WireGuard pro domácí síť

WireGuard pro domácí síť
« kdy: 19. 11. 2024, 06:02:51 »
Čau, potřebuji poradit jak nastavit WG aby filtroval všechen provoz v domácí síti.
Mám VDSL router přes LAN TV_box s armbian, na něm mám nastaveno WG (wg0) server a klienta přes PC, vše funguje.
Pokud vytvořím wg1 a spustím, tak nemám přístup na internet, asi mi to blokuje FW.

wg0
Kód: [Vybrat]
# Do not alter the commented lines
# They are used by wireguard-install
# ENDPOINT 192.168.1.104

[Interface]
Address = 10.7.0.1/24
PrivateKey = xx
ListenPort = 51820

# BEGIN_PEER
[Peer]
PublicKey = xx
PresharedKey = xx
AllowedIPs = 10.7.0.2/32
# END_PEER


wg1
Kód: [Vybrat]
[Interface]
Address = 10.7.0.2/24
DNS = 9.9.9.9, 142.112.112.112
PrivateKey = xx

[Peer]
PublicKey = xx
PresharedKey = xx
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = 192.168.1.104:51820
PersistentKeepalive = 25



Zopper

  • *****
  • 783
    • Zobrazit profil
Re:WireGuard pro domácí síť
« Odpověď #1 kdy: 19. 11. 2024, 07:24:56 »
Není mi jasné,  o co se reálně snažíš. Přijde mi, že chceš provozovat VPN uvnitř LAN místo pro přístup z venku a něco o filtrování... Čeho přesně se tím snažíš dosáhnout? Nebude lepší VLAN + firewall pravidla? :)

A co říká debug log wireguardu, naváže se spojení? Drží se, nerozpadá se? Pingneš z peera na druhou stranu?

RDa

  • *****
  • 2 727
    • Zobrazit profil
    • E-mail
Re:WireGuard pro domácí síť
« Odpověď #2 kdy: 19. 11. 2024, 08:28:04 »
Podle me, klient WG1 podle tohoto:

Kód: [Vybrat]
AllowedIPs = 0.0.0.0/0, ::/0
Bude routovat po aktivaci vpn provoz do WG spojeni, ale server WG0 nema zapnuty routing/NAT pak dal, a jedina adresa na kterou se dostanes je tedy jeho vpn adresa 10.7.0.1 .

Re:WireGuard pro domácí síť
« Odpověď #3 kdy: 19. 11. 2024, 12:21:26 »
Ten popis je vágoní, moc z toho nevyčtu. Filtrováním myslíš co? REJECT,DROP asi ne. A "všechen" provoz od více počítačů nebo víc typů (bez rozlišení kombinace dst portů/ IP  )
Nemáš přístup na internet z  jakých zařízení? Předpokládám že jenom z wg1 počítače Je na server povoleno forwardování a taky NAT?
Nemělo by allowed ips mít AllowedIPs = 10.7.0.2/24 ?

 To "vše funguje" znamená ještě před "spuštěním" wg1 ? Nebo po spuštění wg1 a jen komunikaci v LAN a neboj dokonce jen mezi peery? 10.x.x.x. ? (Ono spuštění wg  na jednom pc nemá co ovlivnit moc)



Moje rada, použít tcpdump, zkoušet tracecroute, pingy pro tyto obory :10.x.x.x. / v rámci LAN, pak do internetu.

někdy se povede, že ping dokáže hlásit něco jakko "Klíč není dostupný"... chyba  routing wg

taky by to chtělo třeba pastnout routovací tabulky...

policy routing  , packet marking nebo nějaké specitality používáš? NAT taky a a kde?
« Poslední změna: 19. 11. 2024, 12:24:23 od Ħαℓ₸℮ℵ ␏⫢ ⦚ »

Re:WireGuard pro domácí síť
« Odpověď #4 kdy: 19. 11. 2024, 18:11:02 »
Zkusím to napsat lépe, můj cíl je aby všechna připojená zařízení nemusela používat klienta. Jednoduše připojím např. tablet a ten bude mít přístup přes WG na internet. Nejsem odborník na sítě a v Linuxu umím jen základy, pokud je to moc složité a nejde napsat postup tak na to kašlem.


k3dAR

  • *****
  • 3 043
  • porad nemam telo, ale uz mam hlavu... nobody
    • Zobrazit profil
    • E-mail
Re:WireGuard pro domácí síť
« Odpověď #5 kdy: 19. 11. 2024, 18:58:47 »
Zkusím to napsat lépe, můj cíl je aby všechna připojená zařízení nemusela používat klienta. Jednoduše připojím např. tablet a ten bude mít přístup přes WG na internet. Nejsem odborník na sítě a v Linuxu umím jen základy, pokud je to moc složité a nejde napsat postup tak na to kašlem.
Mozna ti uniklo, ze WireGuard slouzi na neco jineho: napr. aby jsi se z internetu mohl pripojit do sve domaci site

Nevim jaky provoz si chtel filtrovat, pokud slo o reklamy tam na to je napr. https://pi-hole.net

Re:WireGuard pro domácí síť
« Odpověď #6 kdy: 19. 11. 2024, 20:03:40 »
Pi hole je skvělí projekt. Jelikož nejdou editovat příspěvky......tak filtrování myslím šifrovaní domácí sítě.

Re:WireGuard pro domácí síť
« Odpověď #7 kdy: 19. 11. 2024, 20:58:52 »
Možná by bylo lepší nakreslit topologii jak to máte a pak účel co chcete udělat.

Nejdřív jsem měl za to, že chcete obejít nějaké zařízení kvůli jeho filtrování provozu (rodičovská ochrana některých stránek). Posléze mne napadlo zda to chcete použít jako VPN v telefonu kdy se schováte za nějaký server (PIA, Nord VPN, atd.) akorát na úrovní celé domácí sítě (vše za VDSL routerem) kdy veškerý provoz jede skrze tuto VPN.

Nebo jde o to, že jste si "doma" rozdělili sít a nechcete aby byl Váš provoz viditelný pro "ostatní" na stejné síti?
Tím myslíte to šifrování?