Jump to content

WireGuard VPN. Сервер на Debian 10 + клієнт на Mikrotik


Recommended Posts

1 hour ago, Twissell said:

Не розумію, як Київстарівський інтернет стане кращим від того, що ви загорнете його у той чи інший VPN тунель?
Карго культ якийсь 😁

Промолчал бы 

Link to post
Share on other sites
  • Replies 71
  • Created
  • Last Reply

Top Posters In This Topic

Top Posters In This Topic

Popular Posts

Щойно ради цікавості поставив 7.1 бета 6 і налаштував WireGuard. Все з'єдналось з першого разу, трафік бігає.  Порядок дій. 1. створив інтерфейс WireGuard 2. призначив інтерфейсу іп і маску

Маємо VPS сервер на Debian 10 і модем MikroTik LHG LTE6. Задача наступна: налаштувати інтернет через VPN тунель.   На сервер Debian 10 встановив і налаштував WireGuard скриптом: https://gith

осспаде, выбрось выбрось бету роутероса в мусор, рано ей ещё построй всё на л2тп+ипсек и будет тебе щастя

Posted Images

2 часа назад, Twissell сказав:

Не розумію, як Київстарівський інтернет стане кращим від того, що ви загорнете його у той чи інший VPN тунель?
Карго культ якийсь 😁

Створюється одне з'єднання через тунель і воно тримається стабільно, на відміну від багатьох з'єднань, які генеруються без використання тунелю.

 

Ті, хто налаштував такий тунель для інтернету, пишуть, що працювати почало набагато стабільніше і якісніше, ніж без тунелю.

 

Крім того отримуємо віддалений доступ до роутера і мережі загалом та маємо захищений канал інтернету для безпечного користування.

Link to post
Share on other sites

Зробив запит у службу підтримки Mikrotik щодо налаштувань VPN клієнта WireGuard на Mikrotik.

https://help.mikrotik.com/servicedesk/servicedesk/customer/portal/1/SUP-54506

Screenshot_20210712_134840.png

  • Like 1
Link to post
Share on other sites
1 час назад, FOP_Osypenko сказал:

Крім того отримуємо віддалений доступ до роутера і мережі загалом та маємо захищений канал інтернету для безпечного користування.

Без питань

 

1 час назад, FOP_Osypenko сказал:

Ті, хто налаштував такий тунель для інтернету, пишуть, що працювати почало набагато стабільніше і якісніше, ніж без тунелю.

Хм, невже все так занедбано у КС?

Хоча маю сказати, що дійсно на периферії (в певних регіонах) Мудофон працює краще, ніж КиївТрах, тож може і є сенс морочитися )

Edited by Twissell
Link to post
Share on other sites
19 минут назад, Twissell сказав:

Хм, невже все так занедбано у КС?

 

Хоча маю сказати, що дійсно на периферії (в певних регіонах) Мудофон працює краще, ніж КиївТрах, тож може і є сенс морочитися )

Ідею з тунелем відкопав тут http://netobzor.org/forum/index.php?topic=17082.0

 

Там якраз люди й обговорюють проблему нестабільного інтернету на Київстарі.

  • Like 1
Link to post
Share on other sites
4 часа назад, Бульба сказал:

Промолчал бы 

Из говна можно сделать конфетку, но это будет конфетка из говна. А. Туполев
Вот к чему это я.

Link to post
Share on other sites
2 часа назад, FOP_Osypenko сказал:

Ідею з тунелем відкопав тут http://netobzor.org/forum/index.php?topic=17082.0

А мисье в курсе, что этот тунель, внезапно, работает поверх интернета опсоса? И если есть проблема в физике, решать ее на L3 и выше - так себе занятия. Хотя да, есть моменты с "ускорителями"  интернета через спутники. Но вы почитайте как это работает и для чего используется ;)  А вообще - волшебный тунель не решает проблем физики и L3.   А многие проблемы можно решитьне конкретно WG туннелем, а вполне себе любым.

Edited by Dimkers
  • Like 1
Link to post
Share on other sites
8 минут назад, Dimkers сказав:

А мисье в курсе, что этот тунель, внезапно, работает поверх интернета опсоса? И если есть проблема в физике, решать ее на L3 и выше - так себе занятия. Хотя да, есть моменты с "ускорителями"  интернета через спутники. Но вы почитайте как это работает и для чего используется ;)  А вообще - волшебный тунель не решает проблем физики и L3.   А многие проблемы можно решитьне конкретно WG туннелем, а вполне себе любым.

Парадокс в тому, що однією з головних переваг цього WireGuard називають «простоту настройки». Але, як бачимо, ніхто досі не спромігся його налаштувати :)

Link to post
Share on other sites
1 час назад, FOP_Osypenko сказал:

Парадокс в тому, що однією з головних переваг цього WireGuard називають «простоту настройки». Але, як бачимо, ніхто досі не спромігся його налаштувати :)

Для простоты настройки купили бы кинетик, и то пришлось бы почитать многа букв про его настройку и принцип работы. А ман по настройке и форум там ахуенен для кулхацкеров. 

Ну вот только печаль, шо кинетик вражеская контора.

Link to post
Share on other sites
1 час назад, FOP_Osypenko сказал:

Парадокс в тому, що однією з головних переваг цього WireGuard називають «простоту настройки».

В любом случае все эти настройки не для домохозяек пытающихся обмануть опсоса. У админов все работает судя по хабру.

Link to post
Share on other sites
32 минуты назад, KaYot сказав:

В любом случае все эти настройки не для домохозяек пытающихся обмануть опсоса. У админов все работает судя по хабру.

Так це ж форум ніби не для домогосподарок. Але щось ніхто не має уявлення навіть, як воно налаштовується.

 

Рекомендують як не старі способи VPN, так взагалі придбати якесь інше обладнання. А по суті питання щось тиша.

Link to post
Share on other sites
22 минуты назад, FOP_Osypenko сказал:

Так це ж форум ніби не для домогосподарок. Але щось ніхто не має уявлення навіть, як воно налаштовується.

 

Рекомендують як не старі способи VPN, так взагалі придбати якесь інше обладнання. А по суті питання щось тиша.

Ну так правильно. Накой экспериментировать с какой-то неведомой чепухней в стадии "альфа", когда есть проверенные временем методы? Ну и плюсом пытаться заставить ее работать на ПО в стадии "бета",которое ставят либо самые отчаянные либо на посмотреть. Ну и да, кинетики выпустили стабильный пакет wg фиг знает когда и все его пилят и пилят, по сути перекомпиленый с openwrt. Там эта фича более востребована ибо их пользуют люди за которыми не сидят десятки сотрудников готовых оторвать голову за нерабочую сеть.

Link to post
Share on other sites
4 минуты назад, nedoinet сказав:

Ну так правильно. Накой экспериментировать с какой-то неведомой чепухней в стадии "альфа", когда есть проверенные временем методы? Ну и плюсом пытаться заставить ее работать на ПО в стадии "бета",которое ставят либо самые отчаянные либо на посмотреть. Ну и да, кинетики выпустили стабильный пакет wg фиг знает когда и все его пилят и пилят, по сути перекомпиленый с openwrt. Там эта фича более востребована ибо их пользуют люди за которыми не сидят десятки сотрудников готовых оторвать голову за нерабочую сеть.

Так в тому ж і суть прогресу, щоб вивчати щось нове і впроваджувати його на практиці. Старі способи тут і немає сенсу пережовувати по сто раз.

 

Якщо в нову прошивку RouterOS додали функцію WireGuard, то напевно з це було багатьом потрібно. То чого б же ним не користуватися?

Edited by FOP_Osypenko
Link to post
Share on other sites
10 часов назад, FOP_Osypenko сказал:

Так в тому ж і суть прогресу, щоб вивчати щось нове і впроваджувати його на практиці. Старі способи тут і немає сенсу пережовувати по сто раз.

 

Якщо в нову прошивку RouterOS додали функцію WireGuard, то напевно з це було багатьом потрібно. То чого б же ним не користуватися?

Залишаючи за дужками сучасну стабільність WG, Ваша головна проблема - забагована прошивка.
Про це тут вже згадували.

Edited by Twissell
Link to post
Share on other sites
13 часов назад, FOP_Osypenko сказал:

Так в тому ж і суть прогресу, щоб вивчати щось нове і впроваджувати його на практиці. Старі способи тут і немає сенсу пережовувати по сто раз.

Суть прогресса в том, что не нужно тупо копипастить статью и ждать рабочего варианта. Если не работает -  Нужно снимать дампы трафика и глядеть что не работает и сообщать разработчику.

А заниматься тестированием в продакшене того, что в принципе в режиме тестирования вышло - так себе затея. У микротика слишком много багов даже на лонгтерм прошивках. Поэтому можете попробовать старые беты микротика например. Ну и дампы посмотрите, что там летает в пакетах. Может банально порт на VPS или у прова закрыт.

 

Понимаешь, Осипенко, какая штука. То ты провайдера строишь на коленке и собираешься вжучить систему, то тунели строишь чтобы что-то улучшить, а по факту нагнуть опсоса... Но во всех случаях ты пишешь так, будто тебе все должны. Правда в том, что всем на тебя плевать. Поэтому оставь свои замашки про благородное изучение нового для своих сельских сослуживцев. Тут такое не канает

13 часов назад, FOP_Osypenko сказал:

Якщо в нову прошивку RouterOS додали функцію WireGuard, то напевно з це було багатьом потрібно. То чого б же ним не користуватися?

Новая прошивка имела выпеленный mpls. Хотя это многим было нужно, его убрали. Потом его добавили но кастрированным и только через консоль.

Так что твоя логика так себе.

Edited by Dimkers
Link to post
Share on other sites
1 час назад, Dimkers сказал:

Суть прогресса в том, что не нужно тупо копипастить статью и ждать рабочего варианта. Если не работает -  Нужно снимать дампы трафика и глядеть что не работает и сообщать разработчику.

А заниматься тестированием в продакшене того, что в принципе в режиме тестирования вышло - так себе затея. У микротика слишком много багов даже на лонгтерм прошивках. Поэтому можете попробовать старые беты микротика например. Ну и дампы посмотрите, что там летает в пакетах. Может банально порт на VPS или у прова закрыт.

 

Понимаешь, Осипенко, какая штука. То ты провайдера строишь на коленке и собираешься вжучить систему, то тунели строишь чтобы что-то улучшить, а по факту нагнуть опсоса... Но во всех случаях ты пишешь так, будто тебе все должны. Правда в том, что всем на тебя плевать. Поэтому оставь свои замашки про благородное изучение нового для своих сельских сослуживцев. Тут такое не канает

Новая прошивка имела выпеленный mpls. Хотя это многим было нужно, его убрали. Потом его добавили но кастрированным и только через консоль.

Так что твоя логика так себе.

@FOP_Osypenko Пытается нагнуть ОПСоса, а @Dimkers слогом нагибает всех🤣
Но по существу посыл правильный: Не тратьте, куме, сили на бетки Мікротіку, спускайтеся на дно)

Link to post
Share on other sites
8 часов назад, Dimkers сказав:

Может банально порт на VPS или у прова закрыт.

Порт на VPS відкритий і оператор Київстар теж не блокує ніяких портів. Зі смартфону ж працює VPN і налаштовується за хвилину. В чому сенс блокувати якийсь порт оператору, якщо порт можна поміняти на сервері і клієнті.

 

Я ж спеціально опублікував параметри для з'єднання з моїм VPN сервером WireGuard на Debian 10, щоб будь хто міг спробувати і протестувати роботу на своєму пристрої, в тому числі спробувати й на Mikrotik.

Link to post
Share on other sites
6 часов назад, Twissell сказал:

@FOP_Osypenko Пытается нагнуть ОПСоса, а @Dimkers слогом нагибает всех🤣
Но по существу посыл правильный: Не тратьте, куме, сили на бетки Мікротіку, спускайтеся на дно)

Ну человек везде любит повоевать с ветряками. То с удрц, то с нкрзи. Теперь вот доклепался к хромому некротику. 

Пы.сы. маны с хабры да и не только часто имеют специально сделанные ошибки. Ибо думать нужно, а не копипастить. Как варик - туполинк на openwrt. Там тоже подробнее некуда расписано как поднять.

  • Like 1
Link to post
Share on other sites
22 часа назад, FOP_Osypenko сказал:

Так в тому ж і суть прогресу, щоб вивчати щось нове і впроваджувати його на практиці

Суть маркетинга. Вот накой мне сейчас ломать прекрасно работающий л2тп+ ипсек туннель домой. плюсом резервный тунель на пптп, к которому можно на любом куркуляторе подключиться при необходимости?

Link to post
Share on other sites
1 час назад, FOP_Osypenko сказал:

В чому сенс блокувати якийсь порт оператору, якщо порт можна поміняти на сервері і клієнті.

Ты шо ты умный

1 час назад, FOP_Osypenko сказал:

Я ж спеціально опублікував параметри для з'єднання з моїм VPN сервером WireGuard на Debian 10, щоб будь хто міг спробувати і протестувати роботу на своєму пристрої, в тому числі спробувати й на Mikrotik.

Но как оказалось - всем покую :D

 

Link to post
Share on other sites
  • 2 weeks later...

Вирішив ще спробувати налаштувати IPsec VPN сервер на Debian 10.

 

Знайшов ось такий скрипт для установки: https://github.com/hwdsl2/setup-ipsec-vpn

 

Запускаю на сервері наступну команду:

wget https://git.io/vpnsetup -O vpn.sh && sudo sh vpn.sh && sudo ikev2.sh --auto

 

Але видає таку помилку:

Error: /dev/ppp is missing. Debian 10 users, see: https://git.io/vpndebian10

 

Link to post
Share on other sites

За довідковою інформацією ця помилка пояснюється так:

Цитата

 

Debian 10 kernel

Debian 10 users: Run uname -r to check your server's Linux kernel version. If it contains the word "cloud", and /dev/ppp is missing, then the kernel lacks ppp support and cannot use IPsec/L2TP mode. The VPN setup scripts try to detect this and show an error.

To fix, you may switch to the standard Linux kernel by installing e.g. the linux-image-amd64 package. Then update the default kernel in GRUB and reboot your server. Finally, re-run the VPN setup script.

 

 

Перевіряю версію ядра і отримую:

root@vps758815:~# uname -r
5.10.0-0.bpo.7-cloud-amd64

 

Виходить, що на VPS сервері неможливо налаштувати IPsec VPN сервер, чи що?
 

Link to post
Share on other sites

Виходит шо ты долбаеб. Сорян. Но если у тебя голова чтобы копипастить инструкцуии и кидать ошибки в гугол - увы....

Нахухры тебе ipsec? он снизит производительность изза шифрования.  Зачем тебе, долб@ебу - шифрование? А ХЗ. Просто выглядит заебато. Да?

Дуркнь, ты вначале подумай что тебе надо, а потом думай какими инструментами это реализовывать. А то что ты делаешь ща -  хуевертишь ради непонятно чего.

Edited by Dimkers
  • Haha 1
Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Content

    • By DAnEq
      купил точки доступа mikrotik cap ac и mikrotik hex poe lite
      конечная цель сделать бесшовный роуминг

      в мануалах везде указано что делается либо с помощью caspman либо с помощью mesh
      когда купил, прочитал, что в помощью capsman бесшовный роуминг сделать нельзя (в моем видении это когда точки сами смотрят на какой из них сигнал от клиента сильнее и переключают клиента сами без потери пакетов), можно лишь выставить чтобы точка принудительно отключала клиента с сигналом меньше заданого уровня, чтобы он переключился на более сильную точку (и думаю это будет с потерей пакетов)
      вопрос 1 - правда ли это ?

      вопрос 2
      включил на роутере cap, точку доступа поставил в такой же режим
      в итоге точка доступа айпи адрес получает, а клиент не получает, хоть на роутере попытки подключения видны
      на точке доступа поставил все интерфейсы в бридж
      конфиги сейчас приложу

      конфиг роутера
       
      /interface bridge add admin-mac=2C:C8:1B:C4:5D:AF auto-mac=no comment=defconf name=bridge /interface pppoe-client add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 password=0294 service-name=pppoe1 \ use-peer-dns=yes user=05710831 /caps-man interface add configuration.mode=ap configuration.ssid=RiOni disabled=no l2mtu=1600 mac-address=DC:2C:6E:B8:44:4E \ master-interface=none name=cap1 radio-mac=DC:2C:6E:B8:44:4E radio-name=DC2C6EB8444E \ security.authentication-types=wpa2-psk security.encryption=aes-ccm security.passphrase=88888888 add configuration.load-balancing-group="" configuration.mode=ap configuration.ssid=RiOni disabled=no l2mtu=1600 \ mac-address=DC:2C:6E:B8:44:4F master-interface=none name=cap2 radio-mac=DC:2C:6E:B8:44:4F radio-name=DC2C6EB8444F \ security.authentication-types=wpa2-psk security.encryption=aes-ccm security.passphrase=88888888 /interface list add comment=defconf name=WAN add comment=defconf name=LAN /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip pool add name=dhcp ranges=192.168.88.10-192.168.88.254 add name=cap1 ranges=192.168.1.0/24 /ip dhcp-server add address-pool=dhcp disabled=no interface=bridge name=defconf add address-pool=dhcp disabled=no interface=cap1 name=cap1 add address-pool=dhcp disabled=no interface=cap2 name=cap2 /caps-man manager set enabled=yes /interface bridge port add bridge=bridge comment=defconf interface=ether2 add bridge=bridge comment=defconf interface=ether3 add bridge=bridge comment=defconf interface=ether4 add bridge=bridge comment=defconf interface=ether5 add bridge=bridge disabled=yes interface=all /ip neighbor discovery-settings set discover-interface-list=LAN /interface list member add comment=defconf interface=bridge list=LAN add comment=defconf interface=ether1 list=WAN add interface=pppoe-out1 list=WAN /ip address add address=192.168.88.1/24 comment=defconf interface=ether2 network=192.168.88.0 /ip dhcp-client add comment=defconf interface=ether1 /ip dhcp-server network add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1 /ip dns set allow-remote-requests=yes /ip dns static add address=192.168.88.1 comment=defconf name=router.lan /ip firewall filter add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=\ established,related,untracked add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1 add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=\ established,related,untracked add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \ connection-state=new in-interface-list=WAN /ip firewall nat add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN /system clock set time-zone-name=Europe/Kiev /system package update set channel=long-term /tool mac-server set allowed-interface-list=LAN /tool mac-server mac-winbox set allowed-interface-list=LAN
      конфиг точки доступа
      /interface bridge add admin-mac=DC:2C:6E:B8:44:4C auto-mac=no comment=defconf name=bridgeLocal /interface wireless # managed by CAPsMAN # channel: 2447/20-eC/gn(28dBm), SSID: RiOni, CAPsMAN forwarding set [ find default-name=wlan1 ] ssid=MikroTik # managed by CAPsMAN # channel: 5200/20-eCee/ac(14dBm), SSID: RiOni, CAPsMAN forwarding set [ find default-name=wlan2 ] ssid=MikroTik /interface list add name=WAN add name=LAN /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip hotspot profile set [ find default=yes ] html-directory=hotspot /interface bridge port add bridge=bridgeLocal comment=defconf interface=ether1 add bridge=bridgeLocal comment=defconf interface=ether2 add bridge=bridgeLocal interface=wlan2 add bridge=bridgeLocal interface=wlan1 /interface list member add interface=ether1 list=WAN add interface=ether2 list=LAN add interface=wlan2 list=LAN add interface=wlan1 list=LAN /interface wireless cap # set bridge=bridgeLocal discovery-interfaces=bridgeLocal enabled=yes interfaces=wlan1,wlan2 /ip dhcp-client add comment=defconf disabled=no interface=bridgeLocal /system clock set time-zone-name=Europe/Kiev

      что делаю не так ?
       
    • By Інет.укр
      MIKROTIK • CRS504-4XQ-IN • 4x QSFP28 ports indoor switch
      https://www.wifihw.cz/default.asp?cls=stoitem&stiid=5471
      MIKROTIK • CCR2004-16G-2S+PC • 16x GB RJ45, 2x 10G SFP+ Cloud Core Router
      https://www.wifihw.cz/default.asp?cls=stoitem&stiid=5472
      MIKROTIK • LHGGM&EG18-EA •Outdoor LTE unit LHG LTE18 kit
      https://www.wifihw.cz/default.asp?cls=stoitem&stiid=5473
      MIKROTIK • MT-HotSwapFan • Hot-swap Fan for CCR
      https://www.wifihw.cz/default.asp?cls=stoitem&stiid=5474
      MIKROTIK • QMP-LDF • Holder for LDF units
      https://www.wifihw.cz/default.asp?cls=stoitem&stiid=5475
    • By orko19991
      Актуальні залишки і ціну по контактах:
      Tel.viber.telegram  - 067-323-17-30
      Email - sales@gazik.store
      Skype - orko1991
    • By 3vFantoMv3
      Куплю Mikrotik RouterBoard RB750Gr3 б.у.
      Цену предлагайте.
       
    • By valexa
      Добрый день. Может кто сталкивался. Настроены Vlan между двумя микротиками. и на этих vlan постоянно сыпятся дропы на одном Rx а на втором Tx дропы. так вроде все работает. потерь нету по пакетам но за день количество дропов 730 насыпало. Может кто подскажет куда и как можно найти проблемму?? 

×
×
  • Create New...