R0cky
Forum Members-
Posts
49 -
Joined
-
Last visited
-
Days Won
1
R0cky last won the day on September 16 2022
R0cky had the most liked content!
Equipment
-
Keenetic
Hopper kn-3810
Recent Profile Visitors
The recent visitors block is disabled and is not being shown to other users.
R0cky's Achievements
Advanced Member (3/5)
11
Reputation
-
Присоединяюсь к проблеме. Самба протокол (сервер самбы поднят не на роутере, а в локальной сети) через wireguard туннель, работает очень медленно. Скорость не превышает 200-300 килобайт в сек. На канале 330 мбит. При этом если из внешней сети зайти в локалку по wireguard подключению, используя вместо встроенного в прошивку keenetic`а сервера wireguard отдельную машину в локальной сети с debian на борту и поднятым wireguard сервером, то скорости работы с samba достигают тарифных показателей, обещанных провайдером. Нужны комментарии от производителей прошивки. Это баг или фича? )
-
Wireguard и политики доступа
R0cky replied to Igora1505's topic in Обсуждение IPsec, OpenVPN и других туннелей
Маршрутизация не избирательно направляет весь исходящий трафик до определенного узла через заданный интерфейс Для задачи пустить подключение wireguard через определенный интеренет-интерфейс это не всегда подходит потому что: 1. Ип адрес устройства, на котором поднят wireguard сервер может быть динамическим и тогда придется маршрутизировать целые подсети. Если маршрутизировать подсеть, то в ней могут быть ресурсы, на которые необходимо ходить через wireguard. Возникает противоречие, которое маршрутизацией никак не решить. 2. На самом устройстве, где поднят wireguard сервер могут присутствовать другие сервисы, доступ к которым пойдет мимо wireguard. А в случае если в политике доступа для клиента запрещены любые подключения кроме впн Wireguard (иногда такое требуется например для обхода ограничений опсосов), то доступ до этих сервисов блокируется. Вот такая петрушка с этим костыльным решением путем маршрутизации. -
Wireguard и политики доступа
R0cky replied to Igora1505's topic in Обсуждение IPsec, OpenVPN и других туннелей
Разрабы до сих пор не могут допилить для Wireguard куда более востребованную функцию - Возможность выбора интернет-подключения, через которое будет осуществляться подключение к впн серверу. А вы тут совсем нестандартные хотелки реализовать предлагаете. Очень вряд ли дождетесь. Ищите костыли -
Помощь в настройке wireguard
R0cky replied to d_nekr's topic in Обсуждение IPsec, OpenVPN и других туннелей
А вот эти настройки на роутере с белым ип делали? WireGuard-интерфейсу должен быть установлен уровень безопасности private. Для этого потребуется в интерфейсе командной строки (CLI) роутера ввести следующую команду (в нашем примере для интерфейса Wireguard0): interface Wireguard0 security-level private Также для интерфейса должна быть включена установка автоматической трансляции адресов (NAT). Для этого потребуется ввести команду: ip nat Wireguard0 Это необходимые и достаточные условия. Настройки на сервере следует сохранить при помощи команды: system configuration save -
Выбор интернет-подключения для Wireguard VPN
R0cky replied to R0cky's topic in Обсуждение IPsec, OpenVPN и других туннелей
stefbarinov Я так и сделал изначально. -
Выбор интернет-подключения для Wireguard VPN
R0cky replied to R0cky's topic in Обсуждение IPsec, OpenVPN и других туннелей
vasek00 Сервер Wireguard поднят на другом кинетике, этот кинетик подключен к провайдеру, который выдает белый динамический ип. Соответственно частота смена ип рандомная. Пока в качестве временного решения прописал на клиентском роутере статические маршруты до всех подсетей, которые используется провайдером на стороне сервера в качестве выходных белых ип клиентов. Но все таки хотелось бы нормальной реализации данной опиции в прошивке роутера, чтобы без танцев с бубном решать довольно элементарный вопрос. Кстати вот неплохой сервис, который позволяет узнать диапазоны выходных ип прова по заданному ип адресу: https://xseo.in/asn -
Выбор интернет-подключения для Wireguard VPN
R0cky replied to R0cky's topic in Обсуждение IPsec, OpenVPN и других туннелей
vasek00 Спасибо. Но ИМХО это костыль. Который не решает ряд проблем. Например как быть, если сервер wireguard имеет динамический ип (доступ идет по доменному имени), и следовательно прописать до него статический маршрут невозможно? Это как раз мой случай. -
Добрый день. Такой вопрос. При настройке wireguard vpn в веб интерфейсе в отличие от других видов vpn (например PPTP, OpenVPN) нет возможности выбрать через какое интернет подключение устанавливать соединение с удаленным сервером wireguard. Соответственно коннект идет через то подключение, которое стоит первым в политике доступа в интернет по умолчанию. Это приводит к не оптимальной работе или даже ошибке когда в политике по умолчанию в качестве приоритетного подключения выбрано другое впн подключение. Имеется ли возможность выбрать для wireguard vpn интернет-подключение, отличное от того, которое стоит в политике по умолчанию?
-
Butyc ipv6 у провайдера, к которому подключен роутер включен? если да, то выключите его
- 1,644 replies
-
Убедитесь, что ип адрес вашего роутера в локальной сети именно 192.168.1.1
- 1,644 replies
-
Добавлю, что современные браузеры (в том числе их мобильные версии) все чаще обзаводятся своими днс сервисами якобы для пущей конфиденциальности (по типу dnscrypt). Для корректной работы алгоритма обхода эти сервисы в используемых вами браузерах необходимо отключать.
- 1,644 replies
-
- 2
-
Безусловно
- 1,644 replies
-
- 1
-
Перенаправление днс запрсов с подсетей впн сервера или гостевой сети: iptables -w -t nat -A PREROUTING -p udp -d 10.8.3.1 --dport 53 -j DNAT --to 192.168.1.1:53 Где 10.8.3.1 - шлюз (обычно и днс сервер) гостевой сети (или впн сервера, к которому подключаются клиенты извне). 192.168.1.1 - шлюз интерефейса br0 на котором висит dnsmasq. Если dnsmasq слушает порт, отличный от стандартного 53, в адресе после DNAT порт тоже надо скорректировать. Далее разрешаем хождение пакетов из гостевой сети в впн сеть, используемую для обхода (в нашем примере это будет nwg0) iptables -w -t nat -A POSTROUTING -s 10.8.3.0/24 -o nwg0 -j MASQUERADE 10.8.3.0/24 - это как можно догадаться гостевая подсеть или подсеть впн сервера, используемого клиентскими устройствами. Ну и не забыть из правил маркировки траффика убрать условие ! -s "${INFACE_GUEST_GW4}" Пробуйте.
- 1,644 replies
-
- 2
-
Спасибо, вижу вы включили в проект некоторые мои наработки, это льстит) Только вот смущает этот коммент: Думается Вы не совсем правильно поняли смысл условия ! -s "${INFACE_GUEST_GW4}" Оно наоборот, исключает маркировку всех соединений (а второе правило пакетов), где адресом источника выступает гостевая подсеть. С тем, чтобы не вмешиваться в их работу. Если стоит задача организавать выборочный роутинг в гостевой сети или клиентов впн подключения, развернутого на роутере, то для этого в первую очередь необходимо организовать перенаправление (с помощью DNAT) всех днс запрсов от клиентов этих подсетей в dnsmasq, для пополнения списков ipset. Дальше нужно разрешить хождение пакетов между гостевой подсетью (или подсетью vpn сервера на роутере, в которую попадают клиенты при подключении извне) и vpn подключением, которое используется для обхода блокировок. Делается через раздел "межсетевой экран" веб морды. Или можно попробовать с помощью iptables (SNAT или MASQUERADE). И конечно для гостевой сети из правил выше надо убрать условие -s "${INFACE_GUEST_GW4}" иначе маркировка исходящего из гостевой сети траффика производиться не будет. Гарантии, что подобная конструкция окажется совместима с сетевыми ускорителями нет, надо пробовать....
- 1,644 replies
-
- 1