1 Temat przez artur_n (edytowany przez artur_n 2023-10-24 06:39:58)

  • Zarejestrowany: 2017-05-09
  • Posty: 688

Temat: Serwer micrus frog - wireguard

Witam,

nigdy nie miałem okazji konfigurować połączenia VPN wireguard i w dodatku na zewnętrznym serwerze.
Chciałem przetestować jak to będzie działać ale poza zainstalowaniem wireguard i stworzeniem "jakiegoś" pliku .conf nie wiem jak ruszyć dalej.

Proszę o nakierowanie jak zestawić połączenie z routerem na którym jest OpenWRT.

Plik conf:

[Interface]
Address = 10.0.0.1/24
ListenPort = 40669
PrivateKey = xxxxxxxxxxxxxxx

[Peer]
PublicKey = xxxxxxxxxxxxxxxx
AllowedIPs = 10.10.0.2/32
Endpoint = frog01.mikr.us:40669
PersistentKeepalive = 25
GL.iNet GL-MT6000 + 2x AP_Xiaomi AX3000T

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,919

Odp: Serwer micrus frog - wireguard

artur_n napisał/a:

Proszę o nakierowanie jak zestawić połączenie z routerem na którym jest OpenWRT.

To w końcu chcesz się łączyć z mikrusa do openwrt, czy z openwrt do mikrusa?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez artur_n

  • Zarejestrowany: 2017-05-09
  • Posty: 688

Odp: Serwer micrus frog - wireguard

Oczywiście z OpenWRT do mikrusa.
Mikrus ma być za "most" ze stałym IP.

GL.iNet GL-MT6000 + 2x AP_Xiaomi AX3000T

4 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,919

Odp: Serwer micrus frog - wireguard

W ten sposób: https://eko.one.pl/?p=openwrt-wireguard#openwrt

gdzie jako endpoint_host i endpoint_port dla peera podajesz frog01.mikr.us i 40669

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

5 Odpowiedź przez artur_n (edytowany przez artur_n 2023-10-27 09:27:42)

  • Zarejestrowany: 2017-05-09
  • Posty: 688

Odp: Serwer micrus frog - wireguard

Cezary pytanie, po zestawieniu połączenia z mikrusem czy to z telefonu czy OpenWRT odcina internet na telefonie oraz OpenWRT. Czegoś brakuje w konfiguracji?

PS. Znalazłem: "- 0.0.0.0/0 - cały ruch z klienta będzie przechodził przez tunel WireGuard."

GL.iNet GL-MT6000 + 2x AP_Xiaomi AX3000T

6 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,919

Odp: Serwer micrus frog - wireguard

Np. firewalla i nat'a w mikrusie. Jeżeli cały ruch przepuściłeś przez mikrusa

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

7 Odpowiedź przez artur_n

  • Zarejestrowany: 2017-05-09
  • Posty: 688

Odp: Serwer micrus frog - wireguard

Po zmienia adresacji z 0.0.0.0/0 na 10.10.0.1/24 internet wrócił.

Teraz pozostaje kwestia jak dostać się przez taki tunel do sieci za routerem z OpenWRT?

GL.iNet GL-MT6000 + 2x AP_Xiaomi AX3000T

8 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,919

Odp: Serwer micrus frog - wireguard

Normalnie, podłącz się innym klientem wireguarda do mikrusa i jeżeli wszystko skonfigurowąłeś jak trzeba to powinieneś mieć normalny dostep do urządzeń zza lanem drugiego klienta. Jezeli nie masz to nie ustawiłeś allowedips, firewalli, natów czy czegoś jeszcze.

Mikrus jest tylko "serwerem" wireguard, i nie ma znaczenia że to akurat jest "mikrus". Traktuj go jako zwykły host w sieci, i po prostu musisz całość skonfigurować odpowiednio.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

9 Odpowiedź przez artur_n

  • Zarejestrowany: 2017-05-09
  • Posty: 688

Odp: Serwer micrus frog - wireguard

To mnie przerasta xD

GL.iNet GL-MT6000 + 2x AP_Xiaomi AX3000T

10 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,919

Odp: Serwer micrus frog - wireguard

No i co mam odpowiedzieć na takie zdanie?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

11 Odpowiedź przez artur_n (edytowany przez artur_n 2023-10-27 10:55:48)

  • Zarejestrowany: 2017-05-09
  • Posty: 688

Odp: Serwer micrus frog - wireguard

Wiem, wiem ;-)
Ogólnie nie konfigurowałem nic poza zestawieniem połączenia z mikrusem. Czyli muszę ogarnąć firewall i nat?
Poza tym konfigiem nie robiłem nic:

[Interface]
Address = 10.10.0.1/24
ListenPort = 40669
PrivateKey = 1111111111111111

[Peer]
# Telefon
PublicKey = 22222222222222222
AllowedIPs = 10.10.0.2/32
Endpoint = frog01.mikr.us:40669
PersistentKeepalive = 25

Połączenie się zestawia ale nie mam dostępu do niczego z sieci domowej nawet routera.
Wzorować się na tym?
https://www.cyberciti.biz/faq/how-to-se … ine-linux/

GL.iNet GL-MT6000 + 2x AP_Xiaomi AX3000T

12 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,919

Odp: Serwer micrus frog - wireguard

Możesz, choć nie wiem jak w mikrusie jest zrealizowany firewall (o ile jest i o ile w ogóle musisz to robić).

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

13 Odpowiedź przez artur_n

  • Zarejestrowany: 2017-05-09
  • Posty: 688

Odp: Serwer micrus frog - wireguard

Może głupie pytanie ale jak to sprawdzić?

GL.iNet GL-MT6000 + 2x AP_Xiaomi AX3000T

14 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,919

Odp: Serwer micrus frog - wireguard

Opisali coś tam w tym frogu, czy jest firewall, czy trzeba coś robić żeby odblokowywać usługi na udostępnionych portach? Jak nie to nie. I możesz sprawdzić czy używają iptables czy nftables (wpisz iptables -v -L i zobacz czy coś zwróci)

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

15 Odpowiedź przez cyniu88

  • Zarejestrowany: 2012-11-16
  • Posty: 398

Odp: Serwer micrus frog - wireguard

frog daje  4 porty   (1 na ssh),  są od razu odblokowanie  innych nie da się odblokować, jak na danym porcie wystawisz usługę  to  będzie dostępna z prawie całego świata.

16 Odpowiedź przez artur_n

  • Zarejestrowany: 2017-05-09
  • Posty: 688

Odp: Serwer micrus frog - wireguard

Dokumentacja jest słaba jak widzę, komenda wyrzuca:

frog@????/f1669:~$ sudo iptables -v -L
[sudo] password for frog:
Chain INPUT (policy ACCEPT 452K packets, 31M bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain FORWARD (policy ACCEPT 63691 packets, 8012K bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 849K packets, 159M bytes)
 pkts bytes target     prot opt in     out     source               destination
GL.iNet GL-MT6000 + 2x AP_Xiaomi AX3000T

17 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,919

Odp: Serwer micrus frog - wireguard

Ok, czyli tu firewalla nie ma żadnego. To na kliencie musisz zrobić sieć, zezwolić na forwarding vpn<>lan, itd. identycznie jak byś robił wg tego: https://eko.one.pl/?p=openwrt-wireguard#firewall

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

18 Odpowiedź przez artur_n (edytowany przez artur_n 2023-10-27 15:26:06)

  • Zarejestrowany: 2017-05-09
  • Posty: 688

Odp: Serwer micrus frog - wireguard

Reguły do firewalla dodane aczkolwiek nadal nie mogę się połączyć z routerem. Gdzie może tkwić błąd?

Wygląda, że się oba urządzenia łączą:

frog@????/f1669:~$ sudo wg show
interface: wg0
  public key: 1234567890
  private key: (hidden)
  listening port: 40669

peer: 111111111111
  endpoint: 111111111
  allowed ips: 10.10.0.2/32
  latest handshake: 1 minute, 8 seconds ago
  transfer: 1.68 KiB received, 516 B sent
  persistent keepalive: every 25 seconds

peer: 22222222222222222
  endpoint: 222222222222
  allowed ips: 10.10.0.3/32
  latest handshake: 1 minute, 9 seconds ago
  transfer: 244 B received, 452 B sent
  persistent keepalive: every 25 seconds
GL.iNet GL-MT6000 + 2x AP_Xiaomi AX3000T

19 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,919

Odp: Serwer micrus frog - wireguard

Z mikrusa - czy idzie ping na adres ip który przypisałeś openwrt na wireguardzie?  czy idzie ping na adres ip który przypisałeś openwrt na lanie?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

20 Odpowiedź przez artur_n (edytowany przez artur_n 2023-10-27 15:32:58)

  • Zarejestrowany: 2017-05-09
  • Posty: 688

Odp: Serwer micrus frog - wireguard

Ping na adres IP przypisany OpenWRT oraz telefonowi idzie:

frog@????/f1669:~$ sudo ping 10.10.0.3
PING 10.10.0.3 (10.10.0.3): 56 data bytes
64 bytes from 10.10.0.3: seq=0 ttl=64 time=48.226 ms
64 bytes from 10.10.0.3: seq=1 ttl=64 time=48.400 ms
64 bytes from 10.10.0.3: seq=2 ttl=64 time=48.299 ms
64 bytes from 10.10.0.3: seq=3 ttl=64 time=47.662 ms
64 bytes from 10.10.0.3: seq=4 ttl=64 time=47.763 ms
64 bytes from 10.10.0.3: seq=5 ttl=64 time=47.586 ms
^C
--- 10.10.0.3 ping statistics ---
6 packets transmitted, 6 packets received, 0% packet loss
round-trip min/avg/max = 47.586/47.989/48.400 ms
frog@????/f1669:~$ sudo ping 10.10.0.2
PING 10.10.0.2 (10.10.0.2): 56 data bytes
64 bytes from 10.10.0.2: seq=0 ttl=64 time=81.500 ms
64 bytes from 10.10.0.2: seq=1 ttl=64 time=81.378 ms
64 bytes from 10.10.0.2: seq=2 ttl=64 time=81.540 ms
64 bytes from 10.10.0.2: seq=3 ttl=64 time=82.885 ms
64 bytes from 10.10.0.2: seq=4 ttl=64 time=75.206 ms
64 bytes from 10.10.0.2: seq=5 ttl=64 time=77.266 ms
64 bytes from 10.10.0.2: seq=6 ttl=64 time=81.840 ms
^C
--- 10.10.0.2 ping statistics ---
7 packets transmitted, 7 packets received, 0% packet loss
round-trip min/avg/max = 75.206/80.230/82.885 ms
Cezary napisał/a:

Z mikrusa - czy idzie ping na adres ip który przypisałeś openwrt na wireguardzie?  czy idzie ping na adres ip który przypisałeś openwrt na lanie?

Przypisany mam tylko 10.10.0.3 do OpenWRT. Potrzeba coś więcej?

frog@????/f1669:~$ sudo ping 192.168.1.1
PING 192.168.1.1 (192.168.1.1): 56 data bytes
64 bytes from 192.168.1.1: seq=0 ttl=64 time=0.206 ms
64 bytes from 192.168.1.1: seq=1 ttl=64 time=0.052 ms
64 bytes from 192.168.1.1: seq=2 ttl=64 time=0.048 ms
64 bytes from 192.168.1.1: seq=3 ttl=64 time=0.048 ms
64 bytes from 192.168.1.1: seq=4 ttl=64 time=0.048 ms
64 bytes from 192.168.1.1: seq=5 ttl=64 time=0.069 ms
64 bytes from 192.168.1.1: seq=6 ttl=64 time=0.053 ms
64 bytes from 192.168.1.1: seq=7 ttl=64 time=0.067 ms
64 bytes from 192.168.1.1: seq=8 ttl=64 time=0.051 ms
^C
--- 192.168.1.1 ping statistics ---
9 packets transmitted, 9 packets received, 0% packet loss
round-trip min/avg/max = 0.048/0.071/0.206 ms

Ale nie pinguje nic więcej w sieci za routerem.

GL.iNet GL-MT6000 + 2x AP_Xiaomi AX3000T

21 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,919

Odp: Serwer micrus frog - wireguard

Zrób tak jak podałem ci w linku. Strefę network w openwrt, strefę w masq1 w freiwallu, zezwól na forwarding lan i wan. Zaś na mikrusie dla tego peera zrób allowedips 192.168.1.0/24 jeszcze.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

22 Odpowiedź przez artur_n (edytowany przez artur_n 2023-10-27 15:49:18)

  • Zarejestrowany: 2017-05-09
  • Posty: 688

Odp: Serwer micrus frog - wireguard

Wszystko się pinguje w każdą stronę ale za nic nie mogę dostać się na router przez tunel.

Ustawienia w telefonie:
https://ibb.co/PjkdqdD

GL.iNet GL-MT6000 + 2x AP_Xiaomi AX3000T

23 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,919

Odp: Serwer micrus frog - wireguard

Ale skąd się nie możesz dostać? Z telefonu? Na adres który przypisałeś do wireguarda możesz?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

24 Odpowiedź przez artur_n

  • Zarejestrowany: 2017-05-09
  • Posty: 688

Odp: Serwer micrus frog - wireguard

Na adres 10.10.0.1 czyli wireguarda idzie ping z telefonu.
Ale na router czyli 10.10.0.3 ani 192.168.1.1 nie idą pingi.

GL.iNet GL-MT6000 + 2x AP_Xiaomi AX3000T

25 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,919

Odp: Serwer micrus frog - wireguard

10.10.0.3 to adres openwrt, tak? Więc nie masz z nim w ogóle połączenia?

Chwilę wcześniej pisałeś że "Wszystko się pinguje w każdą stronę" a tu nagle że nic działają pingi. Zdecyduj się w końcu bo trudno ufać w to co piszesz.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona