Руководство пользователя

Начиная с версии NDMS 5.0, маршрутизаторы Netcraze включают приложение VPN-сервер WireGuard — современное высокопроизводительное VPN-решение для безопасного удалённого доступа к домашней сети с использованием любого совместимого клиента WireGuard. В качестве VPN-клиента также может выступать другой маршрутизатор Netcraze, что позволяет организовать защищённое VPN-соединение между двумя сетями или устройствами.

В этой инструкции мы представим пример настройки безопасного подключения по протоколу WireGuard между двумя интернет-центрами, в котором нужно обеспечить хостам каждого роутера доступ к удаленной локальной сети через VPN-туннель. Такую схему подключения еще называют "Site-To-Site VPN" или "сеть — сеть" (например, межофисное соединение для связи с целью расширения сетевой инфраструктуры).

Для более гибкой настройки WireGuard VPN, а также построения сложных схем и подключений типа "сеть — сеть", воспользуйтесь настройкой на странице Другие подключения. Дополнительную информацию вы найдете в инструкции Настройка WireGuard VPN между двумя роутерами Netcraze.

Рассмотрим схему подключения:

Имеется интернет-центр Netcraze с публичным WAN IP-адресом для выхода в интернет, на котором будет включен WireGuard VPN-сервер. К нему будет устанавливать VPN-подключение другой интернет-центр Netcraze в роли VPN-клиента с IP-адресом из частного диапазона на WAN-интерфейсе, но VPN-клиент также может иметь публичный адрес. Нужно обеспечить хостам каждого роутера доступ к удаленной локальной сети через VPN-туннель. В нашем примере рассмотрим объединение двух локальных сетей 192.168.100.x и 192.168.22.x через WireGuard VPN.

Настройка WireGuard VPN-сервера

Для настройки защищенных подключений по протоколу WireGuard нужно установить компонент системы WireGuard VPN-сервер. Сделать это можно в веб-конфигураторе на странице Общие настройки системы в разделе Обновление и компоненты, нажав на Изменить набор компонентов.

После этого плитка WireGuard VPN-сервер появится на странице Приложения. Нажмите по ссылке WireGuard VPN-сервер для перехода к настройкам.

В поле Доступ к сети укажите сегмент локальной сети, доступ к которому будет предоставлен клиентам.

В поле IP-адрес сервера указан адрес VPN-сервера. Это внутренний IP-адрес интерфейса туннеля в формате IP/bitmask. В нашем примере это 172.16.82.1/24, но можно использовать любую подсеть из частного диапазона, главное чтобы адрес не пересекался с другими подсетями на самом роутере. Клиентам будет назначен IP-адрес из той же подсети.

В настройках по умолчанию включена опция NAT для клиентов. Эта настройка служит для доступа VPN-клиентов в интернет.

Для продолжения настройки нажмите кнопку + Добавить клиента.

В разделе Клиентские пиры в поле Имя укажите название и установите галочку в поле Доступ.

Поле Разрешенные подсети определяет набор разрешенных подсетей (Allowed IPs). Это адресные пространства, от которых данный пир может принимать и отправлять трафик. Если вам нужно настроить доступ со стороны сервера WireGuard в подсеть, которая находится за VPN-клиентом, то в поле Разрешенные подсети укажите подсеть клиента, или несколько подсетей (через запятую), которые нужно разрешить внутри туннеля. В нашем примере в этом поле указана удаленная подсеть 192.168.100.0/24.

Нажмите кнопку Сохранить.

После создания пира, автоматически появится окно Настройки клиентского пира, в котором нажмите кнопку Скачать конфигурацию для сохранения конфигурационного файла WireGuard-подключения. Полученный файл с расширением .conf затем можно будет загрузить в настройки VPN-клиента.

Для того чтобы клиентам локальной сети VPN-сервера были доступны ресурсы локальной сети за VPN-клиентом, нужно добавить статический маршрут. В нашем примере локальная сеть 192.168.100.0/255.255.255.0 (/24) станет доступна через интерфейс Wireguard VPN Server.

Перейдите на страницу Маршрутизация и в разделе Пользовательские маршруты нажмите кнопку + Добавить. В появившемся окне Параметры статического маршрута в поле Тип маршрута выберите значение Маршрут до сети, в поле Адрес сети назначения укажите удаленную подсеть, к которой вы хотите организовать доступ, и которая находится на стороне VPN-клиента. В поле Интерфейс выберите Wireguard VPN Server. При настройке статического маршрута следует включить опцию Добавлять автоматически.

На этом настройка VPN-сервера завершена, осталось включить его на роутере. На странице Приложения в плитке WireGuard VPN-сервер переведите переключатель в состояние Включено.

Настройка WireGuard VPN-клиента

В веб-конфигураторе интернет-центра, который будет выступать в роли VPN-клиента, перейдите на страницу Другие подключения и в разделе WireGuard нажмите кнопку Загрузить из файла.

Укажите путь к файлу с расширением .conf, который был равнее сохранен при настройке WireGuard VPN-сервера, и после этого подключение автоматически появится в данном разделе.

Далее нажмите по записи созданного подключения для редактирования и дополнительной настройки, чтобы организовать подключение типа "сеть — сеть", в соответствии с нашим примером. В окне Настройки подключения в поле IPv4-адрес поменяйте маску с /32 на /24.

И в разделе Настройка пира в поля Разрешенные IPv4-подсети нужно добавить удаленную сеть за VPN-сервером и внутренний адрес удаленного конца туннеля. В нашем примере удаленная сеть 192.168.22.0/24 (к этой сети требуется обеспечить доступ по туннелю со стороны VPN-клиента) и адрес удаленного конца туннеля 172.16.82.1/32. Сохраните настройку.

Затем на роутере VPN-клиенте выполните настройку маршрутизации и межсетевого экрана. Для созданного WireGuard-подключения нужно указать статический маршрут в удаленную сеть и разрешить входящий трафик.

Чтобы по туннелю отправлялся трафик в удаленную сеть, нужно добавить статический маршрут. Перейдите на страницу Маршрутизация и в разделе Пользовательские маршруты нажмите кнопку + Добавить. В нашем примере в появившемся окне Параметры статического маршрута в поле Тип маршрута выберите значение Маршрут до сети, в поле Адрес сети назначения укажите удаленную подсеть 192.168.22.0, в поле Интерфейс выберите имя созданного ранее WireGuard-подключения wg-client-01 и включите опцию Добавлять автоматически.

Чтобы на клиенте разрешить входящий трафик, перейдите на страницу Межсетевой экран. Для WireGuard-подключения wg-client-01 добавьте и включите разрешающее правило для протокола IPv4.

Теперь включите на VPN-клиенте созданное подключение. Перейдите на страницу Другие подключения и в разделе WireGuard переведите переключатель в состояние Включено.

На этом настройка VPN-клиента и VPN-сервера завершена.

Для проверки подключения перейдите в настройки VPN-сервера и в плитке WireGuard VPN-сервер нажмите Статистика подключений для отображения статуса подключений и дополнительной информации об активных сессиях.

Для проверки работы VPN-туннеля с хостов или непосредственно с роутера выполните пинг удаленного роутера или устройств, находящихся за туннелем.

Например, с хоста в локальной сети VPN-клиента (из сети 192.168.100.x) выполните пинг IP-адреса VPN-сервера (в нашем случае это 172.16.82.1) и локального IP-адреса роутера в удаленной сети за туннелем (в нашем примере это 192.168.22.1). А затем с хоста в локальной сети VPN-сервера (из сети 192.168.22.x) выполните пинг IP-адреса VPN-клиента (в нашем случае это 172.16.82.2) и локального IP-адреса роутера в удаленной сети за туннелем (в нашем примере это 192.168.100.1).

Если настройку VPN-подключения вы осуществляете удаленно и доступа к хостам локальной сети нет, проверку работы VPN-туннеля можно выполнить непосредственно с роутера. Для этого перейдите в веб-конфигураторе на страницу Диагностика и воспользуйтесь утилитой Ping. Выполните пинг удаленного роутера и устройств, находящихся за туннелем.