Jump to content
Rand S

Помогите поднять VPN по новой сверхбыстрой технологии WireGuard

Recommended Posts

Кто уже знает или готов вместе со мной разбираться как с помощью OpenWRT загрузить конфигурации для протокола WireGuard на роутер и создать VPV? Вся информация есть на сайтах https://tunsafe.com/  и https://www.azirevpn.com/  Но вот как эти конфигурации превратить в сценарий  initrc или туда встроить (я никогда этим не занимался и поэтому не знаю как правильно) и затем загрузить через Менеджер пакетов OPKG в роутер, чтобы они работали не представляю. Этот протокол дает скорость невероятную и почти не ест ресурсов использую его и на ПК и на андроиде, но очень хочется запустить через роутер. Прошу всех кому интересно подключиться к данной теме. Всем спасибо.

Share this post


Link to post
Share on other sites

Оста́вь наде́жду, вся́к сюда́ входя́щий (итал. Lasciate ogni speranza, voi ch’entrate - (С) Данте!

Чужие пакеты не подойдут, нужно собирать свои, это документировано в Entware(wiki). Но!!! - нужны модули ядра, которые могут собрать только разработчики прошивки. Без этого никак!

  • Upvote 1

Share this post


Link to post
Share on other sites

Wireguard официально поддерживает работу с Linux kernel версий 3.10 и выше. У нас же используется ядро 3.4. Потому если вы (или кто-то еще) портируете ядерную часть на ядро 3.4, мы с удовольствием ее включим.

  • Upvote 1

Share this post


Link to post
Share on other sites

Но должен же быть здесь хоть один человек, кто знает как это сделать., Никогда не поверю, что таких  здесь нет! Это же сверх скоростной и безопасный доступ в сеть. Грамосткий OpenVPN же прикрутили на этот роутер, а у нового протокола, код всего пару строк, ни уж-то никак? А если написать, чтобы в официальную прошивку добавили поддержку данного протокола, это возможно?

Edited by Rand S
Орфографическая ошибка

Share this post


Link to post
Share on other sites
1 час назад, Rand S сказал:

Это же сверх скоростной и безопасный доступ в сеть.

Сверхскоростных и безопасных VPN'ов существует больше, чем тем на здешнем форуме. За всеми не угонишься.

Придётся подыскать другой тип VPN.

Share this post


Link to post
Share on other sites
В 12.07.2018 в 12:26, Le ecureuil сказал:

Wireguard официально поддерживает работу с Linux kernel версий 3.10 и выше. У нас же используется ядро 3.4. Потому если вы (или кто-то еще) портируете ядерную часть на ядро 3.4, мы с удовольствием ее включим.

Получается, о WireguardVPN мы можем не мечтать? И у вас не как получится поднять версию ядра? Врят ли кто-то из нас, простых пользователей запилит бэкпорт, там может быть зависимостей тьма тьмущая, хотя...

Share this post


Link to post
Share on other sites
16 минут назад, Sergey Zozulya сказал:

Просто новость в тему - https://www.opennet.ru/opennews/art.shtml?num=49064

Вы прямо как мысли читаете. Я когда заканчивал предложение словами хотя... как раз хотел про эту новость сюда упомянуть. Тем не менее, это не значит, что бэкпортнуть этот код в 3.4 будет теперь легче.

Share this post


Link to post
Share on other sites

Моего энтузиазма мало, чтобы тащить это к нам. Это непросто, там крипточасть как раз самая беспроблемная. Основные вопросы начинаются в области взаимодействия с сетевой подсистемой ядра, которая далеко ушла вперед с 2011 года.

А массового спроса со стороны пользоваталей мы пока не видим.

Share this post


Link to post
Share on other sites
2 часа назад, Le ecureuil сказал:

Основные вопросы начинаются в области взаимодействия с сетевой подсистемой ядра, которая далеко ушла вперед с 2011 года.

А массового спроса со стороны пользоваталей мы пока не видим. 

Почему-то я так и подумал.

Насчет массового спроса пользователей, логично, что его нет. Все популярные сервисы VPN и не очень популярные не предлагают такого способа подключения. Я знаю всего 2 сервиса, которые позволяют так подключаться. Так что да, пока это не станет популярно, наверно нет смысла это пилить. Может, через пару лет? Действительно разумно уделить внимание чему-то более важному.

Edited by gzer231

Share this post


Link to post
Share on other sites

https://forum.keenetic.net/topic/6417-журнал-изменений-300-и-31/?do=findComment&comment=78233

Цитата

Opkg: добавлены модули ядра для поддержки Wireguard

DSL (KN-2010), DUO (KN-2110):

wireguard_0.0.20190601-1_mips-3.4.ipk  wireguard-tools_0.0.20190601-1_mips-3.4.ipk

остальные:

wireguard_0.0.20190601-1_mipsel-3.4.ipk  wireguard-tools_0.0.20190601-1_mipsel-3.4.ipk

собрано из того, что есть )))

BusyBox v1.30.1 () built-in shell (ash)

~ # ifconfig wg0
wg0       Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:192.168.1.1  P-t-P:192.168.1.1  Mask:255.255.255.0
          POINTOPOINT NOARP  MTU:1420  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

~ # wg
interface: wg0
  public key: 1234567890ABCDEF
  private key: (hidden)
  listening port: 12345

peer: FEDCBA0987654321
  endpoint: 1.2.3.4:1234
  allowed ips: 192.168.1.0/24
~ # 

 

  • Thanks 4

Share this post


Link to post
Share on other sites
2 часа назад, TheBB сказал:

собрано из того, что есть

но очень оперативно! 👍

Share this post


Link to post
Share on other sites

Ну чтож, как минимум 100 Mbit/s wireguard на KN-1910 прокачивает, навереяка и больше будет, 

100 - ограничение моей тестовой VPS

8353391898.png

Edited by r13
  • Thanks 3

Share this post


Link to post
Share on other sites

MT7628 в лице Extra2 смог выдавить вот столько:

8360601256.png

  • Thanks 2

Share this post


Link to post
Share on other sites
В 23.06.2019 в 20:54, r13 сказал:

MT7628 в лице Extra2 смог выдавить вот столько:

8360601256.png

Для 7628 очень неплохо.

Share this post


Link to post
Share on other sites
2 часа назад, Le ecureuil сказал:

Для 7628 очень неплохо. 

С учетом что на нем же L2TP/IPSec выдает 35 Мегабит, не так уж этот сверхбыстрый и быстрее на кинетике 😁

Edited by r13

Share this post


Link to post
Share on other sites

Только для IPsec AES считается аппаратно, а тут все чисто программно. Если выключить аппаратный IPsec на 7628, то станет заметнее. :)

Share this post


Link to post
Share on other sites

@r13  Вы не могли бы подсказать как вы wireguard настраивали? Opkg Kernel modules for Wireguard support установлен и что надо делать дальше? Я на ноутбуке вставляю в  /etc/wireguard/wg0.conf конфиг клиента, делаю wg-quick down wg0 && wg-quick up wg0 и всё работает. А на роутере как? Поиск в http://files.keenopt.ru/cli_manual/KN-1910_Viva/2019-07-12/cli_manual_kn-1910.pdf по wireguard ничего мне не нашел

Edited by El Ruso

Share this post


Link to post
Share on other sites

@Le ecureuil Подскажите, а через cli можно добавить wireguard только к одному профилю доступа, как, например, я могу сделать через UI для встроенного  OpenVPN клиента?

Edited by El Ruso

Share this post


Link to post
Share on other sites
6 часов назад, El Ruso сказал:

@r13  Вы не могли бы подсказать как вы wireguard настраивали? Opkg Kernel modules for Wireguard support установлен и что надо делать дальше? Я на ноутбуке вставляю в  /etc/wireguard/wg0.conf конфиг клиента, делаю wg-quick down wg0 && wg-quick up wg0 и всё работает. А на роутере как? Поиск в http://files.keenopt.ru/cli_manual/KN-1910_Viva/2019-07-12/cli_manual_kn-1910.pdf по wireguard ничего мне не нашел

В opkg нет wg-quick поэтому все делать ручками. Вечером скину конфиги как настраивал. 

ЗЫ В мануале он появится не раньше чем станет частью прошивки, а не пакетом в opkg

Edited by r13
  • Thanks 1

Share this post


Link to post
Share on other sites

Вариант для клиентского конфига:

/opt/etc/wireguard/wg0.conf

[Interface]
PrivateKey = {BlaBlaBla}
ListenPort = 51820
[Peer]
PublicKey = {BlaBlaBla}
AllowedIPs = 0.0.0.0/0
Endpoint = {ServerIP:Port}
PersistentKeepalive = 120

/opt/etc/wireguard/wg-up

#!/bin/sh

insmod /lib/modules/4.9-ndm-2/wireguard.ko 2>/dev/null

ip link del dev wg0 2>/dev/null
ip link add dev wg0 type wireguard
wg setconf wg0 /opt/etc/wireguard/wg0.conf
ip address add dev wg0 {IntefaceIP/Mask}
ip link set up dev wg0
ifconfig wg0 mtu 1420
ifconfig wg0 txqueuelen 1000
iptables -A FORWARD -o wg0 -j ACCEPT
iptables -A OUTPUT -o wg0  -j ACCEPT
iptables -t nat -I POSTROUTING -o wg0 -j MASQUERADE

/opt/etc/wireguard/wg-down

#!/bin/sh

ip link del dev wg0 2>/dev/null

/opt/etc/init.d/S01wireguard

#!/bin/sh

PATH=/opt/sbin:/opt/bin:/opt/usr/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/u

case $1 in
        start)
                logger "Starting WireGuard service."
                /opt/etc/wireguard/wg-up
        ;;
        stop)
                /opt/etc/wireguard/wg-down
        ;;
        restart)
                logger "Restarting WireGuard service."
                /opt/etc/wireguard/wg-down
                sleep 2
                /opt/etc/wireguard/wg-up
        ;;
        *)
        echo "Usage: $0 {start|stop|restart}"
        ;;
esac

В первых двух скриптах подставить  свои ключи и IP адреса

Далее настроить маршрутизацию по вкусу и настроить хуки netfilter для восстановления правил на кинетике

  • Thanks 3

Share this post


Link to post
Share on other sites

Wireguard на VIVA KN-1910 вполне шустр :)

8504788524.png

  • Upvote 1

Share this post


Link to post
Share on other sites

Планируется ли нативная поддержка?) Очень хотелось бы. OpenVPN тормоз.

  • Upvote 1

Share this post


Link to post
Share on other sites
2 часа назад, NeedWIFI сказал:

Планируется ли нативная поддержка?) Очень хотелось бы. OpenVPN тормоз.

По всей видимости нет! Пользуйте иные VPN-ы...

  • Upvote 1

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...