VPN

Обсуждение ПО и его настройки
Ответить
flaber98
Сообщения: 21
Зарегистрирован: 14 дек 2022, 16:24

С недавних пор начались проблемы с WireGuard, а именно, перестали работать существующие туннели за бугор из СПб, при этом, часть туннелей работает, а большая - нет. Один даже внутри города перестал работать....
В связи с этим вопрос - когда завезут или как можно реализовать на микроте или в связке с ним - AmneziaWG ту же?
Спасибо


Аватара пользователя
podarok66
Модератор
Сообщения: 4368
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Да кто ж вам тут скажет-то? Мы к разработчикам никакого отношения не имеем вообще. Пока стабильно надежным выглядит только решение со сторонней железкой с нужным протоколом на борту. Кто-то Малинку запускает, у меня безвентиляторный PC с процом N100 на борту, Кто-то полноценные сервера запускает от безысходности. Ну или строить защищенные каналы напрямую между сервером и оконечным устройством. Скажем что-то типа Outline вполне себе работает пока...


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
RusCosmic
Сообщения: 71
Зарегистрирован: 03 авг 2024, 15:21

Да как бы есть амнезия на микротике, только вот не каждый микрот подойдет ))))
https://github.com/yury-sannikov/amnezia-wg-docker


flaber98
Сообщения: 21
Зарегистрирован: 14 дек 2022, 16:24

podarok66 писал(а): 26 авг 2024, 20:47 Да кто ж вам тут скажет-то? Мы к разработчикам никакого отношения не имеем вообще. Пока стабильно надежным выглядит только решение со сторонней железкой с нужным протоколом на борту. Кто-то Малинку запускает, у меня безвентиляторный PC с процом N100 на борту, Кто-то полноценные сервера запускает от безысходности. Ну или строить защищенные каналы напрямую между сервером и оконечным устройством. Скажем что-то типа Outline вполне себе работает пока...
Я правильно понимаю, на железке с ubuntu условной поднять amnezia wg, кинуть на порт микрота, назначить отдельную сеть
и DNAT на железку сделать от внешнего ип?


flaber98
Сообщения: 21
Зарегистрирован: 14 дек 2022, 16:24

RusCosmic писал(а): 27 авг 2024, 00:00 Да как бы есть амнезия на микротике, только вот не каждый микрот подойдет ))))
https://github.com/yury-sannikov/amnezia-wg-docker
непростое решение))
проще, кажется, отдельную железку)


RusCosmic
Сообщения: 71
Зарегистрирован: 03 авг 2024, 15:21

flaber98 писал(а): 27 авг 2024, 11:26
RusCosmic писал(а): 27 авг 2024, 00:00 Да как бы есть амнезия на микротике, только вот не каждый микрот подойдет ))))
https://github.com/yury-sannikov/amnezia-wg-docker
непростое решение))
проще, кажется, отдельную железку)
Да, одноплатник докупить и на нём уже "химичить"


Аватара пользователя
podarok66
Модератор
Сообщения: 4368
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

flaber98 писал(а): 27 авг 2024, 11:25 Я правильно понимаю, на железке с ubuntu условной поднять amnezia wg, кинуть на порт микрота, назначить отдельную сеть
и DNAT на железку сделать от внешнего ип?
Описываю мой вариант, работает несколько месяцев. Имею белый адрес, он висит на Микроте. Есть локалка. Есть безвентиляторная железка от китайцев, на борту проц N100, 16 гигов памяти и 500 гигов жесткий nvme. На железке установлен Proxmox, имеющий адрес в локальной сети. Уже на Proxmox запущено несколько контейнеров и пара виртуальных машин. Каждый контейнер или машина имеет так же свой адрес в локалке. Для тех сервисов, которые требуют общения с внешней сетью на Микроте проброшены порты (это вебсервер, Тимспик, еще пара сервисов). Каждый из контейнеров выполняет одну-две функции. Например, на одном торрент-клиент и домашняя шара, на другом вебсервер и Заббикс для сбора данных с внутренних устройств, на третьем настроен Shadowsocks и Wireguarg, причем второй завернут в первый, есть отдельный контейнер для чистого WG, есть для Teamspeak. Так как я сам не помню, что и как настраивалось, есть папка с мануалами, которые писались прямо во время настройки. Из этого мануала по настройке такие особенности:
Всё работает на Alpine Linux, поэтому что-то может быть немного устаревшим для Ubuntu или Debian. Главное понимать, что по любому надо включить форвардинг

Код: Выделить всё

net.ipv4.ip_forward=1
Не забываем перезапустить sysctl или что там у вас. Дальше ставится WG, настраивается конфиг именно под туннелирование. Дальше ставим shadowsocks-libev , мне пришлось подключать дополнительные репозитории. Потом прописываем роут

Код: Выделить всё

ip route add IP_КУДА_ИДЁМ via IP_ВАШЕГО_ШЛЮЗА dev eth0
Что-то типа такого в маскарад

Код: Выделить всё

iptables -t nat -A POSTROUTING -o wg0 -j MASQUERADE
И не забываем сделать запуск служб, мне пришлось в init.d, на других OS я так подозреваю будет systemd.
На Микроте в манглах маркировка всего нужного. Потом в роутах всё маркированное завернуть на тот адрес в локалке, который присвоен контейнеру с Shadowsocks+WG. Как уже говорил, всё работает и пока не особо беспокоит. В жару греется на столе до 80+ градусов, средняя температура 56-66 градусов, но тормозов я не видел.
Вроде как всё описал :-)


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
flaber98
Сообщения: 21
Зарегистрирован: 14 дек 2022, 16:24

Я сделал на ubuntu server amnezia wg)

Код: Выделить всё

nft add table nat

Код: Выделить всё

nft -- add chain nat prerouting { type nat hook prerouting priority -100 \; }

Код: Выделить всё

nft add chain nat postrouting { type nat hook postrouting priority 100 \; }

Код: Выделить всё

nft add rule nat postrouting iif awg0 oif eth0 masquerade

Код: Выделить всё

ln -s /usr/bin/resolvectl /usr/local/bin/resolvconf

Код: Выделить всё

crontab -e
@reboot awg-quick up awg0
@reboot systemctl restart nftables
и все работает шикарно :-)


Ответить