Мой домашний сетевой доступ в Интернет построен на OPNSense, который обеспечивает доступ по оптоволоконным каналам. Недавно я добавил точку доступа 4G, построенную на OpenWRT, работающую на Raspberry Pi, которая является частью группы шлюзов. В случае сбоя оптоволоконной сети переключение выполняется OPNSense. Пока работает довольно хорошо. Я думаю о том, чтобы защитить доступ к моей домашней сети (входящее VPN-подключение) в случае сбоя проводной сети. Я представил себе, как использовать точку доступа 4G, чтобы включить VPN-подключение к экземпляру сервера, размещенному на внешнем сервере (любой VPS, размещенный в облаке, может справиться с этой задачей) в случае сбоя. Это позволило бы мне получить доступ к моей сети, если мой резервный канал активен. Теперь вопрос в том, как это сделать?
Как вы думаете, возможно ли установить VPN-подключение с помощью Wireguard к экземпляру сервера, размещенному на внешнем сервере, войти в этот экземпляр и получить доступ к моей локальной сети? Не уверен, что это сработает, поскольку клиент Wireguard будет находиться в моей домашней среде, тогда как серверная часть будет находиться, например, на VPS...
Пожалуйста, дайте мне знать, что вы думаете, просто думаю, как я могу это осуществить...
решение1
Да, это похоже на обычную настройку VPN "site-to-site". В общем, сервер или клиент не имеет большого значения — как только соединение установлено, пакеты могут проходить через него в любом направлении по умолчанию.
(Хотя немного помогает то, что WireGuard — это скорее «строительный блок VPN» —туннель– чем полноценный «клиентский» VPN-продукт, поэтому он полностью симметричен как с точки зрения базового протокола, который вообще не различает «клиентов» от «серверов», так и с точки зрения конфигурации, которая не навязывает никаких предопределенных ролей. В качестве другого примера, IPsec/IKEv2 использует термины «инициатор» и «ответчик», чтобы избежать ненужных последствий.
Но этобы(То же самое можно сделать, например, с OpenVPN, используя «iroute», но не так красиво; если бы мне пришлось использовать OpenVPN для туннеля типа «сеть-сеть», я бы использовал режим «tap», который по своей природе более гибок, в то время как режим по умолчанию «tun» в значительной степени ориентирован на клиента.)
Примечание: Если домашняя конечная точка WireGuard не обнаруженанаосновной шлюз (например, если вы решили настроить его на устройстве OpenWRT, а не на OpnSense), то не забудьте настроить основной шлюз OpnSense, чтобы иметьмаршрутк подсети VPN через OpenWRT, иначе ваши LAN-устройства не будут знать, как отправлять пакеты обратно в VPS. Хотя это не относится к VPN.