1 Temat przez pedrox

  • pedrox
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2015-05-19
  • Posty: 30

Temat: jedno ip z lan po VPN w świat

Witam,
w końcu przyszła zmiana na światełko oraz nowy router - Redmi AX6000 w miejsce firmowego z T-Mobile. Zestawiłem jak wcześniej połączenia do wybranych hostów z lan za pomocą WireGuard (https://eko.one.pl/forum/viewtopic.php?id=21038).
Teraz chciałem ustawić dla jednego hosta (TV) z sieci lokalnej (10.0.0.130) wyjście na świat przez dedykowanego VPN.
Wybrałem na testy darmowego https://finevpn.org/ ale za nic nie mogę tego skonfigurować na routerze do działania.
Serwis działa poprawnie bo szybki konfig na telefonie daje oczekiwany efekt. Jakieś pomysły jak to ogarnąć?

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,219

Odp: jedno ip z lan po VPN w świat

A czym jest ten darmowy vpn? OpenVPN czy czymś innym?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez pedrox

  • pedrox
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2015-05-19
  • Posty: 30

Odp: jedno ip z lan po VPN w świat

Cezary napisał/a:

A czym jest ten darmowy vpn? OpenVPN czy czymś innym?

WireGuard
serwis daje konfig - wygenerowałem na testy teraz więc nie zerowalem kluczy:
[Interface]
PrivateKey = 2F1Jh66VV4ABCigopbDPfVAFeex0VNSfkslzvSFkHk8=
Address = 10.24.112.189
DNS = 8.8.8.8

[Peer]
PublicKey = 2SBNdxS9fmrsvt2k477PuCFt+HzYhMMBa+za4+tCx2g=
AllowedIps = 0.0.0.0/0
Endpoint = tr.wg.finevpn.org:993
PersistentKeepalive = 21

4 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,219

Odp: jedno ip z lan po VPN w świat

Przenieś te dane do konfiga,.nawet możesz to wyklikac sobie w luci. Jeżeli łączył się na komórce to tu też powinien.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

5 Odpowiedź przez pedrox

  • pedrox
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2015-05-19
  • Posty: 30

Odp: jedno ip z lan po VPN w świat

/etc/config/network

config interface 'wg_finevpn'
        option proto 'wireguard'
        option private_key '2F1Jh66VV4ABCigopbDPfVAFeex0VNSfkslzvSFkHk8='
        list addresses '10.24.112.189'
        list dns '8.8.8.8'

config wireguard_wg_finevpn
        option description 'Zaimportowana konfiguracja peera'
        option public_key '2SBNdxS9fmrsvt2k477PuCFt+HzYhMMBa+za4+tCx2g='
        list allowed_ips '0.0.0.0/0'
        option persistent_keepalive '21'
        option endpoint_host 'tr.wg.finevpn.org'
        option endpoint_port '993'

/etc/config/firewall

config zone
        option name 'wg_test'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'ACCEPT'
        option masq '1'
        list network 'wg_finevpn'

config forwarding
        option src 'wg_test'
        option dest 'lan'

config forwarding
        option src 'wg_test'
        option dest 'wan'

config forwarding
        option src 'lan'
        option dest 'wg_test'

config forwarding
        option src 'wan'
        option dest 'wg_test'

Pokazuje że jest połączenie po komendzie wg:

wg
interface: wg_finevpn
  public key: 1wMG1ad8JnNnRV2DtYRbv57m5NTop+KL4VpgQSQjtgY=
  private key: (hidden)
  listening port: 37431

peer: 2SBNdxS9fmrsvt2k477PuCFt+HzYhMMBa+za4+tCx2g=
  endpoint: 62.3.0.10:993
  allowed ips: 0.0.0.0/0
  latest handshake: 7 seconds ago
  transfer: 368 B received, 1.27 KiB sent
  persistent keepalive: every 21 seconds

ale jestem na swoim starym IP dla całego ruchu z routera.

6 Odpowiedź przez pedrox (edytowany przez pedrox 2024-04-01 23:29:41)

  • pedrox
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2015-05-19
  • Posty: 30

Odp: jedno ip z lan po VPN w świat

hm dodałem regułę do PBR

config policy
        option name 'wgtest'
        option interface 'wg_finevpn'
        option src_addr '10.0.0.130/32'

i czary - działa dla tego hosta tak jak powinno.
EDIT: no nie do końca działa bo stara apka od streamingu na starym tv wywala że coś ją jednak boli. Podmieniłem IP na telefon z andkiem gdzie jest aplikacja i wszystko śmiga jak trzeba więc widać że chyba będę musiał dopisać trochę hostów od streamingu żeby na TV to poleciało dalej.

Tylko pytanie czy list allowed_ips '0.0.0.0/0' nie powinno trasować całego ruchu routera przez vpn? Faktycznie na co to wskazuje?
Nie chciałbym żeby finevpn okazał się przykrywką botnetu i miał wejście na mój router

7 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,219

Odp: jedno ip z lan po VPN w świat

Powinno. I nie powinieneś dodawać dodawać pbra do tego, Samo powinno działać. PS.

list addresses '10.24.112.189'

a

list addresses '10.24.112.189/32'

pewnie powinno bvć.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

8 Odpowiedź przez pedrox (edytowany przez pedrox 2024-04-02 12:10:00)

  • pedrox
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2015-05-19
  • Posty: 30

Odp: jedno ip z lan po VPN w świat

No to już głupi jestem.
Wywaliłem PRB. Dla VPN wg_finevpn ustawiłem

 list allowed_ips '0.0.0.0/0' 
list addresses '10.24.112.189/32'

Efekt? Zero. Latam wszędzie na swoim starym IP po PPPoE przydzielonym dynamicznie przez mojego operatora sad

Mam stary VPN z interfejsem wg0 i tam wpisałem 

list allowed_ips '0.0.0.0/0'

Efekt taki że cały ruch idzie mi przez tego VPN. Na karcie Info w LuCi pokazuje mi nawet w miejsce mojego PPPoE

Internet IPv4
Protokół:WireGuard VPN
IPv4:10.49.0.xxx
BramaV4:0.0.0.0
DNSv4:1.1.1.1,8.8.8.8

Pytanie - czy to ułomność konfiguracji usługi finevpn? Czy coś źle wpisuje?
Zależy żeby wyjść na świat w innym regionie niż zapewnia mi stary VPN z interfejsem wg0.

9 Odpowiedź przez krisux

  • krisux
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2018-01-10
  • Posty: 104

Odp: jedno ip z lan po VPN w świat

musisz wyłączyć tworzenie tras na interfejsie wireguard... a w pbr adres urządzenia, które ma korzystać z tego interfejsu

10 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,219

Odp: jedno ip z lan po VPN w świat

@pedrox: pokaż route -n po uruchomieniu takiego wg z finevpn
@krisux: właśnie chodziło o to żeby nie używać pbr bo sam wg powinien zapewnić cały ruch.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

11 Odpowiedź przez krisux

  • krisux
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2018-01-10
  • Posty: 104

Odp: jedno ip z lan po VPN w świat

ale on chce tylko 1 adres z lanu a nie wszystkie urzadzenia

12 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,219

Odp: jedno ip z lan po VPN w świat

Sorry, fakt. Więc tak trzeba używać pbr'a,

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

13 Odpowiedź przez pedrox

  • pedrox
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2015-05-19
  • Posty: 30

Odp: jedno ip z lan po VPN w świat

PBR włączony z regułą dla IP 10.0.0.130, interfejs wg_finevpn podniesiony, wg pokazuje latest handshake: 1 minute, 5 seconds ago więc coś tam się dzieje.
Na szybko na telefonie ustawiłem takie IP 10.0.0.130 i whoer.net pokazuje mi IP po VPN finevpn.

route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         213.158.195.232 0.0.0.0         UG    0      0        0 pppoe-wan
10.0.0.0        0.0.0.0         255.255.255.0   U     0      0        0 br-lan
62.3.0.10       213.158.195.232 255.255.255.255 UGH   0      0        0 pppoe-wan
213.158.195.232 0.0.0.0         255.255.255.255 UH    0      0        0 pppoe-wan

Czy wszystko ok?

14 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,219

Odp: jedno ip z lan po VPN w świat

Jeżeli działa to tak.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

15 Odpowiedź przez pedrox (edytowany przez pedrox 2024-04-02 13:11:57)

  • pedrox
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2015-05-19
  • Posty: 30

Odp: jedno ip z lan po VPN w świat

No to już nie grzebię ale nurtuje mnie ciągle kwestia list allowed_ips '0.0.0.0/0'
Jeżeli w starym wg0 w miejsce 10.49.0.x wpiszę '0.0.0.0/0' to cały ruch idzie przez VPN.
Jeżeli w wg_finevpn mam '0.0.0.0/0' wpisane to nic się nie dzieje do puki nie ustawię odpowiedniej reguły w PBR.
Nie drążyć tematu? Tak już ten typ tak ma?

16 Odpowiedź przez krisux

  • krisux
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2018-01-10
  • Posty: 104

Odp: jedno ip z lan po VPN w świat

pedrox napisał/a:

Nie chciałbym żeby finevpn okazał się przykrywką botnetu i miał wejście na mój router

ustaw na firewall tylko ruch wychodzacy dla tego interfejsu

17 Odpowiedź przez krisux

  • krisux
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2018-01-10
  • Posty: 104

Odp: jedno ip z lan po VPN w świat

pedrox napisał/a:

No to już nie grzebię ale nurtuje mnie ciągle kwestia list allowed_ips '0.0.0.0/0'
Jeżeli w starym wg0 w miejsce 10.49.0.x wpiszę '0.0.0.0/0' to cały ruch idzie przez VPN.
Jeżeli w wg_finevpn mam '0.0.0.0/0' wpisane to nic się nie dzieje do puki nie ustawię odpowiedniej reguły w PBR.
Nie drążyć tematu? Tak już ten typ tak ma?

tak samo powinno działać bez wpisu do pbr tylko wtedy musisz mieć włączone trasowanie i zadziała na cały ruch w lan

18 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,219

Odp: jedno ip z lan po VPN w świat

Nie miałeś route_allowed_ips na 1 i nie tworzył trasy.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

19 Odpowiedź przez pedrox (edytowany przez pedrox 2024-04-02 14:14:04)

  • pedrox
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2015-05-19
  • Posty: 30

Odp: jedno ip z lan po VPN w świat

krisux napisał/a:
pedrox napisał/a:

Nie chciałbym żeby finevpn okazał się przykrywką botnetu i miał wejście na mój router

ustaw na firewall tylko ruch wychodzacy dla tego interfejsu

czyli podstawa BHP - wyciąć lub nie dopuścić do wejścia smile
Ustawione. Działa.

Cezary napisał/a:

Nie miałeś route_allowed_ips na 1 i nie tworzył trasy.

fakt -  odhaczyłem jak walczyłem w ciemno z różnymi konfigami.

krisux napisał/a:
pedrox napisał/a:

No to już nie grzebię ale nurtuje mnie ciągle kwestia list allowed_ips '0.0.0.0/0'
Jeżeli w starym wg0 w miejsce 10.49.0.x wpiszę '0.0.0.0/0' to cały ruch idzie przez VPN.
Jeżeli w wg_finevpn mam '0.0.0.0/0' wpisane to nic się nie dzieje do puki nie ustawię odpowiedniej reguły w PBR.
Nie drążyć tematu? Tak już ten typ tak ma?

tak samo powinno działać bez wpisu do pbr tylko wtedy musisz mieć włączone trasowanie i zadziała na cały ruch w lan

faktycznie działa na cały ruch gdy route_allowed_ips ma wartość 1.
Ja jako że chce tylko dla jednego IP więc zostawiam konfigi już bez edycji bo działa z PBR tak jak chciałem. Dzięki za wsparcie. Kolejny raz big_smile

Generalnie ta zabawa to tylko początek porządkowania sieci.
Docelowo chce wydzielić kilka sieci na sprawy IoT(bo china), sprawy domowe, sprawy firmowe. Pewnie polecę w VLANy i tam będę ustawiał odpowiednie dostępy chyba że możecie coś podpowiedzieć żeby za bardzo sobie życia nie komplikować.