Перейти до

WireGuard VPN. Сервер на Debian 10 + клієнт на Mikrotik


Рекомендованные сообщения

6 часов назад, FOP_Osypenko сказал:

IPsec VPN

А чем pptp не устраивает? Легковесный и завести можно на любом куркуляторе. Или страх что гэбня увидит какие ролики в черно-оранжевом ютубе были просмотрены?

Ссылка на сообщение
Поделиться на других сайтах
  • Відповіді 71
  • Створено
  • Остання відповідь

Top Posters In This Topic

Top Posters In This Topic

Popular Posts

Щойно ради цікавості поставив 7.1 бета 6 і налаштував WireGuard. Все з'єдналось з першого разу, трафік бігає.  Порядок дій. 1. створив інтерфейс WireGuard 2. призначив інтерфейсу іп і маску

Маємо VPS сервер на Debian 10 і модем MikroTik LHG LTE6. Задача наступна: налаштувати інтернет через VPN тунель.   На сервер Debian 10 встановив і налаштував WireGuard скриптом: https://gith

осспаде, выбрось выбрось бету роутероса в мусор, рано ей ещё построй всё на л2тп+ипсек и будет тебе щастя

Posted Images

30 минут назад, nedoinet сказав:

А чем pptp не устраивает? Легковесный и завести можно на любом куркуляторе. Или страх что гэбня увидит какие ролики в черно-оранжевом ютубе были просмотрены?

Так тут же всі радили скористатися саме IPsec + l2tp. Тепер і це не таке? :)

Ссылка на сообщение
Поделиться на других сайтах

Я налаштовував таку зв'язку ще рік тому задля забави,  так само по інструкції, все працювало. Правда на 9 дебіані. 

 

На форумі 3 сторінки але так і не зрозуміло чи піднімається у вас тунель, якщо не піднімається - то чи є якісь повідомлення в логах на сервері \ роутері? 

і ще нюанс, якщо VPS не свій, т.е. піднятий не своїми руками а взятий десь на хостингу, то він може бути з обрізаним ядром і функціоналом. щоб все працювало потрібно самостійно скачувати і встановлювати на впс офіційний дебіан. 

Ссылка на сообщение
Поделиться на других сайтах
годину тому, AlienLabs сказав:

Я налаштовував таку зв'язку ще рік тому задля забави,  так само по інструкції, все працювало. Правда на 9 дебіані. 

 

На форумі 3 сторінки але так і не зрозуміло чи піднімається у вас тунель, якщо не піднімається - то чи є якісь повідомлення в логах на сервері \ роутері? 

і ще нюанс, якщо VPS не свій, т.е. піднятий не своїми руками а взятий десь на хостингу, то він може бути з обрізаним ядром і функціоналом. щоб все працювало потрібно самостійно скачувати і встановлювати на впс офіційний дебіан. 

Яку саме «зв'язку» Ви маєте на увазі? WireGuard чи IPsec + l2tp з Debian? Що саме вдалося було налаштувати?

Ссылка на сообщение
Поделиться на других сайтах
4 часа назад, AlienLabs сказал:

Я налаштовував таку зв'язку ще рік тому задля забави,  так само по інструкції, все працювало. Правда на 9 дебіані. 

 

На форумі 3 сторінки але так і не зрозуміло чи піднімається у вас тунель, якщо не піднімається - то чи є якісь повідомлення в логах на сервері \ роутері? 

і ще нюанс, якщо VPS не свій, т.е. піднятий не своїми руками а взятий десь на хостингу, то він може бути з обрізаним ядром і функціоналом. щоб все працювало потрібно самостійно скачувати і встановлювати на впс офіційний дебіан. 

да где вы такой видали, куда не плюнь повсюду нормальная ось, если это kvm виртуализация разумеется 

  • Like 1
Ссылка на сообщение
Поделиться на других сайтах
Цитата

Яку саме «зв'язку» Ви маєте на увазі? WireGuard чи IPsec + l2tp з Debian? Що саме вдалося було налаштувати?

mikrotik + вихід в інтернет через тунель wireguard. сервер був у німців, провайдер hetzner. але то дармова трата часу, так як по продуктивності від l2tp не дуже відрізняється. хіба що для свого розвитку) 
 

Цитата

да где вы такой видали, куда не плюнь повсюду нормальная ось, если это kvm виртуализация разумеется

от там і бачив, особливо у провайдерів які впс дають в оренду, там вирізано все по максимуму, для економії місця і ресурсів. 
також існують готові образи для розгортання в контейнерах, т.е. нічого встановлювати не треба, підкинув файл, ос запустилась, все працює, 1 хв роботи. 

впски всякі то вам не фізичні сервери, де адмін днями возиться з налаштуваннями)

Ссылка на сообщение
Поделиться на других сайтах
1 час назад, AlienLabs сказал:

mikrotik + вихід в інтернет через тунель wireguard. сервер був у німців, провайдер hetzner. але то дармова трата часу, так як по продуктивності від l2tp не дуже відрізняється. хіба що для свого розвитку) 
 

от там і бачив, особливо у провайдерів які впс дають в оренду, там вирізано все по максимуму, для економії місця і ресурсів. 
також існують готові образи для розгортання в контейнерах, т.е. нічого встановлювати не треба, підкинув файл, ос запустилась, все працює, 1 хв роботи. 

впски всякі то вам не фізичні сервери, де адмін днями возиться з налаштуваннями)

ВПС != контейнер. 

Ссылка на сообщение
Поделиться на других сайтах
40 минут назад, tkapluk сказал:

ВПС != контейнер. 

Очень даже равно. Если взять тот же Prozmox VE, а он достаточно популярен, то там впски в lxc контейнерах, всё правильно.

Кстати, cloudflare warp вроде как wg юзает

Ссылка на сообщение
Поделиться на других сайтах
15 минут назад, Kiano сказал:

Очень даже равно. Если взять тот же Prozmox VE, а он достаточно популярен, то там впски в lxc контейнерах, всё правильно.

Это лишь говорит о том, что Проксмокс умеет работать как с впс так и с контейнерам. Там даже кнопки для создания так и подписаны: создать вм и создать контейнер. )) 

Попробуй в этом контейнере запустить Винду, или хотябы Убунту с графическим интерфейсом. ) 

Відредаговано tkapluk
Ссылка на сообщение
Поделиться на других сайтах
1 час назад, tkapluk сказал:

Это лишь говорит о том, что Проксмокс умеет работать как с впс так и с контейнерам. Там даже кнопки для создания так и подписаны: создать вм и создать контейнер. )) 

Попробуй в этом контейнере запустить Винду, или хотябы Убунту с графическим интерфейсом. ) 

Первое - никак, это же контейнер)) второе можно с плясками ))

Ссылка на сообщение
Поделиться на других сайтах
1 час назад, Kiano сказал:

Очень даже равно. Если взять тот же Prozmox VE, а он достаточно популярен, то там впски в lxc контейнерах, всё правильно.

Кстати, cloudflare warp вроде как wg юзает

но kvm не совсем контейнер, ну то-есть вообще не контейнер

3 часа назад, AlienLabs сказал:

mikrotik + вихід в інтернет через тунель wireguard. сервер був у німців, провайдер hetzner. але то дармова трата часу, так як по продуктивності від l2tp не дуже відрізняється. хіба що для свого розвитку) 
 

от там і бачив, особливо у провайдерів які впс дають в оренду, там вирізано все по максимуму, для економії місця і ресурсів. 
також існують готові образи для розгортання в контейнерах, т.е. нічого встановлювати не треба, підкинув файл, ос запустилась, все працює, 1 хв роботи. 

впски всякі то вам не фізичні сервери, де адмін днями возиться з налаштуваннями)

ну так хоть хостера укажите, буду его обходить 10 дорогой

Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)
4 часа назад, AlienLabs сказав:

mikrotik + вихід в інтернет через тунель wireguard. сервер був у німців, провайдер hetzner. але то дармова трата часу, так як по продуктивності від l2tp не дуже відрізняється. хіба що для свого розвитку) 

В мене VPS сервер на OVH хостингу. На системі Debian 10 вдалося досить легко скриптом встановити і налаштувати VPN сервер WireGuard і згенерувати параметри для клієнтів.

 

Застряг я на тому, що не зміг налаштувати WireGuard клієнт на Mikrotik. WireGuard обрав саме через відгуки по простоті налаштувань, але не дуже воно й просто виявилося.

 

Був би дуже вдячний, якби Ви поділився конфігом з командами налаштувань WireGuard клієнта на Mikrotik. До речі, прошивку я оновив до сьомої версії.

Відредаговано FOP_Osypenko
Ссылка на сообщение
Поделиться на других сайтах
47 минут назад, Kiano сказал:

Первое - никак, это же контейнер)) 

 

2 часа назад, Kiano сказал:

Очень даже равно.

Опровергнуто )) 

 

Ссылка на сообщение
Поделиться на других сайтах
21 час назад, FOP_Osypenko сказав:

В мене VPS сервер на OVH хостингу. На системі Debian 10 вдалося досить легко скриптом встановити і налаштувати VPN сервер WireGuard і згенерувати параметри для клієнтів.

 

Застряг я на тому, що не зміг налаштувати WireGuard клієнт на Mikrotik. WireGuard обрав саме через відгуки по простоті налаштувань, але не дуже воно й просто виявилося.

 

Був би дуже вдячний, якби Ви поділився конфігом з командами налаштувань WireGuard клієнта на Mikrotik. До речі, прошивку я оновив до сьомої версії.

Ще рік тому налаштовував wireguard server та mikrotik client, там деякі команди потрібно вводити з консолі, наприклад endpoint порт приймався тільки з консолі.
https://habr.com/ru/post/521468/

В знайомих філіали працюють по такій схемі, і ніяких проблем.

  • Like 1
Ссылка на сообщение
Поделиться на других сайтах
  • 2 weeks later...

Щойно ради цікавості поставив 7.1 бета 6 і налаштував WireGuard. Все з'єдналось з першого разу, трафік бігає. 
Порядок дій.
1. створив інтерфейс WireGuard

2. призначив інтерфейсу іп і маску
3. додав піра, (інтерфейс, публічний ключ, іп адресу, порт і allowed ips 0.0.0.0/0 )
4. додав шлюз wireguard, dst 0.0.0.0/0
5. cтворив в фаєрволі nat-masquarade, вихідним інтерфейсом призначив wireguard.

 

все :)

wirgeuard.jpg

  • Like 2
Ссылка на сообщение
Поделиться на других сайтах
В 25.07.2021 в 09:07, AlienLabs сказал:

от там і бачив, особливо у провайдерів які впс дають в оренду, там вирізано все по максимуму, для економії місця і ресурсів.

Так мені кажється, бачиться, здається, що Ви просто не знаєте різниці між KVM та вимираючим OpenVZ ?

В 25.07.2021 в 10:56, Kiano сказал:

Очень даже равно. Если взять тот же Prozmox VE, а он достаточно популярен, то там впски в lxc контейнерах, всё правильно.

Еще один не разобрался в сортах виртуализации: дело в том, что в LXC ты разделяешь ядро вместе с хостовым гипервизором, иными словами у тебя в контейнере ядро Прокса. При использовании полноценной KVM-виртуализации (бекенд там QEMU насколько я помню) у тебя будет "полная изоляция" от гипервизора - своя ОСь со своим ядром.

  • Like 1
Ссылка на сообщение
Поделиться на других сайтах
В 25.07.2021 в 10:56, Kiano сказал:

Если взять тот же Prozmox VE, а он достаточно популярен, то там впски в lxc контейнерах, всё правильно.

На Proxmox как lxc, так и kvm. Для lxc нужно просто подготовить хост-систему:

apt update
apt dist-upgrade
apt install pve-headers

затем подключаем репозиторий

echo "deb http://deb.debian.org/debian buster-backports main" >> /etc/apt/sources.list

ставим сам wireguard

apt update
apt install -t buster-backports wireguard-dkms

подгружаем модуль

modprobe wireguard
echo "wireguard" >> /etc/modules-load.d/modules.conf

Вот все, теперь в lxc можно заводить wireguard

  • Like 1
Ссылка на сообщение
Поделиться на других сайтах
4 часа назад, linkar сказал:

На Proxmox как lxc, так и kvm. Для lxc нужно просто подготовить хост-систему:



apt update
apt dist-upgrade
apt install pve-headers

затем подключаем репозиторий



echo "deb http://deb.debian.org/debian buster-backports main" >> /etc/apt/sources.list

ставим сам wireguard



apt update
apt install -t buster-backports wireguard-dkms

подгружаем модуль



modprobe wireguard
echo "wireguard" >> /etc/modules-load.d/modules.conf

Вот все, теперь в lxc можно заводить wireguard

Попробую провернуть на стенде. Ради интереса

Відредаговано Twissell
Ссылка на сообщение
Поделиться на других сайтах
  • 9 months later...

Добрый день. У кого есть минута времени глянуть эту инструкцию (она очень короткая)

https://finevpn.org/account/index.php?rp=/knowledgebase/248/Инструкция-по-настройке-VPN-тунеля-Wireguard-на-Mikrotik-для-FineVpn.org.html

по настройке Wireguard на микротике для сайта finevpn.org я уверен, что в ней есть ошибка т.к. если все делать строго по ней то ничего не работает. Только я не пойму где именно ошибка, маршрут до 10.21.0.32 после добавления на предпоследнем шаге горит красным, но пинги на этот же адрес идут. Почему маршрут горит красным а пинги к адресу идут?  

Відредаговано usernews
Ссылка на сообщение
Поделиться на других сайтах
  • 2 weeks later...

Прислала поддержка ответ, помогло, все заработало, правда нужно включать выключать иногда Wireguard

и скорость иногда хорошая иногда  не очень. И чтобы маршрут заработал, пишут люди, нужно перезагружать роутер или включать выключать впн.

 

"Там где у вас во вложении ниже 0.0.0.0 10.21.128.250 с distance 10 - маршрут не работает. Он красный.
Пробуйте поменять distance на самом первом маршруте на 5 , а на втором, который красный - сделать 2.
Если это не поможет, то на втором маршруте вместо ip - написать wireguard1 в поле destination"

Відредаговано usernews
Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від Arthur_
      Предприятию (Днепр, центр + филиал в Приднепровске) нужен внештатный специалист по Mikrotik
      1) VPN : WireGuard Tunel между локальными сетями центрального офиса и филиалами
      2) VPN : WireGuard между офисом и удалёнными сотрудниками

      Рассматриватся только WireGuard !

      Форма сотрудничества: ЗАДАЧА ---> ВЫПОЛНЕНИЕ ----> ОПЛАТА (нал, на карту, безнал)
      Предпочтение: Выполнение задачи на территории предприятия (и специалисту спокойнее - что оплата будет произведена)
      В дальнейшем возможно удалённое сотрудничество.

      свои предложения направляйте на ящик: vacancy.mik@gmail.com  с пометкой Mikrotik

      Рассматриваются только реальные предложения.

      Спасибо
    • Від Туйон
      Отличие от обычной SXT5 - гигабитный порт и лицензия 4 уровня (может быть не только бриджом а и точкой доступа).
      Старенькая, АС-стандарт не поддерживает.
      В своё время мегабит 160+ вроде качала.
      Где-то возможно в том же гараже есть вторая такая же, если надо - могу поискать.
      Внешнее состояние нормальное. Чуть пожелтела но трещин и т д нету.
      В комплекте сама точка и хвостик крепления (вставлятся в саму антенну).
      РОЕ где-то в работе до сих пор, но подойдут любые.
      Цена.. пусть для начала будет 1000 грн.
      Проверена в комнате "на коленке", дам время на полноценную поверку, а то мало ли (года два лежала отдыхала).
      Желающие пишите в ЛС.
       
      https://www.technotrade.com.ua/Products/MikroTik_SXT_G_5HnD.php
    • Від independent
      Mikrotik rb4011igs+5hacq-2hnd-in
      Б/в.
      Ціна 5075 грн
       
      https://www.olx.ua/d/uk/obyavlenie/mikrotik-rb4011igs-5hacq2hnd-in-IDWH6Lo.html
    • Від independent
      Mikrotik rb4011igs+5hacq-2hnd-in б/в.
      Продається в результаті великого енергоспоживання від дбж.
       
      Ціна 6100 грн
       
      https://www.olx.ua/d/uk/obyavlenie/mikrotik-rb4011igs-5hacq2hnd-in-IDWH6Lo.html
    • Від Axel K
      Вітаю!
       
      налаштування capsman
      /caps-man channel add band=2ghz-b/g/n extension-channel=disabled frequency=2412,2437,2462 name=channel1 add band=5ghz-a/n/ac extension-channel=disabled frequency=5180 name=channel5 skip-dfs-channels=yes tx-power=40 /caps-man datapath add bridge=Main client-to-client-forwarding=yes local-forwarding=no name=datapath1 /caps-man configuration add channel=channel1 datapath=datapath1 max-sta-count=20 mode=ap name=cfg1 rx-chains=0,1,2,3 ssid=25 tx-chains=0,1,2,3 add channel=channel5 datapath=datapath1 hide-ssid=no mode=ap name=cfg5 rx-chains=0,1,2,3 ssid=25 tx-chains=0,1,2,3 /caps-man access-list add action=reject allow-signal-out-of-range=10s disabled=no signal-range=-120..-85 ssid-regexp="" /caps-man manager set enabled=yes /caps-man provisioning add action=create-dynamic-enabled hw-supported-modes=ac master-configuration=cfg5 name-format=prefix-identity add action=create-dynamic-enabled hw-supported-modes=gn master-configuration=cfg1 name-format=prefix-identity проблема у низькій швидкості у клієнта
      якщо включити local-forwarding=yes, клієнт підключається, але не отримує ір.
       
      розумію, що на bdcom не вистачає налаштувань, прошу допомоги.

×
×
  • Створити нове...