這里涉及兩個地方的設置,網關路由器,這里設置了公司內部的不同網關地址,如192.268.2.1 ...
另一個涉及無線路由器,在DHCP中設置IP地址的取值范圍,網關地址,DNS服務器地址等。如 192.168.2.1 114.144.144.114 ...
有外部客戶來訪問,需要借用公司網絡上網,而該客戶可能沒有改動自己筆記本電腦IP地址的權限(只有admin權限才能改IP),這時客戶要上網,如何處理呢?
可做如下處理:
1.無線路由器設置: DHCP 中設置IP范圍,設置網關及DNS服務器
2.設置好這些參數后,客戶端連接到無線路由器后,即可自動獲取相應參數,并按相應地址范圍登錄 如192.168.2.122/255.255.255.0/192.168.2.* DNS 114.114.144.114
3.然后就可以訪問網絡了
關的網絡配置
網絡地址:192.168.1.0
網絡掩碼:255.255.255.0
可以容納的主機數
上述的地址最多能容納2^8-2=254個主機地址。
地址的范圍為:192.168.1.0~192.168.1.255
其中:192.168.1.0是網絡地址 192.168.1.255是廣播地址
主機終端可用的地址是范圍是:192.168.1.1~192.168.1.254
根據題意,應該還有54個地址可用,192.168.1.201~192.168.1.254
更進一步
如果192.168.1.0網段的地址全部用完了,可以使用超網。這里舉個例子
step1:確定子網掩碼 255.255.254.0
這樣就可以有2^9-2=510個主機地址可以使用了
step2:確定網絡地址
192.168.0.0
step3:確定主機范圍
192.168.0.1~192.168.1.254
如下圖所示,可以在某度上搜索“子網計算器”
對于子網的計算大家有更好的建議沒啊,可以在評論區留言討論,若需更多幫助,請私信關注。謝謝
般情況下,企業總部與分公司之間需要實現內網互通的話,采用站點到站點VPN(Site-to-Site VPN)性價比更高,它是一種在兩個或多個地點之間建立安全網絡連接的技術。
站點到站點VPN通常需要至少兩個固定的公網IP地址。這是因為每個要連接的站點至少需要一個唯一的公網IP地址來確保能夠在互聯網上被正確識別和訪問。
如果你只有一個固定的公網IP地址,又想實現站點到站點VPN的功能需求,可以試試以下方法。
1. 測試拓撲圖
企業總部做為VPN服務器,而各分公司做為客戶端接入:
拓撲說明:
有固定IP地址的一端做為VPN服務端,而使用動態IP地一端做為VPN客戶端;
拓撲中的VPN設備和客戶端電腦均使用Linux操作系統;
只需要配置兩端VPN設備,所有客戶端不需要任何操作。
需要注意的,整個公司的IP地址要規劃好,避免出現相同IP地址段。
2. 需求說明
總公司內網設備與分公司內網設備可以相互通信,測試環境中實現hc01與bc01可以相互訪問,以ping通算測試成功。
默認情況下,bc01只能訪問VPN服務器的公網IP地址,不能訪問總公司內網地址,如:
當分公司主機bc01訪問總公司內網IP時,數據包會丟失。
3. 環境說明
VPN服務器與VPN客戶端都使用CentOS7.6操作系統搭建;
測試用的客戶端也使用CentOS7.6,客戶端任何操作系統都可以,配置好默認網關即可。
4. 配置說明
4.1 配置VPN服務器
4.1.1 配置阿里源
在VPN服務器上配置一下阿里的源:
curl -o /etc/yum.repos.d/CentOS-Base.repo https://mirrors.aliyun.com/repo/Centos-7.repo
curl -o /etc/yum.repos.d/epel.repo https://mirrors.aliyun.com/repo/epel-7.repo4.1.2 配置轉發
在VPN設備上都需要配置
(1)修改配置文件
vi /etc/sysctl.conf#文檔末尾添加
net.ipv4.ip_forward=1(2)寫入內核
sysctl -p(3)設置IP地址偽裝(NAT),并放通UDP端口51820
systemctl start firewalld
systemctl enable firewalld
firewall-cmd --zone=public --add-masquerade --permanent
firewall-cmd --zone=public --permanent --add-port=51820/udp
firewall-cmd --reload4.1.3安裝WireGuard
使用yum命令直接安裝:
yum install elrepo-release
yum install yum-plugin-elrepo
yum install kmod-wireguard wireguard-tools注意安裝完成后需要重啟;
4.1.4 生成公私鑰
進入WireGuard配置文件目錄:
cd /etc/wireguard/創建VPN服務器的公私鑰:
wg genkey | tee privatekey-server | wg pubkey > publickey-server創建VPN客戶端的公私鑰:
wg genkey | tee privatekey-vpnc | wg pubkey > publickey-vpnc記錄好每個文件的內容:
privatekey-server:
2EwjrA7mSywY3f3jCwAN6CX9ygGGAwdhIFTXx71hiUo=publickey-server:
wy5rwNc4C0nlwgt3i57LqX4Nk+ghx8lxlqbLAM/b8Qc=privatekey-vpnc:
kA/L0GfraDk/TFI6JonVn99SAPRSDpgPtpkBnvnuMlQ=publickey-vpnc:
4CvaV/YBNsbwc6bZCqgXFbhSF0OPnXSgV1IbXxycqHE=4.1.5 創建配置文件
vi /etc/wireguard/vpnserver.conf#增加內容如下
[Interface]
# Name=vpnserver
Address=192.168.10.1/24
ListenPort=51820
PrivateKey=2EwjrA7mSywY3f3jCwAN6CX9ygGGAwdhIFTXx71hiUo=[Peer]
# Name=vpnc
PublicKey=4CvaV/YBNsbwc6bZCqgXFbhSF0OPnXSgV1IbXxycqHE=AllowedIPs=192.168.10.10/32,10.10.20.0/24注意:在服務器端配置文件中配置vpnc客戶端時,要將其內網網段也要配置上,即10.10.20.0/24。
參數說明:
[Interface]:定義當前節點的配置
# Name:這是 INI 語法中的標準注釋,用于展示該配置部分屬于哪個節點。
Address:定義當前節點應該對哪個地址范圍進行路由。如果是常規的客戶端,則將其設置為節點本身的單個 IP(使用 CIDR 指定,例如 192.168.168.1/32);如果是中繼服務器,則將其設置為可路由的子網范圍。
例如:
常規客戶端,只路由自身的流量:Address=192.168.10.1/32
中繼服務器,可以將流量轉發到其他節點(peer):Address=192.168.10.0/24
這個地址是用于組網后分配使用,不要與服務器的私網IP地址一樣。
ListenPort:當前節點是中繼服務器時,需要通過該參數指定端口來監聽,默認端口號是51820。常規客戶端不需要此選項。
PrivateKey:當前節點的私鑰,所有節點(包括中繼服務器)都必須設置。不可與其他服務器共用。
[Peer]:定義對等節點(其他節點)的配置。可以有多個。
中繼服務器必須將所有的節點(除了自身節點)定義為對等節點(peer)。其他的節點只需定義中繼服務器作為對等節點(peer)。
PublicKey:對等節點(peer)的公鑰,所有節點(包括中繼服務器)都必須設置。
AllowedIPs:如果對等節點(peer)是常規的客戶端,則將其設置為節點本身的單個 IP;如果對等節點(peer)是中繼服務器,則將其設置為可路由的子網范圍。可以指定多個 IP 或子網范圍。該字段也可以指定多次。4.1.6 啟動服務
systemctl enable wg-quick@vpnserver
systemctl start wg-quick@vpnserver4.2 配置VPN客戶端
4.2.1 配置阿里源
在VPN客戶端上配置一下阿里的源:
curl -o /etc/yum.repos.d/CentOS-Base.repo https://mirrors.aliyun.com/repo/Centos-7.repo
curl -o /etc/yum.repos.d/epel.repo https://mirrors.aliyun.com/repo/epel-7.repo4.2.2 配置轉發
在VPN設備上都需要配置
(1)修改配置文件
vi /etc/sysctl.conf#文檔末尾添加
net.ipv4.ip_forward=1(2)寫入內核
sysctl -p(3)設置IP地址偽裝(NAT),并放通UDP端口51820
systemctl start firewalld
systemctl enable firewalld
firewall-cmd --zone=public --add-masquerade --permanent
firewall-cmd --reload4.2.3安裝WireGuard
使用yum命令直接安裝:
yum install elrepo-release
yum install yum-plugin-elrepo
yum install kmod-wireguard wireguard-tools注意安裝完成后需要重啟;
4.4.4 配置文件
vi /etc/wireguard/vpnc.conf#增加內容如下
[Interface]
PrivateKey=kA/L0GfraDk/TFI6JonVn99SAPRSDpgPtpkBnvnuMlQ=Address=192.168.10.10/32
[Peer]
PublicKey=wy5rwNc4C0nlwgt3i57LqX4Nk+ghx8lxlqbLAM/b8Qc=AllowedIPs=10.10.10.0/24, 192.168.10.0/24
Endpoint=122.0.0.10:51820
PersistentKeepalive=25當然,在客戶端配置文件中也要配置服務端的內網網段,即10.10.10.0/24。
參數說明:與服務端大致相同。
4.2.5 啟動服務
systemctl enable wg-quick@vpnc
systemctl start wg-quick@vpnc5. 測試網絡
在bc01上訪問hc01:
使用ping可以正常訪問;
在hc01上訪問bc01:
同樣,也是可以正常訪問。
6. 總結
通過以上配置,如果想要實現站點到站點的功能,只有一個固定公網IP地址話,使用wireguard也是可以實現的。