Meu usuário ISP CGNAT e eu não temos um endereço IP estático, mas quero me conectar à minha sub-rede AWS. Tentei criar uma VM para um servidor OpenVPN, mas dessa forma só consigo me conectar à VM do servidor, a menos que configure em todas as outras VMs. Como posso me conectar à minha sub-rede sem um endereço IP estático?
Responder1
Não tenho experiência com OpenVPN, mas, com uma configuração simples de wireguard, você pode ter um único servidor wireguard que pode permitir acesso a qualquer número de sub-redes privadas.
Neste exemplo, 10.xx.xx.xsão minhas sub-redes privadas e 192.168.x.xminha rede wireguard.
- Escolha ou configure uma máquina dedicada como servidor wireguard e defina uma configuração básica. Por exemplo, lado do servidor
[Interface]
Address = 192.168.200.1
PrivateKey = ...
ListenPort = 51820
[Peer] # Enes home computer
PublicKey = ...
AllowedIPs = 192.168.200.2
e lado do cliente
[Interface]
PrivateKey = ...
Address = 192.168.200.2
ListenPort = 51820
[Peer]
PublicKey = ...
Endpoint = your.wg.server
AllowedIPs = 192.168.200.1/32, 10.0.0.0/8 # We can route whatever we want!
- Configure o servidor wireguard para permitir o encaminhamento de IP, por exemplo, com configurações de sysctl:
sysctl -w net.ipv4.ip_forward=1
sysctl -w net.ipv6.conf.all.forwarding=1
- Configure o servidor wireguard para permitir o mascaramento, por exemplo, com firewalld, uma regra personalizada na zona onde a interface wireguard está (por exemplo, interna)
firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.211.0/24" masquerade' --permanent
firewall-cmd --reload
E deveria ser isso. Use wgpara verificar se o wireguard está funcionando e se você poderá executar ping em qualquer 10.x.x.xendereço que o servidor wireguard puder.
Eu executo essa configuração com uma única VM de servidor wireguard em dezenas de sub-redes privadas com centenas de máquinas.