Перейти до

WireGuard VPN. Сервер на Debian 10 + клієнт на Mikrotik


Рекомендованные сообщения

1 hour ago, Twissell said:

Не розумію, як Київстарівський інтернет стане кращим від того, що ви загорнете його у той чи інший VPN тунель?
Карго культ якийсь ?

Промолчал бы 

Ссылка на сообщение
Поделиться на других сайтах
  • Відповіді 71
  • Створено
  • Остання відповідь

Top Posters In This Topic

Top Posters In This Topic

Popular Posts

Щойно ради цікавості поставив 7.1 бета 6 і налаштував WireGuard. Все з'єдналось з першого разу, трафік бігає.  Порядок дій. 1. створив інтерфейс WireGuard 2. призначив інтерфейсу іп і маску

Маємо VPS сервер на Debian 10 і модем MikroTik LHG LTE6. Задача наступна: налаштувати інтернет через VPN тунель.   На сервер Debian 10 встановив і налаштував WireGuard скриптом: https://gith

осспаде, выбрось выбрось бету роутероса в мусор, рано ей ещё построй всё на л2тп+ипсек и будет тебе щастя

Posted Images

2 часа назад, Twissell сказав:

Не розумію, як Київстарівський інтернет стане кращим від того, що ви загорнете його у той чи інший VPN тунель?
Карго культ якийсь ?

Створюється одне з'єднання через тунель і воно тримається стабільно, на відміну від багатьох з'єднань, які генеруються без використання тунелю.

 

Ті, хто налаштував такий тунель для інтернету, пишуть, що працювати почало набагато стабільніше і якісніше, ніж без тунелю.

 

Крім того отримуємо віддалений доступ до роутера і мережі загалом та маємо захищений канал інтернету для безпечного користування.

Ссылка на сообщение
Поделиться на других сайтах

Зробив запит у службу підтримки Mikrotik щодо налаштувань VPN клієнта WireGuard на Mikrotik.

https://help.mikrotik.com/servicedesk/servicedesk/customer/portal/1/SUP-54506

Screenshot_20210712_134840.png

  • Like 1
Ссылка на сообщение
Поделиться на других сайтах
1 час назад, FOP_Osypenko сказал:

Крім того отримуємо віддалений доступ до роутера і мережі загалом та маємо захищений канал інтернету для безпечного користування.

Без питань

 

1 час назад, FOP_Osypenko сказал:

Ті, хто налаштував такий тунель для інтернету, пишуть, що працювати почало набагато стабільніше і якісніше, ніж без тунелю.

Хм, невже все так занедбано у КС?

Хоча маю сказати, що дійсно на периферії (в певних регіонах) Мудофон працює краще, ніж КиївТрах, тож може і є сенс морочитися )

Відредаговано Twissell
Ссылка на сообщение
Поделиться на других сайтах
19 минут назад, Twissell сказав:

Хм, невже все так занедбано у КС?

 

Хоча маю сказати, що дійсно на периферії (в певних регіонах) Мудофон працює краще, ніж КиївТрах, тож може і є сенс морочитися )

Ідею з тунелем відкопав тут http://netobzor.org/forum/index.php?topic=17082.0

 

Там якраз люди й обговорюють проблему нестабільного інтернету на Київстарі.

  • Like 1
Ссылка на сообщение
Поделиться на других сайтах
4 часа назад, Бульба сказал:

Промолчал бы 

Из говна можно сделать конфетку, но это будет конфетка из говна. А. Туполев
Вот к чему это я.

Ссылка на сообщение
Поделиться на других сайтах
2 часа назад, FOP_Osypenko сказал:

Ідею з тунелем відкопав тут http://netobzor.org/forum/index.php?topic=17082.0

А мисье в курсе, что этот тунель, внезапно, работает поверх интернета опсоса? И если есть проблема в физике, решать ее на L3 и выше - так себе занятия. Хотя да, есть моменты с "ускорителями"  интернета через спутники. Но вы почитайте как это работает и для чего используется ;)  А вообще - волшебный тунель не решает проблем физики и L3.   А многие проблемы можно решитьне конкретно WG туннелем, а вполне себе любым.

Відредаговано Dimkers
  • Like 1
Ссылка на сообщение
Поделиться на других сайтах
8 минут назад, Dimkers сказав:

А мисье в курсе, что этот тунель, внезапно, работает поверх интернета опсоса? И если есть проблема в физике, решать ее на L3 и выше - так себе занятия. Хотя да, есть моменты с "ускорителями"  интернета через спутники. Но вы почитайте как это работает и для чего используется ;)  А вообще - волшебный тунель не решает проблем физики и L3.   А многие проблемы можно решитьне конкретно WG туннелем, а вполне себе любым.

Парадокс в тому, що однією з головних переваг цього WireGuard називають «простоту настройки». Але, як бачимо, ніхто досі не спромігся його налаштувати :)

Ссылка на сообщение
Поделиться на других сайтах
1 час назад, FOP_Osypenko сказал:

Парадокс в тому, що однією з головних переваг цього WireGuard називають «простоту настройки». Але, як бачимо, ніхто досі не спромігся його налаштувати :)

Для простоты настройки купили бы кинетик, и то пришлось бы почитать многа букв про его настройку и принцип работы. А ман по настройке и форум там ахуенен для кулхацкеров. 

Ну вот только печаль, шо кинетик вражеская контора.

Ссылка на сообщение
Поделиться на других сайтах
1 час назад, FOP_Osypenko сказал:

Парадокс в тому, що однією з головних переваг цього WireGuard називають «простоту настройки».

В любом случае все эти настройки не для домохозяек пытающихся обмануть опсоса. У админов все работает судя по хабру.

Ссылка на сообщение
Поделиться на других сайтах
32 минуты назад, KaYot сказав:

В любом случае все эти настройки не для домохозяек пытающихся обмануть опсоса. У админов все работает судя по хабру.

Так це ж форум ніби не для домогосподарок. Але щось ніхто не має уявлення навіть, як воно налаштовується.

 

Рекомендують як не старі способи VPN, так взагалі придбати якесь інше обладнання. А по суті питання щось тиша.

Ссылка на сообщение
Поделиться на других сайтах
22 минуты назад, FOP_Osypenko сказал:

Так це ж форум ніби не для домогосподарок. Але щось ніхто не має уявлення навіть, як воно налаштовується.

 

Рекомендують як не старі способи VPN, так взагалі придбати якесь інше обладнання. А по суті питання щось тиша.

Ну так правильно. Накой экспериментировать с какой-то неведомой чепухней в стадии "альфа", когда есть проверенные временем методы? Ну и плюсом пытаться заставить ее работать на ПО в стадии "бета",которое ставят либо самые отчаянные либо на посмотреть. Ну и да, кинетики выпустили стабильный пакет wg фиг знает когда и все его пилят и пилят, по сути перекомпиленый с openwrt. Там эта фича более востребована ибо их пользуют люди за которыми не сидят десятки сотрудников готовых оторвать голову за нерабочую сеть.

Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)
4 минуты назад, nedoinet сказав:

Ну так правильно. Накой экспериментировать с какой-то неведомой чепухней в стадии "альфа", когда есть проверенные временем методы? Ну и плюсом пытаться заставить ее работать на ПО в стадии "бета",которое ставят либо самые отчаянные либо на посмотреть. Ну и да, кинетики выпустили стабильный пакет wg фиг знает когда и все его пилят и пилят, по сути перекомпиленый с openwrt. Там эта фича более востребована ибо их пользуют люди за которыми не сидят десятки сотрудников готовых оторвать голову за нерабочую сеть.

Так в тому ж і суть прогресу, щоб вивчати щось нове і впроваджувати його на практиці. Старі способи тут і немає сенсу пережовувати по сто раз.

 

Якщо в нову прошивку RouterOS додали функцію WireGuard, то напевно з це було багатьом потрібно. То чого б же ним не користуватися?

Відредаговано FOP_Osypenko
Ссылка на сообщение
Поделиться на других сайтах
10 часов назад, FOP_Osypenko сказал:

Так в тому ж і суть прогресу, щоб вивчати щось нове і впроваджувати його на практиці. Старі способи тут і немає сенсу пережовувати по сто раз.

 

Якщо в нову прошивку RouterOS додали функцію WireGuard, то напевно з це було багатьом потрібно. То чого б же ним не користуватися?

Залишаючи за дужками сучасну стабільність WG, Ваша головна проблема - забагована прошивка.
Про це тут вже згадували.

Відредаговано Twissell
Ссылка на сообщение
Поделиться на других сайтах
13 часов назад, FOP_Osypenko сказал:

Так в тому ж і суть прогресу, щоб вивчати щось нове і впроваджувати його на практиці. Старі способи тут і немає сенсу пережовувати по сто раз.

Суть прогресса в том, что не нужно тупо копипастить статью и ждать рабочего варианта. Если не работает -  Нужно снимать дампы трафика и глядеть что не работает и сообщать разработчику.

А заниматься тестированием в продакшене того, что в принципе в режиме тестирования вышло - так себе затея. У микротика слишком много багов даже на лонгтерм прошивках. Поэтому можете попробовать старые беты микротика например. Ну и дампы посмотрите, что там летает в пакетах. Может банально порт на VPS или у прова закрыт.

 

Понимаешь, Осипенко, какая штука. То ты провайдера строишь на коленке и собираешься вжучить систему, то тунели строишь чтобы что-то улучшить, а по факту нагнуть опсоса... Но во всех случаях ты пишешь так, будто тебе все должны. Правда в том, что всем на тебя плевать. Поэтому оставь свои замашки про благородное изучение нового для своих сельских сослуживцев. Тут такое не канает

13 часов назад, FOP_Osypenko сказал:

Якщо в нову прошивку RouterOS додали функцію WireGuard, то напевно з це було багатьом потрібно. То чого б же ним не користуватися?

Новая прошивка имела выпеленный mpls. Хотя это многим было нужно, его убрали. Потом его добавили но кастрированным и только через консоль.

Так что твоя логика так себе.

Відредаговано Dimkers
Ссылка на сообщение
Поделиться на других сайтах
1 час назад, Dimkers сказал:

Суть прогресса в том, что не нужно тупо копипастить статью и ждать рабочего варианта. Если не работает -  Нужно снимать дампы трафика и глядеть что не работает и сообщать разработчику.

А заниматься тестированием в продакшене того, что в принципе в режиме тестирования вышло - так себе затея. У микротика слишком много багов даже на лонгтерм прошивках. Поэтому можете попробовать старые беты микротика например. Ну и дампы посмотрите, что там летает в пакетах. Может банально порт на VPS или у прова закрыт.

 

Понимаешь, Осипенко, какая штука. То ты провайдера строишь на коленке и собираешься вжучить систему, то тунели строишь чтобы что-то улучшить, а по факту нагнуть опсоса... Но во всех случаях ты пишешь так, будто тебе все должны. Правда в том, что всем на тебя плевать. Поэтому оставь свои замашки про благородное изучение нового для своих сельских сослуживцев. Тут такое не канает

Новая прошивка имела выпеленный mpls. Хотя это многим было нужно, его убрали. Потом его добавили но кастрированным и только через консоль.

Так что твоя логика так себе.

@FOP_Osypenko Пытается нагнуть ОПСоса, а @Dimkers слогом нагибает всех?
Но по существу посыл правильный: Не тратьте, куме, сили на бетки Мікротіку, спускайтеся на дно)

Ссылка на сообщение
Поделиться на других сайтах
8 часов назад, Dimkers сказав:

Может банально порт на VPS или у прова закрыт.

Порт на VPS відкритий і оператор Київстар теж не блокує ніяких портів. Зі смартфону ж працює VPN і налаштовується за хвилину. В чому сенс блокувати якийсь порт оператору, якщо порт можна поміняти на сервері і клієнті.

 

Я ж спеціально опублікував параметри для з'єднання з моїм VPN сервером WireGuard на Debian 10, щоб будь хто міг спробувати і протестувати роботу на своєму пристрої, в тому числі спробувати й на Mikrotik.

Ссылка на сообщение
Поделиться на других сайтах
6 часов назад, Twissell сказал:

@FOP_Osypenko Пытается нагнуть ОПСоса, а @Dimkers слогом нагибает всех?
Но по существу посыл правильный: Не тратьте, куме, сили на бетки Мікротіку, спускайтеся на дно)

Ну человек везде любит повоевать с ветряками. То с удрц, то с нкрзи. Теперь вот доклепался к хромому некротику. 

Пы.сы. маны с хабры да и не только часто имеют специально сделанные ошибки. Ибо думать нужно, а не копипастить. Как варик - туполинк на openwrt. Там тоже подробнее некуда расписано как поднять.

  • Like 1
Ссылка на сообщение
Поделиться на других сайтах
22 часа назад, FOP_Osypenko сказал:

Так в тому ж і суть прогресу, щоб вивчати щось нове і впроваджувати його на практиці

Суть маркетинга. Вот накой мне сейчас ломать прекрасно работающий л2тп+ ипсек туннель домой. плюсом резервный тунель на пптп, к которому можно на любом куркуляторе подключиться при необходимости?

Ссылка на сообщение
Поделиться на других сайтах
1 час назад, FOP_Osypenko сказал:

В чому сенс блокувати якийсь порт оператору, якщо порт можна поміняти на сервері і клієнті.

Ты шо ты умный

1 час назад, FOP_Osypenko сказал:

Я ж спеціально опублікував параметри для з'єднання з моїм VPN сервером WireGuard на Debian 10, щоб будь хто міг спробувати і протестувати роботу на своєму пристрої, в тому числі спробувати й на Mikrotik.

Но как оказалось - всем покую :D

 

Ссылка на сообщение
Поделиться на других сайтах
  • 2 weeks later...

Вирішив ще спробувати налаштувати IPsec VPN сервер на Debian 10.

 

Знайшов ось такий скрипт для установки: https://github.com/hwdsl2/setup-ipsec-vpn

 

Запускаю на сервері наступну команду:

wget https://git.io/vpnsetup -O vpn.sh && sudo sh vpn.sh && sudo ikev2.sh --auto

 

Але видає таку помилку:

Error: /dev/ppp is missing. Debian 10 users, see: https://git.io/vpndebian10

 

Ссылка на сообщение
Поделиться на других сайтах

За довідковою інформацією ця помилка пояснюється так:

Цитата

 

Debian 10 kernel

Debian 10 users: Run uname -r to check your server's Linux kernel version. If it contains the word "cloud", and /dev/ppp is missing, then the kernel lacks ppp support and cannot use IPsec/L2TP mode. The VPN setup scripts try to detect this and show an error.

To fix, you may switch to the standard Linux kernel by installing e.g. the linux-image-amd64 package. Then update the default kernel in GRUB and reboot your server. Finally, re-run the VPN setup script.

 

 

Перевіряю версію ядра і отримую:

root@vps758815:~# uname -r
5.10.0-0.bpo.7-cloud-amd64

 

Виходить, що на VPS сервері неможливо налаштувати IPsec VPN сервер, чи що?
 

Ссылка на сообщение
Поделиться на других сайтах

Виходит шо ты долбаеб. Сорян. Но если у тебя голова чтобы копипастить инструкцуии и кидать ошибки в гугол - увы....

Нахухры тебе ipsec? он снизит производительность изза шифрования.  Зачем тебе, долб@ебу - шифрование? А ХЗ. Просто выглядит заебато. Да?

Дуркнь, ты вначале подумай что тебе надо, а потом думай какими инструментами это реализовывать. А то что ты делаешь ща -  хуевертишь ради непонятно чего.

Відредаговано Dimkers
  • Haha 1
Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від Arthur_
      Предприятию (Днепр, центр + филиал в Приднепровске) нужен внештатный специалист по Mikrotik
      1) VPN : WireGuard Tunel между локальными сетями центрального офиса и филиалами
      2) VPN : WireGuard между офисом и удалёнными сотрудниками

      Рассматриватся только WireGuard !

      Форма сотрудничества: ЗАДАЧА ---> ВЫПОЛНЕНИЕ ----> ОПЛАТА (нал, на карту, безнал)
      Предпочтение: Выполнение задачи на территории предприятия (и специалисту спокойнее - что оплата будет произведена)
      В дальнейшем возможно удалённое сотрудничество.

      свои предложения направляйте на ящик: vacancy.mik@gmail.com  с пометкой Mikrotik

      Рассматриваются только реальные предложения.

      Спасибо
    • Від Туйон
      Отличие от обычной SXT5 - гигабитный порт и лицензия 4 уровня (может быть не только бриджом а и точкой доступа).
      Старенькая, АС-стандарт не поддерживает.
      В своё время мегабит 160+ вроде качала.
      Где-то возможно в том же гараже есть вторая такая же, если надо - могу поискать.
      Внешнее состояние нормальное. Чуть пожелтела но трещин и т д нету.
      В комплекте сама точка и хвостик крепления (вставлятся в саму антенну).
      РОЕ где-то в работе до сих пор, но подойдут любые.
      Цена.. пусть для начала будет 1000 грн.
      Проверена в комнате "на коленке", дам время на полноценную поверку, а то мало ли (года два лежала отдыхала).
      Желающие пишите в ЛС.
       
      https://www.technotrade.com.ua/Products/MikroTik_SXT_G_5HnD.php
    • Від independent
      Mikrotik rb4011igs+5hacq-2hnd-in
      Б/в.
      Ціна 5075 грн
       
      https://www.olx.ua/d/uk/obyavlenie/mikrotik-rb4011igs-5hacq2hnd-in-IDWH6Lo.html
    • Від independent
      Mikrotik rb4011igs+5hacq-2hnd-in б/в.
      Продається в результаті великого енергоспоживання від дбж.
       
      Ціна 6100 грн
       
      https://www.olx.ua/d/uk/obyavlenie/mikrotik-rb4011igs-5hacq2hnd-in-IDWH6Lo.html
    • Від Axel K
      Вітаю!
       
      налаштування capsman
      /caps-man channel add band=2ghz-b/g/n extension-channel=disabled frequency=2412,2437,2462 name=channel1 add band=5ghz-a/n/ac extension-channel=disabled frequency=5180 name=channel5 skip-dfs-channels=yes tx-power=40 /caps-man datapath add bridge=Main client-to-client-forwarding=yes local-forwarding=no name=datapath1 /caps-man configuration add channel=channel1 datapath=datapath1 max-sta-count=20 mode=ap name=cfg1 rx-chains=0,1,2,3 ssid=25 tx-chains=0,1,2,3 add channel=channel5 datapath=datapath1 hide-ssid=no mode=ap name=cfg5 rx-chains=0,1,2,3 ssid=25 tx-chains=0,1,2,3 /caps-man access-list add action=reject allow-signal-out-of-range=10s disabled=no signal-range=-120..-85 ssid-regexp="" /caps-man manager set enabled=yes /caps-man provisioning add action=create-dynamic-enabled hw-supported-modes=ac master-configuration=cfg5 name-format=prefix-identity add action=create-dynamic-enabled hw-supported-modes=gn master-configuration=cfg1 name-format=prefix-identity проблема у низькій швидкості у клієнта
      якщо включити local-forwarding=yes, клієнт підключається, але не отримує ір.
       
      розумію, що на bdcom не вистачає налаштувань, прошу допомоги.

×
×
  • Створити нове...