Bocsánat a noob kérdésért, de kérem valaki világosítson fel, hogy hogyan is érdemes megadni a wireguard konfig fájlban a peer eszköznél az [Endpoint] változót. Azt olvastam valahol, hogy a router publikus ip címét érdemes megadni a 443 porttal. A problémám az, hogy a public ip az ugye változik. De mi van ha én pl a saját alhálózatomat (192.168.5.1) adom meg?
Az [AllowedIPs] már beszédesebb. Gondolom a 0.0.0.0 beenged mindenkit.
Kérlek világosítsatok fel ezzel kapcsolatban!
Köszönöm!
Szerk. Az kiszolgáló egyébként egy mikrotik router, de ez szerintem irreleváns, lévén, hogy a peer eszközt szeretném konfigurálni.
- 211 megtekintés
Hozzászólások
Gondold végig a szitut. Kint barangol az eszköz a nagyvilágban, valahonnan mégiscsak tudnia kell, hogy mi a publikus címe a wg szervernek, egy helyi címmel mit kezdjen kint? Adott esetben egy dinamikus DNS szolgáltatás pl. segíthet ebben.
Ha nem akarsz/tudsz publikus címmel vesződni, akkor pl. egy ZeroTier megoldás működhet helyette.
- A hozzászóláshoz be kell jelentkezni
ZeroTier-t nem ismertem, de most utánnaolvasva mindenképpen ki fogom próbálni. Hihetetlenül egyszerű és nagyszerű dolog. Köszönöm, hogy felhívtad rá a figyelmem!
“The basic tool for the manipulation of reality is the manipulation of words. If you can control the meaning of words, you can control the people who must use them.”
― Philip K. Dick
- A hozzászóláshoz be kell jelentkezni
Az Endpointhoz a publikus IP cimed kell. (vagy DNS nev, Mikrotik gyarilag tud Dynamic DNS-t adni en ugy tudom). Port az legyen, amin a WG szolgaltatas ul. a 443 (tcp) eleve nem lehet jo, a WG udp-t hasznal....
De vigyazz!!! A Wireguard ezt az adatot csak egyszer hasznalja, a csatlakozas letrehozasakor. tehat ha az IP cimed valtozik, akkor a Wireguard meg fog szakadni! hiaba adsz meg domain nevet, csak a reconnect oldja meg a dolgot.
- A hozzászóláshoz be kell jelentkezni
Köszönöm. Így már értem. Megadtam a mikrotik DDNS címét, és az alapértelmezett 13231 portot. Csatlakozik is, de nincs Internet. A logban ezt látom.
2023-03-14 12:40:26.470: [TUN] [wg1] Starting WireGuard/0.5.3 (Windows 10.0.19045; amd64)
2023-03-14 12:40:26.470: [TUN] [wg1] Watching network interfaces
2023-03-14 12:40:26.474: [TUN] [wg1] Resolving DNS names
2023-03-14 12:40:26.479: [TUN] [wg1] Creating network adapter
2023-03-14 12:40:26.634: [TUN] [wg1] Using existing driver 0.10
2023-03-14 12:40:26.635: [TUN] [wg1] Creating adapter
2023-03-14 12:40:26.969: [TUN] [wg1] Using WireGuardNT/0.10
2023-03-14 12:40:26.969: [TUN] [wg1] Enabling firewall rules
2023-03-14 12:40:26.926: [TUN] [wg1] Interface created
2023-03-14 12:40:26.975: [TUN] [wg1] Dropping privileges
2023-03-14 12:40:26.976: [TUN] [wg1] Setting interface configuration
2023-03-14 12:40:26.976: [TUN] [wg1] Peer 1 created
2023-03-14 12:40:26.979: [TUN] [wg1] Sending keepalive packet to peer 1 (178.164.183.106:13231)
2023-03-14 12:40:26.979: [TUN] [wg1] Sending handshake initiation to peer 1 (178.164.183.106:13231)
2023-03-14 12:40:26.981: [TUN] [wg1] Monitoring MTU of default v4 routes
2023-03-14 12:40:26.981: [TUN] [wg1] Interface up
2023-03-14 12:40:26.986: [TUN] [wg1] Setting device v4 addresses
2023-03-14 12:40:26.987: [TUN] [wg1] Monitoring MTU of default v6 routes
2023-03-14 12:40:26.988: [TUN] [wg1] Setting device v6 addresses
2023-03-14 12:40:26.992: [TUN] [wg1] Receiving handshake response from peer 1 (178.164.183.106:13231)
2023-03-14 12:40:26.992: [TUN] [wg1] Keypair 1 created for peer 1
2023-03-14 12:40:27.005: [TUN] [wg1] Startup complete
2023-03-14 12:40:43.630: [TUN] [wg1] Receiving keepalive packet from peer 1 (178.164.183.106:13231)
2023-03-14 12:40:58.934: [TUN] [wg1] Receiving keepalive packet from peer 1 (178.164.183.106:13231)
2023-03-14 12:41:08.944: [TUN] [wg1] Sending keepalive packet to peer 1 (178.164.183.106:13231)
2023-03-14 12:41:26.539: [TUN] [wg1] Receiving keepalive packet from peer 1 (178.164.183.106:13231)
2023-03-14 12:41:41.276: [TUN] [wg1] Receiving keepalive packet from peer 1 (178.164.183.106:13231)
2023-03-14 12:41:51.288: [TUN] [wg1] Sending keepalive packet to peer 1 (178.164.183.106:13231)
2023-03-14 12:42:01.296: [TUN] [wg1] Sending keepalive packet to peer 1 (178.164.183.106:13231)
2023-03-14 12:42:11.304: [TUN] [wg1] Sending keepalive packet to peer 1 (178.164.183.106:13231)
2023-03-14 12:42:24.092: [TUN] [wg1] Receiving keepalive packet from peer 1 (178.164.183.106:13231)
2023-03-14 12:42:34.093: [TUN] [wg1] Sending keepalive packet to peer 1 (178.164.183.106:13231)
2023-03-14 12:42:34.093: [TUN] [wg1] Sending handshake initiation to peer 1 (178.164.183.106:13231)
2023-03-14 12:42:34.094: [TUN] [wg1] Receiving handshake response from peer 1 (178.164.183.106:13231)
2023-03-14 12:42:34.094: [TUN] [wg1] Keypair 2 created for peer 1
2023-03-14 12:42:34.094: [TUN] [wg1] Sending keepalive packet to peer 1 (178.164.183.106:13231)
2023-03-14 12:42:45.293: [TUN] [wg1] Receiving keepalive packet from peer 1 (178.164.183.106:13231)
2023-03-14 12:42:55.303: [TUN] [wg1] Sending keepalive packet to peer 1 (178.164.183.106:13231)
+ infók. Most a belső hálón vagyok és onnan próbálom elérni wireguarddal a mikrotik routert. A Mikrotiken kell felvennem valamilyen tűzfal szabályt? Mert azt nem tettem meg még.
A windowsos kliens a 61346 portot használja. Ez okozhat problémát?
“The basic tool for the manipulation of reality is the manipulation of words. If you can control the meaning of words, you can control the people who must use them.”
― Philip K. Dick
- A hozzászóláshoz be kell jelentkezni
Hát, a WG kliens IP címét mindenképp NAT-olni kell az internet felé, és ellenőrizd, hogy route táblák jók-e csatlakozás után mindkét eszközön (jól vannak-e beállítva az AllowedIPs mezők).
- A hozzászóláshoz be kell jelentkezni
Valójában nem teljesen.
Amíg a másik oldal IP-je él, és a keepalive be van kapcsolva, addig a túloldal meg fogja tudni a megváltozott IP címet, és onnantól oda küldi a válaszait. Keepalive-nyi ideig nem tudnak ilyenkor beszélni (pontosabban a változatlan című fél ennyi ideig nem éri el a megváltozott címűt). Akkor nem lesz jó, ha valami csoda folytán egyszerre váltanak címet és/vagy nincs keepalive aktiválva.
De nem életszerű WG-ot használni két dinamikus című végpont között úgy, hogy nincs valami supervisor felettük (az esetleg szükséges újrakapcsolódás kikényszerítésére).
- A hozzászóláshoz be kell jelentkezni
> /ip/cloud/print
ddns-enabled: yes
Ekkor lesz az eszközödnek az internetről elérhető fix neve (lásd: dns-name részt ugyanitt).
A Mikrotik nem ismeri a bárhol levő klienst, ebből kifolyólag a peer address nincs kitöltve, se a peer port. Saját UDP portja viszont van, tűzfal engedje be.
A vándorló eszközben az előbbi DNS nevet és a Mikrotik UDP portját írd be.
Az [AllowedIPs] részbe mindkét oldalon azokat az IP tartományokat írd be (ip/mask módon), amelyeket a tunnelbe akarsz belekergetni. Ezeket a tunnel felépülésekor routing szabályokként fogja kezelni.
- A hozzászóláshoz be kell jelentkezni
Szuperül alakul a dolog, köszönöm mindenki segítségét!
Jelenleg ezt látom a windows logban:
2023-03-14 13:39:10.960: [TUN] [wg1] Starting WireGuard/0.5.3 (Windows 10.0.19045; amd64)
2023-03-14 13:39:10.960: [TUN] [wg1] Watching network interfaces
2023-03-14 13:39:10.963: [TUN] [wg1] Resolving DNS names
2023-03-14 13:39:10.979: [TUN] [wg1] Creating network adapter
2023-03-14 13:39:11.089: [TUN] [wg1] Using existing driver 0.10
2023-03-14 13:39:11.091: [TUN] [wg1] Creating adapter
2023-03-14 13:39:11.367: [TUN] [wg1] Using WireGuardNT/0.10
2023-03-14 13:39:11.367: [TUN] [wg1] Enabling firewall rules
2023-03-14 13:39:11.332: [TUN] [wg1] Interface created
2023-03-14 13:39:11.371: [TUN] [wg1] Dropping privileges
2023-03-14 13:39:11.371: [TUN] [wg1] Setting interface configuration
2023-03-14 13:39:11.371: [TUN] [wg1] Peer 1 created
2023-03-14 13:39:11.373: [TUN] [wg1] Sending keepalive packet to peer 1 (178.164.183.106:13231)
2023-03-14 13:39:11.373: [TUN] [wg1] Monitoring MTU of default v4 routes
2023-03-14 13:39:11.373: [TUN] [wg1] Interface up
2023-03-14 13:39:11.373: [TUN] [wg1] Sending handshake initiation to peer 1 (178.164.183.106:13231)
2023-03-14 13:39:11.379: [TUN] [wg1] Setting device v4 addresses
2023-03-14 13:39:11.382: [TUN] [wg1] Monitoring MTU of default v6 routes
2023-03-14 13:39:11.382: [TUN] [wg1] Setting device v6 addresses
2023-03-14 13:39:11.392: [TUN] [wg1] Startup complete
2023-03-14 13:39:11.386: [TUN] [wg1] Receiving handshake response from peer 1 (178.164.183.106:13231)
2023-03-14 13:39:11.386: [TUN] [wg1] Keypair 1 created for peer 1
2023-03-14 13:39:21.387: [TUN] [wg1] Sending keepalive packet to peer 1 (178.164.183.106:13231)
2023-03-14 13:39:31.401: [TUN] [wg1] Sending keepalive packet to peer 1 (178.164.183.106:13231)
Kérdésem: Nem kellene az ip címeknek is megváltoznia az allowed IPs alapján megadott tartományra?
“The basic tool for the manipulation of reality is the manipulation of words. If you can control the meaning of words, you can control the people who must use them.”
― Philip K. Dick
- A hozzászóláshoz be kell jelentkezni
A futó rendszer routing táblájában találod mindazt, amit az allowed IPs résznél megadtál. Hiszen azokat az IP forgalmakat akarja a "csőbe" tuszkolni.
- A hozzászóláshoz be kell jelentkezni
Megnéztem. Működik. Köszönöm a segítséget!
“The basic tool for the manipulation of reality is the manipulation of words. If you can control the meaning of words, you can control the people who must use them.”
― Philip K. Dick
- A hozzászóláshoz be kell jelentkezni