Cómo configurar WireGuard VPN de sitio a sitio en el controlador Omada
Escenario de aplicación
Resumen de la configuración:
1. Configurar la interfaz WireGuard del sitio principal.
2. Configurar la interfaz WireGuard del sitio remoto.
3. Configurar la información del par en el controlador del sitio principal.
4. Configurar la información del par en el controlador del sitio remoto.
5. Verificación.
Pasos de configuración:
Paso 1. Configurar la interfaz WireGuard del sitio principal.
1. Inicie el controlador Omada SDN y seleccione un sitio en la lista desplegable de Organización. Vaya a Configuración > VPN > WireGuard.
2. Haga clic en Crear nueva WireGuard y configure los parámetros.
- Nombre: Especifique el nombre que identifica la interfaz WireGuard. (Esto no afecta el túnel VPN o el comportamiento.)
- Estado: Especifique si desea habilitar la interfaz WireGuard. (Habilite o deshabilite su túnel VPN.)
- MTU: Especifique el valor MTU de la interfaz WireGuard. Se recomienda el valor predeterminado de 1420. (Por lo general, no es necesario establecerlo y se determina automáticamente por el sistema.)
- Puerto de escucha: Especifique el número de puerto al que la interfaz WireGuard escucha. El valor predeterminado es 51820. (Por lo general, el cliente no necesita que se configure. En este ejemplo, nuestro enrutador es el servidor. Puede cambiar esto si lo necesita y sabe lo que está haciendo.)
- Dirección IP local: Especifique la dirección IP de la interfaz WireGuard. (Defina la dirección IP de la interfaz WireGuard, que debe ser una dirección IP no ocupada. Está bien configurarlo fuera de su rango de LAN existente.)
- Clave privada: Especifique la clave privada de la interfaz WireGuard. El valor se generará automáticamente en el dispositivo, y también puede modificarlo manualmente (Define la clave privada de este túnel VPN específico. Tiene que ser configurado y no se puede compartir con otros túneles.)
3. Haga clic en Aplicar. Se mostrará la entrada de VPN de WireGuard.
Paso 2. Configurar la interfaz WireGuard del sitio remoto.
1. Inicie el controlador Omada SDN y seleccione un sitio en la lista desplegable de Organización. Vaya a Configuración > VPN > WireGuard.
2. Haga clic en Crear nueva WireGuard y configure los parámetros.
- Nombre: Especifique el nombre que identifica la interfaz WireGuard. (Esto no afecta el túnel VPN o el comportamiento.)
- Estado: Especifique si desea habilitar la interfaz WireGuard. (Habilite o deshabilite su túnel VPN.)
- MTU: Especifique el valor MTU de la interfaz WireGuard. Se recomienda el valor predeterminado de 1420. (Por lo general, no es necesario establecerlo y se determina automáticamente por el sistema.)
- Puerto de escucha: Especifique el número de puerto al que la interfaz WireGuard escucha. El valor predeterminado es 51820. (Por lo general, el cliente no necesita que se configure. En este ejemplo, nuestro enrutador es el servidor. Puede cambiar esto si lo necesita y sabe lo que está haciendo.)
- Dirección IP local: Especifique la dirección IP de la interfaz WireGuard. (Defina la dirección IP de la interfaz WireGuard, que debe ser una dirección IP no ocupada. Está bien configurarlo fuera de su rango de LAN existente.)
- Clave privada: Especifique la clave privada de la interfaz WireGuard. El valor se generará automáticamente en el dispositivo, y también puede modificarlo manualmente (Define la clave privada de este túnel VPN específico. Tiene que ser configurado y no se puede compartir con otros túneles.)
3. Haga clic en Aplicar. Se mostrará la entrada de VPN de WireGuard.
Paso 3. Configurar la información del par en el controlador del sitio principal.
1. Inicie el controlador Omada SDN y seleccione un sitio en la lista desplegable de Organización. Vaya a Configuración > VPN > WireGuard > Pares.
2. Haga clic en Crear nuevo par. Configure los parámetros y haga clic en Aplicar.
- Nombre: Especifique el nombre que identifica el túnel WireGuard.
- Estado: especifique si desea habilitar la configuración de pares.
- Interfaz: Elija la interfaz WireGuard a la que pertenece el peer.
- Punto final: especifique la dirección IP del par. Este parámetro es necesario cuando el enrutador Omada se conecta activamente a otros pares WireGuard. (Si necesita especificar el servidor par, puede ingresar la dirección IP pública del servidor par. Si el HQ ha iniciado la conexión, esto puede ser opcional, como es el caso de esta guía. Si no especifica el servidor par, puede ingresar la dirección IP pública del servidor par extremo en ambos sitios, entonces no se podrá establecer la conexión).
- Puerto de punto final: especifique el número de puerto del par. Este parámetro es necesario cuando el enrutador Omada se conecta activamente a otros pares WireGuard.
- Dirección permitida: especifique el segmento de dirección que permite el paso del tráfico. (Aquí debe especificar la subred de la LAN del mismo nivel. Esto define a qué puede acceder en el sitio del mismo nivel. Si no incluye la subred, entonces no tiene acceso a ella).
- Keepalive persistente: especifique el intervalo de paquetes de keepalive del túnel. (Esto define el intervalo del paquete keepalive enviado a la dirección permitida).
- Comentario: Introduzca la descripción del par.
- Clave pública: complete la clave pública del sitio satélite par.
- Clave previamente compartida: especifique una clave compartida si es necesario.
- Paso 4. Configure la información de pares en el controlador del sitio satelital:
-
1. Launch the Omada SDN Controller, and select a site from the drop-down list of Organization. Go to Settings > VPN > WireGuard > Peers.
2. Click Create New Peer. Configure the parameters and click Apply.
- Name: Specify the name that identifies the WireGuard tunnel.
- Status: Specify whether to enable the peer setting.
- Interface: Choose the WireGuard interface to which the peer belongs.
- Endpoint: Specify the IP address of the peer. This parameter is required when the Omada Router actively connects to other WireGuard peers. (If you need to specify the peer server, you can put the public IP address of the peer server. If the HQ has initiated the connection, this can be optional, which is the case in this guide. If you don't specify the Endpoint on both sites, then the connection cannot be made.)
- Endpoint Port: Specify the port number of the peer. This parameter is required when the Omada Router actively connects to other WireGuard peers.
- Allowed Address: Specify the address segment that allows traffic to pass through. (Here you should specify the subnet of the peer LAN. This defines what you are allowed to access on the peer site. If you do not include the subnet, then you don't have access to it.)
- Persistent Keepalive: Specify the tunnel keepalive packet interval. (This defines the interval of the keepalive packet sent to the Allowed Address.)
- Comment: Enter the description of the peer.
- Public Key: Fill in the public key of the peer HQ site.
- Preshared Key: Specify a shared key if needed.
-
Verification:
1. Verify the HQ site has access to the Satellite site.
Use a computer from the HQ to ping the Satellite gateway and PC.
Use a computer from the HQ to access the file server located on the Satellite site. Files can be uploaded or downloaded without any problems.
2. Verify the Satellite site has access to the HQ site.
Use a computer from the Satellite site to ping the HQ gateway.