Αν σηκωσεις τον σερβερ εσυ τοτε θα δεις το upload που εχεις.
Δεν ειναι και 100% οτι θα περασει ολο και επιπλεον θα πρεπει και η αλλη μερια να εχει καλο ιντερνετ.
Αν υποθεσω οτι εχεις πχ 100mbps upload και απ την αλλη μερια μπορεις να τα παρεις με 100αρα vdsl
θα σου προτεινα το λιγοτερο το Hap ac2.
Αν εχεις Chateau 5g τοτε μονο απ την αλλη μερια θα χρειαστεις και για δοκιμη βαζεις το 951 αν και ειναι με αδυναμη cpu.
Αφου το εχεις δοκιμασε το.
Εμφάνιση 181-195 από 292
-
01-11-22, 16:40 Απάντηση: Wireguard VPN (ROS 7.X) server-clients all OS #181
-
01-11-22, 19:45 Απάντηση: Wireguard VPN (ROS 7.X) server-clients all OS #182
καλησπερα, εγω το εχω παντως σε ενα 109 με inalan 200αρα FTTH αλλα αυτη παιζει με DMZ επανω σε hap ac2 γιατι δεν την σηκωνε το 109, με τo wireguard κανενα θεμα παντως και εχω και σε 951 αυτο με τις 100αρες πορτες αλλα εχω εκει περα adsl 24αρα επισης κανενα θεμα.
Και στις 2 περιπτωσεις οση κινηση και να εχει η cpu ειναι ιδιαιτερα σε χαμηλα επιπεδα.
Εχω κανει και συνδεση μεταξυ τους και ανεξαρτητους servers για συσκευες.
-
07-12-22, 13:00 Απάντηση: Wireguard VPN (ROS 7.X) server-clients all OS #183
Δεν ξερω αν εχει γραφτει αλλα στην περίπτωση που εχουμε
Μικροτικ με Μικροτικ Wireguard vpn και για καποιο λογο θελουμε να βγαινουμε ιντερνετ
απ την ip του αλλου Μικροτικ χρειαζεται
Κώδικας:/ip route add comment="Internet through WireGuard VPN" disabled=no distance=1 dst-address=0.0.0.0/0 gateway=wireguard1 pref-src="" routing-table=wireguard-wan scope=30 suppress-hw-offload=no target-scope=10
Κώδικας:/ip firewall mangle add action=change-mss chain=forward comment="Clamp MSS to PMTU for Outgoing packets" new-mss=clamp-to-pmtu out-interface=wireguard1 passthrough=yes protocol=tcp tcp-flags=syn
Κώδικας:/routing rule add action=lookup comment="Internet through WireGuard VPN" disabled=no src-address=192.168.30.254/32 table=wireguard-wan
-
11-02-23, 13:02 Απάντηση: Wireguard VPN (ROS 7.X) server-clients all OS #184
Αφήνω αυτό το βιντεάκι εδώ γιατί με βοήθησε περισσότερο απο τον οδηγό της Mikrotik να στείσω site-to-site με το wireguard.
https://www.youtube.com/watch?v=P6f8Qc4EItc
-
26-03-23, 13:55 Απάντηση: Wireguard VPN (ROS 7.X) server-clients all OS #185
έχω ένα προβληματάκι και θα ήθελα καμία ιδέα.
Έχω την εφαρμογή WolOn και ανοίγω το pc( ή τουλάχιστον άνοιγα) από το κινητό μου(Mi6).
Πήρα καινούργιο κινητό (Xiaomi12) Και έκανα inport τα settings και τα κλειδιά από το παλιό κινητό στο καινούργιο. Κράτησα ίδια ip δηλαδή κτλ.
Δεν μπορώ να κάνω wakeonlan μέσω wireguard με τίποτα. Ενώ με το παλιό μπορούσα κανονικά.
Όταν είμαι wifi δουλεύει κανονικά.
Από την εφαρμογή στέλνω στην 192.168.2.255 στην πόρτα 9.
Σαν αρχάριος που είμαι είπα να βάλω Log να δω τι γίνεται
από το wireguard δείχνει
Xiaomiinp input: in:Wireguard outunknown 0), connection-state:new proto UDP, (ip kin wire):40971->192.168.2.255:9, len 130
από το lan
xiaomiiiii input: in:Bridge outunknown 0), connection-state:new src-mac "mac", proto UDP, (ip kin lan):44291->192.168.2.255:9, len 130
θα μπορούσα με κάποιο τρόπο στο log να καταλάβω τι φταίει?Τελευταία επεξεργασία από το μέλος adiS : 26-03-23 στις 14:00.
-
16-06-23, 19:41 Απάντηση: Wireguard VPN (ROS 7.X) server-clients all OS #186
Προσθέτω και το δικό μου config για διασύνδεση client-to-site με μερικές επισημάνσεις:
# Mikrotik Wireguard
Spoiler:
# Android Client
Spoiler:
# Windows Client
Spoiler:
Διευκρινήσεις:
1. Το ΜΤ router έχει ΙΡ 5.39
2. Ο τοπικός dns έχει ΙΡ 5.36
3. Το ΜΤ wireguard έχει ΙΡ 55.39
4. Ο android client έχει ΙΡ 55.51
5. Ο windows client έχει ΙΡ 55.54
Παρατηρήσεις:
1. Δημιουργούμε πρώτα τον server στο ΜΤ.
2. Μετά προσθέτουμε τους peers τόσους όσους και τους clients που θέλουμε (στο config έχω την δήλωση για τον android client).
3. Για το wireguard θα πρέπει να δημιουργήσουμε υποχρεωτικά tunnel με διαφορετική ΙΡ από το subnet του τοπικού δικτύου.
Εδώ θέλει προσοχή γιατί θα πρέπει να προσθέσουμε και ΝΑΤ (+ ότι άλλο χρειάζεται στο config μας. Στο δικό μου χρειάζεται να προσθέσω το subnet και στο Address Lists του τοπικού δικτύου).
Τα άλλα υποστηριζόμενα vpn στο ΜΤ μπορούν να παίξουν και χωρίς δημιουργία χωριστού subnet.
4. Χρησιμοποιώ την IP2Location Address List ώστε να δέχομαι μόνο εγχώριες ΙΡ για μεγαλύτερη ασφάλεια.
Προσοχή όταν βγείτε εκτός Ελλάδος.
5. Στα peers καλό είναι να προσθέτουμε την ΙΡ του client για ακόμα μεγαλύτερη ασφάλεια,
αλλά και για να ξέρουμε ποια ΙΡ αποδίδουμε σε κάθε client.
Αυτό γιατί σε αντίθεση με άλλα vpn πχ openvpn, οι ΙΡ αποδίδονται στους clients στατικά και όχι μέσω κάποιου dhcp.
Οπότε για να μην χαθούμε και για να μην έχουμε κάποιο conflict από κάποιο client που μπορεί να πειράξει κάτι...
6. Ο android client είναι διαφορετικός από τον windows.
Στον android μπορεί να παραληφθεί η δήλωση του dns.
Αυτό γιατί το android έχει μηχανισμό για dns fallback σε αυτούς της google.
Οπότε αν δεν δηλώσετε dns στον windows client τότε δεν θα βλέπετε τίποτε γιατί τα windows δεν έχουν αντίστοιχο fallback μηχανισμό.
Γι αυτό είναι καλό να δηλώνουμε πάντα και τον dns κυρίως αν έχουμε κάποιον τοπικό dns με adblock όπως εγώ και θέλουμε να τον χρησιμοποιούμε.
7. To Persistent Keep alive δεν χρειάζεται και στον server και στον client.
Συνηθίζεται μόνο στον client.
Τελειώνοντας;
1. Τα περισσότερα έχουν προταθεί και από άλλους χρήστες αλλά με διαφορετική λογική.
Δουλεύουν απλά έκανα τα δικά μου σχόλια.
2. Υπάρχει υλοποίηση και για να παίρνει και ipv6 διεύθυνση ο client
αλλά το βρίσκω κάπως περίπλοκο στην υλοποίηση με dhcpv6 server κλπ.
Δεν το θεωρώ απαραίτητο οπότε και δεν το χρησιμοποίησα.
3. Έχει γίνει σχόλιο για αλλαγή του MTU σε LTE δίκτυο αν κατάλαβα καλά.
Δεν το έχω δοκιμάσει με αυτόν τον τρόπο οπότε δεν ξέρω.
Άφησα την default τιμή.Τελευταία επεξεργασία από το μέλος deniSun : 17-06-23 στις 12:43.
| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
-
28-06-23, 17:08 Απάντηση: Wireguard VPN (ROS 7.X) server-clients all OS #187
Δεν μπορώ να καταλάβω γιατί άλλαξαν την default πόρτα του wireguard από 51820 σε 13231 στην ΜΤ.
Ποια η χρησιμότητά του;
Στο openvpn έχουν κρατήσει την default 1194.| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
-
28-06-23, 19:56 Απάντηση: Wireguard VPN (ROS 7.X) server-clients all OS #188CPU: Intel Core I7 920@2,66Ghz,GPU: nVidia Asus ENGTS 250/DI/CUBA 512MD3 ,RAM:3x1GΒ Corsair TR3G1333 PC3@1333Mhz, PSU: Thermaltake 650W,Μοtherboard: Asus P6TD DELUXE, CASE: CoolerMaster ENTURION
-
28-06-23, 20:25 Απάντηση: Wireguard VPN (ROS 7.X) server-clients all OS #189
να επισημάνω ότι εάν στους client δεν υπάρχει Listen port τότε αν κάνεις επανεκκίνηση το ΜΤ τότε χάνει τη σύνδεση με τον client.
τουλάχιστον σε μένα αυτό συμβαίνει...LL
__________________________________________________________
εσπρεσοσυζητήσεις https://www.e-spresso.gr/forum
-
28-06-23, 20:34 Απάντηση: Wireguard VPN (ROS 7.X) server-clients all OS #190
default port στο ΜΤ είναι το 13231.
Το ίδιο θα πρέπει να δηλώσεις και στον client.
Προφανώς και μπορείς να το αλλάξεις.
Πληροφορίες εδώ.
default port που προτείνει η wireguard είναι το 51820.
Εννοείται ότι δεν είναι δεσμευτικό.
Πληροφορίες εδώ.
Στο openvpn το ΜΤ ορίζει το default port για udp το 1194 το οποίο είναι ίδιο και με αυτό που προτείνει η ίδια η openvpn.
Προφανώς και εδώ μπορείς να αλλάξεις την πόρτα.
Πληροφορίες εδώ και εδώ.
Το ερώτημά μου είναι:
ποιος ο λόγος που η ΜΤ δεν "σέβεται" το default port της wireguard όπως κάνει με το openvpn, και το αλλάζει σε κάτι δικό του.| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
-
28-06-23, 21:14 Απάντηση: Wireguard VPN (ROS 7.X) server-clients all OS #191CPU: Intel Core I7 920@2,66Ghz,GPU: nVidia Asus ENGTS 250/DI/CUBA 512MD3 ,RAM:3x1GΒ Corsair TR3G1333 PC3@1333Mhz, PSU: Thermaltake 650W,Μοtherboard: Asus P6TD DELUXE, CASE: CoolerMaster ENTURION
-
28-06-23, 21:35 Απάντηση: Wireguard VPN (ROS 7.X) server-clients all OS #192
Αυτό ρωτάω. Ποιος είναι ο λόγος.
Μπορείς να βάλεις ότι πόρτα θέλεις, από τις ελεύθερες, για να μην σου την βρίσκουν εύκολα.
Αλλά αυτό το κάνει ο χρήστης.
Το να ανακοινώνει η ΜΤ ότι θα βάλει την Χ-πόρτα απλά το κάνει γνωστό σε όλους.
Η λογική λέει ότι έπρεπε να βάλουν ως default αυτή που δίνει επίσημα η wireguard και από εκεί και μετά ας κάνει ότι θέλει ο χρήστης.| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
-
29-06-23, 00:53 Απάντηση: Wireguard VPN (ROS 7.X) server-clients all OS #193
Ίσως γιατί κάποια πολύ στριμμένα και πολύ αυστηρά firewall και IDS/IPS έχουν στην πολιτική τους να κόβουν συνδέσεις προς τόσο ψηλές πόρτες.
Δεν υπάρχουν επίσημα καταχωρημένες σε τόσο ψηλές πόρτες κάποιες γνωστές υπηρεσίες και συνήθως untracked κίνηση σε τόσο ψηλές πόρτες είναι ύποπτη και αυξάνει την πιθανότητα να κοπεί από κάποιο ενδιάμεσο σύστημα, ειδικά αν δεν είναι κλασσικό network layer firewall αλλά κάτι ποιο εξελιγμένο πχ IPS, ή ακόμα και από router σε ορισμένες περιπτώσεις όπου κάποιος βάζει μια acl να κόβει "για παν ενδεχόμενο" τις πόρτες πάνω από το 49152 αφού επίσημα δεν χρησιμοποιούνται από κάποια γνωστή υπηρεσία παρα μόνο από κάποιες ύποπτες και όχι και τόσο legit P2P εφαρμογές (bittorent πχ).
Οι ephemeral UDP πόρτες που ανοίγει η υπηρεσία του FTP που είναι ίσως και η μόνη διαδεδομένη legit εφαρμογή που συνήθως παίζει σε τόσο ψηλές UDP πόρτες είναι υπό conntracking και είναι ελεγχόμενη και τα firewall αυτά ξέρουν να την χειρίζονται και την επιτρέπουν όπου και για όσο χρειάζεται.
H ΙΑΝΑ έχει το range 49152–65535 καταχωρημένο στα κιτάπια της σαν "Ephemeral Ports"
https://datatracker.ietf.org/doc/html/rfc6335#section-6
6. Port Number Ranges
TCP, UDP, UDP-Lite, SCTP, and DCCP use 16-bit namespaces for their
port number registries. The port registries for all of these
transport protocols are subdivided into three ranges of numbers
[RFC1340], and Section 8.1.2 describes the IANA procedures for each
range in detail:
o the System Ports, also known as the Well Known Ports, from 0-1023
(assigned by IANA)
o the User Ports, also known as the Registered Ports, from 1024-
49151 (assigned by IANA)
o the Dynamic Ports, also known as the Private or Ephemeral Ports,
from 49152-65535 (never assigned)
Η επιλογή εξαρχής του wireguard να χρησιμοποιεί την εξωφρενικά μακρινή πόρτα 51820 θεωρείται μάλλον λανθασμένη επιλογή από άποψη αρχιτεκτονικής. Έμεινε όμως και είναι πλέον ανεπίσημα διαδεδομένη (well-known) ωστόσο, δεν μπορεί να καταχωρηθεί στα κιτάπια της ΙΑΝΑ καθώς σύμφωνα με το ανωτέρω RFC δεν καταχωρούνται στα βιβλία ποτέ υπηρεσίες πάνω από την πόρτα 49151.
https://www.iana.org/assignments/ser...rt-numbers.txt
Η ΜΤ προφανώς επέλεξε να χρησιμοποιεί την 13231 που είναι μια πιο νορμάλ πόρτα για να πιάσει και τις περιπτώσεις των αυστηρών firewall που θα εμπόδιζαν μια κίνηση από/προς την 51820Τελευταία επεξεργασία από το μέλος dpap76 : 29-06-23 στις 01:06.
-
29-06-23, 19:44 Απάντηση: Wireguard VPN (ROS 7.X) server-clients all OS #194
Αν δημιουργούσε κάποιο πρόβλημα με τα fw,
δεν θα έπρεπε λογικά να μην το προτείνει ως default η wireguard;| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
-
29-06-23, 23:28 Απάντηση: Wireguard VPN (ROS 7.X) server-clients all OS #195
Μα δεν τα προτείνει πουθενά ως default
Ούτε στο documentation ούτε στον κώδικα υπάρχει το νούμερο 51820. Ούτε κάν στο αριστουργηματικό white-paper του Jason A. Donenfeld, εμπνευστή και δημιουργό του wireguard.
Spoiler:
To listening port ορίζεται μέσα στο config του χρήστη και τα example configs που παρέχονται έχουν ως παράδειγμα το 51820. Αν κάποιος τα χρησιμοποιήσει όπως είναι, έ τότε ναι, έχει ως listening port την 51820
Επίσης, από το man wg: If listen-port is not specified, or set to 0, the port will be chosen randomly when the interface comes up.
Επίτηδες ο δημιουργός του δεν όρισε default port και το αφήνει στον τελικό χρήστη να το αποφασίσει τι νούμερο θα διαλέξει. Γιατί αν εδραιωθεί ένα νούμερο και γίνει "σούπα" τότε θα βλέπουμε όλο και περισσότερα firewalls να έχουν pre-configured rules για να κόβουν το wireguard vpn (δηλαδή την πόρτα 51820/udp).
Δεδομένου ότι το VPN θα το στήσεις για να είναι private και όχι public υπηρεσία, τι νόημα έχει να διαλέξεις μια default/well-known καταχωρημένη πόρτα που να σε προδίδει? Μόνο εσύ που κάνεις το setup του VPN πρέπει να την ξέρεις. Βάζεις την δικιά σου και άσε τον αδιάκριτο man-in-the-middle (πάροχος? διαχειριστής δικτύου της εταιρίας? the great firewall of china?) να αναρωτιέται τι να είναι άραγε αυτή η κρυπτογραφημένη κίνηση στην UDP πόρτα 13213, 38912, 42946, 59001 (τυχαία παραδείγματα) που βλέπει στο δίκτυο του
Τούτου λεχθέντος, θα ήθελα να αποσύρω το παραπάνω σχόλιο που έκανα:
... καθώς η μόνη λανθασμένη επιλογή από άποψη αρχιτεκτονικής που υπάρχει είναι η δικιά μας, που κάνουμε copy/paste τα example configs αντί να δηλώσουμε μια {άλλη|άγνωστη|ουδέτερη|οχι-πάντως-well-known} port
Bookmarks