nikomx
-
Posts
7 -
Joined
-
Last visited
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by nikomx
-
-
2 часа назад, vasek00 сказал:
Об одной единственной команде которую нужна для всего этого ее в WEB cli не прописать. Об этом было сказано в моем самом первом посту
В настоящее время одну единственную команду приходиться вводить через Entware - "ip rule add"
Выход из этого самый простой у вас KN1910 на нем легко ставится Entware во внутреннюю память пример с KN1910 ниже
Спасибо Вам большое за терпение и отзывчивость. Простите мое скудоумие в данном вопросе.
У меня все получилось, работает!
Осталось немного дошлифовать все до идеала.
Проверив, я выяснил, что у меня всего 2 таблицы, 42 и 43 на роутере. 43 как раз с нужным шлюзом, и я прописал маршрут в 43 таблицу, но так же в неё попали почему-то маршруты созданные ранее через web интерфейс, в том числе и openVPN маршруты до моей работы, не хотелось бы что бы они работали для клиентов WG сервера.
Поэтому, подскажите еще, пожалуйста, какой командой можно создать пустую таблицу маршрутизации и прописать основной шлюз в ней nwg2? (что бы затем в неё добавить маршрут для клиентов WG сервера)
Ну и следовательно как удалить прописанный ранее маршрут в 43 таблицу? -
8 минут назад, vasek00 сказал:
Хорошо можно проще.
1. Wireguard клиент уже настроен и работает.
2. Wireguard сервер для удаленных клиентов поднят (нужен белый IP если нет то например SSTP)
3. Создать профиль и поместить в него канал п.1
4. Прописать одну команду для клиента из п.2
1. Да, клиента настроен и работает давно, к нему вопросов нет. Настройки интерфейса есть выше. Он называется WARP
2. Настроен, но судя по всему как-то не правильно. Я подключаюсь со смартфона, но почему-то пинги до ip сервера WG со смартфона то идут, то не идут. И в любом случае кроме пингов никуда доступа нет, ни к домашней сети ни в интернет. Провайдера у меня два, оба с белыми ip.
3. Канал из п1 я положил в профиль под названием немеция, если мы говорим про профили в приоритетах подключения. В этот профиль добавил гостевую сеть (в ней все равно никого пока нет)
4. О какой еще команде идет речь? Её можно прописать из WEB Cli интерфейса? Можете пожалуйста поподробнее этот пункт объяснить, буду очень благодарен )
-
24 минуты назад, nikomx сказал:
На том, перед тем как прописать, я это проверил через команду show interface.
Но спасибо за версию)
может это как-то поможет?
"Wireguard0": {
"id": "Wireguard0",
"index": 0,
"interface-name": "Wireguard0",
"type": "Wireguard",
"description": "WG-S",
"traits": [
"Ip",
"Wireguard"
],
"link": "down",
"connected": "no",
"state": "up",
"mtu": 1280,
"tx-queue-length": 50,
"address": "172.16.82.1",
"mask": "255.255.255.255",
"uptime": 246,
"global": false,
"security-level": "private",
"wireguard": {
"public-key": "4iYxjfTD.............Kbd0o=",
"listen-port": *****,
"status": "up",
"peer": [
{
"public-key": "Cge4g9L.............iuk3AgI=",
"local": "10.195.30.225",
"local-port": *****,
"via": "Wireguard2",
"remote": "172.16.82.7",
"remote-port": 0,
"rxbytes": 39704,
"txbytes": 2556,
"last-handshake": 210,
"online": false
}
]
}
},
"Wireguard2": {
"id": "Wireguard2",
"index": 2,
"interface-name": "Wireguard2",
"type": "Wireguard",
"description": "WARP",
"traits": [
"Ip",
"Wireguard"
],
"link": "up",
"connected": "yes",
"state": "up",
"mtu": 1324,
"tx-queue-length": 50,
"address": "10.195.30.225",
"mask": "255.192.0.0",
"uptime": 2135,
"global": true,
"defaultgw": false,
"priority": 32766,
"security-level": "public",
"wireguard": {
"public-key": "n+wrnC............IwYRiA=",
"listen-port": 4****,
"status": "up",
"peer": [
{
"public-key": "dG0Ss......../gNk8=",
"local": "8*.***.***.**2",
"local-port": 4****,
"via": "PPPoE0",
"remote": "1**.***.***.**0",
"remote-port": 6****,
"rxbytes": 17159964,
"txbytes": 604356,
"last-handshake": 120,
"online": true
}
]
}
}
},
"prompt": "(config)"
} -
2 часа назад, vasek00 сказал:
Где в нескольких местах уже описывал вариант как удаленного клиента завернуть в VPN канал для выхода в интернет. Опишу еще раз может что-то вам подойдет, вариант на базе профилей так как не хорошо когда все в основном профиле, легко запутаться.
1. На роутере есть поднят WARP (у вас WireGuard до сервера в Германии), можно в место WARP заменить на WireGuard до сервера в Нидерландах роли не играет.
2. Создан профиль WARP и в нем только один канал WG активен (ремарка для данного профиля маркировка пакетов будет только тогда и тогда когда появиться живой клиент в данном профиле, т.е. не помещен в него через WEB а когда сработает arp на нем и он будет добавлен в таблицу arp, но нам маркировка не нужна а нужна таблица для данного профиля а она будет создана table)
3. Так как белый адрес на роутер то поднят сервер WG (хотя так же описывал когда и серый и поднят SSTP сервер и подключается клиент) роли не играет.
4. На клиенте смартофоне поднят WG или для SSTP Max (привязка user к IP)
5. После того как все будет настроено, клиент может спокойно подключиться то на что стоит обратить внимание :
- по умолчанию для данного клиента будет маршрутизация через основной прояфиль (т.е. default маршрут для данного профиля согласно приоритетам и галкам на нужных интерфейсах на странице WEB)
- для созданного профиля будет созданна своя таблица маршрутизации и в которой будет свой deafult на нужный интерфейс, в данном случае это п.2
6. Теперь осталось завернуть данного клиента смартфон п.4 в данную таблицу маршрутизации.
- по умолчанию в ПО роутера первый профиль получает номер table 42, следующий 43, следующий 44 и т.д.
- в данном случае WARP профиль имеет table 42
- поместить смартфон в нужную table 42
Клиент удаленно подключился по WG к роутеру 10.16.130.6 dev nwg3 scope link Для него пока существует профиль по умолчанию основной ~ # ip ro default dev ppp0 scope link ...10.16.130.0/24 dev nwg3 proto kernel scope link src 10.16.130.101 10.16.130.6 dev nwg3 scope link ... т.е. выход для него через провайдера ppp0, легко проверяеться speedtest - адрес будет стоять от интерфеса ppp0 Сменим ему выход на наш профиль WARP в котором ~ # ip ro show table 42 default dev nwg0 scope link ... выполнив команду ip rule add from 10.16.130.6 table 42 выход для него теперь через профиль WARP, легко проверяеться speedtest - адрес будет стоять от интерфеса ppp0
При отключение данного клиента и заново подключение все так же работает.
В настоящее время одну единственную команду приходиться вводить через Entware - "ip rule add"
Сервер WG на роутере и два клиента на нем access-list _WEBADMIN_Wireguard3 permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 permit description WG auto-delete interface Wireguard3 description WG security-level private ip address 10.16.130.101 255.255.255.0 - сервер WG ip mtu 1324 ip access-group _WEBADMIN_Wireguard3 in ip global 6553 ip tcp adjust-mss pmtu wireguard listen-port хххх wireguard peer Z8c......DMdnbTY= !AAA endpoint 10.16.130.6:хххх keepalive-interval 30 allow-ips 10.16.130.6 255.255.255.255 - клиент allow-ips 192.168.130.0 255.255.255.0 - сеть роутера allow-ips 0.0.0.0 0.0.0.0 - все ! wireguard peer y09.....gQjHJMCA= !TTT endpoint 10.16.130.18:xxxx keepalive-interval 30 allow-ips 10.16.130.0 255.255.255.0 allow-ips 192.168.130.0 255.255.255.0 allow-ips 0.0.0.0 0.0.0.0 ! up isolate-private Сам WARP interface Wireguard0 description Cloud-warp security-level public ... access-list _WEBADMIN_Wireguard0 permit udp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 permit description Warp-UDP permit tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 permit description Warp-TCP
Я, к сожалению, почти ничего не понял из вышесказанного. Тяжелый слог для меня.
-
2 минуты назад, Denis P сказал:
Скорее всего не на том интерфейсе ip nat прописан.
На том, перед тем как прописать, я это проверил через команду show interface.
Но спасибо за версию)
-
Добрый день!
1. На моем keenetic viva 1910 есть рабочий VPN туннель WireGuard до сервера в Германии, прописаны некоторые маршруты что бы определённый трафик шел через этот туннель. Мой кинетик выступает клиентом в данном случае.
2. Теперь мне нужно поднять WG сервер на этом же кинетике, подключить к нему несколько смартфонов, и заставить весь их трафик идти через туннель WG из первого пункта, без доступа к домашней сети.
Сервер я создал, сделал тестовый пир, соединение успешно, обмены килобайтами пошли, но после подключения на смартфоне есть доступ только к домашней сети, а в интернет доступа нет. А хотелось в точности наоборот)
немного сведений о настройках:
в интерфейсе сервера WG - DNSы я указал (8.8.8.8, 1.1.1.1)
в настройках пира на сервере WG в разрешённых подсетях я указал 0.0.0.0/0
в интерфейсе клиента WG на смартфоне DNSы я указал (8.8.8.8, 1.1.1.1)
в настройках пира клиента WG на смартфоне в разрешённых подсетях я указал 0.0.0.0/0
в Web Cli кинетика следующие команды я выполнил:
interface Wireguard0 security-level private
ip nat Wireguard0
system configuration saveвыполнились корректно и без ошибок.
Для пущей надежности в межсетевом экране кинетика, для интерфейса WG сервера я разрешил все TCP любых портов и назначений.
Что я делаю не так? Или такая схема невозможна?
PS перед этим экспериментом я сначала настроил IKEv2 vpn сервер, подключился с мобилки, и получил примерно то, что хотел: интернет есть, маршрутизация работает, все ок. Но мне хочется настроить именно WG сервер, потому что он умеет удобно настраиваться на мобилках по QR коду, а не вручную.
ownCloud - строим личное облачное хранилище
in Каталог готовых решений Opkg
Posted · Edited by nikomx
В репозитории OPKG Entware keenetic больше нет php7, там только 8. А owncloud поддерживает максимум 7.4. + так же нет mod-json вообще никакого. Получается что тема умерла? Или есть варианты все таки?