Como configurar o Wireguard VPN no Omada Gateway
11-06-2024
47642Conteúdo
Como Configurar Wireguard VPN no Gateway Omada
Configuração de VPN Wireguard Site-a-Site via interface web em modo autônomo
Configuração de VPN Wireguard Cliente-a-Site via interface web em modo autônomo
Configuração de VPN Wireguard Site-a-Site via Controlador Omada
Configuração de VPN Wireguard Cliente-a-Site via Controlador Omada
Objetivo
Este artigo apresenta como configurar a VPN Wireguard em um gateway Omada.
Introdução
A VPN Wireguard pode estabelecer uma conexão digital entre um computador e um servidor remoto de propriedade do provedor de VPN, criando um túnel ponto a ponto que criptografa dados pessoais, mascara endereços IP e permite contornar bloqueios de sites e firewalls na Internet. Usando a VPN Wireguard, você terá uma experiência de rede privada, protegida e segura. Como um novo tipo de protocolo VPN, a VPN Wireguard roda na camada de kernel e fornece uma solução VPN eficiente, segura, simples e moderna. A VPN Wireguard utiliza tecnologia de criptografia forte para garantir a segurança dos dados e proporciona uma transmissão rápida. Com tudo isso, a VPN Wireguard oferece muitas vantagens em comparação com protocolos VPN tradicionais, incluindo mecanismos de criptografia e autenticação eficientes, design de protocolo leve, configuração e gerenciamento fáceis de usar e velocidades de transmissão rápidas.
Configuração de VPN Wireguard Site-a-Site via interface web em modo autônomo
A VPN Wireguard pode ser usada em cenários site-a-site entre dois roteadores e é adequada para situações como acesso mútuo entre dispositivos na LAN em ambas as pontas do roteador. Siga as etapas abaixo:
Passo 1. Configure o Servidor Wireguard
Vá para VPN > Wireguard e clique em Adicionar (Add) no lado direito para configurar a interface Wireguard. Especifique o Nome (Name) e deixe o MTU e a Porta de Escuta (Listen Port) como padrão se não houver requisitos especiais, o mesmo vale para a Chave Privada (Private Key) e a Chave Pública (Public Key). Preencha o IP virtual da interface Wireguard no Endereço IP Local (Local IP Address), que deve ser um IP não utilizado ou um IP fora do segmento da LAN. Em seguida, clique em OK e copie a Chave Pública (Public Key).
Passo 2. Configure o Cliente Wireguard
A configuração da interface Wireguard no cliente é a mesma que no servidor. Consulte o Passo 1.
Passo 3. Configure o Peer (Par) do Servidor
Vá para VPN > Wireguard, entre na seção Peers (Pares) e clique em Adicionar (Add) para iniciar a configuração. Selecione a interface configurada no Passo 1; preencha a Chave Pública da interface Wireguard no cliente na Chave Pública (Public Key); deixe o Endpoint e a Porta do Endpoint (Endpoint Port) em branco; preencha o segmento de rede que precisa de comunicação VPN, ou seja, o segmento LAN no cliente, em Endereço Permitido (Allowed Address). Em seguida, clique em OK.
Passo 4. Configure o Peer (Par) do Cliente
Comparado com a configuração do par do servidor no Passo 3, a configuração do par do cliente é ligeiramente diferente: para Chave Pública (Public Key), preencha com a Chave Pública da interface Wireguard no servidor; para Endpoint e Porta do Endpoint (Endpoint Port), preencha com o IP WAN do roteador par e a porta da interface Wireguard (o padrão é 51820). No cenário site-a-site, se as WANs de ambos os roteadores usarem endereços IP públicos, então o Endpoint e a Porta do Endpoint são necessários apenas em uma das pontas; ou seja, uma ponta precisa iniciar a conexão ativamente. Observe que, se um roteador estiver localizado atrás de NAT, esse roteador deverá atuar como o Cliente.
Passo 5. Verifique o Status
O túnel VPN será estabelecido quando ambos os pares estiverem configurados. Agora, você pode ver as informações do túnel correspondente na barra de status, incluindo Bytes de TX, Bytes de RX, Pacotes de TX, Pacotes de RX e Último Handshake (Last Handshake).
Configuração de VPN Wireguard Cliente-a-Site via interface web em modo autônomo
A VPN Wireguard também pode ser usada em cenários cliente-a-site entre clientes e roteadores. É adequada para viajantes de negócios ou funcionários temporários que trabalham remotamente da sede via celulares ou computadores. Tomando o cliente VPN Omada como exemplo, você pode seguir os passos abaixo para configurar a VPN Wireguard Cliente-a-Site.
Passo 1. Configure o Servidor Wireguard
Vá para VPN > Wireguard e clique em Adicionar (Add) para configurar a interface Wireguard. Especifique o Nome (Name) e deixe o MTU e a Porta de Escuta (Listen Port) como padrão se não houver requisitos especiais, o mesmo vale para a Chave Privada (Private Key) e Chave Pública (Public Key). Preencha o IP virtual da interface Wireguard no Endereço IP Local (Local IP Address), que deve ser um IP não utilizado ou um IP fora do segmento da LAN. Em seguida, clique em OK e copie a Chave Pública (Public Key).
Passo 2. Configure o cliente VPN Omada
Baixe o cliente VPN Omada do site oficial da TP-Link para o seu PC. Clique no link Download para ER7206 | TP-Link como exemplo. Em seguida, inicie o cliente e clique em Adicionar (Add).
Informações do Servidor:
Tipo: Wireguard VPN; IP: o IP WAN do roteador par, Porta: 51820 (preencha o número da porta se não for o valor padrão); Chave Pública (Public Key): Chave Pública copiada no Passo 1.
Propriedade de IP:
Endereço IP é o endereço IP da interface. Recomenda-se não usar o endereço IP no mesmo segmento de rede que o DHCP para evitar conflitos de IP.
Clique em Gerar (Generate) para gerar a Chave Pública do cliente e copie esta Chave Pública. Para DNS, preencha 8.8.8.8 ou um DNS específico.
Na seção Opções Avançadas (Advanced Options), o Tráfego VPN Completo (Full VPN Traffic) está ativado por padrão, indicando que todo o tráfego do cliente será encaminhado através do túnel VPN, que é o cenário mais comum. Se necessário, você pode desativar o Tráfego VPN Completo e preencher os recursos de IP da LAN que precisam ser acessados em Sub-redes Remotas (Remote Subnets). Em seguida, clique em Confirmar (Confirm).
Passo 3. Configure o Peer (Par) do Servidor
Vá para VPN > Wireguard, entre na seção Peers (Pares) e clique em Adicionar (Add) para iniciar a configuração. Selecione a interface configurada no Passo 1; preencha a Chave Pública da interface Wireguard no cliente na Chave Pública (Public Key); deixe o Endpoint e a Porta do Endpoint (Endpoint Port) em branco; preencha o segmento de rede que precisa de comunicação VPN, ou seja, o segmento LAN no cliente, em Endereço Permitido (Allowed Address). Em seguida, clique em OK.
Passo 4. Verifique o Status
Clique no ícone de conexão para disparar o link VPN.
Após o túnel ser estabelecido com sucesso, a barra de status do servidor exibirá as informações correspondentes do túnel, incluindo Bytes de TX, Bytes de RX, Pacotes de TX, Pacotes de RX e Último Handshake (Last Handshake).
Configuração de VPN Wireguard Site-a-Site via Controlador Omada
A VPN Wireguard pode ser usada em cenários site-a-site entre dois roteadores. É adequada para situações como acesso mútuo entre dispositivos na LAN em ambas as pontas do roteador. Siga as etapas abaixo:
Passo 1. Configure o Servidor Wireguard
Vá para Configurações > VPN > Wireguard e clique em Criar Novo Wireguard (Create New Wireguard) para configurar a interface Wireguard. Especifique o Nome (Name) e deixe o MTU e a Porta de Escuta (Listen Port) como padrão se não houver requisitos especiais, o mesmo vale para a Chave Privada (Private Key) e Chave Pública (Public Key). Preencha o IP virtual da interface Wireguard no Endereço IP Local (Local IP Address), que deve ser um IP não utilizado ou um IP fora do segmento da LAN. Em seguida, clique em Aplicar (Apply) e copie a Chave Pública (Public Key).
Passo 2. Configure o Cliente Wireguard
A configuração da interface Wireguard no cliente é a mesma que no servidor. Consulte o Passo 1.
Passo 3. Configure
Vá para Configurações > VPN > Wireguard, entre na seção Peers (Pares) e clique em Criar Novo Peer (Create New Peer) para iniciar a configuração. Selecione a interface configurada no Passo 1; preencha a Chave Pública da interface Wireguard no cliente na Chave Pública (Public Key); deixe o Endpoint e a Porta do Endpoint (Endpoint Port) em branco; preencha o segmento de rede que precisa de comunicação VPN, ou seja, o segmento LAN no cliente, em Endereço Permitido (Allowed Address). Em seguida, clique em Aplicar (Apply).
Passo 4. Configure o Peer (Par) do Cliente
Comparado com a configuração do par do servidor no Passo 3, a configuração do par do cliente é ligeiramente diferente: para Chave Pública (Public Key), preencha com a Chave Pública da interface Wireguard no servidor; para Endpoint e Porta do Endpoint (Endpoint Port), preencha com o IP WAN do roteador par e a porta da interface Wireguard (o padrão é 51820). No cenário site-a-site, se as WANs de ambos os roteadores usarem endereços IP públicos, então o Endpoint e a Porta do Endpoint são necessários apenas em uma das pontas; ou seja, uma ponta precisa iniciar a conexão ativamente. Observe que, se um roteador estiver localizado atrás de NAT, esse roteador deverá atuar como o Cliente.
Passo 5. Verifique o Status
O túnel VPN será estabelecido quando ambos os pares estiverem configurados. Vá para Insight > Status da VPN > VPN Wireguard, e você poderá ver as informações do túnel correspondente exibidas, incluindo Estatísticas e Último Handshake (Last Handshake).
Configuração de VPN Wireguard Cliente-a-Site via Controlador Omada
A VPN Wireguard também pode ser usada em cenários cliente-a-site entre clientes e roteadores. É adequada para viajantes de negócios ou funcionários temporários que trabalham remotamente da sede via celulares ou computadores. Tomando o cliente VPN Omada como exemplo, você pode seguir os passos abaixo para configurar a VPN Wireguard Cliente-a-Site.
Passo 1. Configure o Servidor Wireguard
Vá para Configurações > VPN > Wireguard e clique em Criar Novo Wireguard (Create New Wireguard) para configurar a interface Wireguard: especifique o Nome (Name) e deixe o MTU e a Porta de Escuta (Listen Port) como padrão se não houver requisitos especiais, o mesmo vale para a Chave Privada (Private Key) e Chave Pública (Public Key). Preencha o IP virtual da interface Wireguard no Endereço IP Local (Local IP Address), que deve ser um IP não utilizado ou um IP fora do segmento da LAN. Em seguida, clique em Aplicar (Apply) e copie a Chave Pública (Public Key).
Passo 2. Configure o cliente VPN Omada
Baixe o cliente VPN Omada para o seu PC no site oficial da TP-Link. Clique no link Download para ER7206 | TP-Link como exemplo. Em seguida, inicie o cliente e clique em Adicionar (Add).
Informações do Servidor:
Tipo: Wireguard VPN; IP: o IP WAN do roteador par, Porta: 51820 (preencha o número da porta se não for o valor padrão); Chave Pública (Public Key): Chave Pública copiada no Passo 1.
Propriedade de IP:
Endereço IP é o endereço IP da interface. Para evitar conflitos de IP, recomenda-se que o endereço IP não seja usado no mesmo segmento de rede que o DHCP.
Clique em Gerar (Generate) para gerar a Chave Pública do cliente e copie esta Chave Pública. Para DNS, preencha 8.8.8.8 ou um DNS específico.
Na seção Opções Avançadas (Advanced Options), o Tráfego VPN Completo (Full VPN Traffic) está ativado por padrão, indicando que todo o tráfego do cliente é encaminhado através do túnel VPN, que é o cenário mais comum. Se necessário, você pode desativar o Tráfego VPN Completo e preencher os recursos de IP da LAN que precisam ser acessados em Sub-redes Remotas (Remote Subnets). Em seguida, clique em Confirmar (Confirm).
Passo 3. Configure o Peer (Par) do Servidor
Vá para Configurações > VPN > Wireguard, entre na seção Peers (Pares) e clique em Criar Novo Peer (Create New Peer) para iniciar a configuração. Selecione a interface configurada no Passo 1; preencha a Chave Pública da interface Wireguard no cliente na Chave Pública (Public Key); deixe o Endpoint e a Porta do Endpoint (Endpoint Port) em branco; preencha o endereço IP da interface do Cliente VPN no Passo 2 em Endereço Permitido (Allowed Address). Em seguida, clique em OK.
Passo 4. Verifique o Status
Clique no ícone de conexão para disparar o link VPN.
Após o túnel ser estabelecido com sucesso, as informações correspondentes do túnel, incluindo Estatísticas e Último Handshake (Last Handshake), serão exibidas em Insight > Status da VPN > VPN Wireguard.
Conclusão
Agora você configurou a VPN Wireguard no gateway Omada. Aproveite sua rede!
Para obter mais detalhes sobre cada função e configuração, por favor, vá para a Central de Download para baixar o manual do seu produto.
FAQ
1. Como verifico se um túnel foi estabelecido com sucesso?
R. Na interface web em modo autônomo, a barra de status registrará o tráfego de upload e download em tempo real e o último handshake; na interface de gerenciamento do controlador, você pode ir para Insight > Status da VPN > VPN Wireguard para visualizar o tráfego de upload e download em tempo real e o último handshake. Tanto o tráfego de upload e download quanto o tempo de handshake atualizado indicam sucesso.
2. Por que a comunicação falha mesmo se o túnel tiver sido estabelecido com sucesso?
R. Este problema pode ser causado por uma configuração incorreta do Endereço Permitido (Allowed Address). O Endereço Permitido indica o intervalo de endereços que precisa passar pelo túnel, portanto, certifique-se de que o endereço de destino da comunicação do par esteja incluído no segmento de rede do Endereço Permitido. Além disso, quando o Endereço Permitido é configurado como 0.0.0.0/0, ou seja, todo o tráfego é permitido entrar no túnel, o IP de origem durante a comunicação do túnel será convertido para o Endereço IP Local que você configurou, portanto, certifique-se de que o Endereço IP Local esteja dentro do Endereço Permitido da VPN Wireguard do par.
3. VPNs de diferentes tipos podem ser criadas simultaneamente?
R. Sim. A premissa é garantir que as rotas de todas as VPNs (Endereço Permitido no Wireguard) sejam diferentes, para que o tráfego com o endereço de destino correspondente possa entrar no túnel VPN correspondente.
Documentos relacionados
Visão geral da VPN do Controller v6.2
03-10-202612250