Wireguard VPN (ROS 7.X) server-clients all OS

[Cuore Sportivo]

Γιατί το παιδεύεται τόσο δεν καταλαβαίνω;
Γιατί να δηλώσεις src-address;
Φοβάσαι μήπως κάποιος αποκτήσει πρόσβαση;
Πώς θα το έκανε αυτό αν δεν είχες δηλωμένο το src-address;

Δεν ξέρω πως θα το έκανε, αλλά από τη στιγμή που το να φτιάξεις μία address list είναι δουλειά ενός λεπτού ενώ παράλληλα επιτρέπεις κίνηση μόνο απ'όπου θες εσύ, δε βλέπω το λόγο να μην το χρησιμοποιήσεις.

[minas]

Ανεξάρτητα από την υλοποίηση, τα address lists βολεύουν και για να είναι εύκολα αναγνώσιμο το τι κάνουμε (αν και πάντα βάζω και comments).

[deniSun]

Καλό είναι να το αποφεύγουμε πάντως.

Προσέχετε τι γράφετε γιατί δημιουργούνται λάθος εντυπώσεις.
Αν κάποιος ακολουθήσει τα manual με το στήσιμο fw κλπ της ΜΤ
όχι δεν έχει κανένα θέμα με το να δηλώσει το wireguard μέσα στο LAN.

Και μιας και το θίξαμε το θέμα.
Οι δηλώσεις για ονομασίες λίστας για wan/lan με αντίστοιχα interface είναι κάτι που προτείνει η ΜΤ για μελλοντική χρήση.
πχ αν κάποιος χρησιμοποιεί 2-3 συνδέσεις προς τα έξω ναι είναι απαραίτητο να βάλει όλες τις συνδέσεις σε μια λίστα.
Αν έχει όμως μόνο μια φυσική σύνδεση προς τα έξω δεν χρειάζεται να μπλέκει με δηλώσεις lan/wan.
Δεν τις χρειάζεται καν.
Ως wan θα δηλώνει την pppoe σύνδεση
ως lan θα δηλώνει όλες τις !pppoe
Τόσο απλά.
Δεν χρειάζεται πολυπλοκότητα σε απλά πράγματα.

- - - Updated - - -

Δεν ξέρω πως θα το έκανε, αλλά από τη στιγμή που το να φτιάξεις μία address list είναι δουλειά ενός λεπτού ενώ παράλληλα επιτρέπεις κίνηση μόνο απ'όπου θες εσύ, δε βλέπω το λόγο να μην το χρησιμοποιήσεις.

Να σου πω εγώ για να μου πεις αν όντως υπάρχει μια τέτοια περίπτωση κινδύνου.
1. Θα πρέπει να γνωρίζει την ΙΡ σου για να κάνει κλήση στο ΜΤ
Αν είναι στατική είναι ευκολότερο να την θυμάται.
Αν είναι δυναμική είτε πρέπει να σε παρακολουθεί για να βρει πότε άλλαξες
είτε να θυμάται όλο το μακρινάρι του ΜΤ cloud.
2. Ας υποθέσουμε ότι παρακάμπτει το (1) και κάνει κλήση στο ΜΤ.
Τι άλλο χρειάζεται για να συνδεθεί;
Το PublicKey του ΜΤ.
Σου το έκλεψε και αυτό;
Θα πρέπει να δηλωθεί στο ΜΤ το PublicKey του client.
Είχε πρόσβαση και το δήλωσε;
Θα πρέπει να ξέρει τι υποδίκτυο που δημιούργησες με την συγκεκριμένη ΙΡ (φυσικά αν έχει πρόσβαση στο ΜΤ όλα τα υπόλοιπα παρακάμπτονται αλλά συνεχίζουμε για την συζήτηση).
Και όλα τα παραπάνω με την λογική ότι δεν έχεις δηλώσει 0.0.0.0/0 σε όλα τα πεδία.

Άρα δεν βρίσκω καμία λειτουργία σε κάτι τέτοιο.
Είναι σαν να δηλώνεις endpoint και πόρτες.
Προφανώς και είναι μια επιπλέον δικλίδα ασφαλείας αλλά για άλλες συνθήκες.
Όχι γι αυτό που χρησιμοποιεί το 99%.

Είναι όπως μερικές δηλώσεις που βλέπω για ΝΑΤ όπου ορίζουν και interface και ΙΡ.
Περιττό αν έχεις ένα subnet ή αν θέλεις να ναταριστούν όλα.
Στην περίπτωση αυτή βάζεις το ΜΤ να κάνει επιπλέον άσκοπους ελέγχους.
+ ότι αυξάνοντας την πολυπλοκότητα σε βαθμό που δεν χρειάζεσαι κάποια πράγματα
αυξάνεις και την πιθανότητα να θέλεις να κάνεις κάτι αύριο και να μην δουλεύει
γιατί θα ξεχάσεις να προσθέσεις ή να αλλάξεις κάποιο πεδίο.

- - - Updated - - -

Ανεξάρτητα από την υλοποίηση, τα address lists βολεύουν και για να είναι εύκολα αναγνώσιμο το τι κάνουμε (αν και πάντα βάζω και comments).

Σε ποιες περιπτώσεις;
Έτσι γενικά;
Πάντα;

ΥΓ
Μου θύμισες κάποιον πριν πολλάααααα χρόνια που με έβλεπα να δουλεύω με excel.
Με ρωτάει... ξέρεις από excel;
Του λέω... ε... γι αυτά που θέλω ναι.
Μου λέει... από Pivot tables ξέρεις;
Του λέω... όχι δεν χρειάστηκε να τα χρησιμοποιήσω.
Ε... τότε μου λέει δεν ξέρεις excel.

[deniSun]

Ενημερώνω ότι πλέον μπορούμε να ορίσουμε mtu 1500 με cosmote και να απαλλαγούμε από clamping κλπ.
Παίζει υπέροχα με ftth.
Το έχω δοκιμάσει σε σελίδες όπου δεν έπαιζαν χωρίς clamping.
Οπότε το mtu στο wg το έχω πλέον στα 1432.
Είχε αναφερθεί και από άλλον χρήστη σε αυτό το θέμα μέσα στο καλοκαίρι αλλά σήμερα μου δόθηκε η δυνατότητα να το δοκιμάσω.
Ευχαριστίες και σε αυτόν. Συγνώμη αλλά γράφω βιαστικά και δεν έχω χρόνο αυτή την στιγμή να ψάξω για να τον αναφέρω.

Ευχαριστίες στον @dpap76 που ξεκίνησε το όλο θέμα.

[daltongr]

Ενημερώνω ότι πλέον μπορούμε να ορίσουμε mtu 1500 με cosmote και να απαλλαγούμε από clamping κλπ.
Παίζει υπέροχα με ftth.
Το έχω δοκιμάσει σε σελίδες όπου δεν έπαιζαν χωρίς clamping.
Οπότε το mtu στο wg το έχω πλέον στα 1432.
Είχε αναφερθεί και από άλλον χρήστη σε αυτό το θέμα μέσα στο καλοκαίρι αλλά σήμερα μου δόθηκε η δυνατότητα να το δοκιμάσω.
Ευχαριστίες και σε αυτόν. Συγνώμη αλλά γράφω βιαστικά και δεν έχω χρόνο αυτή την στιγμή να ψάξω για να τον αναφέρω.

Ευχαριστίες στον @dpap76 που ξεκίνησε το όλο θέμα.

@denisun Κάπου είχα δει πως όταν είναι μόνο IPv4 στο wg MTU είναι -60 ενώ με IPv6 -80 (λόγω μεγαλύτερου overhead). Το δοκίμασα σε 2 συνδέσεις που είχαν 1500 MTU/MRU και μου δούλεψε απροβλημάτιστα με 1440, αλλά είχα πρόβλημα με άλλο peer που έχει 1492 MTU/MRU. Αν έχεις την ευκαιρία και την ευχέρεια επιβεβαίωσέ το κι εσύ.

[deniSun]

@denisun Κάπου είχα δει πως όταν είναι μόνο IPv4 στο wg MTU είναι -60 ενώ με IPv6 -80 (λόγω μεγαλύτερου overhead).

Σωστά.

Το δοκίμασα σε 2 συνδέσεις που είχαν 1500 MTU/MRU και μου δούλεψε απροβλημάτιστα με 1440, αλλά είχα πρόβλημα με άλλο peer που έχει 1492 MTU/MRU. Αν έχεις την ευκαιρία και την ευχέρεια επιβεβαίωσέ το κι εσύ.

Πρέπει να αφαιρέσεις και -8 για το pppoe_header.

Οι τιμές που δοκίμασα για ν4 με cosmote ftth και παίζουν χωρίς πρόβλημα είναι:
για mtu 1500: 1500 - 60 - 8 = 1432
για mtu 1492: 1492 - 60 - 8 = 1424

[dpolal2]

Καλησπέρα

Έχω στήσει κανονικά ένα δίκτυο με wireguard και λειτουργεί κομπλέ με τις οδηγίες που διάβασα στις προηγούμενες σελίδες.
H λογική είναι να μπορούν 3 χειριστές με λάπτοπ να μπαίνουν στο δίκτυο του γραφείου από το σπίτι τους και να «βλέπουν» έναν fileserver και έναν κοινό εκτυπωτή.

Η απορία μου είναι η εξής.
Προσπαθώντας να δώ τα shared folders με \\FILESERVER δεν παίζει, ακόμα και ping αν κάνω δεν λειτουργεί.
Αντίθετα αν βάλω την ιρ του, π.χ. \\192.168.88.χχχ τον βλέπω κανονικά και μπορώ να συνδεθώ.

Όπως είπα λειτουργεί και έτσι οπότε δεν με καίει αλλά έχω την απορία, λείπει κάτι, δεν έχει σεταριστεί κάτι σωστά;;

Ευχαριστώ.

[fadasma]

Προσπαθώντας να δώ τα shared folders με \\FILESERVER δεν παίζει, ακόμα και ping αν κάνω δεν λειτουργεί.
Αντίθετα αν βάλω την ιρ του, π.χ. \\192.168.88.χχχ τον βλέπω κανονικά και μπορώ να συνδεθώ.

Ποιο DNS server έχεις δηλώσει στο wireguard στα laptop; Πρέπει να βάλεις αυτόν που χρησιμοποιούν στο δίκτυο του γραφείου.
Στο interface πρόσθεσε DNS = xxx.xxx.xxx.xxx

[dpolal2]

Ποιο DNS server έχεις δηλώσει στο wireguard στα laptop; Πρέπει να βάλεις αυτόν που χρησιμοποιούν στο δίκτυο του γραφείου.
Στο interface πρόσθεσε [FONT="]DNS[/FONT][FONT="] = [/FONT]xxx.xxx.xxx.xxx

Έχω ορίσει τον 1.1.1.1, 8.8.8.8 και έχει πάρει dynamic 192.168.0.1 στο ρούτερ και στο wireguard 'εχω το 1.1.1.1

[BillyVan]

Μπορεις να το κανεις με πολλους τροπους.

Ο ευκολοτερος κατα τη γνωμη μου ειναι με Μικροτικ αν υπαρχει σε καθε σημειο αλλα στην

περιπτωση σου μπορεις σε καθε λαπτοπ να κανεις οτι λεει εδω και θα εισαι οκ.