Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: traminek 16. 06. 2023, 10:21:29
-
Prosím o pomoc jako naprostému laikovi se zprovozněním VPN WireGuard tak, abych se z mobilu (OnePlus Nord2) mohl připojit k domácí síti. Postupoval jsem podle těchto návodů
https://www.asus.com/cz/support/FAQ/1048280
https://www.youtube.com/watch?v=rSvHQw0KwvM
ale nepřipojím se. Zvláštní navíc je, že VPN v routeru je jako odpojená. Viz zde : https://screenshot.cz/KBFBK/
posílám ještě log z telefonu : https://screenshot.cz/KRYYG/
Mám veřejnou dynamickou IP od Vodafone, ale používám DDNS WAN IP od NO-IP
Předtím jsem používal PPTP VPN, jehož nastavení byla brnkačka a fungoval OK, ale protože se telefon aktualizoval na Android 13, který jíž PPTP nepodporuje, tak jsem byl nucen koupit tento nový router.
Je mi jasné, že něco dělám špatně, nebo musím ještě udělat navíc, ale prostě tomu nerozumím.
Děkuji všem za shovívavost a pomoc :(
-
To je málo informací, potřebovali bychom vidět konfiguraci na obou stranách. Samozřejmě s vynechanými soukromými klíči.
-
Stačí to takto?
https://screenshot.cz/0CZUV/
https://screenshot.cz/HWL1I/
https://screenshot.cz/NXTRO/
https://screenshot.cz/TMYJ9/
-
Není to dokonalé, ale už to něco říká. Chybí tam třeba informace o peerovi (klientovi) na straně toho routeru.
Začal bych tím, že bych na rozhraní změnil prefix z /32 na /24 na obou stranách. To znamená 10.6.0.1/24 a na druhé straně 10.6.0.2/24.
Pak nastává zásadní otázka, kde je přesně problém. Je potřeba se ujistit, že na sebe obě zařízení na veřejné síti skutečně vidí, tedy že je například otevřený port na tom routeru. Pokud ano a komunikace běží, pak je problém buď v klíčích (zkontrolujte dvakrát, že máte správně vyměněné veřejné klíče) nebo v obsahu AllowedIPs, což je velmi častá chyba. Ta položka jednak zařizuje směrování v odchozím směru, ale zároveň v příchozím filtruje. Takže pokud druhé straně nepovolíte adresu (třeba klientovi 10.6.0.2), tak router při přijetí tu komunikaci zahodí.
-
Já to tušil. Porty, firewall AllowedIPs atd. Nic nastavené není, protože v návodech nic takového nebylo a nevím, jak to nastavit. Kde najdu v routeru info o klientovi?
Dík za pomoc a trpělivost
-
V dokumentaci k tomu routeru (https://www.asus.com/cz/support/FAQ/1048280) to je popsané docela dobře. Kromě toho tady na Rootovi je celý seriál o WireGuardu (https://www.root.cz/serialy/wireguard-pro-jednoduchou-linuxovou-vpn/), doporučuji přečíst alespoň druhý díl (https://www.root.cz/clanky/instalujeme-wireguard-navod-pro-vpn-na-distribuci-debian/), kde jsou popsané ty zásadní koncepty.
To podstatné je, že obě strany musejí mít nakonfigurované své rozhraní, což znamená IP adresu z rozsahu uvnitř VPN, soukromý klíč a UDP port pro příjem komunikace.
Kromě toho ale je potřeba na obou stranách nakonfigurovat také protistranu, které se říká peer. Tam se vkládá veřejný klíč protistrany, u klientů se tam dává IP adresa routeru (aby se bylo kam připojit) a u každé protistrany se také nastavuje AllowedIPs, tedy seznam adres, které jsou používány na druhé straně.
Tohle všechno musí být správně, jinak data nepotečou. Typicky se stává to, že uživatel špatně uvede AllowedIPs a provoz sice putuje k němu tunelem, ale jeho strana kontroluje zdrojové adresy a pokud peer do tunelu strká provoz z nepovolených adres, tak je na konci filtrován.
Problém řešení na routeru a mobilu je obvykle ten, že se to hrozně špatně ladí, protože tam nejsou vidět žádné stavové informace a nedají se tam pustit analytické nástroje. Lepší je si to nejdřív vyzkoušet třeba proti linuxovému stroji a až to chodí, tak si vyrobit konfiguraci pro mobil.
-
Hoj, jak moc dobře to funguje? Všechen provoz pak je směrovaný do interní sítě? Nebo jen provoz pro dané rozsahy?
-
Obojí je možné, jako u jakékoliv jiné VPN. Co se nasměruje do tunelu, to tam jde. Takže je možné tam poslat jen vybrané rozsahy nebo veškerý provoz. V případě WoreGuardu se to řídí už zmíněnou položkou AllowedIPs
-
Tak jsem si to pročetl, problém je v tom, že nevím kde mám v rozhraní routeru nastavit AllowedIPs, taky jsem pro WireGuard otevřel port 51820, ale nevím, jakou mám přidělit IP.
Tady přidávám info o klientovi z routeru a telefonu se změněným prefixem
https://screenshot.cz/4TRHG/
https://screenshot.cz/0LCLS/
Jak jsem psal, jsem absolutní laik aněkteré názvosloví jsou mi cizí...
Škoda, že někde není na netu kompletní nastavení pro můj router.
-
AllowedIPs se nenastavují u rozhraní, ale pro každého peera. Čili v routeru u toho klienta Martin. Pořád to píše, že je odpojený? Pokud ano, bude problém vůbec v komunikaci mobilu a routeru. Pokud se to spojí a data netečou, bude problém v konfiguraci VPN.
Ještě mě napadlo: mají obě strany nastavemý stejný preshared key?
-
Problém je, že každý router má jiné GUI. Já tam třeba to nastavení AllwedIPs toho klienta vůbec nevidím, nebo nemůžu najít.
Asi budu muset najít někoho v Brně, kdo mi to nastaví.
-
Problém je, že každý router má jiné GUI. Já tam třeba to nastavení AllwedIPs toho klienta vůbec nevidím, nebo nemůžu najít.
Asi budu muset najít někoho v Brně, kdo mi to nastaví.
Edit:Tak jsem tu možnost našel, takže ještě se zeptám, jakou AllwedIPs u klienta mám nastavit v routeru, když LAN IP je 192.168.1.1 a jakou IP mám nastavit u předávání portů. Teď mám externí port 51820, interní není vyplněn, protokol UDP a ještě tam musím nastavit nějakou IP
https://screenshot.cz/TCXKH/