Meu objetivo é fazer com que meia dúzia de dispositivos do Site A possam acessar dispositivos do Site B como se estivessem na mesma rede (embora em sub-redes diferentes). E vice-versa?
Configurei uma VPN Bidirecional WG baseada em Site-to-Site no Site A e selecionei alguns dispositivos que podem se comunicar com o Site B. Mas o fato de eu precisar selecionar alguns dispositivos faz me pensar que, apesar de ser chamada de bidirecional, tudo precisa ser configurado também no Site B.
Estou pensando corretamente?
Um site é um FWG (1.9740 (3b84b678)), o outro é um FWP (igual).
Para permitir que dispositivos específicos do site A acessem o site B, basta selecionar esses dispositivos na configuração da VPN no site A. Não é necessário alterar nada no site B.
Para permitir que dispositivos específicos do site B acessem o site A, será preciso adicionar uma regra de permissão no site A para permitir o tráfego desses dispositivos. Não é necessário alterar nada no site B.
Esteja ciente de que apenas endereço IP ou sub-rede podem ser usados na regra de permissão, não endereço MAC ou nomes de dispositivos.
Sim, é necessário configurar em cada lado qual tráfego você deseja enviar via túnel.
Exemplo:
Lado A é 10.10.10.0/24
Lado B é 192.168.12.0/24
No lado A, o WG precisa saber que requisições para 192.168.12.0/24 devem passar pelo túnel.
No lado B, o WG precisa saber que requisições para 10.10.10.0/24 devem passar pelo túnel.
A configuração em ambos os lados é necessária para que cada um saiba como rotear o tráfego corretamente.
EDIT: Percebi que postei isso pensando em uma VPN IPSEC genérica de site a site. O WG pode ser um pouco diferente neste caso. Vou pesquisar mais sobre isso hoje.
Aqui está o guia oficial para VPN de site a site: https://help.firewalla.com/hc/en-us/articles/5515850433683, ele menciona na etapa 3:
“Para conectar dispositivos à VPN, na caixa do Cliente VPN, basta ativar o botão “VPN”, e você verá o status ficar “Conectado”. Neste momento, dispositivos do site do servidor VPN podem acessar a rede do site cliente.
No site cliente, para enviar seletivamente o tráfego dos seus dispositivos através da VPN, sob a conexão VPN, toque em Aplicar a, selecione os dispositivos/redes/grupos que deseja conectar ao site par (servidor), e toque em salvar.” u/gnapoleon Este documento responde à sua pergunta? Você só precisa selecionar seus dispositivos em uma das caixas (o site cliente). Regras de permissão são criadas automaticamente quando a conexão é estabelecida.
Você quer que sejam apenas esses meia dúzia de dispositivos? Se você não se importar que A e B tenham conectividade total, basta configurar uma VPN WG S2S entre o FWG e o FWP que funcionará. Eu já configurei assim e não foi necessário regras de tráfego ou rotas adicionais. A configuração do WG adicionou as rotas e regras automaticamente.
Tenho um servidor Plex no Site A e consigo acessá-lo de FireTV sticks no Site B sem problemas. O mesmo vale para um NAS e outros dispositivos. Também executo o controlador Omada no Site A, que gerencia APs no Site B. Isso exige conexões iniciadas em ambas as direções.
E se faço uma VPN WG remota para o site A, consigo acessar tudo no site B a partir do dispositivo remoto. Foi muito mais fácil do que esperava. Mas estou confortável com todos os dispositivos em ambos os sites tendo conectividade total, pois são meus.