Привет. Работаю в компании, которая не хочет сдавать в ркн свои ipsec туннели между серверами. Соответственно, я ищу вариант как можно объединить сервера на разных площадках в единую сеть, замаскированную от зоркого глаза ркн.
Сейчас пробую overlay сеть на nebula. Выглядит интересно и админится удобно, но тспу шейпит/блокирует его на одном из ДЦ. Думаю завернуть небулу из этого ДЦ в cloak.
Собственно, вопрос в том, какие есть ещё варианты для корпоративного использования? Трафик предполагается гонять разнообразный, но в основном не http - это трафик баз (postgresql, mongodb), брокеров очередей (rabbitmq, nats), ssh, специфические самопальные бинарные протоколы и т.п.
Наверное, это прозвучит банально, но есть Cloudflare Tunnel (cloudflared), который решает эту задачу именно между офисами. Да, Cloudflare того и гляди прихлопнут, но не прихлопывают прежде всего потому, что никто не может такое предложить бесплатно, а CF может. Да и решения на базе Wireguard никто не отменял, но не простого WG, который то включают, то выключают заплечных дел мастера, а модификаций вроде AmneziaWG, которая путем обфускации пакетов со стороны клиента позволяет подключаться к стандартным Wireguard-серверам. Принцип peer-to-peer здесь реализован во всем блеске. Хочешь point-to-point, хочешь hub and spoke, хочешь ste-to-site - пожалуйста. Без центров сертификации и всей сложной инфраструктуры вокруг этого.
У меня пока не получилось испробовать AWG под Линукс, там весьма непростая сборка, но думаю, истинным линуксоидам это не составит труда. Под Windows отлично работает фименный клиент AWG, есть и альтернативный клиент Wiresock. но там не только клиент, там и Gateway для Wndows, позволяющий реализовать сервер WG. Возможно, это именно то, что Вы ищете.
амнезиявг живет чисто из-за junk packets, без них уже в блоке давно, “обфускация” там очень очень слабая.
@hola а вообще я не понял где находятся серверы, если они все в рф то и сдавать их никуда не нужно, и блокировок между ними быть не должно, а если в европе, то основной сервер можно сделать в рф и подключения к нему блочиться не будут
WireGuard в Москве блокируют как-то непостоянно. Весь февраль и март прекрасно работал чистый WG где угодно при соединении с cf warp. Теперь заблокировали так, что даже к собственным серверам WG в Москве не подключишься. Так что рассчитывать на это не стоит.
Обфускация какая ни есть, слабая или неслабая, но она работает.
По поводу использования amneziawg-linux-kernel-module - я делал ровно то, что написано на сайте в github. То есть под Fedora 41 дал две команды, они отработались без ошибок. Но не работает, не находит драйвера в ядре. Значит недостаточно двух строк? Почему ничего не сказано по этому поводу на сайте?
С dkms какие-то траблы, его нет в федоре. Вот по этой инструкции
mkdir /tmp/x
cd /tmp/x
git clone --depth 1 https://github.com/amnezia-vpn/amneziawg-linux-kernel-module
apt-get update
apt-get source linux-image-unsigned-6.8.0-47-generic
cd amneziawg-linux-kernel-module/src
ln -s /tmp/x/linux-6.8.0 kernel
make
strip --strip-debug amneziawg.ko
ls -l amneziawg.ko
если делать, amneziawg.ko надо скопировать в /lib/modules/6.8.0-47-generic/kernel/net/wireguard/amneziawg.ko
Потом выполнить:
sudo depmod -a
sudo modprobe --force amneziawg
но при обновлении ядра надо или повторять эту процедуру, или копировать предыдущий amneziawg.ko в папку с новым ядром и выполнять sudo modprobe --force amneziawg или настраивать dkms, но тут я не подскажу.
Вообще, я тоже помучился в своё время. Тут получается, если ядро обновляете, добавляется лишняя головная боль. А пересборка амнезии, даже если будет выполняться автоматически при обновлении, это не так-то быстро. Т.к. распакованные исходники ядра весят под 1,5 ГБ.
я не очень понимаю, что значит dkms нет в федоре.
В тех двух строках, что указаны на гитхабе, первая присоединяет репозиторий copr, а вторая добавляет вот такие две вещи:
sudo dnf install amneziawg-dkms amneziawg-tools
И то, и другое отрабатывается. В разделе Issues гитхаба я нашел ветку, в которой как раз описываются симптомы нерабочего состояния. По команде dkms status моя федора говорит:
amneziawg/1.0.20241112: added
На uname -r говорит:
6.11.4-301.fc41.x86_64
А на ls -l /usr/src/linux-headers-* выдает пустоту. Явно инструкция на гитхабе чего-то не договаривает.
Странно, интересная, важная вещь - и в таком захолустном состоянии. Неужто трудно собрать этот драйвер под x86_64 и положить в релизы? Или надо прям во чтобы то ни стало собирать “самолет возле летного поля”?
вот нашел продолжение уже про федору. Даже собрался модуль amneziawg.ko.xz, я скопировал его в соответствующие папки /lib/modules/…/net/wireguard. Команду sudo depmod -a федора съела, а вторую команду отвергла, но awg-quick up заработал.