私の自宅ネットワークのインターネット アクセスは、ファイバー チャネル経由のアクセスを提供する OPNSense 上に構築されています。最近、ゲートウェイ グループの一部である Raspberry Pi で実行されている OpenWRT 上に構築された 4G アクセス ポイントを追加しました。ファイバー ネットワークに障害が発生した場合、切り替えは OPNSense によって行われます。これまでのところ、かなりうまく機能しています。有線ネットワークに障害が発生した場合に備えて、自宅ネットワーク (着信 VPN 接続) へのアクセスを保護することを考えています。障害が発生した場合に、4G アクセス ポイントを使用して、外部でホストされているサーバー インスタンス (クラウドでホストされている VPS であればどれでも実行できます) への VPN 接続を有効にすることを想像しています。これにより、バックアップ リンクがアクティブな場合にネットワークにアクセスできます。ここでの疑問は、それをどのように行うかです。
Wireguard を使用して、外部でホストされているサーバー インスタンスへの VPN 接続を確立し、このインスタンスにログオンして、自分の LAN にアクセスできると思いますか? Wireguard クライアントは自宅の環境にあり、サーバー側は VPS などにあるため、これが機能するかどうかはわかりません...
どうしたらそれを管理できるか考えてみましたので、ご意見をお聞かせください...
答え1
はい、それは通常の「サイト間」VPN 設定のようです。一般的に、サーバーとクライアントの違いはほとんどありません。リンクが確立されると、パケットはデフォルトでどちらの方向にも通過できます。
(WireGuardは「VPNの構成要素」という側面が少しはありますが、トンネル– 完全な「クライアント」VPN 製品よりも優れているため、「クライアント」と「サーバー」をまったく区別しない基盤プロトコルの点でも、事前定義されたロールを課さない構成の点でも、完全に対称です。別の例として、IPsec/IKEv2 では、不要な影響を避けるために「イニシエーター」と「レスポンダー」という用語を使用します。
しかし、だろうたとえば OpenVPN で 'iroute' を使用して同じことを行うことは可能ですが、それほどきれいではありません。サイト間トンネルに OpenVPN を使用する必要がある場合は、より柔軟な 'tap' モードを使用しますが、デフォルトの 'tun' モードはクライアント指向が強いです。
注: ホームWireGuardエンドポイントが見つからない場合の上メインゲートウェイ(例えば、OpenWRTデバイス上で設定し、OpnSense上で設定しない場合)の場合は、メインのOpnSenseゲートウェイを設定することを忘れないでください。ルートOpenWRT 経由で VPN サブネットに向けて送信します。そうしないと、LAN デバイスはパケットを VPS に送り返す方法を認識できません。ただし、これは VPN に固有のものではありません。