Jump to content
  • 1
koshak

Подключение Wireguard

Question

импортнул заведомо рабочий конфиг, соединения с дальним концом не происходит

 

(config)> show interface Wireguard0

               id: Wireguard0
            index: 0
             type: Wireguard
      description: fin_wg9
   interface-name: Wireguard0
             link: down
        connected: no
            state: up
              mtu: 1420
         tx-queue: 50
          address: 10.9.0.11
             mask: 255.255.255.0
           uptime: 267
           global: yes
        defaultgw: no
         priority: 175
   security-level: public

        wireguard:
           public-key: 01XUzOPM6fZLUz0xFvBQxLIjpKZQOtXIF+gGfQoGlCY=

                 peer:
               public-key:
                           ycQ23ShO0O0fJgQMJNIR7bEDCAR6olJvskbe7C9or3A=
                  rxbytes: 0
                  txbytes: 6364
           last-handshake: 1570885795
                   online: no

 

  • Thanks 1
  • Upvote 1

Share this post


Link to post
Share on other sites

Recommended Posts

  • 3

Подробные стать в базе знаний Keenetic:

Туннельный интерфейс Wireguard и пример настройки VPN соединения локальных сетей двух маршрутизаторов Keenetic

Доступ в Интернет через Wireguard-туннель

Подключение по протоколу Wireguard VPN из Android

Подключение по протоколу Wireguard VPN в iOS

Подключение по протоколу Wireguard VPN из Linux

Подключение по протоколу Wireguard VPN из Windows 10

Подключение компьютера с Windows 7 к удаленной сети Keenetic по туннелю WireGuard

Пример настройки WG-Server KN-1010 <> WG-Client KN-1010:

WG-Server:

!
interface Wireguard2
    description wg-server
    security-level public
    ip address 172.16.82.1 255.255.255.0
    ip access-group _WEBADMIN_Wireguard2 in
    ip tcp adjust-mss pmtu
    wireguard listen-port 16631
    wireguard peer gnp5gW8pBQK2rA9ah1hiib1+3Jl218ZM8dBIjxxxx= !wg-home-client
        keepalive-interval 25
        allow-ips 172.16.82.2 255.255.255.255
        allow-ips 192.168.11.0 255.255.255.0
    !
    up


где:

172.16.82.0/24 - адресация внутри туннеля, соответственно на концах туннеля будут адреса 172.168.82.1 и 172.16.82.2

ip address 172.16.82.1 255.255.255.0 - внутренний адрес туннеля сервера
wireguard listen-port 16631 - порт, который будет слушать клиент для установки соединения
wireguard peer gnp5gW8pBQK2rA9ah1hiib1+3Jl218ZM8dBIjxxxx= !wg-home-client - ключ клиента
keepalive-interval 5 - указываем интервал проверки доступности удаленной стороны

указываем разрешенные адреса, подсети, с которых будет допущен трафик, в моем примере:

allow-ips 172.16.82.2 255.255.255.255 - удаленный адрес клиента 
allow-ips 192.168.11.0 255.255.255.0 - удаленная сеть клиента

image.png

WG-Client:

!
interface Wireguard2
    description wg-home-client
    security-level public
    ip address 172.16.82.2 255.255.255.0
    ip access-group _WEBADMIN_Wireguard2 in
    ip tcp adjust-mss pmtu
    wireguard peer 1YVx+x3C817V9YdhUtpUhzyDLVj5tnK2m//xxxxx= !wg-server
        endpoint 193.0.174.xxx:16631
        keepalive-interval 3
        allow-ips 172.16.82.1 255.255.255.255
        allow-ips 192.168.2.0 255.255.255.0
    !
    up

где:

172.16.82.0/24 - адресация внутри туннеля, соответственно на концах туннеля будут адреса 172.168.82.1 и 172.16.82.2

ip address 172.16.82.2 255.255.255.0 - внутренний адрес туннеля клиента
wireguard peer 1YVx+x3C817V9YdhUtpUhzyDLVj5tnK2m//xxxxx= !wg-server - ключ сервера
endpoint 193.0.174.xxx:16631 - публичный адрес сервера
keepalive-interval 3 -  указываем интервал проверки доступности сервера

указываем разрешенные адреса, подсети, с которых будет допущен трафик, в моем примере:

allow-ips 172.16.82.1 255.255.255.255 - удаленный адрес сервера
allow-ips 192.168.11.0 255.255.255.0 - удаленная сеть сервера

image.png

Настройка нетфильтра на стороне сервера для входящих соединений:

! 
access-list _WEBADMIN_Wireguard2
    permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0

image.png

Аналогичную настройку делаете и на клиенте.

Настройка маршрутизации на сервере до сети клиента:

 

ip route 192.168.11.0 255.255.255.0 Wireguard2 auto



image.png

Настройка маршрутизации на клиенте до сети сервера:
 

ip route 192.168.2.0 255.255.255.0 Wireguard2 auto

image.png

Важно! После настройки не забываем заново поднять туннели.

Проверяем:

Сервер:

image.png

Клиент:

image.png

Пингуем клиента со стороны сервера 192.168.2.1:

enpa@enpa:~$ ping 192.168.11.1 -c 10 -s 100
PING 192.168.11.1 (192.168.11.1) 100(128) bytes of data.
108 bytes from 192.168.11.1: icmp_seq=1 ttl=63 time=6.49 ms
108 bytes from 192.168.11.1: icmp_seq=2 ttl=63 time=7.31 ms
108 bytes from 192.168.11.1: icmp_seq=3 ttl=63 time=9.13 ms
108 bytes from 192.168.11.1: icmp_seq=4 ttl=63 time=6.51 ms
108 bytes from 192.168.11.1: icmp_seq=5 ttl=63 time=7.71 ms
108 bytes from 192.168.11.1: icmp_seq=6 ttl=63 time=6.76 ms
108 bytes from 192.168.11.1: icmp_seq=7 ttl=63 time=7.33 ms
108 bytes from 192.168.11.1: icmp_seq=8 ttl=63 time=6.24 ms
108 bytes from 192.168.11.1: icmp_seq=9 ttl=63 time=6.67 ms
108 bytes from 192.168.11.1: icmp_seq=10 ttl=63 time=6.02 ms

--- 192.168.11.1 ping statistics ---
10 packets transmitted, 10 received, 0% packet loss, time 9015ms
rtt min/avg/max/mdev = 6.021/7.016/9.132/0.862 ms

Внутри туннеля, со стороны сервера 192.168.2.1, проверяем доступ по протоколу SMB на накопитель, который подключен к клиенту:
image.png


 

 

 

image.png

image.png

image.png

Edited by enpa
статьи
  • Thanks 2
  • Upvote 1

Share this post


Link to post
Share on other sites
  • 0
6 минут назад, Rodstvennik63 сказал:

Так их и не было изначально. Это если в вэбке прописать адрес пира, то и появляется endpoint. - это как мне советовали ранее, прописать ip пиров. Или, быть может, я неправильно понял? Просто тогда где ещё?) В настройках самих пиров ip прописаны. На счёт private сейчас попробую

Та вот и удалите адреса пиров, если их пишете то это внешние адреса должны быть, так как у вас гаджеты цепляются, вряд ли у них белая статика ;) 

ЗЫ ну и надеюсь гаджеты не из локальной сети с wg соединяются. 

Edited by r13
  • Upvote 1

Share this post


Link to post
Share on other sites
  • 0
15 минут назад, r13 сказал:

Та вот и удалите адреса пиров, если их пишете то это внешние адреса должны быть, так как у вас гаджеты цепляются, вряд ли у них белая статика ;) 

Спасибо огромное! Побежали пакетики) Поставил security-level private, удалил ip (endpoint) и со всех устройств побежали)).

17 минут назад, r13 сказал:

ЗЫ ну и надеюсь гаджеты не из локальной сети с wg соединяются. 

Нет, конечно! Каждый гаджет в отдельной сетке. Пришлось даже соседский WiFi ломануть для чистоты эксперимента. 

Share this post


Link to post
Share on other sites
  • 0

В базу знаний Keenetic добавили подробные статьи по настройке Wireguard-туннеля во всех популярных операционных системах - ссылки здесь.

Плюс были обновлены .pdf файлы Command Reference Guide CLI DOC от 15.11.2019

Добавлена группа команд Wireguard:

interface wireguard listen-port
interface wireguard peer
interface wireguard private-key

Обновлен Глоссарий - добавлена информация о протоколе Wireguard
Обновлена информация о hw_nat software, hardware
Метка версии KeeneticOS 3.3, редакция 1.67

Ссылки, скачать - здесь

  • Thanks 3

Share this post


Link to post
Share on other sites
  • 0

Заметил фичу. При активации vpn на андроид через программу WireGuard, в не зависимости мобильный интернет или wi-fi, не скачиваются любой софт в Play маркете, как только отключаю vpn - сразу качает. При этом интернет работает. Проверьте кто-нибудь, может только у меня?

Share this post


Link to post
Share on other sites
  • 0
37 минут назад, Vadim-85 сказал:

При активации vpn на андроид через программу WireGuard, в не зависимости мобильный интернет или wi-fi, не скачиваются любой софт в Play маркете

Тоже самое. Сделал исключение для Play Маркета в настройках клиента и вроде всё нормально заработало

.Screenshot_20191120_160401.thumb.jpg.34e51fd71ae6e7f02579f4704b2bb873.jpg

Edited by tld14
  • Thanks 1

Share this post


Link to post
Share on other sites
  • 0

Можно ли ожидать в ближайшем будущем туннелирования UDP трафика WireGuard в TCP в частности в виде HTTPS трафика (опционально)?

Edited by keenet07

Share this post


Link to post
Share on other sites
  • 0

вопрос следующий: после отключения на телефоне от wireguard ("сервер" настроен на keenetic) в лог постоянно пишутся попытки соединиться с пиром, можно ли как-то сделать так, чтобы после определенного количества попыток, записи не попадали в лог? или только можно сделать log suppress или выключить wireguard на keenetic? просто весь лог забит такими записями

Дек 2 14:22:29
kernel
wireguard: Wireguard0: retrying handshake with peer "xxxxxxxxxxxxxxxxx" (5) (94.25.000.000:44910) because we stopped hearing back after 15 seconds
Дек 2 14:22:34
kernel
wireguard: Wireguard0: handshake for peer "xxxxxxxxxxxxxxxxx" (5) (94.25.000.000:44910) did not complete after 5 seconds, retrying (try 2)
Дек 2 14:22:34
kernel
wireguard: Wireguard0: sending handshake initiation to peer "xxxxxxxxxxxxxxxxx" (5) (94.25.000.000:44910)
Дек 2 14:22:39
kernel
wireguard: Wireguard0: handshake for peer "xxxxxxxxxxxxxxxxx" (5) (94.25.000.000:44910) did not complete after 5 seconds, retrying (try 3)
Дек 2 14:22:39
kernel
wireguard: Wireguard0: sending handshake initiation to peer "xxxxxxxxxxxxxxxxx" (5) (94.25.000.000:44910)
Дек 2 14:22:45
kernel
wireguard: Wireguard0: handshake for peer "xxxxxxxxxxxxxxxxx" (5) (94.25.000.000:44910) did not complete after 5 seconds, retrying (try 4)
Дек 2 14:22:45
kernel
wireguard: Wireguard0: sending handshake initiation to peer "xxxxxxxxxxxxxxxxx" (5) (94.25.000.000:44910)
Дек 2 14:22:50
kernel
wireguard: Wireguard0: handshake for peer "xxxxxxxxxxxxxxxxx" (5) (94.25.000.000:44910) did not complete after 5 seconds, retrying (try 5)

 

Share this post


Link to post
Share on other sites
  • 0
В 02.12.2019 в 15:18, keenet07 сказал:

Отключите проверку активности на сервере.

отключил, в лог все равно сыпятся сообщения после отключения пира, если правильно понял, то, если не указывать значение в  веб "Проверка активности", то это равносильно команде в cli: no keepalive-interval,

пробовал оба варианта, также пробовал указать максимальное значение 3600 сек.

еще момент, что если выполнить в cli, то в веб " Имя пира" затирается.

@enpa,можете подсказать?

 

 

Share this post


Link to post
Share on other sites
  • 0

log suppress тоже не подходит, т.к. сообщение идет от "kernel", если отключить логи, другие сообщения не будут попадать в лог.

подскажите, что можно сделать, чтобы wireguard не спамил в лог?

Share this post


Link to post
Share on other sites
  • 0

дополню, в лог пишется много сообщений, когда настроен выход в интернет через wireguard, когда доступ в интернет через туннель не настроен и не указан интервал проверки активности - в логе чисто.

Share this post


Link to post
Share on other sites
  • 0

@valeramalko уже есть похожий запрос от Вас в поддержке.

Сообщения об удачном рукопожатие будут переведены в дебаг (режим отладки) для WG. 

Пример:

[I] Nov 28 08:14:17 kernel: wireguard: Wireguard0: sending handshake initiation to peer "m4I7BQ6DO0LqhqpPjawkgfeIDKZsmPEnAArH9Yg++3w=" (23) (xx.200.34.36:14445)
[I] Nov 28 08:14:17 kernel: wireguard: Wireguard0: receiving handshake response from peer "m4I7BQ6DO0LqhqpPjawkgfeIDKZsmPEnAArH9Yg++3w=" (23) (xx.200.34.36:14445)

Мы настоятельно не рекомендуем скрывать данные сообщения при помощи:

system log suppress kernel

Безусловно, Вы сможете подавить таким образом сообщения в логе, но если произойдет проблема в установке туннеля, мы потерям из виду нужные записи.

  • Thanks 1

Share this post


Link to post
Share on other sites
  • 0
3 минуты назад, enpa сказал:

Сообщения об удачном рукопожатие будут переведены в дебаг (режим отладки) для WG. 

в моем случае ситуация, когда нет удачного рукопожатия, т.е. я отключил peer (телефон), роутер продолжает попытки, такие сообщения тоже будут скрыты в дебаг?

Share this post


Link to post
Share on other sites
  • 0

@valeramalko эти сообщения я тоже имел ввиду:
 

[I] Dec 2 14:21:31 kernel: wireguard: Wireguard0: handshake for peer "iBkXbnx+o6RmrDhMP5R9aAOf8gVomVWPIAcg5iI/gxA=" (5) (xx.25.176.145:44910) did not complete after 5 seconds, retrying (try 2)

 

  • Thanks 1

Share this post


Link to post
Share on other sites
  • 0

@enpa поддержка попросила доп. информацию, и сейчас при снятии информации выяснил, что независимо от того, настроен ли доступ в интернет через wireguard или нет, после отключения пира в логах пишется много сообщений (хотя один раз в лог не было сообщений при отключенном доступе в Интернет, возможно вчера  "поймал" именно такую ситуацию; во всех остальных случаях - пишется в лог, "проверка активности" на keenetic не задана ), скрины настроек, лог и self-тест приложил к запросу.

решил подождать дольше после отключения пира, результаты следующие, "спам" в лог прекращается после этих записей, далее подождал некоторое время, пока больше записи не пишутся, но за эти 12-13 минут в лог попадает очень много записей:

#без доступа в Интернет
19:01 отключился от wireguard
Dec  4 19:12:50 Keenetic_Giga kernel: wireguard: Wireguard0: handshake for peer "AvCshTI8eSDZK2w2mQJJyUaknj5v4KIN3N2+ZgEvFFE=" (24) (xx.25.176.205:7573) did not complete after 20 attempts, giving up
Dec  4 19:22:01 Keenetic_Giga kernel: wireguard: Wireguard0: zeroing out all keys for peer "AvCshTI8eSDZK2w2mQJJyUaknj5v4KIN3N2+ZgEvFFE=" (24) (xx.25.176.205:7573), since we haven't received a new one in 540 seconds

#c доступом в Интернет
19:50 отключился от wireguard
Dec  4 20:03:42 Keenetic_Giga kernel: wireguard: Wireguard0: handshake for peer "AvCshTI8eSDZK2w2mQJJyUaknj5v4KIN3N2+ZgEvFFE=" (24) (xx.25.176.50:50542) did not complete after 20 attempts, giving up
Dec  4 20:10:54 Keenetic_Giga kernel: wireguard: Wireguard0: zeroing out all keys for peer "AvCshTI8eSDZK2w2mQJJyUaknj5v4KIN3N2+ZgEvFFE=" (24) (xx.25.176.50:50542), since we haven't received a new one in 540 seconds

 

  • Upvote 1

Share this post


Link to post
Share on other sites
  • 0

На удалённом сервере поднят Wireguard, из-под винды и андроида всё работает.

Загрузил конфигурации в роутер, к серверу подключается, но трафик через сервер не идёт. Что я делаю не так.

Share this post


Link to post
Share on other sites
  • 0

@enpa ранее сообщалось о том, что логи будут скрыты

В 04.12.2019 в 16:31, enpa сказал:

Сообщения об удачном рукопожатие будут переведены в дебаг (режим отладки) для WG.

запрос #468149  был закрыт

на данный момент на прошивке 3.3.1 ситуация не изменилась, и как мне кажется, стало даже дольше писать в лог (около 20 минут) после отключения

открыто дополнение к запросу #471417, self-тест и лог приложен к запросу

Edited by valeramalko

Share this post


Link to post
Share on other sites
  • 0

Версия ОС: 3.3.2

При попытке настройки соединения не нашел кнопки "Генерация ключей" и перевод не прошел "Generate a random key pair"... Этот баг у меня только?

1.PNG

Share this post


Link to post
Share on other sites
  • 0
7 минут назад, polycom сказал:

Версия ОС: 3.3.2

При попытке настройки соединения не нашел кнопки "Генерация ключей" и перевод не прошел "Generate a random key pair"... Этот баг у меня только?

1.PNG

Не только у Вас. Вводил все данные и потом само все появилось. Но возможно это баг. Надо у @eralde спросить.

 

  • Thanks 1

Share this post


Link to post
Share on other sites
  • 0

В релизе 3.3.1, точно такая же история.  Ключ сгенерировать не возможно. Пробовал разные роутеры и разные браузеры.

Edited by curious

Share this post


Link to post
Share on other sites
  • 0
9 минут назад, curious сказал:

Ключ сгенерировать не возможно

возможно, если вручную указать "приватный ключ", сохранить подключение и потом снова его редактировать, тогда кнопка генерации ключей появляется, но насколько это правильно, нужны комментарии разработчиков

Share this post


Link to post
Share on other sites
  • 0
13 минуты назад, curious сказал:

В релизе 3.3.1, точно такая же история.  Ключ сгенерировать не возможно. Пробовал разные роутеры и разные браузеры.

В этом разделе лучше новую тему создать.

Share this post


Link to post
Share on other sites
  • 0
26 минут назад, curious сказал:

В релизе 3.3.1, точно такая же история.  Ключ сгенерировать не возможно. Пробовал разные роутеры и разные браузеры.

У меня появляется эта кнопка, когда введешь все данные(не забыть галочку поставить в "Generate a random key pair") -- нажать сохранить -- потом опять входим для редактирования и вот эта заветная кнопка появилась.

Share this post


Link to post
Share on other sites
  • 0
5 часов назад, polycom сказал:

Версия ОС: 3.3.2

При попытке настройки соединения не нашел кнопки "Генерация ключей" и перевод не прошел "Generate a random key pair"... Этот баг у меня только?

 

 

39 минут назад, curious сказал:

В релизе 3.3.1, точно такая же история.  Ключ сгенерировать не возможно. Пробовал разные роутеры и разные браузеры.

Создал тему, присоединяйтесь: https://forum.keenetic.net/topic/8039-wireguard-настройка-в-web/

  • Thanks 1

Share this post


Link to post
Share on other sites
  • 0
8 часов назад, polycom сказал:

Версия ОС: 3.3.2

При попытке настройки соединения не нашел кнопки "Генерация ключей" и перевод не прошел "Generate a random key pair"... Этот баг у меня только?

1.PNG

Это нормально. Для генерации ключей у нового подключения отметьте чекбокс.

При сохранении будет сгенерирована случайная пара ключей. Перевод появится в следующей версии прошивки.

Интерфейс редактирования существующего подключения не изменился.

  • Thanks 2

Share this post


Link to post
Share on other sites
  • 0

Добрый день.

Может кто нибудь подсказать решение с такой проблемой:

Настроил wireguard в соответствие с инструкциями. В качестве сервера wireguard - гига 1010, в качестве клиента wireguard - омни 1410. Туннель поднялся. Пакеты идут. Но есть нюанс. За гигой дополнительно стоит сервер телефонии астериск к которому подключаются через туннель. Для телефонии используется keenetic dect. Проблем с подключением к астериск нет. Клиент за омни регистрируется на астериске и активен. Но при звонках проблемы. Абонент за омни не слышит абонента со стороны гиги. Со стороны гиги все прекрасно слышно. В межсетевом экране в правилах для туннеля к тому, что указано в инструкции, дополнительно добавил UDP трафик. Не помогает. При этом стоит отключить wireguard и вернуться  на L2TP/IPsec и все прекрасно работает. 

Хочется понять в чем может быть проблема?

Share this post


Link to post
Share on other sites
  • 0

В WireGuard нет сервера и клиента, там равноправные пиры. Поэтому и права доступа настраиваются с обеих сторон. Из вашего описания понятно, что UDP не проходит от Giga к Omni.

На всякий случай сверьтесь с особенностями создания правил в Межсетевом экране роутера.

Edited by keenet07

Share this post


Link to post
Share on other sites
  • 0

Подскажите как задать чтобы Wireguard конектился через опред интернет подключение? По аналогии как это возможно для VPN подключений задать. Куда смотреть хоть?

Share this post


Link to post
Share on other sites
  • 0
33 минуты назад, shadowy сказал:

Подскажите как задать чтобы Wireguard конектился через опред интернет подключение? По аналогии как это возможно для VPN подключений задать. Куда смотреть хоть?

Через Маршрутизацию не получается? Нужен статический маршрут до внешнего адреса пира через выбранное вами соединение.

На практике не проверял, но теоретически оно так.

Edited by keenet07

Share this post


Link to post
Share on other sites
  • 0

@shadowy правилами маршрутизации, например:

ip route 195.181.161.80 192.168.209.1 GigabitEthernet0/Vlan4 auto
ip route 185.152.65.182 192.168.209.1 GigabitEthernet0/Vlan4 auto

где:

185.152.65.182 - endpoint адрес сервера wg-провайдера, например anonine.com:

192.168.209.1 - адрес шлюза интерфейса

GigabitEthernet0/Vlan4 - backup интерфейс

nslookup cz.anonine.net
╤хЁтхЁ:  UnKnown
Address:  192.168.11.1

Не заслуживающий доверия ответ:
╚ь :     cz.anonine.net
Addresses:  2a02:6ea0:c228::2
          2a02:6ea0:c227::2
          185.152.65.182
          195.181.161.80

image.png

Таким образом Вы настроите маршрутизацию через нужный Вам интерфейс.

В будущем будет добавлен 'connect via' - "Подключаться через".

  • Upvote 4

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...