я ее еще отрефачу, но она все равно будет фарш.
- установка пакетов wireguard и wg-quick
- генерация priv/pub ключей. Pub клюx забирается с сервеа и сохраняется в динамические переменные Ansible для дальнейшего копирования на другие сервера.
- генерация wg-quick конфига
- валидация wg-quick конфига
- применение конфига
- еще вкорячил автоматический выдачу ip для wireguard, следующий ip в сетке. Напрограммировал там на ансибле, часть вынес в library.
Катить wg нужно на железные сервера раскиданные в разных DC соединяя их между собой.
Хочу более простое и надежное решение. Может проще написать api на flask и просто json обмениваться.
Есть кто ipsec/wireguard настраивает и какими тулзами?
Не претендую на истину в последней инстанции, но какая цель городить фулмеш на айписеке, есть помоему более простые и надежные вещи (от gre до dmvpnОВ разных, если задача просто несколько сегментов\DC меж собой соединить)? А так под айписек самое некорявоо, легкое и простое это racoon, но если тебе нужно более серьёзное шифрование то strongswan. (Интересный у тебя таск, без лулзов)
посмотрите на tinc если требуется фуллмеш
у меня не проблема с выбором технологии. Tinc пройденный этап. С него ушёл на wg. У меня уже все на wg прекрасно работает. Вопрос заключается кто как управляет ключами и конфигурацией wireguard, если такие есть. - Менеджить ключи - Менеджить конфиги - ip адреса - хранение pub и распространение по другим серверам. Просто с ansible это сложные и жирные роли получаются все это делать. Не получается у меня простой инструмент сделать. Требуется отдельная хранилка под выданные ip адреса и pub ключи и код который генерирует конфиги WG на серверах. Если что у меня есть consul кластер. Хранение ключей думаю туда вынесу в key/value
постотою как устроены racoon и стронгсван
Обсуждают сегодня