我有一个 Wireguard 服务器在我家庭 LAN 的树莓派上运行。我想让居住在不同国家/地区的亲戚访问我的 VPN,以便他可以自由使用被当地 ISP 阻止的互联网服务,但我不希望他访问我 LAN 上的设备。有没有办法配置 Wireguard 服务器来实现这一目标?
我的服务器配置是:
# wg0.conf
[Interface]
Address = 10.24.36.1/24
MTU = 1420
SaveConfig = true
ListenPort = 51820
PrivateKey = 111
[Peer]
PublicKey = 222
PresharedKey = 333
AllowedIPs = 10.24.36.2/32
Endpoint = 172.19.188.166:11262
[Peer]
PublicKey = 444
PresharedKey = 555
AllowedIPs = 10.24.36.3/32
Endpoint = 172.18.164.218:7833
典型的客户端配置:
[Interface]
PrivateKey = 666
Address = 10.24.36.3/24
DNS = 8.8.8.8, 8.8.4.4
[Peer]
PublicKey = 777
PresharedKey = 555
AllowedIPs = 0.0.0.0/0
Endpoint = my-ip.no-ip.com:41234
您必须更新充当wireguard 服务器的计算机上的防火墙。
假设您的亲戚拥有 IP 地址
192.168.200.2,而您的 LAN 位于192.168.0.0/24。我将按此顺序制定以下两条规则:
它的工作方式是自上而下并匹配第一个符合要求的规则。
任何不属于您的 LAN 的 IP 地址都不会被第一条规则匹配,因此被允许转发。
而您的 LAN 的任何流量都会被防火墙阻止。