Jump to content
  • 0
vasek00

Wireguard и опция выхода в интернет для смены default маршрута

Question

 

Скрытый текст




interface PPPoE0
    description RT
    role inet
...

    ip global 61481
    ip tcp adjust-mss pmtu
    connect via ISP
    up


interface Wireguard0
    description g.....ug
    security-level public
    ip address 10.16.131.97 255.255.255.0
    ip mtu 1420
    ip access-group _WEBADMIN_Wireguard0 in
    ip global 14357 #галка выхода в интернет
    ip tcp adjust-mss pmtu
    wireguard listen-port ххх01
    wireguard peer z7xO............................vo82E8= !ug
        endpoint 1хх.ххх.ххх.хх6:ххх01
        keepalive-interval 30
        allow-ips 10.16.131.0 255.255.255.0 #сеть туннеля с маской 24
        allow-ips 192.168.1.0 255.255.255.0 #удаленная сеть с маской 24


default dev ppp0  scope link
10.16.131.0/24 dev nwg0  proto kernel  scope link  src 10.16.131.97
1хх.ххх.ххх.хх6 dev ppp0  scope link #endpoint 
192.168.1.0/24 dev nwg0  scope link #добавляется через маршрутизацию описанную в WEB
192.168.130.0/24 dev br0  proto kernel  scope link  src 192.168.130.97

Другой вариант настройки с wg где в "allow-ips" поле 0.0.0.0
 






interface Wireguard2
    description Cloud
    security-level public
    ip address 172.16.200.хх2 255.255.255.255
    ip mtu 1420
    ip access-group _WEBADMIN_Wireguard2 in
    ip global 28714
    ip tcp adjust-mss pmtu
    wireguard peer OC.......gyo= !warp
        endpoint 1хх.ххх.ххх.хх4:ххх08
        keepalive-interval 15
        allow-ips 0.0.0.0 0.0.0.0
        allow-ips 172.16.200.0 255.255.255.0

default dev ppp0  scope link
1х9.ххх.ххх.1 dev ppp0  proto kernel  scope link  src 1х9.ххх.ххх.6 #канал интернета
1хх.ххх.ххх.хх4 dev ppp0  scope link #endpoint
192.168.130.0/24 dev br0  proto kernel  scope link  src 192.168.130.97

 

При настройке в Windows WG (что выше wg2) данное поле "allow-ips" поле 0.0.0.0

   DNS-суффикс подключения . . . . . :
   IPv6-адрес. . . . . . . . . . . . : fd01:........:540a
   IPv4-адрес. . . . . . . . . . . . : 172.16.200.2
   Маска подсети . . . . . . . . . . : 255.255.255.255
   Основной шлюз. . . . . . . . . : ::
                                       0.0.0.0

Адаптер Ethernet Ethernet:

   DNS-суффикс подключения . . . . . :
   Локальный IPv6-адрес канала . . . : fe80::........12
   IPv4-адрес. . . . . . . . . . . . : 192.168.130.2
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Основной шлюз. . . . . . . . . : 192.168.130.97

 

 33...........................WireGuard Tunnel #2
 12...70 ...... e2 ......Realtek PCIe GbE Family Controller
  1...........................Software Loopback Interface 1
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0   192.168.130.97    192.168.130.2    281
          0.0.0.0          0.0.0.0         On-link        172.16.200.2      0

....

Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
          0.0.0.0          0.0.0.0   192.168.130.97  По умолчанию
===========================================================================

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
 Метрика   Сетевой адрес            Шлюз
 33      0 ::/0                     On-link

....

 

ПО 3.6.8 установлен WG с настройками которые выше. Вопрос по действию данного поля в WEB - "Использовать для входа в Интернет" что должно быть при ее установке, в обоих случаях как был default на ppp0 так и оставался.

Edited by vasek00

Share this post


Link to post
Share on other sites

11 answers to this question

Recommended Posts

  • 0

Нужно снять эту галку тогда, то есть удалить ip global. Или вопрос в другом?

Share this post


Link to post
Share on other sites
  • 0
1 час назад, Le ecureuil сказал:

Нужно снять эту галку тогда, то есть удалить ip global. Или вопрос в другом?

При установленной  галке доб. переменная global но ее значение меньше текущего канала ( в примере выше). Вопрос как сделать данный канал default.

Share this post


Link to post
Share on other sites
  • 0
37 минут назад, vasek00 сказал:

При установленной  галке доб. переменная global но ее значение меньше текущего канала ( в примере выше). Вопрос как сделать данный канал default.

Поднять приоритет в приоритетах подключений.

Share this post


Link to post
Share on other sites
  • 0
19 часов назад, r13 сказал:

Поднять приоритет в приоритетах подключений.

После подъема PPPoE нужно например включить WG, так чтоб ПК в локальной сети через канал  Wireguard2 мог выходить в интернет (Можно конечно и на ПК WG запустить, но как говориться мы легких путей не ищем).

Или другой вариант две удаленные точки (К1 и K2) одного провайдера на PPPoE (или даже не одного провайдера не столь важно) через роутеры соединены через WG где на одном стоит так же галка ""Использовать для входа в Интернет" т.е. клиенты лок сети K2 через данный канал WG который приведет на другой роутер должны получить выход в интернет данного K1 роутера. Но в итоге нужно городить "городушки" согласно https://help.keenetic.com/hc/ru/articles/360010551419-Доступ-в-Интернет-через-WireGuard-туннель .

 

В итоге завернул трафик в WG. Но если это надо временно (вкл.выкл) то это кончено круто, после настройки например включить на пол дня потом выключить и т.д.

Цитата



access-list _WEBADMIN_Wireguard2
    permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
    permit description Cloud-IP
    permit ip 0.0.0.0 0.0.0.0 192.168.130.0 255.255.255.0
    permit description Cloud-local


interface Wireguard2
    description Cloud
    security-level private
    ip address 172.16.20.2 255.255.255.255
    ip mtu 1420
    ip access-group _WEBADMIN_Wireguard2 in
    ip global 28714
    ip tcp adjust-mss pmtu
    wireguard peer b.....fgyo= !Cloud
        endpoint 1хх.ххх.ххх.хх4:ххх08
        keepalive-interval 900
        allow-ips 0.0.0.0 0.0.0.0 
        allow-ips 172.16.20.0 255.255.255.0
    !
    up

ip name-server 1.1.1.1 "" on Wireguard2 

ip policy Policy0
    description Inet-2
    permit global Wireguard2
    no permit global PPTP0
    no permit global PPPoE0

ip nat Wireguard2 

    host 70:хх:хх:хх:хх:e2 permit
    host 70:хх:хх:хх:хх:e2 policy Policy0
Скрытый текст

776851829_-4.thumb.jpg.dc6b0f4645c8e71665eb6aaa21b4dda4.jpg

 

Edited by vasek00

Share this post


Link to post
Share on other sites
  • 0

Cегодня результата ни какого, т.е. с теми же настройками что и вчера работать не получилось. Включаю wg, далее клиента в профиль и результат ноль.

 

 

Share this post


Link to post
Share on other sites
  • 0

Попытка №2 опять удачна, но чуток по другому.

Для задачи по использованию Cloudflare WARP - "Cloudflare представила собственный VPN-сервис на базе Wireguard" (в интернете много уже расписано) как для Windows/Android/Openwrt

Данные которые нужны

Скрытый текст

PublicKey = bmXOC+F1FxEMF9dyiK2H5/1SUtzH0JuVo51h2wPfgyo=
Endpoint = engage.cloudflareclient.com:2408
# Endpoint = 162.159.192.4:2408
# Endpoint = [2606:4700:d0::a29f:c004]:2408

PublicKey - не менять

Делаем настройку (все через WEB)

1. Другие подключения -> Wireguard -> Добавить подключение

Скрытый текст

interface Wireguard2
    description warp
    security-level public
    ip address 10.10.10.2 255.255.255.255
    ip access-group _WEBADMIN_Wireguard2 in
    ip global 7178
    ip tcp adjust-mss pmtu
    wireguard peer bmXOC+F1FxEMF9dyiK2H5/1SUtzH0JuVo51h2wPfgyo= !cloudwarp
        endpoint engage.cloudflareclient.com:2408
        keepalive-interval 30
        allow-ips 0.0.0.0 0.0.0.0
        allow-ips 10.10.10.0 255.255.255.0
    !
    up

1. Wireguard2 - имя назначенное системой, в данном случае текущий номер 3, так как уже есть Wireguard0, Wireguard1 новый как раз и будет Wireguard2

2. description warp - придуманное название "warp"

3. ip address 10.10.10.2 255.255.255.255 - IP адрес сети (любой который нравиться), с маской 32, 10.10.10.2/32

4. ip access-group _WEBADMIN_Wireguard2 in - правила для сетевого интерфейса "_WEBADMIN_Wireguard2" на "in" (вход). Создаются из WEB после (Межсетевой экран для выбранного интерфейса с именем "warp")

5. ip global 27008 - галка на параметре "Использовать для входа в Интернет"

6. ip tcp adjust-mss pmtu - галка в дополнительных параметрах "Подстройка TCP MSS"

7. wireguard peer bmXOC+F1FxEMF9dyiK2H5/1SUtzH0JuVo51h2wPfgyo=

8. endpoint engage.cloudflareclient.com:2408 - точка подключения

9. keepalive-interval 30 - "Проверка активности" любой параметр

10.  allow-ips 0.0.0.0 0.0.0.0
        allow-ips 10.10.10.0 255.255.255.0 - разрешенные сети, 0.0.0.0/0

11.DNS - в данное поле добавить сервер DNS например 1.1.1.1 по конфигу строка будет


ip name-server 1.1.1.1 "" on Wireguard2

По п.4 на странице "Межсетевой экран" выбираем интерфейс с именем "warp"

1. Включить

2. Имя - Cloud-local (любое)

3. Любой

4. Любой

5. IP

6. Конец текущая позиция

7. Работать постоянно

По конф строка будет


access-list _WEBADMIN_Wireguard2
    permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
    permit description Cloud-local

Создать профиль для нового интерфейса - "Приоритеты подключени"

1. Создать профиль с любым именем например "Inet-cloud"

2. Поставить галку на интерфейсе "warp" и поднять можно вверх (мышкой на три точки и вверх)

3. Привязка устройства к профилю, выбрать клиента и переместить его в данный профиль с именем по п.1 (в данном случае "Inet-cloud")

По конф файлу имеем


ip policy Policy0
    description Inet-cloud
    permit global Wireguard2
    no permit global PPTP0
    no permit global PPPoE0


В разделе по hotspot для данного клиента
ip hotspot
...
    host 70:хх:хх:хх:хх:хх permit
    host 70:хх:хх:хх:хх:хх policy Policy0

 

Как итог при канале 100Мбит, выжимает все 100

Скрытый текст

1823391141_-3.thumb.jpg.4fe5665740393372e20cf83c0baeccfc.jpg1347957543_-4.thumb.jpg.c00d29c98e99f4ba368a3b51ab170154.jpg196961203_-5.jpg.2635b099df2e3243eab9ba843f100b2f.jpg

Для проверки скорости

точка 1 - запущен торрент на ПК, который в профиле для данного wg2

точка 2 - остановлен торрент и скачка через WEB с yandex.диск

точка 3 - опять запущен торрент на ПК.

В итоге прокачено через данный интерфейс около 10GБ

 

/ # ifconfig nwg2
nwg2      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:10.10.10.2  P-t-P:10.10.10.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP  MTU:1324  Metric:1
          RX packets:7760953 errors:0 dropped:0 overruns:0 frame:0
          TX packets:6204136 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:50
          RX bytes:10254466538 (9.5 GiB)  TX bytes:767821396 (732.2 MiB)

/ #

База знаний для настройки WG в примерах https://help.keenetic.com/hc/ru/articles/360010551419-Доступ-в-Интернет-через-WireGuard-туннель

Share this post


Link to post
Share on other sites
  • 0

В принципе вот проект по регистрации учетки WARP(WARP+ если пользуетесь) и генерации конфига для wg(из него только для кинетиков надо ipv6 вычищать)

https://github.com/ViRb3/cloudflare-warp-wireguard-client

Share this post


Link to post
Share on other sites
  • 0
21 час назад, r13 сказал:

В принципе вот проект по регистрации учетки WARP(WARP+ если пользуетесь) и генерации конфига для wg(из него только для кинетиков надо ipv6 вычищать)

https://github.com/ViRb3/cloudflare-warp-wireguard-client

При установки на Keenetic и WG нужно только :

PublicKey = bmXOC+F1FxEMF9dyiK2H5/1SUtzH0JuVo51h2wPfgyo=
Endpoint = engage.cloudflareclient.com:2408
AllowedIPs = 0.0.0.0/0

или если будут проблемы с мнемоникой то 

Endpoint : 162.159.192.4 или 162.159.192.1 или 162.159.192.7
Endpoint : [2606:4700:d0::a29f:c004] или [2606:4700:d0::a29f:c007]

 

Share this post


Link to post
Share on other sites
  • 0

Получилось привязать AdGuardHome и Cloudflare warp в части DNS адреса.

AdGuardHome настроен на роутере и весит на 53 порту при

Скрытый текст

opkg dns-override


/ # netstat -ntulp | grep :53
tcp        0      0 192.168.130.97:53       0.0.0.0:*               LISTEN      11688/AdGuardHome
udp        0      0 192.168.130.97:53       0.0.0.0:*                           11688/AdGuardHome
/ # 

Конф AdGuard

bind_host: 192.168.130.97
bind_port: 8981

dns:
  bind_host: 192.168.130.97
  port: 53

  upstream_dns:
  - tls://1dot1dot1dot1.cloudflare-dns.com
  - tls://dns.google.com
  - tls://ххххххх.dns.nextdns.io



default dev ppp0  scope link 
1хх.ххх.ххх.1 dev ppp0  proto kernel  scope link  src IP_PPPoE_Inet
...

в итоге AdguardHome согласно default маршрута и активной записи (в данный момент получилось) tls://ххххххх.dns.nextdns.io (легко посмотреть активную запись запустив tcpdump -i ppp0) где -i ppp0 интерфейс выхода в интернет, там будут запросы типа



10:12:50.297035 IP dns1.nextdns.io.853 > IP_PPPoE_Inet.50380: Flags [P.], seq 1:25, ack 1, win 630, options [nop,nop,TS val 1914472769 ecr 149793539], length 24
10:12:50.297259 IP IP_PPPoE_Inet.50380 > dns1.nextdns.io.853: Flags [.], ack 25, win 589, options [nop,nop,TS val 149797235 ecr 1914472769], length 0

 

В итоге AdguardHome -> ppp0 -> tls://ххххххх.dns.nextdns.io

При настройке Wireguard для Coudflare warp нужно указать DNS например 1.1.1.1, т.е. запрос DNS должны идти на 1.1.1.1 но хотелось бы завернуть на AdguardHome (с его фильтрацией по блокировке рекламы), так как он весит на 192.168.130.97 то прописываем в данном поле данный адрес в итоге получаем запись

ip name-server 192.168.130.97 "" on Wireguard2
Скрытый текст

196180686_-1.jpg.79c207ce9921b12760cd79461975f16f.jpg

 

т.е. все встает как надо, хотя если на данной странице WEB это вводить то записать не даст, но тем не менее то что нам нужно.

В итоге при перетаскивание клиента в профиль для Coudflare warp все работает, запросы идут на нужный DNS по ppp0 каналу интернета минуя nwg2, а сами данные идут куда надо nwg2.

Скрытый текст

1460385394_-3.thumb.jpg.8610b414a453fbb1740dbd915a741868.jpg1980532352_-4.jpg.be465567993249d26f95d9c12b814358.jpg

 

 

Edited by vasek00

Share this post


Link to post
Share on other sites
  • 0

Ну что можно сказать несколько дней работы на WG для Coudflare warp проблем нет, как и разрывов. 👍

Share this post


Link to post
Share on other sites
  • 0

Второй вариант запуска если Keenetic подключен в качестве второго роутера но по LAN сети.

 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...