Сделано в России
+7 495 727–19–59
|
||
Документы в формате PDF, архив (FTP) и Web-справка открываются в новом окне Размер шрифта AAA |
Корпоративная сеть WireGuardПостроение безопасной корпоративной сети между головным офисом и филиалами на основе туннелей WireGuard. Это самая современная из технологий VPN, вобравшая в себя обширный опыт разработки и использования предыдущих типов — как позитивный, так и негативный. Он превосходит по производительности IPsec и OpenVPN, исключительно проста в настройке, устойчива при работе на ненадёжных каналах связи. В качестве центрального шлюза используется устройство NSG–2040, в филиале — NSG–1750. К головному офису могут также подключаться одиночные пользователи с ПК или мобильных устройств (клиенты для ОС Linux входят в состав всех основных дистрибутивов, для остальных систем доступны на сайте разработчика и в соответствующих магазинах приложений). Требуется, чтобы любой хост (в офисе, в филиале или удалённый сотрудник) был доступен для любого другого. Конфигурация сервера: ip : route : : 1 : : : gateway = "123.45.67.90" : : : network = "0.0.0.0/0" : : 2 : : : device = "wg1" : : : network = "172.16.1.0/24" : : 3 : : : device = "wg1" : : : network = "172.16.2.0/24" port : eth0 : : ifAddress : : : prefix = "123.45.67.89/30" : eth1 : : ifAddress : : : prefix = "172.16.0.1/24" tunnel : wireguard : : wg1 : : : ifAddress : : : : prefix = "172.16.2.1/24" : : : interface : : : : listen-port = 51901 : : : : private-key = "закрытый_ключ_сервера" : : : peer : : : : 1 : : : : : allowed-ips : : : : : : 1 = "172.16.2.2/32" : : : : : : 2 = "172.16.1.0/24" : : : : : public-key = "открытый_ключ_клиента_в_филиале" : : : : 2 : : : : : allowed-ips : : : : : : 1 = "172.16.2.3/32" : : : : : public-key = "открытый_ключ_удалённого_пользователя" ..................... Конфигурация клиента в филиале: ip : route : : 1 : : : device = "wg1" : : : network = "172.16.0.0/24" : : 2 : : : device = "wg1" : : : network = "172.16.2.0/24" port : eth0 : : ifAddress : : : configurable = "dhcp" : eth1 : : ifAddress : : : prefix = "172.16.1.1/24" tunnel : wireguard : : wg1 : : : ifAddress : : : : prefix = "172.16.2.2/32" : : : interface : : : : private-key = "закрытый_ключ_клиента" : : : peer : : : : 1 : : : : : allowed-ips : : : : : : 1 = "172.16.0.0/24" : : : : : : 2 = "172.16.2.0/24" : : : : : endpoint = "123.45.67.89:51901" : : : : : persistent-keeplive = 25 : : : : : public-key = "открытый_ключ_сервера" Конфигурационный файл для одиночного удалённого пользователя (указанного выше в конфигурации сервера). Формат файла одинаков для всех систем и пригоден для импорта в любые клиенты WireGuard. В некоторых системах могут использоваться дополнительные необязательные настройки, такие как DNS. [Interface] Address = 172.16.2.3/32 PrivateKey = закрытый_ключ_пользователя [Peer] PublicKey = открытый_ключ_сервера AllowedIPs = 172.16.0.0/22 Endpoint = 123.45.67.89:51901 PersistentKeepalive = 25 ВНИМАНИЕ! Переносить конфигурационный файл на машину пользователя необходимо безопасным способом (например, при личной явке в офис), поскольку в нём содержится закрытый ключ пользователя. Дополнительные замечания: Пример скрипта для автоматизации добавления новых удалённых пользователей. Исполняется на сервере под root. Скрипт добавляет пользователя в конфигурацию сервера и генерирует конфигурационный файл для пользователя. Единственный аргумент скрипта — имя пользователя, используемое для административных целей. Предполагается, что число пользователей не более 252. Файл ПОЛЬЗОВАТЕЛЬ.conf необходимо передать ему и импортировать в клиента WireGuard на его устройстве. !#/bin/bash #Постоянные значения PUBLIC_ADDRESS="123.45.67.89" PUBLIC_PORT="51901" SRV_PUB_KEY=$(nsgsh -qr tunnel.wireguard.wg1.interface.public-key._print) TUNNEL_NET=172.16.2 CLIENT_ALLOWED_IPS="172.16.0.0/22" nsgsh -qr "tunnel.wireguard.wg1.peer._print" > /tmp/peers # подсчёт числа существующих клиентов N=$(cat /tmp/peers | grep ^[1-9] | wc -l) N=$((N+1)) # поиск свободного адреса IP="3" until [[ -z $(grep "$TUNNEL_NET.$IP" /tmp/peers) ]]; do if [[ $IP = "255" ]]; then echo "Адреса кончились! Используйте другую подсеть..." exit fi IP=$((IP+1)) done rm /tmp/peers # имя клиента if [[ -n $1 ]]; then CLIENT=$1 else read -p "Имя нового клиента: " CLIENT fi # генерация ключей для клиента wg genkey | tee /tmp/wgprivate.key | wg pubkey > /tmp/wgpublic.key # генерация файла для клиента echo "[Interface]" > /tmp/wireguard.conf echo "Address = $TUNNEL_NET.$IP/32" >> /tmp/wireguard.conf echo "PrivateKey = $(cat /tmp/wgprivate.key)" >> /tmp/wireguard.conf echo -e "\n[Peer]" >> /tmp/wireguard.conf echo "PublicKey = $SRV_PUB_KEY" >> /tmp/wireguard.conf echo "AllowedIPs = $CLIENT_ALLOWED_IPS" >> /tmp/wireguard.conf echo "Endpoint = $PUBLIC_ADDRESS:$PUBLIC_PORT" >> /tmp/wireguard.conf echo "PersistentKeepalive = 25" >> /tmp/wireguard.conf mv /tmp/wireguard.conf /root/$CLIENT.conf # генерация настроек для сервера CMD="peer.+$N" CMD="$CMD peer.$N.description='$CLIENT'" CMD="$CMD peer.$N.public-key='$(cat /tmp/wgpublic.key)'" CMD="$CMD peer.$N.allowed-ips.+1" CMD="$CMD peer.$N.allowed-ips.1='$TUNNEL_NET.$IP'" nsgsh -qf30 "tunnel.wireguard.wg1($CMD _apply) _write" rm /tmp/wg*.key echo "Добавлена конфигурация tunnel.wireguard.wg1.peer.$N :" nsgsh -qr "tunnel.wireguard.wg1.peer.$N._print" echo -e "\n" echo "Передайте файл wg_clients/$CLIENT.conf пользователю" echo "*** БЕЗОПАСНЫМ СПОСОБОМ ***" echo "и импортируйте его в Wireguad for Windows, Android, etc." |