如何設定 Site-to-Site WireGuard VPN(控制器模式)

Knowledgebase
Configuration Guide
03-22-2024

應用場景

 

 

設定概述:

1. 設定總部(HQ)站點 WireGuard 介面

2. 設定分點(Satellite)站點 WireGuard 介面

3. 在總部站點控制器上設定對端連線資訊

4. 在分點站點控制器上設定對端連線資訊

5. 驗證

 

設定步驟:

步驟 1. 設定總部站點 WireGuard 介面:

1. 啟動 Omada SDN 控制器,然後從上方 組織 下拉選單中選擇站點。前往 設定 > VPN > WireGuard

2. 點選「新增 WireGuard」並設定參數。

  • 名稱:指定辨識用 WireGuard 介面的名稱。(這不會影響 VPN 通道以及其行為。)
  • 狀態指定是否啟用 WireGuard 介面。(啟用或停用您的 VPN 通道。)
  • MTU指定 WireGuard 介面的 MTU 值。建議使用預設值 1420。(一般情況下不需要設定,一般由系統自動決定。)
  • Listen Port設定 WireGuard 介面監聽的埠號。預設值為 51820。(通常,用戶端不需要設定此項。在本案例中,我們的路由器是伺服器。如果需要,您可以變更此項,並且您知道自己的需求進行操作。)
  • 本地 IP 位址指定 WireGuard 介面的 IP 位址。(設定 WireGuard 介面的 IP 位址,應為一個 尚未使用的 IP 位址。可以設定為您現有的區域網路範圍外的。)
  • Private Key指定 WireGuard 介面的 Private Key。該值會在設備上自動產生,您也可以手動修改(定義該特定 VPN 通道的 Private Key。它必須被設定並且不能與其他通道共用。)

3. 點擊 套用。將會顯示出 WireGuard VPN 項目。

 

步驟 2. 設定分點站點 WireGuard 介面:

1. 啟動 Omada SDN 控制器,然後從頁面上方 組織 下拉選單中選擇站點。前往 設定 > VPN > WireGuard

2. 點選「新增 WireGuard」並設定參數。

  • 名稱:指定辨識用 WireGuard 介面的名稱。(這不會影響 VPN 通道以及其行為。)
  • 狀態指定是否啟用 WireGuard 介面。(啟用或停用您的 VPN 通道。)
  • MTU指定 WireGuard 介面的 MTU 值。建議使用預設值 1420。(一般情況下不需要設定,一般由系統自動決定。)
  • Listen Port設定 WireGuard 介面監聽的埠號。預設值為 51820。(通常,用戶端不需要設定此項。在本案例中,我們的路由器是伺服器。如果需要,您可以變更此項,並且您知道自己的需求進行操作。)
  • 本地 IP 位址指定 WireGuard 介面的 IP 位址。(設定 WireGuard 介面的 IP 位址,應為一個 尚未使用的 IP 位址。可以設定為您現有的區域網路範圍外的。)
  • Private Key指定 WireGuard 介面的 Private Key。該值會在設備上自動產生,您也可以手動修改(定義該特定 VPN 通道的 Private Key。它必須被設定並且不能與其他通道共用。)

3. 點擊 套用。將會顯示出 WireGuard VPN 項目。

 

步驟 3. 在總部站點控制器上設定對端連線資訊:

1. 啟動 Omada SDN 控制器,然後從頁面上方 組織 下拉選單中選擇站點。前往 設定 > VPN > WireGuard > 網路成員

2. 點擊 新增成員。設定參數並點擊 套用

  • 名稱:指定辨識 WireGuard 通道的名稱。
  • 狀態:指定是否啟用該成員設定。
  • 介面選擇成員所屬的 WireGuard 介面。
  • Endpoint指定對端的 IP 位址。當 Omada 路由器主動連接到其他 WireGuard 對端時,需要此參數。(如果需要指定對端伺服器,可以輸入對端伺服器的公用 IP 位址。如果總部站點已發起連線,則分點站點這是可選擇性填寫的,本指南中就是這種情況。如果您未在兩個站點上指定 Endpoint,則無法建立連線。
  • 終端指定對端的通訊埠號。當 Omada 路由器主動連接到其他 WireGuard 對端時,需要此參數。
  • Allowed Address指定允許流量通過的地址範圍。(在這裡您應該指定網路成員 LAN 的子網路。這定義了您可以在網路成員上的站點上被允許存取的內容。如果沒有定義子網路,則您將無權存取它。)
  • Persistent Keepalive指定通道活動 keepalive 封包的間隔時間。(這個是定義了傳送到被允許位址的 keepalive 封包的間隔時間。)
  • 說明輸入成員的描述。
  • Public Key填寫對端 分點站點 的公鑰。
  • Preshared Key如果需要,請指定一個共用金鑰。

 

步驟 4. 在分點站點控制器上設定對端連線資訊:

1. 啟動 Omada SDN 控制器,然後從上方 組織 下拉選單中選擇站點。前往 設定 > VPN > WireGuard > 網路成員

2. 點擊 新增成員。設定參數並點擊 套用

 

  • 名稱:指定辨識 WireGuard 通道的名稱
  • 狀態:指定是否啟用該成員設定。
  • 介面選擇成員所屬的 WireGuard 介面。
  • Endpoint指定對端的 IP 位址。當 Omada 路由器主動連接到其他 WireGuard 對端時,需要此參數。(如果需要指定對端伺服器,可以輸入對端伺服器的公用 IP 位址。如果總部站點已發起連線,則分點站點這是可選擇性填寫的,本指南中就是這種情況。如果您未在兩個站點上指定 Endpoint,則無法建立連線。
  • 終端埠指定對端的通訊埠號。當 Omada 路由器主動連接到其他 WireGuard 對端時,需要此參數。
  • Allowed Address指定允許流量通過的地址範圍。(在這裡您應該指定網路成員 LAN 的子網路。這定義了您可以在網路成員上的站點上被允許存取的內容。如果沒有定義子網路,則您將無權存取它。)
  • Persistent Keepalive指定通道活動 keepalive 封包的間隔時間。(這個是定義了傳送到被允許位址的 keepalive 封包的間隔時間。)
  • 說明輸入成員的描述。
  • Public Key:填寫對應 總部站點 的公鑰。
  • Preshared Key如果需要,請指定一個共用金鑰。

 

驗證:

1. 驗證總部站點是否可以存取分點站點。

使用總部的電腦對分點閘道和 PC 執行 Ping 動作。

使用總部的電腦存取位於分點站點上的文件伺服器。文件可以毫無問題地上傳或下載。

2. 驗證分點站點是否可以存取總部站點。

使用分點站點的電腦對總部閘道執行 Ping 動作。

Please Rate this Document

Related Documents