Jump to content

WireGuard VPN. Сервер на Debian 10 + клієнт на Mikrotik

FOP_Osypenko

By FOP_Osypenko,
in Router Layer 3

 Share Followers 2

Recommended Posts

nedoinet

nedoinet 377

Posted
Posted
6 часов назад, FOP_Osypenko сказал:

IPsec VPN

А чем pptp не устраивает? Легковесный и завести можно на любом куркуляторе. Или страх что гэбня увидит какие ролики в черно-оранжевом ютубе были просмотрены?

Link to post
Share on other sites
  • Replies 71
  • Created
  • Last Reply

Top Posters In This Topic

Popular Days

Top Posters In This Topic

Popular Days

Popular Posts

AlienLabs

Щойно ради цікавості поставив 7.1 бета 6 і налаштував WireGuard. Все з'єдналось з першого разу, трафік бігає.  Порядок дій. 1. створив інтерфейс WireGuard 2. призначив інтерфейсу іп і маску

FOP_Osypenko

Маємо VPS сервер на Debian 10 і модем MikroTik LHG LTE6. Задача наступна: налаштувати інтернет через VPN тунель.   На сервер Debian 10 встановив і налаштував WireGuard скриптом: https://gith

Kiano

осспаде, выбрось выбрось бету роутероса в мусор, рано ей ещё построй всё на л2тп+ипсек и будет тебе щастя

Posted Images

FOP_Osypenko

FOP_Osypenko 38

Posted
  • Author
Posted
30 минут назад, nedoinet сказав:

А чем pptp не устраивает? Легковесный и завести можно на любом куркуляторе. Или страх что гэбня увидит какие ролики в черно-оранжевом ютубе были просмотрены?

Так тут же всі радили скористатися саме IPsec + l2tp. Тепер і це не таке? :)

Link to post
Share on other sites
AlienLabs

AlienLabs 6

Posted
Posted

Я налаштовував таку зв'язку ще рік тому задля забави,  так само по інструкції, все працювало. Правда на 9 дебіані. 

 

На форумі 3 сторінки але так і не зрозуміло чи піднімається у вас тунель, якщо не піднімається - то чи є якісь повідомлення в логах на сервері \ роутері? 

і ще нюанс, якщо VPS не свій, т.е. піднятий не своїми руками а взятий десь на хостингу, то він може бути з обрізаним ядром і функціоналом. щоб все працювало потрібно самостійно скачувати і встановлювати на впс офіційний дебіан. 

Link to post
Share on other sites
FOP_Osypenko

FOP_Osypenko 38

Posted
  • Author
Posted
годину тому, AlienLabs сказав:

Я налаштовував таку зв'язку ще рік тому задля забави,  так само по інструкції, все працювало. Правда на 9 дебіані. 

 

На форумі 3 сторінки але так і не зрозуміло чи піднімається у вас тунель, якщо не піднімається - то чи є якісь повідомлення в логах на сервері \ роутері? 

і ще нюанс, якщо VPS не свій, т.е. піднятий не своїми руками а взятий десь на хостингу, то він може бути з обрізаним ядром і функціоналом. щоб все працювало потрібно самостійно скачувати і встановлювати на впс офіційний дебіан. 

Яку саме «зв'язку» Ви маєте на увазі? WireGuard чи IPsec + l2tp з Debian? Що саме вдалося було налаштувати?

Link to post
Share on other sites
otchem

otchem 64

Posted
Posted
4 часа назад, AlienLabs сказал:

Я налаштовував таку зв'язку ще рік тому задля забави,  так само по інструкції, все працювало. Правда на 9 дебіані. 

 

На форумі 3 сторінки але так і не зрозуміло чи піднімається у вас тунель, якщо не піднімається - то чи є якісь повідомлення в логах на сервері \ роутері? 

і ще нюанс, якщо VPS не свій, т.е. піднятий не своїми руками а взятий десь на хостингу, то він може бути з обрізаним ядром і функціоналом. щоб все працювало потрібно самостійно скачувати і встановлювати на впс офіційний дебіан. 

да где вы такой видали, куда не плюнь повсюду нормальная ось, если это kvm виртуализация разумеется 

  • Like 1
Link to post
Share on other sites
AlienLabs

AlienLabs 6

Posted
Posted
Цитата

Яку саме «зв'язку» Ви маєте на увазі? WireGuard чи IPsec + l2tp з Debian? Що саме вдалося було налаштувати?

mikrotik + вихід в інтернет через тунель wireguard. сервер був у німців, провайдер hetzner. але то дармова трата часу, так як по продуктивності від l2tp не дуже відрізняється. хіба що для свого розвитку) 
 

Цитата

да где вы такой видали, куда не плюнь повсюду нормальная ось, если это kvm виртуализация разумеется

от там і бачив, особливо у провайдерів які впс дають в оренду, там вирізано все по максимуму, для економії місця і ресурсів. 
також існують готові образи для розгортання в контейнерах, т.е. нічого встановлювати не треба, підкинув файл, ос запустилась, все працює, 1 хв роботи. 

впски всякі то вам не фізичні сервери, де адмін днями возиться з налаштуваннями)

Link to post
Share on other sites
tkapluk

tkapluk 694

Posted
Posted
1 час назад, AlienLabs сказал:

mikrotik + вихід в інтернет через тунель wireguard. сервер був у німців, провайдер hetzner. але то дармова трата часу, так як по продуктивності від l2tp не дуже відрізняється. хіба що для свого розвитку) 
 

от там і бачив, особливо у провайдерів які впс дають в оренду, там вирізано все по максимуму, для економії місця і ресурсів. 
також існують готові образи для розгортання в контейнерах, т.е. нічого встановлювати не треба, підкинув файл, ос запустилась, все працює, 1 хв роботи. 

впски всякі то вам не фізичні сервери, де адмін днями возиться з налаштуваннями)

ВПС != контейнер. 

Link to post
Share on other sites
Kiano

Kiano 493

Posted
Posted
40 минут назад, tkapluk сказал:

ВПС != контейнер. 

Очень даже равно. Если взять тот же Prozmox VE, а он достаточно популярен, то там впски в lxc контейнерах, всё правильно.

Кстати, cloudflare warp вроде как wg юзает

Link to post
Share on other sites
tkapluk

tkapluk 694

Posted
Posted (edited)
15 минут назад, Kiano сказал:

Очень даже равно. Если взять тот же Prozmox VE, а он достаточно популярен, то там впски в lxc контейнерах, всё правильно.

Это лишь говорит о том, что Проксмокс умеет работать как с впс так и с контейнерам. Там даже кнопки для создания так и подписаны: создать вм и создать контейнер. )) 

Попробуй в этом контейнере запустить Винду, или хотябы Убунту с графическим интерфейсом. ) 

Edited by tkapluk
Link to post
Share on other sites
Kiano

Kiano 493

Posted
Posted
1 час назад, tkapluk сказал:

Это лишь говорит о том, что Проксмокс умеет работать как с впс так и с контейнерам. Там даже кнопки для создания так и подписаны: создать вм и создать контейнер. )) 

Попробуй в этом контейнере запустить Винду, или хотябы Убунту с графическим интерфейсом. ) 

Первое - никак, это же контейнер)) второе можно с плясками ))

Link to post
Share on other sites
otchem

otchem 64

Posted
Posted
1 час назад, Kiano сказал:

Очень даже равно. Если взять тот же Prozmox VE, а он достаточно популярен, то там впски в lxc контейнерах, всё правильно.

Кстати, cloudflare warp вроде как wg юзает

но kvm не совсем контейнер, ну то-есть вообще не контейнер

3 часа назад, AlienLabs сказал:

mikrotik + вихід в інтернет через тунель wireguard. сервер був у німців, провайдер hetzner. але то дармова трата часу, так як по продуктивності від l2tp не дуже відрізняється. хіба що для свого розвитку) 
 

от там і бачив, особливо у провайдерів які впс дають в оренду, там вирізано все по максимуму, для економії місця і ресурсів. 
також існують готові образи для розгортання в контейнерах, т.е. нічого встановлювати не треба, підкинув файл, ос запустилась, все працює, 1 хв роботи. 

впски всякі то вам не фізичні сервери, де адмін днями возиться з налаштуваннями)

ну так хоть хостера укажите, буду его обходить 10 дорогой

Link to post
Share on other sites
FOP_Osypenko

FOP_Osypenko 38

Posted
  • Author
Posted (edited)
4 часа назад, AlienLabs сказав:

mikrotik + вихід в інтернет через тунель wireguard. сервер був у німців, провайдер hetzner. але то дармова трата часу, так як по продуктивності від l2tp не дуже відрізняється. хіба що для свого розвитку) 

В мене VPS сервер на OVH хостингу. На системі Debian 10 вдалося досить легко скриптом встановити і налаштувати VPN сервер WireGuard і згенерувати параметри для клієнтів.

 

Застряг я на тому, що не зміг налаштувати WireGuard клієнт на Mikrotik. WireGuard обрав саме через відгуки по простоті налаштувань, але не дуже воно й просто виявилося.

 

Був би дуже вдячний, якби Ви поділився конфігом з командами налаштувань WireGuard клієнта на Mikrotik. До речі, прошивку я оновив до сьомої версії.

Edited by FOP_Osypenko
Link to post
Share on other sites
tkapluk

tkapluk 694

Posted
Posted
47 минут назад, Kiano сказал:

Первое - никак, это же контейнер)) 

 

2 часа назад, Kiano сказал:

Очень даже равно.

Опровергнуто )) 

 

Link to post
Share on other sites
revomix

revomix 28

Posted
Posted
21 час назад, FOP_Osypenko сказав:

В мене VPS сервер на OVH хостингу. На системі Debian 10 вдалося досить легко скриптом встановити і налаштувати VPN сервер WireGuard і згенерувати параметри для клієнтів.

 

Застряг я на тому, що не зміг налаштувати WireGuard клієнт на Mikrotik. WireGuard обрав саме через відгуки по простоті налаштувань, але не дуже воно й просто виявилося.

 

Був би дуже вдячний, якби Ви поділився конфігом з командами налаштувань WireGuard клієнта на Mikrotik. До речі, прошивку я оновив до сьомої версії.

Ще рік тому налаштовував wireguard server та mikrotik client, там деякі команди потрібно вводити з консолі, наприклад endpoint порт приймався тільки з консолі.
https://habr.com/ru/post/521468/

В знайомих філіали працюють по такій схемі, і ніяких проблем.

  • Like 1
Link to post
Share on other sites
  • 2 weeks later...
AlienLabs

AlienLabs 6

Posted
Posted

Щойно ради цікавості поставив 7.1 бета 6 і налаштував WireGuard. Все з'єдналось з першого разу, трафік бігає. 
Порядок дій.
1. створив інтерфейс WireGuard

2. призначив інтерфейсу іп і маску
3. додав піра, (інтерфейс, публічний ключ, іп адресу, порт і allowed ips 0.0.0.0/0 )
4. додав шлюз wireguard, dst 0.0.0.0/0
5. cтворив в фаєрволі nat-masquarade, вихідним інтерфейсом призначив wireguard.

 

все :)

wirgeuard.jpg

  • Like 2
Link to post
Share on other sites
Twissell

Twissell 5

Posted
Posted
В 25.07.2021 в 09:07, AlienLabs сказал:

от там і бачив, особливо у провайдерів які впс дають в оренду, там вирізано все по максимуму, для економії місця і ресурсів.

Так мені кажється, бачиться, здається, що Ви просто не знаєте різниці між KVM та вимираючим OpenVZ 😉

В 25.07.2021 в 10:56, Kiano сказал:

Очень даже равно. Если взять тот же Prozmox VE, а он достаточно популярен, то там впски в lxc контейнерах, всё правильно.

Еще один не разобрался в сортах виртуализации: дело в том, что в LXC ты разделяешь ядро вместе с хостовым гипервизором, иными словами у тебя в контейнере ядро Прокса. При использовании полноценной KVM-виртуализации (бекенд там QEMU насколько я помню) у тебя будет "полная изоляция" от гипервизора - своя ОСь со своим ядром.

  • Like 1
Link to post
Share on other sites
linkar

linkar 28

Posted
Posted
В 25.07.2021 в 10:56, Kiano сказал:

Если взять тот же Prozmox VE, а он достаточно популярен, то там впски в lxc контейнерах, всё правильно.

На Proxmox как lxc, так и kvm. Для lxc нужно просто подготовить хост-систему: 

apt update
apt dist-upgrade
apt install pve-headers

затем подключаем репозиторий 

echo "deb http://deb.debian.org/debian buster-backports main" >> /etc/apt/sources.list

ставим сам wireguard 

apt update
apt install -t buster-backports wireguard-dkms

подгружаем модуль 

modprobe wireguard
echo "wireguard" >> /etc/modules-load.d/modules.conf

Вот все, теперь в lxc можно заводить wireguard

  • Like 1
Link to post
Share on other sites
Twissell

Twissell 5

Posted
Posted (edited)
4 часа назад, linkar сказал:

На Proxmox как lxc, так и kvm. Для lxc нужно просто подготовить хост-систему: 



apt update
apt dist-upgrade
apt install pve-headers

затем подключаем репозиторий 



echo "deb http://deb.debian.org/debian buster-backports main" >> /etc/apt/sources.list

ставим сам wireguard 



apt update
apt install -t buster-backports wireguard-dkms

подгружаем модуль 



modprobe wireguard
echo "wireguard" >> /etc/modules-load.d/modules.conf

Вот все, теперь в lxc можно заводить wireguard

Попробую провернуть на стенде. Ради интереса

Edited by Twissell
Link to post
Share on other sites
  • 9 months later...
usernews

usernews 0

Posted
Posted (edited)

Добрый день. У кого есть минута времени глянуть эту инструкцию (она очень короткая)

https://finevpn.org/account/index.php?rp=/knowledgebase/248/Инструкция-по-настройке-VPN-тунеля-Wireguard-на-Mikrotik-для-FineVpn.org.html

по настройке Wireguard на микротике для сайта finevpn.org я уверен, что в ней есть ошибка т.к. если все делать строго по ней то ничего не работает. Только я не пойму где именно ошибка, маршрут до 10.21.0.32 после добавления на предпоследнем шаге горит красным, но пинги на этот же адрес идут. Почему маршрут горит красным а пинги к адресу идут?  

Edited by usernews
Link to post
Share on other sites
  • 2 weeks later...
usernews

usernews 0

Posted
Posted (edited)

Прислала поддержка ответ, помогло, все заработало, правда нужно включать выключать иногда Wireguard

и скорость иногда хорошая иногда  не очень. И чтобы маршрут заработал, пишут люди, нужно перезагружать роутер или включать выключать впн.

 

"Там где у вас во вложении ниже 0.0.0.0 10.21.128.250 с distance 10 - маршрут не работает. Он красный.
Пробуйте поменять distance на самом первом маршруте на 5 , а на втором, который красный - сделать 2.
Если это не поможет, то на втором маршруте вместо ip - написать wireguard1 в поле destination"

Edited by usernews
Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Followers 2
Go to topic listing

  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Content

    • DAnEq
      mikrotik cap + dhcp
      By DAnEq
      купил точки доступа mikrotik cap ac и mikrotik hex poe lite
      конечная цель сделать бесшовный роуминг

      в мануалах везде указано что делается либо с помощью caspman либо с помощью mesh
      когда купил, прочитал, что в помощью capsman бесшовный роуминг сделать нельзя (в моем видении это когда точки сами смотрят на какой из них сигнал от клиента сильнее и переключают клиента сами без потери пакетов), можно лишь выставить чтобы точка принудительно отключала клиента с сигналом меньше заданого уровня, чтобы он переключился на более сильную точку (и думаю это будет с потерей пакетов)
      вопрос 1 - правда ли это ?

      вопрос 2
      включил на роутере cap, точку доступа поставил в такой же режим
      в итоге точка доступа айпи адрес получает, а клиент не получает, хоть на роутере попытки подключения видны
      на точке доступа поставил все интерфейсы в бридж
      конфиги сейчас приложу

      конфиг роутера
       
      /interface bridge add admin-mac=2C:C8:1B:C4:5D:AF auto-mac=no comment=defconf name=bridge /interface pppoe-client add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 password=0294 service-name=pppoe1 \ use-peer-dns=yes user=05710831 /caps-man interface add configuration.mode=ap configuration.ssid=RiOni disabled=no l2mtu=1600 mac-address=DC:2C:6E:B8:44:4E \ master-interface=none name=cap1 radio-mac=DC:2C:6E:B8:44:4E radio-name=DC2C6EB8444E \ security.authentication-types=wpa2-psk security.encryption=aes-ccm security.passphrase=88888888 add configuration.load-balancing-group="" configuration.mode=ap configuration.ssid=RiOni disabled=no l2mtu=1600 \ mac-address=DC:2C:6E:B8:44:4F master-interface=none name=cap2 radio-mac=DC:2C:6E:B8:44:4F radio-name=DC2C6EB8444F \ security.authentication-types=wpa2-psk security.encryption=aes-ccm security.passphrase=88888888 /interface list add comment=defconf name=WAN add comment=defconf name=LAN /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip pool add name=dhcp ranges=192.168.88.10-192.168.88.254 add name=cap1 ranges=192.168.1.0/24 /ip dhcp-server add address-pool=dhcp disabled=no interface=bridge name=defconf add address-pool=dhcp disabled=no interface=cap1 name=cap1 add address-pool=dhcp disabled=no interface=cap2 name=cap2 /caps-man manager set enabled=yes /interface bridge port add bridge=bridge comment=defconf interface=ether2 add bridge=bridge comment=defconf interface=ether3 add bridge=bridge comment=defconf interface=ether4 add bridge=bridge comment=defconf interface=ether5 add bridge=bridge disabled=yes interface=all /ip neighbor discovery-settings set discover-interface-list=LAN /interface list member add comment=defconf interface=bridge list=LAN add comment=defconf interface=ether1 list=WAN add interface=pppoe-out1 list=WAN /ip address add address=192.168.88.1/24 comment=defconf interface=ether2 network=192.168.88.0 /ip dhcp-client add comment=defconf interface=ether1 /ip dhcp-server network add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1 /ip dns set allow-remote-requests=yes /ip dns static add address=192.168.88.1 comment=defconf name=router.lan /ip firewall filter add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=\ established,related,untracked add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1 add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=\ established,related,untracked add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \ connection-state=new in-interface-list=WAN /ip firewall nat add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN /system clock set time-zone-name=Europe/Kiev /system package update set channel=long-term /tool mac-server set allowed-interface-list=LAN /tool mac-server mac-winbox set allowed-interface-list=LAN
      конфиг точки доступа
      /interface bridge add admin-mac=DC:2C:6E:B8:44:4C auto-mac=no comment=defconf name=bridgeLocal /interface wireless # managed by CAPsMAN # channel: 2447/20-eC/gn(28dBm), SSID: RiOni, CAPsMAN forwarding set [ find default-name=wlan1 ] ssid=MikroTik # managed by CAPsMAN # channel: 5200/20-eCee/ac(14dBm), SSID: RiOni, CAPsMAN forwarding set [ find default-name=wlan2 ] ssid=MikroTik /interface list add name=WAN add name=LAN /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip hotspot profile set [ find default=yes ] html-directory=hotspot /interface bridge port add bridge=bridgeLocal comment=defconf interface=ether1 add bridge=bridgeLocal comment=defconf interface=ether2 add bridge=bridgeLocal interface=wlan2 add bridge=bridgeLocal interface=wlan1 /interface list member add interface=ether1 list=WAN add interface=ether2 list=LAN add interface=wlan2 list=LAN add interface=wlan1 list=LAN /interface wireless cap # set bridge=bridgeLocal discovery-interfaces=bridgeLocal enabled=yes interfaces=wlan1,wlan2 /ip dhcp-client add comment=defconf disabled=no interface=bridgeLocal /system clock set time-zone-name=Europe/Kiev

      что делаю не так ?
       
    • Інет.укр
      Новинки MikroTik
      By Інет.укр
      MIKROTIK • CRS504-4XQ-IN • 4x QSFP28 ports indoor switch
      https://www.wifihw.cz/default.asp?cls=stoitem&stiid=5471
      MIKROTIK • CCR2004-16G-2S+PC • 16x GB RJ45, 2x 10G SFP+ Cloud Core Router
      https://www.wifihw.cz/default.asp?cls=stoitem&stiid=5472
      MIKROTIK • LHGGM&EG18-EA •Outdoor LTE unit LHG LTE18 kit
      https://www.wifihw.cz/default.asp?cls=stoitem&stiid=5473
      MIKROTIK • MT-HotSwapFan • Hot-swap Fan for CCR
      https://www.wifihw.cz/default.asp?cls=stoitem&stiid=5474
      MIKROTIK • QMP-LDF • Holder for LDF units
      https://www.wifihw.cz/default.asp?cls=stoitem&stiid=5475
    • orko19991
      Продам залишки MikroTik...
      By orko19991
      Актуальні залишки і ціну по контактах:
      Tel.viber.telegram  - 067-323-17-30
      Email - sales@gazik.store
      Skype - orko1991
    • 3vFantoMv3
      Куплю Mikrotik RouterBoard RB750Gr3
      By 3vFantoMv3
      Куплю Mikrotik RouterBoard RB750Gr3 б.у.
      Цену предлагайте.
       
    • valexa
      MIkrotik VLAN Tx, Rx drops
      By valexa
      Добрый день. Может кто сталкивался. Настроены Vlan между двумя микротиками. и на этих vlan постоянно сыпятся дропы на одном Rx а на втором Tx дропы. так вроде все работает. потерь нету по пакетам но за день количество дропов 730 насыпало. Может кто подскажет куда и как можно найти проблемму?? 
×
×
  • Create New...