wireguard + CA

Можно там как OpenVPN сделать, когда кидаешь ca.cert на серверы и дальше к ним коннектятся любые пользователи, у которых сертификат тем же CA выдан?

нет. Вайргард - простой vpn для личных нужд, никакое масштабирование там не предусмотрено.

Проблема масштабирования решается использованием всяких надстроек над Wireguard - Tailscale, Netmaker и т.д.

В чистом виде он, как уже было сказано, пригоден только для личных нужд

В чем проблема скопировать ключи с сервера на сервер?

Перекинь Private key с сервера на сервер, в чем проблема?

Tailscale, Netmaker

О, спасибо!

Перекинь Private key с сервера на сервер, в чем проблема?

В больших инсталляциях это сложно и требует дополнительных костылей.

Сразу поделюсь историей неуспеха - я не смог настроить ACL-и на свежей версии(ЕМНИП 0.16.1) открытой реализации контроллера для Tailscale - Headscale. Да, даже разнесение в разные namespace доступ не обрубало. Они там что-то сломали кардинально и когда починят - хз.

Но если тебе не надо ограничивать доступ подключаемых клиентов друг к другу - можешь попробовать.

Если выберешь Netmaker - учти, что он монструозный шописец(я его нормально даже в докере развернуть не смог)

Если выберешь Netmaker - учти, что он монструозный шописец

Ага, смотрю документацию и офигеваю!

Сразу поделюсь историей неуспеха - я не смог настроить ACL-и на свежей версии(ЕМНИП 0.16.1) открытой реализации контроллера для Tailscale - Headscale. Да, даже разнесение в разные namespace доступ не обрубало. Они там что-то сломали кардинально и когда починят - хз.

Но если тебе не надо ограничивать доступ подключаемых клиентов друг к другу - можешь попробовать.

Ценный опыт, молодец, что делишься! Добавлю теги к теме, может — кому-нибудь понадобится.

PS: пока леплю wireguard-костыли на vyos+ansible для десятка site-to-site VPN если что :) Потом буду думать, как это масштабировать :)

Если выберешь Netmaker

Кстати, смотрю с большим интересом…

В чем проблема скопировать ключи с сервера на сервер?

А зачем ключи копировать ? Достаточно ведь private-key сервера и его wg.conf.

А вообще автор как то странно пишет :

когда кидаешь ca.cert на серверы

Там он киадет а тут почему то не может.

P.S. Мне вот лично интересно как бы ограничить целевой ip на сервере в самом wg. Я его фиреваллом режу ;(

1. Ещё публичные ключи клтентов
2. В смысле? ( целевой ip wg)

1. Они в wg.conf если что, а что разве могут быть не там ? (стоп так и приватный кей тоже там, т.е. нужно таскать 1 файл)

2. Ну клиент такой то, после извращений со своим конфигом, мог бы лезть только на конкретный ip. Какой то параметр в каждом [peer]

2. Allowedips в конфиге *клиента* или postup в конфиге *сервера*

В том то и соль что, свой конфиг клиент правит как хочет, а postup (у меня дергает firewalld :( )

А нет ли опции проще ? Типа - Allowedips в [peer] на сервере.

А вообще автор как то странно пишет :

когда кидаешь ca.cert на серверы

Там он киадет а тут почему то не может.

Речь о том, что не нужно сертификат каждого клиента кидать на сервер.

Представьте, что у Вас 2 сервера и 200 клиентов. И удостоверяющий центр (CA) на отдельной машине, который выдаёт клиентам сертификаты для подключения. Вот в случае, про который я пишу, на сервере вообще не должно быть никакой информации о пользователях - только сертификат удостоверяющего центра.

Могут быть доп. настройки для клиентов - Васе прокинуть маршрут 10.10.0.0/16, а Пете поставить адрес 192.168.77.5; но это настройки, а не сертификаты или ключи. Соответственно, когда УЦ выпускает сертификат Васе (у старого закончился срок действия) - на сервере не меняется ничего. Когда отзывает сертификат Пете и выпускает новый - на сервере тоже ничего менять не надо.

Когда отзывает - crl надо закинуть на сервера?

Я это все понимаю. Просто я не знаю что где могут хранится ключи сервера и клиентов в случае wg как ни в одном файле wg.conf на серваке. Всего один файл.

Когда отзывает - crl надо закинуть на сервера?

Да, надо.

В теории можно OSCP-сервер использовать, но я до этого не дошёл.

Вы могли бы использовать скрипт пользователя angristan на github, легко создает новых пользователей и позволяет удалять тех, которые больше не нужны