V
dokumentaci k tomu routeru to je popsané docela dobře. Kromě toho tady na Rootovi je
celý seriál o WireGuardu, doporučuji
přečíst alespoň druhý díl, kde jsou popsané ty zásadní koncepty.
To podstatné je, že obě strany musejí mít nakonfigurované své rozhraní, což znamená IP adresu z rozsahu uvnitř VPN, soukromý klíč a UDP port pro příjem komunikace.
Kromě toho ale je potřeba na obou stranách nakonfigurovat také protistranu, které se říká peer. Tam se vkládá veřejný klíč protistrany, u klientů se tam dává IP adresa routeru (aby se bylo kam připojit) a u každé protistrany se také nastavuje AllowedIPs, tedy seznam adres, které jsou používány na druhé straně.
Tohle všechno musí být správně, jinak data nepotečou. Typicky se stává to, že uživatel špatně uvede AllowedIPs a provoz sice putuje k němu tunelem, ale jeho strana kontroluje zdrojové adresy a pokud peer do tunelu strká provoz z nepovolených adres, tak je na konci filtrován.
Problém řešení na routeru a mobilu je obvykle ten, že se to hrozně špatně ladí, protože tam nejsou vidět žádné stavové informace a nedají se tam pustit analytické nástroje. Lepší je si to nejdřív vyzkoušet třeba proti linuxovému stroji a až to chodí, tak si vyrobit konfiguraci pro mobil.
11 Odpovědí
3120 Zhlédnutí