1 Temat przez pazdzioch (edytowany przez pazdzioch 2020-01-30 15:14:53)

  • Zarejestrowany: 2018-05-25
  • Posty: 385

Temat: Wireguard konfiguracja klienta na OpenWRT - post rozpaczy :)

Witam, od dwóch dni próbuje zestawic na na Netgear R6220 klienta Wireguard z dostępem do internetu LAN/WiFi, ale mi to nie wychodzi, a moze i w jakimś stopniu wychodzi ponieważ serwer widzi openwrt i bedac zalogowanym jako inny klient na telefonie moge sie dostac do niego za pomocą adresu 10.9.0.2.

Tak wiem jest poradnik https://eko.one.pl/?p=openwrt-wireguard
Juz z 15 razy robiłem od nowa konfiguracje zgodnie z poradnikiem, ale ciagle to samo, nie mam internetu podłączajac sie do OpenWRT.
Postawiłem serwer od nowa, telefon działa, laptopt działa, route brak dostepu do internetu.
Może  jednak ja robie cos zle, może w poradniku coś jest nie po kolei.

Czy któs z szanownych użytkoników, mógł by napisac po kolei jak konfigurował klienta OpenWRT na routerze tak aby podłączone urządzenia do niego miały dostęp do internetu?
Dosłownie krok po kroku, interesuje mnie tylko sam klient (router openwrt).
Mam zainstalowany najwnoszy soft 19.07 router na łączu LTE od VirginMobile
Serwer postawiony na Nexxie 3020F - łącze UPC

Dziękuje i licze na pomoc

2 Odpowiedź przez pazdzioch (edytowany przez pazdzioch 2020-01-30 18:13:22)

  • Zarejestrowany: 2018-05-25
  • Posty: 385

Odp: Wireguard konfiguracja klienta na OpenWRT - post rozpaczy :)

Czy dodajac klienta do routera z openwrt procedura powinna wygladac tak ?

# uci add firewall zone
    # uci set firewall.@zone[-1].name='wg'
    # uci set firewall.@zone[-1].input='ACCEPT'
    # uci set firewall.@zone[-1].forward='ACCEPT'
    # uci set firewall.@zone[-1].output='ACCEPT'
    # uci set firewall.@zone[-1].masq='1'
    # uci set firewall.@zone[-1].network='wg0'
    # uci add firewall forwarding
    # uci set firewall.@forwarding[-1].src='wg'
    # uci set firewall.@forwarding[-1].dest='wan'
    # uci add firewall forwarding
    # uci set firewall.@forwarding[-1].src='wan'
    # uci set firewall.@forwarding[-1].dest='wg'
    # uci add firewall forwarding
    # uci set firewall.@forwarding[-1].src='wg'
    # uci set firewall.@forwarding[-1].dest='lan'
    # uci add firewall forwarding
    # uci set firewall.@forwarding[-1].src='lan'
    # uci set firewall.@forwarding[-1].dest='wg'
    # uci commit firewall
    # /etc/init.d/firewall restart

opkg update
    # opkg install wireguard kmod-wireguard wireguard-tools
    # cd /root
    # wg genkey > privkey
    # wg pubkey < privkey > pubkey
    # uci set network.wg0=interface
    # uci set network.wg0.proto="wireguard"
    # uci set network.wg0.private_key="$(cat /root/privkey)"
    # uci add_list network.wg0.addresses="10.9.0.2/32"
    # uci add network wireguard_wg0
    # uci set network.@wireguard_wg0[-1].public_key="tutaj klucz publiczny serwera"
    # uci set network.@wireguard_wg0[-1].route_allowed_ips="1"
    # uci add_list network.@wireguard_wg0[-1].allowed_ips="0.0.0.0/0"
    # uci set network.@wireguard_wg0[-1].endpoint_host="adres ip serwera"
    # uci set network.@wireguard_wg0[-1].endpoint_port="55055"
    # uci set network.@wireguard_wg0[-1].persistent_keepalive="25"
    # uci set network.@wireguard_wg0[-1].description="openwrt"
    # uci commit network
    # /etc/init.d/network restart

Wczesniej instalaujac wireguarda oraz generujac klucze, orazpodajac swoje kluczy otwarte porty i IP wan

3 Odpowiedź przez Bartekk (edytowany przez Bartekk 2020-09-27 17:25:10)

  • Zarejestrowany: 2013-06-30
  • Posty: 805

Odp: Wireguard konfiguracja klienta na OpenWRT - post rozpaczy :)

Nie otwierając nowego wątku - w jaki sposób skonfigurować wireguarda, aby był dostęp tylko do sieci lan za klientem, którym jest router z openwrt bez rutowania całego ruchu przez vpna?

Moja konfiguracja:

config interface 'wg0'
    option proto 'wireguard'
    option private_key 'xx
    list addresses 'xx'

config wireguard_wg0
    option public_key 'xx
    option route_allowed_ips '1'
    list allowed_ips '0.0.0.0/0'
    option endpoint_host 'x'
    option endpoint_port 'x'
    option persistent_keepalive '25'
    option description 'wd-n750'
config rule
    option src 'wan'
    option target 'ACCEPT'
    option proto 'udp'
    option dest_port 'xx'
    option name 'wireguard'

config zone
    option name 'wg'
    option input 'ACCEPT'
    option forward 'ACCEPT'
    option output 'ACCEPT'
    option masq '1'
    option network 'wg0'

config forwarding
    option src 'wg'
    option dest 'wan'

config forwarding
    option src 'wan'
    option dest 'wg'

config forwarding
    option src 'wg'
    option dest 'lan'

config forwarding
    option src 'lan'
    option dest 'wg'

4 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 106,404

Odp: Wireguard konfiguracja klienta na OpenWRT - post rozpaczy :)

W allowed ip podaj tylko ip hosta oraz ip podsieci, nie 0.0.0.0

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

5 Odpowiedź przez Bartekk

  • Zarejestrowany: 2013-06-30
  • Posty: 805

Odp: Wireguard konfiguracja klienta na OpenWRT - post rozpaczy :)

Próbowałem coś takiego:

192.168.10.1 to adres lanu routera

list allowed_ips '192.168.10.0/0'

lub


list allowed_ips '192.168.10.1/0'

i niestety nie działało.

6 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 106,404

Odp: Wireguard konfiguracja klienta na OpenWRT - post rozpaczy :)

Zapomniałeś o adres ip hosta, prawda?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

7 Odpowiedź przez maslako (edytowany przez maslako 2020-09-27 18:46:36)

  • Zarejestrowany: 2016-10-29
  • Posty: 106

Odp: Wireguard konfiguracja klienta na OpenWRT - post rozpaczy :)

Taka maska jest niedozwolona dla tej podsieci. Min to 16.

8 Odpowiedź przez kfulko

  • kfulko
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2018-12-23
  • Posty: 50

Odp: Wireguard konfiguracja klienta na OpenWRT - post rozpaczy :)

Korzystałem z poradnika Cezarego, tylko u mnie pojawił się problem odnośnie oglądania różnych streamów i może koledze to pomoże, musiałem dodać to w /etc/config/firewall

 uci set firewall.cfg0fdc81.mtu_fix='1'

Druga rzecz to czy na peer do którego się łączysz przepuszcza ruch dalej?

9 Odpowiedź przez Bartekk

  • Zarejestrowany: 2013-06-30
  • Posty: 805

Odp: Wireguard konfiguracja klienta na OpenWRT - post rozpaczy :)

Cezary napisał/a:

Zapomniałeś o adres ip hosta, prawda?

O jakim hoście mowa? Chodzi o host serwera vpn?

maslako napisał/a:

Taka maska jest niedozwolona dla tej podsieci. Min to 16.

Czyli najlepiej 

192.168.10.0/24 192.168.10.1/24

?

10 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 106,404

Odp: Wireguard konfiguracja klienta na OpenWRT - post rozpaczy :)

Adresacja hosta po drugiej stronie - nie napisałeś jaką masz adresację tylko wyiksowałeś ją, więc sam napisz jaką masz adresację.

192.168.10.0/24 <- to adresacja sieci
192.168.10.1/24 <- to adresacja tylko jednego komputera.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

11 Odpowiedź przez Bartekk

  • Zarejestrowany: 2013-06-30
  • Posty: 805

Odp: Wireguard konfiguracja klienta na OpenWRT - post rozpaczy :)

Faktycznie, niepotrzebnie usunąłem adresy z konfigów, wklejam więc pełne dla jasności:

[Interface]
Address = 10.0.0.1/24
SaveConfig = true
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
ListenPort = 51820
PrivateKey = xxx

// wd-n750 z openwrt
[Peer]
PublicKey = xxx
AllowedIPs = 10.0.0.2/32, 192.168.10.0/24
Endpoint = xxx

[Peer]
PublicKey = xxx
AllowedIPs = 10.0.0.3/32
Endpoint = xxx

[Peer]
PublicKey = xxxx
AllowedIPs = 10.0.0.4/32
config interface 'wg0'
    option proto 'wireguard'
    option private_key 'xx
    list addresses '10.0.0.2/32'

config wireguard_wg0
    option public_key 'xx
    option route_allowed_ips '1'
    list allowed_ips '0.0.0.0/0
    option endpoint_host '195.201.102.76'
    option endpoint_port '51820'
    option persistent_keepalive '25'
    option description 'wd-n750'

12 Odpowiedź przez xury

  • xury
  • xury
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2010-05-19
  • Posty: 391

Odp: Wireguard konfiguracja klienta na OpenWRT - post rozpaczy :)

Szybkie pytanie:
Dodając kolejnego klienta na serwerze wiadomo dajemy unikalny adres IP
A co z nazwą sieci?
Dodajemy tak samo czyli:
uci add network wireguard_wg0
czy też musi być unikalna np.  uci add network wireguard2_wg0 ?

13 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 106,404

Odp: Wireguard konfiguracja klienta na OpenWRT - post rozpaczy :)

Oczywiście musi być inna, nie możesz mieć 2 sekcji o takiej samej nazwie. I raczej chciałeś to nazwać  wireguard_wg1 i wg1.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

14 Odpowiedź przez xury (edytowany przez xury 2021-01-20 17:41:49)

  • xury
  • xury
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2010-05-19
  • Posty: 391

Odp: Wireguard konfiguracja klienta na OpenWRT - post rozpaczy :)

Aha, dzięki Cezary.
Czyli muszę dać kolejną siec wg1?

config interface 'wg0'
        option proto 'wireguard'
        option private_key 'mojprywatnyklucz1'
        option listen_port '55055'
        list addresses '10.9.0.1/24'

config wireguard_wg0
        option public_key 'mojpubklucz1'
        option route_allowed_ips '1'
        list allowed_ips '10.9.0.3/32'
        option persistent_keepalive '25'
        option description 'android'

config interface 'wg1'
        option proto 'wireguard'
        option private_key 'mojprywatnyklucz2'
        option listen_port '55055'
        list addresses '10.9.0.2/24'

config wireguard_wg1
        option public_key 'mojpubklucz2'
        option route_allowed_ips '1'
        list allowed_ips '10.9.0.4/32'
        option persistent_keepalive '25'
        option description 'laptop'

Czy też nie musi być  na serwerze kolejnego interfejsu wg1 ?
Nie bardzo to rozumiem. Myślałem, że na serwerze wystarczy jeden wg0

15 Odpowiedź przez ad2014

  • ad2014
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-07-04
  • Posty: 1,009

Odp: Wireguard konfiguracja klienta na OpenWRT - post rozpaczy :)

sekcja   config interface 'wg0'     wystarczy  jedna 
potem tylko dodajesz  klijentów  , ustawiasz adresy i nazwy  w sekcji  config wireguard_wg0

16 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 106,404

Odp: Wireguard konfiguracja klienta na OpenWRT - post rozpaczy :)

Ok, więc inaczej. Nie, nie dodajesz, bo tak robisz dla drugiego tunelu. 

Dla drugiego klienta powielasz  config wireguard_wg0 (tylko nie nazywaj tego, zostaw sam config wireguard_wg0)

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

17 Odpowiedź przez piratee

  • Zarejestrowany: 2016-12-08
  • Posty: 564

Odp: Wireguard konfiguracja klienta na OpenWRT - post rozpaczy :)

Na serwerze mam zdefiniowany openvpn (10.8.0.1).
Na czas testów ZTE MF286 uruchomiłem też serwer Wireguard (10.8.0.1)
Gdzie mam ustawić adresację abym mógł np ping-ować komputery z tunelu wireguard do tunelu openvpn.
Czy muszę zrobić na firewall-u przejście pomiędzy wg a tun na serwerze głównym?

np: abym mógł ping-ować 192.168.1. z komputera 1 na komputer 2

list addresses '10.9.0.1/24,192.168.1.0/24'

komputer 1
10.9.0.4
   ||
serwer główny
serwer openvpn ip 10.8.0.1
serwer wireguars 10.9.0.1
    ||
komputer 2
klient openVPN  10.8.0.7
klasa adresowa 192.168.1.0/24

2x ZTE MF 286R OpenWrt 22.03-SNAPSHOT, r19441-3cfe050c4a
TP-LINK Archer C7 v5 - 1.12.0.2 (27ec1e48)
Netgear R6220 Gargoyle PL 1.13.0.0pre9

18 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 106,404

Odp: Wireguard konfiguracja klienta na OpenWRT - post rozpaczy :)

Dodajesz odpowiednie klasy adresowe w allowedip. Tu masz nawet automat: https://openwrt.org/docs/guide-user/ser … te-to-site (o ile działa, bo nie sprawdzałem tego na swoich sprzętach).

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

19 Odpowiedź przez piratee

  • Zarejestrowany: 2016-12-08
  • Posty: 564

Odp: Wireguard konfiguracja klienta na OpenWRT - post rozpaczy :)

Chyba po prostu trzeba się zdecydować albo na openvpn albo na wireguard.
Będzie prościej.

2x ZTE MF 286R OpenWrt 22.03-SNAPSHOT, r19441-3cfe050c4a
TP-LINK Archer C7 v5 - 1.12.0.2 (27ec1e48)
Netgear R6220 Gargoyle PL 1.13.0.0pre9

20 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 106,404

Odp: Wireguard konfiguracja klienta na OpenWRT - post rozpaczy :)

W sumie tak. Taka mieszanka na dobre docelowo nie wyjdzie, bo masz dwa rozwiązania do utrzymania.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

21 Odpowiedź przez piratee

  • Zarejestrowany: 2016-12-08
  • Posty: 564

Odp: Wireguard konfiguracja klienta na OpenWRT - post rozpaczy :)

Teraz na moim pierwszym ZTE mam openvpn i dziwna sprawa ,
Bo zrestartowało wan zrobiło połączenie VPN ale nie mogłem ani pingować ani się dostać do routera.
Przychodząc do pracy wykonałem restart usługi vpn i od razu wykonało dostęp.
Patrząc na dwa rozwiązaniowa to wraz z restartem wan restartuje wg.

2x ZTE MF 286R OpenWrt 22.03-SNAPSHOT, r19441-3cfe050c4a
TP-LINK Archer C7 v5 - 1.12.0.2 (27ec1e48)
Netgear R6220 Gargoyle PL 1.13.0.0pre9

22 Odpowiedź przez piratee

  • Zarejestrowany: 2016-12-08
  • Posty: 564

Odp: Wireguard konfiguracja klienta na OpenWRT - post rozpaczy :)

No dobrze, wiem męczę
Na serwerze mam serwer wireguard 10.9.0.1
na kliencie 10.9.0.4 z adresacją LAN 192.168.3.0/24
co muszę zrobić aby  móc z serwera 10.9.0.1 pingować np 192.168.3.4
reguły firewall-a dodałem
config rule
        option src 'wan'
        option target 'ACCEPT'
        option proto 'udp'
        option dest_port '55055'
        option name 'wireguard'

config zone
        option name 'wg'
        option input 'ACCEPT'
        option forward 'ACCEPT'
        option output 'ACCEPT'
        option masq '1'
        option network 'wg0'

config forwarding
        option src 'wg'
        option dest 'wan'

config forwarding
        option src 'wan'
        option dest 'wg'

config forwarding
        option src 'wg'
        option dest 'lan'

config forwarding
        option src 'lan'
        option dest 'wg'

2x ZTE MF 286R OpenWrt 22.03-SNAPSHOT, r19441-3cfe050c4a
TP-LINK Archer C7 v5 - 1.12.0.2 (27ec1e48)
Netgear R6220 Gargoyle PL 1.13.0.0pre9

23 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 106,404

Odp: Wireguard konfiguracja klienta na OpenWRT - post rozpaczy :)

W allowedip dodaj 192.168.3.0/24 w sekcji danego peera. W sumie masz to opisane np. tu: https://iliasa.eu/wireguard-how-to-acce … l-network/

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

24 Odpowiedź przez piratee

  • Zarejestrowany: 2016-12-08
  • Posty: 564

Odp: Wireguard konfiguracja klienta na OpenWRT - post rozpaczy :)

@Cezary.
Dostawca multimedia coś namieszał z routingiem i w moim routerze są zapisane błędne
tablice routingu.
Kiedyś miałem taką sytuację na 1043ND - znalazłem gdzie się usuwa te pliki (teraz nie mogę namierzyć)
Jak nie znajdę czeka mnie zerowanie ustawień.
Masz może jakiś pomysł ?

2x ZTE MF 286R OpenWrt 22.03-SNAPSHOT, r19441-3cfe050c4a
TP-LINK Archer C7 v5 - 1.12.0.2 (27ec1e48)
Netgear R6220 Gargoyle PL 1.13.0.0pre9

25 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 106,404

Odp: Wireguard konfiguracja klienta na OpenWRT - post rozpaczy :)

Openwrt robi dynamicznie tablice na podstawie adresacji interfejsów. Jeżeli sam nic nie dodawałeś specjalnie to nigdzie tego nie ma zapisanego w systemie, wszystko jest na bieżąco akualizowane.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona