LINUX.ORG.RU
ФорумAdmin

wireguard адрес по dhcp

 ,


0

3

Настраиваю wireguard в конфигурации 1 сервер - много клиентов. Типичный конфиг клиента выглядит так:

[Interface]
Address = 10.10.8.101/24 <-- тут указывается статический адрес
ListenPort = 34567
PrivateKey = some-key

[Peer]
PublicKey = some-key
AllowedIPs = 10.10.8.0/24
Endpoint = 1.2.3.4:34567
PersistentKeepalive = 25

Получается, за каждым клиентом закреплен свой отдельный IP-адрес, который будет занят, даже если клиент не в сети. Можно ли сделать что-то вроде DHCP, чтобы адреса клиентам выдавались динамически?

присоединяюсь к вопросу, тоже интересует, т.к. хотелось бы собрать такой live-образ системы (используя бутю), который загружаясь получил свой уникальный ip-адрес внутри vpn-сети.

не хотелось бы только ради одного IP на каждую железку отдельный образ таскать.

Spoofing ★★★★★
()

Разве что если ты пустишь поверх WireGuard вложенный L2-туннель.

А вообще отличный вопрос. Именно по этой причине я вообще не вижу смысла в WireGuard для подключения отдельных машин, и продолжаю сидеть на OpenVPN.

intelfx ★★★★★
()
Последнее исправление: intelfx (всего исправлений: 1)

AFAIK нет, или как минимум не сейчас. В WG, на сколько я помню, умышленно реализована только статическая адресация. Ибо kiss.

beastie ★★★★★
()
Последнее исправление: beastie (всего исправлений: 2)

Апокалипсис IT сегодня? Или это 1 апреля?)))

Anoxemian ★★★★★
()
Ответ на: комментарий от beastie

Да, после переезда на WG OpenVPN вспоминается, как страшный сон.

Хм… меня вроде устраивает OpenVPN. Спасибо покручу WG в песочнице

alex_sim ★★★★
()
Ответ на: комментарий от alex_sim

Главная фишка – абсолютная простота настройки. Немного плохо задокументированно, но если разобраться, то весь сет-ап умещается в пару строк. Статические IP по началу кажутся странностью, но потом понимаешь, насколько оно всё упрощает. Нативные клиенты есть для всего. У меня он крутится на OpenBSD, MacOS, Android, Linux. Пользуюсь им ежедневно.

beastie ★★★★★
()
Последнее исправление: beastie (всего исправлений: 1)
Ответ на: комментарий от beastie

Может кому пригодиться – сделал себе просто 2 конфига:

Один гонять весь трафик через vpn:

[Interface]
PrivateKey = hidden
Address = 172.16.100.2/32, 2001:db8::2/128
DNS = 172.16.100.1, 2001:db8::1

[Peer]
PublicKey = hidden
PresharedKey = hidden
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = 192.0.2.1:51820
PersistentKeepalive = 25

Другой гонять только нет-трафик:

[Interface]
PrivateKey = hidden
Address = 172.16.100.2/32, 2001:db8::2/128
DNS = 172.16.100.1, 2001:db8::1

[Peer]
PublicKey = hidden
PresharedKey = hidden
AllowedIPs = 172.16.100.0/24, 2001:db8::/72
Endpoint = 192.0.2.1:51820
PersistentKeepalive = 25

Переключаюсь между ними по мере надобности. Вот и все настройки.

beastie ★★★★★
()
Ответ на: комментарий от beastie

А как же всякие публичные VPN сервисы работают, которые сделаны на основе wireguard? За каждым пользователем закрепляется статический адрес? Или для каждого подключения генерируется новый конфиг с выделенным адресом? Я понимаю, когда есть единственный пользователь и 1 - 2 адреса peer-ов, которые гарантированно не пересекаются, но как быть в случае сильно многопользовательского сетапа?

Goganchic ★★
() автор топика
Последнее исправление: Goganchic (всего исправлений: 1)
Ответ на: комментарий от Goganchic



Там ставят в конфиге сервера, для конкретного клиента в секции [Peer] :


AllowedIPs = 172.16.100.111/32


тогда данный клиент не может себе назначить произвольный адрес. Если ставить /24, то он может любой назначить. И это будет хаос.

Bers666 ★★★★★
()
Ответ на: комментарий от Goganchic

Скажем так, DHCP от этого никак принципиально не отличается. Есть пул статических адресов который он распределяет. Но что мешает сделать это распределение заранее?

beastie ★★★★★
()

А нафейхуа там dhcp? Всё равно же для каждого клиента ключ генерировать?

erfea ★★★★★
()
Ответ на: комментарий от beastie

Допустим, у меня 100500 клиентов, но одновременно подключаются не больше 20. Если я заранее распределю 100500 адресов, то они у меня кончатся или придется использовать более здоровую сеть. Если же определять адрес при подключении - то такой проблемы, скорее всего, не возникнет.

Goganchic ★★
() автор топика
Ответ на: комментарий от Goganchic

Если я заранее распределю 100500 адресов

Распределяйте, вроде ничего не мешает. 10/8 16777214 адресов

anc ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.