Fórum Root.cz

Hlavní témata => Sítě => Téma založeno: mikesznovu 26. 03. 2022, 12:12:35

Název: WG: jakým způsobem pro zařízení v LAN zařídit jinou odchozí IP
Přispěvatel: mikesznovu 26. 03. 2022, 12:12:35

Možná jsem se v tom zamotal a nevidím přes lesy přímočaré řešení, ale poradíte, jak přes wireguard řešit něco jako

VPN Exit node?

S ohledem na srozumitelnost/spravovatelnost konfigurace* a minimalizaci míst, kde všude je potřeba konfiguraci dělat**. (Například přidání dalšího exitu nebo dalšího zařízení)

Popis sítě a zapojení (to není k diskuzi, takto je to dané):

• 1.2.3.4 Centrální server s veřejnou IP. Zde běží wireguard
  
• 45.11.11.11 Zamýšlený exit node, ze kterého bude traffic vycházet ven do internetu. Nemá veřejnou IP, je za NATem. Je připojen k peerovi  s endpointem 1.2.3.4 a  s Keepalive. Není cílem z něj dělat veřejně adresovatelný  server, jinými slovy, není potřeba nijak NAT "řešit" – ostatně to technicky ani nejde
  
• 192.168.1.100(eth0) router, kterým jsem připojen internetu, opět za NATem , taky napojen na 1.2.3.4 s keepalive. Vnější IP není důležitá(88.8.8.8). Klasicky POSTROUTING -o eth0 -j SNAT 192.168.1.100 Vnitřní síť 10.0.0.0/24(wlan0)
  
• 10.0.0.5: nějaký computer v mé lokální síti(jen jako example). A logicky servery na internetu vidí jeho IP adresu jako 88.8.8.8
  
  
• 10.0.0.9 - zařízení, který bych chtěl aby mělo vnější IP  45.11.11.11.(ten exit )

Jak to nastavit Který způsob a na jakých místech? Sepsal jsem si možnosti, který mě napadly dřív(ale nechám je tu) . Jde jen o první ideu řešení, kterou je potřeba rozpracovat
1. Source routing (pro zařízení 10.0.0.9) v ip rule
2. Pravidlo PREROUTING/POSTROUTING v firewallu
3. Nastavit 10.0.0.9 jinou IP adresu.


Něco už mám v wireguardu odkrouceno. V své LAN  (za NATem) jsem si udělal WG link mezi serverem  10.100.0.0/16. Takže se sshnout mohu ze serveru na zařízení v LAN.  Nebo i výhledově  potenciálně i rovnou sshnout na vybraný port serveru, který bude forwardnutý na konkrétní zařízení, ale to je jen jako demo – nebepečné/nepraktické. Ale mohu si dát na routeru ip route add 17.0.0.0/24 dev wg0 a rázem do části internetetu budu plout jinudy. Ale je to pro všechny zažízení  (není to ani pro vybrané zařízení 10.0.0.9) ani ne přes exit ,ale samotný server

*Aby když přidám víc exit peerů nebo budu chtít přidat víc zařízeni do LAN a každé přes jiný exit uzel.

** Například AllowedIPS 17.0.0.0/80 nebo koneckonců 0.0.0.0/0) se nastavuje na routeru, NAT se nastavuje na server 1.2.3.4 (jinak by místo srcIP 1.2.3.4 odcházely s srcIP 10.0.0.x) , Allowed IP 10.0.0/24 na serveru((Konfigurace platné pro odstavec okdkrouceno, ne pro plán v tomto dotazu))[/list]