Keresés: - [Re:] WireGuard VPN a mindennapokra

Legfrissebb anyagok

Mobilarena témák

PROHARDVER! témák

IT café témák

GAMEPOD témák

LOGOUT témák

Keresés

Új hozzászólás Aktív témák

#58 vtechun veterán stopperos #57

Új Válasz 2023-09-16 20:26:58 #58
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

vtechun

veterán

válasz stopperos #57 üzenetére

gyakorlatilag 1 az egyben ezt csináltam meg, és jó lett
#54 vtechun veterán stopperos #53

Új Válasz 2023-09-14 22:49:03 #54
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

vtechun

veterán

válasz stopperos #53 üzenetére

az első elvileg adott, viszonta 2-est tudnád esetleg részletezni? Nézegetem a különböző hivatalos leírásokat, de nem nagyon jön ez szóba...
#50 Yerix tag stopperos #47

Új Válasz 2023-08-05 22:12:33 #50
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Yerix

tag

válasz stopperos #47 üzenetére

Beállítottam úgy ahogy nálad is láttam, de a telefonon továbbra sincs net. A pingelés mindkét irányba zavartalan.
Valamit elrontottam, vagy kihagytam ?
#48 Yerix tag stopperos #47

Új Válasz 2023-08-04 17:21:20 #48
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Yerix

tag

válasz stopperos #47 üzenetére

Akkor valahol itt lesz a gond, mert nekem a wireguard, valamiért egyben van a wan portokal.
#45 Yerix tag stopperos #43

Új Válasz 2023-08-03 21:39:05 #45
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Yerix

tag

válasz stopperos #43 üzenetére

Szia!
Gondolom ezt a tplink routeren az openwrt-ben kell elvégeznem, erről tudsz kicsit többet írni, hogy mit és hol csináljak ?
Köszönöm.
#41 Yerix tag stopperos #40

Új Válasz 2023-08-03 16:04:51 #41
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Yerix

tag

válasz stopperos #40 üzenetére

Köszönöm.
A leírás szerint be is configoltam, de valamiért a telefonon nincs internet és LAN-t sem látja.
A router tudja pingelni a telefont és fordítva is, de mintha ezentúl semmi kommunikáció nem lenne a kettő eszköz között.
Erre valakinek van ötlete, hogy mi lehet a gond ?
#33 Shummo senior tag stopperos #32

Új Válasz 2023-01-07 17:12:27 #33
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Shummo

senior tag

válasz stopperos #32 üzenetére

Köszönöm.
Kettő dolgot kellett még csinálnom. Most működik.
DD-wrt TUNNEL fül alatt, ahogy a wireguard peer config van, van egy FIREWALL INBOUND opció. Ezt ki kellett kapcsolnom, illetve átírtam a wg0.conf (server config) fájl ahogy te javasoltad.
[Interface]
PrivateKey = ***************
Address = 10.6.0.1/24
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -A FORWARD -o wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -D FORWARD -o wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
ListenPort = 4****
### begin client01 ###
[Peer]
PublicKey = **************************
PresharedKey = ***********************
AllowedIPs = 10.6.0.10/32, 192.168.101.0/24
PersistentKeepalive=25
### end client01 ###
ÉS így már működik
#31 Shummo senior tag stopperos #30

Új Válasz 2023-01-06 19:40:41 #31
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Shummo

senior tag

válasz stopperos #30 üzenetére

Köszi.
A routeren van static route beállítva a wireguard peerekhez.
A raspberry-n elég ha felveszed az AllowedIPs közé a másik hálózatot, és akkor már hozzá fogja adni a route szabályt is.
Ez alatt a server configban a peer alatti allowed ipt érted?
#26 yodee_ őstag stopperos #22

Új Válasz 2022-07-03 08:23:28 #26
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

yodee_

őstag

válasz stopperos #22 üzenetére

Én is erre gondolok, de nem jövök rá hogy hogyan lehet megcsinálni a megfelelő tűzfal és routeing szabályokat. Jelenleg ennyi a tűzfal:
config defaults
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'REJECT'
option synflood_protect '1'
config zone
option name 'lan'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'ACCEPT'
list network 'lan'
config zone
option name 'wan'
option input 'REJECT'
option output 'ACCEPT'
option forward 'REJECT'
option masq '1'
option mtu_fix '1'
list network 'wan'
list network 'wg0'
config forwarding
option src 'lan'
option dest 'wan'
config rule
option name 'Allow-DHCP-Renew'
option src 'wan'
option proto 'udp'
option dest_port '68'
option target 'ACCEPT'
option family 'ipv4'
config rule
option name 'Allow-Ping'
option src 'wan'
option proto 'icmp'
option icmp_type 'echo-request'
option family 'ipv4'
option target 'ACCEPT'
config rule
option name 'Allow-IGMP'
option src 'wan'
option proto 'igmp'
option family 'ipv4'
option target 'ACCEPT'
config rule
option name 'Allow-DHCPv6'
option src 'wan'
option proto 'udp'
option dest_port '546'
option family 'ipv6'
option target 'ACCEPT'
config rule
option name 'Allow-MLD'
option src 'wan'
option proto 'icmp'
option src_ip 'fe80::/10'
list icmp_type '130/0'
list icmp_type '131/0'
list icmp_type '132/0'
list icmp_type '143/0'
option family 'ipv6'
option target 'ACCEPT'
config rule
option name 'Allow-ICMPv6-Input'
option src 'wan'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
list icmp_type 'router-solicitation'
list icmp_type 'neighbour-solicitation'
list icmp_type 'router-advertisement'
list icmp_type 'neighbour-advertisement'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'
config rule
option name 'Allow-ICMPv6-Forward'
option src 'wan'
option dest '*'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'
config rule
option name 'Allow-IPSec-ESP'
option src 'wan'
option dest 'lan'
option proto 'esp'
option target 'ACCEPT'
config rule
option name 'Allow-ISAKMP'
option src 'wan'
option dest 'lan'
option dest_port '500'
option proto 'udp'
option target 'ACCEPT'
config redirect
option dest 'lan'
option target 'DNAT'
option name 'SSH'
list proto 'tcp'
option src 'wan'
option dest_ip '10.13.6.1'
option src_dport '4173'
option dest_port '4173'
config redirect
option dest 'lan'
option target 'DNAT'
option name 'luci'
list proto 'tcp'
option src 'wan'
option src_dport '80'
option dest_port '80'
option dest_ip '10.13.6.1'
Semmi extra, egy luci és egy ssh van nyitva. Ezeket Én vettem fel.
#23 ekkold őstag stopperos #21

Új Válasz 2022-07-02 16:46:21 #23
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

ekkold

őstag

válasz stopperos #21 üzenetére

64 bites Win7-ről van szó, több helyen is próbáltam. Külföldi fórumokon is keresgéltem, volt is erről szó, de akkor annyival elintézték, hogy ez a windows hibája. Win10 alatt is hasonló történik, csak nem olyan látványosan, de a registrybe szemetel... de ezek szerint nem sokan ismerik ezt a problémát.

Az IP változást elvileg könnyedén kellene tudni kezelnie a wireguardnak, hiszen ezzel is reklámozzák, hogy mobil eszközön sem szakadnak meg a kapcsolatok, akkor is ha minden változik. A gyakorlat viszont az, hogy ez csak addig működik jól, amíg legalább az egyik oldal fix IP című. Persze az is lehet, hogy csak a mikrotik implementációban van ez a bug. De elég sokan használnak scriptet a wg interfész újraindítására mikrotiken...

Persze a hibái ellenére is tök jó a wg, és talán egyszer kiforrja magát.
#20 yodee_ őstag stopperos #12

Új Válasz 2022-07-02 09:42:18 #20
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

yodee_

őstag

válasz stopperos #12 üzenetére

Jelenleg addig szenvedtem el magam, hogy az openwrtre kötött eszközök elérik a mikrotik hálózatot és a mikrotiról elérem az openwrt-t. Viszont az openwrt eszközökön nincs internet elérés. Mi lehet a gond?
config interface 'wg0'
option proto 'wireguard'
option listen_port '13236'
list addresses '10.13.250.2/30'
option private_key '***************************'
config wireguard_wg0
option description 'WG-Yodee'
option public_key '****************************'
list allowed_ips '0.0.0.0/0'
option route_allowed_ips '1'
option endpoint_host 'host.dyndns.org'
option endpoint_port '13236'
A wireguard interface-t a WAN tűzfal zónába tettem.
#16 yodee_ őstag stopperos #12

Új Válasz 2022-06-26 08:10:55 #16
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

yodee_

őstag

válasz stopperos #12 üzenetére

Én is routeingra gyanakszom, mivel létre nem hoz semmit, a leírás meg nem említi.
#14 PistiSan addikt stopperos #12

Új Válasz 2022-06-25 21:53:20 #14
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

PistiSan

addikt

válasz stopperos #12 üzenetére

Véletlen válaszra mentem, új hozzászólást akartam. :(
Tailscale-el kapcsolatban, ha már említetted a cikkben, felmerült bennem, hogy más helyi hálózaton lévő eszközt el lehet e érni valahogy.
Rákeresve van leírás a tailscale oldalán, a 3 lépés végrehajtása után, sima local ip címen elérem az összes eszközömet, nagyon durva. A 20 eszközös limitből így csak 1-et használ el. Egyenlőre a szolgáltató megbízhatósága a kérdés számomra, bár ha google fiókkal lépsz be, akkor adott a 2 lépcsős azonosítás. Kicsit félek, hogy rajtuk keresztül, ha meghackelik őket, bejöhet akármi is, bár ha saját magad hostolod a szervert a WireGuard-nak, azt is megnyomhatják.