Nie jesteś zalogowany. Proszę się zalogować lub zarejestrować.
eko.one.pl → Oprogramowanie / Software → Openwrt vpn poprzez n2n lub wireguard
Strony Poprzednia 1 2 3 4 Następna
Zaloguj się lub zarejestruj by napisać odpowiedź
A coś więcej, jest to zależne od operatora obsługującego połączenie po stronie klienta? Jak to można ustalić?
Co i gdzie ewentualnie wpisać?
Ustaw sobie na stałe jakieś dnsy, np. google 8.8.8.8 i zobaczysz czy wszystko działa (na kliencie).
Tak się wtrącę....
- jak na mnie to brak routing zwrotnego na głównym routerze do sieci na routerem klienckim (ping i traceroute twoim przyjacielem )
- nie wiem po co jest jest DNAT na kliencie
- zamiast bawić się w kilka regułek dla strefy wg, prościej jest ten (wg0) interfejs włączyć do lan'u.
Jarek
@sugnuf w tej chwili nie mam dostępu do serwera. Traceroute to dla mnie ciemna magia.
A z tym DNAT to możesz coś więcej napisać o co chodzi? I z tą ostatnią sugestią o połączeniu interfejsów.
A jak powinna wyglądać konfiguracja WAN-u jako wireguard? Bo widzę, że jest taka opcja w GUI i może tak spróbuję to skonfigurować.
Generalnie dobrze by było gdyby Netgear będący klientem wireguard był za Huawejem będącym bramą na LTE.
Liczę na wyrozumiałość i dalsze sugestie.
trochę chaosu jest w temacie - pokaż jeszcze raz cały config z serwera
cat /etc/config/network cat /etc/config/firewallWAN: 192.168.1.17, proto: dhcp |
| LAN: 192.168.6.1, leases: 1 |
-----------------------------------------------------------------------------
root@OpenWrt:~# cat /etc/config/network
config interface 'loopback'
option ifname 'lo'
option proto 'static'
option ipaddr '127.0.0.1'
option netmask '255.0.0.0'
config globals 'globals'
option ula_prefix 'fd2c:8e38:5891::/48'
config interface 'lan'
option type 'bridge'
option ifname 'eth0.1'
option proto 'static'
option ipaddr '192.168.6.1'
option netmask '255.255.255.0'
option ip6assign '60'
config device 'lan_dev'
option name 'eth0.1'
option macaddr 'x:x:x:x:x:x'
config interface 'wan'
option ifname 'eth0.2'
option proto 'dhcp'
config device 'wan_dev'
option name 'eth0.2'
option macaddr 'x:x:x:x:x:x'
config interface 'wan6'
option ifname 'eth0.2'
option proto 'dhcpv6'
config switch
option name 'switch0'
option reset '1'
option enable_vlan '1'
config switch_vlan
option device 'switch0'
option vlan '1'
option ports '0 1 2 3 6t'
config switch_vlan
option device 'switch0'
option vlan '2'
option ports '4 6t'
config interface 'wg0'
option proto 'wireguard'
option private_key 'xxxxxxxx'
option listen_port '55055'
list addresses '10.9.0.1/24'
config wireguard_wg0
option public_key 'xxxxxxxxx'
option route_allowed_ips '1'
list allowed_ips '10.9.0.2/32'
option persistent_keepalive '25'
option description 'openwrt'
config wireguard_wg0
option public_key 'xxxxxxxx'
option route_allowed_ips '1'
list allowed_ips '10.9.0.3/32'
option persistent_keepalive '25'
option description 'android'root@OpenWrt:~# cat /etc/config/firewall
config defaults
option syn_flood '1'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'REJECT'
config zone
option name 'lan'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'ACCEPT'
option network 'lan'
config zone
option name 'wan'
option input 'REJECT'
option output 'ACCEPT'
option forward 'REJECT'
option masq '1'
option mtu_fix '1'
option network 'wan wan6'
config forwarding
option src 'lan'
option dest 'wan'
config rule
option name 'Allow-DHCP-Renew'
option src 'wan'
option proto 'udp'
option dest_port '68'
option target 'ACCEPT'
option family 'ipv4'
config rule
option name 'Allow-Ping'
option src 'wan'
option proto 'icmp'
option icmp_type 'echo-request'
option family 'ipv4'
option target 'ACCEPT'
config rule
option name 'Allow-IGMP'
option src 'wan'
option proto 'igmp'
option family 'ipv4'
option target 'ACCEPT'
config rule
option name 'Allow-DHCPv6'
option src 'wan'
option proto 'udp'
option src_ip 'fc00::/6'
option dest_ip 'fc00::/6'
option dest_port '546'
option family 'ipv6'
option target 'ACCEPT'
config rule
option name 'Allow-MLD'
option src 'wan'
option proto 'icmp'
option src_ip 'fe80::/10'
list icmp_type '130/0'
list icmp_type '131/0'
list icmp_type '132/0'
list icmp_type '143/0'
option family 'ipv6'
option target 'ACCEPT'
config rule
option name 'Allow-ICMPv6-Input'
option src 'wan'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
list icmp_type 'router-solicitation'
list icmp_type 'neighbour-solicitation'
list icmp_type 'router-advertisement'
list icmp_type 'neighbour-advertisement'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'
config rule
option name 'Allow-ICMPv6-Forward'
option src 'wan'
option dest '*'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'
config rule
option name 'Allow-IPSec-ESP'
option src 'wan'
option dest 'lan'
option proto 'esp'
option target 'ACCEPT'
config rule
option name 'Allow-ISAKMP'
option src 'wan'
option dest 'lan'
option dest_port '500'
option proto 'udp'
option target 'ACCEPT'
config include
option path '/etc/firewall.user'
config rule
option src 'wan'
option target 'ACCEPT'
option proto 'udp'
option dest_port '55055'
option name 'wireguard'
config zone
option name 'wg'
option input 'ACCEPT'
option forward 'ACCEPT'
option output 'ACCEPT'
option masq '1'
option network 'wg0'
config forwarding
option src 'wg'
option dest 'wan'
config forwarding
option src 'wan'
option dest 'wg'
config forwarding
option src 'wg'
option dest 'lan'
config forwarding
option src 'lan'
option dest 'wg'wyglada na to ze nie masz ustawionych dns - poczytaj https://eko.one.pl/?p=openwrt-dns
dopisz do sekcji wan
option dns '208.67.220.220 208.67.222.222'
option peerdns '0'
albo inne nap 8.8.8.8 czy jakich tam uzywasz
Na telefonie Ci działało bo pewnie miałeś ustawiony dns 8.8.8.8 ale tam mozesz tez wskazac na adres routera , to opisuje poradnik Cezarego od wierguard
A ja twierdze, że brak routingu na routerze robiącym za serwer.
Trzeba dodać: list allowed_ips 'x.x.x.x/x' - te x'y to sieć lan od drugiego routera (rozumiem, że masz rożne podsieci w lan'ach), dla sekcji wg0 pewnie z description 'openwrt'.
Telefon działa (router kliencki także), bo komunikuje się serwerem przez ip z puli 10.9.0.0/24.
Jarek.
@ad2014 w telefonie mam allowed IPs 0.0.0.0/0, jednak wczoraj DNS-y ustawiałem na routerze kliencie a nie na serwerze (nie byłem fizycznie przy nim).
Zdaje się, że nie przeczytałem ze zrozumieniem tego wpisy Cezarego:
Ustaw sobie na stałe jakieś dnsy, np. google 8.8.8.8 i zobaczysz czy wszystko działa (na kliencie).
Czyli DNS-y mam ustawić na WAN a nie na LAN i w routerze serwerze a nie kliencie jak robiłem to wczoraj?
Bo i takie poradniki wczoraj czytałem i przerabiałem. DNS z opcją 3 i 6 ale wszystko bez sukcesu.
@sugnuf Twoją sugestię też sprawdzę ale pewnie jutro. Na routerach mam różne podsieci -
po stronie serwera 192.168.1.1 (brama) > 192.168.6.1 (serwer wg)
a po stronie klienta 192.168.8.1 (brama) > 192 168.9.1 (klient wg) jeżeli o to pytasz?
Router kliencki łączył się z serwerem ale nie miałem internetu. Samo połączenie VPN wg mnie działało.
Jutro próbuję dalej bo muszę klienta chyba "wyzerować" i od nowa to wszystko ustawić, tyle wczoraj różnych wpisów robiłem i w konfigu network i dhcp. Dzięki za chęć niesienia pomocy.
DNS mozesz ustawic na serwerze jak i na klijencie - jezeli w aplikacji wpiszesz w sekcji Interface > DNS serwers 8.8.8.8 to bedziesz miał zapytania wysyłane do google , a jak wpiszesz adres routera to router robi za dns i wysle zapytanie na adres jaki masz tam ustawiony .
Czy jest szansa na aktualizacje (bardziej łopatologicznie) poradnika Wireguarda dla osób które mają mniejsze wiedzę/doświadczenie ?
Robiłem krok po kroku zgodnie z poradnikiem ale niechce się to połączyć, a czytając ten wątek wiele osób ma problem z zestawieniem tej usługi
W sumie nie ma już co bardziej łopatologicznie pisać. Robisz, sprawdzasz czy interfejsy wstały i tyle. Nawet w luci to możesz wyklikać.
Do czego służy w Luci interface wireguard.
To jest do skonfigurowania routera jako klienta (peer'a) w GUI czy do czegoś innego?
Następnie gdybym chciał łączyć konkretne ip w jednej i drugiej sieci LAN to muszę zrobić to przez konfigurację routingu, ale w którym pliku?
Maskarady, warstwy, trochę tego jest, jak to ogarnąć?
Może się źle wyraziłem, gdybym chciał mieć dostęp do całego otoczenia sieciowego przciwległej sieci lan spiętej wireguard to, który z tych temtów jest odpowiedni? A może jeszcze coś innego?
https://eko.one.pl/forum/viewtopic.php?id=19902
https://eko.one.pl/forum/viewtopic.php?id=19675
https://eko.one.pl/forum/viewtopic.php?id=19459
Wcześniej myślałem że wystarczy (chociaż w moim przypadku to będzie mega wyzwanie) skonfigurować gdzieś routing, teraz jeszcze czytam o jakimś GRE.
Dodatkowo u mnie routery będące serwerem i klientem wg nie są routerami brzegowymi tylko stoją za sprzętem bez openwrt. Rozumiem, że serwer wg musi mieć uruchomiony serwer DHCP, żeby zarządzać całym ruchem przez niego obsługiwanym, czyli nie może mieć na stałe przypisanego IP od serwera brzegowego?
W tej chwili moja konfiguracja wygląda tak jak w tym poście:
https://eko.one.pl/forum/viewtopic.php? … 53#p228053
zmienia się tylko ewentualnie sposób połączenia klienta do internetu.
Tak, wiregiard w luci służy do skonfigurowania peera i sprawdzenia statusu połączenia.
Więc mozna by prosic o mały „tutorial” jak z poziomu Luci zrobic konfiguracje
Taki tutorial dla „zielonych” 
...
Serio? Z konsoli zrobisz to 10 razy szybciej. Ale jak wolisz: https://dariusz.wieckiewicz.org/instala … wireguard/ i kilkanaśnie innych w googlach.
Faktycznie masakrala(dla mnie) a z konsoli jak to idzie? Prosze podeslac jakis link .
Peer to jak rozumiem kazde urządzenie ktore jest podlączone do routera ??
Na eko.one.pl masz poradnik.
Tak, peer to każdy węzeł vpna.
Drodzy, śledzę cały wątek, bo spodobał mi się Wireguard więc dokonałem konfiguracji kropka w kropkę z poradnika Cezarego.
Zastanawiam się czy można w takim razie skonfigurować tak, by jeden Klient pozostał tak jak jest, czyli następuje przekierowanie całego ruchu klienta przez tunel vpn, zaś drugi ma mieć tylko dostęp do zasobów LAN'u (192.168.11.X) z tego samego routera, mając na wyjściu pierwotne zewn. IP operatora gsm.
Dwaj Klienci to tel na androidzie. Co należy dopisać (lub wyrzucić) z tej standardowej konfiguracji, by móc to osiągnąć ?
/etc/config/network
config interface 'wg0'
option proto 'wireguard'
option private_key 'XXXX'
option listen_port '12345'
list addresses '10.11.0.1/24'
config wireguard_wg0
option public_key 'XXXX'
option route_allowed_ips '1'
list allowed_ips '10.11.0.2/32'
option persistent_keepalive '25'
option description 'android1'
config wireguard_wg0
option public_key 'XXXX'
option route_allowed_ips '1'
list allowed_ips '10.11.0.3/32'
option persistent_keepalive '25'
option description 'android2' /etc/config/firewall - część wireguarda:
config rule
option src 'wan'
option target 'ACCEPT'
option proto 'udp'
option dest_port '12345'
option name 'wireguard'
config zone
option name 'wg'
option input 'ACCEPT'
option forward 'ACCEPT'
option output 'ACCEPT'
option masq '1'
option network 'wg0'
config forwarding
option src 'wg'
option dest 'wan'
config forwarding
option src 'wan'
option dest 'wg'
config forwarding
option src 'wg'
option dest 'lan'
config forwarding
option src 'lan'
option dest 'wg'Będę zobowiązany za podpowiedzi, ew. naprostowanie
W kliencie androida można wybrać, które aplikacje mają korzystać z wireguard. Zaznacz te, które mają wychodzić przez tunel ( mieć dostęp do zasobów lan na końcu tunelu OpenWrt), a pozostałe aplikacje będą pomijać tunel.
W androidzie inaczej pewnie byłoby trudno.
Rozumiem, jednakże Klienci na Andku to będą użytkownicy na których po udostępnieniu klucza publicznego, nie będę miał żadnego wpływu, dlatego bardziej chodzi mi o konfigurację po stronie serwera, by niezależnie od zmiany przez nich ustawień, będą mieli tylko taką trasę jaką założy admin. Czyli 1wszy użytkownik - cały ruch przez vpn'a, drugi tylko dostęp do zasobów lokalnych 192.168.11.xxx oraz oczywiście, żeby się widział wzajemnie z Klientem 1wszym.
Jakby tak się dało to byłbym prze szczęśliwy
Zapewne potrzebny będzie specyficzny routing po stronie OpenWrt.
Wireguard to połączenie site-to-site. Mamy tutaj końce tunelu, a nie połączenie serwer<->klienci (jak przy OpenVPN).
Ustawienie 'Allowed IPs 192.168.11.xxx/xx' na kliencie pewnie zrobiłoby sprawę, ale bez kontroli nad androidem to tylko życzenie.
10.11.0.x/32 jako adres klienta na końcu tunelu musiałoby być poddane routingowi na OpenWrt, ale wymaga potwierdzenia przez obeznanych użytkowników.
Rozumiem, jednakże Klienci na Andku to będą użytkownicy na których po udostępnieniu klucza publicznego, nie będę miał żadnego wpływu, dlatego bardziej chodzi mi o konfigurację po stronie serwera, by niezależnie od zmiany przez nich ustawień, będą mieli tylko taką trasę jaką założy admin. Czyli 1wszy użytkownik - cały ruch przez vpn'a, drugi tylko dostęp do zasobów lokalnych 192.168.11.xxx oraz oczywiście, żeby się widział wzajemnie z Klientem 1wszym.
Jakby tak się dało to byłbym prze szczęśliwy
Ustawiasz dwie instancje wireguarda i każda ma inne prawa na firewallu w routerze.
Ustawiasz dwie instancje wireguarda i każda ma inne prawa na firewallu w routerze.
To jest świetna myśl.
Mógłbym wtedy mieć użytkowników uprawnionych do 'pass through' (wariant1) oraz takich, którzy mają widzieć tylko zasoby lokalne i innych użytkowników (wariant2).
W pierwszej kolejności skupię na poszukaniu konfiguracji jednej instancji, która nie pozwoli żadnemu użytkownikowi na 'pass through' (wariant2).
Zapewne potrzebny będzie specyficzny routing po stronie OpenWrt. (...)
No właśnie jak to zrobić Może ktoś już przytaczał taki przykład w tym lub innym wątku, a ja z niewiedzy terminologii go nie zauważyłem nawet.
Teoretycznie, to chyba nie powinna być bardzo skomplikowana i różniąca się konfiguracja od tej przytoczonej w poradniku.
Być może ktoś z Szanownych Forumowiczów już wcześniej realizował takie lub zbliżone zadanie ?
--EDIT--
Miałem dziś chwilę by przysiąść do tematu i zrozumiałem wreszcie jak to działa. No i udało się. Rozwiązanie oczywiście było banalne, ale jak to stary człowiek, bywa, że ślepy, nie widział opcji w andkowej apce (pod ustawieniami interfejsu) o enigmatycznej nazwie "All applications", pod którą to kryją się dwie listy:
- apek dozwolonych
- apek zabronionych
Jak już pewnie się domyślacie, wystarczy do dozwolonych dodać interesującą nas - w moim przypadku Conversations, wtedy przeglądarka i cała reszta nie będzie "tunelowana", zaś w ustawieniach firewalla na serwerze wystarczy NIE dodawać bądź zakomentować wpisy:
#config forwarding
# option src 'wg'
# option dest 'wan'wtedy nawet jak Klient pokusi się o tunelowanie przeglądarki lub czegokolwiek to firewall nie puści go dalej. Ot takie to proste rozwiązanie było, że aż człek sam z siebie brechta
Serdecznie dziękuję Użytkownikom za cenne sugestie, szczególnie za pomysł z podwójną instancją. Może powyższe komuś się przyda, albo i nie (bo było tak oczywiste, że tylko ja się nad tym zastanawiałem 
)
Strony Poprzednia 1 2 3 4 Następna
Zaloguj się lub zarejestruj by napisać odpowiedź
eko.one.pl → Oprogramowanie / Software → Openwrt vpn poprzez n2n lub wireguard
Forum oparte o PunBB, wspierane przez Informer Technologies, Inc