51

Odp: Openwrt vpn poprzez n2n lub wireguard

A coś więcej, jest to zależne od operatora obsługującego połączenie po stronie klienta? Jak to można ustalić?
Co i gdzie ewentualnie wpisać?

52

Odp: Openwrt vpn poprzez n2n lub wireguard

Ustaw sobie na stałe jakieś dnsy, np. google 8.8.8.8 i zobaczysz czy wszystko działa (na kliencie).

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

53

Odp: Openwrt vpn poprzez n2n lub wireguard

Tak się wtrącę....
- jak na mnie to brak routing zwrotnego na głównym routerze do sieci na routerem klienckim (ping i traceroute twoim przyjacielem )
- nie wiem po co jest jest DNAT na kliencie
- zamiast bawić się w kilka regułek dla strefy wg, prościej jest ten (wg0) interfejs włączyć do lan'u.

Jarek

54

Odp: Openwrt vpn poprzez n2n lub wireguard

@sugnuf w tej chwili nie mam dostępu do serwera. Traceroute to dla mnie ciemna magia.
A z tym DNAT to możesz coś więcej napisać o co chodzi? I z tą ostatnią sugestią o połączeniu interfejsów.

A jak powinna wyglądać konfiguracja WAN-u jako wireguard? Bo widzę, że jest taka opcja w GUI i może tak spróbuję to skonfigurować.

Generalnie dobrze by było gdyby Netgear będący klientem wireguard był za Huawejem będącym bramą na LTE.
Liczę na wyrozumiałość i dalsze sugestie.

55

Odp: Openwrt vpn poprzez n2n lub wireguard

trochę chaosu jest w temacie  - pokaż jeszcze raz cały config  z serwera

 cat /etc/config/network
 cat /etc/config/firewall

56

Odp: Openwrt vpn poprzez n2n lub wireguard

WAN: 192.168.1.17, proto: dhcp                                            |
 | LAN: 192.168.6.1, leases: 1                                               |
 -----------------------------------------------------------------------------
root@OpenWrt:~# cat /etc/config/network

config interface 'loopback'
        option ifname 'lo'
        option proto 'static'
        option ipaddr '127.0.0.1'
        option netmask '255.0.0.0'

config globals 'globals'
        option ula_prefix 'fd2c:8e38:5891::/48'

config interface 'lan'
        option type 'bridge'
        option ifname 'eth0.1'
        option proto 'static'
        option ipaddr '192.168.6.1'
        option netmask '255.255.255.0'
        option ip6assign '60'

config device 'lan_dev'
        option name 'eth0.1'
        option macaddr 'x:x:x:x:x:x'

config interface 'wan'
        option ifname 'eth0.2'
        option proto 'dhcp'

config device 'wan_dev'
        option name 'eth0.2'
        option macaddr 'x:x:x:x:x:x'

config interface 'wan6'
        option ifname 'eth0.2'
        option proto 'dhcpv6'

config switch
        option name 'switch0'
        option reset '1'
        option enable_vlan '1'

config switch_vlan
        option device 'switch0'
        option vlan '1'
        option ports '0 1 2 3 6t'

config switch_vlan
        option device 'switch0'
        option vlan '2'
        option ports '4 6t'

config interface 'wg0'
        option proto 'wireguard'
        option private_key 'xxxxxxxx'
        option listen_port '55055'
        list addresses '10.9.0.1/24'

config wireguard_wg0
        option public_key 'xxxxxxxxx'
        option route_allowed_ips '1'
        list allowed_ips '10.9.0.2/32'
        option persistent_keepalive '25'
        option description 'openwrt'

config wireguard_wg0
        option public_key 'xxxxxxxx'
        option route_allowed_ips '1'
        list allowed_ips '10.9.0.3/32'
        option persistent_keepalive '25'
        option description 'android'

root@OpenWrt:~# cat /etc/config/firewall

config defaults
        option syn_flood '1'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'REJECT'

config zone
        option name 'lan'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'ACCEPT'
        option network 'lan'

config zone
        option name 'wan'
        option input 'REJECT'
        option output 'ACCEPT'
        option forward 'REJECT'
        option masq '1'
        option mtu_fix '1'
        option network 'wan wan6'

config forwarding
        option src 'lan'
        option dest 'wan'

config rule
        option name 'Allow-DHCP-Renew'
        option src 'wan'
        option proto 'udp'
        option dest_port '68'
        option target 'ACCEPT'
        option family 'ipv4'

config rule
        option name 'Allow-Ping'
        option src 'wan'
        option proto 'icmp'
        option icmp_type 'echo-request'
        option family 'ipv4'
        option target 'ACCEPT'

config rule
        option name 'Allow-IGMP'
        option src 'wan'
        option proto 'igmp'
        option family 'ipv4'
        option target 'ACCEPT'

config rule
        option name 'Allow-DHCPv6'
        option src 'wan'
        option proto 'udp'
        option src_ip 'fc00::/6'
        option dest_ip 'fc00::/6'
        option dest_port '546'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-MLD'
        option src 'wan'
        option proto 'icmp'
        option src_ip 'fe80::/10'
        list icmp_type '130/0'
        list icmp_type '131/0'
        list icmp_type '132/0'
        list icmp_type '143/0'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-ICMPv6-Input'
        option src 'wan'
        option proto 'icmp'
        list icmp_type 'echo-request'
        list icmp_type 'echo-reply'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'
        list icmp_type 'router-solicitation'
        list icmp_type 'neighbour-solicitation'
        list icmp_type 'router-advertisement'
        list icmp_type 'neighbour-advertisement'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-ICMPv6-Forward'
        option src 'wan'
        option dest '*'
        option proto 'icmp'
        list icmp_type 'echo-request'
        list icmp_type 'echo-reply'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-IPSec-ESP'
        option src 'wan'
        option dest 'lan'
        option proto 'esp'
        option target 'ACCEPT'

config rule
        option name 'Allow-ISAKMP'
        option src 'wan'
        option dest 'lan'
        option dest_port '500'
        option proto 'udp'
        option target 'ACCEPT'

config include
        option path '/etc/firewall.user'

config rule
        option src 'wan'
        option target 'ACCEPT'
        option proto 'udp'
        option dest_port '55055'
        option name 'wireguard'

config zone
        option name 'wg'
        option input 'ACCEPT'
        option forward 'ACCEPT'
        option output 'ACCEPT'
        option masq '1'
        option network 'wg0'

config forwarding
        option src 'wg'
        option dest 'wan'

config forwarding
        option src 'wan'
        option dest 'wg'

config forwarding
        option src 'wg'
        option dest 'lan'

config forwarding
        option src 'lan'
        option dest 'wg'

57

Odp: Openwrt vpn poprzez n2n lub wireguard

wyglada na to ze nie masz ustawionych dns  - poczytaj https://eko.one.pl/?p=openwrt-dns
dopisz do sekcji wan

    
option dns '208.67.220.220  208.67.222.222'
option peerdns '0'

 
albo inne nap 8.8.8.8   czy jakich tam uzywasz 
Na telefonie Ci działało bo pewnie miałeś ustawiony dns  8.8.8.8   ale tam mozesz tez wskazac na adres routera ,  to opisuje poradnik Cezarego od wierguard

58

Odp: Openwrt vpn poprzez n2n lub wireguard

A ja twierdze, że brak routingu na routerze robiącym za serwer.
Trzeba dodać: list allowed_ips 'x.x.x.x/x' - te x'y to sieć lan od drugiego routera (rozumiem, że masz rożne podsieci w lan'ach), dla sekcji wg0 pewnie z description 'openwrt'.

Telefon działa (router kliencki także), bo komunikuje się serwerem przez ip z puli 10.9.0.0/24.


Jarek.

59

Odp: Openwrt vpn poprzez n2n lub wireguard

@ad2014 w telefonie mam allowed IPs 0.0.0.0/0, jednak wczoraj DNS-y ustawiałem na routerze kliencie a nie na serwerze (nie byłem fizycznie przy nim).
Zdaje się, że nie przeczytałem ze zrozumieniem tego wpisy Cezarego:

Cezary napisał/a:

Ustaw sobie na stałe jakieś dnsy, np. google 8.8.8.8 i zobaczysz czy wszystko działa (na kliencie).

Czyli DNS-y mam ustawić na WAN a nie na LAN i w routerze serwerze a nie kliencie jak robiłem to wczoraj?

Bo i takie poradniki wczoraj czytałem i przerabiałem. DNS z opcją 3 i 6 ale wszystko bez sukcesu.


@sugnuf Twoją sugestię też sprawdzę ale pewnie jutro. Na routerach mam różne podsieci -
po stronie serwera 192.168.1.1 (brama) > 192.168.6.1 (serwer wg)
a po stronie klienta 192.168.8.1 (brama) > 192 168.9.1 (klient wg) jeżeli o to pytasz?

Router kliencki łączył się z serwerem ale nie miałem internetu. Samo połączenie VPN wg mnie działało.

Jutro próbuję dalej bo muszę klienta chyba "wyzerować" i od nowa to wszystko ustawić, tyle wczoraj różnych wpisów robiłem i w konfigu network i dhcp. Dzięki za chęć niesienia pomocy.

60

Odp: Openwrt vpn poprzez n2n lub wireguard

DNS mozesz ustawic na serwerze jak i na klijencie  -  jezeli w aplikacji wpiszesz  w sekcji Interface  > DNS serwers  8.8.8.8  to bedziesz miał zapytania wysyłane do google   ,  a jak wpiszesz adres routera  to  router robi za dns i wysle zapytanie na adres jaki masz tam ustawiony .

61

Odp: Openwrt vpn poprzez n2n lub wireguard

Czy jest szansa na aktualizacje (bardziej łopatologicznie)  poradnika Wireguarda dla osób które mają mniejsze wiedzę/doświadczenie ?

Robiłem krok po kroku zgodnie z poradnikiem ale niechce się to połączyć, a czytając ten wątek wiele osób ma problem z zestawieniem tej usługi

62

Odp: Openwrt vpn poprzez n2n lub wireguard

W sumie nie ma już co bardziej łopatologicznie pisać. Robisz, sprawdzasz czy interfejsy wstały i tyle. Nawet w luci to możesz wyklikać.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

63 (edytowany przez gonzales 2020-05-17 00:33:55)

Odp: Openwrt vpn poprzez n2n lub wireguard

Do czego służy w Luci interface wireguard.
To jest do skonfigurowania routera jako klienta (peer'a) w GUI czy do czegoś innego?
Następnie gdybym chciał łączyć konkretne ip w jednej i drugiej sieci LAN to muszę zrobić to przez konfigurację routingu, ale w którym pliku?
Maskarady, warstwy, trochę tego jest, jak to ogarnąć?
Może się źle wyraziłem, gdybym chciał mieć dostęp do całego otoczenia sieciowego przciwległej sieci lan spiętej wireguard to, który z  tych temtów jest odpowiedni? A może jeszcze coś innego?
https://eko.one.pl/forum/viewtopic.php?id=19902
https://eko.one.pl/forum/viewtopic.php?id=19675
https://eko.one.pl/forum/viewtopic.php?id=19459
Wcześniej myślałem że wystarczy (chociaż w moim przypadku to będzie mega wyzwanie) skonfigurować gdzieś routing, teraz jeszcze czytam o jakimś GRE.

Dodatkowo u mnie routery będące serwerem i klientem wg nie są routerami brzegowymi tylko stoją za sprzętem bez openwrt. Rozumiem, że serwer wg musi mieć uruchomiony serwer DHCP, żeby zarządzać całym ruchem przez niego obsługiwanym, czyli nie może mieć na stałe przypisanego IP od serwera brzegowego?
W tej chwili moja konfiguracja wygląda tak jak w tym poście:
https://eko.one.pl/forum/viewtopic.php? … 53#p228053
zmienia się tylko ewentualnie sposób połączenia klienta do internetu.

64

Odp: Openwrt vpn poprzez n2n lub wireguard

Tak, wiregiard w luci służy do skonfigurowania peera i sprawdzenia statusu połączenia.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

65 (edytowany przez slawinio82 2020-05-31 18:41:57)

Odp: Openwrt vpn poprzez n2n lub wireguard

Więc mozna by prosic o mały „tutorial” jak z poziomu Luci zrobic konfiguracje

Taki tutorial dla „zielonych” smile

66 (edytowany przez slawinio82 2020-05-31 18:37:07)

Odp: Openwrt vpn poprzez n2n lub wireguard

...

67

Odp: Openwrt vpn poprzez n2n lub wireguard

Serio? Z konsoli zrobisz to 10 razy szybciej. Ale jak wolisz: https://dariusz.wieckiewicz.org/instala … wireguard/ i kilkanaśnie innych w googlach.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

68 (edytowany przez slawinio82 2020-05-31 19:02:05)

Odp: Openwrt vpn poprzez n2n lub wireguard

Faktycznie masakrala(dla mnie) a z konsoli jak to idzie? Prosze podeslac jakis link .


Peer to jak rozumiem kazde urządzenie ktore jest podlączone do routera ??

69

Odp: Openwrt vpn poprzez n2n lub wireguard

Na eko.one.pl masz poradnik.

Tak, peer to każdy węzeł vpna.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

70

Odp: Openwrt vpn poprzez n2n lub wireguard

Drodzy, śledzę cały wątek, bo spodobał mi się Wireguard więc dokonałem konfiguracji kropka w kropkę z poradnika Cezarego.
Zastanawiam się czy można w takim razie skonfigurować tak, by jeden Klient pozostał tak jak jest, czyli następuje przekierowanie całego ruchu klienta przez tunel vpn, zaś drugi ma mieć tylko dostęp do zasobów LAN'u (192.168.11.X) z tego samego routera, mając na wyjściu pierwotne zewn. IP operatora gsm.
Dwaj Klienci to tel na androidzie. Co należy dopisać (lub wyrzucić) z tej standardowej konfiguracji, by móc to osiągnąć ?

/etc/config/network

config interface 'wg0'                                                   
        option proto 'wireguard'                                         
        option private_key 'XXXX'
        option listen_port '12345'                                       
        list addresses '10.11.0.1/24'                                    
                                                                         
config wireguard_wg0                                                     
        option public_key 'XXXX' 
        option route_allowed_ips '1'                                     
        list allowed_ips '10.11.0.2/32'                                  
        option persistent_keepalive '25'                                 
        option description 'android1'                                   
                                                                        
config wireguard_wg0                                                    
        option public_key 'XXXX'
        option route_allowed_ips '1'                                    
        list allowed_ips '10.11.0.3/32'                                 
        option persistent_keepalive '25'                                
        option description 'android2' 

/etc/config/firewall - część wireguarda:

config rule                                                                     
        option src 'wan'                                                        
        option target 'ACCEPT'                                                  
        option proto 'udp'                                                      
        option dest_port '12345'                                                
        option name 'wireguard'                                                 
                                                                                
config zone                                                                     
        option name 'wg'                                                        
        option input 'ACCEPT'                                                   
        option forward 'ACCEPT'                                                 
        option output 'ACCEPT'                                                  
        option masq '1'                                                         
        option network 'wg0'                                                    
                                                                                
config forwarding                                                               
        option src 'wg'                                                         
        option dest 'wan'                                                       
                                                                                
config forwarding                                                               
        option src 'wan'                                                        
        option dest 'wg'                                                        
                                                                                
config forwarding                                                               
        option src 'wg'                                                         
        option dest 'lan'                                                       
                                                                                
config forwarding                                                               
        option src 'lan'                                                        
        option dest 'wg'

Będę zobowiązany za podpowiedzi, ew. naprostowanie smile

71

Odp: Openwrt vpn poprzez n2n lub wireguard

W kliencie androida można wybrać, które aplikacje mają korzystać z wireguard. Zaznacz te, które mają wychodzić przez tunel ( mieć dostęp do zasobów lan na końcu tunelu OpenWrt), a pozostałe aplikacje będą pomijać tunel.
W androidzie inaczej pewnie byłoby trudno.

72

Odp: Openwrt vpn poprzez n2n lub wireguard

Rozumiem, jednakże Klienci na Andku to będą użytkownicy na których po udostępnieniu klucza publicznego, nie będę miał żadnego wpływu, dlatego bardziej chodzi mi o konfigurację po stronie serwera, by niezależnie od zmiany przez nich ustawień, będą mieli tylko taką trasę jaką założy admin. Czyli 1wszy użytkownik - cały ruch przez vpn'a, drugi tylko dostęp do zasobów lokalnych 192.168.11.xxx oraz oczywiście, żeby się widział wzajemnie z Klientem 1wszym.
Jakby tak się dało to byłbym prze szczęśliwy smile

73

Odp: Openwrt vpn poprzez n2n lub wireguard

Zapewne potrzebny będzie specyficzny routing po stronie OpenWrt.
Wireguard to połączenie site-to-site. Mamy tutaj końce tunelu, a nie połączenie serwer<->klienci (jak przy OpenVPN).
Ustawienie 'Allowed IPs 192.168.11.xxx/xx' na kliencie pewnie zrobiłoby sprawę, ale bez kontroli nad androidem to tylko życzenie.
10.11.0.x/32 jako adres klienta na końcu tunelu musiałoby być poddane routingowi na OpenWrt, ale wymaga potwierdzenia przez obeznanych użytkowników.

74

Odp: Openwrt vpn poprzez n2n lub wireguard

routheros napisał/a:

Rozumiem, jednakże Klienci na Andku to będą użytkownicy na których po udostępnieniu klucza publicznego, nie będę miał żadnego wpływu, dlatego bardziej chodzi mi o konfigurację po stronie serwera, by niezależnie od zmiany przez nich ustawień, będą mieli tylko taką trasę jaką założy admin. Czyli 1wszy użytkownik - cały ruch przez vpn'a, drugi tylko dostęp do zasobów lokalnych 192.168.11.xxx oraz oczywiście, żeby się widział wzajemnie z Klientem 1wszym.
Jakby tak się dało to byłbym prze szczęśliwy smile


Ustawiasz dwie instancje wireguarda i każda ma inne prawa na firewallu w routerze.

Mam i używam: Linksysy 1900ACS, LB-Link BL-W1200, Netgear R6220, Unielec U7621-06, TP-Linki 1043 V1, V2.
Mam: D-Linki DWR-921, DWR-118, DWR-116, TP-Link WDR-4900 v1, Checkpoint L-50.

75 (edytowany przez routheros 2020-06-02 22:44:42)

Odp: Openwrt vpn poprzez n2n lub wireguard

Królik napisał/a:

Ustawiasz dwie instancje wireguarda i każda ma inne prawa na firewallu w routerze.

To jest świetna myśl.
Mógłbym wtedy mieć użytkowników uprawnionych do 'pass through' (wariant1) oraz takich, którzy mają widzieć tylko zasoby lokalne i innych użytkowników (wariant2).

W pierwszej kolejności skupię na poszukaniu konfiguracji jednej instancji, która nie pozwoli żadnemu użytkownikowi na  'pass through' (wariant2).

maslako napisał/a:

Zapewne potrzebny będzie specyficzny routing po stronie OpenWrt. (...)

No właśnie jak to zrobić smile Może ktoś już przytaczał taki przykład w tym lub innym wątku, a ja z niewiedzy terminologii go nie zauważyłem nawet.
Teoretycznie, to chyba nie powinna być bardzo skomplikowana i różniąca się konfiguracja od tej przytoczonej w poradniku.
Być może ktoś z Szanownych Forumowiczów już wcześniej realizował takie lub zbliżone zadanie ?


--EDIT--

Miałem dziś chwilę by przysiąść do tematu i zrozumiałem wreszcie jak to działa. No i udało się. Rozwiązanie oczywiście było banalne, ale jak to stary człowiek, bywa, że ślepy, nie widział opcji w andkowej apce (pod ustawieniami interfejsu) o enigmatycznej nazwie "All applications", pod którą to kryją się dwie listy:
- apek dozwolonych
- apek zabronionych

Jak już pewnie się domyślacie, wystarczy do dozwolonych dodać interesującą nas - w moim przypadku Conversations, wtedy przeglądarka i cała reszta nie będzie "tunelowana", zaś w ustawieniach firewalla na serwerze wystarczy NIE dodawać bądź zakomentować wpisy:

#config forwarding                    
#       option src 'wg'        
#       option dest 'wan'

wtedy nawet jak Klient pokusi się o tunelowanie przeglądarki lub czegokolwiek to firewall nie puści go dalej. Ot takie to proste rozwiązanie było, że aż człek sam z siebie brechta smile

Serdecznie dziękuję Użytkownikom za cenne sugestie, szczególnie za pomysł z podwójną instancją. Może powyższe komuś się przyda, albo i nie (bo było tak oczywiste, że tylko ja się nad tym zastanawiałem big_smile)