WireGuard KeepAlive a dynamická IP klienta

WireGuard KeepAlive a dynamická IP klienta
« kdy: 11. 07. 2022, 14:39:51 »
Ahoj,
měl bych 2 dotazy k WireGuard. Mám firemní WG server na veřejné IP adrese a k němu se budou připojovat klienti za NATem - mobily, notebooky na cestách atd.

1) PersistentKeepalive
Vím k čemu je, ale i tak si nejsem jistý, jestli je pro ty klienty potřeba.
Budu s notebookem v terénu, přes data a WG připojený do firmy. Při vypnutém KeepAlive, když nebudu z firmy nic tahat, se mi spojení po nějaké době rozpadne? A jakmile něco budu požadovat, spojení se obratem naváže?
Je viditelný rozdíl v navázání spojení s případem, kdy bych měl KeepAlive třeba 25s? Nepotřebuju, aby mi server něco posílal.

2) Dynamická IP adresa klienta
Umožňuje WG něco jako přidělení IP adresy klientovi z nějakého rozsahu při navázání spojení?
Jde mi o tohle. Doposud používáme OpenVPN a tento umí. Jeden člověk má svoji konfiguraci pro mobil i notebook, IP adresu dostane přidělenou.
S WG bych mu musel dát 2 konfiguráky, každý s jinou IP.

Díky.
« Poslední změna: 11. 07. 2022, 14:48:32 od Petr Krčmář »


Re:WireGuard KeepAlive a dynamická IP klienta
« Odpověď #1 kdy: 11. 07. 2022, 14:54:55 »
KeepAlive se používá k tomu, aby zůstaly otevřené NAT po cestě. WireGuard totiž nekomunikuje, pokud není potřeba nic přenášet. Pak se obvykle za 60 sekund NAT zavře a kdyby pak server na veřejnou adresu posílal nějakou komunikaci, ke klientovi se už nedostane. KeepAlive udržuje spojení tak, že pravidelně posílá protistraně prázdné pakety.

WG neřeší uživatele ani dynamické přidělování adres. Konfiguruje se vždy IP adresa a veřejný klíč pro každou protistranu. Pokud má uživatel víc zařízení, jsou pro ně na serveru samostatné sekce v konfiguraci.

ja.

  • ****
  • 316
    • Zobrazit profil
    • E-mail
Re:WireGuard KeepAlive a dynamická IP klienta
« Odpověď #2 kdy: 11. 07. 2022, 15:02:45 »
1) PersistentKeepalive slúži na dva účely:

aby druhá strana vedela, na akej ip hľadať peera - pokiaľ má vo svojom configu ip alebo hostname peera, tak to sa použije pri vytváraní nového spojenia, ale pokiaľ s daným kľúčom už chodia pakety z inej ip adresy, tak sa používa táto iná ip adresa.

Druhý dôvod je držanie aktívnych mapovaní v NAT po ceste. Pokiaľ by mal byť poslaný nejaký paket zo vzdialenej strany na klienta, aby ho príliš aktívny NAT po ceste nezahodil.

2) Aktuálne Wireguard nealokuje IP adresy zo svojho poolu per connection, treba alokovať ručne a dať ich do configu. Navyše ich treba alokovať pre každého peera extra. Pokiaľ chcete používať dve zariadenia, musíte mať dva rozličné configy s dvoma rozličnými kľúčami, inak ich naraz nebudete vedieť použiť. Wireguard bude posielať pakety na poslednú známu IP, odkiaľ sa ozval peer s daným kľúčom (viď predošlý bod).

Re:WireGuard KeepAlive a dynamická IP klienta
« Odpověď #3 kdy: 11. 07. 2022, 15:12:56 »
Díky pánové,
jak jsem psal, u toho NATu nepotřebuji nic dostávat ze serveru do klienta, takže vyzkouším obě varianty, jestli je viditelný rozdíl v tom navázání spojení po zavření .
Co se týká dynamické IP, použiju pro každého klienta samostatnou konfiguraci. Možná to časem bude: https://github.com/WireGuard/wg-dynamic