26 (edytowany przez artur_n 2023-10-27 17:25:31)

Odp: Serwer micrus frog - wireguard

Tak 10.10.0.3 to OpenWRT, wydawało się, że działa ale zainstalowałem apke do pingu na telefonioe i okazuje się, że jednak nie do końca.
https://i.ibb.co/BwCvpr7/Zrzut-ekranu-2023-10-27-165718.png

Tu jest ok?

config forwarding
    option src 'home'
    option dest 'wan'

config forwarding
    option src 'home'
    option dest 'lan'

config forwarding
    option src 'lan'
    option dest 'home'

config rule
    option src 'wan'
    option target 'ACCEPT'
    option proto 'udp'
    option dest_port '40669'
    option name 'wireguard'
    option dest 'lan'

config zone
    option name 'wg'
    option input 'ACCEPT'
    option forward 'ACCEPT'
    option output 'ACCEPT'
    option masq '1'
    option network 'wg0'

config forwarding
    option src 'wg'
    option dest 'wan'

config forwarding
    option src 'wan'
    option dest 'wg'

config forwarding
    option src 'wg'
    option dest 'lan'

config forwarding
    option src 'lan'
    option dest 'wg'
Redmi AX6000 + AP_Cudy WR3000 + AP_Xiaomi AX3000T

27

Odp: Serwer micrus frog - wireguard

Kupiłem sobie żabkę. Jak nie będę miał zajęć w weekend to zrobię poradnik jak to wszystko zestawić.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

28 (edytowany przez artur_n 2023-10-27 21:06:04)

Odp: Serwer micrus frog - wireguard

Królu złoty ja Ci dam na 5 żabek a nawet i 10 jak to ogarniesz :-)
Nie wiem czy ma to zastosowanie przy frogu:
https://github.com/unkn0w/noobs

Redmi AX6000 + AP_Cudy WR3000 + AP_Xiaomi AX3000T

29

Odp: Serwer micrus frog - wireguard

Nie mam mikr.usa , ale skoro masz pingi w obie strony tylko między:
mikr.us <-> telefon
mikr.us <-> Openwrt

to wygląda na to, że nie masz pinga między klientami WG (telefon<->Openwrt) gdy one chcą przejść przez "mostek" którym jest mikr.us
W poradniku który zacytowałeś na poprzedniej stronie jest sugestia, żeby włączyć przekazywanie pakietów ip_forward w rozdziale:
"Allow forwarding of IP packets"
Czy wszystko zrobiłeś wg tamtego poradnika ?

* WNDR 4300v2 * ||  * Xiaomi Miwifi Mini * || Netgear R6220 *
* DVBT2 - T230C *

30 (edytowany przez Cezary 2024-08-22 21:50:38)

Odp: Serwer micrus frog - wireguard

Artykuł nie sponsorowany, nie mam nic wspólnego z wymienionym poniżej serwisem; a jak ktoś ma ochotę postawić mi kawę, to link jest w prawym panelu na https://eko.one.pl

Potrzeba: mamy router z OpenWrt który nie ma na wanie publicznego adresu IP (bo np. korzysta z modemu komórkowego lub nasz operator nie daje publicznego adresu). Chcemy zrobić sobie zrobić do niego zdalny dostęp.

BONUS1: chcemy także mieć dostęp do hostów w sieci lokalnej za routerem OpenWrt
BONUS2: nie chcemy do tego używać klienta vpn tylko najlepiej żeby był dostęp "bezpośredni" z internetu smile

Nie będziemy też kierować całego ruchu internetowego przez VPN - on będzie służył tylko do dostępu do zasobów OpenWrt czy jego sieci lan.

Nie mamy publicznego adresu IP, więc jednym ze sposobów jest zestawienie z OpenWrt tunelu VPN do jakiegoś hosta w sieci z publicznym adresem IP i serwerem VPN, żeby później móc dostać się do naszego routera właśnie przez zestawiony tunel VPN.

Potrzebujemy serwer z publicznym adresem IP. Tu przychodzą różnej maści tzw. VPS - prywatne serwery na których możemy zrobić co chcemy. Takie serwery są płatne, więc najlepiej żeby kosztował jak najmniej - np. żeby był za darmo. I taki właśnie serwer możemy znaleźć pod nazwą mikr.us. Jeden z jego planów to darmowy serwer o niewielkiej ilości zasobów (dysk, ram), ale w zupełności nam wystarczający. No i tak prawdę mówić nie jest "za darmo" bo trzeba przy rejestracji wydać całe 5zł (stan na 29.10.2023r). Ma on też pewne inne ograniczenia - np. dostępna jest niewielka ilość portów sieciowych (dokładnie 4, z czego użyteczne są 3) oraz trzeba trzymać się regulaminu - nie wolno skanować portów, stawiać usług głosowych  itd. To wszystko jest do zapoznania się we własnym zakresie na stronie projektu.
Nie przedłużając - wybieramy FROGa pod adresem https://frog.mikr.us/ zapoznajemy się z regulaminem, klikamy rejestrację, podajemy dane osobowe, robimy opłatę 5zł i za 10-15 minut przychodzi do nas mejl z danymi do logowania. W ten sposób prawie-że-za-darmo staliśmy się posiadaczami własnego serwer VPS w internecie.

W mejlu znajdziemy dane do logowania więc go nie usuwamy tylko czytamy uważnie. Frog przychodzi z paroma rzeczami o których trzeba widzieć:
- na frogu jest dystrybucja linuksa zwana alpine w kontenerze LXC, dystrybucja znana wszystkim co używają dockera. Jest ona mała, lekko uproszczona, ale nadal to jest zwykły linuks. Nie można tego zmienić i zainstalować czegoś innego.
- mamy domyślnie zainstalowany MC (i tym samym jest edytor mcedit) więc nie trzeba używać vi. Ale co kto lubi.
- mamy dostęp do 200MB bazy mysql ale jej w tym poradniku nie będziemy używać.
- mamy własny adres IPv6!
- dostajemy do VPS cztery porty dla IPv4, na potrzeby tego opisu powiedzmy żeby były to porty o numerach:

10100 - port ssh na którym logujemy się do naszego mikrusa
20100 - na razie wolny
30100 - na razie wolny
40100 - na razie wolny

- mój mikrus był dostępny pod nazwą domenową frog01.mikr.us
- wewnętrznie mikrus używa adresacji IPv4 z klasy 192.168.7.0/24 oraz domyślny routing wskazuje na gatewaya 192.168.1.1 - więc NIE NALEŻY mieć klientów którzy mają taką adresację na lanie a chcielibyśmy mieć dostęp do lanu bo się pogubimy przy routingu (aktualizacja: mój mikrus miał taką, ale może się zdarzyć że nowo założony mikrus będzie miał inną adresację - wtedy należy odpowiednio dostosować klasy adresowe sieci lokalnych)
- firewall jest całkowicie otwarty - nie ma specjalnie potrzeby otwierania portów czy czegoś takiego.

Zgodnie z danymi w mejlu, logujemy się do mikrusa np.

ssh frog@frog01.mikr.us -p 10100

z konsoli czy z putty i możemy porozglądać się po systemie.

Na potrzeby tego poradnika zrobimy:
- "serwer" vpn wireguard do którego będą łączyły się inne hosty, uruchomiony na mikrusie/frog (nazywany dalej "mikrusem")
- klienta OpenWrt (dalej nazywanego "openwrt") który ma na LAN adresację 192.168.11.0/24 (z powodu wymienionego wyżej NIE MOŻE to być domyślny w OpenWrt adres 192.168.1.1, więc musimy sobie zmienić konfigurację klienta)
- klient - openwrt - będzie miał swoją stronę (LuCI) na porcie 80 (i nie robi przekierowania na https)
- ten openwrt ma w swoim lanie zwykłe komputery, na potrzeby tego poradnika przyjmiemy że będzie dostępny jeden pod adresem 192.168.11.229 (nazywany dalej "serwerek"), na porcie 80 będzie wystawiał swoją stronę www
- podłączymy także następnego klienta - Windows 11 z zainstalowanym WireGuardem (nazywanego dalej "windows")

Zrobię tak, żeby z windows, po zestawienia połączenia VPN była możliwość wejścia zarówno do openwrt (ping, ssh czy przeglądarką do gui) jak i do serwerka za openwrt (tak samo - ping, ssh czy przeglądarką do gui) - to ten BONUS1.

Jako BOUNS2 - zrobimy tak przekierowanie portów na mikrusie, żeby można było odwołać się przeglądarką do odpowiedniego portu mikrusa i uzyskać bezpośrednio dostęp do strony www na openwrt lub na serwerku.

Ponieważ dostajemy w sumie cztery porty to wykorzystamy je tak:

   frog01.mikr.us:10100 - ssh (tak jest domyślnie i tego nie zmieniamy, to jest dostęp przez ssh do mikrusa)
   frog01.mikr.us:20100 - tu stawiamy serwer wireaguard, do którego będą łączyły się inne klienty
   frog01.mikr.us:30100 - tu zrobimy przekierowanie na port 80 openwrt
   frog01.mikr.us:40100 - tu zrobimy przekierowanie na port 80 serwerka w sieci LAN openwrt

Czyli możemy podłączyć się klientem wireguard do mikrusa i mieć nieograniczony dostęp do openwrt i sieci lan za nim lub z dowolnego komputera już bez vpn wpisać w przeglądarce określony adres i mieć dostęp do usługi która została na ten adres przekierowana.

Zakładam też że mikrus, openwrt i reszta ma domyślną konfigurację - jeżeli ktoś już coś na nich robił to musi dostosować sobie polecenia do tego co już ma.
Starałem się żeby było to maksymalnie prosto i zrozumiale zrobione, więc nie używam tu jakiś skryptów startowych itd, co nie oznacza że nie można tego zrobić inaczej. Można, ile ludzi tyle rozwiązań.

mikrus

Logujemy się do mikrusa przez ssh i instalujemy wireguarda:

frog@????/f1100:~$ sudo su -
root@????/f1100:~# apk update
root@????/f1100:~# apk upgrade
root@????/f1100:~# apk add wireguard-tools

Teraz należało by wygenerować sobie klucze. Robimy klucze prywatne i publiczne dla mikrusa, openwrt i windowsa. Jeżeli będziemy chcieli więcej klientów, to im oczywiście też należy wygenerować osobne klucze

root@????/f1100:~# cd /root
root@????/f1100:~# wg genkey | tee mikrus.privatekey | wg pubkey > mikrus.publickey
root@????/f1100:~# wg genkey | tee openwrt.privatekey | wg pubkey > openwrt.publickey
root@????/f1100:~# wg genkey | tee windows.privatekey | wg pubkey > windows.publickey

Możemy teraz sobie je wyświetlić i skopiować np. do notatnika żeby było prościej robić pliki konfiguracyjne.

(dla celów poradnika zastąpiłem rzeczywiste klucze ich odpowiednikami "słownymi").

root@????/f1100:~# cat mikrus.privatekey 
1111-klucz-prywatny-mikrusa-1111=
root@????/f1100:~# cat mikrus.publickey 
2222-klucz-publiczny-mikrusa-2222=

root@????/f1100:~# cat openwrt.privatekey 
3333-klucz-prywatny-openwrt-3333=
root@????/f1100:~# cat openwrt.publickey 
4444-klucz-publiczny-openwrt-4444=

root@????/f1100:~# cat windows.privatekey
5555-klucz-prywatny-windows-5555=
root@????/f1100:~# cat windows.publickey 
6666-klucz-publiczny-windows-6666=

Przy tworzeniu konfiguracji należy uważać żeby nie pomylić kluczy prywatnych z publicznymi.
Teraz tworzymy konfigurację wireguarda, można wykorzystać edytor mcedit 

root@????/f1100:~# mcedit /etc/wireguard/wg0.conf

Cała konfiguracja omawiana w tym poradniku wygląda tak:

[Interface]
PrivateKey = 1111-klucz-prywatny-mikrusa-1111=
Address = 10.9.0.1/24
ListenPort = 20100

[Peer]
# openwrt
PublicKey = 4444-klucz-publiczny-openwrt-4444=
AllowedIPs = 10.9.0.2/32,192.168.11.0/24
PersistentKeepalive = 25

[Peer]
# windows
PublicKey = 6666-klucz-publiczny-windows-6666=
AllowedIPs = 10.9.0.3/32
PersistentKeepalive = 25

Wireguard będzie słuchał na porcie 20100 (to nie jest dowolny port - to ma być jeden z portów udostępnionych nam przez mikrusa). Sam mikrus będzie miał adres 10.9.0.1, openwrt będzie miał 10.9.0.2 zaś windows będzie miał 10.9.0.3. Dodatkowo do AllowedIPs została dodana klasa adresowa za lanem openwrt (192.168.11.0/24) żeby mikrus wiedział gdzie kierować pakiety przeznaczone dla takiej adresacji.

Można taki wireguard uruchomić z ręki

root@????/f1100:~# wg-quick up /etc/wireguard/wg0.conf

Ale chcielibyśmy że uruchamiał się on wraz ze startem sieci, więc lepiej zrobić edycję pliku network w mikrusie i dopisać odpowiednie linie.

UWAGA: należy to zrobić ostrożnie żeby nie popsuć tego pliku. Bo jak coś pójdzie źle to się nie dostaniemy do naszego VPS'a i trzeba będzie resetować całą maszynę.

root@????/f1100:~# mcedit /etc/network/interfaces 

Plik ma wyglądać tak:

auto lo
iface lo inet loopback
iface lo inet6 loopback

auto eth0
iface eth0 inet static
    address 192.168.7.100/24
# --- BEGIN PVE ---
    post-up ip route add 192.168.1.1 dev eth0
    post-up ip route add default via 192.168.1.1 dev eth0
    pre-down ip route del default via 192.168.1.1 dev eth0
    pre-down ip route del 192.168.1.1 dev eth0
# --- END PVE ---
    hostname $(hostname)
    post-up wg-quick up /etc/wireguard/wg0.conf

iface eth0 inet6 static
    address aaaa:aaaa:aa:aaaa::100/128
# --- BEGIN PVE ---
    post-up ip route add aaaa:aaaa:aa:aaaa::2 dev eth0
    post-up ip route add default via aaaa:aaaa:aa:aaaaa::2 dev eth0
    pre-down ip route del default via aaaa:aaaa:aa:aaaa::2 dev eth0
    pre-down ip route del aaaa:aaaa:aa:aaaa::2 dev eth0
# --- END PVE ---

Dopisałem linię z post-up wg-quick up /etc/wireguard/wg0.conf

Można wykonać reboot, po wszystkim wydać polecenia np.

root@????/f1100:~# ip a
root@????/f1100:~# ip r
root@????/f1100:~# wg

Żeby zobaczyć czy działa wireguard i jest routing.

Dla porządku - mikrus ma już włączony forwarding pakietów ipv4, więc nie trzeba tego specjalnie ustawiać. Można to zweryfikować wydając polecenia

root@????/f1100:~# sysctl -a | grep net.ipv4.ip_forward
root@????/f1100:~# cat /proc/sys/net/ipv4/conf/eth0/forwarding

W obu przypadkach powinno być ustawione na "1".

openwrt

Tu nie ma nic szczególnego - wireguard został szeroko omówiony, opisany, przetestowany i zweryfikowany, więc żadnego odkrycia tu nie robimy.
Instalujemy wireguarda, dodajemy nowy interfejs wg0, nadajmy mu właściwy klucz prywatny który został wcześniej wygenerowany, adres 10.9.0.2. Następnie tworzymy jednego peera który ma wskazywać na mikrusa, podajemy jego klucz publiczny, jego adres IP oraz namiary na niego w internecie.

# opkg update
# opkg install kmod-wireguard wireguard-tools
    
# uci set network.wg0=interface
# uci set network.wg0.proto="wireguard"
# uci set network.wg0.private_key="3333-klucz-prywatny-openwrt-3333="
# uci add_list network.wg0.addresses="10.9.0.2/32"
    
# uci add network wireguard_wg0
# uci set network.@wireguard_wg0[-1].public_key="2222-klucz-publiczny-mikrusa-2222="
# uci set network.@wireguard_wg0[-1].route_allowed_ips="1"
# uci add_list network.@wireguard_wg0[-1].allowed_ips="10.9.0.0/24"
# uci set network.@wireguard_wg0[-1].endpoint_host="frog01.mikr.us"
# uci set network.@wireguard_wg0[-1].endpoint_port="20100"
# uci set network.@wireguard_wg0[-1].persistent_keepalive="25"
# uci set network.@wireguard_wg0[-1].description="mikrus"
# uci commit network
# /etc/init.d/network restart

Jeżeli wszystko wyszło poprawnie to już na tym etapie powinien działać ping do mikrusa przez tunel, oraz powinno dać się wykonać połączenie ssh przez vpna do mikrusa.

# ping 10.9.0.1
# ssh frog@10.9.0.1 -p 10100

Jeżeli coś nie działa to w pierwszej kolejności sprawdzamy klucze.
Następnie modyfikujemy odpowiednio firewall w openwrt:

# uci add firewall zone
# uci set firewall.@zone[-1].name='wg'
# uci set firewall.@zone[-1].input='ACCEPT'
# uci set firewall.@zone[-1].forward='ACCEPT'
# uci set firewall.@zone[-1].output='ACCEPT'
# uci set firewall.@zone[-1].masq='1'
# uci set firewall.@zone[-1].network='wg0'
# uci add firewall forwarding
# uci set firewall.@forwarding[-1].src='wg'
# uci set firewall.@forwarding[-1].dest='wan'
# uci add firewall forwarding
# uci set firewall.@forwarding[-1].src='wan'
# uci set firewall.@forwarding[-1].dest='wg'
# uci add firewall forwarding
# uci set firewall.@forwarding[-1].src='wg'
# uci set firewall.@forwarding[-1].dest='lan'
# uci add firewall forwarding
# uci set firewall.@forwarding[-1].src='lan'
# uci set firewall.@forwarding[-1].dest='wg'
# uci commit firewall
# /etc/init.d/firewall restart

Teraz nawet z mikrusa powinien działać ping na openwrt (10.9.0.2). Powinien być także dostęp do ssh na openwrt a także powinien udać udać się ping do serwerka (192.168.11.229) czy pobranie wgetem zawartości jego strony.

windows

Na windowsie instalujemy klienta wireguarda. Następnie w notatniku robimy plik konfiguracyjny o następującej zawartości:

[Interface]
PrivateKey = 5555-klucz-prywatny-windows-5555=
Address = 10.9.0.3/24
ListenPort = 20100

[Peer]
# mikrus
PublicKey = 2222-klucz-publiczny-mikrusa-2222=
AllowedIPs = 10.9.0.0/24,192.168.11.0/24
PersistentKeepalive = 25
Endpoint = frog01.mikr.us:20100

I zapisujemy gdzieś np. w katalogu domowym pod nazwą mikrus-wireguard.conf
W sekcji Interface podajemy klucz prywatny dla windowsa, adres 10.9.0.3. Z sekcji Peer zaś klucz publiczny mikrusa, jego dane w internecie oraz w AllowedIPs klasy adresowe wireguarda oraz klasę adresową lanu zza openwrt. Dzięki czemu windows będzie wiedział gdzie kierować pakiety.
Uruchamiamy aplikację wireguarda, klikamy "Dodaj Tunel", wskazujmy plik mikrus-wireguard.conf i klilkamy "Aktywuj". Powinno zestawić się połączenie z mikrusem.

Testy

Z poziomu windowsa z cmd robimy

ping 10.9.0.1
ping 10.9.0.2

Oba powinny działać. Teraz otwieramy przeglądarkę i wpisujmy adres http://10.9.0.2 - powinna otworzyć się strona LuCI z openwrt, http://192.168.11.1 - powinna otworzyć się strona LuCi z OpenWrt, http://192.168.11.229 - powinna otworzyć się strona z serwera. Oczywiście w openwrt nie możemy mieć włączonego przekierowania http na https, serwerek powinien pomieć ustawiony gateway wskazujący na openwrt itd. Ale to normalnie oczywiste elementy konfiguracji sieci.
Jeżeli tak wszystko działa to zrealizowaliśmy założenia projektu oraz BONUS1 - mamy dostęp do hosta w sieci lan openwrt.

Bonus2

W/w zagadnienie wymaga aby był zestawiony tunel VPN z klienta żeby móc się połączyć do zasobów innego klienta. Ale można inaczej - mamy mikrusa z publicznym adresem IP, mamy klika dostępnych portów, więc można te porty przekierować bezpośrednio w tunel vpn i mieć dostęp do zasobów za tunelem.
W tym przykładzie zrobimy sobie przekierowanie portu 30100 na port 80 naszego openwrt oraz portu 40100 na port 80 naszego serwerka - czyli maszynki w lanie openwrt.
Robi się to odpowiednimi przekierowaniami iptables (na mikriusie):

root@????/f1100:~# iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 30100 -j DNAT --to-destination 10.9.0.2:80
root@????/f1100:~# iptables -A POSTROUTING -t nat -p tcp -d 10.9.0.2 --dport 80 -j MASQUERADE

root@????/f1100:~# iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 40100 -j DNAT --to-destination 192.168.11.229:80
root@????/f1100:~# iptables -A POSTROUTING -t nat -p tcp -d 192.168.11.229 --dport 80 -j MASQUERADE

I od tego momentu na dowolnym komputerze wpisując w przeglądarce http://frog01.mikr.us:30100 powinien być dostęp do luci openwrt zaś wpisując http://frog01.mikr.us:40100 - do http na serwerku.
W/w polecenia znikną po restarcie, więc znów można je dopisać od networku żeby wszystko się uruchamiało samo, który może wyglądać tak:

auto lo
iface lo inet loopback
iface lo inet6 loopback

auto eth0
iface eth0 inet static
    address 192.168.7.100/24
# --- BEGIN PVE ---
    post-up ip route add 192.168.1.1 dev eth0
    post-up ip route add default via 192.168.1.1 dev eth0
    pre-down ip route del default via 192.168.1.1 dev eth0
    pre-down ip route del 192.168.1.1 dev eth0
# --- END PVE ---
    hostname $(hostname)
    post-up wg-quick up /etc/wireguard/wg0.conf
    post-up iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 30100 -j DNAT --to-destination 10.9.0.2:80
    post-up iptables -A POSTROUTING -t nat -p tcp -d 10.9.0.2 --dport 80 -j MASQUERADE
    post-up iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 40100 -j DNAT --to-destination 192.168.11.229:80
    post-up iptables -A POSTROUTING -t nat -p tcp -d 192.168.11.229 --dport 80 -j MASQUERADE

iface eth0 inet6 static
    address aaaa:aaaa:aa:aaaa::100/128
# --- BEGIN PVE ---
    post-up ip route add aaaa:aaaa:aa:aaaa::2 dev eth0
    post-up ip route add default via aaaa:aaaa:aa:aaaaa::2 dev eth0
    pre-down ip route del default via aaaa:aaaa:aa:aaaa::2 dev eth0
    pre-down ip route del aaaa:aaaa:aa:aaaa::2 dev eth0
# --- END PVE ---

Wszystko jest jedną linią, engine forum może zawijać dłuższe linie, ale generalnie - wszystko w jednej linii "post-up"

Problemy

Ze względu na specyfikę mikrusa - klasa 192.168.1.0/24 jest przez niego wykorzystywana, a to samo domyślnie wykorzystuje OpenWrt. Więc żeby to nie sprawiało problemów - należy zmienić adresację na lanie OpenWrt żeby była inna.

Wg w/w konfiguracji da się:
- pingować openwrt z mikrusa
- pingować mikrusa z openwrt
- pingować miktusa z windows
- pingować openwrt z windows

Natomiast nie daje się pingować windows z miktrusa czy openwrt. Może to wynikać z ustawień defendera w windowsie (lub innego antywirusa), a że mam tylko służbowego laptopa z Windows to zbytnio nie mogę w nim grzebać i tego sprawdzić. Jeżeli ktoś bardzo potrzebuje pingów do windowsa to niech da znać jak rozwiązał problem.

Nie sprawdzałem konfiguracji na MacOS. Nie posiadam pod ręką komputera z tym systemem, więc nie sprawdziłem w ogóle czy i jak to działa z MacOS.

EDIT: przypominam tylko że mikrus/frog wymaga zalogowania się na konto co jakiś czas, inaczej serwer zostanie skasowany. Więc jeżeli czytasz ten opis po pewnym czasie od jego powstania to właśnie jest dobry moment żeby zalogować się na swojego froga.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

31 (edytowany przez artur_n 2023-10-28 13:21:23)

Odp: Serwer micrus frog - wireguard

Cezary jesteś wielki, kawka poleciała wypij moje zdrowie a ja biorę się za testy.
Jedynie martwi mnie zmiana adresacji LAN, mam dużo urządzeń z stałym adresem i zmiana adresacji przestworzy sporo problemów. Nie da się tego obejść?

Redmi AX6000 + AP_Cudy WR3000 + AP_Xiaomi AX3000T

32

Odp: Serwer micrus frog - wireguard

Nie. Na mikrusie/frog trasa domyślna idzie na 192.168.1.1 więc jak to zmienisz lub nadpiszesz przez wireguarda to stracisz dostęp z mikrusa do internetu.

~$ ip r
default via 192.168.1.1 dev eth0 
10.9.0.0/24 dev wg0 proto kernel scope link src 10.9.0.1 
192.168.1.1 dev eth0 scope link 
192.168.7.0/24 dev eth0 proto kernel scope link src 192.168.7.100 
192.168.11.0/24 dev wg0 scope link
Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

33

Odp: Serwer micrus frog - wireguard

No to kaplica jak tak. Chyba odpuszczę w takim układzie za dużo zamian to generuje w moim przypadku.

Redmi AX6000 + AP_Cudy WR3000 + AP_Xiaomi AX3000T

34

Odp: Serwer micrus frog - wireguard

Dopóki nie chcesz mieć bezpośredniego dostępu do urządzenia w lanie (czyli adresacji 192.168.1.x) to możesz to zrobić. Co więcej - możesz też zrobić w openwrt przekierowanie portów z vpn na hosta w sieci) wiec jak będziesz chciał dostać się do jakiejś usługi w lanie to możesz to zrobić pośrednio odwołując się do openwrt.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

35 (edytowany przez artur_n 2023-10-28 13:52:36)

Odp: Serwer micrus frog - wireguard

Ogólnie chciałem dostęp do całej sieci za openwrt, no trudno jak zawsze pod górkę xD.
Zostanę na ZeroTier, działa wolno i połączenie nie zawsze chce się zestawić ale robi to co mi potrzeba raz na jakiś czas.

Napiszę emaila z zapytaniem czy jest możliwość zmiany adresacji na mikrusie.

Redmi AX6000 + AP_Cudy WR3000 + AP_Xiaomi AX3000T

36

Odp: Serwer micrus frog - wireguard

Może "normalnie" serwery mikrusa tego nie mają - nie wiem, nie kupowałem, więc nie wiem.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

37 (edytowany przez artur_n 2023-10-28 15:17:28)

Odp: Serwer micrus frog - wireguard

Koszt takiego serwera rocznie wychodzi dużo taniej jak stały adres IP u mojego dostawcy.
Wyślę zapytanie zobaczymy.

PS. Niestety wychodzi w takich tematach lokalizacja czyli mieszanie nie dość, że na wschodzie Polski to na zadupiu. Szczęście w nieszczęściu, że mamy światłowód.

Redmi AX6000 + AP_Cudy WR3000 + AP_Xiaomi AX3000T

38

Odp: Serwer micrus frog - wireguard

artur_n napisał/a:

Ogólnie chciałem dostęp do całej sieci za openwrt, no trudno jak zawsze pod górkę xD.
Zostanę na ZeroTier, działa wolno i połączenie nie zawsze chce się zestawić ale robi to co mi potrzeba raz na jakiś czas.

Napiszę emaila z zapytaniem czy jest możliwość zmiany adresacji na mikrusie.

Ja to rozwiązałem używając CloudFlare Tunnel oraz  subdomeny one.pl. (ta sama co ma Cezary na stronie XD) wszystko za free. Mam ustawiony bezpieczny certyfikat SSL CloudFlare na stronę logowania do OpenWRT oraz pozostałych usług. Trzeba mieć tylko klienta uruchomionego za NAT'em który zestawia połączenie. Piękne rozwiązanie. Ale nie dla VPN oraz transferu dużych plików, bo ponoć ograniczają wtedy.

39 (edytowany przez artur_n 2023-10-28 18:07:44)

Odp: Serwer micrus frog - wireguard

Odpowiedz supportu:

Chyba nie mówisz serio o tym, że zmienimy całą adresację serwerowni? Pozostałe serwery mają taką samą konfigurację i podsieć 192.168.1.1/16.

Swoją drogą jako poważna firma odpowiedz podchodzi pod trochę zbyt odważną moim zdaniem. Jak nie odbierając jej jako kpinę.

PS. Nie jesteśmy na Ty jak coś :-)

Dodaje moje zapytanie do dla pełni wątku:

Dzień dobry, 

Na wstępie chciał bym zapytać czy adresacja serwera mikrus frog 192.168.1.1 ma możliwość zmiany na inną? Chciał bym postawić WireGuarda lecz niestety moja sieć domowa ma tą samą adresacje? 

Ewentualnie czy płatna wersja jest na innej adresacji? 
Redmi AX6000 + AP_Cudy WR3000 + AP_Xiaomi AX3000T

40

Odp: Serwer micrus frog - wireguard

Świetne, a co jeśli ktoś ma dostęp do dockera na publicznym serwerze ? Czy jakoś łatwo można przeprowadzić ten kontener do swojego dockera zamiast na micrusie ?

41

Odp: Serwer micrus frog - wireguard

Całość rozbija się tylko o to żebyś sobie gdzieś postawił dowolny serwer vpn i mógł do nie podłączyć. Więc jak możesz to zrobić na dowolnym innym serwerze to proszę bardzo, nie ma przecież ograniczeń żeby to zrobić.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

42

Odp: Serwer micrus frog - wireguard

Ja mam na onecloud - openprovider, najtańszy w wawce i zapiernicza.

Dom : router https://i.imgur.com/IuB6Zwy.png | TP-LINK T1700G-28TQ |Zyxel XGS-1210-12 | Dynalink WRX-36 | nwa50ax pro | zyxel gs1900-10hp | XPenology @supermicro 12bay 2u -2x 20TB Exos, hc530 14TB, 6x hgst 8TB @ raid0 2x25Gb nic|  apc smart ups 750 lcd smile
Podróżne : GL.Inet MT3000  +6TB hdd
Lifepo4 25.6V 100Ah + jinko 415w +przetwornica 2.5KW offgrid.

43

Odp: Serwer micrus frog - wireguard

Ewentualnie może ktoś poleci tani server VPS?

Pisząc tani mam na myśli opłaty roczne jak za serwery mikrusa grubo poniżej 100zl :-)

Redmi AX6000 + AP_Cudy WR3000 + AP_Xiaomi AX3000T

44

Odp: Serwer micrus frog - wireguard

Zainstalowałem wireguarda na frogu jak w solucji od Cezarego. Ping do froga z openwrt śmiga, ssh do froga nie

 root@OpenWrt ~ ssh frog@10.9.0.1 -p 10707

ssh: Connection to frog@10.9.0.1:10707 exited: Connect failed: Connection refused

W drugą stronę z froga do openwrt jest ok. Ping i ssh bangla.

Xiaomi AX3000T - OpenWrt 23.05 (ubootmod) by Cezary
Cudy WR3000 - OpenWrt 23.05 by Cezary

45

Odp: Serwer micrus frog - wireguard

ssh frog@10.9.0.1

SSH na frogu jest normalnie na 22, na zewnątrz z internetu masz tylko 10707.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

46 (edytowany przez marcel_ms2 2023-11-03 16:13:08)

Odp: Serwer micrus frog - wireguard

u mnie sytuacja przedstawia się następująco(przejrzałem poradnik kilka razy)

z mikrusa działa ping do openwrt(10.9.0.2), windows(android)(10.9.0.3) oraz do serwerka(192.168.2.203) działa tez ssh do open wrt(10.9.0.2, 192.168.2.1)

z openwrt dziala ping do mikrusa(10.9.0.1)  nie działa do windows(android)(10.9.0.3) działa tez ssh do mikrusa(10.9.0.1)

z windows(android) działa ping do mikrusa(10.9.0.1) nie działa do openwrt(10.9.0.2, 192.168.2.1) nie działa do serwerka(192.168.2.203) działa tez ssh do mikrusa(10.9.0.1) nie działa do open wrt(10.9.0.2, 192.168.2.1)
z przeglądarki działą serwerek(192.168.2.203) nie działa openwrt(10.9.0.2, 192.168.2.1)

47 (edytowany przez wisipior 2023-11-05 14:49:32)

Odp: Serwer micrus frog - wireguard

Tak właśnie zapytam zatem konkretniej - co potrzebowałbym aby postawić to na publicznym Synology z DSM 6.x do którego mam roota.

Cezary napisał/a:

Całość rozbija się tylko o to żebyś sobie gdzieś postawił dowolny serwer vpn i mógł do nie podłączyć. Więc jak możesz to zrobić na dowolnym innym serwerze to proszę bardzo, nie ma przecież ograniczeń żeby to zrobić.

48

Odp: Serwer micrus frog - wireguard

Po prostu uruchom tam sobie wireguarda.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

49 (edytowany przez wisipior 2023-11-29 03:07:02)

Odp: Serwer micrus frog - wireguard

Cezary napisał/a:

Po prostu uruchom tam sobie wireguarda.

Zrobione, ustawione, wielkie dzięki. Bardzo mi podchodzi bo mam adresację 10.9.8.0
Po doinstalowaniu etherwake to już w ogóle inny świat, budzę laptop i dzięki wg wchodzę na zdalny pulpit.
Pingi leciały mi dopiero po restarcie openwrt

Nie wiem natomiast czy ten plik konfiguracyjny dla klienta Windows mogę wymiennie stosować na każdym lapku - tylko jedno połączenie na raz rzecz jasna - czy też para pub-priv dla windowsa zostaje zaklepana i trzeba dodać hosta ..4,5,itd   ??

bo Tunel z Androida niestety nie idzie, plik konfiguracyjny jest identyczny.

50

Odp: Serwer micrus frog - wireguard

Same pliki konfiguracyjne możesz stosować te same i ich używać byle byś ich nie używał w tym samym czasie. Ale lepiej żebyś wygenerował sobie różne klucze, bo wtedy łatwo pozbyć się klienta jeżeli coś się wydarzy bo np. laptop zginie.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.