算是做个总结吧。前情提要:https://v2ex.com/t/1082711
使用 WG 进行组网, ** 典型比较适用的场景比如 ** :
在此场景下如果你希望多机进行私网域构建,使信息不暴露于公网或者公开内网,那么非常适合使用 WG 组网。
** 不适合的场景比如 ** :
192.168.1.1/8
为服务器,以192.168.1.101/8
为客户端的私有网域,要求双方在关闭 windows 防火墙的情况下可以互相 ping 通。# 在 windows 网络的图形设置界面可以将 wifi 本身设置为公开网络
# 然后在 powershell 中运行如下命令
Get-NetConnectionProfile # 查询当前网卡区域
# 例如我们的校园网络叫 University Free WIFI ,而私有网卡叫 WG_Client ,则通过以下命令将虚拟适配器设置为专用网络。
Set-NetConnectionProfile -Name "WG_Client" -NetworkCategory Private # 或 Public
Windows 10 最新版进行基础文件共享需要进行以下几个方面的设置
首先我们为网络共享专门配置一个权限为普通用户组的用户,这在一定程度上是进行任何涉网络的权限敏感操作的通用处理办法。
mynetuser
此部分配置实现了在私有局域网中的文件共享,而不使共享暴露于公开网络
此部分实现了私有网络下进行共享访问时,对访问来源的账号权限控制,以避免不小心连接到其他私有网络时暴露共享服务。
winkey + R
并输入gpedit.msc
打开组策略配置Guest
账号出现在这两项拒绝当中。这样可以禁止所有空密码访问的账户登录。Everyone
, Administrators
等所有选项,并添加唯一指定账户mynetuser
\\192.168.1.1
会出现如下提示:请与这台服务器的管理员联系以查明你是否有访问权限。
登录失败: 未授予用户在此计算机上的请求登录类型。
此时说明已经对登录账号进行限制,无法进行匿名访问。
192.168.1.1
, mynetuser
, 非弱密码
,点击 [确定] 192.168.1.1
时会默认尝试使用此用户名密码登录。此时访问\\192.168.1.1
,正常应不会出现上文所示的拦截,组策略设置的对应账户规则已经被实现。mynetuser
并将权限设置为允许读取和写入,同时记得删除 [ Everyone ] 等通用性用户的权限。对于所有文件夹的Administrators
账户则不需进行改动,再点击 [确定] (如果未经 3/4 步骤组策略和登录凭据设置,则此处用户会以匿名身份登录,那么就必须开放 Everyone 权限才能够实现共享。反之,经过 3/4 步设置后,登录用户已经被严格限制为mynetuser
,故可以抛开 Everyone ,对其实现精准权限控制。)Everyone
的控制,和对mynetuser
的权限开放。点击 [确定] 至此,您应该能够实现仅限于私有网络的基于用户名/密码安全性的文件共享系统。
1
tomczhen 38 天前
|
2
uncat 38 天前
> 从机之间无法互相访问。
这是你这套方案配置不完善导致的,并不是 WireGuard 不支持。 你配置完善的情况下,所有加入 WireGuard 网络内的所有设备之间可彼此互相通信的。不能互相访问实际上是因为: 1. 防火墙规则限制 2. 内核未开启封包转发 |
3
uncat 38 天前
你这套方案,实际上就是公司用来实现内部、外部服务认证和鉴权的方案。SMB 就是常见的内部服务的一种。
1. 只有经过 VPN 认证的开发者,才能访问内部用户。 2. 通过创建、注销 VPN 用户配置,实现入、离职流程控制。 3. 通过 VPN 实现内网(无公网 IP )服务的公网访问。(类似:内网穿透,原理:加入了 VPN 的任意设备可互相访问,即实现了内网穿透)。 一些跟高阶的需求: 基于 VPN 实现局域网互通。类似:物理专线,效果比如: 1. 办公区局域网 <-> 阿里云 VPC 。 2. 办公区局域网 <-> K8s SVC IP 互通。 即: 1. 办公网中的设备可以直接通过云服务器的内网 IP 访问到对应的云服务器。 2. 办公网中的设备可以直接通过 K8s SVC IP 访问到阿里云 K8s 集群中的 SVC 。 |
4
uncat 38 天前
上一条消息有一些错别字。修正一下:
你这套方案,实际上就是公司用来实现内部、外部服务认证和鉴权的方案。SMB 就是常见的内部服务的一种。目的是: 1. 只有经过 VPN 认证的开发者,才能访问内部服务。 2. 通过创建、注销 VPN 用户配置,实现入、离职人员对内部服务的访问控制。 3. 通过 VPN 实现内网(无公网 IP )服务的公网访问。(类似:内网穿透。原理:加入了 VPN 的任意设备可互相访问)。 一些更高阶的功能: 基于 VPN 实现局域网互通。 类似物理专线。效果比如: 1. 办公区局域网 <-> 阿里云 VPC 。 2. 办公区局域网 <-> K8s SVC IP 互通。 即: 1. 办公网中的设备可以直接通过云服务器的内网 IP 访问到对应的云服务器。 2. 办公网中的设备可以直接通过 K8s SVC IP 访问到阿里云 K8s 集群中的 SVC 。 |
5
songpengf117 38 天前 via iPhone
建议使用 openssh ,将 smb 替换为 sftp
|
6
fyq 38 天前
关于 SMB 到底应该如何设置分享,有一篇来自《什么值得买》上的文章是我见过的所有教程里面最清晰详尽的:
https://post.smzdm.com/p/akxwkxqk/ 《 Windows 10/ 11 下安全并正确地使用 SMB 共享》 |
7
dode 38 天前
@uncat 有公网 IP ,wg 所有节点都可以点对点通信,记得 AllowedIPs 配置 192.168.x.xxx/32
|
8
flynaj 38 天前
SMB 1.0/CIFS 这个是 winxp 用的,win7 以上都不需要。玩不来 你还是装个 Zerotier 简单方便,还更安全。
|
9
dalaoshu25 38 天前
看到 192.168.1.1/8 ,笑了。
这都洋洋洒洒写了些啥啊,基本的网络基础知识都没搞明白。 |
10
lxh1983 38 天前 via iPhone
@dalaoshu25 确实
|
11
LeeReamond OP @dalaoshu25 查了一下是写错了,那我也配错了,照 255 子网配应该是/24
一般是/16 也就无所谓哪边,我感觉用不到那么大就缩了 8 位,方向错了 |
12
LeeReamond OP @fyq 仔细看了一下文章,好像和我说的大差不差,但讲解顺序是反过来的,我是从头到尾他是从尾到头。
看了一下他建议的几个和我写的不同的选项 1. 关闭 SMB1.0 协议 2. 关闭网络发现 3. 在 Lanman 工作站中禁用不安全的来宾登录 4. 为 smb 用户配置禁止通过本地或远程共享访问 |
13
LeeReamond OP @uncat WG 显然是强大工具,只是因为我是刚接触所以查了查资料,只配出了一主一从。如果想配小型网络的话不知道怎么配。
|
14
fyq 38 天前
@LeeReamond 我转发这篇教程的目的是为了让看到本帖的朋友能够安全访问他们的共享文件夹,在暴露于公网的机器中尤其重要。因为你的教程里如其他朋友所提到的那样,第一步就启用了不安全的 SMBv1 .
|
15
dalaoshu25 38 天前
@LeeReamond 简单地说,你除了会写 markdown 以外其他的都是错的。
自己基本概念不清技术细节不懂(比如搞不清网络地址掩码和 smb 协议版本),也不懂 wireguard 的设置(内部 IP 地址和路由),还不知道合适发帖的板块(为啥不去宽带症候群板块而在程序员板块)。 你这样的初学者,何必要在论坛上装模作样写这些帖子,浪费大家时间和金钱。 |
16
LeeReamond OP @dalaoshu25 笑出声,v2 现在的攻击性了不起。
术业有专攻,我一个搞开发的又不是学网安的,我分享我遇到的问题是怎么解决的,后面有人看到帖子了照我写的和后面 v 友补充的能配明白,我列了详细步骤,原因和修正方案,这就是做贡献了,你除了喷做了什么贡献? 掩码方向记错了这就叫不懂掩码了,照你这逻辑我直接 255.255.0.0 是不是就又懂掩码了?就这么肤浅? smb 协议我除了用它和 linux 交互,我是做协议相关开发的吗?版本细节不了解也就是一篇文章的事,就这么点内容轮得到你在这高谈阔论,可见你的内容量也就这么点。 你不爱看就不看,我自认比论坛里吹水的帖子多做了那么点工作,就这你还嫌浪费时间金钱,其他贴子里怎么没见你做道德卫士?笑出声了。程序员分区遇不到组网的事对吧,好了我懂了,是我不配在大佬面前自称程序员,我工作都是假的,幻想出来的。 |