วิธีกำหนดค่า EdgeRouter Wireguard Remote Access VPN (2024)

ก่อนหน้านี้เราได้กล่าวถึงวิธีการติดตั้งและกำหนดค่า Wireguard บน UDM-Proหรือ UniFi OSconsole อื่นๆ คู่มือนี้ครอบคลุมถึง EdgeRouters ของ Ubiquiti และคำสั่งที่คุณจะต้องกำหนดค่า VPN การเข้าถึงระยะไกล

EdgeRouters มีการรองรับ OpenVPN, IPsec, GRE, L2TP และ VPN อื่นๆ และโปรโตคอลทันเนลอื่นๆ ในตัว หากคุณต้องการใช้สิ่งเหล่านี้ โปรดดูที่บทความความช่วยเหลือ EdgeRouter VPN ของ Ubiquiti- สิ่งเหล่านี้ครอบคลุมพื้นฐานมากมายของ VPN และการตั้งค่าแบบไซต์ต่อไซต์ขั้นสูงตามเส้นทางหรือตามนโยบาย

แม้ว่าตัวเลือกในตัวจะใช้งานได้กับคนส่วนใหญ่ไวร์การ์ดเป็นทางเลือกที่ทันสมัยมากขึ้น Wireguard เป็น VPN แบบโอเพ่นซอร์สฟรี ได้รับการออกแบบให้ใช้งานง่าย รวดเร็ว และปลอดภัย มันมีประสิทธิภาพเหนือกว่า IPsec และ OpenVPN และสามารถสร้าง VPN แบบไซต์ต่อไซต์หรือการเข้าถึงระยะไกลที่ดีได้ ขึ้นอยู่กับวิธีที่คุณกำหนดค่า มันไม่ได้ติดตั้งอยู่ใน EdgeOS แต่ด้วยคำสั่งไม่กี่คำสั่ง คุณสามารถติดตั้งแพ็คเกจ Wireguard จาก Github ได้

คู่มือนี้จะถือว่ามีบางสิ่ง รวมถึง EdgeRouter มี IP สาธารณะบนพอร์ต WAN และไม่อยู่เบื้องหลังซีจีเอที- หากคุณไม่มีที่อยู่ IP สาธารณะแบบคงที่ คุณจะต้องใช้บริการ DNS แบบไดนามิกและชี้ให้ลูกค้าของคุณไปที่ชื่อโฮสต์นั้น

สำหรับตัวอย่างของเรา ฉันจะใช้ EdgeRouter 4 และโทโพโลยีต่อไปนี้ เป้าหมายของเราคือการให้ผู้ใช้ระยะไกลสามารถเข้าถึงเครือข่าย LAN ภายในและอุปกรณ์ในช่วง 10.200.0.0/16

วิธีกำหนดค่า EdgeRouter Wireguard Remote Access VPN (1)

ขั้นตอนที่ 1: ติดตั้ง Wireguard

หากต้องการติดตั้ง Wireguard บน EdgeRouter ก่อนอื่นคุณต้องค้นหาแพ็คเกจการติดตั้งที่เหมาะสมสำหรับรุ่นของคุณ คำสั่งต่อไปนี้ถือว่าคุณใช้เฟิร์มแวร์เวอร์ชัน 2 ซึ่งถือเป็นเวอร์ชัน v2.0.9 ล่าสุด หากคุณยังคงใช้เฟิร์มแวร์เวอร์ชัน 1.x ให้อัปเดต EdgeRouter ของคุณก่อนหรือค้นหาแพ็คเกจและ URL ที่ถูกต้องในหน้า Wireguard GitHub

EdgeRouter X และ EdgeRouter X SFP (ER-X, ER-X-SFP)

curl -OL https://github.com/WireGuard/wireguard-vyatta-ubnt/releases/download/1.0.20220627-1/e50-v2-v1.0.20220627-v1.0.20210914.deb

sudo dpkg -i e50-v2-v1.0.20220627-v1.0.20210914.deb

EdgeRouter Lite และ EdgeRouter PoE (ER-Lite, ER-PoE)

curl -OL https://github.com/WireGuard/wireguard-vyatta-ubnt/releases/download/1.0.20220627-1/e100-v2-v1.0.20220627-v1.0.20210914.deb

sudo dpkg -i e100-v2-v1.0.20220627-v1.0.20210914.deb

EdgeRouter 8 และ EdgeRouter Pro (ER-8, ER-8-Pro)

curl -OL https://github.com/WireGuard/wireguard-vyatta-ubnt/releases/download/1.0.20220627-1/e200-v2-v1.0.20220627-v1.0.20210914.deb

sudo dpkg -i e200-v2-v1.0.20220627-v1.0.20210914.deb

EdgeRouter 4, EdgeRouter 6P และ EdgeRouter 12 (ER-4, ER-6P, ER-12, ER-12P)

curl -OL https://github.com/WireGuard/wireguard-vyatta-ubnt/releases/download/1.0.20220627-1/e300-v2-v1.0.20220627-v1.0.20210914.deb

sudo dpkg -i e300-v2-v1.0.20220627-v1.0.20210914.deb

EdgeRouter Infinity (ER-8-XG)

curl -OL https://github.com/WireGuard/wireguard-vyatta-ubnt/releases/download/1.0.20220627-1/e1000-v2-v1.0.20220627-v1.0.20210914.deb

sudo dpkg -i e1000-v2-v1.0.20220627-v1.0.20210914.deb

ขั้นตอนที่ 2: การสร้างคีย์

เมื่อติดตั้ง Wireguard แล้ว เราจำเป็นต้องสร้างโฟลเดอร์และคีย์ จำนวนกุญแจและชื่อขึ้นอยู่กับคุณ แต่นี่เป็นกระบวนการพื้นฐานที่คุณต้องดำเนินการ ในคำสั่งเหล่านี้ เรายังสมมติให้ใช้บัญชี ubnt เริ่มต้นสำหรับการดูแลระบบ โดยหวังว่าจะใช้รหัสผ่านที่ยาวและไม่ซ้ำใคร หากคุณเข้าสู่ระบบในฐานะผู้ใช้รายอื่น เส้นทางที่แสดงจะต้องได้รับการปรับให้ตรงกับผู้ใช้และไดเร็กทอรีที่คุณต้องการใช้

ขั้นแรก ยืนยันไดเร็กทอรีการทำงานปัจจุบันของคุณ ตัวอย่างคำสั่งที่เหลือถือว่า /home/ubnt

นโยบายความเป็นส่วนตัว

สร้างโฟลเดอร์สำหรับคีย์ของเซิร์ฟเวอร์และไปที่โฟลเดอร์นั้น

mkdir server_keys; ซีดี server_keys

สร้างคู่คีย์สำหรับเซิร์ฟเวอร์ Wireguard

wg เกนกี้ | ทีไพรเวทคีย์ | wg pubkey > publickey

แสดงปุ่มและคัดลอกหรือจัดทำเอกสารตามความจำเป็น

คีย์ส่วนตัวมากขึ้น
กุญแจสาธารณะเพิ่มเติม

นำทางกลับไปที่โฮมไดเร็กตอรี่

cd /home/ubnt.cd

หากคุณต้องการสร้างคีย์ผู้ใช้ คุณสามารถทำตามขั้นตอนเหล่านี้เพื่อสร้างไดเรกทอรีย่อยสำหรับคู่คีย์แต่ละคู่ที่คุณต้องการสร้าง คุณยังสามารถให้ผู้ใช้สร้างคีย์แล้วเพิ่มด้วยตนเองในภายหลังได้ ในตัวอย่างนี้ เราจะสร้างคู่คีย์หนึ่งคู่เพื่อใช้ในการกำหนดค่าการเข้าถึงระยะไกลขั้นพื้นฐานของเรา

สร้างโฟลเดอร์คีย์ผู้ใช้และไปที่โฟลเดอร์นั้น

mkdir peer_keys; ซีดี user_keys

สร้างไดเร็กทอรีย่อยสำหรับผู้ใช้ที่คุณต้องการสร้างและนำทางไปยังไดเร็กทอรีย่อย

mkdir hostifi_user; ซีดีhostifi_user

สร้างคู่คีย์สำหรับผู้ใช้

wg เกนกี้ | ทีไพรเวทคีย์ | wg pubkey > publickey

แสดงปุ่มและคัดลอกหรือจัดทำเอกสารตามความจำเป็น

คีย์ส่วนตัวมากขึ้น
กุญแจสาธารณะเพิ่มเติม

นำทางกลับไปที่โฮมไดเร็กตอรี่

cd /home/ubnt.cd

ขั้นตอนที่ 3: กำหนดค่าอินเทอร์เฟซ Wireguard และผู้ใช้

เมื่อสร้างคีย์แล้ว เราจำเป็นต้องกำหนดค่าอินเทอร์เฟซ Wireguard และทำการเปลี่ยนแปลงการกำหนดค่าที่จำเป็นอื่น ๆ เพื่ออนุญาตการเข้าถึงระยะไกล

เข้าสู่โหมดกำหนดค่า

กำหนดค่า

ตั้งค่า EdgeRouter'sรหัสส่วนตัวโดยใช้คีย์ที่สร้างไว้ก่อนหน้านี้

ตั้งค่าอินเทอร์เฟซ wireguard wg0 คีย์ส่วนตัว /home/ubnt/server_keys/privatekey

สร้างซับเน็ตและ IP เกตเวย์สำหรับซับเน็ต Wireguard VPN ซับเน็ตนี้สามารถเป็นช่วง IP ส่วนตัวใดก็ได้ แต่ให้ตรวจสอบข้อขัดแย้ง

ตั้งค่าอินเทอร์เฟซ wireguard wg0 ที่อยู่ 10.200.254.1/24

สร้างรายการในตารางเส้นทางสำหรับซับเน็ต VPN

ตั้งค่าอินเทอร์เฟซ wireguard wg0 อนุญาตเส้นทาง-ips จริง

ตั้งค่าหมายเลขพอร์ต UDP ที่เพียร์จะใช้ ค่าเริ่มต้นคือ 51820

ตั้งค่าอินเทอร์เฟซ wireguard wg0 Listen-port 51820

เพิ่มกุญแจสาธารณะและ IP สำหรับผู้ใช้ระยะไกลของคุณ

ตั้งค่าอินเทอร์เฟซ wireguard wg0 peer Ilv0Iau0lqRzGGQk9OsLjmIiXXMz8ivDdB9muL4WGUo= อนุญาต-ips 10.200.254.10/32
ตั้งค่าอินเทอร์เฟซ wireguard wg0 peer Ilv0Iau0lqRzGGQk9OsLjmIiXXMz8ivDdB9muL4WGUo= คำอธิบาย HostiFi_Peer

สุดท้ายนี้ เราต้องสร้างกฎการอนุญาตสำหรับการรับส่งข้อมูล UDP บนพอร์ต WAN ของเรา โดยใช้หมายเลขพอร์ตที่เรากำหนดไว้ก่อนหน้านี้ ข้อมูลเฉพาะของคำสั่งนี้ ชื่อกฎ และหมายเลขจะแตกต่างกันไป หากคุณใช้กฎ WAN_LOCAL เริ่มต้น คำสั่งเหล่านี้จะใช้งานได้ ถ้าไม่เช่นนั้นให้ปรับตามความจำเป็น

ตั้งชื่อไฟร์วอลล์ WAN_LOCAL กฎ 30 การดำเนินการยอมรับ
ตั้งชื่อไฟร์วอลล์ WAN_LOCAL กฎ 30 โปรโตคอล udp
ตั้งชื่อไฟร์วอลล์ WAN_LOCAL กฎ 30 พอร์ตปลายทาง 51820
ตั้งชื่อไฟร์วอลล์กฎ WAN_LOCAL 30 คำอธิบาย 'WireGuard'

ยอมรับและบันทึกการเปลี่ยนแปลงของคุณ

ให้สัญญา ; บันทึก

ขั้นตอนที่ 4: เชื่อมต่อและทดสอบ

เมื่อมาถึงจุดนี้ อุโมงค์ก็พร้อมที่จะทดสอบแล้ว คุณจะต้องดาวน์โหลดและติดตั้งแอปพลิเคชันไคลเอ็นต์ Wireguard และสร้างอุโมงค์ใหม่ ในไฟล์คอนฟิกูเรชันนี้ คุณจะต้องกำหนดอินเทอร์เฟซ Wireguard ของผู้ใช้ โดยใช้ส่วนต่อประสานของผู้ใช้รหัสส่วนตัวคุณสร้างขึ้นก่อนหน้านี้ จากนั้น คุณจะต้องกำหนดด้าน EdgeRouter ใต้ส่วนเพียร์ ซึ่งคุณวาง EdgeRouter'sกุญแจสาธารณะและบันทึก IPor DNS สาธารณะ

สำหรับผู้ใช้ตัวอย่างของเรา การกำหนดค่าจะมีลักษณะดังนี้:

[อินเตอร์เฟซ]
PrivateKey = <คีย์ส่วนตัวของผู้ใช้>
ListenPort = 51820
ที่อยู่ =
DNS = <เซิร์ฟเวอร์ DNS สำหรับผู้ใช้>

[เพื่อน]
PublicKey = <คีย์สาธารณะของ EdgeRouter>
AllowedIPs = <ช่วง IP ที่จะกำหนดเส้นทางผ่านอุโมงค์ Wireguard>
จุดสิ้นสุด = :51820

ในตัวอย่างของเรา ไฟล์ปรับแต่งของลูกค้าของเราจะเป็นดังนี้:

[อินเตอร์เฟซ]
คีย์ส่วนตัว = qPmvaboI4Rh6H33ptha4Wr/zo9dW55c7j0CC06GjPEg=
ListenPort = 51820
ที่อยู่ = 10.200.254.10/32
DNS = 1.1.1.1

[เพื่อน]
PublicKey = e1gvI+LQeGQdDlTKwt6BAWqPltGioB+p+cNLWXTTBvVY=
IP ที่อนุญาต = 10.200.0.0/16
จุดสิ้นสุด = 100.64.0.1:51820

วิธีที่ดีที่สุดในการดูสถานะบน EdgeRouter คือการใช้คำสั่ง "wg0" หรือ "sudo wg0" ซึ่งแสดงไคลเอ็นต์ที่เชื่อมต่อ กุญแจสาธารณะ ที่อยู่ IP เวลาที่เชื่อมต่อครั้งล่าสุด และจำนวนข้อมูลที่ส่งและรับ .

ขั้นตอนที่ 5: ผู้ใช้เพิ่มเติมและกฎไฟร์วอลล์

หลังจากสร้างไฟล์ทันเนลและเชื่อมต่อแล้ว ผู้ใช้ระยะไกลควรสามารถเข้าถึง IP ภายในใดๆ ในช่วง 10.200.0.0/16 อาร์กิวเมนต์ IP ที่อนุญาตสามารถแก้ไขได้เพื่อส่งการรับส่งข้อมูลทั้งหมดผ่านช่องสัญญาณ (0.0.0.0/0) หรือเฉพาะเครือข่ายย่อยที่ระบุ (10.200.11.0/24) กฎไฟร์วอลล์ยังสามารถนำไปใช้กับอินเทอร์เฟซ wg0 เพื่อจำกัดหรืออนุญาตการเข้าถึงได้เช่นกัน

ขั้นแรก เราจะสร้างโฟลเดอร์ผู้ใช้เพิ่มเติม สร้างคีย์ และจัดทำเอกสารตามความจำเป็น:

ซีดี /home/ubnt/user_keys
mkdir ผู้ดูแลระบบ2; ซีดี ผู้ดูแลระบบ2
wg เกนกี้ | ทีไพรเวทคีย์ | wg pubkey > publickey
คีย์ส่วนตัวมากขึ้น
กุญแจสาธารณะเพิ่มเติม

ทำซ้ำขั้นตอนนั้นกับผู้ใช้เพิ่มเติมที่คุณต้องการสร้าง จากนั้น เข้าสู่โหมดการกำหนดค่าและเพิ่มเพียร์ใหม่ลงในการกำหนดค่า EdgeRouter

ในตัวอย่างนี้ ฉันสร้างผู้ใช้ระดับผู้ดูแลระบบเพิ่มอีก 1 ราย และผู้ใช้พื้นฐาน 2 ราย เราจะใช้ผู้ใช้เหล่านี้เพื่อกำหนดค่าข้อจำกัดการเข้าถึงขั้นพื้นฐานกับกลุ่มไฟร์วอลล์และกฎ

ตั้งค่าอินเทอร์เฟซ wireguard wg0 peer คำอธิบาย admin2
ตั้งค่าอินเทอร์เฟซ wireguard wg0 peer อนุญาต-ips 10.200.254.11/32
ตั้งค่าอินเทอร์เฟซ wireguard wg0 peer คำอธิบายผู้ใช้ 1
ตั้งค่าอินเทอร์เฟซ wireguard wg0 peer อนุญาต-ips 10.200.254.100/32
ตั้งค่าอินเทอร์เฟซ wireguard wg0 peer คำอธิบาย user2
ตั้งค่าอินเทอร์เฟซ wireguard wg0 peer อนุญาต-ips 10.200.254.101/32

จากนั้น สร้างกลุ่มไฟร์วอลล์ที่จำเป็น นี่คือกลุ่มตัวอย่างบางส่วนที่อาจมีประโยชน์ แต่ข้อมูลเฉพาะจะแตกต่างกันไปตามการใช้งาน VPN เรากำลังสร้างกลุ่มที่อยู่สำหรับผู้ดูแลระบบและผู้ใช้ และกลุ่มเครือข่ายสำหรับ LAN ทั้งหมด และชุด LAN ขนาดเล็กที่ผู้ใช้พื้นฐานควรสามารถเข้าถึงได้

กลุ่มไฟร์วอลล์

กลุ่มที่อยู่สามารถทำได้เพื่อระบุ IP เพียร์เฉพาะ เพื่อเลือกใช้นโยบายกับ IP เหล่านี้เป็นกลุ่ม:

ตั้งค่ากลุ่มที่อยู่ไฟร์วอลล์กลุ่มที่อยู่ Wireguard-Admin-IPs 10.200.254.10
ตั้งค่ากลุ่มที่อยู่ไฟร์วอลล์กลุ่มที่อยู่ Wireguard-Admin-IPs 10.200.254.11
ตั้งค่ากลุ่มที่อยู่ไฟร์วอลล์กลุ่มที่อยู่คำอธิบาย Wireguard-Admin-IPs 'IP ผู้ดูแลระบบ Wireguard ทั้งหมด'
ตั้งค่ากลุ่มที่อยู่ไฟร์วอลล์กลุ่มที่อยู่ Wireguard-User-IPs 10.200.254.100
ตั้งค่ากลุ่มที่อยู่ไฟร์วอลล์กลุ่มที่อยู่ Wireguard-User-IPs 10.200.254.101
ตั้งค่ากลุ่มที่อยู่ไฟร์วอลล์คำอธิบายกลุ่ม Wireguard-User-IPs 'IP ผู้ใช้ Wireguard ทั้งหมด'

กลุ่มเครือข่ายสามารถทำได้เพื่อระบุ IPaddresses ต้นทางและปลายทางในนโยบายไฟร์วอลล์ของคุณ:

ตั้งค่ากลุ่มไฟร์วอลล์ กลุ่มเครือข่าย คำอธิบาย LAN ทั้งหมด 'LAN ทั้งหมด'
ตั้งค่ากลุ่มเครือข่ายไฟร์วอลล์ - กลุ่มเครือข่าย All-LANs 10.200.1.0/24
ตั้งค่ากลุ่มเครือข่ายไฟร์วอลล์ - กลุ่มเครือข่าย All-LANs 10.200.4.0/24
ตั้งค่ากลุ่มเครือข่ายไฟร์วอลล์ - กลุ่มเครือข่าย All-LANs 10.200.10.0/24
ตั้งค่ากลุ่มเครือข่ายไฟร์วอลล์ - กลุ่มเครือข่าย All-LANs 10.200.11.0/24
ตั้งค่ากลุ่มไฟร์วอลล์ กลุ่มเครือข่าย เครือข่าย All-LANs 10.200.254.0/24

ตั้งค่ากลุ่มไฟร์วอลล์เครือข่าย - กลุ่มเครือข่าย RFC1918 10.0.0.0/8
ตั้งค่ากลุ่มไฟร์วอลล์เครือข่าย - กลุ่มเครือข่าย RFC1918 172.16.0.0/12
ตั้งค่ากลุ่มไฟร์วอลล์เครือข่าย - กลุ่มเครือข่าย RFC1918 192.168.0.0/16

ตั้งค่ากลุ่มไฟร์วอลล์กลุ่มเครือข่ายคำอธิบาย All-Wireguard-IP 'Wireguard IP Range'
ตั้งค่ากลุ่มไฟร์วอลล์กลุ่มเครือข่าย All-Wireguard-IPs เครือข่าย 10.200.254.0/24

ตั้งค่ากลุ่มไฟร์วอลล์ กลุ่มเครือข่าย คำอธิบายผู้ใช้ LAN 'LAN ผู้ใช้ทั้งหมด'
ตั้งค่ากลุ่มเครือข่ายไฟร์วอลล์-กลุ่มผู้ใช้-LANs เครือข่าย 10.200.10.0/24

กลุ่มพอร์ตสามารถเลือกอนุญาตพอร์ตและบริการเฉพาะในกฎของคุณได้:

ตั้งค่ากลุ่มไฟร์วอลล์พอร์ตกลุ่มคำอธิบายเราเตอร์บริการ 'DNS และบริการเราเตอร์อื่น ๆ '
ตั้งค่าพอร์ตกลุ่มไฟร์วอลล์ - กลุ่มเราเตอร์ - บริการพอร์ต 53
ตั้งค่าพอร์ตกลุ่มไฟร์วอลล์ - กลุ่มเราเตอร์ - บริการพอร์ต 67
ตั้งค่าพอร์ตกลุ่มไฟร์วอลล์ - กลุ่มเราเตอร์ - บริการพอร์ต 853
ตั้งค่าคำอธิบายกลุ่มพอร์ตกลุ่มไฟร์วอลล์ผู้ดูแลระบบ-บริการ 'SSH, HTTP และบริการผู้ดูแลระบบอื่น ๆ '
ตั้งค่าพอร์ตกลุ่มไฟร์วอลล์ - กลุ่มผู้ดูแลระบบ - บริการพอร์ต 22
ตั้งค่าพอร์ตกลุ่มไฟร์วอลล์ - กลุ่มผู้ดูแลระบบ - บริการพอร์ต 53
ตั้งค่าพอร์ตกลุ่มไฟร์วอลล์ - กลุ่มผู้ดูแลระบบ - บริการพอร์ต 67
ตั้งค่าพอร์ตกลุ่มไฟร์วอลล์ - กลุ่มผู้ดูแลระบบ - บริการพอร์ต 80
ตั้งค่าพอร์ตกลุ่มไฟร์วอลล์ - กลุ่มผู้ดูแลระบบ - บริการพอร์ต 443
ตั้งค่าพอร์ตกลุ่มไฟร์วอลล์ - กลุ่มผู้ดูแลระบบ - บริการพอร์ต 853

กฎไฟร์วอลล์

หลังจากสร้างกลุ่มที่จำเป็นแล้ว คุณสามารถสร้างกฎ Wireguard In และ Wireguard Local ได้

กฎ WG_IN มีไว้สำหรับการรับส่งข้อมูลที่มาจากอินเทอร์เฟซ wg0 และมุ่งหน้าไปยังเครือข่ายอื่น นี่อาจเป็นผู้ใช้ที่เข้าถึงระยะไกลที่พยายามเข้าถึงเครือข่าย LAN หรืออินเทอร์เน็ต หากพวกเขากำลังกำหนดเส้นทางการรับส่งข้อมูลทั้งหมดผ่านอุโมงค์ ที่นี่ เราจะอนุญาตให้ผู้ใช้ที่เป็นผู้ดูแลระบบของเราเข้าถึงทุกสิ่งได้ และผู้ใช้ทั่วไปของเราจะสามารถเข้าถึงเครือข่าย LAN 10.200.10.0/24 ของเราได้ เช่นเดียวกับเว็บเซิร์ฟเวอร์ภายใน

ตั้งชื่อไฟร์วอลล์ WG_IN เริ่มต้นการดำเนินการลดลง
ตั้งชื่อไฟร์วอลล์คำอธิบาย WG_IN 'Wireguard to LAN'

ตั้งชื่อไฟร์วอลล์ WG_IN กฎ 10 ยอมรับการดำเนินการ
ตั้งชื่อไฟร์วอลล์ WG_IN กฎ 10 คำอธิบาย 'อนุญาตให้ผู้ดูแลระบบทั้งหมด'
ตั้งชื่อไฟร์วอลล์ WG_IN กฎ 10 กลุ่มปลายทาง กลุ่มเครือข่าย All-LANs
ตั้งชื่อไฟร์วอลล์ WG_IN กฎ 10 ปิดการใช้งานบันทึก
ตั้งชื่อไฟร์วอลล์ WG_IN กฎ 10 โปรโตคอลทั้งหมด
ตั้งชื่อไฟร์วอลล์กฎ WG_IN 10 กลุ่มที่อยู่กลุ่มแหล่งที่มา Wireguard-Admin-IPs

ตั้งชื่อไฟร์วอลล์ WG_IN กฎ 20 การดำเนินการยอมรับ
ตั้งชื่อไฟร์วอลล์กฎ WG_IN 20 คำอธิบาย 'อนุญาตให้ผู้ใช้ Wireguard ไปยัง LAN'
ตั้งชื่อไฟร์วอลล์ กฎ WG_IN 20 กลุ่มปลายทาง กลุ่มเครือข่าย ผู้ใช้ LAN
ตั้งชื่อไฟร์วอลล์ WG_IN กฎ 20 ปิดการใช้งานบันทึก
ตั้งชื่อไฟร์วอลล์ WG_IN กฎ 20 โปรโตคอลทั้งหมด
ตั้งชื่อไฟร์วอลล์กฎ WG_IN 20 กลุ่มที่อยู่กลุ่มแหล่งที่มา Wireguard-User-IPs

ตั้งชื่อไฟร์วอลล์ WG_IN กฎ 30 การดำเนินการยอมรับ
ตั้งชื่อไฟร์วอลล์กฎ WG_IN 30 คำอธิบาย 'อนุญาตให้ผู้ใช้ Wireguard ไปยังเว็บเซิร์ฟเวอร์'
ตั้งชื่อไฟร์วอลล์ WG_IN กฎ 30 ที่อยู่ปลายทาง 10.200.11.154
ตั้งชื่อไฟร์วอลล์ WG_IN กฎ 30 พอร์ตปลายทาง 443
ตั้งชื่อไฟร์วอลล์ WG_IN กฎ 30 ปิดการใช้งานบันทึก
ตั้งชื่อไฟร์วอลล์ WG_IN กฎ 30 โปรโตคอล TCP
ตั้งชื่อไฟร์วอลล์กฎ WG_IN 30 กลุ่มที่อยู่กลุ่มแหล่งที่มา Wireguard-User-IPs

ตั้งชื่อไฟร์วอลล์ WG_IN กฎ 40 การดำเนินการลดลง
ตั้งชื่อไฟร์วอลล์ WG_IN กฎ 40 คำอธิบาย 'ทิ้งสิ่งอื่นทั้งหมด'
ตั้งชื่อไฟร์วอลล์ WG_IN กฎ 40 ปิดการใช้งานบันทึก
ตั้งชื่อไฟร์วอลล์ WG_IN กฎ 40 โปรโตคอลทั้งหมด

กฎท้องถิ่นของ Wireguard มีไว้สำหรับผู้ใช้ที่พยายามเข้าถึงอินเทอร์เฟซ Wireguard บน EdgeRouter สำหรับผู้ใช้ทั่วไป พวกเขาเพียงแค่ต้องการ DNS และบริการที่จำเป็นอื่นๆ คุณยังสามารถบล็อกพวกเขาโดยเฉพาะจาก HTTPS, SSH และพอร์ตอื่นๆ ที่พวกเขาไม่ควรเข้าถึงได้ หากจำเป็น

ตามกฎท้องถิ่น เราอนุญาตให้เพียร์ Wireguard ทั้งหมดใช้ DNS และอนุญาตให้กลุ่มผู้ดูแลระบบของเราใช้ SSH, HTTP และ HTTPS ด้วยกลุ่มพอร์ตบริการผู้ดูแลระบบของเรา

ตั้งชื่อไฟร์วอลล์ WG_LOCAL การดำเนินการเริ่มต้นลดลง
ตั้งชื่อไฟร์วอลล์คำอธิบาย WG_LOCAL 'Wireguard to Router'

ตั้งชื่อไฟร์วอลล์ WG_LOCAL กฎ 10 ยอมรับการดำเนินการ
ตั้งชื่อไฟร์วอลล์กฎ WG_LOCAL 10 คำอธิบาย 'อนุญาตให้ผู้ดูแลระบบเราเตอร์'
ตั้งชื่อไฟร์วอลล์ WG_LOCAL กฎ 10 ที่อยู่ปลายทาง 10.200.254.1
ตั้งชื่อไฟร์วอลล์ WG_LOCAL กฎ 10 ปิดการใช้งานบันทึก
ตั้งชื่อไฟร์วอลล์ WG_LOCAL กฎ 10 โปรโตคอลทั้งหมด
ตั้งชื่อไฟร์วอลล์กฎ WG_LOCAL 10 กลุ่มที่อยู่กลุ่มแหล่งที่มา Wireguard-Admin-IPs

ตั้งชื่อไฟร์วอลล์ WG_LOCAL กฎ 20 ยอมรับการกระทำ
ตั้งชื่อไฟร์วอลล์กฎ WG_LOCAL 20 คำอธิบาย 'อนุญาตให้ผู้ใช้บริการเราเตอร์'
ตั้งชื่อไฟร์วอลล์ WG_LOCAL กฎ 20 ที่อยู่ปลายทาง 10.200.254.1
ตั้งชื่อไฟร์วอลล์กฎ WG_LOCAL 20 กลุ่มปลายทางพอร์ตกลุ่มเราเตอร์บริการ
ตั้งชื่อไฟร์วอลล์ WG_LOCAL กฎ 20 ปิดการใช้งานบันทึก
ตั้งชื่อไฟร์วอลล์ WG_LOCAL กฎ 20 โปรโตคอล tcp_udp
ตั้งชื่อไฟร์วอลล์กฎ WG_LOCAL 20 กลุ่มที่อยู่กลุ่มแหล่งที่มา Wireguard-User-IPs

ตั้งชื่อไฟร์วอลล์ WG_LOCAL กฎ 30 การดำเนินการลดลง
ตั้งชื่อไฟร์วอลล์ WG_LOCAL กฎ 30 คำอธิบาย 'ทิ้งสิ่งอื่นทั้งหมด'

จากนั้น ใช้กฎกับอินเทอร์เฟซ wg0 ของคุณ และคอมมิตและบันทึกการเปลี่ยนแปลงของคุณ:

ตั้งค่าอินเทอร์เฟซไฟร์วอลล์ wireguard wg0 ในชื่อ WG_IN
ตั้งค่าอินเทอร์เฟซไฟร์วอลล์ wireguard wg0 ชื่อท้องถิ่น WG_LOCAL
ให้สัญญา; บันทึก

ตรวจสอบและทดสอบ

หากต้องการตรวจสอบ มาดูโทโพโลยีของเราอีกครั้ง

วิธีกำหนดค่า EdgeRouter Wireguard Remote Access VPN (2)

ผู้ดูแลระบบจะใช้นโยบายต่อไปนี้:

  • สามารถแก้ไข DNS ผ่าน EdgeRouter ได้
  • สามารถ SSH ไปยัง EdgeRouter และดูเว็บอินเตอร์เฟสได้ที่ 10.200.254.1
  • เข้าถึงเครือข่าย LAN ทั้งหมด รวมถึงเครือข่ายการจัดการที่มีจุดเข้าใช้งาน Wi-Fi และสวิตช์ที่ได้รับการจัดการ
  • เข้าถึงเซิร์ฟเวอร์ภายในที่ 10.200.11.154

ผู้ใช้จะต้องปฏิบัติตามนโยบายต่อไปนี้:

  • สามารถแก้ไข DNS ผ่าน EdgeRouter ได้
  • ถูกบล็อกจาก SSH, HTTP และ HTTPS ไปยัง EdgeRouter
  • เข้าถึงเครือข่าย LAN 10.200.10.0/24
  • ถูกบล็อกจากเครือข่ายการจัดการ 10.200.4.0/24
  • ถูกบล็อกจากเครือข่ายเซิร์ฟเวอร์ 10.200.11.0/24

HostiFi

ติดต่อ HostiFi เพื่อสอบถามความต้องการโฮสติ้ง UniFi และ UISP ทั้งหมดของคุณได้ที่support@hostifi.comหรือโดยใช้แชทสดบนเว็บไซต์ของเรา ข้อเสนอ HostiFi Proบริการเครือข่ายมืออาชีพซึ่งเชี่ยวชาญด้านฮาร์ดแวร์และซอฟต์แวร์ของ Ubiquiti

วิธีกำหนดค่า EdgeRouter Wireguard Remote Access VPN (2024)

References

Top Articles
Latest Posts
Article information

Author: Greg O'Connell

Last Updated:

Views: 5882

Rating: 4.1 / 5 (42 voted)

Reviews: 81% of readers found this page helpful

Author information

Name: Greg O'Connell

Birthday: 1992-01-10

Address: Suite 517 2436 Jefferey Pass, Shanitaside, UT 27519

Phone: +2614651609714

Job: Education Developer

Hobby: Cooking, Gambling, Pottery, Shooting, Baseball, Singing, Snowboarding

Introduction: My name is Greg O'Connell, I am a delightful, colorful, talented, kind, lively, modern, tender person who loves writing and wants to share my knowledge and understanding with you.