Hirdetés
- Amlogic S905, S912 processzoros készülékek
- Milyen asztali (teljes vagy fél-) gépet vegyek?
- AMD K6-III, és minden ami RETRO - Oldschool tuning
- Milyen házat vegyek?
- TCL LCD és LED TV-k
- OLED TV topic
- Rémisztő árakkal szembesülnek a notebookgyártók az új mobil platformoknál
- Házimozi haladó szinten
- Milyen videókártyát?
- ASRock lapok általában
Új hozzászólás Aktív témák
-
stopperos
senior tag
Szia,
1) Menni fog a pvr szerver felé.
2) Igen. Igen.
3) Igen. Ott gondolkodtam, hogy kell-e vagy nem. Ki kell próbálni. Igen.
4) Igen. Igen. Igen.Nem értek az asus lelki világához. Tippre openwrt fut alatta, azon pedig be lehet állítani. Ha nem menne, akkor keress egy olcsó openwrt-s routert. Vagy ha nagyon kell, akkor adok egyet játszani.
Bocsánat, hogy eddig nem válaszoltam, csak elkapott egy keményebb influenza. Nem volt elég jó a tűzfal...
-
petakpa1
őstag
válasz
stopperos
#83
üzenetére
Szia, köszi, hogy próbálsz segíteni, sajnos csak most jutottam el oda, hogy el tudjak mélyedni ismét ebben.
Igen, jól érted, pontosan a fenti ábra szerinti a hálózati infrastruktúrám
-Lenne pár kérdésem:
1) Ha a fenti beállításokat megcsinálom, és Android okstelón WG VPN-en keresztül rá tudok majd kapcsolódni PVR Serverre mint Peer-re, akkor az adatforgalom hogyan fog majd közlekedni?
1.1) Android teló -> Asus router -> PVR Server
vagy
1.2) Android telóról -> PVR Server közvetlenül?2) Az Android okosteló konfigjában
[Peer] PublicKey =
2.1) Ugye ide a PVR Serverem Public Key-e kell?
Endpoint = router/pvr:9999
2.2) Ugye ide a PVRServerem, illetve az előtte lévő szolgáltatói ONT publikus IP címe kell?
AllowedIPs = 10.6.0.4/32
PersistentKeepalive = 603) PVR Serveren
[Peer] PublicKey =
3.1) Ugye ide az Asus routerem Public Key-e kell?
Endpoint = asus router:51820
AllowedIPs = 10.6.0.1/32, 192.168.1.0/24, #? 10.6.0.0/24
3.2) Fenti #? 10.6.0.0/24-nek mi a célja?
PersistentKeepalive = 60[Peer]
PublicKey =
3.3) Ugye ide az Andorid okostelóm Public Key-e kell?
AllowedIPs = 10.6.0.2/32
PersistentKeepalive = 604) Asus Routeren
[Peer] PublicKey =
4.1) Ugye ide az Andorid okostelóm Public Key-e kell?
AllowedIPs = 10.6.0.2/32
PersistentKeepalive = 60
[Peer]
PublicKey =
4.2) Ugye ide az PVR Serverem Public Key-e kell?
Endpoint = router/pvr:9999
4.3) Ugye ide a PVRServerem, illetve az előtte lévő szolgáltatói ONT publikus IP címe kell?
AllowedIPs = 10.6.0.4/32
PersistentKeepalive = 60
DE a legfőbb gondom az, hogy a PVR Serveren és az Android okostelón futó WG alkalmazás configját tudom szerkeszteni, az Asus Routeremét sajnos nem . Az Asus Router webes kezelőfelületén nincs ilyen lehetőség. Azaz a PVR Server (mint WG Peer) konfigurációs adataiba nem tudom beírni, hogy
Endpoint = PVR Server internetkapcsolata Publikus IP címe.Talán ha SSH-val direkt szerkeszteném az Asus Router WG konfigfile-ját, akkor be tudnám írni a fenti Endpoint bejegyzést, de azt sem tudom hogyan épül fel egy Asus Router-en futó Linux konytárszerkezete, hol keresem benne szerkesztendő a WG config filet.
Ennek még utánna googlizok, hátha találok rá valami épképzláb howto-t, netán yourube videot....Előre is köszi, ha tudsz válaszolni majd a fenti 1)-4) kérdésekre.
-
stopperos
senior tag
Szerintem figyelmen kívül lehet hagyni pár dolgot a #81-es hozzászólásomból. Újraolvasva a hozzászólásaid, jobban ki tudtam bogozni, hogy mit szeretnél.
Valami ilyen struktúrát szeretnél. ha jól értem:
A Telefonodon:
[Interface] PrivateKey = Address = 10.6.0.2/24
DNS = 10.6.0.1[Peer] PublicKey =
Endpoint = asus router:51820
AllowedIPs = 0.0.0.0/0 #<< implementáció függő, hogy átengedi e a másik peer-t
PersistentKeepalive = 60
[Peer] PublicKey =
Endpoint = router/pvr:9999
AllowedIPs = 10.6.0.4/32
PersistentKeepalive = 60PVR Szerveren:
[Interface] PrivateKey = Address = 10.6.0.4/24
ListenPort = 9999[Peer] PublicKey =
Endpoint = asus router:51820
AllowedIPs = 10.6.0.1/32, 192.168.1.0/24, #? 10.6.0.0/24
PersistentKeepalive = 60[Peer]
PublicKey =
AllowedIPs = 10.6.0.2/32
PersistentKeepalive = 60ASUS Router:
[Interface] PrivateKey = Address = 10.6.0.1/24
# ListenPort = 51820[Peer] PublicKey = AllowedIPs = 10.6.0.2/32
PersistentKeepalive = 60
[Peer]
PublicKey =
Endpoint = router/pvr:9999
AllowedIPs = 10.6.0.4/32
PersistentKeepalive = 60A teszteléshez tettem be persistent keepalive-okat. Ha a handshake timer mozog, akkor jó úton jársz. Az AllowedIPs méretekkel gondban voltam, a #81-es hsz-ben is emiatt feszengtem, de talán ez elég lesz.
-
petakpa1
őstag
válasz
stopperos
#81
üzenetére
Hmmm, ha már a topicalapítót érdeklődését is felkeltettem az csak jó lehet.
Én csak találgatok, próbálkozom, hogy megoldást találjak a #77 hozzászólásomban felvetett problémára, azaz arra, hogy 10.6.0.2 virtuális IP címú telómról el tudjam érni VPN-en keresztül a 10.6.0.4 virtuális IP-jú PVM Serveremet remote desktoppal.
A legegyszerűbb megoldás jó nekem erre, nem akarom elbonyolítani. Nem ragaszkodom se a #77. hozzászólásomban tervezett Telo->Router->PVR server módszerhez, se a #80--ban elképzelt Telo közvetlenül PVRServrehez csatlakozik módszerhez.
Az utolsó * bekezdésben javasolt megoldást ki tudnád kicsit jobban, szájbarágósabban fejteni? Mit kellene csinálnom az okostelómon és a PVR serveremen? előre is köszönöm!
-
stopperos
senior tag
Nem vagyok internet közelbe pár napot, erre milyen aktivitás történik...
#80-as hozzászólásoddal felkeltetted az érdeklődésem.
* Eddig ezt úgy oldottam meg, hogy a telefon 0.0.0.0/0-val becsatlakozott, és az első router szétdobta a forgalmat a megfelelő irányokba (proxmox itt, levelezés másik tunnel végponton...).
* Most első körben nem is tudom, hogy meg lehet-e csinálni windows/android klienssel amit szeretnél ilyen formában. A probléma az eszközön felvett tunnel IP, mert az csak az egyik hálózatban van benne. (Ezt csak hétvégén tudom tesztelni neked). Ha meg lehet, akkor az AllowedIPs a telefonodhoz tartozó Peer részben az telefon wg interfészének IP címe. (És akkor látod is, hogy miért vakarom a fejem...)
* Ami működik, ha új hálózatot csinálsz a meglévő mellé. A PVRSzerver gépen pedig mindkettő aktív lesz. Kb így: Telefon: 10.10.10.1/28, Peer1 (PVRSzerver) 10.10.10.2/28, Peer2 (Router) 10.10.10.3/28.... Ha a telefon csatlakozik, akkor tud mindkettő irányba az AllowedIPs szerint kommunikálni. Talán nem kell az a bonyolult amit írtál, mert routing-nál a legszűkebb lesz a legerősebb szabály. Egyik lehet 0.0.0.0/0 a másik pedig 10.10.10.2/32. Visszafelé pedig az IP cím. -
petakpa1
őstag
Próbálnám továbbra is megoldani azt, hogy az okostelómmal tudjak kapcsolódni WG VPN-en keresztül közvetlenül (tehát Asus routerem kihagyásával) a PVRServeremhez mint peer-hez.
Egyenlőre odáig jutottam, hogy az okostelómon futó WG klienst konfigurációját kellene kiegészítenem úgy, hogy 2 Peer is legyen benne:
1) Maga az Asus Rouerem, ahova minden forgalomnak kellene mennie WG VPN-en keresztül, kivéve a PVRServerem felé irányuló forgalmat
2) PVRServerem, ahova csak a felé irányuló forgalomnak kellene mennie.Ennek érdekében megszerkeszteném az okostelóm WG konfigját ilyenre:
[Interface]
Address = 10.6.0.2/32 <=ez ugye az okostelóm virtuális IP címe
DNS = 10.6.0.1
PrivateKey = Okostelómon futó wireguard program egyedi Private Key-e=[Peer]
AllowedIPs = 0.0.0.0/5, 8.0.0.0/7, 10.0.0.0/14, 10.4.0.0/15, 10.6.0.0/30, 10.6.0.5/32, 10.6.0.6/31, 10.6.0.8/29, 10.6.0.16/28, 10.6.0.32/27, 10.6.0.64/26, 10.6.0.128/25, 10.6.1.0/24, 10.6.2.0/23, 10.6.4.0/22, 10.6.8.0/21, 10.6.16.0/20, 10.6.32.0/19, 10.6.64.0/18, 10.6.128.0/17, 10.7.0.0/16, 10.8.0.0/13, 10.16.0.0/12, 10.32.0.0/11, 10.64.0.0/10, 10.128.0.0/9, 11.0.0.0/8, 12.0.0.0/6, 16.0.0.0/4, 32.0.0.0/3, 64.0.0.0/2, 128.0.0.0/1
Fenti Allowed IP listát a neten található kalkulátorral számoltattam ki,
úgy hogy az Allowed IPs 0.0.0.0/0 volt, míg a Disallowed IPs 10.6.0.4
ugyanis az utóbbi a PVR Serverem virtuális IP címe
Endpoint = Asus routerem dyndns címe:51820
PersistentKeepalive = 25
PublicKey = Asus Routerem Public Key-e=[Peer]
AllowedIPs = 10.6.0.4/32 <=ez ugye az PVR Serverem virtuális IP címe
Endpoint = Távoli hálózatom dyndns címe:51821
PersistentKeepalive = 25
PublicKey = PVR Serverem Public key-e=Jól gondolom, hogy a fenti konfiggal elérem azt a célt, hogy okostelómon futó WG app a 10.6.0.4 íp címre menő forgalmat a Távoli hálózatom felé irányítsa, és minden mást az Asus routerem, mint WG server felé?
Ha igen, akkor már csak az a kérdésem, hogy a PVRServeremen futó WG konfigját hogy kellene szerkesztenem, kiegészítenem, hogy közvetlenül az okostelómtól bejövő VPN kapcsolatot is fogadja (kvázi mint VPN server).
PVR Serverem WG konfigja az alábbi jelenleg:
[Interface]
PrivateKey = PVRServeremen futó wireguard program egyedi Private Key-e=
Address = 10.6.0.4/32 <=ez ugye az PVR Serverem virtuális IP címe
DNS = 10.6.0.1 <= ezen kell bármit módosítanom????[Peer]
PublicKey = Asus Routerem Public Key-e=
AllowedIPs = 192.168.1.0/24 <ez ugye azért nem 0.0.0.0/0,
hogy csak a Asus routerem által menedzselt helyi hálóm felé menő forgalmat
irányítsa Asus routere felé
Endpoint = Asus routerem dyndns címe:51820
PersistentKeepalive = 25Kell a fentihez bármit hozzáadni, és ha igen mit, hogy az okostelómról bejövő kapcsolatot is fogadja PVRSreveremen futó WG kliens? (A kliens-et félve írom le, mert valójában serverként is szeretném ha funkcionálna a WG a PVR Serveremen)
Szükséges ide is pl egy másik [Peer] szekció? És ha igen milyen?Előre is köszönöm bárki segítségét!
Továbbá vélelmezem, még hogy Távoli helyem routerén az 51821 portot ki kell nyitnom az ottani belső hálón lévő PVRServerem felé. A PVR Serverem Windows tűzfalában kell bármit állítanom, hogy a 81821 porton bejövő kapcoslatokat a WG kliens/program felé engedélyezze?
-
petakpa1
őstag
Ez egy nagyon praktikus is jó ötlet, köszönöm. Csak van egy problémám vele: A távoli hálózatomon nincs VPN kiszolgálóm, csak VPM kliensem.
Két eszköz van ott:
1) Digis Fiberhome HG6544C ONT, és egyben wifi-s router. Erre nyilván nem tudok WG-t telepíteni
2) Fenti "router" belső hálóján vezetékes kapcsolattal fix belső IP-vel működő x64 MiniPC, melyen Win11 24H2 IoT LTSC OS van, és ez futtatja a NextPVR servert és Wireguard klienst. Utóbit innen telepítettem: https://www.wireguard.com/install/
Ebbe a WG kliensbe importáltam be az A Helyi hálózatomon lévő Asus Routerem VPN server menüjéből kigenerált kliens konfig file.
Tehát a Távoli Hálózatomon lévő x64 MiniPC egy VPN kliens jelenleg. Legalábbis én így értem, hogy amim ott van most az egy VPN kliens.
Vagy ugyanezen a x64 MiniPC-n jelenleg futó WG programba be tudok állítani egy VPN servert is?
Vagy teljesen félreértem a WG működését, mert WG esetében nincs külön server és kliens, hanem mindegyik elem egy peer és tud kliens és server is lenni.
Neten próbáltam ennek is utána olvasni, de egymásnak ellentmondó infókat találtam, nem világosodtam meg eddig még.
Ha az x64 MiniPC-n jelenleg futó WG program tud kliens-ként és serverként is funckionálni, hogy kell őt server működésre is bekonfigolni? -
Gardaai
senior tag
Én nem bonyolítanám ennyire.
Mivel két VPN kiszolgálód van, ezért két profilt importálj a mobilos appba. (Vagy még a távoli hálózaton lévő routerre nem raktál WG-t?)
Legyen egy otthoni és egy távoli profil. Amikor távoli hálózatra szeretnél csatlakozni, akkor azt a profilt választod ki, ha pedig otthonira, akkor azt.
Így bár nincs átjárás a két hálózat között az adott eszközön (egy időben), de egyáltalán van rá szükséged? -
petakpa1
őstag
Igen a PVRServeremen most jónak tűnik a beállítás, azaz jelenleg csak a Helyi Hálózatom felé menő forgalom megy kerül a VPN-en, minden más nem
.Mostanra sikerült a Helyi hálózatomon lévő médialejátszó MiniPC-met és AndrodTV-met, illetve ezeken futó Kodi-kat is átkonfigolni, úgy, hogy a PVR Serverem virtuális IP-jéről (10.6.0.4) kérjék a streameket
.
Továbbá a helyi hálómon lévő asztali PC-mről RDP-vel is be tudok jelentkezni a PVRServeremre, úgy, hogy utóbbi virtuális IP (10.6.0.4)-jét írom mint kiszolgálócím.
Ennek örömére a távoli hálózaton lévő Digi Fiberhome "routeren" be is zártam azt a két portot, amely korábban pont azért volt nyitva, hogy a PVRServeremet elérjem RDP-vel, illetve a Kodi kliensek le tudják kérni a streameket.Egy dolog nem működik még:
Van ugye egy okostelóm is, amin szintén bekonfogoltam Wireguard-ot, hogy biztonsággal tudjam elérni helyi hálózatomon lévő eszközöket. Oksotelómnak 10.6.0.2 virtuális IP címet ad Asus Routerem.
Okostelómonon használom az ún Windows App-ot arra, hogy különféle Windows OS-t futtató PC/Servereimet RDP-vel el tudjam érni.
Ez utóbbi is tökéletesen működik, ha olyan PC-hez/Serverhez kapcsolódok, amelyik ténylegesen a helyi hálón van, azaz belső IP címe: 192.168.1.X.Viszont azt is szeretném, ha okostelómmal a távoli hálózaton lévő. de VPN-nel helyi hálózatomhoz is csatlakozó PVR Serveremet is elérjem RDP-vel, akkor is ha a telómmal nem a helyi hálón vagyok.
Konkrétan ilyesmit szeretnék:
Okosteló (Wireguard kliens, 10.6.0.2 virtuális IPC címmel) => Internet (VPN tunnel) => Asus router (mint Wireguard server) => Internet (VPN tunnel) => PVR Server (Wireguard kliens, 10.6.0.4 virtuális ip címmel, távolról RDP-vel elérendő kiszolgáló).
Ehhez az okostelóm Windows App-jában a értelemszerűen 10.6.0.4 címet adom meg a kiszolgálónak, amihez kapcsolódni akarok..
Sajnos így nem tud Windows App kapcsolódni
.
Úgy sejtem Asus routeremben kellene valami routing szabályt beállítani, hogyha 10.6.0.2 virtuális IP-ről akarok csatlakozni 10.6.0.4 virtuális IP-re akkor ennek megfelelően irányítsa a forgalmat Asus routerem.(Ami még érdekes, hogyha okostelóm helyi hálózatom-on van azaz IP címe pl 192.168.1.23), és így próbálok Windows App-al csatlakozni a 10.6.0.4. virtuális IP-n lévő kiszolgálóhoz, akkor sikeres a csatlakozás.)
-
ekkold
őstag
Ha jól működik akkor nyilván jó a beállítás. annyit említenék meg, hogy a DisallowedIPs= beállítást nem minden wireguard megvalósítás kezeli, pl. a windows-os kliens biztosan nem kezeli, és a mikrotik sem. Viszont vannak netes kalkulátorok amelyeknek megadhatod az AllowedIPs=, és a DisallowedIPs= beállítást is, és ez majd összefésüli a kettőt úgy, hogy megadja milyen AllowedIPs beállítást használj.
De mivel most azt csinálja amit szeretnél így ezzel végülis egyelőre nem lesz dolgod. -
petakpa1
őstag
Köszi, hogy próbálsz segíteni. Most az alábbiak a beállítások:
Helyi hálózatom ahol Asus a Router és VPN Server is egyben
Router IP címe: 192.168.1.1
IP címeket helyi klienseknek 192.168.1.2-254 között osztTávoli hálózaton, ahol egy Digi Fiberhome eszköz a router és itt fut a PVRServerem is Windows alatt Wireguard kliensel:
Router IP címe: 192.168.2.1
IP címeket helyi klienseknek 192.168.2.2-254 között osztPVR Serveren futó Wireguard kliensben pedig
AllowedIPs=192.168.1.0/24Így most jónak tűnik, mert PVR Serveren futó böngészőbe beírt
- 192.168.1.1 IP cím az Asus Router belépési oldalát nyitja meg
- 192.168.2.1 IP cím az Fiberhome "Router "belépési oldalát nyitja meg
- ident.me weboldal a távoli hálózat külsö IP címét adja már eredményül, nem pedig a helyi hálózatom külső IP címét. Azaz az ident.me oldalt már nem a VPN-en keresztül töltötte be a böngésző. -
Gardaai
senior tag
-
petakpa1
őstag
Köszönöm. Közben elkezdtem megvalósítani, de a AllowedIPs= részt még nem írtam felül.
Egyenlőre ott tartok, hogy AllowedIPs=0.0.0.0/0, és ha a PVR Serveren futó böngészőbe beírom, hogy ident.me, akkor már nem a távoli helyem IP címét, hanem annak a helynek az IP címét írja ki, amelyen az Asus routerem (egyben VPN)server kapcsolódik az internethez.. Tehát PVR server már VPN-ne keresztül megy már ki a netre
.A második javaslatod is nagyon hasznos lesz, ugyanis az alábbit tapasztaltam.
Asus routerem 192.168.1.2-254 között oszt ki IP címeket a helyi hálón, ő maga pedig ugye a 192.168.1.1
Namost ha akár az okostelefonomról, akár a hordozós laptopomon bekapcsolom a VPN-t, és böngészőben beírom, hogy 192.168.1.1 akkor az Asus Routerem bejelentkezési oldala töltődik be. Ez így logikus is, mert a VPN-nek köszönhetően ez a két kliens olyan mintha az Asus router belső hálóján lógna.Viszont ha a PVRServeremen futó böngészőbe írom be, hogy 192.168.1.1 akkor a kapcsolódás sikertelen.
Az a gyanúm, hogy ez pont amiatt lesz, hogy a távoli helyemen futó szolgáltatói "router" is pont 192.168.1.X tartományban oszt ki IP címeket. Ezt valóban átkonfigolom majd 192.168.2.X-re így nem lesz ütközés... -
Gardaai
senior tag
Amit az "AllowedIPs=" mögé írsz, az fog VPN-en keresztül menni. Minden más azon kívül.
Semmi mást nem kell beírnod, csak pl. az adott hálózat címtartományát.
AllowedIPs=192.168.1.0/24
Ilyenkor csak a 192.168.1.X címek közötti kommunikáció megy VPN-en.Fontos, ha két hálózatot akarsz összekötni, akkor más legyen a hálózatok címkiosztása.
Célszerű pl. otthonit 192.168.1.0/24-re, távolit pedig 192.168.2.0/24-re állítani. -
petakpa1
őstag
Nem találtam másik dedikált Wireguard topicok ezért itt kérdeznék elsőre.
Pontosan mit jelentenek az
AllowedIps=
és a
DisallowedIPs=
beállítások Wireguardban kliens oldali konfig esetében?Google AI alapú összefoglalója alapján úgy értem, hogy a kliensen futó Wireguard azokat a kliens által kezdeményezett kapcsolatokat, amik az AllowedIPs= után megadott IP címekre mennek kötelezően a VPN kapcsolaton keresztül iránytaja, de ami IP címek itt nincsenek felsorolva azok továbbra is VPN-n kívül mennek az internetre.
Azaz ha AllowedIPs=0.0.0.0/0 akkor az azt jelenti, hogy az összes forgalom VPN-en keresztül megy
Ha AllowedIPs=gmail.com akkor csak a gmail.com lesz VPN-en keresztül elérve, de az összes többi weboldal illetve bármilyen egyéb internet forgalom nem a VPN-en keresztül történik?
Jól értem a fentit?Mit jelent akkor a DisallowedIPS= beállítás?
Konkréten az alábbi problémára keresnék megoldást:
A Wireguard VPN serverem egy erősebb Asus Router MerlinFW-el. Az Asus router netkapcsolatánka IP címe dinamikusan változó, de van rá dyndns beállítva, így ha változik is az IP cím a a XYZ.dyndns.org webcím alapján továbbra is meg fogja találni VPN kliens a VPN servert.
A VPN serverre 3 VPN kliens kapcsolódik/fog kapcsolódni: Okosteló, hurcolós laptop és egy fizikailag másik helyen lévő ún. PVR Server, mely Windows 11 IoT LTSC operációs rendszeren fut.
A PVR Server-re is szeretném majd feltelepíteni a Wireguard klienst és beállítani rá, VPN servernek az Asus routert.
A PVR Server az Asus router mögötti helyi háló lévő Android okosTV-t illetve Windows alapú medialejátszó MiniPC-t szolgálja ki TV streammel.
A cél az lenne, hogy ezek a TV streamek VPN-en keresztül közlekedjenek az alábbi módon:
PVR Server (egyben VPN kliens) -> VPN -> Asus Router (mint VPN server) -> Android okosTV / Mini PC (az Asus Router mögötti helyi hálón).
Ezt így idáig valszeg be is fogom tudni állítani.Viszont a PVR Server
- rendszeresen frissíteni fogja magát Windows Update-ról
- sőt pár havonta lehet, hogy böngészővel internetezni is fognak rajta.
Ezeket a forgalmakat felesleges keresztül nyomni VPN-en, mehetnének közvetlenül az internetre is.Kérdésem az lenne, hogy hogyan lehetne azt beállítani a PVR Serveren futó Wireguard VPN kliensben, hogy csak az Asus router mögötti helyi hálón lévő eszközök felé irányuló kapcsolatok kerüljenek VPN-en keresztül irányításra, de minden más VPN-n kívül közvetlenül menjen az internetre?
Mit kellene ehhez beállítanom?Előre is köszi a segítséget, és remélem sikerült érthetően leírni mi a kérdésem?
-
stopperos
senior tag
Szia,
Ha azonos címtartományban van, akkor nem fog működni. Érdemes lenne a subnet méretét csökkenteni mondjuk /26-ra (ekkor az első helyen 1-63ig mehet a címzés, a második helyen 192.168.0.64/26-tal 65-127). Gondod lesz a route szabályokkal, ha mindkét oldalon /24 van, és nem fogod látni a túloldalt.
Synology-nál nem tudom, de mikrotiknél is ez a probléma. Neked kell kézzel szerkesztened a generált konfigurációt.
Route szabályok máshogy jönnek létre... -
Gardaai
senior tag
Sziasztok!
Synology NAS dockerben futtatok egy WireGuard szervert otthon és a munkahelyen is.
Azt megtudom oldani, hogy ha a local és a remote hálózat azonos címzéssel van (192.168.1.0/24), akkor is lássák egymást az eszközök, ha nincs IP ütközés?
Mondjuk az otthoni 50-ig címez, a remote pedig 51-től kezdi a címzést.Másik:
Betudom valahogy állítani, hogy az alapértelmezett eszköz config fájl, az AllowerIPs-nél ne 0.0.0.0/0 legyen, hanem amit én határozok meg?Windows-os gépeknél manuálisan kell átírni minden alkalommal ha új eszközt adok hozzá, ezért könnyebb lenne, ha otthon hozom létre az új eszközt akkor:
"AllowedIPs = 192.168.2.0/24"
ha munkahelyen, akkor pedig "AllowedIPs = 192.168.3.0/24"(Érdekes, hogy android/iOS/MacOS működik 0.0.0.0/0-val hogy lássam a local és remote hálózatot is, csak Windows-nál nem.)
-
Magnat
veterán
Valamilyen szemléletmód szerint mind a kettőnek igaza van, a Win valszeg csak fogja és elvégzi a bitszintű logikai AND műveletet a cím és a maszk között, és mind a két esetben (0.0.0.0/0 és 192.168.20.0/0) az jön ki eredményül, hogy a teljes címtartomány beleesik a lefedett hálózatba (azaz minden címet továbbítani kell). A Maci sztem meg úgy gondolkodik, h mivel a 192.168.20.0/0 esetén a 192.168.20 résznek nincs relevanciája, így annak ellenére, h algebrailag értelmezhető a végeredmény, valami hiba van a kifejezésben és inkább nem eszi meg
-
zsamiatt
őstag
wireguard mac problémában tudna esetleg valaki segíteni? Van egy wireguard config file ami windows alatt remekül müködik. Igen ám, de macen hiába jön létre a kapcsolat nem akar látni semmi a hálón.
Viszont ha áteszem 0.0.0.0/0-ra akor működik már a macen is viszont az internet felé irányuló forgalmat is a távoli háló felé irányítja ami nem annyira jó. Hogyan lehetne rávenni a macet, hogy csak a megadott ip tartományt továbbítsa? Esetünkben 192.158.20.0/0 -
Magnat
veterán
Szia,
ha külön ip tartományban vannak pl az által h a guest networkbe tetted őket, akkor sztem routing szabályt kellene rá csinálni, h kinek a forgalma merre menjen, vagy a /etc/iproute2/rt_tables szerkesztésével ha hozzáférsz vagy sima static route-tal, de ez már az adott routertől függ.
-
MCGaiwer
addikt
Sziasztok!
Nem nagyon vagyok ismeretes ebben a témában, ezért az viszonylagos egyszerűsége miatt szeretném a WireGuardot használni.
Van 2 WG-t tudó Asus routerem, az egyik Németországban (server), a másik Mo-n (client).
A cél az lenne, hogy a client router WG-vel csatlakozzon a server-hez, és azon keresztül érje el az internetet (IP cím miatt). Létrehoztam egy WG servert, a config fájllal pedig a clienst és csatlakoztam a serverhez.
Amit szeretnék az az, hogy a clienshez csatlakozó sok eszköz közül csak 1db menjen a VPN-en keresztül, az összes többi egyenesen elérje az internetet a cliensen. Tehát hogy ne állandóan minden csatlakozott eszköz menjen VPN-en keresztül, csak az, amelyiket meghatározok.
Erre gondoltam csinálok egy Guest Networkot ahol az alapértelmezett connection a VPN, és a normal networkban pedig az Internet az alapértelmezett, de nem igazán működik.
Tud valaki segíteni, hogy mi lehet a baj, vagy hogy hogyan lehet ezt elegánsan és jól beállítani? -
Magnat
veterán
Üdv,
beírom, hátha valakinek segít, nem feltétlen kell masquarading, ha engedélyezve van a szerveren az ip forwarding, akkor úgy is működik, ha a helyi hálózat default gateway-éban (ami jellemzően otthoni hálózaton a router) egy statikus routot kell beállítani a teljes WG ip tartományra (10.0.0.1/24 talán a default) és azt ráirányítani a Wg szerver lan címére. Így egy kvázi routolt hálózatot kapsz.
-
stopperos
senior tag
Ha már van ping, akkor félig már a jó úton vagy.
A WAN port-on most van internet? (tehát ha az openwrt eszközről pingeled a 8.8.8.8-at akkor van válasz rá?) Vagy csak a LAN van bedugva DHCP nélkül?
Mert ha a WAN port a kijárat, akkor a 3. szamályhoz a lan mellé még a wan-t is add hozzá. Ha nem az a kijárat, akkor még gondolkodnom kell. -
stopperos
senior tag
A wireguard interfész beállításainál átváltasz a tűzfal beállításaira és létrehozol egy vpn tűzfalzónát, amibe az interfész forgalma fog tartozni.
Majd a tűzfal szabályoknál a maszkolást kell megcsinálni az alábbiak szerint, hogy a forgalmad a wireguard hálózatból úgy tűnjön, mintha az openwrt eszközről indulna. A 3. szabályt kell létrehoznod (nem a bekeretezettet).
Ha ez megvan, akkor a LAN hálózaton lévő eszközöket is tudod pingelni majd. A WAN oldalhoz pedig módosítsd az első szabályt. -
Yerix
tag
Internet --> asus router --> tplink router (openwrt+wireguard)
Ebben az elrendezéseben az asus routeren nyitottam portot és forwaldoltam a tplink routerre ha erre gondoltál. Ennek hiányában a telefon nem is tudna össze kapcsolódni a tplink routeren a wireguard szerverrel.
Igen a telefonon 0.0.0.0/0 van
-
Mr Dini
addikt
Akkor ott esélyesen routing probléma lesz, vagy a tűzfal fogja meg a forgalmat. Engedélyezett IP-k kliens oldalon mik? 0.0.0.0/0? Routeren van NAT beállítva rendesen? Tűzfalon nincs valami drop szabály, ami a wireguard interfacere is vonatkozik? Konfig nélkül nehéz megmondani, hol a hiba.
-
Yerix
tag
válasz
stopperos
#40
üzenetére
Köszönöm.
A leírás szerint be is configoltam, de valamiért a telefonon nincs internet és LAN-t sem látja.
A router tudja pingelni a telefont és fordítva is, de mintha ezentúl semmi kommunikáció nem lenne a kettő eszköz között.
Erre valakinek van ötlete, hogy mi lehet a gond ?
-
stopperos
senior tag
Válaszolva a #18831-re, akkor a legegyszerűbb, ha felteszed a luci-app-wireguard és a luci-proto-wireguard csomagokat (lehet az elsőnek függősége a második, és azt is magával rántja). Innen pedig létrehozod az új interfészt, és azt már be tudod állítani a logout írás alapján.
Más: Ha lesz egy kis időm, akkor elkészítem mikrotikre is az írást.
-
Mr Dini
addikt
Persze, működhet. Gondolom openwrt-t akartál írni. Ha már eleve van egy router, akkor a tp-linken letiltanám a DHCP-t, hogy ne legyen dupla NAT. Aztán kapjon valami fix IP-t tp-link a másiktól, válassz egy tetszőleges UDP portot a wireguardnak, lődd be a tp-linken, esetlegesen egy dinamikus dns-t is, aztán a másik routeren legyen port forward. Nézd meg, hogy a szolgáltatód nem-e natol, ha nem, akkor csatlakozhatsz is a VPN-edhez pl mobilnetről. Ha megy, akkor minden rendben.
-
Yerix
tag
@Mr Dimi, köszi a gyors választ, így akkor dobom a windows-os ötletet.
Viszont szeretném megkérdezni, hogy az a felállás működhet-e, hogy jelenleg van egy router és arra vezetékkel kötve egy win10-es asztali gép.
Ha kettő közé beiktatnék egy tplink routert amin openwpn-n van és arra a tplink routerre kerülne a wireguard, akkor azt távolról elérném és tudnék rá csatlakozni ?
Amiatt kérdezem, hogy ha a telefonommal wireguard használatával felcsatlakoznom az otthoni netre (felső példa esetében a tp linkre), akkor a telefon wireguard-on kapja a netet, mint egy biztonságos VPN.
Ez működhet ?
-
sub
-
Mr Dini
addikt
-
Yerix
tag
Segítséget szeretnék kérni, bizonyára valami banális hibát vétek, de nem találom a megoldást.
Van egy win10-es wireguard szerver és egy androidos telefon ami a kliens.
Mindkettő tudja egymást pingelni, de a telefon nincs internet és nem is látja a lan hálózaton lévő többi eszközt, amikor a wireguard aktív.
A routeren természetesen nyitva van a 5555-ös port.win10 Szerver config:
[Interface]Address = 10.10.10.1/24ListenPort = 5555PrivateKey = SPWa0HdyGtjZip8p1W34NdCa9P1asOifCsO2J5pEXHs=PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADEPostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE[Peer]PublicKey = xSKTK7BISKmsQtVzqdUPlk1wTdQeVjEbm0OL4ntnhiA=AllowedIPs = 10.10.10.2/32
Android kliens config:[Interface]Address = 10.10.10.2/24ListenPort = 5555PrivateKey = 8FIiTYuPQtFR3gCrtzE70TQx2a7I9rcloR+R//zg0lU=[Peer]PublicKey = UU58q/cMgtvfk/XDv3Pt+3VPiaN283L23Q+TbL9vuD4=AllowedIPs = 0.0.0.0/0, ::/0Endpoint = default.ddns.net:5555A cél az lenne, hogy mindegy hogy a telefon mobil neten vagy céges wifi-n van, minden adatforgalma a tunelen keresztül az otthoni interneten menjen ki a netre.
(a portok, a privát és a publikus kulcsok, természetesen csak a példa kevéért vannak itt.) -
Shummo
senior tag
válasz
stopperos
#32
üzenetére
Köszönöm.
Kettő dolgot kellett még csinálnom. Most működik.
DD-wrt TUNNEL fül alatt, ahogy a wireguard peer config van, van egy FIREWALL INBOUND opció. Ezt ki kellett kapcsolnom, illetve átírtam a wg0.conf (server config) fájl ahogy te javasoltad.[Interface]PrivateKey = ***************Address = 10.6.0.1/24PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -A FORWARD -o wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADEPostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -D FORWARD -o wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADEListenPort = 4****### begin client01 ###[Peer]PublicKey = **************************PresharedKey = ***********************AllowedIPs = 10.6.0.10/32, 192.168.101.0/24PersistentKeepalive=25### end client01 ###
ÉS így már működik -
stopperos
senior tag
Az A (192.168.100.1) eszközön kell egy route szabály, ami a 192.168.101.0/24-et a 192.168.100.222-re irányítja. Most szerintem kimegy az internet felé, ezért nem látod.
A raspberry-n (ez neked akkor a szerver) pedig kell az allowed listába a 192.168.101.0/24. Raspberry esetén ez hozzáadja a route listához, ott már nem kell. -
-
stopperos
senior tag
A problémád ott van, hogy nincsenek meg a route szabályok a B hálózat felé.
B irányból a wireguard létrehozza a route szabályt linuxon, ami megy a raspberry pi-re. Ott van a NAT szabály, tehát minden ami 'B'-ből jön úgy fog látszódni, mintha a raspberry-ről jönne. A raspberry pedig tudni fogja, hogy amit az A oldalon kap választ, azt hová kell visszaküldenie (NAT tábla).
Az A oldal felől viszont senki nem tudja, hogy van egy másik hálózatod. Az 'A' router-en létre kellene hozni egy route szabályt, ami a raspberry-re mutat ha a B hálózatra megy a forgalom. A raspberry-n elég ha felveszed az AllowedIPs közé a másik hálózatot, és akkor már hozzá fogja adni a route szabályt is.
Ez már kb 95%, és csak az marad ki, hogy kell e a B oldalon is egy tűzfal szabály vagy nem. Illetve hogy a raspberry továbbítja e a forgalmat.
-
Shummo
senior tag
Esetleg egy kis segítségre lenne szükségem. Valahol elakadt a dolog.
Készítettem egy kb topológiát. [kép]
A routeren Padavan fw, B routeren DD-WRT fw fut.
Cél az lenne, hogy a B router becsatlakozzon az A router alá. Ehhez egy Rapsberry pi-n fut a wireguard server.
Szeretném, ha el tudnám érni a B routeren lévő eszközöket A routerről, és vissza is.
A B routerből szépen látom az A alattiakat, viszont visszafele már a B routert se tudom pingelni, nem hogy ami mögötte van.
wg0.conf (server config)[Interface]PrivateKey = ***************Address = 10.6.0.1/24PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -A FORWARD -o wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADEPostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -D FORWARD -o wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADEListenPort = 4****### begin client01 ###[Peer]PublicKey = **************************PresharedKey = ***********************AllowedIPs = 10.6.0.10/32PersistentKeepalive=25### end client01 ###Garázs router CLIENT(peer) configja
[Interface]PrivateKey = x*************Address = 10.6.0.10/24DNS = 8.8.8.8, 8.8.4.4[Peer]PublicKey = *******************h=PresharedKey = *****************Endpoint = ****************org:4****AllowedIPs = 10.6.0.0/24,192.168.100.0/24PersistentKeepalive=25
A poén az, hogy ugyan ezekkel a configokkal egy Open-wrt rendszer tökéletesen működik, oda vissza.
Ebből kifolyólag valamlyen firewall problémára gondolok, ugyanis OPENWRT alatt tudtam beállítani zone forwardot, de DD-wrt-n ezt nem találom. -
stopperos
senior tag
Nem értem rá a témával foglalkozni a munkahelyi dolgaim miatt. Most viszont én is megszenvedtem egy site-to-site vpn-nel. A tűzfal résszel minden rendben volt, de valamiért nem mentek át a csomagok a wireguard alagútján.
Kiindulás ez volt:
Nálam mikrotik hAP ac2 (RouterOS 7.5):* wan: 192.168.0.2/27* lan: 10.40.7.1/27* wg: 172.16.222.150/24AllowedIps = 172.16.222.0/24Máshol archer C20i (openwrt-22.03):
* wan: 192.168.1.150/24* lan: 10.3.40.1/27* wg: 172.16.222.120/24AllowedIps = 172.16.222.0/24Felhőben virtualbox (Ubuntu 22.04.1):
* wg: 172.16.222.1/24
# A klienseknek megfelelően az AllowedIps.AllowedIps = 172.16.222.150/32AllowedIps = 172.16.222.120/32Amit meg akartam oldani, hogy a 10.40.7.0/27 hálózatból el tudjam érni a 192.168.1.0/24 és 10.3.40.0/27 hálózatban lévő gépeket. A 172.16.222.0/24 hálózaton ment a ping minden irányba. A mikrotik-en felvettem az AllowedIps közé az a másik hálózat IP tartományát és ugyanezt visszafele is az archer-en. Valamint a route-okat az egyik hálózatból a másik wg interfész címére.
* mikrotik:AllowedIps = 172.16.222.0/24,192.168.1.0/24,10.3.40.0/27
* archer: AllowedIps = 172.16.222.0/24,10.40.7.0/27
A route szabályokat nem írom ki.Ekkor még nem ment a ping. A traceroute pedig azt írta, hogy az első hop (172.16.222.1) még sikeres, viszont utána timeout.
...
Itt kellett visszaemlékezni az általam leírt sorokra: "...és csak olyan csomag fog a hálózati csatolón megjelenni az alagút túloldalán, amelynél a forrás IP és a titkosítási kulcs is megfelelő. Ezt hívják kriptokulcs alapú forgalom irányításnak."Tehát hiányzott még egy-egy módosítás a virtualbox gépen:
AllowedIps = 172.16.222.150/32,10.40.7.0/27AllowedIps = 172.16.222.120/32,10.3.40.0/27,192.168.1.0/24Ezek után működött a ping a 10.40.7.0/27 hálózatból a 192.168.1.0/24 és 10.3.40.0/27 hálózatba. Valamint az archer-ről a 10.40.7.0/27-ba is ment a ping.
Összegezve:
Meg kell azt nézni, hogy a wireguard alagútba bejutó csomagok átjutnak-e és az AllowedIps hiány miatt nem dobódnak-e el. A traceroute segíteni fog. -
yodee_
őstag
válasz
stopperos
#22
üzenetére
Én is erre gondolok, de nem jövök rá hogy hogyan lehet megcsinálni a megfelelő tűzfal és routeing szabályokat. Jelenleg ennyi a tűzfal:
config defaultsoption input 'ACCEPT'option output 'ACCEPT'option forward 'REJECT'option synflood_protect '1'config zoneoption name 'lan'option input 'ACCEPT'option output 'ACCEPT'option forward 'ACCEPT'list network 'lan'config zoneoption name 'wan'option input 'REJECT'option output 'ACCEPT'option forward 'REJECT'option masq '1'option mtu_fix '1'list network 'wan'list network 'wg0'config forwardingoption src 'lan'option dest 'wan'config ruleoption name 'Allow-DHCP-Renew'option src 'wan'option proto 'udp'option dest_port '68'option target 'ACCEPT'option family 'ipv4'config ruleoption name 'Allow-Ping'option src 'wan'option proto 'icmp'option icmp_type 'echo-request'option family 'ipv4'option target 'ACCEPT'config ruleoption name 'Allow-IGMP'option src 'wan'option proto 'igmp'option family 'ipv4'option target 'ACCEPT'config ruleoption name 'Allow-DHCPv6'option src 'wan'option proto 'udp'option dest_port '546'option family 'ipv6'option target 'ACCEPT'config ruleoption name 'Allow-MLD'option src 'wan'option proto 'icmp'option src_ip 'fe80::/10'list icmp_type '130/0'list icmp_type '131/0'list icmp_type '132/0'list icmp_type '143/0'option family 'ipv6'option target 'ACCEPT'config ruleoption name 'Allow-ICMPv6-Input'option src 'wan'option proto 'icmp'list icmp_type 'echo-request'list icmp_type 'echo-reply'list icmp_type 'destination-unreachable'list icmp_type 'packet-too-big'list icmp_type 'time-exceeded'list icmp_type 'bad-header'list icmp_type 'unknown-header-type'list icmp_type 'router-solicitation'list icmp_type 'neighbour-solicitation'list icmp_type 'router-advertisement'list icmp_type 'neighbour-advertisement'option limit '1000/sec'option family 'ipv6'option target 'ACCEPT'config ruleoption name 'Allow-ICMPv6-Forward'option src 'wan'option dest '*'option proto 'icmp'list icmp_type 'echo-request'list icmp_type 'echo-reply'list icmp_type 'destination-unreachable'list icmp_type 'packet-too-big'list icmp_type 'time-exceeded'list icmp_type 'bad-header'list icmp_type 'unknown-header-type'option limit '1000/sec'option family 'ipv6'option target 'ACCEPT'config ruleoption name 'Allow-IPSec-ESP'option src 'wan'option dest 'lan'option proto 'esp'option target 'ACCEPT'config ruleoption name 'Allow-ISAKMP'option src 'wan'option dest 'lan'option dest_port '500'option proto 'udp'option target 'ACCEPT'config redirectoption dest 'lan'option target 'DNAT'option name 'SSH'list proto 'tcp'option src 'wan'option dest_ip '10.13.6.1'option src_dport '4173'option dest_port '4173'config redirectoption dest 'lan'option target 'DNAT'option name 'luci'list proto 'tcp'option src 'wan'option src_dport '80'option dest_port '80'option dest_ip '10.13.6.1'Semmi extra, egy luci és egy ssh van nyitva. Ezeket Én vettem fel.
-
ekkold
őstag
A wg nem kliens-szerver alapú, hanem egyenrangú a két oldal. Ez alapján elvileg bármelyik oldal IP címe változhat. Persze ha az egyik oldalon nincs megadva a másik oldal IP-je vagy domén neve, akkor az nem tudja kezdeményezni a kapcsolatot. Viszont nekem olyan kapcsolat is szokott megszakadni, ahol mindkét oldalon meg van adva a domén név, és persze ugyanúgy megjavul az újraindítástól. A működés filozófiájába nem illik bele ez a megszakadás, szerintem csak egy bug, vagy egy nem jól kidolgozott részlet.
-
Mr Dini
addikt
Nem, ez szándékosan van így és nem csak mikrotiken. A dolog akkor működik jól, ha van pl egy fix IP-s szervered és erre csatlakozol bárhol a világban a mobiloddal. Ekkor akár lépkedhetsz mobilon mobilnet és wifi közt, menni fog, mivel a mobillal a szerver IP-je felé küldessz csomagot, így az megérkezik oda, a wireguardot pedig nem érdekli a forrás IP, hogy honnan jött a csomag, hanem azt nézi, hogy vissza tudja fejteni a kulcsával, s ha igen, akkor válaszol rá a feladónak.
Viszont ha pl egy dinamikus IP szerverhez kapcsolódsz és van hozzá DDNS cím, akkor csak a kapcsolat felépítésekor fogja feloldani az IP-t és végig azon fog próbálkozni. UDP, szóval abszolút stateless a dolog, fogalma sincs, hogy a távoli IP-n már rég nem fut wireguard, lelkesen küldi oda a csomagokat.
Sokan emiatt valóban folyamatosan pingelik szkriptekkel a hosztokat, vagy wg-ben állítanak persistentkeepalive-t és azt nézik, hogy ez megtörténik-e gyakran stb.
Más megoldás nagyon nincs.
Kiforrni meg nem hiszem, hogy kiforrja magát, direkt ilyen egyszerű az egész és szerintem ez nem is baj. Én csak az L2-t hiányolom, de kétlem, hogy valaha is lesz. Már a multicast ötletét is elvetette Jason.
-
ekkold
őstag
válasz
stopperos
#21
üzenetére
64 bites Win7-ről van szó, több helyen is próbáltam. Külföldi fórumokon is keresgéltem, volt is erről szó, de akkor annyival elintézték, hogy ez a windows hibája. Win10 alatt is hasonló történik, csak nem olyan látványosan, de a registrybe szemetel... de ezek szerint nem sokan ismerik ezt a problémát.
Az IP változást elvileg könnyedén kellene tudni kezelnie a wireguardnak, hiszen ezzel is reklámozzák, hogy mobil eszközön sem szakadnak meg a kapcsolatok, akkor is ha minden változik. A gyakorlat viszont az, hogy ez csak addig működik jól, amíg legalább az egyik oldal fix IP című. Persze az is lehet, hogy csak a mikrotik implementációban van ez a bug. De elég sokan használnak scriptet a wg interfész újraindítására mikrotiken...
Persze a hibái ellenére is tök jó a wg, és talán egyszer kiforrja magát. -
stopperos
senior tag
Szia Windows 7 esetében nekem csak a 32bites rendszeren voltak ilyen problémáim. Windows 10 (64bit) nem tapasztalom. A megoldás nekem az lett, hogy a Windows 7 elé tettem egy OpenWRT-s eszközt, és a VPN címtartományára állítottam tűzfal szabályt, hogy Wireguard-on keresztül menjen.
A másik problémádnál: a DNS által feloldott IP cím milyen gyorsan frissül? Nálam csak addig állnak meg a dolgok, amíg a névfeloldás új beállításai szét nem terjednek. Ha ez sok idő nálad, akkor érdemes tailscale-re váltanod, hogy ne függj a változó IP címektől.
-
yodee_
őstag
válasz
stopperos
#12
üzenetére
Jelenleg addig szenvedtem el magam, hogy az openwrtre kötött eszközök elérik a mikrotik hálózatot és a mikrotiról elérem az openwrt-t. Viszont az openwrt eszközökön nincs internet elérés. Mi lehet a gond?
config interface 'wg0'option proto 'wireguard'option listen_port '13236'list addresses '10.13.250.2/30'option private_key '***************************'config wireguard_wg0option description 'WG-Yodee'option public_key '****************************'list allowed_ips '0.0.0.0/0'option route_allowed_ips '1'option endpoint_host 'host.dyndns.org'option endpoint_port '13236'A wireguard interface-t a WAN tűzfal zónába tettem.
-
ekkold
őstag
Mikrotik-mikrotik, és mikrotik - windows kliens között is használok wireguardot elég régóta.
Win7 esetében a wireguard minden indításkor új interfészt hoz létre (nem azt használja amit korábban létrehozott. Így egy idő után tele lesz a registry halott interfészekkel. Úgy tudom Win10 esetén is hasonló a helyzet, csak kevésbé látványos. Erre létezik valamilyen megoldás?
A másik amit tapasztaltam, hogy a dinamikus IP-hez rendelt hosztnevek esetében, amikor változik az IP, azt nem követi a Wireguard, azaz megszakad a kapcsolat, és csak a Wireguad kapcsolat ujraindítása után áll össze újból. Magyarul a kapcsolat megszakadásakor nem frissíti a hosztnevekhez tartozó IP-t. A mikrotiken ez megoldható, ha készítünk rá valamilyen szkriptet, de ez nem túl elegáns megoldás. Van erre valami jobb megoldás?
Esetleg elképzelhető, hogy ezek a hibák javítva lesznek, vagy már van is rá megoldás, csak én nem ismerem? -
PistiSan
addikt
válasz
stopperos
#12
üzenetére
Véletlen válaszra mentem, új hozzászólást akartam. :(
Tailscale-el kapcsolatban, ha már említetted a cikkben, felmerült bennem, hogy más helyi hálózaton lévő eszközt el lehet e érni valahogy.
Rákeresve van leírás a tailscale oldalán, a 3 lépés végrehajtása után, sima local ip címen elérem az összes eszközömet, nagyon durva. A 20 eszközös limitből így csak 1-et használ el. Egyenlőre a szolgáltató megbízhatósága a kérdés számomra, bár ha google fiókkal lépsz be, akkor adott a 2 lépcsős azonosítás. Kicsit félek, hogy rajtuk keresztül, ha meghackelik őket, bejöhet akármi is, bár ha saját magad hostolod a szervert a WireGuard-nak, azt is megnyomhatják. -
stopperos
senior tag
Köszönöm a korrekciót, én nem foglalkozom telefon root-tal, és emiatt nem is mélyedtem el ebben a témában. De ez megér egy frissítést.
#6 sztanozs: Én azt a gyümölcsös világot csak külső szemlélőként figyelem meg. Nem tudom, hogy milyen állapotok vannak és miért kell fizetni.
![;]](//cdn.rios.hu/dl/s/v1.gif)
#10 agent_k: Nem ígérek semmit, de tervben van pár nemmindennapi alkalmazás. Ha elég téma összegyűlik (pl ilyen a dns forgalom is) akkor írok egy folytatást. De ez nem 1 éven belül lesz.
-
stopperos
senior tag
Szia,
A hálózatok összekapcsolása résszel még csak kísérletezek, mert eddig még ilyen kérés nem futott be, hogy meg kellett volna oldanom. Így nem fogok tudni rá válaszolni teljesen. Viszont van pár gondolatom:
1) A 0.0.0.0/0 azt jelenti, hogy egy route jön létre minden forgalomra, ami az openwrt eszközre érkezik és a wireguard interfész felé küldi. Én azt próbálnám meg első körben, hogy csak a wireguard hálózatot veszem fel ide. "AllowedIps" Ez segítené a tesztelést.
1.1) Majd egy az openwrt routerre csatlakoztatott eszközről megpróbálnám pingelni a mikrotik szerver wg ip címét. Ha sikerül akkor az openwrt-n rendben van a routing, ha nem akkor a tűzfalnál kell a forwarding-ot (továbbítást) és masquerade (álcázás) szabályokat létrehozni a zónák között.
1.2) A leírásban az álcázós részt megtaláltam, de a továbbítást nem. Menj rá a lan=>wan sorban a szerkesztésre és az alján a forwarding engedélyezett hálózatoknál a wan mellé vedd fel a vpn hálózatod.
2) Ha 0.0.0.0/0 -van akkor tudod-e pingelni a mikrotik wg IP címét akár kliensről akár az openwrt-ről. Valamint a WAN port IP címét és a google 8.8.8.8-asát kellene megnézni ugyanígy. -
yodee_
őstag
Sziasztok!
Hetek óta próbálok egy openwrt routert beállítani, hogy normálisan csatlakozzon a mikrotik szerveremre. Eljutok odáig hogy a kapcsolat létrejön, de amint feláll a wg kapcsolat a két router között az openwrt routerre kötött eszközök nem érik el az internetet, és azokról a gépekről nem érem el az openwrt routert sem. Nagyon érdekes a felállás. A peer-nél az allowed addresses résznél mindenképp kell a 0.0.0.0/0 és a ::/0, vagy tölthetem úgy is ki ahogy mikrotiknél? Tehát engedélyezem a wg interface tartományt, és a távoli router tartományát? Tűzfal vagy valami egyéb beállítás esetleg?
Köszönöm
-
agent_k
őstag
Nagyon jó írás. Kedvcsinálónál több, szájbarágósnál kevesebb. Szakmabeli vagyok, de az openvpn-nel tett próbálkozásaim mindig egy kicsit olyan "meh" szájízt hagytak maguk után. 15 év után már az egyszerűséget keresem és a wireguard ezt tudja. Pihole-al együtt használva úgy, hogy csak a dns lekérdezéseket kergetem át a vpn-en, sebességcsökkenés nélkül tudok reklámot is blokkolni mobileszközökön.
-
-
Mr Dini
addikt
Fantasztikus cikk!
Ritkán van hasonló a PH!-n.Én is ezer éve használom ahol csak lehet, mert gyors és nem igényel robosztus konfigot, illetve valóban nem válaszol akármilyen kérésre, így nem szúrják ki a botok, hogy hol fut a VPN-em és nem foglalkozik az otthoni router üres CPU idejében brute force-szal.
Ugyanakkor számomra a legnagyobb előnye számomra egyben a hátránya is. A megszokott kliens-szerver architektúrával szemben semmiféle megbízható mód nincs arra, hogy az egyik fél tudja, a másik gép éppen elérhető-e. Emiatt teljesen jó arra, hogy úton-útfélen belépjek az otthoni netre, de folyamatos kiépített kapcsolatot nem tudok változó otthoni IP-n kialakítani. Maximum úgy, ha van egy statikus IP címmel rendelkező VPS-em, erre kapcsolódik az otthoni router és a nálam lévő eszköz is. Egyéb esetben, még dinamikus DNS szolgáltatással is kénytelen lennék folyamatosan pingelni a hosztot, hogy tudjam, mikor érdemes újra-csatlakozással próbálkozni.
Illetve a L2 támogatást sajnálom, jó lenne a DLNA megosztás és egyéb ármányok miatt. Van példa arra, hogy valaki a wireguard alapján összehozta, Zerotier a neve (tailscalet nem ismerem), de sajnos ez is commercial termék és nem valami népszerű.
Kis korrekció viszont. Írod, hogy:
Androidra a Play Store-ból elérhető, de ez userspace-ben fut. Csak törekvés van arra, hogy ott is kernelszintű támogatást kapjon.
Már jó ideje elérhető root és megfelelő kerneles támogatás segítségével Android alatt is a dolog, automatikusan fel is ismeri az app. Jó ideje így használom, remekül megy:
Illetve ugye egy ideje már az összes Android kernel tartalmazza: [link] Csak érdekes mód API-t nem írtak hozzá, ezért kell még a mai napig is rootolni a használathoz.
De a userspace teljesítménye sem rossz szerintem hordozható eszközökre.
-
stopperos
senior tag
Szia, köszönöm. Az openwrt témából is körvonalazódik egy cikk, csak előtte meg kellene futtatni még a helyi nagyobb openwrt-sekkel, hogy szakmailag rendben van-e. Bár ez off téma ide, de ha régi tp-link-re való openwrt kellene valamivel, akkor tudok neked fordítani a sajátom alapján. De erről mindenképpen lesz írás, mert az elmúlt egy hónapban pár hétvégém ráment a témára.
#3 xabolcs Egy space benne maradt, javítottam a cikkben. De helyesen.
#4 DarkByte Az android kliens nekem is fenn van, userspace-ben fut. Nem mintha ez gond lenne. Igen, régen volt. De még mindig Szegeden vagyok, csak már nem egyetemi körökben.
-
DarkByte
addikt
Köszi!
Ezt elrakom későbbre, tervben van hogy beüzemelem a MikroTik router-emmel majd. Elvileg Android-ra is van korrekt kliense, hogy az itthoni dolgokat elérjem útközben.
Munkában már aktívan használjuk egy ideje, tetszik hogy milyen lightweight és fürge az egész.Meg se ismertelek elsőre a videón, még 2014 körül üzleteltünk valamit az egyetem alatt, nem is mostanában volt, az is igaz.
-
xabolcs
őstag
Amiről így nyilatkozott, az a Jason A. Donenfeld által létrehozott és fejlesztett WireGuard nevű biztonságos hálózati alagút (vagyis VPN).
A fenti, elso oldalrol kiemelt szovegben levo link mire szeretne mutatni a net-next repo mostani HEAD-je (8720bd951b8e "Merge branch 'net-dsa-microchip-common-spi-probe-for-the-ksz-series-switches-part-1'") helyett?
Koszi az irast, nagyon jo kedvcsinalo!
-
adika4444
addikt
Kiváló cikk, egy kiváló VPN megoldásról. Napi szinten használom kb. 2020 óta, és ha nem kell az l2 funkcionalitás (Openvpn tap), akkor számomra egyeduralkodó. Amióta pedig MikroTik RouterOS7 stabil, azóta a VPS-eimet is így érem el, a tunnel a routeren van kiépítve.
-
PistiSan
addikt
Szia, köszi az írást érdekes volt, a végén azokra is gondoltál, akik nem feltélnelül rendelkeznek publikus ip-vel, szerverrel, és a tailscale mint használható ingyenes lehetőség remek ajánlás.
Ami engem még érdekelne, írtad hogy saját openwrt-t is lehet fordítani, erről szívesen olvasnék magyar nyelven.
-
.
![;]](http://cdn.rios.hu/dl/s/v1.gif)
Új hozzászólás Aktív témák
- Gamer PC-Számítógép! Csere-Beszámítás! R5 8600G / 6700XT 12GB / 16GB DDR5 / 512 SSD + 2TB HDD!
- Általános igazgatóhelyettes tábla üvegből eladó
- Wacom Cintiq DTK-2260 digitális rajztábla
- Xiaomi Redmi Note 14 Pro+ 5G 256GB, Kártyafüggetlen, 1 Év Garanciával
- Apple iPhone 12 128GB,Átlagos,Adatkabel,12 hónap garanciával
Állásajánlatok
Cég: BroadBit Hungary Kft.
Város: Budakeszi
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest