Wireguard VPN (ROS 7.X) server-clients all OS

[Cuore Sportivo]

Γιατί το παιδεύεται τόσο δεν καταλαβαίνω;
Γιατί να δηλώσεις src-address;
Φοβάσαι μήπως κάποιος αποκτήσει πρόσβαση;
Πώς θα το έκανε αυτό αν δεν είχες δηλωμένο το src-address;

Δεν ξέρω πως θα το έκανε, αλλά από τη στιγμή που το να φτιάξεις μία address list είναι δουλειά ενός λεπτού ενώ παράλληλα επιτρέπεις κίνηση μόνο απ'όπου θες εσύ, δε βλέπω το λόγο να μην το χρησιμοποιήσεις.

[minas]

Ανεξάρτητα από την υλοποίηση, τα address lists βολεύουν και για να είναι εύκολα αναγνώσιμο το τι κάνουμε (αν και πάντα βάζω και comments).

[deniSun]

Καλό είναι να το αποφεύγουμε πάντως.

Προσέχετε τι γράφετε γιατί δημιουργούνται λάθος εντυπώσεις.
Αν κάποιος ακολουθήσει τα manual με το στήσιμο fw κλπ της ΜΤ
όχι δεν έχει κανένα θέμα με το να δηλώσει το wireguard μέσα στο LAN.

Και μιας και το θίξαμε το θέμα.
Οι δηλώσεις για ονομασίες λίστας για wan/lan με αντίστοιχα interface είναι κάτι που προτείνει η ΜΤ για μελλοντική χρήση.
πχ αν κάποιος χρησιμοποιεί 2-3 συνδέσεις προς τα έξω ναι είναι απαραίτητο να βάλει όλες τις συνδέσεις σε μια λίστα.
Αν έχει όμως μόνο μια φυσική σύνδεση προς τα έξω δεν χρειάζεται να μπλέκει με δηλώσεις lan/wan.
Δεν τις χρειάζεται καν.
Ως wan θα δηλώνει την pppoe σύνδεση
ως lan θα δηλώνει όλες τις !pppoe
Τόσο απλά.
Δεν χρειάζεται πολυπλοκότητα σε απλά πράγματα.

- - - Updated - - -

Δεν ξέρω πως θα το έκανε, αλλά από τη στιγμή που το να φτιάξεις μία address list είναι δουλειά ενός λεπτού ενώ παράλληλα επιτρέπεις κίνηση μόνο απ'όπου θες εσύ, δε βλέπω το λόγο να μην το χρησιμοποιήσεις.

Να σου πω εγώ για να μου πεις αν όντως υπάρχει μια τέτοια περίπτωση κινδύνου.
1. Θα πρέπει να γνωρίζει την ΙΡ σου για να κάνει κλήση στο ΜΤ
Αν είναι στατική είναι ευκολότερο να την θυμάται.
Αν είναι δυναμική είτε πρέπει να σε παρακολουθεί για να βρει πότε άλλαξες
είτε να θυμάται όλο το μακρινάρι του ΜΤ cloud.
2. Ας υποθέσουμε ότι παρακάμπτει το (1) και κάνει κλήση στο ΜΤ.
Τι άλλο χρειάζεται για να συνδεθεί;
Το PublicKey του ΜΤ.
Σου το έκλεψε και αυτό;
Θα πρέπει να δηλωθεί στο ΜΤ το PublicKey του client.
Είχε πρόσβαση και το δήλωσε;
Θα πρέπει να ξέρει τι υποδίκτυο που δημιούργησες με την συγκεκριμένη ΙΡ (φυσικά αν έχει πρόσβαση στο ΜΤ όλα τα υπόλοιπα παρακάμπτονται αλλά συνεχίζουμε για την συζήτηση).
Και όλα τα παραπάνω με την λογική ότι δεν έχεις δηλώσει 0.0.0.0/0 σε όλα τα πεδία.

Άρα δεν βρίσκω καμία λειτουργία σε κάτι τέτοιο.
Είναι σαν να δηλώνεις endpoint και πόρτες.
Προφανώς και είναι μια επιπλέον δικλίδα ασφαλείας αλλά για άλλες συνθήκες.
Όχι γι αυτό που χρησιμοποιεί το 99%.

Είναι όπως μερικές δηλώσεις που βλέπω για ΝΑΤ όπου ορίζουν και interface και ΙΡ.
Περιττό αν έχεις ένα subnet ή αν θέλεις να ναταριστούν όλα.
Στην περίπτωση αυτή βάζεις το ΜΤ να κάνει επιπλέον άσκοπους ελέγχους.
+ ότι αυξάνοντας την πολυπλοκότητα σε βαθμό που δεν χρειάζεσαι κάποια πράγματα
αυξάνεις και την πιθανότητα να θέλεις να κάνεις κάτι αύριο και να μην δουλεύει
γιατί θα ξεχάσεις να προσθέσεις ή να αλλάξεις κάποιο πεδίο.

- - - Updated - - -

Ανεξάρτητα από την υλοποίηση, τα address lists βολεύουν και για να είναι εύκολα αναγνώσιμο το τι κάνουμε (αν και πάντα βάζω και comments).

Σε ποιες περιπτώσεις;
Έτσι γενικά;
Πάντα;

ΥΓ
Μου θύμισες κάποιον πριν πολλάααααα χρόνια που με έβλεπα να δουλεύω με excel.
Με ρωτάει... ξέρεις από excel;
Του λέω... ε... γι αυτά που θέλω ναι.
Μου λέει... από Pivot tables ξέρεις;
Του λέω... όχι δεν χρειάστηκε να τα χρησιμοποιήσω.
Ε... τότε μου λέει δεν ξέρεις excel.

[deniSun]

Ενημερώνω ότι πλέον μπορούμε να ορίσουμε mtu 1500 με cosmote και να απαλλαγούμε από clamping κλπ.
Παίζει υπέροχα με ftth.
Το έχω δοκιμάσει σε σελίδες όπου δεν έπαιζαν χωρίς clamping.
Οπότε το mtu στο wg το έχω πλέον στα 1432.
Είχε αναφερθεί και από άλλον χρήστη σε αυτό το θέμα μέσα στο καλοκαίρι αλλά σήμερα μου δόθηκε η δυνατότητα να το δοκιμάσω.
Ευχαριστίες και σε αυτόν. Συγνώμη αλλά γράφω βιαστικά και δεν έχω χρόνο αυτή την στιγμή να ψάξω για να τον αναφέρω.

Ευχαριστίες στον @dpap76 που ξεκίνησε το όλο θέμα.

[daltongr]

Ενημερώνω ότι πλέον μπορούμε να ορίσουμε mtu 1500 με cosmote και να απαλλαγούμε από clamping κλπ.
Παίζει υπέροχα με ftth.
Το έχω δοκιμάσει σε σελίδες όπου δεν έπαιζαν χωρίς clamping.
Οπότε το mtu στο wg το έχω πλέον στα 1432.
Είχε αναφερθεί και από άλλον χρήστη σε αυτό το θέμα μέσα στο καλοκαίρι αλλά σήμερα μου δόθηκε η δυνατότητα να το δοκιμάσω.
Ευχαριστίες και σε αυτόν. Συγνώμη αλλά γράφω βιαστικά και δεν έχω χρόνο αυτή την στιγμή να ψάξω για να τον αναφέρω.

Ευχαριστίες στον @dpap76 που ξεκίνησε το όλο θέμα.

@denisun Κάπου είχα δει πως όταν είναι μόνο IPv4 στο wg MTU είναι -60 ενώ με IPv6 -80 (λόγω μεγαλύτερου overhead). Το δοκίμασα σε 2 συνδέσεις που είχαν 1500 MTU/MRU και μου δούλεψε απροβλημάτιστα με 1440, αλλά είχα πρόβλημα με άλλο peer που έχει 1492 MTU/MRU. Αν έχεις την ευκαιρία και την ευχέρεια επιβεβαίωσέ το κι εσύ.

[deniSun]

@denisun Κάπου είχα δει πως όταν είναι μόνο IPv4 στο wg MTU είναι -60 ενώ με IPv6 -80 (λόγω μεγαλύτερου overhead).

Σωστά.

Το δοκίμασα σε 2 συνδέσεις που είχαν 1500 MTU/MRU και μου δούλεψε απροβλημάτιστα με 1440, αλλά είχα πρόβλημα με άλλο peer που έχει 1492 MTU/MRU. Αν έχεις την ευκαιρία και την ευχέρεια επιβεβαίωσέ το κι εσύ.

Πρέπει να αφαιρέσεις και -8 για το pppoe_header.

Οι τιμές που δοκίμασα για ν4 με cosmote ftth και παίζουν χωρίς πρόβλημα είναι:
για mtu 1500: 1500 - 60 - 8 = 1432
για mtu 1492: 1492 - 60 - 8 = 1424

[dpolal2]

Καλησπέρα

Έχω στήσει κανονικά ένα δίκτυο με wireguard και λειτουργεί κομπλέ με τις οδηγίες που διάβασα στις προηγούμενες σελίδες.
H λογική είναι να μπορούν 3 χειριστές με λάπτοπ να μπαίνουν στο δίκτυο του γραφείου από το σπίτι τους και να «βλέπουν» έναν fileserver και έναν κοινό εκτυπωτή.

Η απορία μου είναι η εξής.
Προσπαθώντας να δώ τα shared folders με \\FILESERVER δεν παίζει, ακόμα και ping αν κάνω δεν λειτουργεί.
Αντίθετα αν βάλω την ιρ του, π.χ. \\192.168.88.χχχ τον βλέπω κανονικά και μπορώ να συνδεθώ.

Όπως είπα λειτουργεί και έτσι οπότε δεν με καίει αλλά έχω την απορία, λείπει κάτι, δεν έχει σεταριστεί κάτι σωστά;;

Ευχαριστώ.

[fadasma]

Προσπαθώντας να δώ τα shared folders με \\FILESERVER δεν παίζει, ακόμα και ping αν κάνω δεν λειτουργεί.
Αντίθετα αν βάλω την ιρ του, π.χ. \\192.168.88.χχχ τον βλέπω κανονικά και μπορώ να συνδεθώ.

Ποιο DNS server έχεις δηλώσει στο wireguard στα laptop; Πρέπει να βάλεις αυτόν που χρησιμοποιούν στο δίκτυο του γραφείου.
Στο interface πρόσθεσε DNS = xxx.xxx.xxx.xxx

[dpolal2]

Ποιο DNS server έχεις δηλώσει στο wireguard στα laptop; Πρέπει να βάλεις αυτόν που χρησιμοποιούν στο δίκτυο του γραφείου.
Στο interface πρόσθεσε [FONT="]DNS[/FONT][FONT="] = [/FONT]xxx.xxx.xxx.xxx

Έχω ορίσει τον 1.1.1.1, 8.8.8.8 και έχει πάρει dynamic 192.168.0.1 στο ρούτερ και στο wireguard 'εχω το 1.1.1.1

[BillyVan]

Μπορεις να το κανεις με πολλους τροπους.

Ο ευκολοτερος κατα τη γνωμη μου ειναι με Μικροτικ αν υπαρχει σε καθε σημειο αλλα στην

περιπτωση σου μπορεις σε καθε λαπτοπ να κανεις οτι λεει εδω και θα εισαι οκ.

[dmitspan]

Έβαλα την 7.13.4 σ'ένα καινούργιο lite LTE και είδα πως το back to home το έχουν υλοποιήσει στο IP -> Cloud κομμάτι, ενώ θα έπρεπε να είναι εντός του WG. Αν θες να φτιάξεις ένα 2ο tunnel θα πρέπει να το κάνεις χειροκίνητα;

[jkarabas]

Αν θες να φτιάξεις ένα 2ο tunnel θα πρέπει να το κάνεις χειροκίνητα;

Ναι χειροκίνητα

[dmitspan]

Παρατήρησα πως το bth χρησιμοποιεί relay server. Δεν θα ήθελα κάτι τέτοιο από τη στιγμή που μπορεί και παίρνει public IP, δεν μπορεί να παρακαμφθεί αυτό ή πάλι πρέπει να στηθεί χειροκίνητα;

[RyDeR]

Δοκίμασα το back to home και δούλεψε κατευθείαν. Έπαιξε και το Home Assistant app και γενικά μπαίνω σε όλα τα web interfaces από συσκευές που υπάρχουν στο δίκτυο εκτός φυσικά αυτό που ήθελα, τα Siemens logo PLCs που έχω. Ενώ όταν είμαι στο εσωτερικό δίκτυο χτυπώντας το http://10.10.10.40/ μου ανοίγει αμέσως η σελίδα του, όταν είμαι με το Wireguard δεν μου φέρνει timeout. Δεν μπορώ κάν να τα pingάρω. Το port forwarding που έχω κάνει για αυτά δουλέυει κανονικά απλώς ήθελα και έυκολη VPN υλοποίηση. Δοκίμασα και με Zerotier, τα ίδια.

Υποψιάζομαι ότι αυτό γίνεται επειδή δεν ο VPN client δεν είναι στο ίδιο subnet με τα Logo και σαν συσκευές είναι δύστροπες. Παλιότερα που είχα IPsec και ο VPN client έπαιρνε IP ίδιου range με το δίκτυο 10.10.10.x όλα δούλευαν εντάξει. Άραγε γίνεται ο Wireguard/BackToHome client να παίρνει IP απο το subnet που θα ορίσω;

[minas]

Δοκίμασα το back to home και δούλεψε κατευθείαν. Έπαιξε και το Home Assistant app και γενικά μπαίνω σε όλα τα web interfaces από συσκευές που υπάρχουν στο δίκτυο εκτός φυσικά αυτό που ήθελα, τα Siemens logo PLCs που έχω. Ενώ όταν είμαι στο εσωτερικό δίκτυο χτυπώντας το http://10.10.10.40/ μου ανοίγει αμέσως η σελίδα του, όταν είμαι με το Wireguard δεν μου φέρνει timeout. Δεν μπορώ κάν να τα pingάρω. Το port forwarding που έχω κάνει για αυτά δουλέυει κανονικά απλώς ήθελα και έυκολη VPN υλοποίηση. Δοκίμασα και με Zerotier, τα ίδια.

Υποψιάζομαι ότι αυτό γίνεται επειδή δεν ο VPN client δεν είναι στο ίδιο subnet με τα Logo και σαν συσκευές είναι δύστροπες. Παλιότερα που είχα IPsec και ο VPN client έπαιρνε IP ίδιου range με το δίκτυο 10.10.10.x όλα δούλευαν εντάξει. Άραγε γίνεται ο Wireguard/BackToHome client να παίρνει IP απο το subnet που θα ορίσω;

Δεν αρκεί απλά να φτιάξεις ένα static route μεταξύ των δύο subnets;