Подробное руководство по настройке безопасных Wireguard туннелей между клиентом и сервером «Икс Интернет Контроль» для защиты трафика. Рассматривается интеграция клиента Wireguard VPN с межсетевым экраном (firewall) для построения комплексной системы информационной безопасности.

Практически для любой современной компании требуется возможность удаленного подключения к офисной сети, поэтому в данном видео разберемся с возможностями организации безопасного удаленного доступа сотрудников. Так как речь идет о безопасном соединении, значит это подключение через VPN к вашей офисной сети.

Для этого переходим в (Сети \ Провайдеры и сети \ Добавить \ Сети \ Wireguard-сеть \ Название: Wireguard-сеть \ Локальный IP-адрес: 10.0.0.1, так как мы создаем другую сеть, тут указываем IP-адрес сетевого подключения на сервере ИКС и адрес порта, через который мы сможем подключаться к данной сети. Использовать лучше адрес по умолчанию 10.0.0.1, чтобы не было пересечений с вашей локальной сетью. Если локальная сеть и сеть Wireguard будут иметь одну адресацию, то у вас ничего работать не будет \ Порт: 446, это порт на котором работает Wireguard VPN \ Диапазон IP-адресов: 10.0.0.100-10.0.0.200 \ Разрешенные сети: Локалка 192.168.0.50\24, это сеть, в которую будет разрешен доступ из Wireguard сети \ Добавить)

В общем суть такая, мы с удаленного компьютера подключаемся к сети Wireguard, а из сети Wireguard получаем доступ к локальной сети компании.

После создания Wireguard сети у нас формируется публичный ключ для этой сети, теперь нам нужно скачать конфигурационный файл, который мы будем использовать на клиентских компьютерах для настройки программы по подключению к Wireguard-сети. Но, кнопка «Скачать конфигурационные файлы» у нас не доступна, чтобы она стала доступна, нужно хотя бы одному пользователю предоставить доступ к Wireguard сети (VPN \ Пользователи \ STATION-3-11 \ Wireguard-доступ \ Wireguard-сеть (10.0.0.1) \ ОК \ Сохранить \ Провайдеры и сети \ Wireguard-сеть (10.0.0.1) \ Скачать конфигурационный файл \ Адрес сервера)

А вот это, самый интересный вопрос! Какой адрес сервера выбрать? И конкретно в моей ситуации, ни один из адресов не подходит и вот почему.

Во-первых, вам обязательно нужен внешний IP-адрес в компании, чтобы подключаться к офису удаленно.

Во-вторых, может сложиться две ситуации при подключении вашего офиса к сети интернет:

1) Статика в сервер - когда сетевой кабель от провайдера заходит непосредственно в ваше оборудование, в нашей ситуации, это прям в сервер Интернет Контроль Сервера

2) Статика в коммутатор - когда сетевой кабель от провайдера заходит в какое-то промежуточное сетевое оборудование, а потом в сервер ИКС.

Так что же делать, как нам добраться до сервера ИКС через промежуточное сетевое оборудование? А в этом поможет проброс портов.

Для этого необходимо настроить на сетевом оборудовании правило, по которому все запросы, предназначенные для порта 446, отправлялись на сетевой адрес 192.168.2.3 и порт 446.

Я показываю именно этот пример, так как именно такую схему я буду реализовывать на практике. Специально для демонстрации решения данной задачи, я сделал себе статический IP адрес на роутере Yota и, следовательно, настройки внешней сети у меня изменились. Поэтому давайте пропишем данные нового оборудования в настройках ИКС-а (Сеть \ Провайдеры и сети \ Интернет, шлюз не пингуется, так как у меня сейчас другой диапазон адресов на нем настроен \ Редактировать \ IP адрес: 192.168.2.3/24 \ Основной шлюз: 192.168.2.1 \ DNS: 192.168.2.1 \ Сохранить)

Проверим идет ли подключение через новое оборудование (Сеть \ Сетевые утилиты \ Запустить \ Пинг идет, а значит выход в интернет через оборудование с внешним IP адресом у нас выполняется успешно)

Как я и сказал, у меня стоит роутер от Yota, поэтому я буду демонстрировать настройку проброса порта на его примере (http://192.168.2.1/html/home.html \ Настройки \ Безопасность \ Проброс портов \ Добавить \ Имя: Wireguard \ Порт WAN: 446, какой внешний порт пробрасывать \ P-адрес LAN: 192.168.2.3, на какой адрес в локальной сети пробрасывать \ Порт LAN: 446, на какой порт \ Протокол: TCP/UDP \ Статус: Вкл. \ Опции: ОК \ Применить)

Мы остановились на адресе сервера, для конфигурации клиентов Wireguard, так что продолжим (Провайдеры и сети \ Wireguard-сеть \ Скачать конфигурационные файлы \ Адрес сервера: 188.162.165.21, но это у меня, вы вводите свой внешний IP-адрес \ ОК)

У нас появился архив с конфигурационным файлом wireguard-configs.tar.gz который понадобится при настройке. Но, еще нам понадобится сама программа клиент, скачать которую можно по данной ссылке - https://www.wireguard.com/install/

Заходим на компьютер, на котором нужно настроить подключение к офисной сети, скачиваем - https://www.wireguard.com/install/ \ Installation \ Download Windows Installerи устанавливаем программу клиент, так же указываем файл конфигурации (wireguard-installer.exe \ Скопировать файл конфигурации на рабочий компьютер \ Разархивировать файл конфигурации \ Скопировать на удаленный компьютер \ Импорт туннелей из файла \ C:\Users\Люблюшка\Downloads\wireguard-configs\wireguard-configs\STATION-3-11\ics_wireguard.conf \ Открыть \ Подключить \ Туннель подключен \ Журнал, видим, что ошибок нет и мы действительно подключились к Wireguard-сети)

Попробуем пропинговать машины из нашей офисной сети, допустим адрес сервера 192.168.0.1 и машины на Windows 11 192.168.0.11. Однако, пинги не проходит. ПОЧЕМУ?

Все дело в том, что, когда мы пытаемся получить доступ к сети 192.168.0 мы это делаем из сети Wireguard 10.0.0, а эта сеть не является доверенной, для машин в сети 192.168.0. Поэтому, давайте сделаем следующее, мы будем прогонять трафик через адрес 192.168.0.50, так как он находятся в той же сети и является доверенным для наших офисных машин.

А поможет в этом технология NAT (Сеть \ Межсетевой экран \ NAT \ Добавить \ Название: NAT_Wireguard \ Протокол: Любой \ Интерфейс: 192.168.0.50/24 \ Источник: 10.0.0.0/24, т.е. от куда будет выполнять преобразование адресов \ Порт источника: Любой \ Назначение: 192.168.0.0/24, т.е. сеть назначения \ Порт назначения: Любой \ Преобразовывать в: Адрес 192.168.0.50)

Т.е. у нас будет выполняться следующее преобразование, запросы из сети 10.0.0.0 в сеть 192.168.0.0 будут преобразовываться в запросы как от адреса 192.168.0.50, т.е. адреса который является доверенным в нашей офисной сети и является локальным адресом Интернет Контроль Сервера.

Проверяем еще раз, выполняем пинг, машины пингуются пробуем зайти на какие-нибудь общедоступные ресурсы (192.168.0.1 \ Вводим имя пользователя и пароль, так как доменная сеть не знает под кем мы пытаемся подключиться к серверу \ Отлично, у нас есть доступ к файловым ресурсам офисной сети, а значит и ко всем другим ресурсам)

Чтобы посмотреть подключения через Wireguard (Сеть \ Провайдеры и сети \ Wireguard-сеть \ Пиры \ Последнее рукопожатие, когда последний раз выполнялось подключение под данным пользователем)

? Открыть доступ к курсу «Интернет Контроль Сервер» бесплатно ? https://pages.it-skills.online/videokurs-internet-kontrol-server.html

? Онлайн школа IT-Skills - https://it-skills.online
? IT-Skills в ВК - https://vk.com/it_skills_online
? IT-Skills в телеграмм - https://t.me/it_skills_online