1

(4 odpowiedzi, napisanych Oprogramowanie)

Jak to działa? Czytałem ale nie bardzo zrozumiałem. Łapie klienta w pułapkę wysyłając mu niekończący się banner i trzyma godzinami czy nawet dniami?

2

(6 odpowiedzi, napisanych Sprzęt)

U mnie działa na tym routerze. Oczywiście na Openwrt.

3

(29 odpowiedzi, napisanych Oprogramowanie)

Czy aby na pewno dostawca udostępnił ci port TCP/UDP czy może tylko TCP?

Można też zastosować inną filozofię. Urządzenia które łączą się nie wiadomo z czym można pozbawić takiej możliwości przez zmianę oprogramowania. Większość urządzeń opartych o espxxxx działa na Tasmota.

5

(27 odpowiedzi, napisanych Oprogramowanie)

Pokaż jeszcze konfigurację z VPSa, nie zapomnij kluczy poukrywać smile
Ja robię tak:
"Server" Wireguard ma np.  list addresses  10.49.0.1/24 i tu ważne by maska była /24
dane "klienta" routera openwrt na serwerze czyli u ciebie na VPSie:


public_key 'kluczpubliczny'
route_allowed_ips '1'
allowed_ips '10.49.0.3/32 192.168.3.0/24'

192.168.3.0/24 - to adres sieci LAN tego routera klienta.


Teraz konfiguracja "klienta" - czyli routera Openwrt:
config interface 'wg0'
        option proto 'wireguard'
        option private_key 'klucz prywatny='
        list addresses '10.49.0.3/32'

config wireguard_wg0
        option public_key 'klucz publiczny'
        option route_allowed_ips '1'
        list allowed_ips '10.49.0.0/24'
        option endpoint_host 'adres IP serwera'
        option endpoint_port '55055'
        option persistent_keepalive '25'
        option description 'server wireguard'

Ja mam 10.49.0.0/24 ponieważ używam wielu połączeń sieci typu punkt-punkt i LAN-LAN
Oprócz tego mam też w allowed ips inne sieci lokalne które znajdują za innymi " routerami klientami" w zależności komu co jest potrzebne. Jeśli nie da się pingować lokalnego IP z tunelu to znaczy, że masz coś nie tak w allowed ips.

6

(12 odpowiedzi, napisanych Oprogramowanie)

Laptopy mogą mieć jakiekolwiek połączenie z internetem gdziekolwiek na świecie. Mogą być za NATem, firewallem itd.
Z kolei router który jest serwerem Wireguard ma stałe IP zewnętrzne. Ale laptopy nie łączą się do urządzeń za NATem tego routera. Nie mają w ogóle dostępu do niczego oprócz routera.
One mają się łączyć z zupełnie innymi komputerami w innej lokalizacji. Gdzie wystawione są usługi RDP, ale te pulpity pozwalają na połączenie tylko z tego publicznego IP na którym pracuje serwer Wireguard. Z innych IP połączenie zostanie odrzucone i dlatego serwer Wireguard pracuje jako pośrednik dzięki któremu komputer z RDP widzi laptopa z IP serwera, a faktycznie ma zupełnie inne. Trzeci raz to samo już piszę.
Podobnie można zrobić np. Jeśli ktoś chciałby
połączyć się z serwisami które działają tylko w danym kraju, a klient łączył by się z zagranicy.
Np. jakieś serwisy video streamingowe. itp

7

(12 odpowiedzi, napisanych Oprogramowanie)

Po co przekierowujesz port RDP do WANu?
Wywal to przekierowanie. Przecież chcesz się połączyć przez tunel, a nie przez WAN.

Co do mojej konfiguracji, to tak - mam końcówki z Wireguard na laptopach, ale nie mam w allowedIPs IP serwera, bo nie jest potrzebny dostęp do jego sieci LAN. IP serwera Wireguard jest tylko w sekcji endpoint, a w allowedIPs jest tylko adres zewnętrzny komputera z udostępnionym pulpitem.
Czyli tunel działa tylko i wyłącznie do tego IP z pulpitem. Nie daje dostępu ani do routera, ani do sieci LAN i o to właśnie chodzi. Każdy inny adres oprócz tego jednego nie idzie przez tunel.

8

(12 odpowiedzi, napisanych Oprogramowanie)

U mnie jest inna sytuacja. Zdalne komputery są dostępne na adresie publicznym, ale mogą się z nimi łączyć tylko konkretne publiczne IP. Przez co nie można pracować zdalnie gdzie indziej. Wiec Wireguard robi tunel między klientem (laptop) zdalny) a serwerem ( router z publicznym IP, z którego jest dozwolone połączenie RDP) w allowedIPs jest jedynie publiczny IP serwera RDP.
Ty jeśli chcesz się dostać z zewnątrz i masz jego sieć w allowedIPs to powinieneś móc go pingować po adresie LAN poprzez tunel.
Jeśli nie możesz , a tunel jest zestawiony, to zapewne nie masz ustawionych forwardingow w firewallu.

9

(12 odpowiedzi, napisanych Oprogramowanie)

Ostatnio przerabiałem temat z Wireguard i połączeniem do pulpitów zdalnych gdzie dozwolony dostęp jest tylko z konkretnego IP.
Zaszła potrzeba pracy zdalnej. Wireguard jest pod tym względem pięknym rozwiązaniem.
Mając serwer wg na routerze w lokalizacji z której jest dostęp dozwolony. Konfigurujemy klientów z wpisanym adresem pulpitu zdalnego w allowedIPs  i to wystarczy. Oczywiście chodzi mi o to gdy pulpit jest na adresie publicznym na WANie.

10

(3 odpowiedzi, napisanych Oprogramowanie)

Nie napisałeś jaki to router. Po wersji szacuję, że już dosyć starawy. Najpierw więc upewnij się czy spełnia wymagania co do aktualnego wydania Openwrt - wielkości flash i pamięci RAM. Po drugie warto sobie skopiować np. za pomocą WinSCP cały katalog /etc itp. by po aktualizacji bez zachowania konfiguracji mieć się na czym oprzeć.

11

(2 odpowiedzi, napisanych Oprogramowanie)

Ok nie było tematu smile Zawsze lubię niepotrzebnie kombinować naokoło.

12

(2 odpowiedzi, napisanych Oprogramowanie)

Ostatnio Chińczycy i Cypryjczycy strasznie usiłują mi się wbić na router po ssh pomimo tego, że nie jest on na porcie 22.
Postanowiłem wypróbować https://github.com/kravietz/blacklist-scripts
Z tym, że to stary skrypt i nie wiem, którym sposobem uruchamiać: Czy jak dla Openwrt czy jak dla LEDE?
Obstawiam, że 19.07 jest spadkobiercą LEDE więc chciałbym się upewnić czy firewall startuje pierwszy przed sieciami?
Wiem, że jest pakiet banIP, ale on ukierunkowany jest na obsługę przez LUCI, a ja LUCI nie używam.
Ewentualnie jest może coś innego prostego, ale bez luci?

Tak też zrobiłem. Sieć A jak u Ciebie. Wszystko śmiga jak chciałem, czyli dostęp do każdej sieci LAN z każdej innej LAN plus dostęp z końcówek na windowsach  skądkolwiek do pracy zdalnej.
Na końcówkach dałem nazwy do HOSTS, bo niektórzy mają jakąś blokadę psychiczną przy wpisywaniu IP smile

14

(3 odpowiedzi, napisanych Oprogramowanie)

A jeszcze przypomniałem sobie, że włączyłem flow offloading (bez hw)
Może to mieć znaczenie?

Mam problem z połączeniem w sieci lokalnej z bazą MS SQL.
Problem jest tylko jeśli próbuję łączyć się po nazwie hosta np. WIN-WGTRMZ\SQLEXPRESS
Jeśli zamiast nazwy dam IP to łączy się bez problemu. - 192.168.6.222\SQLEXPRESS
Co dziwne po nazwie host się pinguje szybko oraz widać go w sieci normalnie
Wyłączałem firewalle na hoscie i kliencie i nie pomaga.
Myślę, że to z powodu ustawień routera:

config interface 'loopback'
        option ifname 'lo'
        option proto 'static'
        option ipaddr '127.0.0.1'
        option netmask '255.0.0.0'

config globals 'globals'
        option ula_prefix 'fdba:97f1:6ccb::/48'

config interface 'lan'
        option type 'bridge'
        option ifname 'eth0.1'
        option proto 'static'
        option ipaddr '192.168.6.1'
        option netmask '255.255.255.0'
        option ip6assign '60'

config interface 'wan'
        option ifname 'eth0.2'
        option proto 'static'
        option ipaddr '10.10.10.253'
        option dns '8.8.8.8'
        option gateway '10.10.10.10'
        option netmask '255.255.255.0'
        option peerdns '0'

config device 'wan_eth0_2_dev'
        option name 'eth0.2'
        option macaddr '40:3f:8e:99:98:f8'

config interface 'wan6'
        option ifname 'eth0.2'
        option proto 'dhcpv6'

config switch
        option name 'switch0'
        option reset '1'
        option enable_vlan '1'

config switch_vlan
        option device 'switch0'
        option vlan '1'
        option ports '2 3 4 5 0t'

config switch_vlan
        option device 'switch0'
        option vlan '2'
        option ports '1 0t'

config interface 'wg0'
        option proto 'wireguard'
        option private_key 'kluczprywatny'
        option listen_port '55055'
        list addresses '10.9.0.6/32'

config wireguard_wg0
        option public_key 'kluczpubliczny'
        option route_allowed_ips '1'
        list allowed_ips '10.9.0.5/32 192.168.3.0/24'
        option persistent_keepalive '25'
        option description 'sieclan2'

config wireguard_wg0
        option public_key 'kluczpubliczny'
        option route_allowed_ips '1'
        list allowed_ips '10.9.0.4/32'
        option persistent_keepalive '25'
        option description 'laptop'

Wcześniej był inny router bez Openwrt i WAN chodził na DHCP
Po zmianie na Openwrt na WAN na DHCP chodzić nie chciał (nie wiadomo czemu) więc zmieniłem go na static.
Upatruję tu problem chyba z opcją peerdns = 0

16

(17 odpowiedzi, napisanych Oprogramowanie)

Tak restart, ale nie całego routera, a danej usługi. W tym wypadku firewall'a.

Dzięki Ci dobry człowieku.
W zasadzie wyjaśniłeś mi wszystkie rzeczy, których się domyślałem, ale nie byłem pewien.
Coraz bardziej mi się podoba ten Wireguard. Jego prostota jest dla mnie trudnością, po przejściach z OpenVPN, ale coraz lepiej go rozumiem.
Odnośnie adresacji sieci  tunelu TUN to właśnie o to mi chodzi. A konkretnie to chodzi mi o to czy jeśli połączę sieci LAN to LAN o tej samej adresacji (np. obie strony mają sieć 192.168.1.1/24) i porobię forwardingi i okaże się, że po obu stronach są hosty o tym samym adresie (np. 192.168.1.12) to pewnie nie będę się mógł dostać do zdublowanych. Ewentualnie dostęp będzie losowy.
Sieć którą tworzę ma puszczać do tunelu tylko ruch do podsieci wskazanych w allowedIPs. Reszta ruchu ma normalnie wychodzić przez WAN. W sytuacji kiedy na obu końcach jest ta sama numeracji,to zapewne będą kłopoty.
Mam do przerobienia połączenie sześciu lokalnych podsieci z routingiem pomiędzy nimi. Wireguard pięknie to ułatwia za pomocą allowedIPs wystarczy tylko dodać podsieć w konfigu peer'a i już jest do niej routing. Piękna sprawa.Np.  łączę się z jednym routerem peerem, a on udostępnia mi sam sieci z innych peerów.

Udało mi się zestawić tunel, który łączy dwie sieci LAN za pomocą Wireguard. I mimo, że wydaje mi się, że działa ok to mam kilka pytań:
Czy na routerze "kliencie" też należy ustawiać firewall?
Rozumiem, że portu nie trzeba otwierać, ale resztę ustawiamy tak samo jak na "serwerze"?
Ja ustawiłem, ale nie wiem czy potrzebnie.  Tunel działa wszystkie hosty się widzą na obu stronach LAN, tak jak właśnie chciałem.
Nie wiem tylko czy potrzebne to było na "kliencie" czy też wireguard robi to jakoś samemu?
Nic nie napisałeś o tym Cezary w poradniku.
BTW. Czy Wireguard podobnie do OpenVPN wymaga innej adresacji łączonych LANów? Myślę, że tak, bo skąd by potem było wiadomo o który host chodzi gdyby po obu stronach tunelu były hosty o takim samym IP?
I jeszcze jedno. Czy podobnie jak w OpenVPNie można wystawić na publicznym adresie  serwera usługę z kliienta? Np. kamery na publicznym porcie, które są na kliencie za NATem.

Acha dla tych co podobnie jak ja wstawiali przecinki lub średniki pomiędzy wpisami IP w allowedIPs. Nie róbcie tego!!
Straciłem wiele godzin na dochodzeniu przyczyny nie działania tunelu pomimo tego, że wszystko wskazywało na to, że działa. Wpisy oddzielamy jedynie spacją.

19

(5 odpowiedzi, napisanych Oprogramowanie)

marcinzelaz napisał/a:

Czym zastąpić luci ?

Putty nieźle zastępuje Luci.
Naprawdę o wiele szybciej jest coś zmienić za pomocą Putty i vi smile czy też uci

Aha, dzięki Cezary.
Czyli muszę dać kolejną siec wg1?

config interface 'wg0'
        option proto 'wireguard'
        option private_key 'mojprywatnyklucz1'
        option listen_port '55055'
        list addresses '10.9.0.1/24'

config wireguard_wg0
        option public_key 'mojpubklucz1'
        option route_allowed_ips '1'
        list allowed_ips '10.9.0.3/32'
        option persistent_keepalive '25'
        option description 'android'

config interface 'wg1'
        option proto 'wireguard'
        option private_key 'mojprywatnyklucz2'
        option listen_port '55055'
        list addresses '10.9.0.2/24'

config wireguard_wg1
        option public_key 'mojpubklucz2'
        option route_allowed_ips '1'
        list allowed_ips '10.9.0.4/32'
        option persistent_keepalive '25'
        option description 'laptop'

Czy też nie musi być  na serwerze kolejnego interfejsu wg1 ?
Nie bardzo to rozumiem. Myślałem, że na serwerze wystarczy jeden wg0

Szybkie pytanie:
Dodając kolejnego klienta na serwerze wiadomo dajemy unikalny adres IP
A co z nazwą sieci?
Dodajemy tak samo czyli:
uci add network wireguard_wg0
czy też musi być unikalna np.  uci add network wireguard2_wg0 ?

No trochę nie e do końca fair to porównanie, bo użyłeś portu TCP w OpenVPN.
Co prawda niewiele to zmieni, ale skoro miała być konfiguracja podstawowa vs konfiguracja podstawowa...

23

(6 odpowiedzi, napisanych Oprogramowanie)

A próbowałeś przez konsolę szeregową? Jak na Wiki jest opisane.

24

(2,452 odpowiedzi, napisanych Oprogramowanie)

Panowie co teraz można kupić nowego w sklepach w Polsce na fakturę, z gigabitowymi portami? (Conajmniej 4)
Potrzebuję router, który będzie klientem OpenVPN ze sprawnym szybkim NATem dostępny na ten czas od ręki niemalże z co najmniej 64MB RAM i 16MB flash. Wifi nie bardzo istotne, fajnie jak by miał AC, ale nie musi.

25

(5 odpowiedzi, napisanych Oprogramowanie)

Aż tak bardzo zawodna to nie jest. Zdarzy się może 3-4 razy do roku. Głównie chyba  z powodu tasiemki od dysku PATA 2,5 cala ,która gdzieś coś nie łączy. Na niej oprócz mqtt mam Domoticza, Node-red, Influxdb, Grafana itd.
Główny problem kiedy padnie to niemożność zgaszenia/zapalenia światła przez wyłączniki Sonoff T2 na Tasmota.
Chyba jednak będzie lepiej wymienić tę taśmę. Już długo się za to zabieram, bo nie lubię płacić więcej za przesyłkę niż za towar. Dlatego jeszcze jej nie kupiłem. I dlatego wpadłem na takie doraźne rozwiązanie, by router przejął IP terminala.
No w sumie też po to by sprawdzić, czy jest to możliwe.
Nie chcę też na stałe przenosić brokera na router, bo czasem trzeba go odpiąć czy zresetować, a wtedy komunikacja MQTT działa po LANie nawet bez routera.
Jednak chyba najlepiej będzie, jak wymienię tę tasiemkę.