quicktrick
-
Posts
19 -
Joined
-
Last visited
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by quicktrick
-
-
Дам еще полезную ссылку (особенно с учетом того, что официальная документация на WireGuard -- крайне скудная). Вот здесь замечательно разъяснена суть параметров Endpoint, AllowedIPs и Address в конфигах WireGuard:
-
На всякий случай уточню. Подсеть 172.10.10.0/24, взятая выше для примера, -- не входит в зарезервированные адресные пространства для частных сетей. Нужно, разумеется, использовать собственные адреса.
-
Разобрался (наполовину методом научного тыка). Заработало. Вообще, вещь неочевидная. Короче, ключевой момент. На обоих клиентах (будем называть их так, потому что они подключены к одному "серверу" -- Кинетику) в конфигах WG должны быть прописаны AllowedIPs на всю подсеть WG (иначе не работает). Например, так.
Клиент 1
[Interface] PrivateKey = ... Address = 172.10.10.2/24 [Peer] PublicKey = ... AllowedIPs = 172.10.10.0/24 Endpoint = ... PersistentKeepalive = 15
Клиент 2
[Interface] PrivateKey = ... Address = 172.10.10.3/24 [Peer] PublicKey = ... AllowedIPs = 172.10.10.0/24 Endpoint = ... PersistentKeepalive = 15
На самом Кинетике в конфигах этих пиров должны быть AllowedIPs: 172.10.10.2/32 и 172.10.10.3/32 (соответственно)
Никаких дополнительных маршрутов нигде вручную прописывать, естественно, не надо, поскольку подсеть WG маршрутизируется самим WG.
А вот в файрволе нужно сделать правило как минимум для того клиента, который хочет коннектиться к другому -- разрешить ему доступ либо к IP второго клиента, либо ко всей подсети WG.
-
Вообще, мне странно утверждение, что Windows-компьютер -- это не клиент WG. Если я на нем в командной строке выполняю команду ipconfig, то мне выводятся все его IP во всех подключенных подсетях. В том числе -- его IP в сети WG. Так что я имею полное право обращаться к нему по этому IP.
-
8 minutes ago, stefbarinov said:
Windows-ПК это не клиент WG, это хост за клиентом WG!
То есть как это хост за клиентом WG? А какой у него тогда IP? И почему такая схема без проблем работает через OpenVPN по IP клиента в сети OpenVPN?
-
Спасибо за ответ, только я не понимаю, зачем мне сеть другого клиента, если я обращаюсь к нему по его IP в сети WG? Маршрут в сеть WG прописывается автоматически, и я вижу, к примеру, сам Кинетик, к которому я подключен по WG (я сам нахожусь не в локальной сети Кинетика). Я вижу также SMB-сервер в локальной сети Кинетика, к которому с WG IP Кинетика проброшен 445-й порт (то есть я вижу его по IP Кинетика в сети WG). Я не вижу только другого клиента сети WG, подключенного к Кинетику через WG. Я пытаюсь обращаться к нему по его IP в сети WG. Конкретно -- это Windows-компьютер, которым я хочу управлять через RDP.
-
Позавчера озадачил этим вопросом техподдержку Кинетика. Вчера утром человек от них ответил, но не совсем на тот вопрос, который был задан. Я объяснил задачу подробнее. После этого тишина. Предполагаю, что они тоже не знают, как заставить это работать. Вероятно, попробовали -- и у них тоже не получается.
-
Пробовал, не работает. Маршруты, правила в файрвол, пробовал даже port forwarding на IP конкретного пира (Windows-компьютер, чтобы управлять им через RDP). Никакие варианты не работают. Вообще, у меня складывается впечатление, что WireGuard какой-то недоделанный в этом отношении. К примеру, всё, что нужно, работает безо всяких танцев с бубном через OpenVPN. Через WireGuard работает только конкретное соединение между двумя пирами, ничего больше.
Еще пример. Я очень долго возился с тем, чтобы на моем самодельном маршрутизаторе под FreeBSD настроить WireGuard так, чтобы через него шел весь трафик с определенных хостов в локальной сети. Редиректом трафика управляет PF. Через OpenVPN такая штука работает превосходно. Через WireGuard не работает ни в какую. Там явно какие-то недоработки в самом WG. Я пытался выйти на разработчиков WireGuard через все перечисленные у них способы связи. Бесполезно, они не отзываются. Плюнул, пользуюсь OpenVPN. Хотя WireGuard работает быстрее OpenVPN -- разумеется, там, где он вообще работает.
-
Никак не могу сообразить, как настроить WireGuard на Keenetic Speedster, чтобы подключенные к нему пиры могли коннектиться друг к другу по их IP в подсети WireGuard. Сейчас они видят только IP самого Кинетика. Ну еще у меня проброшен 445-й порт к Samba-серверу в локальной сети Кинетика, это тоже работает через WG IP Кинетика. А как настроить, чтобы пиры могли коннектиться друг к другу внутри подсети WG?
-
Пропиши статический маршрут во внутреннюю сеть и дай туда доступ. Только могут быть конфликты, если подсети одинаковые с двух сторон. А поскольку в большинстве маршрутизаторов по умолчанию используется подсеть 192.168.1.0/24, то конфликты весьма вероятны.
-
Вроде решилась проблема, спасибо всем большое!
-
13 minutes ago, werldmgn said:
Если Кинетик у вас в wireguard выступает "сервером", то просто не выставляйте в нем пункт "Проверка активности" для пиров.
Спасибо за совет! Это, очевидно, Persistent keepalive у каждого клиента? А его тогда оставить пустым или поставить там 0? Кстати сказать, у меня там стоит у каждого клиента 15 секунд, а Кинетик пишет в лог ошибку handshake каждые 5 секунд.
-
Ребята, а у меня одного такая штука наблюдается с Windows-клиентом? Если на Windows-клиенте не деактивировать WG-соединение и выключить компьютер, то на Кинетике в логе каждые 5 секунд появляются вот такие сообщения:
Jun 12 10:49:39 kernel wireguard: Wireguard0: handshake for peer "....." (7) (xxx.xxx.xxx.xxx:15514) did not complete after 5 seconds, retrying (try 2) Jun 12 10:49:44 kernel wireguard: Wireguard0: handshake for peer "....." (7) (xxx.xxx.xxx.xxx:15514) did not complete after 5 seconds, retrying (try 3) ..... Jun 12 10:51:15 kernel wireguard: Wireguard0: handshake for peer "....." (7) (xxx.xxx.xxx.xxx:15514) did not complete after 5 seconds, retrying (try 20) Jun 12 10:51:20 kernel wireguard: Wireguard0: handshake for peer ".....=" (7) (xxx.xxx.xxx.xxx:15514) did not complete after 20 attempts, giving up Jun 12 10:51:35 kernel wireguard: Wireguard0: handshake for peer "....." (7) (xxx.xxx.xxx.xxx:15514) did not complete after 5 seconds, retrying (try 2) .....
и так до бесконечности. Можно либо сбросить все соединения на самом маршрутизаторе, перезапустив WG-сервер, либо включить клиентский компьютер и деактивировать соединение на нем.
Неудобно очень. Заставить всех клиентов вовремя деактивировать соединения практически нереально, кто-нибудь обязательно забудет. А так Кинетик пытается постоянно дергать клиентские компьютеры, да и лог загаживается до невозможности им пользоваться.
-
4 hours ago, Le ecureuil said:
Зависит от того, что и как вы будете передавать, а также от настроек.
Передавать буду большие файлы с/на NAS, подключенный к Кинетику. Я, честно говоря, не понимаю, как от этого может зависеть скорость в туннеле. Узкое место сейчас -- процессор Кинетика, не NAS. NAS даже на мелких файлах вдвое большую скорость будет держать нормально.
-
Вчера на Keenetic Speedster запустил WireGuard. Имею скорость в туннеле порядка 150 Мбит/с. Загрузка процессора при этом около 80%. Свои впечатления описал здесь.
Подскажите, пожалуйста, есть ли смысл пробовать IPsec? Будет ли увеличение скорости? Судя по тому, что здесь пишут, скорость 300 мегабит/с я едва ли получу?
Подключение одного пира к другому через Keenetic WireGuard
in Обсуждение IPsec, OpenVPN и других туннелей
Posted · Edited by quicktrick
Я видел этот pdf. Ну так это и есть крайне скудная. И на сайте у них тоже не лучше. Вы сравните с документацией на тот же OpenVPN. Ладно, пора закрывать эту ветку. Когда я задал вопрос -- не отвечал никто. Один человек отозвался, но, к сожалению, не помог. А тут вдруг все проснулись, когда всё уже разрешилось.
Вот честное слово, когда есть нормальная документация, тогда и вопросов не возникает. Я ведь порядочно времени потратил на поиск решения в Интернете. И документацию смотрел. Ладно, проехали уже.