Extra WiFi s „transparentní“ VPN

Re:Extra WiFi s „transparentní“ VPN
« Odpověď #15 kdy: 03. 08. 2023, 15:50:05 »
Začal bych kontrolou od začátku protože může být chyba v postupu:

Velmi důležité!
0) Ujistěte se, že ten LTE modem v režimu router má vypnuté ve firewalu: port filtering and port mapping (pokud je to jediné zařízení před mikrotikem R), případně je řádně nastaven aby nefiltroval porty.
Nejlépe dejte mikrotik R do DMZ v LTE modemu a přidělte mu statickou IP aby DMZ zůstalo stejné.
Ono to může být vše nastaveno dobře ale LTE modem vás nepustí skrze vlastní nenastavitelný firewall.
Takto se veškerý provoz z LTE modemu pošle na mikrotik R který už nastavujete dle potřeby.
- zmiňujete O2 tak to buď bude MF268 nebo WR830 či ten bojler od huawei

Posléze kontrola
1) WG jsou správně nastaveny public keys, allowed adresses, port ?
2) Správně povolený firewall ?
3) WG je v Interface list v LAN ?
4) Kontrola IP > routes
5) Jestli se vše zdá OK, tak potom vyzkoušet zda se na jakékoliv vzdálené zařízení skrze tunel připojíte z bodu L do R a obráceně (třeba na ten AP tp-link určitě má povolenou webovou konfiguraci a přidělenou IP)
6) Máte-li funkční spojení tak jako fáze 2 si vytvořte duplicitní jako zálohu.
7) Dopřejte si odměnu za první WG připojení na které se vás budou všichni ptát a budete dělat servis i ostatním  :)



Re:Extra WiFi s „transparentní“ VPN
« Odpověď #16 kdy: 03. 08. 2023, 21:06:59 »
Začal bych kontrolou od začátku protože může být chyba v postupu:

Velmi důležité!
0) Ujistěte se, že ten LTE modem v režimu router má vypnuté ve firewalu: port filtering and port mapping (pokud je to jediné zařízení před mikrotikem R), případně je řádně nastaven aby nefiltroval porty.
Nejlépe dejte mikrotik R do DMZ v LTE modemu a přidělte mu statickou IP aby DMZ zůstalo stejné.
Ono to může být vše nastaveno dobře ale LTE modem vás nepustí skrze vlastní nenastavitelný firewall.
Takto se veškerý provoz z LTE modemu pošle na mikrotik R který už nastavujete dle potřeby.
- zmiňujete O2 tak to buď bude MF268 nebo WR830 či ten bojler od huawei

Tohle je vyřešené. WireGuard spojení je navázáno a komunikuje obousměrně. Teď je tam LTE, ale na tom to zkouším a ladím v jedné místnosti (mám vše po ruce, akorát si tím LTEčkem simuluju tu vzdálenou stranu). Ve finále bude místo LTE Starlink, ale klidně cokoliv, abych s tím mohl jezdit jak s kolotočem a fungovalo to kdykoli, když „do správného portu píchnu internet“ :).

V čem plavu, jsou ty routy mezi sítěmi a potenciálně default route do internetu skrz WireGuard na té jakoby klientské straně. Já vím, že pro znalce sítí a routování je to brnkačka, já tomu teprv přicházím na kloub :).

Wolda

  • **
  • 78
  • http://honza.ucw.cz
    • Zobrazit profil
    • E-mail
Re:Extra WiFi s „transparentní“ VPN
« Odpověď #17 kdy: 04. 08. 2023, 08:31:20 »
Hele, v ramci prvotniho ladeni, slo by zkusit prvne nahradit Mikrotik R nejakym linuxem, a zkusit se napojit na mikrotik L s AllowedIPs=0.0.0.0/0 ? Jen at si odfajfkujeme, ze je treba nakofigurovat spravne Mikrotik R.

Jinak typicka implementace wireguardu dela automaticke cachry s routovaci tabulkou (napr. pri tom AllowedIPs=0.0.0.0/0, tzn. vsechno do tunelu, zaridi, ze se samotna komunikace toho tunelu neposila skrz tunel…). Automatiku lze vypnout pomoci Table=off v sekci [interface] . Bylo by dobre, aspon na testy, zjistit, zda/jak tohoto docilit na Mikrotik/RouterOS, at mas routovani plne pod kontrolou Ty.

Re:Extra WiFi s „transparentní“ VPN
« Odpověď #18 kdy: 05. 08. 2023, 19:43:52 »
web mám u vercelu postavený na NEXT JS, ale je téměř statický, statický lze provozovat i třeba na Amazon S3, VPS netřeba. Osobně si myslím, že statický web zažívá zase renezanci, ať už kvůli rychlosti načítání (což je třeba u WordPressu pomalé), tak kvůli jednoduchosti.

Squarespace atd., stojí to docela dost, o něco výhodněji vychází třeba Wedos Website, ale obecně nejlepší je si to napsat sám, nicméně to žere čas, ale já jsem se to spíše chtěl naučit, dneska se na frontendu dost jede Tailwind CSS, a hlavní změna pro mě jako člověka co to dělal před 20ti lety a dnes, je hlavně flexbox a grid, které to vše vlastně dělají o dost jednodušší.

Myslím, že frontend není raketová věda, a osvěžit si to stojí za to.

Co se týká VPS, tak raději mám počítač puštěný doma non-stop. Trošku problémy byly se zhasínáním monitorů a všeho, ale to se vyřešilo chytrou zásuvkou IKEA se spínačem. Mít to doma mi přijde nejlepší, něco to stojí na elektřině, na druhou stranu člověk má přístup ke všemu ve vnitřní síti, a může si jednoduše zaplatit statickou IP u operátora, samozřejmě závisí na vytíženosti linky, ale já třeba domů mám optiku, tak zas strach nemám.