WireGuard VPN
Konfiguracja bezpiecznego zdalnego dostępu do Twojego Rockettec Overseer za pomocą WireGuard VPN. Obsługuje wiele profili VPN i routing site-to-site.
Przegląd
WireGuard to nowoczesny protokół VPN, który zapewnia:
- Najnowocześniejszą kryptografię
- Minimalną powierzchnię ataku
- Wysoką wydajność
- Prostą konfigurację
Overseer obsługuje wiele profili VPN, umożliwiając jednoczesne połączenie z różnymi serwerami VPN lub przełączanie między konfiguracjami.
Tryby VPN
Tryb klienta
Standardowe połączenie klienta VPN ze zdalnym serwerem. Użyj tego aby:
- Uzyskać zdalny dostęp do Overseer przez VPN
- Kierować ruch Overseer przez serwer VPN
- Łączyć się z sieciami firmowymi
Tryb Site-to-Site
Dwukierunkowy routing między dwiema sieciami. Użyj tego aby:
- Połączyć dwie lokalizacje (np. dom i biuro)
- Udostępnić zasoby sieci lokalnej zdalnej lokalizacji
- Automatycznie włączyć przekazywanie IP i reguły firewall
Tworzenie profilu VPN
Krok 1: Otwórz dialog dodawania profilu
Przejdź do WireGuard w menu bocznym i kliknij Add Profile.
Krok 2: Wprowadź szczegóły profilu
| Ustawienie | Opis | Przykład |
|---|---|---|
| Profile Name | Przyjazna nazwa dla tego połączenia | Biuro VPN |
| Mode | Client lub Site-to-Site | Client |
| Server Endpoint | Adres serwera VPN i port | vpn.example.com:51820 |
| Server Public Key | Klucz publiczny serwera VPN | abc123...= |
| Client Address | Adres IP przypisany do tego urządzenia | 10.0.0.5/32 |
| Allowed IPs | Sieci kierowane przez VPN | 0.0.0.0/0 lub 10.0.0.0/24 |
| DNS (opcjonalnie) | Serwer DNS do użycia przez VPN | 1.1.1.1 |
Ustawienia Site-to-Site (jeśli dotyczy)
| Ustawienie | Opis | Przykład |
|---|---|---|
| Local Subnets | Sieci po tej stronie do udostępnienia | 192.168.1.0/24 |
| Block Incoming | Zapobiega inicjowaniu połączeń przez zdalną stronę do sieci lokalnej (bezpieczeństwo) | Enabled |
Krok 3: Skopiuj swój klucz publiczny
Po kliknięciu Create Profile pojawi się zielony baner z kluczem publicznym urządzenia:
Your Public Key
Add this public key to your WireGuard server:
┌────────────────────────────────────────────────┐
│ aB1cD2eF3gH4iJ5kL6mN7oP8qR9sT0uV1wX2yZ3A4B= │ 📋
└────────────────────────────────────────────────┘Kliknij przycisk kopiowania, aby skopiować klucz do schowka.
Krok 4: Dodaj klucz do serwera VPN
Na serwerze WireGuard (np. MikroTik, Linux, itp.) dodaj Overseer jako peer:
[Peer]
# Rockettec Overseer
PublicKey = <wklej skopiowany klucz publiczny>
AllowedIPs = 10.0.0.5/32Przykład MikroTik:
/interface wireguard peers
add interface=wg0 public-key="<wklej klucz>" allowed-address=10.0.0.5/32Zarządzanie profilami
Karty profili
Każdy profil wyświetla się jako karta pokazująca:
- Status: Połączony (zielony) lub Rozłączony (szary)
- Mode: Znacznik Client lub Site-to-Site
- Last Handshake: Czas od ostatniego udanego połączenia
- Transfer: Wysłane/odebrane dane
- Public Key: Kliknij aby skopiować (do dodania na innych serwerach)
Włącz/Wyłącz
Użyj przełącznika na każdej karcie profilu, aby włączyć lub wyłączyć połączenie VPN.
Usuń profil
Kliknij ikonę usuwania, aby usunąć profil. Zatrzymuje to VPN i usuwa całą konfigurację.
Wskaźniki statusu
| Status | Znaczenie |
|---|---|
| ● Connected | Tunel VPN jest aktywny z niedawnym handshake |
| ● Enabled | Profil jest włączony, ale brak niedawnego handshake |
| ● Disabled | Profil istnieje, ale VPN nie działa |
Szczegóły Site-to-Site
Podczas korzystania z trybu Site-to-Site, Overseer automatycznie:
- Włącza przekazywanie IP (
net.ipv4.ip_forward=1) - Konfiguruje reguły iptables FORWARD
- Opcjonalnie blokuje połączenia przychodzące do lokalnych podsieci
Możesz dostosować te ustawienia po utworzeniu profilu, klikając Site-to-Site Settings na karcie profilu.
Kwestie bezpieczeństwa
- Klucze prywatne są generowane i przechowywane bezpiecznie na urządzeniu - nigdy nie są udostępniane
- Klucze publiczne można bezpiecznie udostępniać - służą tylko do uwierzytelniania
- Używaj unikalnych profili dla różnych serwerów VPN
- Włącz Block Incoming w trybie Site-to-Site, chyba że potrzebujesz połączeń inicjowanych zdalnie
- Ogranicz Allowed IPs tylko do niezbędnych sieci
Rozwiązywanie problemów
Brak handshake
- Sprawdź, czy endpoint serwera jest osiągalny z sieci Overseer
- Sprawdź, czy port UDP (zwykle 51820) jest otwarty na serwerze
- Potwierdź, że klucz publiczny został poprawnie dodany do serwera
- Sprawdź, czy AllowedIPs serwera zawiera adres tego urządzenia
Handshake, ale brak ruchu
- Sprawdź, czy AllowedIPs po stronie klienta i serwera odpowiadają oczekiwanym trasom
- Sprawdź tablice routingu po obu stronach
- Dla Site-to-Site: upewnij się, że przekazywanie IP jest włączone po obu stronach
Połączenie spada przy przełączaniu
Jeśli jesteś połączony przez VPN, który wyłączasz, stracisz połączenie. Uzyskaj dostęp do Overseer przez sieć lokalną lub inny VPN, aby zarządzać.
Zobacz Rozwiązywanie problemów, aby uzyskać więcej rozwiązań.