VPN LAN-LAN WireGuard
Wsparcie WireGuard w routerach:
– Vigor 2962/3910 od wersji firmware 4.3.1
– Vigor 2865/2927 od wersji firmware 4.4.3
Spis treści:
1. Konfiguracja serwera VPN
2. Konfiguracja klienta VPN
3. Status połączenia
Główne założenia przykładu:
– typ tunelu: LAN-LAN (site-site) z routingiem pomiÄ™dzy podsieciami
– protokół VPN: WireGuard
– adres WAN serwera VPN: staÅ‚y (IP – 1.1.1.1) lub zmienny (domenowy – vigor.drayddns.com)
– adres WAN klienta VPN: staÅ‚y lub zmienny
– różne adresacje sieci lokalnych: serwer VPN 192.168.1.1 /24, klient VPN 192.168.2.1 /24
Jeśli serwer VPN posiada zmienny publiczny IP to skorzystaj z dynamicznego DNS., aby komunikować się z routerem przez adres domenowy.
W omawianym przykładzie:
– klucz PSK w ustawieniach VPN jest przedstawiony jako „xxxxx…”
– prywatny klucz serwera w ustawieniach VPN jest przedstawiony jako „aaaaa…”
– publiczny klucz serwera w ustawieniach VPN jest przedstawiony jako „AAAAA…”
– prywatny klucz klienta w ustawieniach VPN jest przedstawiony jako „bbbbb…”
– publiczny klucz klienta w ustawieniach VPN jest przedstawiony jako „BBBBB…”
1. Konfiguracja serwera VPN
Przejdź do zakładki VPN and Remote Access >> Remote Access Control.
Sprawdź czy jest włączona obsługa protokołu WireGuard.
Przejdź do zakładki VPN and Remote Access >> LAN-LAN.
Kliknij dowolny indeks np. 1, aby stworzyć profil VPN.
Wybierz/wypełnij następujące pola w sekcji Common Settings:
– Zaznacz Enable this profile.
– Wpisz dowolnÄ… nazwÄ™ profilu.
– Wybierz kierunek poÅ‚Ä…czenia Dial-in, aby profil sÅ‚użyÅ‚ do odbierania poÅ‚Ä…czenia
– W polu Idle Timeout wpisz 0 jeÅ›li Vigor ma pozostawić poÅ‚Ä…czenie online pomimo braku ruchu.
Wybierz/wypełnij następujące pola w sekcji Dial-in:
– Jako akceptowany protokół zaznacz WireGuard
– Kliknij WireGuard, aby przejść do szczegółowych ustawieÅ„
W ustawieniach WireGuard:
– Kliknij przycisk Generate a Key Pair, aby wygenerować klucz prywatny serwera VPN („aaaaa…”) oraz klucz publiczny serwera VPN („AAAAA…”).
– Kliknij przycisk Generate, aby wygenerować klucz PSK („xxxxx…”).
– Skopiuj publiczny klucz serwera VPN („AAAAA…”) oraz klucz PSK („xxxxx…”) i w dalszych krokach wprowadź/wklej je w ustawieniach profilu VPN klienta.
– JeÅ›li już wygenerowaÅ‚eÅ› i skopiowaÅ‚eÅ› publiczny klucz klienta VPN („BBBBB…”) to wprowadź/wklej go w polu Peer Public Key, natomiast jeÅ›li jeszcze jego nie posiadasz to wprowadź/wklej go po wygenerowaniu i skopiowaniu z ustawieÅ„ profilu VPN klienta.
Wybierz/wypełnij następujące pola w sekcji TCP/IP Network Settings:
– Wpisz adresacjÄ™ sieci lokalnej w polu Local Network IP (w przykÅ‚adzie 192.168.1.1) oraz jej maskÄ™ w polu Local Network Mask (w przykÅ‚adzie 255.255.255.0).- Wpisz adresacjÄ™ sieci zdalnej w polu Remote Network IP (w przykÅ‚adzie 192.168.2.0) oraz jej maskÄ™ w polu Remote Network Mask (w przykÅ‚adzie 255.255.255.0).
– Wybierz tryb Routing, aby wykonywać routing do podsieci zdalnej.
2. Konfiguracja klienta VPN
Przejdź do zakładki VPN and Remote Access >> Remote Access Control.
Sprawdź czy jest włączona obsługa protokołu WireGuard.
Przejdź do zakładki VPN and Remote Access >> LAN-LAN.
Kliknij dowolny indeks np. 1, aby stworzyć profil VPN.
Wybierz/wypełnij następujące pola w sekcji Common Settings:
– Zaznacz Enable this profile.
– Wpisz dowolnÄ… nazwÄ™ profilu.
– Wybierz WAN1 First, aby WAN1 byÅ‚ preferowanym interfejsem WAN do zestawiania VPN.
– Wybierz kierunek poÅ‚Ä…czenia Dial-out, aby profil sÅ‚użyÅ‚ do inicjowania poÅ‚Ä…czenia
– Zaznacz opcjÄ™ Always on (Idle Timeout zmieni siÄ™ na -1), aby poÅ‚Ä…czenie byÅ‚o aktywne caÅ‚y czas.
Wybierz/wypełnij następujące pola w sekcji Dial-out:
– Jako protokół zaznacz IPsec Tunnel i wybierz WireGuard
– W polu Server IP/Host Name for VPN wpisz adres IP routera (w przykÅ‚adzie 1.1.1.1), do którego zestawiasz tunel VPN, albo jego adres domenowy (w przykÅ‚adzie vigor.drayddns.com).
W ustawieniach WireGuard:
– Kliknij przycisk Generate a Key Pair, aby wygenerować klucz prywatny klienta VPN („bbbbb…”) oraz klucz publiczny („BBBBB…”) klienta VPN.
– Wprowadź/wklej klucz publiczny serwera VPN („AAAAA…”) w polu Peer Public Key.
– Wprowadź/wklej klucz PSK („xxxxx…”) w polu Peer Pre-Shared Key.
– Skopiuj publiczny klucz klienta VPN („BBBBB…”) i wprowadź/wklej go w ustawieniach profilu VPN serwera.
Wybierz/wypełnij następujące pola w sekcji TCP/IP Network Settings:
– Wpisz adresacjÄ™ sieci lokalnej w polu Local Network IP (w przykÅ‚adzie 192.168.2.1) oraz jej maskÄ™ w polu Local Network Mask (w przykÅ‚adzie 255.255.255.0).
– Wpisz adresacjÄ™ sieci zdalnej w polu Remote Network IP (w przykÅ‚adzie 192.168.1.0) oraz jej maskÄ™ w polu Remote Network Mask (w przykÅ‚adzie 255.255.255.0).
– Wybierz tryb Routing, aby wykonywać routing pomiÄ™dzy podsieciami.
3. Status połączenia
Przejdź do zakładki VPN and Remote Access >> Connection Management, aby sprawdzić status połączeń VPN.
Po zestawieniu tunelu router automatycznie dodaje również trasę statyczną do zdalnej podsieci.
Przejdź do zakładki Diagnostics >> Routing Table, aby sprawdzić aktualną tabelę routingu.
Klient VPN:
Serwer VPN:
