Настройка WireGuard в режиме Site-to-Site

Ниже будет приведен пример настройки двух устройств TING в режиме Site-to-Site со следующими соглашениями:

Устройство TING-1

Имя	TING-1
IP адрес WAN-интерфейса	192.168.100.1
IP адрес LAN-интерфейса с подсетью	172.16.1.1/24
IP адрес WireGuard тунеля	10.0.0.1
Подсеть Wireguard тунеля	/24
Порт прослушивания	51820

Устройство TING-2

Имя	TING-2
IP адрес WAN-интерфейса	192.168.200.1
IP адрес LAN-интерфейса с подсетью	172.16.2.1/24
IP адрес WireGuard тунеля	10.0.0.2
Подсеть Wireguard тунеля	/24
Порт прослушивания	51820

Необходимо настроить тунель WireGuard с маршрутизацией LAN-подсетей устройств.

1. Настройка серверной части

На устройстве TING-1:

• Пройдите в раздел VPN ‣ WireGuard ‣ Соединения

• Нажмите + для добавления нового подключения.

• Заполните необходимые параметры:

Поле	Значение	Описание
Включен	Включено	Включить сервер
Имя	TING-1	Имя данного соединения
Открытый ключ	Пусто	Открытый ключ шифрования [1]
Секретный ключ	Пусто	Закрытый ключ шифрования [1]
Порт прослушивания	51820	Порт, на которм данный сарвер будет принимать подключения
DNS-серверы	Пусто	Разделенный запятой список IP-адресов, которые будут установлены в качестве DNS-серверов для данного соединения
Адрес туннеля	10.0.0.1/24	Список IP-адресов с подсетями, которые будут использоваться для настройки внутри тунеля
Пиры	Пусто	Список пиров (клиентов), которые будут подключаться к данному серверу [2]
Отключить маршруты	Выключено	Отключить добавление маршрутов

[1] (1,2)

При начальной настройке оставьте данное поле пустым - значение будет сгенерировано автоматически

[2]

При начальной настройке оставьте данное поле пустым - оно будет заполнено позже

• Нажмите кнопку Сохранить.

• Откройте только-что созданное подключение и убедитесь, что поля Открытый ключ и Закрытый ключ успешно сгенерированы и заполнены.

• Проделайте аналогичную настройку на устройстве TING-2 за исключением следующих значений:

Поле	Значение	Описание
Имя	TING-2	Имя данного соединения
Адрес туннеля	10.0.0.2/24	Список IP-адресов с подсетями, которые будут использоваться для настройки внутри тунеля

2. Настройка клиентской части (Пир)

На устройстве TING-1:

• Пройдите в раздел VPN ‣ WireGuard ‣ Пиры

• Нажмите + для добавления нового подключения.

• Заполните необходимые параметры:

Поле	Значение	Описание
Включен	Включено	Включить конечную точку
Имя	TING-2	Имя подключения
Открытый ключ	Открытый ключ шифрования устройства TING-2 из раздела VPN ‣ WireGuard ‣ Соединения на предыдущем шаге	Открытый ключ шифрования
Предварительно предоставленный ключ	Пусто	Общий секретный ключ [3]
Разрешенные IP-адреса	10.0.0.2/32, 172.16.2.0/24	Перечень адресов/сетей, которые необходимо маршрутизировать к данному пиру
Адрес конечной точки	192.168.200.1	Адрес, на котором сарвер принимает подключения [4]
Порт конечной точки	51820	Порт, на котором сервер принимает подключения [4]
Интервал поддержания соединения (Keepalive)	Пусто	Период интервала keepalive (секунды) [5]

[3]

Общий секретный ключ может применяться для повышения стойкости шифрования. Для его создания необходимо воспользоваться консольной командой wg genpsk. Содержимое общего секретного ключа должно совпадать на обоих устройствах.

[4] (1,2)

Если данное устройство используется в качестве сервера (принимает входящее подключение), то данное поле может быть пустым.

[5]

Постоянное соединение (Keepalive) применяется при настройке подключения к серверу, находящемуся за NAT с использованием проброса портов.

• Нажмите кнопку Сохранить.

• Проделайте аналогичную настройку на устройстве TING-2, за исключением следующих значений:

Поле	Значение	Описание
Имя	TING-1	Имя подключения
Открытый ключ	Открытый ключ шифрования устройства TING-1 из раздела VPN ‣ WireGuard ‣ Соединения на предыдущем шаге	Открытый ключ шифрования
Разрешенные IP-адреса	10.0.0.1/32, 172.16.1.0/24	Перечень адресов/сетей, которые необходимо маршрутизировать к данному пиру
Адрес конечной точки	192.168.100.1	Адрес, на котором сервер принимает подключения.

3. Донастройка серверной части

На устройстве TING-1:

• Пройдите в раздел VPN ‣ WireGuard ‣ Соединения

• Откройте свойства созданного нами подключения TING-1.

• В выпадающем списке Пиры выберите созданный на предыдущем шаге пир (TING-2)

• Нажмите кнопку Сохранить

• Аналогичным способом выполните донастройку серверной части на устройстве TING-2.

• В выпадающем списке Пиры выберите созданный на предыдущем шаге пир (TING-1)

4. Включение WireGuard

• Перейдите в раздел VPN ‣ WireGuard ‣ Соединения

• Установите флажок Включить WireGuard.

• Нажмите кнопку Сохранить

5. Добавление интерфейса

На устройстве TING-1:

• Пройдите в раздел Интерфейсы ‣ Назначения портов

  • Добавьте в систему вновь созданный интерфейс wg[X]:

  

  • Нажмите кнопку Сохранить

• Пройдите в раздел Интерфейсы ‣ [OPT1]

  • Включите флажок Включить Интерфейс.

  • Нажмите кнопку Сохранить, затем Применить изменения

• Аналогичным способом выполните добавление интерфейса на устройстве TING-2.

6. Настройка межсетевого экрана

На устройстве TING-1:

• Перейдите в раздел Межсетевой экран ‣ WAN

  • Добавьте правило, разрешающие входящий трафик с IP адреса WAN интерфейса устройства TING-2 192.168.200.1 на порт прослушивания 51820 по протоколу UDP.

  • Нажмите Сохранить.

• Перейдите в раздел Межсетевой экран -> OPT1 (где OPT1 - имя интерфейса, созданного на предыдущем шаге)

  • Добавьте правило, разрешающее трафик

  • Нажмите Сохранить.

• Перейдите в раздел Межсетевой экран ‣ WireGuard

  • Добавьте правило, разрешающие входящий трафик с отправителем WireGuard сеть

  • Нажмите Сохранить.

• Если необходимо выполнять исходящее преобразование портов (NAT):

  • Перейдите в раздел Межсетевой экран ‣ NAT ‣ Исходящий

  • Добавьте правило, где в качестве Интерфейса выберите созданный ранее интерфейс OPT1, а в качестве IP-адрес источника выберите WireGuard сеть

  • Нажмите Сохранить.

• Нажмите кнопку Применить изменения

На устройстве TING-2:

• Перейдите в раздел Межсетевой экран ‣ WAN

  • Добавьте правила, разрешающие входящий трафик с IP-адреса WAN-интерфейса устройства TING-1 192.168.100.1 на порт прослушивания 51820 по протоколу UDP.

  • Нажмите Сохранить.

  • Выполните дальнейшую настройку аналогично устройства TING-1

• Нажмите кнопку Применить изменения

7. Настройка маршрутизации

Если вам достаточно маршрутизации сетей, прописанных выше в настройках клиентской части (Peer), 10.0.0.0/24, 172.16.1.0/24, 172.16.2.0/24 - для устройств TING-1 и TING-2 соответственно, то вы можете более ничего не настраивать - данная маршрутизация добавляется автоматически при настройке интерфейса WireGuard.

Если же вам необходима дополнительная настройка маршрутизации, либо вы хотите использовать данный тунель в качестве маршрута по умолчанию, то вам необходимо:

• Добавить шлюз, для этого:

  • Перейдите в раздел Система ‣ Шлюзы ‣ Конфигурация

  • Нажмите кнопку Добавить

  • В качестве Интерфейса выберите созданный ранее интерфейс OPT1 ( если вы хотите использовать данный шлюз, как шлюз по умолчанию - отметьте соответствующий пункт)

  • Нажмите Сохранить

• Добавить маршрут(ы), для этого:

  • Перейдите в раздел Система ‣ Маршруты ‣ Конфигурация

  • Нажмите кнопку Добавить

  • Пропишите необходимые для маршрутизации сети.

  • В качестве Шлюза выберите созданный ранее шлюз.

  • Нажмите Сохранить