Подключение по протоколу Wireguard VPN из macOS

Чтобы удаленно подключиться к локальной сети интернет-центра Keenetic, начиная с версии KeeneticOS 3.3 стало возможно использовать туннель Wireguard VPN.

NOTE: Важно! Если вы планируете настроить Keenetic в качестве VPN-сервера, начать необходимо с проверки того, что он имеет публичный "белый" IP-адрес, а при использовании сервиса KeenDNS, что он работает в режиме "Прямой доступ", для которого также требуется публичный IP-адрес. При несоблюдении любого из этих условий подключение к такому серверу из Интернета будет невозможно.

Сначала необходимо выполнить настройку сервера Wireguard в Keenetic, которая показана в инструкции "Настройка WireGuard VPN между двумя роутерами Keenetic", после переходите к настройке VPN-клиента.

Ниже приведем пример действий для подключения к серверу из операционной системы под управлением macOS, на примере версии macOS Catalina.

Чтобы установить соединение к Wireguard-серверу Keenetic, в компьютере на базе macOS потребуется установить программу WireGuard.

1. После установки программы и запуска, нажимаем в нижнем левом углу на стрелку вниз напротив "Add empty tunnel... [+N]".

mceclip01.png

2. Откроется окно настройки конфигурации подключения, в которой необходимо будет ввести настройки подключаемого Wireguard-клиента macOS [Interface] и удаленного Wireguard-сервера Keenetic [Peer].

mceclip5.png

NOTE: Важно! Оставляем данное окно открытым, не закрываем его.

Первоначальная настройка:

В поле "Name" указываем имя подключения "wg-client" (можно указать другое имя).

Напротив "On-Demand" выбираем сетевой интерфейс, через который будет работать Wireguard-клиент.

Настройка [Interface] клиента:

В поле "PrivateKey" интерфейса клиента указан сгенерированный программой ключ Wireguard-клиента macOS.

В поле "Addresses" интерфейса клиента указываем IP-адрес, в формате IP/bitmask — 172.16.82.10/24 (это внутренний адрес туннеля). Можно использовать другую подсеть, при этом ее следует выбрать из частного диапазона адресов и избежать наложения с другими настроенными на данных устройствах подсетями.

NOTE: Важно! Если у вас настроен "Доступ в Интернет через Wireguard-туннель", на стороне "[Interface] клиента" необходимо добавить поле "DNS=" с адресом DNS-сервера.

В нашем примере указан адрес DNS-сервера от Google 8.8.8.8:

[Interface]
PrivateKey =
Address = 172.16.82.10/24
DNS = 8.8.8.8

[Peer]
PublicKey =
AllowedIPs = 172.16.82.1/32, 192.168.22.0/24
Endpoint = enpwgwrkserver.dynns.com:16631
PersistentKeepalive = 5

Настройка [Peer] сервера:

В поле "PublicKey" вставьте публичный ключ сервера, который можно скопировать в буфер обмена компьютера из настроек Wireguard в веб-интерфейсе роутера:

wg-mac-01.png

В поле "AllowedIPs" указываем разрешенные IP-адреса, в формате IP/bitmask — 172.16.82.1/32 (это внутренний адрес сервера) и 192.168.22.0/24 (адрес локальной сети роутера Keenetic).

В поле "Endpoint" указываем публичный IP-адрес или доменное имя Wireguard-сервера, и порт прослушивания, на который будет устанавливать связь Wireguard-клиент.

В поле "PersistentKeepalive" указываем периодичность попыток проверки доступности удаленной стороны соединения. Обычно, достаточно 10-15 секундного интервала между проверками.

Нажимаем "Save". 

3. Настраиваем удаленное подключение на стороне ранее настроенного Wireguard-сервера.

Подключитесь к веб-конфигуратору роутера и перейдите в меню "Интернет" — "Другие подключения". Нажмите на ранее созданное Wireguard-подключение ("WG-S") и добавьте "Настройки пира". Нажав на "Добавить пир" откроется поле настроек пира, в котором укажите название туннеля "wg-windows-client".

В поле "Публичный ключ" вставляем ключ из пункта номер 2, который необходимо скопировать из поля "Public key" окна настроек конфигурации подключения в буфер обмена компьютера.

В поле "Разрешенные подсети" указываем адрес, трафик с которого будет допущен до сервера в формате IP/bitmask — 172.16.82.10/32

В поле "Проверка активности" необходимо указать периодичность попыток проверки доступности удаленной стороны соединения. Обычно достаточно 10-15 секундного интервала между проверками. По умолчанию значение "Проверки активности" в настройках пира Keenetic указано 30 секунд.

wg-mac-02.png

Нажмите "Сохранить".

4. Возвращаемся в настройки программы Wireguard, в списке появится настроенное подключение.

Жмем "Activate".

mceclip3.png

Если настройка выполнена правильно, напротив строки "Status" вы увидите зеленый индикатор.

mceclip4.png

Для проверки доступности сервера в терминале можно выполнить отправку ICMP-пакетов до IP-адреса.

mceclip02.png

Проверяем доступность веб-интерфейса сервера (в нашем примере это Keenetic с IP-адресом 192.168.22.1).

win-wg-13.png

Настройка завершена.

 

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 6 из 9