Wireguard VPN (ROS 7.X) server-clients all OS

[BillyVan]

Αν σηκωσεις τον σερβερ εσυ τοτε θα δεις το upload που εχεις.

Δεν ειναι και 100% οτι θα περασει ολο και επιπλεον θα πρεπει και η αλλη μερια να εχει καλο ιντερνετ.

Αν υποθεσω οτι εχεις πχ 100mbps upload και απ την αλλη μερια μπορεις να τα παρεις με 100αρα vdsl

θα σου προτεινα το λιγοτερο το Hap ac2.

Αν εχεις Chateau 5g τοτε μονο απ την αλλη μερια θα χρειαστεις και για δοκιμη βαζεις το 951 αν και ειναι με αδυναμη cpu.

Αφου το εχεις δοκιμασε το.

[Nikiforos]

Ποιο μοντελο θα προτείνατε που να σηκωνει αξιοπρεπως το wireguard;
Δεν εχω ιδιαιτερες απαιτησεις, θεωρητικα πιανω ταχυτητες 500-600mbit με 5G, οποτε θα ηθελα να παρω καποιο αλλο καθως αυτο που εχω και δε το χρησιμοποιω (951 2n) ειναι με 100 ethernet.
Δε θα σηκωσω κατι βαρυ περα απο τα κλασικα synology/tv/3 access points, καμερες.

καλησπερα, εγω το εχω παντως σε ενα 109 με inalan 200αρα FTTH αλλα αυτη παιζει με DMZ επανω σε hap ac2 γιατι δεν την σηκωνε το 109, με τo wireguard κανενα θεμα παντως και εχω και σε 951 αυτο με τις 100αρες πορτες αλλα εχω εκει περα adsl 24αρα επισης κανενα θεμα.
Και στις 2 περιπτωσεις οση κινηση και να εχει η cpu ειναι ιδιαιτερα σε χαμηλα επιπεδα.
Εχω κανει και συνδεση μεταξυ τους και ανεξαρτητους servers για συσκευες.

[BillyVan]

Δεν ξερω αν εχει γραφτει αλλα στην περίπτωση που εχουμε

Μικροτικ με Μικροτικ Wireguard vpn και για καποιο λογο θελουμε να βγαινουμε ιντερνετ

απ την ip του αλλου Μικροτικ χρειαζεται

Κώδικας:

/ip route add comment="Internet through WireGuard VPN" disabled=no distance=1 dst-address=0.0.0.0/0 gateway=wireguard1 pref-src="" routing-table=wireguard-wan scope=30 suppress-hw-offload=no target-scope=10

Σε πολλες περιπτωσεις κι επειδη δεν μου ανοιγε Https site βοηθησε το

Κώδικας:

/ip firewall mangle add action=change-mss chain=forward comment="Clamp MSS to PMTU for Outgoing packets" new-mss=clamp-to-pmtu out-interface=wireguard1 passthrough=yes protocol=tcp tcp-flags=syn

Τελος αν θελουμε καποια συγκεκριμενη Ip να βγαινει ετσι τοτε κλασικα την κανουμε make static και την βαζουμε source address πχ η 30.254.

Κώδικας:

/routing rule add action=lookup comment="Internet through WireGuard VPN" disabled=no src-address=192.168.30.254/32 table=wireguard-wan

Μπορουμε να κανουμε και failover στην περιπτωση που πεσει η συνδεση vpn με τον κλασικο τροπο.

[teodor_ch]

Αφήνω αυτό το βιντεάκι εδώ γιατί με βοήθησε περισσότερο απο τον οδηγό της Mikrotik να στείσω site-to-site με το wireguard.

https://www.youtube.com/watch?v=P6f8Qc4EItc

[adiS]

έχω ένα προβληματάκι και θα ήθελα καμία ιδέα.

Έχω την εφαρμογή WolOn και ανοίγω το pc( ή τουλάχιστον άνοιγα) από το κινητό μου(Mi6).

Πήρα καινούργιο κινητό (Xiaomi12) Και έκανα inport τα settings και τα κλειδιά από το παλιό κινητό στο καινούργιο. Κράτησα ίδια ip δηλαδή κτλ.

Δεν μπορώ να κάνω wakeonlan μέσω wireguard με τίποτα. Ενώ με το παλιό μπορούσα κανονικά.

Όταν είμαι wifi δουλεύει κανονικά.

Από την εφαρμογή στέλνω στην 192.168.2.255 στην πόρτα 9.


Σαν αρχάριος που είμαι είπα να βάλω Log να δω τι γίνεται

από το wireguard δείχνει
Xiaomiinp input: in:Wireguard outunknown 0), connection-state:new proto UDP, (ip kin wire):40971->192.168.2.255:9, len 130

από το lan
xiaomiiiii input: in:Bridge outunknown 0), connection-state:new src-mac "mac", proto UDP, (ip kin lan):44291->192.168.2.255:9, len 130

θα μπορούσα με κάποιο τρόπο στο log να καταλάβω τι φταίει?

[deniSun]

Προσθέτω και το δικό μου config για διασύνδεση client-to-site με μερικές επισημάνσεις:

# Mikrotik Wireguard

Spoiler:

Κώδικας:

WireGuard > WireGuard (+)
	Name: wireguard1
	MTU: 1420
	Listen Port: 13231
	Private Key: auto generate (no need it)
	Public Key: auto generate (copy to client)
WireGuard > Peers (+)
	Interface: wireguard1
	Public Key: Public Key from android client
	Allow Address: 192.168.55.51/32
Interfaces > Interface List (+)
	List: LAN
	Interface: wireguard1
IP > Address > Address List (+)
	Address: 192.168.55.39/24
	Network: 192.168.55.0
	Interface: wireguard1
IP > Firewall > Address Lists (+)
	Name: LANIP
	Address: 192.168.55.0/24
IP > Firewall > NAT (+)
	Chain: srcnat
	Src. Address: 192.168.55.0/24
	Action: masquerade
IP > Firewall > Filter Rules (+)
	Chain: input
	Src. Address List: IP2Location
	Protocol: udp
	Dst. Port: 13231
	Action: accept

# Android Client

Spoiler:

Κώδικας:

WireGuard > (+)
	Interface: 
		Name: Mikrotik
		Private Key: auto generate (no need it)
		Public Key: auto generate (copy to Mikrotik Peers)
		Address: 192.168.55.51/24
		DNS: 192.168.5.36
	Peer:
		Public Key: Public Key from Mikrotik
		Persistent keepalive: 5sec
		Endpoint: <Mikrotik_cloud_IP>:13231
		Allow IP: 0.0.0.0/0

# Windows Client

Spoiler:

Κώδικας:

[Interface]
PrivateKey = auto generate (no need it)
Address = 192.168.55.54/24
DNS = 192.168.5.36

PublicKey = Public Key from Mikrotik
PersistentKeepalive = 5
Endpoint = <Mikrotik_cloud_IP>:13231
AllowedIPs = 0.0.0.0/0

Διευκρινήσεις:
1. Το ΜΤ router έχει ΙΡ 5.39
2. Ο τοπικός dns έχει ΙΡ 5.36
3. Το ΜΤ wireguard έχει ΙΡ 55.39
4. Ο android client έχει ΙΡ 55.51
5. Ο windows client έχει ΙΡ 55.54

Παρατηρήσεις:
1. Δημιουργούμε πρώτα τον server στο ΜΤ.
2. Μετά προσθέτουμε τους peers τόσους όσους και τους clients που θέλουμε (στο config έχω την δήλωση για τον android client).
3. Για το wireguard θα πρέπει να δημιουργήσουμε υποχρεωτικά tunnel με διαφορετική ΙΡ από το subnet του τοπικού δικτύου.
Εδώ θέλει προσοχή γιατί θα πρέπει να προσθέσουμε και ΝΑΤ (+ ότι άλλο χρειάζεται στο config μας. Στο δικό μου χρειάζεται να προσθέσω το subnet και στο Address Lists του τοπικού δικτύου).
Τα άλλα υποστηριζόμενα vpn στο ΜΤ μπορούν να παίξουν και χωρίς δημιουργία χωριστού subnet.
4. Χρησιμοποιώ την IP2Location Address List ώστε να δέχομαι μόνο εγχώριες ΙΡ για μεγαλύτερη ασφάλεια.
Προσοχή όταν βγείτε εκτός Ελλάδος.
5. Στα peers καλό είναι να προσθέτουμε την ΙΡ του client για ακόμα μεγαλύτερη ασφάλεια,
αλλά και για να ξέρουμε ποια ΙΡ αποδίδουμε σε κάθε client.
Αυτό γιατί σε αντίθεση με άλλα vpn πχ openvpn, οι ΙΡ αποδίδονται στους clients στατικά και όχι μέσω κάποιου dhcp.
Οπότε για να μην χαθούμε και για να μην έχουμε κάποιο conflict από κάποιο client που μπορεί να πειράξει κάτι...
6. Ο android client είναι διαφορετικός από τον windows.
Στον android μπορεί να παραληφθεί η δήλωση του dns.
Αυτό γιατί το android έχει μηχανισμό για dns fallback σε αυτούς της google.
Οπότε αν δεν δηλώσετε dns στον windows client τότε δεν θα βλέπετε τίποτε γιατί τα windows δεν έχουν αντίστοιχο fallback μηχανισμό.
Γι αυτό είναι καλό να δηλώνουμε πάντα και τον dns κυρίως αν έχουμε κάποιον τοπικό dns με adblock όπως εγώ και θέλουμε να τον χρησιμοποιούμε.
7. To Persistent Keep alive δεν χρειάζεται και στον server και στον client.
Συνηθίζεται μόνο στον client.

Τελειώνοντας;
1. Τα περισσότερα έχουν προταθεί και από άλλους χρήστες αλλά με διαφορετική λογική.
Δουλεύουν απλά έκανα τα δικά μου σχόλια.
2. Υπάρχει υλοποίηση και για να παίρνει και ipv6 διεύθυνση ο client
αλλά το βρίσκω κάπως περίπλοκο στην υλοποίηση με dhcpv6 server κλπ.
Δεν το θεωρώ απαραίτητο οπότε και δεν το χρησιμοποίησα.
3. Έχει γίνει σχόλιο για αλλαγή του MTU σε LTE δίκτυο αν κατάλαβα καλά.
Δεν το έχω δοκιμάσει με αυτόν τον τρόπο οπότε δεν ξέρω.
Άφησα την default τιμή.

[deniSun]

Δεν μπορώ να καταλάβω γιατί άλλαξαν την default πόρτα του wireguard από 51820 σε 13231 στην ΜΤ.
Ποια η χρησιμότητά του;
Στο openvpn έχουν κρατήσει την default 1194.

[jkarabas]

Δεν μπορώ να καταλάβω γιατί άλλαξαν την default πόρτα του wireguard από 51820 σε 13231 στην ΜΤ.
Ποια η χρησιμότητά του;
Στο openvpn έχουν κρατήσει την default 1194.

Deni μήπως κάπου μπερδεύτηκες?
Η default πόρτα του WG ήταν πάντα η 13231 στα mikrotik.

[leasedline]

να επισημάνω ότι εάν στους client δεν υπάρχει Listen port τότε αν κάνεις επανεκκίνηση το ΜΤ τότε χάνει τη σύνδεση με τον client.

τουλάχιστον σε μένα αυτό συμβαίνει...

[deniSun]

default port στο ΜΤ είναι το 13231.
Το ίδιο θα πρέπει να δηλώσεις και στον client.
Προφανώς και μπορείς να το αλλάξεις.
Πληροφορίες εδώ.

default port που προτείνει η wireguard είναι το 51820.
Εννοείται ότι δεν είναι δεσμευτικό.
Πληροφορίες εδώ.

Στο openvpn το ΜΤ ορίζει το default port για udp το 1194 το οποίο είναι ίδιο και με αυτό που προτείνει η ίδια η openvpn.
Προφανώς και εδώ μπορείς να αλλάξεις την πόρτα.
Πληροφορίες εδώ και εδώ.

Το ερώτημά μου είναι:
ποιος ο λόγος που η ΜΤ δεν "σέβεται" το default port της wireguard όπως κάνει με το openvpn, και το αλλάζει σε κάτι δικό του.

[jkarabas]

default port στο ΜΤ είναι το 13231.
Το ίδιο θα πρέπει να δηλώσεις και στον client.
Προφανώς και μπορείς να το αλλάξεις.
Πληροφορίες εδώ.

default port που προτείνει η wireguard είναι το 51820.
Εννοείται ότι δεν είναι δεσμευτικό.
Πληροφορίες εδώ.

Στο openvpn το ΜΤ ορίζει το default port για udp το 1194 το οποίο είναι ίδιο και με αυτό που προτείνει η ίδια η openvpn.
Προφανώς και εδώ μπορείς να αλλάξεις την πόρτα.
Πληροφορίες εδώ και εδώ.

Το ερώτημά μου είναι:
ποιος ο λόγος που η ΜΤ δεν "σέβεται" το default port της wireguard όπως κάνει με το openvpn, και το αλλάζει σε κάτι δικό του.

Πράγματι έχεις δικιο τελικά η default είναι η 51820.
Μήπως υπάρχει κάποιος λόγος που την αλλάξανε;

[deniSun]

Πράγματι έχεις δικιο τελικά η default είναι η 51820.
Μήπως υπάρχει κάποιος λόγος που την αλλάξανε;

Αυτό ρωτάω. Ποιος είναι ο λόγος.
Μπορείς να βάλεις ότι πόρτα θέλεις, από τις ελεύθερες, για να μην σου την βρίσκουν εύκολα.
Αλλά αυτό το κάνει ο χρήστης.
Το να ανακοινώνει η ΜΤ ότι θα βάλει την Χ-πόρτα απλά το κάνει γνωστό σε όλους.
Η λογική λέει ότι έπρεπε να βάλουν ως default αυτή που δίνει επίσημα η wireguard και από εκεί και μετά ας κάνει ότι θέλει ο χρήστης.

[dpap76]

Ίσως γιατί κάποια πολύ στριμμένα και πολύ αυστηρά firewall και IDS/IPS έχουν στην πολιτική τους να κόβουν συνδέσεις προς τόσο ψηλές πόρτες.

Δεν υπάρχουν επίσημα καταχωρημένες σε τόσο ψηλές πόρτες κάποιες γνωστές υπηρεσίες και συνήθως untracked κίνηση σε τόσο ψηλές πόρτες είναι ύποπτη και αυξάνει την πιθανότητα να κοπεί από κάποιο ενδιάμεσο σύστημα, ειδικά αν δεν είναι κλασσικό network layer firewall αλλά κάτι ποιο εξελιγμένο πχ IPS, ή ακόμα και από router σε ορισμένες περιπτώσεις όπου κάποιος βάζει μια acl να κόβει "για παν ενδεχόμενο" τις πόρτες πάνω από το 49152 αφού επίσημα δεν χρησιμοποιούνται από κάποια γνωστή υπηρεσία παρα μόνο από κάποιες ύποπτες και όχι και τόσο legit P2P εφαρμογές (bittorent πχ).

Οι ephemeral UDP πόρτες που ανοίγει η υπηρεσία του FTP που είναι ίσως και η μόνη διαδεδομένη legit εφαρμογή που συνήθως παίζει σε τόσο ψηλές UDP πόρτες είναι υπό conntracking και είναι ελεγχόμενη και τα firewall αυτά ξέρουν να την χειρίζονται και την επιτρέπουν όπου και για όσο χρειάζεται.

H ΙΑΝΑ έχει το range 49152–65535 καταχωρημένο στα κιτάπια της σαν "Ephemeral Ports"

https://datatracker.ietf.org/doc/html/rfc6335#section-6

6. Port Number Ranges

TCP, UDP, UDP-Lite, SCTP, and DCCP use 16-bit namespaces for their
port number registries. The port registries for all of these
transport protocols are subdivided into three ranges of numbers
[RFC1340], and Section 8.1.2 describes the IANA procedures for each
range in detail:

o the System Ports, also known as the Well Known Ports, from 0-1023
(assigned by IANA)

o the User Ports, also known as the Registered Ports, from 1024-
49151 (assigned by IANA)

o the Dynamic Ports, also known as the Private or Ephemeral Ports,
from 49152-65535 (never assigned)

Η επιλογή εξαρχής του wireguard να χρησιμοποιεί την εξωφρενικά μακρινή πόρτα 51820 θεωρείται μάλλον λανθασμένη επιλογή από άποψη αρχιτεκτονικής. Έμεινε όμως και είναι πλέον ανεπίσημα διαδεδομένη (well-known) ωστόσο, δεν μπορεί να καταχωρηθεί στα κιτάπια της ΙΑΝΑ καθώς σύμφωνα με το ανωτέρω RFC δεν καταχωρούνται στα βιβλία ποτέ υπηρεσίες πάνω από την πόρτα 49151.

https://www.iana.org/assignments/ser...rt-numbers.txt

Η ΜΤ προφανώς επέλεξε να χρησιμοποιεί την 13231 που είναι μια πιο νορμάλ πόρτα για να πιάσει και τις περιπτώσεις των αυστηρών firewall που θα εμπόδιζαν μια κίνηση από/προς την 51820

[deniSun]

Αν δημιουργούσε κάποιο πρόβλημα με τα fw,
δεν θα έπρεπε λογικά να μην το προτείνει ως default η wireguard;

[dpap76]

Μα δεν τα προτείνει πουθενά ως default

Ούτε στο documentation ούτε στον κώδικα υπάρχει το νούμερο 51820. Ούτε κάν στο αριστουργηματικό white-paper του Jason A. Donenfeld, εμπνευστή και δημιουργό του wireguard.

Spoiler:

Με την ευκαιρία: "Η" wireguard δεν είναι εταιρία. Το wireguard είναι έμπνευση και υλοποίηση του -ήδη στο πάνθεον των cryto-αναλυτών- Jason A. Donenfeld. Ο ίδιος το εμπνεύστηκε, ο ίδιος το δημιούργησε, ο ίδιος έκανε το kernel module και τα συνοδευτικά tools και ίδιος κάνει maintain τα σχετικά git repos. Μόλις πέρασε o κώδικας του στο main linux kernel του torvalds, η τεχνολογία έγινε adapt σε χρόνο dt απο όλα τα Linux distro γιατί είναι εξωφρενικά γρήγορο, χρησιμοποιεί μοντέρνους state-of-the-art secure αλγόριθμους ενώ με τον εξωφρενικά μικρό και light κώδικα του, είναι εύκολα να γίνει review και να βρεθούν ή να αποφευχθούν bugs και τρύπες στο implementation του πρωτοκόλλου.

Ο κώδικας φυσικά είναι open source (GPL2) ενώ το λεκτικό Wireguard και το logo είναι (C) του Jason A. Donenfeld.

Ο ίδιος έχει ιδρύσει την συμβουλευτική εταιρία https://www.edgesecurity.com/ η οποία όμως είναι ανεξάρτητη από το open source project.

To listening port ορίζεται μέσα στο config του χρήστη και τα example configs που παρέχονται έχουν ως παράδειγμα το 51820. Αν κάποιος τα χρησιμοποιήσει όπως είναι, έ τότε ναι, έχει ως listening port την 51820

Επίσης, από το man wg: If listen-port is not specified, or set to 0, the port will be chosen randomly when the interface comes up.

Επίτηδες ο δημιουργός του δεν όρισε default port και το αφήνει στον τελικό χρήστη να το αποφασίσει τι νούμερο θα διαλέξει. Γιατί αν εδραιωθεί ένα νούμερο και γίνει "σούπα" τότε θα βλέπουμε όλο και περισσότερα firewalls να έχουν pre-configured rules για να κόβουν το wireguard vpn (δηλαδή την πόρτα 51820/udp).

Δεδομένου ότι το VPN θα το στήσεις για να είναι private και όχι public υπηρεσία, τι νόημα έχει να διαλέξεις μια default/well-known καταχωρημένη πόρτα που να σε προδίδει? Μόνο εσύ που κάνεις το setup του VPN πρέπει να την ξέρεις. Βάζεις την δικιά σου και άσε τον αδιάκριτο man-in-the-middle (πάροχος? διαχειριστής δικτύου της εταιρίας? the great firewall of china?) να αναρωτιέται τι να είναι άραγε αυτή η κρυπτογραφημένη κίνηση στην UDP πόρτα 13213, 38912, 42946, 59001 (τυχαία παραδείγματα) που βλέπει στο δίκτυο του

Τούτου λεχθέντος, θα ήθελα να αποσύρω το παραπάνω σχόλιο που έκανα:

Η επιλογή εξαρχής του wireguard να χρησιμοποιεί την εξωφρενικά μακρινή πόρτα 51820 θεωρείται μάλλον λανθασμένη επιλογή από άποψη αρχιτεκτονικής. Έμεινε όμως και είναι πλέον ανεπίσημα διαδεδομένη (well-known) ωστόσο, δεν μπορεί να καταχωρηθεί στα κιτάπια της ΙΑΝΑ καθώς σύμφωνα με το ανωτέρω RFC δεν καταχωρούνται στα βιβλία ποτέ υπηρεσίες πάνω από την πόρτα 49151.

... καθώς η μόνη λανθασμένη επιλογή από άποψη αρχιτεκτονικής που υπάρχει είναι η δικιά μας, που κάνουμε copy/paste τα example configs αντί να δηλώσουμε μια {άλλη|άγνωστη|ουδέτερη|οχι-πάντως-well-known} port