WireGuard pro domácí síť

Re:WireGuard pro domácí síť
« Odpověď #15 kdy: 22. 11. 2024, 08:33:44 »
WG slouží pro přístup do domácí sítě zvenčí (jak tady už někdo napsal) a samozřejmě i pro případy, kdy je potřeba někde v zahraničí mít IP adresu z ČR (třeba kvůli netové TV). Ale snažit se WG používat ve vnitřní síti k jakémusi šifrování čehosi, je naprostá utopie. Vnitřní síť musí být naopak bez jakýchkoliv překážek. A pokud se jedná o vnitřní síť, kde je potřeba nějak oddělit vlastní zařízení od cizích (třeba u felčara, který používá síť pro svoje zařízení + tam dá WiFi pro pacienty v čekárně), tak na to stačí udělat VLAN.


Re:WireGuard pro domácí síť
« Odpověď #16 kdy: 22. 11. 2024, 11:09:42 »
Zkusím to napsat lépe, můj cíl je aby všechna připojená zařízení nemusela používat klienta. Jednoduše připojím např. tablet a ten bude mít přístup přes WG na internet. Nejsem odborník na sítě a v Linuxu umím jen základy, pokud je to moc složité a nejde napsat postup tak na to kašlem.
vždyť už to napsal , ale pořád nemám celý obrázek..

Kde chceš mít druhý konec tunelu?

Zkusím se zeptat jestli je to co chceš?

Máš svoji síť. Která je součástí jiné větší sítě. Chceš aby provoz do netu byl šifrovaný.
Pak stačí na tvém routeru nastavit WG , to allowed IP na nulky, nastavit druhý WG peer na tu VPS a . +Pohlídat dns
?
Pokud je ten popis špatně, co opravit?

Podle mě na 

k3dAR

  • *****
  • 3 075
  • porad nemam telo, ale uz mam hlavu... nobody
    • Zobrazit profil
    • E-mail
Re:WireGuard pro domácí síť
« Odpověď #17 kdy: 22. 11. 2024, 11:39:30 »
[...]Kde chceš mít druhý konec tunelu?

Zkusím se zeptat jestli je to co chceš?
On to uz upresnil, ma lokalni sit v ktere ma napr. PC, TV a chce aby v te lokalni siti ta lokalni zarizeni mezi sebou komunikovala lokalnim WG tunelem ;⁠-⁠)

Re:WireGuard pro domácí síť
« Odpověď #18 kdy: 22. 11. 2024, 18:32:54 »
WG slouží pro přístup do domácí sítě zvenčí (jak tady už někdo napsal)

No to není úplně přesně pravda, WG je jedno kde je. Prostě mám klienta v mobilu, jsem doma na wifi a i když jsem na stejné VLAN se stejnou adresací jako třeba kamera doma a já si na telefonu dám náhled kamery, tak na Mikrotiku vidím, že data jdou na router na iterface WG čili jsou i v VLAN tunelem a teprve pak z Mikrotiku na tu kameru - viz screenshot
10.140.5.0 je WG síť
10.140.1.0 je LAN (+ wifi)
« Poslední změna: 22. 11. 2024, 18:35:19 od michaelscz »

Re:WireGuard pro domácí síť
« Odpověď #19 kdy: 22. 11. 2024, 18:34:26 »
[...]Kde chceš mít druhý konec tunelu?

Zkusím se zeptat jestli je to co chceš?
On to uz upresnil, ma lokalni sit v ktere ma napr. PC, TV a chce aby v te lokalni siti ta lokalni zarizeni mezi sebou komunikovala lokalnim WG tunelem ;⁠-⁠)

... a jak jsem psal, jde to ..
Prostě když na mikrotiku udělám WG a na všech PC a telefonech si dám WG klienta s Allowed 0.0.0.0/0 tak to všechno půjde tunelem ...
Nežere to baterku, nemusí to udržovat žádné TCP spojení. Prostě přijde požadavek na paket a WG klient je jej obalí a hodí do tunelu.
« Poslední změna: 22. 11. 2024, 18:37:40 od michaelscz »


Re:WireGuard pro domácí síť
« Odpověď #20 kdy: 22. 11. 2024, 19:41:57 »
Zkusím to napsat lépe, můj cíl je aby všechna připojená zařízení nemusela používat klienta. Jednoduše připojím např. tablet a ten bude mít přístup přes WG na internet. Nejsem odborník na sítě a v Linuxu umím jen základy, pokud je to moc složité a nejde napsat postup tak na to kašlem.

A jak chceš používat WG bez klienta? Zamyslel jsi se než jsi to napsal?

Re:WireGuard pro domácí síť
« Odpověď #21 kdy: 22. 11. 2024, 22:40:22 »
Podle mě to je srozumitelné (pro mě až teď, když jsem sti to přečetl xkrát), že prostě  WG nebude terminován   na (každém)koncovém zařízení, které chce používat. Takže na  (nejspíš prvním) routeru právě bude jeden wiregurd démon. Otázka je, jestli to chce nějak granulárněji řešit (vyčlenit dle source, destination), ale vzhledem k uvádění 0.0.0.0 asi veškerý cíle, takže zbývá pro která zařízení chce tunelizaci aplikovat, a možností se nabízí víc, podle source  IP (policy routing-ip rule from) nebo podle vstupního rozraní ( ip-rule iif) nebo podle vlan.


Abych přihodil jednu zvlášnost, (která nezpůsobuje žádné problémy), v některých situacích  dostávám ICMP new gateway redirect....  No v některých... asi při každé nové srcIP dstIP komunikaci

Nastane až v situaci, kdy do hry vstoupí smartphone s android wg klientem a zapnu na něm šoupátkem danou VPN (zbývající 2 nody mají permanentní tunel, NATEDrouter za NATEM keepalivující na VPS)
, tedy režim komunikace začne z síťařského hlediska být zajímavý (z nudného point to point tunelu  o dvou peerech se  prostřední node(VPS)  se stane multipoint node )

příklad :curl 10.5.0.NATEDROUTER
na wg rozhraní  natovaného routeru se mi objeví:
istening on wg_rou-vps, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes
IP 10.5.0.VPS > 10.5.0.NATEDROUTER: ICMP redirect 10.5.0.PHONE to host 10.5.0.PHONE, length 68

tentýž ICMP paket z pohledu PHONU vypadá:
interface tun0
IP 10.5.0.VPS > 10.5.0.PHONE: ICMP redirect 10.5.0.NATEDROUTER to host 10.5.0.NATED ROUTER, length 68 (snapshot paketu: PHONE->NATEDROUTER)


ale icmp redirect nastává z kteréhokoli zařízení z LAN spojujícíse ho  stelefonem (hypoteticky jako kdybymi tam jel webserver):
(z pohledu phonu)
10.5.0.VPS > 10.5.0.PHONE  ICMP REdirect 192.168.1.22 to HOST 10.5.0.NATEDROUTER
(z pohledu NATEDROUTERU)
---žádný redirect---
(z pohledu vps)
 10.5.0.VPS > 10.5.0.PHONE: ICMP redirect 192.168.1.22 to host 10.5.0.NATEDROUTER, length 48
   IP (tos 0x0, ttl 63, id 37, offset 0, flags [DF], proto TCP (6), length 40)
    10.5.0.PHONE.88 > 192.168.1.21.51607: Flags
  • , cksum 0x5d2b (correct), seq 0, ack 2207791321, win 0, length 0


NAT se mezi těmito sítěmi neděje. (NAT dělá jenom vps pří přístupu na internet nebo router při přístup na internet přes WAN)


záznam flow při nc 10.5.0..PHONE 80:
Kód: [Vybrat]
00:00:00.000000 IP 192.168.1.21.52247 > 10.5.0.PHO.8222: Flags [S], seq 2572734474, win 65535, options [mss 1460,nop,wscale 5,nop,nop,TS val 1123288837 ecr 0,sackOK,eol], length 0
 00:00:00.000022 IP 192.168.1.21.52247 > 10.5.0.PHO.8222: Flags [S], seq 2572734474, win 65535, options [mss 1460,nop,wscale 5,nop,nop,TS val 1123288837 ecr 0,sackOK,eol], length 0
 00:00:00.771971 IP 10.5.0.PHO.8222 > 192.168.1.21.52247: Flags [R.], seq 0, ack 2572734475, win 0, length 0
 00:00:00.000024 IP 10.5.0.VPS > 10.5.0.PHO: ICMP redirect 192.168.1.21 to host 10.5.0.NATEDROUTER, length 48
 00:00:00.000012 IP 10.5.0.PHO.8222 > 192.168.1.21.52247: Flags [R.], seq 0, ack 1, win 0, length 0
(jo to vím, že některé knihovny střílí TCP syn x krát)

a z telefonu

00:00:00.000012 IP (tos 0xc0, ttl 64, id 32201, offset 0, flags [none], proto ICMP (1), length 80)
    10.5.0.VPS > 10.5.0.PHO: ICMP redirect 192.168.1.16 to host 10.5.0.NATEDROUTER, length 60
   IP (tos 0x0, ttl 63, id 43356, offset 0, flags [DF], proto TCP (6), length 52)
    10.5.0.PHO.37549 > 192.168.1.16.80: Flags [F.], cksum 0x448a (correct), seq 76, ack 374, win 131, options [nop,nop,TS val 4303581 ecr 19382204], length 0


A to nejduležitější: Nemám třeba blbě konfiguraci WG ? Mám to tak, že VPS má 2 peery (router, phone), ale PHONE má peera VPS a ROUTER má peera VPS taky (ostatně jak  jinak)?


čili co je to za věc? je to nějaký bug vážnž'ý? nebo je to očekáváné chování? vypadá, to ,že telefon posílá pakety jakousi špatnou pseudobránu (ale pochybuju, že něco takového existuje v TUN) . opakuju, že vše funguje. Jenom prostě padají z obou směrů tyhle ICMP zdvižené prsty

Je to asi takhle? On by ten VPS chtěl, aby to  WG bylo spojené do trojúhelníka (propojit PHONE a router) ale to nejde, protože nikdo z nich nemá veřejnou IP ... proto pořád vysílá ty icmp redirecty... Mezi nimi musí být ten styčný VPS

A teď, jak to řešit? něco správně dokonfigurovat (a kde) nebo umlčet logy (nějaké sysctl) nebo ignorovat nebo upgradovat nějakého wg démona
« Poslední změna: 22. 11. 2024, 22:47:45 od Ħαℓ₸℮ℵ ␏⫢ ⦚ »

Re:WireGuard pro domácí síť
« Odpověď #22 kdy: 23. 11. 2024, 08:56:42 »
WG slouží pro přístup do domácí sítě zvenčí (jak tady už někdo napsal)

No to není úplně přesně pravda, WG je jedno kde je. Prostě mám klienta v mobilu, jsem doma na wifi a i když jsem na stejné VLAN se stejnou adresací jako třeba kamera doma a já si na telefonu dám náhled kamery, tak na Mikrotiku vidím, že data jdou na router na iterface WG čili jsou i v VLAN tunelem a teprve pak z Mikrotiku na tu kameru - viz screenshot
10.140.5.0 je WG síť
10.140.1.0 je LAN (+ wifi)
Výše jsem psal, k čemu WG slouží. Že jde používat i jinak, to se nevylučuje. Ale smyslem WG nikdy nebylo nějaké harakiri v domácí síti. Asi jako třeba u traktoru, který primárně slouží k zemědělství, což ale nevylučuje, že ho někdo používá k dopravě do zaměstnání nebo na nákupy do Kauflandu.

Re:WireGuard pro domácí síť
« Odpověď #23 kdy: 25. 11. 2024, 18:28:29 »
Tak jsem trochu študoval a přesně chci docílit šifrovaní DNS aby ISP nevěděl kam chodím na NET. Jak toho docílit ? ( nemám zájem o skrývání IP ani lokace) Tedy chci soukromí ne anonymitu.

Re:WireGuard pro domácí síť
« Odpověď #24 kdy: 25. 11. 2024, 18:41:47 »
DNS over HTTPS (DoH)

Re:WireGuard pro domácí síť
« Odpověď #25 kdy: 25. 11. 2024, 18:45:40 »
Tak jsem trochu študoval a přesně chci docílit šifrovaní DNS aby ISP nevěděl kam chodím na NET. Jak toho docílit ? ( nemám zájem o skrývání IP ani lokace) Tedy chci soukromí ne anonymitu.
Bože   :-\ Nicméně to ti stejně DoH nevyřeší ... provider stejně pak vidí v paketu zdroj a cíl kam následně jdeš.
« Poslední změna: 25. 11. 2024, 18:48:02 od michaelscz »

Re:WireGuard pro domácí síť
« Odpověď #26 kdy: 25. 11. 2024, 18:50:01 »

Výše jsem psal, k čemu WG slouží. Že jde používat i jinak, to se nevylučuje. Ale smyslem WG nikdy nebylo nějaké harakiri v domácí síti. Asi jako třeba u traktoru, který primárně slouží k zemědělství, což ale nevylučuje, že ho někdo používá k dopravě do zaměstnání nebo na nákupy do Kauflandu.

Jenže z dotazů, co původní pisatel psal, to vypadalo, že chce právě toto řešení.

jjrsk

  • *****
  • 603
    • Zobrazit profil
Re:WireGuard pro domácí síť
« Odpověď #27 kdy: 26. 11. 2024, 09:00:41 »
Přemýšlím co je cílem např v případě TV? Aby ostatní na stejné WiFi neviděli, co TV posílá? Pokud je to tolik důležité a nejde nainstalovat WG klient, tak ji vytvoř vlastní virtuální AP/SSID s jiným heslem.
Aby to davalo smysl, musel by mit WPA3, a dost pochybuju, ze to umi zcela libovolna TV. Navic sem si nevsim ze by byla nekde rec o nejaky wifi.

... používat ve vnitřní síti k jakémusi šifrování čehosi, je naprostá utopie. Vnitřní síť musí být naopak bez jakýchkoliv překážek. ....
To je taky neskutecnej blabol. Sifrovani provozu uvnitr privatni site je zcela legitimni pozadavek, ale v domaci siti technicky prakticky nerealizovatelny.

...Výše jsem psal, k čemu WG slouží. ...
== jen potvrzujes, ze o sitich a sitovani nevis vubec nic.

DNS over HTTPS (DoH)
Jiste, a nejlepe vsechno posilat googlu ...

Re:WireGuard pro domácí DoH /DNS tunel
« Odpověď #28 kdy: 26. 11. 2024, 11:35:52 »
Tak víme zadání.  jsou 2 možnosti .
-použít DNS over TLS - nebo DNS over HTTP(a že provider uvidí, že lezeš na port 853 nebo 443 je jiná věc) na to pro linux existuje například stubby.
- tunelem posílat ty nešifrované dotazy

to je dobrý si rozhodnout. Teoreticky to jde i kombinovat : udělat si tunel pro DoH /DoT traffic. Ale nevidím důvod proč to komplikovat (ledaže bys byl paranoidní a chtěl aby provider ani neviděl že jdeš na IP DoT nebo chtěl maskovat DNS fingerprinting)

a nezapomenout na router dát -j REJECT pro  DNS požadavky ven(případně -TPROXY pro transparentní MITM portu 53) , protože spousta krabiček  velkých firem po celém světě si usmyslela, že použije DNS dle svého uvážení.

on někdo (natož tazatel) nadhodil něco o používání googlích DNS? Samozřejmě bych je nepoužil taky. Ale pokud nepoužívá žádný chrome, google android nebo jný šmírovácí hardwarový nebo softwarový nástroj od Googlu, tak bych to neviděl tak kriticky.
I kdyžexistuje spousta alternativ.
« Poslední změna: 26. 11. 2024, 11:39:24 od mikesznovu »

Re:WireGuard pro domácí síť
« Odpověď #29 kdy: 26. 11. 2024, 12:00:55 »
Tak vám nevím, operuje se tu s DoH a podobné maskovačky, ale pokud tazatel chtěl šifrovaný kanál P2P, tak k tomu sice WG slouží, ale ten druhý bod přeci musí být také součástí tunelu ne? jinak celé DoH apod je k ničemu, když pak datový traffic ven jede veřejně bez tunelu. Jako bych ctěl před pošťačkou skrýt skutečnost, že si objednávám dodávku pornočasopisů a tak objednáku pošlu holubem a zásilku pak přijmu českou poštou :-p