Poniżej tutorial stworzony przez sztuczną inteligencję.

Działa od strzała. Komunikaty się odtwarzają, mam tylko problem ze zmianą głośności:

https://chat.openai.com/share/1f42cdcf- … 1d8a04d361

Ale może to problem konstrukcyjny samych głośników na USB i głośności nie da się tutaj zmienić ?


Głośniki to:

# lsusb
Bus 001 Device 003: ID 4c4a:4155 Jieli Technology UACDemoV1.0
# aplay -l
**** List of PLAYBACK Hardware Devices ****
card 0: UACDemoV10 [UACDemoV1.0], device 0: USB Audio [USB Audio]
  Subdevices: 1/1
  Subdevice #0: subdevice #0

Próba zmiany głośności kończy się odpowiedzią:

# amixer -D plughw:0,0 sset Master 20%
ALSA lib control.c:1528:(snd_ctl_open_noupdate) Invalid CTL plughw:0,0
amixer: Mixer attach plughw:0,0 error: No such file or directory

Dzięki za linki.

U mnie router Netgear R6220
na sofcie OpenWrt 22.03.3 r20028-43d71ad93e / LuCI openwrt-22.03 branch git-22.361.69894-438c598

więc już DSA.

Zedytowałem sekcję WAN i dodałem interfejs VLAN 111: (dostawca chce 111)

    config interface 'wan'
        option proto 'dhcp'
        option device 'wan.111'

    config device
        option type '8021q'
        option ifname 'wan'
        option vid '111'
        option name 'wan.111'

Po zapisaniu reboocie i zmianie z poziomu luci protokołu z DHCP Client na PPPoE wygląda to tak:

https://i.imgur.com/QmrX2ta.png


Zakładam, że:
PAP/CHAP username - to zwyczajnie user do konta PPPoE
PAP/CHAP password - to zwyczajnie hasło do konta PPPoE

Czyli jak wpiszę dane logowania i zastosuję zmiany, powinienem dostać od ISP-ka adres IP i net na LAN'ie powinien być osiągalny.

Dane wprowadziłem (od ISP-ka już je dostałem) niemniej czekam, aż Tauron wykona przyłącze.

Czy ten błąd zaznaczony na czerwono to kwestia tego że na WAN-ie nie czeka jeszcze dostawca ze swoim PPPoE, czy może jeszcze jakiś błąd po mojej stronie konfiguracji ?

https://i.imgur.com/LdwZO5V.png

Dobra, a jak takie coś wyklikać w luci, bez wcześniejszego tworzenia interfejsu VLAN ?

https://i.imgur.com/QUiqCCM.png

Bo w urządzeniach nie mam gotowego VLANa (którego mógłbym ustawić na 111)  przed ustawieniem na nim plienta PPPoE.

Stąd myślałem, że potrzebuję pobrać paczkę, która pozwoli mi najpierw stworzyć interfejs VLAN:

https://i.imgur.com/3W0V28u.png

PS. Dobra, widzę, że dałeś linki. Przeoczyłem.

Cezary napisał/a:

Ale wiesz że tamat mikrotika to juz nie to forum... Zrób sobie na próbę serwer na openwrt, podłącz się kilkoma klientami i zobacz.
Jeżeli to będzie problem mikrotika to oni mają swoje forum.

Racja, przepraszam.

Ale tak, czy siak zrobiłem, uporałem się i wszystko działa.

Tu był pies pogrzebany, faktycznie w allowed IP's:

Tak wszystko działa:

https://i.imgur.com/cqg89uo.png

A wcześniej miałem wprowadzone, trochę bez sensu:
192.168.253.5/24
192.168.253.6/24

więc segmenty sieci a allowed IP's w peerach wprowadzonych to MT się pokrywały.

Teraz mam obóstronne pingowanie po obu stronach sieci dla wszystkich klientów. Od strony MT mogę wbić na panele WWW czy na SSH OpenWrt-ków i na odwrót, od strony OpenWRT-ków mogę wleźć na serwer WWW stojący za MT.
A ruch WWW leci na lokalne WANy.

Cezary napisał/a:

Więc masz w drugą stronę. Nic, tam ma być, mt ma swoją pulę którą podajesz na każdym innym peerze jeżeli ten peer ma mieć do niej dostęp.Tak jest ok.

Nie jestem pewien, czy zrozumiałem Twoją ostatnią myśl.

Generalnie ja stanąłem na tym:
https://trzepak.pl/viewtopic.php?t=70473

i na tym:
https://trzepak.pl/viewtopic.php?t=70467

Oba tematy są zadziwiająco podobne - poprzedni klient przestaje działać po dodaniu nowego. I działania tego poprzedniego nie daje się już naprawić, mimo usunięcia tego nowego klienta. Oba tematy łączy ten sam serwer Wireguarda postawiony na MT.

Połączenie się zestawia handshake jest ale pakiety lecieć już nie chcą. Mimo, że ten klient, chwilę przed utworzeniem nowego klienta działał perfekcyjnie.

Cezary napisał/a:

Oczywiście nie wolno, bo routing do peerów nie będzie działał. Każdy ma mieć swoją pulę adresową, już to miałeś pisane.

Wiadomo, że każdy z OpenWRTkow stosuje na własnym lanie inną adrwsację. U jednego jest 192.168.23.X u drugiego jest 192.168.129.X a na MT jest 192.168.56.X

Tyle, że u mnie każdy z peerów-klientow musi mieć kierowany ruch 192.168.56.0/24 właśnie na MT, bo za MT ta się się taka podsieć znajduje. Czyli każdy z peerow w allowed IP musi mieć taką właśnie pulę.

I co teraz?

Witam.

Jak to jest z portami nasłuchiwania na końcówkach które podłączam na jednym kluczu publicznym pierwszej instancji ("serwera")?

Otóż konfig peerów na MT (umowny serwer) jest taki:

https://i.imgur.com/LKb3Paw.png

Czyli jak widać nie specyfikuję w żaden sposób Endpoint portów w sekcji peerów mikrotika.

Wymczasem logując się do owych peerów po drugiej stronie, w zakładce ststusu widzę losowe porty nasłuchiwania:

https://i.imgur.com/yJMP0P5.png

co wynika zapewne wprost z ich konfigu:

https://i.imgur.com/6BQnsAu.png

To tak ma działać? Zostawić tak jak jest ?

A może każdy "klient powinien działać" na innym porcie ?

Na każdym peerze mam pokrywają a się pulę dozwolonych adresów. Może tak nie wolno?

https://forum.openwrt.org/t/wireguard-s … peer/19380

https://www.reddit.com/r/PFSENSE/commen … t_working/

No właśnie nie wiem o co chodzi, już włosy z głowy rwę. Jedyne co jest niezmienne i się powtarza "serwer" z jednym kluczem publicznym który to klucz dodaje jako peera każdemu klientowi. Ale tak ma być.

Jeszcze co jest u mnie specyficzne to allowed ip z maską /24 zamiast /32 (wszyscy ustawiają /32). Może kwestia tych masek...

Jakim prawem poprzednie klienty przestają działać po skonfigurowania nowego to jakaś masakra jest.

Od wczoraj walczę z dziwnym tematem.

Nowo dodany klient wireduarda działa (ma dostęp do zdalnej sieci) do póki nie stworzę / nie dodam kolejnego klienta.
Dodanie klienta to u mnie dodanie nowych kluczy publicznych i sharedkey-e w sekcji peerów i dodanie nowych końcówek (kolejnych adresów w tunelu) oraz konfiguracja zamych klientów.

Do wczoraj myślałem, że aplikacja kliencka dla Windows ma bug-a, który powoduje, że dodanie nowego klienta (na tym samym komputerze) powoduje, że wszystkie poprzednie klienty przestają działać. Dostęo do sieci udaje się zrealizować (pakiety lecą) wyłącznie z poziomu ostatnio dodanego klienta.

Nic bardziej mylnego. To nie błąd aplikacji...

Dodałem jednego klienta (jeden router na OpenWRT) który łączył sie z WG na MT z innego łącza od innego ISP i wszystko było super hiper.

Aż skonfigurowałęm nowego klienta na innym OpenWRT, nowe klicze, nowy adres, nowy klient. Nowy klient działą super.
W czym problem? Poprzedni przestał działać... Nosz kurde mol...

Odłączam router z drugim klientem, podłączam router z pierwszym klientem - już nie działa. Kaplica. Łączę się zestawia, handshake jest, pakiety lecą a ruchu w żadnym kierunku nie ma.

O co kurna chodzi? Teraz działa mi wyłącznie ostatni router z ostatnim klientem.

Powtarza się historia jak z walką z wieloma klientami skonfigurowanymi na jednej aplikacji Wireguarda dla Windows -> https://trzepak.pl/viewtopic.php?t=70467

O co kaman?

Niby wszędzie wyłączyłem:

https://i.imgur.com/I90lem4.png

a wyświetla się dalej:

https://i.imgur.com/f9CsFAe.png

Witam

Będę się podłączał routerem na OpenWRT pod ONT-ka od Taurona.

Żeby dostać się do sieci dostawcy, muszę uruchomić interfejs VLAN 111 podpiąć ów interfejs pod interfejs WAN a następnie dodać interfejs w postaci klienta PPPoE, którego następnie podłączę pod wcześniej stworzony interfejs VLAN111.

Z punktu widzenia routera prawdziwym WAN-em będzie ów kient PPPoE.

Ale, do brzegu.

Którą z paczek zainstalować, celem realizacji wspomnianego VLAN-a 111 ?

https://i.imgur.com/THGuTX7.png

Cezary napisał/a:

Nie route statyczną (choć tak też można) tylko w peerze wireguarda w mikrotiku w allowed ips ustaw 192.168.129.0/24

Kiedy na OpenWRT znowu ustawiłem 192.168.56.0/24 (zamiast 0.0.0.0/0) to co wyżej przestało działać.
Finalnie ustawiłem w peerach zarówno MT jak i OpenWRT dwie grupy allowed IP's:

https://i.imgur.com/PmSHkKv.png

https://i.imgur.com/t3T6nuQ.png

I teraz już wszystko działa wyśmienicie i dwukierunkowo.

Z poziomu LANu pod kontrolą OpenWRT strony WWW ciągną się przez WAN (tak jak chciałem), to co ma lecieć przez Wireguarda, leci przez Wireguarda a lokalny DNS (ze zdublowanymi wpisami co w MT) na OpenWrt rozwiązuje też niektóre adresy domenowe na potrzemy docierania po nazwach domenowych na maszyny za Wireguardem.

Wszystko działa cacy.

Bez porządku w allowed IP's w peerach MT żadne pingi nie przejdą.

Ale bez tej statycznej reguły routingu też się na panel OpenWRT-ka z sieci MT-ka nie wbijesz.

Chyba za późno na rozkminę, dlaczego, najważniejsze, że obie sprawy (wpis statyczny w tabeli routingu MT-ka)  i odpowiedni wpis w allowed IP's peera łącznie całościowo rozwiązują problem.

Cezary napisał/a:

Nie route statyczną (choć tak też można) tylko w peerze wireguarda w mikrotiku w allowed ips ustaw 192.168.129.0/24

Dzięki. Teraz działa super :-D Kolejna mega podpowiedź tego dnia. Teoretycznie oczywista, a szukałbym jeszcze pół nocy :-D

Wireguard na MT w roli "serwera" (sieć nadrzędna) - adresacja lokalna: 192.168.56.0/24 IP tunelu: 192.168.253.1

Wireguard na OpenWRT w roli "klienta" (sieć podrzędna) - adresacja lokalna: 192.168.129.0/24 IP tunelu: 192.168.253.6

Tunel zestawia się, cały rych sieci 192.168.129.0/24 kierowany jest przez tunel na główny router MT 192.168.56.1.
(czyli allowed IP na Wireguardzie na OpenWRT ustawione na 0.0.0.0/0)

Komunikacja leci pięknie.

Z poziomu OpenWRT mogę pingować wszędzie. Pakiety pięknie idą i na 192.168.253.6, 192.168.253.1 i na wszystko co stoi za tunelem, czyli na router 192.168.56.1 czy na dowolne inne maszyny 192.168.56.0/24 Cudo. Zero problemów.

Problem jest w drugą stronę.

Z żadnej maszyny w sieci 192.168.56.0/24, ani nawet z panelu MT (192.168.56.1) na którym stoi Wireguard, nie mogę zapingować, na Router OpenWrt (czyli na 192.168.129.1) ani na żadną inną maszynę w sieci 192.168.129.0/24.

Dziwne, bo w IP -> Routes ustawiłem właściwą trasę routingu:

https://i.imgur.com/2xFShsg.png

Innymi słowy wszystko co idzie w kierunku 192.168.129.0/24 ma być kierowane na tunel wireguarda na końcówkę 192.168.253.6. Podobną metodę stosowałem dla l2tp over IPsec, i tam problemów nie było.

Tutaj sytuacja wygląda następująco:

- przed załączeniem bezpośredniej trasy na końcówkę 192.168.253.6:

https://i.imgur.com/H7UNQ97.png

- po załączeniu bezpośredniej trasy na końcówkę 192.168.253.6:

https://i.imgur.com/iObWqSY.png

Widać, że MT próbuje pchać pakiety właściwą trasą, ale odpowiedzi od Routera OpenWRT nie wracają.

Komputer będący w LANie tego OpenWRT-ka też nie odpowiada:

https://i.imgur.com/f6vBHsx.png

Firefall MT wydaje się być ustawiony prawidłowo.

Tymczasem urządzenia zza tunelu nie chcą odpowiadać na pingi, a problem jest wybitnie jednokierunkowy.

Jakieś pomysły ?

Dzięki. Wszystko wydaje się działać tak jak napisałeś. Wygodne to i bez wnikania w dodatkowe regułki. Jest opcja, że to mi wystarczy.

Zastanawiam się jeszcze tylko jak sobie rozwiązywać IP-ki czym normalnie zajmuje się DNS w zdalnej sieci LAN.
Teoretycznie najbezpieczniej (bez problemów) byłoby chyba postawić lokalny DNS również na routerze z OpenWRT (umowny "klient") i powielić content (dodać manualne wpisy) z serwera DNS znajdującegfo się na Mikrotiku (umowny "serwer").

Tylko, że wtedy dodając coś do DNS-a na Mikrotiku należałoby równiecześnie pamiętać, by to samo dodać na DNS-ie na OpenWRT-ku.

Znając życie pewnie jest jakieś jakieś gotowe rozwiązanie coby serwery DNS potrafiły się kopiować / duplikować. Ale to będę musiał coś pobłądzić i poszukać, chyba, że masz pomysł na to, to chętnie skorzystam :-)

Witam.

Udało mi się finalnie zestawić działające połączenie do zdalnej sieci LAN przez Wireguarda.

Teraz wszystko, cały ruch sieciowy, włącznie ze stronami WWW leci przez Wireguarda.

A chciałbym np. strony WWW otwierać bezpośrednio przez mojego dostawcę ISP, którego mam na WANie, czyli z pominięciem Wireguarda.

Natomiast chciałbym też, żeby ruch sieciowy w adresacji 192.168.56.0/24 leciał rzeczywiście na Wireguarda (bo hosty o tej adresacji znajdują się po drugiej stronie tunelu).

Chciałbym też dostawać się po nazwie domenowej (a nie po numerach IP) do maszyn za tunelem. Otóż po drugiej stronie tunelu znajduje się zarówno lokalny serwer WWW jak i serwer DNS, który kieruje m. in. na ten lokalny serwer WWW po nazwach domenowych rozwiązywanych przez lokalny serwer DNS.

Z jednej strony chciałbym być niezależny od serwera DNS po drugiej stronie tunelu (jak padnie tamta sieć w dalszym ciągu chciałbym mieć dostęp do stron internetowych przez mój WAN). W dodatku do wszystkich publicznych stron WWW chciałbym mieć dostęp bezpośrednio przez mój WAN (o czym wspomniałem). I zastanawiam się jak to rozwiązać na routerze z OpenWRT.

Kwestia odpowiednich wpisów w konfigu Wireguarda?

https://i.imgur.com/PYynzii.png

Czy może jakieś wpisy bezpośrednio w firewallu routera?

Chętnie popatrzyłbym na jakiś gotowy przykład.

Cezary napisał/a:

Z konsoli: https://eko.one.pl/?p=openwrt-konfigura … lientwdhcp

Nie w tym miejscu, w luci pewnie też to gdzieś jest.

Dobra, znalazłem. Działa.

https://i.imgur.com/KQiKp1R.png

Nie wiem tylko jakie jest znaczenie tej szóstki na przedzie. Tak, czy siak, działa.

Cześć

Co zrobić, by serwer DHCP dla sieci LAN przydzielał klientom sieci LAN inny niż domyślny adres serwera DNS?

Domyślnie jest tak, że jeśli router na adresie LAN zgłasza się pod adresem 192.168.129.1, to jednocześnie takiż sam adres DNS będzie rozgłaszał swoim klientom DHCP.

A ja chciałbym, by jako adres DNS rozgłaszał adres 192.168.56.1. Jest to adres serwera DNS znajdujący się po drugiej stronie Tunelu WireGuarda. Ten adres DNS ubsługuje wiele statycznych wpisów DNS znajdujących się w zdalnej sieci LAN (na drugim końcu tunelu).

Ustawienie go w tym miejscu niczego nie zmienia.

https://i.imgur.com/s5lyowY.png

Klienty routera dalej otrzymują DNS 192.168.129.1.

Strona umownego "serwera" czyli instancji na Mikrotiku działa w 100%, co potwierdza klient postawiony na maszynie z windowsem, skonfigurowany specjalnie do testu na tych samych kluczach, które próbuję użyć celem konfiguracji klienta w postaci routera na OpenWRT.

Mam tę maszyną z windowsem podłączoną do netu od innego dostawcy, tunel zestawia się i wszystko jest git. Jest dostęp do interentu, można pingować na oba krańce tunelu i poza nie.

https://i.imgur.com/dVSLbcb.png

https://i.imgur.com/2L3zk0M.png

Tym czasem po ustawieniu tych samych kluczy i danych na innym sprzęcie (router OpenWRT w roli klienta Wireguard-a) połączenia nie udaje się zestawić.

Doinstalowałem sobie paczkę, która pozwala mieć podgląd statusu w luci, i efekt jest taki:

https://i.imgur.com/OnrXuGI.png

https://i.imgur.com/NAMWt3O.png

Więc tyle co póki co wiadomo, że coś musi być nie tak po stronie OpenWRT, bo po stronie MT wszystko OK.

Jak opisałem w sąsiednim poście, skonfigurowałem Wireguard clienta na swoim OpenWRT, niestety nie mogę dobić się na drugi koniec tunelu:

Interfejs jest:

wg0       Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:192.168.253.2  P-t-P:192.168.253.2  Mask:255.255.255.0
          UP POINTOPOINT RUNNING NOARP  MTU:1420  Metric:1
          RX packets:20 errors:0 dropped:0 overruns:0 frame:0
          TX packets:197 errors:160 dropped:8 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:2960 (2.8 KiB)  TX bytes:28036 (27.3 KiB)

Niemniej pingować na swój koniec (początek) mogę:

root@OpenWrt:~# ping 192.168.253.2
PING 192.168.253.2 (192.168.253.2): 56 data bytes
64 bytes from 192.168.253.2: seq=0 ttl=64 time=0.464 ms
64 bytes from 192.168.253.2: seq=1 ttl=64 time=0.319 ms
64 bytes from 192.168.253.2: seq=2 ttl=64 time=0.346 ms
64 bytes from 192.168.253.2: seq=3 ttl=64 time=0.333 ms
^C
--- 192.168.253.2 ping statistics ---
4 packets transmitted, 4 packets received, 0% packet loss
round-trip min/avg/max = 0.319/0.365/0.464 ms

Ale na drugi koniec niestety już nie:

root@OpenWrt:~# ping 192.168.253.1
PING 192.168.253.1 (192.168.253.1): 56 data bytes
ping: sendto: Required key not available
root@OpenWrt:~#

Ktoś coś podpowie? Naprowadzi jak zdiagnozować?

Postawiłem sobie na mikrotiku "serwer" Wireguarda.

Za pomocą strony

https://www.wireguardconfig.com/

uzupełniając generatora mniej więcej w taki sposób:

https://i.imgur.com/lVY41Vz.png

i wygenerowałem losowo dane trzech klientów (wygeneroane raz jeszcze, ćwiczebnie).

Poniżej przykładowy kod dla jednego z klientów:


Client 1
IP Address    192.168.253.2/24
Listen Port    13231
Private Key    cOHwbFfzN/HEig0bAkNz94TpqAiarx9JAvUVRmFdhVo=
Public Key    XdNfq0F9YeFVidVw3dqpQ3OUdTlMjAd7bnq7ghp2sjY=

[Interface]
Address = 192.168.253.2/24
ListenPort = 13231
PrivateKey = cOHwbFfzN/HEig0bAkNz94TpqAiarx9JAvUVRmFdhVo=
DNS = 8.8.8.8

[Peer]
PublicKey = fgqZr1OiRqo6gBAI+ZmHiQdSh0saxYAt2NZfjmT+KFc=
PresharedKey = yU0BnCDQ06JpjeS9uP3JRkLTUm/yi3UnMC0tVkeESOA=
AllowedIPs = 0.0.0.0/0
Endpoint = abcdefghij.sn.mynetname.net:13231


Następnie na Routerze z OpenWRT, z którego chciałbym uczynić "klientem" Mikrotikowego "serwera" wireguarda, wygonałem szereg poleceń:

opkg update
opkg install kmod-wireguard wireguard-tools luci-proto-wireguard

uci set network.wg0=interface
uci set network.wg0.proto="wireguard"
uci set network.wg0.private_key="cOHwbFfzN/HEig0bAkNz94TpqAiarx9JAvUVRmFdhVo="
uci add_list network.wg0.addresses="192.168.253.2/24"

uci add network wireguard_wg0
uci set network.@wireguard_wg0[-1].public_key="fgqZr1OiRqo6gBAI+ZmHiQdSh0saxYAt2NZfjmT+KFc="
uci set network.@wireguard_wg0[-1].route_allowed_ips="1"
uci add_list network.@wireguard_wg0[-1].allowed_ips="0.0.0.0/1"
uci set network.@wireguard_wg0[-1].endpoint_host="abcdefghij.sn.mynetname.net"
uci set network.@wireguard_wg0[-1].endpoint_port="13231"
uci set network.@wireguard_wg0[-1].persistent_keepalive="25"
uci set network.@wireguard_wg0[-1].description="serwer"
uci commit network
/etc/init.d/network restart

Nie mam pojęcia natomiast w jaki sposób wprowadzić na OpenWRT-ku preshared key (zaznaczyłem w generatorze, że mają zostać wygenerowane):

https://i.imgur.com/KApGCTJ.png

https://i.imgur.com/rofKM7Z.png


Dodam, że na OpenWRT pojawił się interface ale w jego konfigu nie widzę nigdzie pola na preshared key.

Czy to oznacza, że na OpenWRT nie można korzystać z tego dodatkowego trybu / zabezpieczenia Wireguarda ?

Witam.

Po nieudanych próbach z koniguracją klienta wireguard (stworzył się interface wireguarda, ale później go usunąłem) nie mogę pingować na żadną stronę www w necie.

Na adres nadrzędnego routera (router dostawcy wpięty do WAN OpenWrt-ka) pingować modę i są odpowiedzi.
Ale jak zapinguję do wp.pl to już nie wracają.

Może obowiązuje jakaś reguła, która cały ruch kierować miała na wireguarda (ale tego interfejsu już nie ma).

Jak to sprawdzić ? Jak skutecznie zdjagnozowac brak odpowiedzi na pingi na netu ?

OPPO 5G CPE T1a - jakaś szansa na OpenWRT ?