Nie jesteś zalogowany. Proszę się zalogować lub zarejestrować.
eko.one.pl → Oprogramowanie / Software → Serwer micrus frog - wireguard
Strony Poprzednia 1 2 3 4 5 6 Następna
Zaloguj się lub zarejestruj by napisać odpowiedź
Wejdź teraz na tego openwrt i zobacz czy z niego możesz zrobić ssh na 10.9.0.1. Jeżeli nie to coś w konfiguracji wireguarda poplątałeś.
Musiałem podłączyć kompa bezpośrednio do tego routera z openwrt i dopiero wtedy mogę dostać się do niego z konsoli.
root@OpenWrt:~#
root@OpenWrt:~# ssh frog@10.9.0.1
frog@10.9.0.1's password:
_ _
_ __ ___ (_) | ___ __ _ _ ___
| '_ ` _ \| | |/ / '__| | | / __|
| | | | | | | <| | | |_| \__ \
|_| |_| |_|_|_|\_\_| \__,_|___/ (platforma DARMOWA ????)
[...]Wracając do samej idei tego rozwiązania - może ja czegoś nie rozumiem.
Skonfigurowałem wt3020 wg poradnika.
Odłączam od niego (wt3020+e3372) wszystkich klientów. Wt3020 ma dostęp do Internetu przez modem E3372 HiLink.
Kompa łącze z innym routerem (inne źródło internetu).
Na kompie odpalam wireguard i powinienem dostać się do tego routera z openwrt np. przez ssh 10.9.0.2 albo bezpośrednio pod jego ip tj. 192.168.11.1 (adresacja jest taka jak u Ciebie w poradniku )- zgadza się?
---edit---
Zrobiłem jeszcze takie testy:
Wt3020 z openwrt i wireguardem jako źródło Internetu dla kompa.
Wireguard na kompie połączony - brak odpowiedzi na ssh 10.9.0.2
Wireguard na kompie WYŁĄCZONY - jest odpowiedź na ssh 10.9.0.2
Po 10.9.0.2. Po 192.168.11.1 tylko jeżeli zrobiłeś w konfigu że że masz trasę domyślną przez wg lub w allowed_ips dałeś tą klasę adresową.
Jedyna różnica jaką widzę to na mikrusie w interface mam inny adres ip (tak było oryginalnie):
iface eth0 inet static
address 192.168.12.96/24a u ciebie jest tak:
iface eth0 inet static
address 192.168.7.100/24Teraz sztos
Komp podłączony do wt3020:
1 włączam Wireguarda
2 robię ssh 10.9.0.2
3 loguje się do openwrt
4 aktywuje Wireguarda
5 dalej mam aktywną konsolę na openwrt - mogę instalować pakiety itd.
Jeśli mam aktywnego wireguarda na kompie to nie mam odpowiedzi z ssh 10.9.0.2 ale jak zrobię to co wyżej opisałem to mam dostęp ...
Pokaz mi uci show firewall z tego openwrt.
Proszę:
root@OpenWrt:~# uci show firewall
firewall.@defaults[0]=defaults
firewall.@defaults[0].syn_flood='1'
firewall.@defaults[0].input='REJECT'
firewall.@defaults[0].output='ACCEPT'
firewall.@defaults[0].forward='REJECT'
firewall.@zone[0]=zone
firewall.@zone[0].name='lan'
firewall.@zone[0].network='lan'
firewall.@zone[0].input='ACCEPT'
firewall.@zone[0].output='ACCEPT'
firewall.@zone[0].forward='ACCEPT'
firewall.@zone[1]=zone
firewall.@zone[1].name='wan'
firewall.@zone[1].network='wan' 'wan6'
firewall.@zone[1].input='REJECT'
firewall.@zone[1].output='ACCEPT'
firewall.@zone[1].forward='REJECT'
firewall.@zone[1].masq='1'
firewall.@zone[1].mtu_fix='1'
firewall.@forwarding[0]=forwarding
firewall.@forwarding[0].src='lan'
firewall.@forwarding[0].dest='wan'
firewall.@rule[0]=rule
firewall.@rule[0].name='Allow-DHCP-Renew'
firewall.@rule[0].src='wan'
firewall.@rule[0].proto='udp'
firewall.@rule[0].dest_port='68'
firewall.@rule[0].target='ACCEPT'
firewall.@rule[0].family='ipv4'
firewall.@rule[1]=rule
firewall.@rule[1].name='Allow-Ping'
firewall.@rule[1].src='wan'
firewall.@rule[1].proto='icmp'
firewall.@rule[1].icmp_type='echo-request'
firewall.@rule[1].family='ipv4'
firewall.@rule[1].target='ACCEPT'
firewall.@rule[2]=rule
firewall.@rule[2].name='Allow-IGMP'
firewall.@rule[2].src='wan'
firewall.@rule[2].proto='igmp'
firewall.@rule[2].family='ipv4'
firewall.@rule[2].target='ACCEPT'
firewall.@rule[3]=rule
firewall.@rule[3].name='Allow-DHCPv6'
firewall.@rule[3].src='wan'
firewall.@rule[3].proto='udp'
firewall.@rule[3].dest_port='546'
firewall.@rule[3].family='ipv6'
firewall.@rule[3].target='ACCEPT'
firewall.@rule[4]=rule
firewall.@rule[4].name='Allow-MLD'
firewall.@rule[4].src='wan'
firewall.@rule[4].proto='icmp'
firewall.@rule[4].src_ip='fe80::/10'
firewall.@rule[4].icmp_type='130/0' '131/0' '132/0' '143/0'
firewall.@rule[4].family='ipv6'
firewall.@rule[4].target='ACCEPT'
firewall.@rule[5]=rule
firewall.@rule[5].name='Allow-ICMPv6-Input'
firewall.@rule[5].src='wan'
firewall.@rule[5].proto='icmp'
firewall.@rule[5].icmp_type='echo-request' 'echo-reply' 'destination-unreachable' 'packet-too-big' 'time-exceeded' 'bad-header' 'unknown-header-type' 'router-solicitation' 'neighbour-solicitation' 'router-advertisement' 'neighbour-advertisement'
firewall.@rule[5].limit='1000/sec'
firewall.@rule[5].family='ipv6'
firewall.@rule[5].target='ACCEPT'
firewall.@rule[6]=rule
firewall.@rule[6].name='Allow-ICMPv6-Forward'
firewall.@rule[6].src='wan'
firewall.@rule[6].dest='*'
firewall.@rule[6].proto='icmp'
firewall.@rule[6].icmp_type='echo-request' 'echo-reply' 'destination-unreachable' 'packet-too-big' 'time-exceeded' 'bad-header' 'unknown-header-type'
firewall.@rule[6].limit='1000/sec'
firewall.@rule[6].family='ipv6'
firewall.@rule[6].target='ACCEPT'
firewall.@rule[7]=rule
firewall.@rule[7].name='Allow-IPSec-ESP'
firewall.@rule[7].src='wan'
firewall.@rule[7].dest='lan'
firewall.@rule[7].proto='esp'
firewall.@rule[7].target='ACCEPT'
firewall.@rule[8]=rule
firewall.@rule[8].name='Allow-ISAKMP'
firewall.@rule[8].src='wan'
firewall.@rule[8].dest='lan'
firewall.@rule[8].dest_port='500'
firewall.@rule[8].proto='udp'
firewall.@rule[8].target='ACCEPT'
root@OpenWrt:~#Następnie modyfikujemy odpowiednio firewall w openwrt:
...
Nie zrobiłeś firewalla. A pisałeś że zrobiłeś tak jak w poradniku.
Dziękuje! Teraz działa . Faktycznie pominąłem ten punkt a byłem pewien, że go zrobiłem.
Teraz mam następne pytanie.
WT3020 ma wpięty modem, którego strona konfiguracyjna jest pod adresem 192.168.8.1 - jak się do niej dostać z kompa?
W konfiguracji wireguard na mikrusie dodać ten adres?
[Peer]
# openwrt
PublicKey = 4444-klucz-publiczny-openwrt-4444=
AllowedIPs = 10.9.0.2/32,192.168.11.0/24,192.168.8.0/24
PersistentKeepalive = 25
Tak, klient musi wiedzieć gdzie pchać pakiety do 192.168.8.x. Kwestia routingu.
Dopisałem tak jak wyżej i niestety nie mogę dostać się do tego modemu 
Ale patrzysz z mikrusa czy z windowsa?
Z windowsa ale chyba coś więcej nie działa.
WT3020 musi mieć połączenie internetowe bo mogę się dostać do LUCI przez tunel z kompa. Niestety jak podłączę się telefonem do wifi tego wt3020 to nie mam Internetu w telefonie.
Jutro albo pojutrze przywrócę tego WT3020 do ustawień fabrycznych i zrobię konfigurację od nowa.
Windows też musi mieć tą trasę (chyba że zrobiłeś mu 0.0.0.0 w allowed ips)
Wczoraj miałem chwilę czasu i zrobiłem wszystko od początku na Twoim obrazie MiFi. Wszystko działa jak opisałeś w poradniku.
Dzięki za pomoc!
Jakie prędkości można uzyskać na micrus frog ?
Chodzi o routowanie ruchu.
Klient A , B,C,D łączy sie do mikrusa są za natem i ruch (PBR cześć domen) z Klienta B,C,D wychodzi do neta przez łącze klienta A.
Mikrus ma 1Gb łącze, ale i tak chyba będziesz ograniczony do najmniejszej prędkości ul/dl jakie masz na bcd lub a
Czy jest możliwość automatycznego logowania się co kilka tygodni do mikrusa? Zgodnie z regulaminem serwery do , których nikt się nie loguje przez 3 m-ce są usuwane...
Czy jest możliwość automatycznego logowania się co kilka tygodni do mikrusa? Zgodnie z regulaminem serwery do , których nikt się nie loguje przez 3 m-ce są usuwane...
Cron + ssh na routerze i zapomnij 
jeśli frog jest klientem mojego wireguarda to jak ustawiać żebym mógł komunikować się openwrt ---> frog ale już
frog --x--> opewrt nie
dodałem taki wpis :
config rule
option name 'blokadaFrog'
option src 'vpn'
list src_ip '10.9.0.34'
option dest '*'
option target 'REJECT'
list dest_ip '0.0.0.0/0'ale dalej z froga mogę pingowac kazdy adres 10.9.0.x
Co chcesz w ogóle zrobić? Nie możesz całkowicie zablokować ruchu z tego hosta bo przestanie ci działać tunel. Jak już to coś w postaci
config rule
option family 'ipv4'
list proto 'all'
option src 'vpn'
list src_ip '10.9.0.34'
list dest_ip '!10.9.0.1'
option target 'REJECT'chciałbym po prostu odizolować tego klienta od całej reszty jako mało zaufanego, jednocześnie nie tracąc możliwości połączenia się z nim
No to spróbuj w/w sposób - wszystko poza tym hostem z tunelem.
dodałem ale nic to nie zmieniło
root@????/f1661:frog# ping 10.9.0.4
PING 10.9.0.4 (10.9.0.4): 56 data bytes
64 bytes from 10.9.0.4: seq=0 ttl=63 time=65.909 ms
64 bytes from 10.9.0.4: seq=1 ttl=63 time=66.863 ms
^C
--- 10.9.0.4 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max = 65.909/66.386/66.863 ms
root@????/f1661:frog# ssh 10.9.0.4 -p 11
root@10.9.0.4's password:
root@????/f1661:frog#Pokaż
uci show network
Ifčonfig
route -n
dziwna sprawa bo jak robiłem /etc/init.d/firewall restart to nic się nie zmieniało ale po restarcie routera już jest blokada froga
Strony Poprzednia 1 2 3 4 5 6 Następna
Zaloguj się lub zarejestruj by napisać odpowiedź
eko.one.pl → Oprogramowanie / Software → Serwer micrus frog - wireguard
Forum oparte o PunBB, wspierane przez Informer Technologies, Inc