Как работает одноранговая связь Wireguard?

Question

Как работает одноранговая связь Wireguard?

У меня есть настройка Wireguard на VPS, чтобы обойти CGNAT. Мой маршрутизатор pfSense подключен к нему как одноранговый узел, а затем мой телефон является одноранговым устройством для VPS. Это потому, что я не могу добавить его в pfSense без конечной точки.

Это работает, и я даже могу использовать локальный поиск DNS со своего телефона... но работает ли он, потому что «неправильно настроен»? Просто хочу убедиться, что это действительная настройка Wireguard, и при необходимости я смогу воссоздать ее позже. Вот более подробная информация

VPS

      [Interface]
Address = 10.1.0.1/24
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE; ip6tables -A FORWARD -i wg0 -j ACCEPT; ip6tables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE; ip6tables -D FORWARD -i wg0 -j ACCEPT; ip6tables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
ListenPort = 51820
PrivateKey = <private-key>
DNS = 192.168.1.100

[Peer]
PublicKey = <pfsense>
AllowedIPs = 192.168.1.100/32, 10.1.0.0/24, 192.168.33.0/24
PersistentKeepalive = 25

[Peer]
PublicKey = <iphone>
AllowedIPs = 10.1.0.0/24

Затем pfSense имеет статический туннель (он же «динамическая конечная точка» не отмечен), подключенный к адресу VPS иAllowedIPsустановлено на весь10.1.0.0/24сеть (вот почему я думаю, что все работает, она разрешает любой IP-адрес в сети... но почему это не должно быть явно?)

Мой телефон такой же, как pfSense, за исключением того, что он также позволяет192.168.33.0/24и имеет тот же DNS, что и VPS.

Я думаю, это выглядит так

              VPS
     |      |
pfSense -- phone

но я ожидал, что, если бы pfSense не использовал мой телефон в качестве узла, он был бы настроен как

              VPS
     |      |
pfSense    phone

и общение между иphoneзаблокирован из-за отсутствия узла.

Я предполагаю, что Wireguard позволяет общаться сphone <-> VPS <-> pfSenseпотому чтоpfSenseнастроен на доступ ко всей сети.

Это правильно? Просто хочу убедиться, что если мне придется настраивать это снова, скажем, я использую виртуальную машину вместо pfSense, я смогу воссоздать свою конфигурацию, и все снова заработает.

1

linux vpn pfsense wireguard self-hosting

Источник

meerkatmoe 27 дек '22 в 13:40

0 ответов

Другие вопросы по тегам linux vpn pfsense wireguard self-hosting