howto:network:wireguard
Rozdíly
Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
| Obě strany předchozí revizePředchozí verzeNásledující verze | Předchozí verze | ||
| howto:network:wireguard [2022/03/18 11:57] – [WireGuard+Geneve] harvie | howto:network:wireguard [2022/03/30 10:57] (aktuální) – harvie | ||
|---|---|---|---|
| Řádek 1: | Řádek 1: | ||
| ====== WireGuard ====== | ====== WireGuard ====== | ||
| + | * https:// | ||
| + | * https:// | ||
| ===== L2 tunnel ===== | ===== L2 tunnel ===== | ||
| - | Wireguard je L3 tunnel. Pokud se pres wireguard potrebuju dostat do vzdaleny site na L2 vrstve, musim pouzit dalsi tunnel ktery pobezi pres wireguardove ip adresy. | + | Wireguard je L3 tunnel. Pokud se pres wireguard potrebuju dostat do vzdaleny site na L2 vrstve, musim pouzit dalsi tunnel ktery pobezi pres wireguardove ip adresy. Tento druhy L2 tunelu ma proti klasicke centralizovane L2 VPN nevyhodu, ze jde jen o p2p spojeni. Samozrejme je mozne na centralnim serveru dat vsechny tunely do bridge. Zalezi na use case. |
| ==== WireGuard+SSH ==== | ==== WireGuard+SSH ==== | ||
| Řádek 8: | Řádek 10: | ||
| Nasledujici prikaz lze pouzit pro L2 tunnel na ssh server za wireguardem. | Nasledujici prikaz lze pouzit pro L2 tunnel na ssh server za wireguardem. | ||
| Na vzdalenem serveru alokuje prvni volny tap interface a prida ho do bridge vmbr0, ktera musi na serveru jiz existovat. | Na vzdalenem serveru alokuje prvni volny tap interface a prida ho do bridge vmbr0, ktera musi na serveru jiz existovat. | ||
| - | Lokalne vytvori tap7, na kterem si mohu pak lokalne pustit treba dhcp klienta. | + | Lokalne vytvori tap7, na kterem si mohu pak lokalne pustit treba dhcp klienta. Funguje jen pokud na obou stranach ssh spojeni je uzivatel root a v '' |
| <code bash> | <code bash> | ||
| - | ssh -o Tunnel=ethernet -w 7 root@wg_ip_adresa 'brctl addif vmbr0 $SSH_TUNNEL' | + | ssh -o Tunnel=ethernet -w 7:any root@wg_ip_adresa 'ip link set $SSH_TUNNEL |
| </ | </ | ||
| + | |||
| + | Pripadne je mozne nazev tap zarizeni dynamicky alokovat na obou stranach a rovnou iniciovat konfiguraci site ssh klientem. | ||
| + | |||
| + | <code bash> | ||
| + | ssh -o PermitLocalCommand=yes -o LocalCommand=' | ||
| + | </ | ||
| + | |||
| + | Takova konfigurace je vhoda i pro kombinaci s autossh, protoze dhcp je spusteno ssh klientem, takze se automaticky restartne dhcp pri restartu ssh. Pak staci zacatek prikazu '' | ||
| + | |||
| + | Cely by to pak jeste slo spoustet a vypinat z PostUp/ | ||
| ==== WireGuard+Geneve ==== | ==== WireGuard+Geneve ==== | ||
| https:// | https:// | ||
| - | priklad server: | + | Geneve je moderni p2p enkapsulace L2 over IP. Je primo v jadre a neni sifrovana. Vykonove je na tom tedy lepe nez SSH. Ale stejne jako wireguard si pridava hlavicku na urovni packetu, takze zkracuje MTU. Da se snadno nakonfigurovat formou PostUp direktiv v konfiguraci wireguardu. Narozdil od ssh se musi predkonfigurovat i na strane serveru. Na druhou stranu nepotrebuje aby mel klient na serveru pristup na root. |
| + | |||
| + | === Server === | ||
| <code apache> | <code apache> | ||
| Řádek 33: | Řádek 47: | ||
| </ | </ | ||
| - | priklad klient: | + | |
| + | Pozor! gnv tunel bude mit male MTU coz muze nepriznive ovlivnit dalsi interfacy v bridgi, protoze budou donuceny ho prevzit. To muze byt problem treba u veth interfacu. | ||
| + | |||
| + | === Klient === | ||
| <code apache> | <code apache> | ||
| Řádek 50: | Řádek 68: | ||
| ... | ... | ||
| </ | </ | ||
| + | |||
| + | ===== WireGuard v restriktivních sítích ===== | ||
| + | |||
| + | ==== Tunelování skrz WebSocket ==== | ||
| + | |||
| + | https:// | ||
| + | |||
| + | |||
howto/network/wireguard.1647601048.txt.gz · Poslední úprava: 2022/03/18 11:57 autor: harvie