У меня нет опыта работы с OpenVPN, но с простой настройкой wireguard у вас может быть один сервер wireguard, который может разрешить доступ к любому количеству частных подсетей.
В этом примере 10.хх.хх.х мои частные подсети, и 192.168.xx моя сеть wireguard.
- Выберите или настройте выделенную машину в качестве сервера wireguard и настройте базовую конфигурацию. Например. серверная часть
[Интерфейс]
Адрес = 192.168.200.1
Приватный ключ = ...
Порт прослушивания = 51820
[Первый] # Энес домашний компьютер
Публичный ключ = ...
Разрешенные IP-адреса = 192.168.200.2
и клиентская сторона
[Интерфейс]
Приватный ключ = ...
Адрес = 192.168.200.2
Порт прослушивания = 51820
[Вглядеться]
Публичный ключ = ...
Конечная точка = ваш.wg.server
AllowedIPs = 192.168.200.1/32, 10.0.0.0/8 # Мы можем маршрутизировать все, что захотим!
- Настройте сервер wireguard, чтобы разрешить переадресацию IP, например. системные настройки:
sysctl -w net.ipv4.ip_forward=1
sysctl -w net.ipv6.conf.all.forwarding=1
- Настройте сервер wireguard, чтобы разрешить маскировку, например. с firewalld, пользовательское правило для зоны, где находится интерфейс wireguard (например, внутренний)
firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.211.0/24" masquerade' --постоянный
брандмауэр-cmd --перезагрузить
И это должно быть так. Использовать вес чтобы убедиться, что wireguard работает, и вы сможете пропинговать любой 10.х.х.х адрес, который может использовать сервер wireguard.
Я запускаю эту настройку с одной виртуальной машиной сервера wireguard против десятков частных подсетей с сотнями машин.
