Forum » Omrežja in internet » OpenWrt + wireguard
OpenWrt + wireguard
Vanadium ::
Pozdravljeni.
Odločil sem se, da si uredim dostop do domače mreže preko wireguard-a. Na routerju laufam kakor je v naslovu napisano OpenWrt in sicer verzijo 19.07.8 r11364-ef56c85848 (če je to pomembno), na vseh računalnikih in na routerju se pridobiva točni čas preko ntp2.arnes.si.
Skratka server sem konfiguriral po navodilh na OpenWrt spletni strani: https://openwrt.org/docs/guide-user/ser...
Zatakne se mi pa sedaj pri povezavi iz laptopa kateri ima mobilni internet na router. Naredil sem config datoteko za wireguard client na windows 10 laptopu in sicer takole:
Se komu kaj sanja kaj sem zafrknil, da promet ne zalaufa?
l.p.
Odločil sem se, da si uredim dostop do domače mreže preko wireguard-a. Na routerju laufam kakor je v naslovu napisano OpenWrt in sicer verzijo 19.07.8 r11364-ef56c85848 (če je to pomembno), na vseh računalnikih in na routerju se pridobiva točni čas preko ntp2.arnes.si.
Skratka server sem konfiguriral po navodilh na OpenWrt spletni strani: https://openwrt.org/docs/guide-user/ser...
Zatakne se mi pa sedaj pri povezavi iz laptopa kateri ima mobilni internet na router. Naredil sem config datoteko za wireguard client na windows 10 laptopu in sicer takole:
[Interface] PrivateKey = wgclient.key ListenPort = 51820 Address = 192.168.9.2/32 [Peer] PublicKey = wgserver.pub AllowedIPs = 0.0.0.0/0 Endpoint = <em>router javni IP ki ga dobi od ISP</em>:51820
Se komu kaj sanja kaj sem zafrknil, da promet ne zalaufa?
l.p.
- spremenilo: Vanadium ()
hojnikb ::
router bo kr pocasna zadeva za taksen spas, ker je obicajno vpn procesorsko kr zahteva zadeva, sploh ce mas hitro linijo.
#brezpodpisa
Vanadium ::
Recimo da bo EA8500 prebavil 200/50 linjo za občasni dostop do NAS-a imam.
@xandros sem probal zdej tako naredit kot si napisal pa ne gre skozi, oziroma isto kot prej imam v dnevniku:
@xandros sem probal zdej tako naredit kot si napisal pa ne gre skozi, oziroma isto kot prej imam v dnevniku:
Zgodovina sprememb…
- spremenilo: Vanadium ()
xandros ::
Mal me je zavedlo wgserver...
1.pokazi svoj /etc/config/network (skrij Private) (verjetno imas ok!)
2.Poleg tega moras pa se odpreti 51820 na fw
(probaj prek GUI, poglej kaksen yt)
dodaj v /etc/config/firewall
config rule
option target 'ACCEPT'
option src 'wan'
option proto 'udp'
option name 'Wireguard_VPN'
option family 'ipv4'
option dest_port '51820'
pa v /etc/firewall.user #wgX dej svoj interface
iptables -I INPUT -i wgX -j ACCEPT
iptables -I FORWARD -i wgX -j ACCEPT
iptables -I OUTPUT -o wgX -j ACCEPT
iptables -I FORWARD -o wgX -j ACCEPT
3.vidim da hoces 0.0.0.0/0 promet routat, bos moral se masq nastavit na routerju
(ena kljukica bo dovolj)
Router bo cisti dovolj hiter za wg!
1.pokazi svoj /etc/config/network (skrij Private) (verjetno imas ok!)
2.Poleg tega moras pa se odpreti 51820 na fw
(probaj prek GUI, poglej kaksen yt)
dodaj v /etc/config/firewall
config rule
option target 'ACCEPT'
option src 'wan'
option proto 'udp'
option name 'Wireguard_VPN'
option family 'ipv4'
option dest_port '51820'
pa v /etc/firewall.user #wgX dej svoj interface
iptables -I INPUT -i wgX -j ACCEPT
iptables -I FORWARD -i wgX -j ACCEPT
iptables -I OUTPUT -o wgX -j ACCEPT
iptables -I FORWARD -o wgX -j ACCEPT
3.vidim da hoces 0.0.0.0/0 promet routat, bos moral se masq nastavit na routerju
(ena kljukica bo dovolj)
Router bo cisti dovolj hiter za wg!
Zgodovina sprememb…
- spremenil: xandros ()
widj3098dj32 ::
Vanadium ::
@hojnikb: Definiraj povprečen https://openwrt.org/docs/guide-user/ser...
Sodeče po tem grafu če povzamemo da pri openvpn moj router z ipq806x zmore 100mbit kar je 4x več kot podobna arhitektura ipq40xx zmore pri wireguard-u 1gbit (recimo da velja 4x faktor) pa vem da ne more tok ampak če zmore 500mbit bo super kar je 10x več kot mam uploada...
@xandros:
v /etc/config/firewall imam sedaj tako in me zanima ali je potrebno dat še tole tvojo vrstico:
Sodeče po tem grafu če povzamemo da pri openvpn moj router z ipq806x zmore 100mbit kar je 4x več kot podobna arhitektura ipq40xx zmore pri wireguard-u 1gbit (recimo da velja 4x faktor) pa vem da ne more tok ampak če zmore 500mbit bo super kar je 10x več kot mam uploada...
@xandros:
config interface 'loopback' option ifname 'lo' option proto 'static' option ipaddr '127.0.0.1' option netmask '255.0.0.0' config globals 'globals' option ula_prefix 'fd55:2918:41e7::/48' config interface 'lan' option type 'bridge' option ifname 'eth0.1' option proto 'static' option ipaddr '192.168.1.1' option netmask '255.255.255.0' option ip6assign '60' option igmp_snooping '1' config device 'lan_eth0_1_dev' option name 'eth0.1' option macaddr '14:91:82:9f:5c:b0' config interface 'wan' option ifname 'eth0.2' option proto 'dhcp' list dns '1.1.1.1' list dns '1.0.0.1' option peerdns '0' config device 'wan_eth0_2_dev' option name 'eth0.2' option macaddr '14:91:82:9f:5c:b0' config interface 'wan6' option ifname 'eth0.2' option proto 'dhcpv6' list dns '2606:4700:4700::1111' list dns '2606:4700:4700::1001' option reqprefix 'auto' option reqaddress 'try' option peerdns '0' config switch option name 'switch0' option reset '1' option enable_vlan '1' config switch_vlan option device 'switch0' option vlan '1' option ports '1 2 3 4 0t' config switch_vlan option device 'switch0' option vlan '2' option ports '5 0t' config interface 'vpn' option proto 'wireguard' option private_key xxxx option listen_port '51820' list addresses '192.168.9.1/24' list addresses 'fdf1:e8a1:8d3f:9::1/64' config wireguard_vpn 'wgclient' option public_key xxxx option preshared_key 'xxxx list allowed_ips '192.168.9.2/32' list allowed_ips 'fdf1:e8a1:8d3f:9::2/128'
v /etc/config/firewall imam sedaj tako in me zanima ali je potrebno dat še tole tvojo vrstico:
config rule 'wg' option name 'Allow-WireGuard' option src 'wan' option dest_port '51820' option proto 'udp' option target 'ACCEPT'
xandros ::
Takole delat support, ne bo slo :)
Delaj po enem tutorialu(jih imas ogromno), vse preko GUI(lahko tudi kasneje pogledas, kaksna pravila ti naredi v /etc/config/network in firewall) , ali vse preko console
Spet sem opazil nekaj napak:
- ce imas pre-shared _key, moras imeti na obeh straneh (in na owrt, in na clientu)
- da, moras imeti v v firewalllu rule, da ti spusca 51820 preko udp (napisal si dvoumno)
- ostalo(dva wan-a ipd bomo spustili? ce imas dva ispja, moras na obeh wanih spustiti 51820/udp :)
Delaj po enem tutorialu(jih imas ogromno), vse preko GUI(lahko tudi kasneje pogledas, kaksna pravila ti naredi v /etc/config/network in firewall) , ali vse preko console
Spet sem opazil nekaj napak:
- ce imas pre-shared _key, moras imeti na obeh straneh (in na owrt, in na clientu)
- da, moras imeti v v firewalllu rule, da ti spusca 51820 preko udp (napisal si dvoumno)
- ostalo(dva wan-a ipd bomo spustili? ce imas dva ispja, moras na obeh wanih spustiti 51820/udp :)
xandros ::
Kaj za vas pomeni leti? Zmore en povprečn router shendlat 500mbit povezavo?
se te spomnem , da si bil enkrat pameten, mislim, da glede nextclouda(in sem ti celo pomagal)
zdaj podobno na vprasanja odgovarjas s vprasanji oz z zavajanjem, namesto, da bi pomagal (ce znas seveda)
Ce ti ni cisto jasno, a ni bolje, da samo beres?
Ce wg bremza router ni tezko ugotoviti, pogledas cpu utilizacijo, in ce je na 100%(seveda, ob predpostavki, da isti promet brez wg tudi ni na 100%)
Vanadium ::
@xandros: mnja sem delal po openwrt tutorialu, sam dejansko je vse malo nejasno razloženo za laike. Bom malo naštudiral kaj in kako ko bo malo več časa. Če imaš pa kaki dobr libk za tutorial se priporočam. Več ali manj najdem samo kako se povezat na vpn ponudnika...
xandros ::
Sem tole pogledal na hitro, pa mislim, da je vse kar rabis.
1.instalacija wg
2.nastavis server wg0
3.nastavis peer , oboje brez pre-shared key
4.firewall zone + masq
hojnikb ::
Kaj za vas pomeni leti? Zmore en povprečn router shendlat 500mbit povezavo?
se te spomnem , da si bil enkrat pameten, mislim, da glede nextclouda(in sem ti celo pomagal)
zdaj podobno na vprasanja odgovarjas s vprasanji oz z zavajanjem, namesto, da bi pomagal (ce znas seveda)
Ce ti ni cisto jasno, a ni bolje, da samo beres?
Ce wg bremza router ni tezko ugotoviti, pogledas cpu utilizacijo, in ce je na 100%(seveda, ob predpostavki, da isti promet brez wg tudi ni na 100%)
Hočem sam izpostavit, da nebo razočaranje, k bo dal na en mips 700Mhz router tole zadevo gor, potem pa nebo letel 500Mbit. Namreč takšne procesorje ma še marsikater "hitr" router z ACjem.
Očitno ma OP ze dovolj dobr router, da bo to špilal.
#brezpodpisa
Zgodovina sprememb…
- spremenil: hojnikb ()
Invictus ::
Če rabiš hiter router, je na ebayu dovolj starih poceni serverjev. Butneš gor openWrt in se ne zajebavaš s temi komercialnimi jajčki.
Rabiš samo 2 etherneta...
Rabiš samo 2 etherneta...
"Life is hard; it's even harder when you're stupid."
http://goo.gl/2YuS2x
http://goo.gl/2YuS2x
Vanadium ::
@invictus to sem tudi že gledal, da bi vzel en Fujitsu Futro nettop ker so lep pasivno hlajeni +mrežno kartico z 2x SFP da v en port direktno T-2 vštekam iz drugega pa v en dober switch... Mogoče naredim to enkrat...
@xandros: pogledam video upam da mi bo šlo... hvala
@xandros: pogledam video upam da mi bo šlo... hvala
Zgodovina sprememb…
- spremenilo: Vanadium ()
Vanadium ::
Mi je uspelo uposobit wireguard po tem vodiču:
Imam pa sedaj problem, VPN promet normalno laufa, ko pogledam kaki IP imam na telefonu (vklopljeni mobilni podatki) imam svoj zunaji (javni) IP tako, da wireguard laufa. Tudi ko vpišem 192.168.1.1 se mi lepo odpre vstopna stran od openwrt. Ne vidim pa računalnikov ki so priklopljeni na router, torej imam nas, ki ima ip 192.168.1.235 in ga ne vidim. Mogoče kdo ve ali moram še kaj na routerju nastavit, da vidim naprave ki so priklopljene direktno na router?
Imam pa sedaj problem, VPN promet normalno laufa, ko pogledam kaki IP imam na telefonu (vklopljeni mobilni podatki) imam svoj zunaji (javni) IP tako, da wireguard laufa. Tudi ko vpišem 192.168.1.1 se mi lepo odpre vstopna stran od openwrt. Ne vidim pa računalnikov ki so priklopljeni na router, torej imam nas, ki ima ip 192.168.1.235 in ga ne vidim. Mogoče kdo ve ali moram še kaj na routerju nastavit, da vidim naprave ki so priklopljene direktno na router?
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | [Alternatvni Firmware za router] Vprašanja in težaveOddelek: Operacijski sistemi | 1566 (836) | BivšiUser2 |
» | OpenWRT in OpenVPN (strani: 1 2 )Oddelek: Omrežja in internet | 10381 (8241) | BivšiUser2 |
» | iptables preusmeritev nazaj na WAN?Oddelek: Omrežja in internet | 985 (954) | Bakunin |
» | Openvpn (strani: 1 2 )Oddelek: Programska oprema | 14738 (6305) | Blisk |
» | Tutorial za DD-WRT firmwareOddelek: Omrežja in internet | 1240 (1111) | C00PER |