WireGuard pro domácí síť

WireGuard pro domácí síť
« kdy: 19. 11. 2024, 06:02:51 »
Čau, potřebuji poradit jak nastavit WG aby filtroval všechen provoz v domácí síti.
Mám VDSL router přes LAN TV_box s armbian, na něm mám nastaveno WG (wg0) server a klienta přes PC, vše funguje.
Pokud vytvořím wg1 a spustím, tak nemám přístup na internet, asi mi to blokuje FW.

wg0
Kód: [Vybrat]
# Do not alter the commented lines
# They are used by wireguard-install
# ENDPOINT 192.168.1.104

[Interface]
Address = 10.7.0.1/24
PrivateKey = xx
ListenPort = 51820

# BEGIN_PEER
[Peer]
PublicKey = xx
PresharedKey = xx
AllowedIPs = 10.7.0.2/32
# END_PEER


wg1
Kód: [Vybrat]
[Interface]
Address = 10.7.0.2/24
DNS = 9.9.9.9, 142.112.112.112
PrivateKey = xx

[Peer]
PublicKey = xx
PresharedKey = xx
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = 192.168.1.104:51820
PersistentKeepalive = 25



Zopper

  • *****
  • 812
    • Zobrazit profil
Re:WireGuard pro domácí síť
« Odpověď #1 kdy: 19. 11. 2024, 07:24:56 »
Není mi jasné,  o co se reálně snažíš. Přijde mi, že chceš provozovat VPN uvnitř LAN místo pro přístup z venku a něco o filtrování... Čeho přesně se tím snažíš dosáhnout? Nebude lepší VLAN + firewall pravidla? :)

A co říká debug log wireguardu, naváže se spojení? Drží se, nerozpadá se? Pingneš z peera na druhou stranu?

RDa

  • *****
  • 2 784
    • Zobrazit profil
    • E-mail
Re:WireGuard pro domácí síť
« Odpověď #2 kdy: 19. 11. 2024, 08:28:04 »
Podle me, klient WG1 podle tohoto:

Kód: [Vybrat]
AllowedIPs = 0.0.0.0/0, ::/0
Bude routovat po aktivaci vpn provoz do WG spojeni, ale server WG0 nema zapnuty routing/NAT pak dal, a jedina adresa na kterou se dostanes je tedy jeho vpn adresa 10.7.0.1 .

Re:WireGuard pro domácí síť
« Odpověď #3 kdy: 19. 11. 2024, 12:21:26 »
Ten popis je vágoní, moc z toho nevyčtu. Filtrováním myslíš co? REJECT,DROP asi ne. A "všechen" provoz od více počítačů nebo víc typů (bez rozlišení kombinace dst portů/ IP  )
Nemáš přístup na internet z  jakých zařízení? Předpokládám že jenom z wg1 počítače Je na server povoleno forwardování a taky NAT?
Nemělo by allowed ips mít AllowedIPs = 10.7.0.2/24 ?

 To "vše funguje" znamená ještě před "spuštěním" wg1 ? Nebo po spuštění wg1 a jen komunikaci v LAN a neboj dokonce jen mezi peery? 10.x.x.x. ? (Ono spuštění wg  na jednom pc nemá co ovlivnit moc)



Moje rada, použít tcpdump, zkoušet tracecroute, pingy pro tyto obory :10.x.x.x. / v rámci LAN, pak do internetu.

někdy se povede, že ping dokáže hlásit něco jakko "Klíč není dostupný"... chyba  routing wg

taky by to chtělo třeba pastnout routovací tabulky...

policy routing  , packet marking nebo nějaké specitality používáš? NAT taky a a kde?
« Poslední změna: 19. 11. 2024, 12:24:23 od Ħαℓ₸℮ℵ ␏⫢ ⦚ »

Re:WireGuard pro domácí síť
« Odpověď #4 kdy: 19. 11. 2024, 18:11:02 »
Zkusím to napsat lépe, můj cíl je aby všechna připojená zařízení nemusela používat klienta. Jednoduše připojím např. tablet a ten bude mít přístup přes WG na internet. Nejsem odborník na sítě a v Linuxu umím jen základy, pokud je to moc složité a nejde napsat postup tak na to kašlem.


k3dAR

  • *****
  • 3 071
  • porad nemam telo, ale uz mam hlavu... nobody
    • Zobrazit profil
    • E-mail
Re:WireGuard pro domácí síť
« Odpověď #5 kdy: 19. 11. 2024, 18:58:47 »
Zkusím to napsat lépe, můj cíl je aby všechna připojená zařízení nemusela používat klienta. Jednoduše připojím např. tablet a ten bude mít přístup přes WG na internet. Nejsem odborník na sítě a v Linuxu umím jen základy, pokud je to moc složité a nejde napsat postup tak na to kašlem.
Mozna ti uniklo, ze WireGuard slouzi na neco jineho: napr. aby jsi se z internetu mohl pripojit do sve domaci site

Nevim jaky provoz si chtel filtrovat, pokud slo o reklamy tam na to je napr. https://pi-hole.net

Re:WireGuard pro domácí síť
« Odpověď #6 kdy: 19. 11. 2024, 20:03:40 »
Pi hole je skvělí projekt. Jelikož nejdou editovat příspěvky......tak filtrování myslím šifrovaní domácí sítě.

Re:WireGuard pro domácí síť
« Odpověď #7 kdy: 19. 11. 2024, 20:58:52 »
Možná by bylo lepší nakreslit topologii jak to máte a pak účel co chcete udělat.

Nejdřív jsem měl za to, že chcete obejít nějaké zařízení kvůli jeho filtrování provozu (rodičovská ochrana některých stránek). Posléze mne napadlo zda to chcete použít jako VPN v telefonu kdy se schováte za nějaký server (PIA, Nord VPN, atd.) akorát na úrovní celé domácí sítě (vše za VDSL routerem) kdy veškerý provoz jede skrze tuto VPN.

Nebo jde o to, že jste si "doma" rozdělili sít a nechcete aby byl Váš provoz viditelný pro "ostatní" na stejné síti?
Tím myslíte to šifrování?




Re:WireGuard pro domácí síť
« Odpověď #8 kdy: 21. 11. 2024, 16:50:50 »
Tak jinak, chci v domácí síti mýt šifrované spojení mezi routerem a PC,TV atd jak toho docílit ?

jjrsk

  • *****
  • 594
    • Zobrazit profil
Re:WireGuard pro domácí síť
« Odpověď #9 kdy: 21. 11. 2024, 17:40:54 »
Velice pravdepodobne nijak, skoncis uz na ty telce.

Pokud ti jde o to, jak zaridis sifrovani veskereho provozu, tak pro ten ucel existuje ipsec, ale vetsina zarizeni to bud neumi vubec, nebo s mnoha omezenimi nebo na to potrebujes nejakou dalsi aplikaci, kterou do toho zarizeni nijak nedostanes.

Pokud ti jde o sifrovani konkretnich protokolu, tak opet skoncis typicky na tom, ze to nektera z tech krabic jednoduse neumi.

Napriklad z telky bys moh chtit pristupovat na nejaky smb share, a samba sama o sobe sifrovat, od verze 3, umi. Ale vetsina krabic horkotezko zvladne smb2, a velice casto si nucen pouzivat naprosto deravou a nezabezpecitelnou smb1.

Pokud z toho PC lezes na net pres ten router samozrejme leze presne to, co leze z toho PC, takze pokud je to sifrovane, leze to sifrovane i pres router, pokud neni, tak smula. Muzes sice vytvorit nejaky sifrovany tunel, ale v tomhle pripade te budou prozmenu limitovat moznosti toho routeru. A to nejen SW, ale primarne vykonostni - ono neco takoveho neni zadarmo.

V kazdem pripade zapomen na to, ze by se to nejak nastavilo samo. To je naprosty scifi.

Mozna by bylo lepsi kdybys napsal, ceho chces dosahnout = proc se o to snazis.

---
BTW: Protozuju AD zabaleny do ipsecu, duvod je jednoduchy, je to dalsi vrstva zabezpeceni prave interni firemni site a nemusim pak resit, jestli nejaky hej nebo pockej sifruje konexe do databazi, pripadne pouziva http a posila pres to hesla (retardovanych dodavatelu je vsude dostatek) atd atd, ale realne do takovy site pripojis servery/pc klienty, a i s tim budes resit spoustu ale.


Re:WireGuard pro domácí síť
« Odpověď #10 kdy: 21. 11. 2024, 20:51:39 »
Tak jinak, chci v domácí síti mýt šifrované spojení mezi routerem a PC,TV atd jak toho docílit ?

Jde to, mám to tak. Mám doma na Mikrotiku jen jeden WG interface (nevím, proč děláš další interface) a na všech klientech (mobil, notebook apod) mám konfiguraci, kde je důležité:

[Peer]
AllowedIPs = 0.0.0.0/0

tím jde primárně všechno přes ten tunel, i když jsem na wifi ve stejné síti. Na mobilu tak mám WG zapnutý pořád a neřeším to a defacto jedu pořád přes WG tunel i když jsem mimo wifi a jedu přes LTE.

k3dAR

  • *****
  • 3 071
  • porad nemam telo, ale uz mam hlavu... nobody
    • Zobrazit profil
    • E-mail
Re:WireGuard pro domácí síť
« Odpověď #11 kdy: 21. 11. 2024, 23:06:57 »
[...] a na všech klientech (mobil, notebook apod) mám konfiguraci, kde je důležité:
[Peer]
AllowedIPs = 0.0.0.0/0
[...]

a jak to nastavi na te TV? (tedy pokud to neni TV s Androidem) :-)

Re:WireGuard pro domácí síť
« Odpověď #12 kdy: 22. 11. 2024, 05:13:58 »
michaelscz // přesně takhle to používám teď a problém mám s TV co zmiňuje k3dAR.

CFM

  • ***
  • 107
    • Zobrazit profil
Re:WireGuard pro domácí síť
« Odpověď #13 kdy: 22. 11. 2024, 07:06:24 »
Přemýšlím co je cílem např v případě TV? Aby ostatní na stejné WiFi neviděli, co TV posílá? Pokud je to tolik důležité a nejde nainstalovat WG klient, tak ji vytvoř vlastní virtuální AP/SSID s jiným heslem.

Re:WireGuard pro domácí síť
« Odpověď #14 kdy: 22. 11. 2024, 08:03:25 »
michaelscz // přesně takhle to používám teď a problém mám s TV co zmiňuje k3dAR.

Asi nerozumím. Buď to ta TV umí nebo ne. Kdyže ne, kup nejlevnější Mikrotik, udělej WG na něm a TV zapoj do něj.
Nebo se ptáš tak nastavit WG na něčem kde není WG klient?

P.S.: úplně celé vlákno jsem nečetl... Nebo použij třeba https://excalidraw.com/ a namaluj tady, jak to máš zapojené