器都內建OpenVPN了配合它的DDNS弄起來絕對比自架WireGuard方便啊而且也可以把TeamViewer丟了用內建遠端桌面就好如果沒別的原因看起來你似乎不用捨近求遠自幹WG

作者: siegfriedlin (齊格飛) 2022-09-27 14:43:00

感謝建議:)

作者: Saren (Saren) 2022-09-27 15:35:00

OpenVPN從0開始會很麻煩現在很多內建的都很快的架好了WireGuard很愛跟OpenVPN比效率啦... 但不追求速度就還好了

作者: AKSN74 (AKS-74n) 2022-10-03 09:07:00

推，目前也是用WireGuard，把我自己住處的ROS機器設定連回家中區網

繼續閱讀

[問題] 連線異常請教gosurfingla [問題] 透天Deco Mesh請益cwmmas20 [問題] Intel NUC AX201 acax速度很慢aaddaaddjack [情報] TP-Link 新一代ax5400joem [分享] 組Mesh 與新新的5e網線waiter337 [光纖] 中華電信門市新辦訣竅？waterblue798 [問題] Asus ZenWiFi XP4 與 Asus ZenWiFi XD6s summerparis [問題] 新手請問meshidlewei [光纖] 中華60–>300M 需注意什麼？tsaofan [業代] 大大寬頻-360M光纖到府500元-至2022/101jackyang0007