WireGuard VPN Sunucu Uygulaması Aracılığıyla Ağları Bağlama Örneği
KeeneticOS 5.0 sürümünden itibaren, Keenetic router'lar, herhangi bir istemciyi kullanarak ev ağınıza güvenli uzaktan erişim için modern, yüksek performanslı bir VPN çözümü olan WireGuard VPN sunucusu uygulamasını içerir. Başka bir Keenetic router da bir VPN istemcisi olarak görev yapabilir.
Bu kılavuzda, her bir router'daki ana bilgisayarlara bir VPN tüneli aracılığıyla uzak yerel ağa erişim verilmesi gereken, iki router arasında WireGuard protokolü kullanılarak güvenli bir bağlantı kurma örneği sunacağız. Bu tür bir bağlantı aynı zamanda 'site-to-site VPN' veya 'ağdan ağa' bağlantı olarak da bilinir (örneğin, ağ altyapısını genişletmek için ofisler arası bir bağlantı).
Daha esnek WireGuard VPN yapılandırması ve ayrıca karmaşık topolojiler ve 'ağdan ağa' bağlantıları kurmak için Diğer Bağlantılar sayfasındaki ayarları kullanın. Daha fazla bilgi için İki Keenetic Yönlendirici Arasında WireGuard VPN Yapılandırma kılavuzuna bakın.
Önemli
Bir Keenetic router'ı VPN sunucusu olarak kullanmayı planlıyorsanız, öncelikle genel IP adresine sahip olduğunu doğrulamanız gerekir. KeenDNS hizmetini kullanıyorsanız, yine genel bir IP adresi gerektiren Doğrudan Erişim modunda çalıştığından emin olun. Bu koşullardan herhangi biri karşılanmazsa, bu VPN sunucusuna İnternet'ten bağlanmak imkansız olacaktır.
Bağlanan ağların adresleri farklı alt ağlara ait olmalıdır!
Bağlantı şemasına göz atalım:
İnternet erişimi için genel WAN IP adresine sahip ve üzerinde bir WireGuard VPN sunucusunun çalışacağı bir Keenetic Keenetic router bulunmaktadır. Başka bir Keenetic router, WAN arayüzünde özel aralıktan bir IP adresiyle (VPN istemcisi genel bir IP'ye de sahip olabilir) bir VPN istemcisi olarak bu sunucuya VPN bağlantısı kuracaktır. Her bir router'daki ana bilgisayarlara bir VPN tüneli aracılığıyla uzak yerel ağa erişim sağlamalıyız. Örneğimizde, bir WireGuard VPN aracılığıyla, 192.168.100.x ve 192.168.22.x olmak üzere iki yerel ağı bağlayacağız.
WireGuard VPN Sunucusunu Yapılandırma
WireGuard protokolünü kullanarak güvenli bağlantılar kurmak için WireGuard VPN Sunucusu sistem bileşenini yüklemeniz gerekir. Bunu, web arayüzünde Sistem Ayarları sayfasında, KeeneticOS ve Güncellemeler sekmesi altındaki Bileşen seçenekleri'ne tıklayarak yapabilirsiniz.
Bundan sonra, Uygulamalar sayfasında WireGuard VPN Sunucusu kutucuğu görünecektir. Ayarlara gitmek için WireGuard VPN Sunucusu bağlantısına tıklayın.
Ağ erişimi alanında, istemcilere erişim izni verilecek yerel ağ segmentini belirtin.
Sunucu IP adresi alanı, VPN sunucusunun adresini içerir. Bu, IP/alt ağ maskesi biçimindeki tünel arayüzünün dahili IP adresidir. Örneğimizde bu adres 172.16.82.1/24 şeklindedir ancak adresin router'ın kendisindeki diğer alt ağlarla çakışmaması koşuluyla özel aralıktaki herhangi bir alt ağı kullanabilirsiniz. İstemcilere aynı alt ağdan bir IP adresi atanacaktır.
İstemciler için NAT seçeneği varsayılan olarak etkindir. Bu ayar VPN istemcilerinin İnternet'e erişmesine olanak tanır.
Kuruluma devam etmek için + İstemci ekle düğmesine tıklayın.
İstemci eşleri bölümünde, Ad alanına bir ad girin ve Erişim kutusunu işaretleyin.
İzin Verilen IP'ler alanı, izin verilen alt ağların kümesini tanımlar. Bunlar, bu eşin trafik alabileceği ve gönderebileceği adres aralıklarıdır. WireGuard sunucusundan bir VPN istemcisinin arkasında bulunan bir alt ağa erişim yapılandırmanız gerekiyorsa, tünel içinde izin vermek istediğiniz İzin Verilen IP'ler alanında istemcinin alt ağını veya virgülle ayrılmış birden çok alt ağı belirtin. Örneğimizde, bu alanda uzak alt ağ 192.168.100.0/24 belirtilmiştir.
Kaydet düğmesine tıklayın.
Eşi oluşturduktan sonra, İstemci Eş Yapılandırması penceresi otomatik olarak açılacaktır. Bu pencerede, WireGuard bağlantı yapılandırma dosyasını kaydetmek için Yapılandırmayı indir düğmesine tıklayın. Daha sonra ortaya çıkan dosyayı (.conf uzantılı) VPN istemci ayarlarınıza aktarabilirsiniz.
VPN istemcisinin arkasındaki yerel ağdaki kaynakları VPN sunucusunun yerel ağındaki istemciler için erişilebilir hale getirmek için statik bir rota eklemeniz gerekir. Örneğimizde, yerel ağ 192.168.100.0/255.255.255.0 (/24), WireGuard VPN Sunucusu arayüzü üzerinden erişilebilir olacaktır.
Yönlendirme sayfasına gidin ve Kullanıcı Tanımlı Rotalar bölümünde + Oluştur düğmesine tıklayın. Görünen Statik Rota Parametreleri penceresinde, Rota türü alanında Ağa yönlendir seçeneğini seçin ve Hedef ağ adresi alanında VPN istemci tarafında bulunan ve erişim sağlamak istediğiniz uzak alt ağı belirtin. Arayüz alanında WireGuard VPN Sunucusu öğesini seçin. Statik bir rota yapılandırırken Otomatik olarak ekle seçeneğini etkinleştirmelisiniz.
VPN sunucusu kurulumu bu kadar; geriye sadece etkinleştirmek kaldı. Uygulamalar sayfasında, WireGuard VPN Sunucusu kutucuğunun altında, switch'i Açık konuma getirin.
WireGuard VPN istemcisini yapılandırma
VPN istemcisi olarak görev yapacak olan router'ın web arayüzünde, Diğer Bağlantılar sayfasına gidin ve WireGuard bölümünde, Dosyadan içe aktar düğmesine tıklayın.
Daha önce WireGuard VPN sunucusunu yapılandırırken kaydedilen .conf uzantılı dosyanın yolunu belirtin, bağlantı daha sonra bu bölümde otomatik olarak görünecektir.
Ardından, örneğimizdeki gibi bir 'ağdan-ağa' bağlantı kurmak üzere düzenlemek ve daha fazla yapılandırmak için oluşturduğunuz bağlantıya tıklayın. Bağlantı Ayarları penceresinde, IPv4 adresi alanında, alt ağ maskesini /32 yerine /24 olarak değiştirin.
Eş ayarları bölümünde, İzin verilen v4 IP'leri alanının altına, VPN sunucusunun arkasındaki uzak ağı ve tünelin uzak ucunun dahili adresini eklemeniz gerekir. Örneğimizde, uzak ağ 192.168.22.0/24 (bu ağa erişim VPN istemcisi tarafından bir tünel aracılığıyla sağlanmalıdır) ve tünelin uzak ucunun adresi 172.16.82.1/32'dir. Yapılandırmayı Kaydet.
Ardından, VPN istemci router'ında yönlendirme ve güvenlik duvarı ayarlarını yapılandırın. Oluşturduğunuz WireGuard bağlantısı için uzak ağa statik bir rota belirlemeniz ve gelen trafiğe izin vermeniz gerekir.
Uzak ağa tünel üzerinden trafik göndermek için statik bir rota eklemeniz gerekir. Yönlendirme sayfasına gidin ve Kullanıcı Tanımlı Rotalar bölümünde, + Ekle düğmesine tıklayın. Örneğimizde, görünen Statik Rota Parametreleri penceresinde, Rota türü alanında Ağa yönlendir seçeneğini seçin, Hedef ağ adresi alanında uzak alt ağ 192.168.22.0 belirtin, Arayüz alanında, önceden oluşturulmuş WireGuard bağlantısının adı olan wg-client-01'i seçin ve Otomatik olarak ekle seçeneğini etkinleştirin.
İstemcide gelen trafiğe izin vermek için Güvenlik Duvarı sayfasına gidin. WireGuard bağlantısı wg-client-01 için, IPv4 protokolü için bir izin kuralı ekleyin ve etkinleştirin.
Şimdi, VPN istemcisinde oluşturduğunuz bağlantıyı etkinleştirin. Diğer Bağlantılar sayfasına gidin ve WireGuard bölümünde, switch'i Açık konuma getirin.
Bu, VPN istemcisinin ve VPN sunucusunun yapılandırmasını tamamlar.
Bağlantıyı doğrulamak için VPN sunucusu ayarlarına gidin ve WireGuard VPN Sunucusu kutucuğunda, bağlantı durumunu ve etkin oturumlar hakkında ek bilgileri görüntülemek için Bağlantı İstatistikleri'ne tıklayın.
VPN tünelinin çalıştığını doğrulamak için, ana bilgisayarlardan veya doğrudan router'dan uzak router'a veya tünelin arkasındaki cihazlara ping atın.
Örneğin, VPN istemcisinin yerel ağındaki bir ana bilgisayardan (192.168.100.x ağından), VPN sunucusunun IP adresine (bizim durumumuzda bu 172.16.82.1) ve tünelin arkasındaki uzak ağdaki router'ın yerel IP adresine (örneğimizde bu 192.168.22.1) ping atın. Ardından, VPN sunucusunun yerel ağındaki bir ana bilgisayardan (192.168.22.x ağından), VPN istemcisinin IP adresine (bizim durumumuzda bu 172.16.82.2) ve tünelin arkasındaki uzak ağdaki router'ın yerel IP adresine (örneğimizde bu 192.168.100.1) ping atın.
VPN bağlantısını uzaktan yapılandırıyorsanız ve yerel ağ ana bilgisayarlarına erişiminiz yoksa, VPN tünelini doğrudan router'dan doğrulayabilirsiniz. Bunu yapmak için, web arayüzündeki Tanılama sayfasına gidin ve Ping aracını kullanın. Uzak router'a ve tünelin arkasında bulunan cihazlara ping atın.