只用一个固定公网IP实现站点到站点VPN功能

一般情况下，企业总部与分公司之间需要实现内网互通的话，采用站点到站点VPN（Site-to-Site VPN）性价比更高，它是一种在两个或多个地点之间建立安全网络连接的技术。

站点到站点VPN通常需要至少两个固定的公网IP地址。这是因为每个要连接的站点至少需要一个唯一的公网IP地址来确保能够在互联网上被正确识别和访问。

如果你只有一个固定的公网IP地址，又想实现站点到站点VPN的功能需求，可以试试以下方法。

1. 测试拓扑图

企业总部做为VPN服务器，而各分公司做为客户端接入：

拓扑说明：

有固定IP地址的一端做为VPN服务端，而使用动态IP地一端做为VPN客户端；

拓扑中的VPN设备和客户端电脑均使用Linux操作系统；

只需要配置两端VPN设备，所有客户端不需要任何操作。

需要注意的，整个公司的IP地址要规划好，避免出现相同IP地址段。

2. 需求说明

总公司内网设备与分公司内网设备可以相互通信，测试环境中实现hc01与bc01可以相互访问，以ping通算测试成功。

默认情况下，bc01只能访问VPN服务器的公网IP地址，不能访问总公司内网地址，如：

当分公司主机bc01访问总公司内网IP时，数据包会丢失。

3. 环境说明

VPN服务器与VPN客户端都使用CentOS7.6操作系统搭建；

测试用的客户端也使用CentOS7.6，客户端任何操作系统都可以，配置好默认网关即可。

4. 配置说明

4.1 配置VPN服务器

4.1.1 配置阿里源

在VPN服务器上配置一下阿里的源：

curl -o /etc/yum.repos.d/CentOS-Base.repo https://mirrors.aliyun.com/repo/Centos-7.repo
curl -o /etc/yum.repos.d/epel.repo https://mirrors.aliyun.com/repo/epel-7.repo

4.1.2 配置转发

在VPN设备上都需要配置

(1)修改配置文件

vi /etc/sysctl.conf

#文档末尾添加
net.ipv4.ip_forward = 1

(2)写入内核

sysctl -p

(3)设置IP地址伪装(NAT)，并放通UDP端口51820

systemctl start firewalld
systemctl enable firewalld
firewall-cmd --zone=public --add-masquerade --permanent
firewall-cmd --zone=public --permanent --add-port=51820/udp
firewall-cmd --reload

4.1.3安装WireGuard

使用yum命令直接安装：

yum install elrepo-release
yum install yum-plugin-elrepo
yum install kmod-wireguard wireguard-tools

注意安装完成后需要重启；

4.1.4 生成公私钥

进入WireGuard配置文件目录：

cd /etc/wireguard/

创建VPN服务器的公私钥：

wg genkey | tee privatekey-server | wg pubkey > publickey-server

创建VPN客户端的公私钥：

wg genkey | tee privatekey-vpnc | wg pubkey > publickey-vpnc

记录好每个文件的内容：

privatekey-server：
2EwjrA7mSywY3f3jCwAN6CX9ygGGAwdhIFTXx71hiUo=
publickey-server：
wy5rwNc4C0nlwgt3i57LqX4Nk+ghx8lxlqbLAM/b8Qc=
privatekey-vpnc：
kA/L0GfraDk/TFI6JonVn99SAPRSDpgPtpkBnvnuMlQ=
publickey-vpnc：
4CvaV/YBNsbwc6bZCqgXFbhSF0OPnXSgV1IbXxycqHE=

4.1.5 创建配置文件

vi /etc/wireguard/vpnserver.conf

#增加内容如下
[Interface]
# Name = vpnserver
Address = 192.168.10.1/24
ListenPort = 51820
PrivateKey = 2EwjrA7mSywY3f3jCwAN6CX9ygGGAwdhIFTXx71hiUo=
[Peer]
# Name = vpnc
PublicKey = 4CvaV/YBNsbwc6bZCqgXFbhSF0OPnXSgV1IbXxycqHE=
AllowedIPs = 192.168.10.10/32,10.10.20.0/24

注意：在服务器端配置文件中配置vpnc客户端时，要将其内网网段也要配置上，即10.10.20.0/24。

参数说明：

[Interface]：定义当前节点的配置
# Name：这是 INI 语法中的标准注释，用于展示该配置部分属于哪个节点。
Address：定义当前节点应该对哪个地址范围进行路由。如果是常规的客户端，则将其设置为节点本身的单个 IP（使用 CIDR 指定，例如 192.168.168.1/32）；如果是中继服务器，则将其设置为可路由的子网范围。
例如：
常规客户端，只路由自身的流量：Address = 192.168.10.1/32
中继服务器，可以将流量转发到其他节点（peer）：Address = 192.168.10.0/24
这个地址是用于组网后分配使用，不要与服务器的私网IP地址一样。

ListenPort：当前节点是中继服务器时，需要通过该参数指定端口来监听，默认端口号是51820。常规客户端不需要此选项。
PrivateKey：当前节点的私钥，所有节点（包括中继服务器）都必须设置。不可与其他服务器共用。

[Peer]：定义对等节点（其他节点）的配置。可以有多个。
中继服务器必须将所有的节点（除了自身节点）定义为对等节点（peer）。其他的节点只需定义中继服务器作为对等节点（peer）。
PublicKey：对等节点（peer）的公钥，所有节点（包括中继服务器）都必须设置。
AllowedIPs：如果对等节点（peer）是常规的客户端，则将其设置为节点本身的单个 IP；如果对等节点（peer）是中继服务器，则将其设置为可路由的子网范围。可以指定多个 IP 或子网范围。该字段也可以指定多次。

4.1.6 启动服务

systemctl enable wg-quick@vpnserver
systemctl start wg-quick@vpnserver

4.2 配置VPN客户端

4.2.1 配置阿里源

在VPN客户端上配置一下阿里的源：

curl -o /etc/yum.repos.d/CentOS-Base.repo https://mirrors.aliyun.com/repo/Centos-7.repo
curl -o /etc/yum.repos.d/epel.repo https://mirrors.aliyun.com/repo/epel-7.repo

4.2.2 配置转发

在VPN设备上都需要配置

(1)修改配置文件

vi /etc/sysctl.conf

#文档末尾添加
net.ipv4.ip_forward = 1

(2)写入内核

sysctl -p

(3)设置IP地址伪装(NAT)，并放通UDP端口51820

systemctl start firewalld
systemctl enable firewalld
firewall-cmd --zone=public --add-masquerade --permanent
firewall-cmd --reload

4.2.3安装WireGuard

使用yum命令直接安装：

yum install elrepo-release
yum install yum-plugin-elrepo
yum install kmod-wireguard wireguard-tools

注意安装完成后需要重启；

4.4.4 配置文件

vi /etc/wireguard/vpnc.conf

#增加内容如下
[Interface]
PrivateKey = kA/L0GfraDk/TFI6JonVn99SAPRSDpgPtpkBnvnuMlQ=
Address = 192.168.10.10/32
[Peer]
PublicKey = wy5rwNc4C0nlwgt3i57LqX4Nk+ghx8lxlqbLAM/b8Qc=
AllowedIPs = 10.10.10.0/24, 192.168.10.0/24
Endpoint = 122.0.0.10:51820
PersistentKeepalive = 25

当然，在客户端配置文件中也要配置服务端的内网网段，即10.10.10.0/24。

参数说明：与服务端大致相同。

4.2.5 启动服务

systemctl enable wg-quick@vpnc
systemctl start wg-quick@vpnc

5. 测试网络

在bc01上访问hc01：

使用ping可以正常访问；

在hc01上访问bc01：

同样，也是可以正常访问。

6. 总结

通过以上配置，如果想要实现站点到站点的功能，只有一个固定公网IP地址话，使用wireguard也是可以实现的。