Skip to content

云厂商不同region之间的wireguard LAN to LAN模式

前提

本文的环境和条件:

  • 有NAT网关作为出口流量
  • 至少要有一个NAT要做公网端口映射,或者从LB有一个映射也可以,本文是NAT上映射

架构图

lan-to-lan

实操

1、NAT开启端口映射(教程就开默认端口了,生产自己定),假设开在10.0.0.1/19这个VPC里,那就是DNAT NAT:51820 -> 10.0.0.2:51820
2、路由表两个VPC都要增加:A: 10.0.128.0/19 下一跳 10.0.0.2;B: 10.0.0.0/19 下一跳 10.0.128.3
3、allowedips,以10.255.255.1这个节点为例,peer的ip是10.255.255.2 allowedips应为: 10.255.255.1/32,10.0.128.0/19
4、节点启动脚本有MASQUERADE的内容 PostUp=iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT;iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
5、作为wireguard的节点需要开机ip forward,也就是转发功能 /etc/sysctl.conf中的 net.ipv4.ip_forward = 1
6、条件还是有些多的,以上都准备好,服务起来基本就通了