1 (edytowany przez mgrlukasz 2019-02-27 21:48:00)

Temat: Cały ruch przez VPN Wireguard Klienta

Witam

Jak w łatwy sposób można przełączyć cały ruch routera aby szedł przez klienta Wireguard który jest podłączony do mojego routera w trybie klienta

Przykład dla pojedynczej strony działa bez problemy. http://eko.one.pl/host.php

route add -net 185.23.21.13 netmask 255.255.255.255 gateway 172.16.1.2 dev wg0

Jak wykonam zmianę dla całego ruchu to znika główna trasa na WAN i internet przestaje działać.

route add -net 0.0.0.0 netmask 0.0.0.0 gateway 172.16.1.2 dev wg0

Można to inaczej zrobić niż w poniższym opisie?
https://eko.one.pl/?p=openwrt-routing

Z góry dzięki za informację.

Zyxel EX5601-T1

2

Odp: Cały ruch przez VPN Wireguard Klienta

Domyślnie przecież się tak robi - jedna trasa jest przez ethernet druga przez wg0

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

3

Odp: Cały ruch przez VPN Wireguard Klienta

Cezary napisał/a:

Domyślnie przecież się tak robi - jedna trasa jest przez ethernet druga przez wg0

Jak wykonam
route add -net 0.0.0.0 netmask 0.0.0.0 gateway 172.16.1.2 dev wg0

Tracę połączenie z internetem


Przed

root@R6220:~# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         95.155.112.1    0.0.0.0         UG    0      0        0 eth0.2
95.155.112.0    0.0.0.0         255.255.252.0   U     0      0        0 eth0.2
172.16.1.0      0.0.0.0         255.255.255.192 U     10     0        0 wg0
192.168.0.0     172.16.1.2      255.255.255.0   UG    10     0        0 wg0
192.168.2.0     0.0.0.0         255.255.255.128 U     0      0        0 br-lan

Po

root@R6220:~# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         172.16.1.2      0.0.0.0         UG    0      0        0 wg0
0.0.0.0         95.155.112.1    0.0.0.0         UG    0      0        0 eth0.2
95.155.112.0    0.0.0.0         255.255.252.0   U     0      0        0 eth0.2
172.16.1.0      0.0.0.0         255.255.255.192 U     10     0        0 wg0
192.168.0.0     172.16.1.2      255.255.255.0   UG    10     0        0 wg0
192.168.2.0     0.0.0.0         255.255.255.128 U     0      0        0 br-lan
Zyxel EX5601-T1

4

Odp: Cały ruch przez VPN Wireguard Klienta

Zestaw sobie w ten sposób połączenie na chwilę: http://eko.one.pl/?p=openwrt-wireguard

I zobacz jak wyglądają trasy na kliencie. No i oczywiście to połączenie z wireguard MUSI działać poprawnie.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

5

Odp: Cały ruch przez VPN Wireguard Klienta

mgrlukasz napisał/a:
root@R6220:~# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         172.16.1.2      0.0.0.0         UG    0      0        0 wg0
0.0.0.0         95.155.112.1    0.0.0.0         UG    0      0        0 eth0.2
95.155.112.0    0.0.0.0         255.255.252.0   U     0      0        0 eth0.2
172.16.1.0      0.0.0.0         255.255.255.192 U     10     0        0 wg0
192.168.0.0     172.16.1.2      255.255.255.0   UG    10     0        0 wg0
192.168.2.0     0.0.0.0         255.255.255.128 U     0      0        0 br-lan

Masz dwie trasy domyślne. Router wysyła ruch domyślny przez pierwszy gateway na liście czyli 172.16.1.2.
Deamon VPN szykuje paczkę do wysłania i posyła przez sieć. Czyli znów przez default gateway.
Brakuje ci trasy do serwera VPN. Czyli coś w stylu:

route add -host <IP serwera VPN> gateway 95.155.112.1 dev eth0.2
route del default dev eth0.2
GUI jest przereklamowane

ASUS WL-500gP v2, TP-Link TL-MR3420 v2, TP-Link TL-WR1043ND v3, TP-Link TL-WDR4300 v1, D-Link DWR-921 C3,
Netgear R6220

6 (edytowany przez mgrlukasz 2019-02-28 21:32:03)

Odp: Cały ruch przez VPN Wireguard Klienta

Zadziałało
Cały ruch idzie przez VPN-a tylko transfer mam 4Mbity na 3,5Mbity
Łącze po drugiej stronie 60 na 4Mbity. Routery obciążone w 15%.
Łącze 1 100/50 Mbit.

Co może powodować takie ograniczenie prędkości  jedną stronę?

route del -net 0.0.0.0 netmask 0.0.0.0
route add -net 0.0.0.0 netmask 0.0.0.0 gateway 172.16.1.2 dev wg0
route add -net 94.251.248.124 netmask 255.255.255.255 gateway 95.155.112.1 dev eth0.2
root@R6220:~# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         172.16.1.2      0.0.0.0         U     0      0        0 wg0
94.251.248.124  95.155.112.1    255.255.255.255 UGH   0      0        0 eth0.2
95.155.112.0    0.0.0.0         255.255.252.0   U     0      0        0 eth0.2
172.16.1.0      0.0.0.0         255.255.255.192 U     0      0        0 wg0
172.16.1.2      0.0.0.0         255.255.255.255 UH    0      0        0 wg0
192.168.0.0     172.16.1.2      255.255.255.0   UG    0      0        0 wg0
192.168.2.0     0.0.0.0         255.255.255.128 U     0      0        0 br-lan
Zyxel EX5601-T1

7

Odp: Cały ruch przez VPN Wireguard Klienta

mgrlukasz napisał/a:

Zadziałało
Cały ruch idzie przez VPN-a tylko transfer mam 4Mbity na 3,5Mbity
Łącze po drugiej stronie 60 na 4Mbity.

No jak masz upload 4Mbit to co chcesz więcej?

8

Odp: Cały ruch przez VPN Wireguard Klienta

xury napisał/a:
mgrlukasz napisał/a:

Zadziałało
Cały ruch idzie przez VPN-a tylko transfer mam 4Mbity na 3,5Mbity
Łącze po drugiej stronie 60 na 4Mbity.

No jak masz upload 4Mbit to co chcesz więcej?

RACJA.

Zyxel EX5601-T1

9 (edytowany przez sebastan 2019-09-08 11:54:59)

Odp: Cały ruch przez VPN Wireguard Klienta

Odkopałem stary wątek, bo zainstalowałem Wireguard, serwer na mir3g, klient na androidzie. Działa. Wcześniej korzystałem z openVPN i tam mogłem wybrać, by VPN służył tylko do dostępu do zasobów lokalnych, a wszystko poza klient czerpał normalnie z połączenia internetowego.

Tutaj, po instalacji wg poradnika, cały ruch idzie przez VPN. W jaki sposób można nad tym zapanować i przełączać się pomiędzy wersją 1 i 2?

PS. A jakieś GUI gdzieś jest?

10

Odp: Cały ruch przez VPN Wireguard Klienta

Ustawiasz inny profil klienta i wtedy ruch idzie albo cały albo cześć.

Mam i używam: Fujitsu Futro S720, Netgear R6220, Unielec U7621-06, TP-Linki 1043 V1, V2, Linksysy EA7500v2, AeroHive AP350, Linksys EA8500, ZTE MF286d.
Mam: D-Linki DWR-921, DWR-118, DWR-116, TP-Link WDR-4900 v1, Checkpoint L-50, Linksysy 1900ACS, LB-Link BL-W1200,

11

Odp: Cały ruch przez VPN Wireguard Klienta

Profil klienta ustawiam od strony klienta? Czyli np. łącząc się z androida nie widzę takiej opcji wyboru w aplikacji na androida i konfiguracji. Czyli, źle patrzę zapewne?

12

Odp: Cały ruch przez VPN Wireguard Klienta

Tak, z perspektywy apki wireguard to dwa różne polączenia.

Przykład dwóch konfiguracji: (zaczerpnięte z https://www.stavros.io/posts/how-to-con … ireguard/)

[Interface]
Address = 192.168.2.2
PrivateKey = <client's privatekey>
ListenPort = 21841

[Peer]
PublicKey = <server's publickey>
Endpoint = <server's ip>:51820
AllowedIPs = 192.168.2.0/24
[Interface]
Address = 192.168.2.2
PrivateKey = <client's privatekey>
ListenPort = 21841

[Peer]
PublicKey = <server's publickey>
Endpoint = <server's ip>:51820
AllowedIPs = 0.0.0.0/0, ::/0

W pierwszy wypadku puszczasz tylko ruch z/do podsieci 192.168.2.0/24 przez tunel. W drugim cały ruch z telefonu.

Mam i używam: Fujitsu Futro S720, Netgear R6220, Unielec U7621-06, TP-Linki 1043 V1, V2, Linksysy EA7500v2, AeroHive AP350, Linksys EA8500, ZTE MF286d.
Mam: D-Linki DWR-921, DWR-118, DWR-116, TP-Link WDR-4900 v1, Checkpoint L-50, Linksysy 1900ACS, LB-Link BL-W1200,

13 (edytowany przez sebastan 2019-09-14 17:01:15)

Odp: Cały ruch przez VPN Wireguard Klienta

No, teraz to ma sens. Czyli mogę sobie założyć dwa profile z różnymi "AllowedIPs" i podczas łączenia wybierać ten, co mi pasuje. Ja wg poradnika Cezarego miałem tylko to z zerami. Bardzo dziękuję, niedługo będę testował.

PS1.Coś mi nie idzie.

Zrobiłem początkowo wg poradnika Cezarego, kropka w kropkę. Działa, tylko cały ruch idzie. Więc rozumiem, że allowedIPs muszę zmienić z 0.0.0.0/0 na 10.9.0.0/24? Lub 10.9.0.0/32? Tak czy siak nie działa. Czy jeszcze coś muszę na serwerze zmienić?

PS. Zapodałem, jako AllowedIPs adres IP wewnętrzny serwera 192.168.x.x. a nie z puli VPN i wygląda, ze działa. Szukam innych problemów.

14

Odp: Cały ruch przez VPN Wireguard Klienta

xury napisał/a:
mgrlukasz napisał/a:

Zadziałało
Cały ruch idzie przez VPN-a tylko transfer mam 4Mbity na 3,5Mbity
Łącze po drugiej stronie 60 na 4Mbity.

No jak masz upload 4Mbit to co chcesz więcej?


Nie będe zakładał nowego tematu, mam pytanie bardzo zbliżone gdyż nie dokońca ogarniam.

Łącze po stronie serwera : 30/6
Łącze klienta: 150/150

max co wykręcam to 5.5/5.5.  czy ograniczeniem w przypadku wireguarda jest upload po stronie serwera ?
Jeśli zamienić by łącza i serwera postawić po stronie 150/150 to klienta wysyci łączę 30/6 czy również przez upload będzie się dusił w okolicach 6/6?

Zyxel T56 /|\ TL Wdr3600 /|\ TL wdr4300 /|\ MiR 3g /|\ ubi Rocket, nb, pb, ns, loco /|\ Netgear R6220 /|\ xiaomi AC2350 /|\ TL c6 v3 /|\ TL 1043 v1 v2 v4 /|\ dn2800mt , N100 /|\  TL DS-P-7001-04/08 /|\ TL SX3016F i kupa innego sprzętu

15

Odp: Cały ruch przez VPN Wireguard Klienta

Jeżeli po stronie klienta masz download 150, to zablokuje Cię upload serwera, czyli w Twoim przypadku 6. Gdybyś zamienił, to wtedy korzystasz z 30 (bo wtedy to będzie download klienta), a nie ograniczy Cię upload serwera, bo wtedy będzie na nim 150.