應用場景
設定概述:
1. 設定總部(HQ)站點 WireGuard 介面
2. 設定分點(Satellite)站點 WireGuard 介面
3. 在總部站點控制器上設定對端連線資訊
4. 在分點站點控制器上設定對端連線資訊
5. 驗證
設定步驟:
步驟 1. 設定總部站點 WireGuard 介面:
1. 啟動 Omada SDN 控制器,然後從上方 組織 下拉選單中選擇站點。前往 設定 > VPN > WireGuard。
2. 點選「新增 WireGuard」並設定參數。
- 名稱:指定辨識用 WireGuard 介面的名稱。(這不會影響 VPN 通道以及其行為。)
- 狀態:指定是否啟用 WireGuard 介面。(啟用或停用您的 VPN 通道。)
- MTU:指定 WireGuard 介面的 MTU 值。建議使用預設值 1420。(一般情況下不需要設定,一般由系統自動決定。)
- Listen Port:設定 WireGuard 介面監聽的埠號。預設值為 51820。(通常,用戶端不需要設定此項。在本案例中,我們的路由器是伺服器。如果需要,您可以變更此項,並且您知道自己的需求進行操作。)
- 本地 IP 位址:指定 WireGuard 介面的 IP 位址。(設定 WireGuard 介面的 IP 位址,應為一個 尚未使用的 IP 位址。可以設定為您現有的區域網路範圍外的。)
- Private Key:指定 WireGuard 介面的 Private Key。該值會在設備上自動產生,您也可以手動修改(定義該特定 VPN 通道的 Private Key。它必須被設定並且不能與其他通道共用。)
3. 點擊 套用。將會顯示出 WireGuard VPN 項目。
步驟 2. 設定分點站點 WireGuard 介面:
1. 啟動 Omada SDN 控制器,然後從頁面上方 組織 下拉選單中選擇站點。前往 設定 > VPN > WireGuard。
2. 點選「新增 WireGuard」並設定參數。
- 名稱:指定辨識用 WireGuard 介面的名稱。(這不會影響 VPN 通道以及其行為。)
- 狀態:指定是否啟用 WireGuard 介面。(啟用或停用您的 VPN 通道。)
- MTU:指定 WireGuard 介面的 MTU 值。建議使用預設值 1420。(一般情況下不需要設定,一般由系統自動決定。)
- Listen Port:設定 WireGuard 介面監聽的埠號。預設值為 51820。(通常,用戶端不需要設定此項。在本案例中,我們的路由器是伺服器。如果需要,您可以變更此項,並且您知道自己的需求進行操作。)
- 本地 IP 位址:指定 WireGuard 介面的 IP 位址。(設定 WireGuard 介面的 IP 位址,應為一個 尚未使用的 IP 位址。可以設定為您現有的區域網路範圍外的。)
- Private Key:指定 WireGuard 介面的 Private Key。該值會在設備上自動產生,您也可以手動修改(定義該特定 VPN 通道的 Private Key。它必須被設定並且不能與其他通道共用。)
3. 點擊 套用。將會顯示出 WireGuard VPN 項目。
步驟 3. 在總部站點控制器上設定對端連線資訊:
1. 啟動 Omada SDN 控制器,然後從頁面上方 組織 下拉選單中選擇站點。前往 設定 > VPN > WireGuard > 網路成員。
2. 點擊 新增成員。設定參數並點擊 套用。
- 名稱:指定辨識 WireGuard 通道的名稱。
- 狀態:指定是否啟用該成員設定。
- 介面:選擇成員所屬的 WireGuard 介面。
- Endpoint:指定對端的 IP 位址。當 Omada 路由器主動連接到其他 WireGuard 對端時,需要此參數。(如果需要指定對端伺服器,可以輸入對端伺服器的公用 IP 位址。如果總部站點已發起連線,則分點站點這是可選擇性填寫的,本指南中就是這種情況。如果您未在兩個站點上指定 Endpoint,則無法建立連線。
- 終端埠:指定對端的通訊埠號。當 Omada 路由器主動連接到其他 WireGuard 對端時,需要此參數。
- Allowed Address:指定允許流量通過的地址範圍。(在這裡您應該指定網路成員 LAN 的子網路。這定義了您可以在網路成員上的站點上被允許存取的內容。如果沒有定義子網路,則您將無權存取它。)
- Persistent Keepalive:指定通道活動 keepalive 封包的間隔時間。(這個是定義了傳送到被允許位址的 keepalive 封包的間隔時間。)
- 說明:輸入成員的描述。
- Public Key:填寫對端 分點站點 的公鑰。
- Preshared Key:如果需要,請指定一個共用金鑰。
步驟 4. 在分點站點控制器上設定對端連線資訊:
1. 啟動 Omada SDN 控制器,然後從上方 組織 下拉選單中選擇站點。前往 設定 > VPN > WireGuard > 網路成員。
2. 點擊 新增成員。設定參數並點擊 套用。
- 名稱:指定辨識 WireGuard 通道的名稱
- 狀態:指定是否啟用該成員設定。
- 介面:選擇成員所屬的 WireGuard 介面。
- Endpoint:指定對端的 IP 位址。當 Omada 路由器主動連接到其他 WireGuard 對端時,需要此參數。(如果需要指定對端伺服器,可以輸入對端伺服器的公用 IP 位址。如果總部站點已發起連線,則分點站點這是可選擇性填寫的,本指南中就是這種情況。如果您未在兩個站點上指定 Endpoint,則無法建立連線。
- 終端埠:指定對端的通訊埠號。當 Omada 路由器主動連接到其他 WireGuard 對端時,需要此參數。
- Allowed Address:指定允許流量通過的地址範圍。(在這裡您應該指定網路成員 LAN 的子網路。這定義了您可以在網路成員上的站點上被允許存取的內容。如果沒有定義子網路,則您將無權存取它。)
- Persistent Keepalive:指定通道活動 keepalive 封包的間隔時間。(這個是定義了傳送到被允許位址的 keepalive 封包的間隔時間。)
- 說明:輸入成員的描述。
- Public Key:填寫對應 總部站點 的公鑰。
- Preshared Key:如果需要,請指定一個共用金鑰。
驗證:
1. 驗證總部站點是否可以存取分點站點。
使用總部的電腦對分點閘道和 PC 執行 Ping 動作。
使用總部的電腦存取位於分點站點上的文件伺服器。文件可以毫無問題地上傳或下載。
2. 驗證分點站點是否可以存取總部站點。
使用分點站點的電腦對總部閘道執行 Ping 動作。