Szia, köszi az írást érdekes volt, a végén azokra is gondoltál, akik nem feltélnelül rendelkeznek publikus ip-vel, szerverrel, és a tailscale mint használható ingyenes lehetőség remek ajánlás.
Ami engem még érdekelne, írtad hogy saját openwrt-t is lehet fordítani, erről szívesen olvasnék magyar nyelven.

Kiváló cikk, egy kiváló VPN megoldásról. Napi szinten használom kb. 2020 óta, és ha nem kell az l2 funkcionalitás (Openvpn tap), akkor számomra egyeduralkodó. Amióta pedig MikroTik RouterOS7 stabil, azóta a VPS-eimet is így érem el, a tunnel a routeren van kiépítve.

üdv, adika4444

Amiről így nyilatkozott, az a Jason A. Donenfeld által létrehozott és fejlesztett WireGuard nevű biztonságos hálózati alagút (vagyis VPN).

A fenti, elso oldalrol kiemelt szovegben levo link mire szeretne mutatni a net-next repo mostani HEAD-je (8720bd951b8e "Merge branch 'net-dsa-microchip-common-spi-probe-for-the-ksz-series-switches-part-1'") helyett?

Koszi az irast, nagyon jo kedvcsinalo!

aláírás1: csocsó-vesztes vagyok, főleg a Bog és Bocha páros ellen, aláírás2: van mobilarénáskulcstartóm! :D

Köszi! Ezt elrakom későbbre, tervben van hogy beüzemelem a MikroTik router-emmel majd. Elvileg Android-ra is van korrekt kliense, hogy az itthoni dolgokat elérjem útközben.
Munkában már aktívan használjuk egy ideje, tetszik hogy milyen lightweight és fürge az egész.

Meg se ismertelek elsőre a videón, még 2014 körül üzleteltünk valamit az egyetem alatt, nem is mostanában volt, az is igaz.

[ Szerkesztve ]

Szia, köszönöm. Az openwrt témából is körvonalazódik egy cikk, csak előtte meg kellene futtatni még a helyi nagyobb openwrt-sekkel, hogy szakmailag rendben van-e. Bár ez off téma ide, de ha régi tp-link-re való openwrt kellene valamivel, akkor tudok neked fordítani a sajátom alapján. De erről mindenképpen lesz írás, mert az elmúlt egy hónapban pár hétvégém ráment a témára.

#3 xabolcs Egy space benne maradt, javítottam a cikkben. De helyesen.

#4 DarkByte Az android kliens nekem is fenn van, userspace-ben fut. Nem mintha ez gond lenne. Igen, régen volt. De még mindig Szegeden vagyok, csak már nem egyetemi körökben.

"What is Linux? I only joined because of the the penguin..." - meanwhile in the linux community. http://9gag.com/gag/arpZGOy

Köszi az írást, btw iOS kliens is van én az összes almás eszközömmel használom...

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

Fantasztikus cikk! Ritkán van hasonló a PH!-n.

Én is ezer éve használom ahol csak lehet, mert gyors és nem igényel robosztus konfigot, illetve valóban nem válaszol akármilyen kérésre, így nem szúrják ki a botok, hogy hol fut a VPN-em és nem foglalkozik az otthoni router üres CPU idejében brute force-szal.

Ugyanakkor számomra a legnagyobb előnye számomra egyben a hátránya is. A megszokott kliens-szerver architektúrával szemben semmiféle megbízható mód nincs arra, hogy az egyik fél tudja, a másik gép éppen elérhető-e. Emiatt teljesen jó arra, hogy úton-útfélen belépjek az otthoni netre, de folyamatos kiépített kapcsolatot nem tudok változó otthoni IP-n kialakítani. Maximum úgy, ha van egy statikus IP címmel rendelkező VPS-em, erre kapcsolódik az otthoni router és a nálam lévő eszköz is. Egyéb esetben, még dinamikus DNS szolgáltatással is kénytelen lennék folyamatosan pingelni a hosztot, hogy tudjam, mikor érdemes újra-csatlakozással próbálkozni.

Illetve a L2 támogatást sajnálom, jó lenne a DLNA megosztás és egyéb ármányok miatt. Van példa arra, hogy valaki a wireguard alapján összehozta, Zerotier a neve (tailscalet nem ismerem), de sajnos ez is commercial termék és nem valami népszerű.

Kis korrekció viszont. Írod, hogy:

Androidra a Play Store-ból elérhető, de ez userspace-ben fut. Csak törekvés van arra, hogy ott is kernelszintű támogatást kapjon.

Már jó ideje elérhető root és megfelelő kerneles támogatás segítségével Android alatt is a dolog, automatikusan fel is ismeri az app. Jó ideje így használom, remekül megy:

Illetve ugye egy ideje már az összes Android kernel tartalmazza: [link] Csak érdekes mód API-t nem írtak hozzá, ezért kell még a mai napig is rootolni a használathoz.

De a userspace teljesítménye sem rossz szerintem hordozható eszközökre.

Eleinte angol billentzuyetet akartam. De aztán megismerkedtem a nagy 'Ő'-vel!

Nagyon jó írás. Kedvcsinálónál több, szájbarágósnál kevesebb. Szakmabeli vagyok, de az openvpn-nel tett próbálkozásaim mindig egy kicsit olyan "meh" szájízt hagytak maguk után. 15 év után már az egyszerűséget keresem és a wireguard ezt tudja. Pihole-al együtt használva úgy, hogy csak a dns lekérdezéseket kergetem át a vpn-en, sebességcsökkenés nélkül tudok reklámot is blokkolni mobileszközökön.

Sziasztok!

Hetek óta próbálok egy openwrt routert beállítani, hogy normálisan csatlakozzon a mikrotik szerveremre. Eljutok odáig hogy a kapcsolat létrejön, de amint feláll a wg kapcsolat a két router között az openwrt routerre kötött eszközök nem érik el az internetet, és azokról a gépekről nem érem el az openwrt routert sem. Nagyon érdekes a felállás. A peer-nél az allowed addresses résznél mindenképp kell a 0.0.0.0/0 és a ::/0, vagy tölthetem úgy is ki ahogy mikrotiknél? Tehát engedélyezem a wg interface tartományt, és a távoli router tartományát? Tűzfal vagy valami egyéb beállítás esetleg?

Ez alapján próbáltam

Köszönöm

Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800

Szia,
A hálózatok összekapcsolása résszel még csak kísérletezek, mert eddig még ilyen kérés nem futott be, hogy meg kellett volna oldanom. Így nem fogok tudni rá válaszolni teljesen. Viszont van pár gondolatom:
1) A 0.0.0.0/0 azt jelenti, hogy egy route jön létre minden forgalomra, ami az openwrt eszközre érkezik és a wireguard interfész felé küldi. Én azt próbálnám meg első körben, hogy csak a wireguard hálózatot veszem fel ide. "AllowedIps" Ez segítené a tesztelést.
1.1) Majd egy az openwrt routerre csatlakoztatott eszközről megpróbálnám pingelni a mikrotik szerver wg ip címét. Ha sikerül akkor az openwrt-n rendben van a routing, ha nem akkor a tűzfalnál kell a forwarding-ot (továbbítást) és masquerade (álcázás) szabályokat létrehozni a zónák között.
1.2) A leírásban az álcázós részt megtaláltam, de a továbbítást nem. Menj rá a lan=>wan sorban a szerkesztésre és az alján a forwarding engedélyezett hálózatoknál a wan mellé vedd fel a vpn hálózatod.
2) Ha 0.0.0.0/0 -van akkor tudod-e pingelni a mikrotik wg IP címét akár kliensről akár az openwrt-ről. Valamint a WAN port IP címét és a google 8.8.8.8-asát kellene megnézni ugyanígy.

"What is Linux? I only joined because of the the penguin..." - meanwhile in the linux community. http://9gag.com/gag/arpZGOy

Köszönöm a korrekciót, én nem foglalkozom telefon root-tal, és emiatt nem is mélyedtem el ebben a témában. De ez megér egy frissítést.

#6 sztanozs: Én azt a gyümölcsös világot csak külső szemlélőként figyelem meg. Nem tudom, hogy milyen állapotok vannak és miért kell fizetni.

#10 agent_k: Nem ígérek semmit, de tervben van pár nemmindennapi alkalmazás. Ha elég téma összegyűlik (pl ilyen a dns forgalom is) akkor írok egy folytatást. De ez nem 1 éven belül lesz.

"What is Linux? I only joined because of the the penguin..." - meanwhile in the linux community. http://9gag.com/gag/arpZGOy

Véletlen válaszra mentem, új hozzászólást akartam. :(

Tailscale-el kapcsolatban, ha már említetted a cikkben, felmerült bennem, hogy más helyi hálózaton lévő eszközt el lehet e érni valahogy.
Rákeresve van leírás a tailscale oldalán, a 3 lépés végrehajtása után, sima local ip címen elérem az összes eszközömet, nagyon durva. A 20 eszközös limitből így csak 1-et használ el. Egyenlőre a szolgáltató megbízhatósága a kérdés számomra, bár ha google fiókkal lépsz be, akkor adott a 2 lépcsős azonosítás. Kicsit félek, hogy rajtuk keresztül, ha meghackelik őket, bejöhet akármi is, bár ha saját magad hostolod a szervert a WireGuard-nak, azt is megnyomhatják.

[ Szerkesztve ]

Én is routeingra gyanakszom, mivel létre nem hoz semmit, a leírás meg nem említi.

Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800

Köszi a cikket
Le is cseréltem a router-en futó openvpn-t tailscale-re Nem akartam mókolni a router fw-t , h a wireguard ott fusson

[ Szerkesztve ]

Mindenkit egyforma külső inger ér, de egyén függő, h éljük meg :P

Mikrotik-mikrotik, és mikrotik - windows kliens között is használok wireguardot elég régóta.
Win7 esetében a wireguard minden indításkor új interfészt hoz létre (nem azt használja amit korábban létrehozott. Így egy idő után tele lesz a registry halott interfészekkel. Úgy tudom Win10 esetén is hasonló a helyzet, csak kevésbé látványos. Erre létezik valamilyen megoldás?
A másik amit tapasztaltam, hogy a dinamikus IP-hez rendelt hosztnevek esetében, amikor változik az IP, azt nem követi a Wireguard, azaz megszakad a kapcsolat, és csak a Wireguad kapcsolat ujraindítása után áll össze újból. Magyarul a kapcsolat megszakadásakor nem frissíti a hosztnevekhez tartozó IP-t. A mikrotiken ez megoldható, ha készítünk rá valamilyen szkriptet, de ez nem túl elegáns megoldás. Van erre valami jobb megoldás?

Esetleg elképzelhető, hogy ezek a hibák javítva lesznek, vagy már van is rá megoldás, csak én nem ismerem?

Mikrotik esetén a layer2 megoldható EOIP-vel. Annak idején linuxra is találtam EOIP-t, de nem sikerült működésre bírnom. Más operndszerre sajnos szintén nem találtam működő EOIP megvalósítást, pedig elég ügyes dolog lenne.

Jelenleg addig szenvedtem el magam, hogy az openwrtre kötött eszközök elérik a mikrotik hálózatot és a mikrotiról elérem az openwrt-t. Viszont az openwrt eszközökön nincs internet elérés. Mi lehet a gond?

config interface 'wg0'
        option proto 'wireguard'
        option listen_port '13236'
        list addresses '10.13.250.2/30'
      option private_key '***************************'

config wireguard_wg0
        option description 'WG-Yodee'
      option public_key '****************************'
        list allowed_ips '0.0.0.0/0'
        option route_allowed_ips '1'
      option endpoint_host 'host.dyndns.org'
        option endpoint_port '13236'

A wireguard interface-t a WAN tűzfal zónába tettem.

[ Szerkesztve ]

Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800