Jump to content

SUBIECTE NOI
« 1 / 5 »
RSS
La 22 de ani in Spania, Castellón

Catalin Tolontan dat afara si de ...

WEBASTO pt duster pe motorina

One World Radio/TOMORROWLAND in R...
 Upgrade memorie ram DDR4 la laptop?

Timberland sau Columbia

AMD, evolutie procesoare laptop

Shazam pentru Parfumuri?
 Transportul in comun in Bucuresti...

Recomandare - disjunctoare difere...

Puteti sa imi recomandati si mie ...

Camerele de supraveghere dau uneo...
 Haine de iarna

Junsun V1 pro Qashqai j11 probleme

Tinichigerie/vopsitorie in Consta...

recomandare GPS android
 

EdgeRouter X - Ubiquiti - (ER X)

* * * * * 3 votes
Last Updated: Nov 14 2023 15:38, Started by wolfydRg , Nov 09 2019 21:14  
  ·  
  • Please log in to reply
543 replies to this topic

#73
petman
Posted 24 November 2019 - 12:11

petman

    Senior Member

  • Grup: Senior Members
  • Posts: 4,793
  • Înscris: 28.11.2001
Am output in router
daniel@ubnt:~$ sudo wg
interface: wg0
  public key: xlVkqfCxxxxxxxxxxxxxxxxxxxxxxxOvO7To=
  private key: (hidden)
  listening port: 51820
peer: XbVLUGzqXYIxxxxxxxxxxxxxxxxxxxxxxwjVKCw=
  endpoint: 46.97.168.105:51094
  allowed ips: 192.168.33.2/32
  latest handshake: 1 minute ago
  transfer: 2.71 KiB received, 1012 B sent
Dar traficul nu se duce prin vpn - imi vad adresa ip reala chiar daca sunt conectat la vpn. Ceva e gresit in setarile mele.

#74
ogo
Posted 24 November 2019 - 16:09

ogo

    Senior Member

  • Grup: Senior Members
  • Posts: 4,382
  • Înscris: 07.03.2006
E ceva gresit setat in telefon.
Nu se duce tot traficul prin router.

#75
ogo
Posted 24 November 2019 - 16:38

ogo

    Senior Member

  • Grup: Senior Members
  • Posts: 4,382
  • Înscris: 07.03.2006
paste la
show configuration commands |grep wire

si
show interfaces

ascunzi peer key si ip public al tau care apare la show interfaces

#76
petman
Posted 24 November 2019 - 16:40

petman

    Senior Member

  • Grup: Senior Members
  • Posts: 4,793
  • Înscris: 28.11.2001
Desigur ca era ceva greșit in telefon. Si numai nu ma musca de nas.
N-am pus allowed ip 0.0.0.0/0, ::/0
Acum funcționeazã.
Mersi.

Le. Daca tot ma conectez prin vpn as putea sa dezactivez port fwd, nu?

Edited by petman, 24 November 2019 - 16:45.

#77
ogo
Posted 24 November 2019 - 16:59

ogo

    Senior Member

  • Grup: Senior Members
  • Posts: 4,382
  • Înscris: 07.03.2006
Pai depinde la ce folosesti port forward. La ce il folosesti? :)

#78
petman
Posted 24 November 2019 - 17:21

petman

    Senior Member

  • Grup: Senior Members
  • Posts: 4,793
  • Înscris: 28.11.2001
Am un server pentru documente si o solutie de supraveghere. Plus un remote pentru un desktop cand sunt in deplasare si am nevoie sa intru remote.
De fapt, e clar ca pot anula port fwd. O sa pun wireguard pe device-urile pe care le folosesc si o sa fac mai multe peers (romengleza).

#79
ogo
Posted 24 November 2019 - 17:50

ogo

    Senior Member

  • Grup: Senior Members
  • Posts: 4,382
  • Înscris: 07.03.2006

View Postpetman, on 24 noiembrie 2019 - 10:08, said:

Le. 172.20.0.1/24 - folosim tot interfata asta?
Se poate folosi orice subnet din RFC1918 ATATA timp cat nu intra in conflict cu subnet-urile deja declarate pe alte interfate ale router-ului (dar te-ai prins de chestia asta) :)
Eu am folosit 172.20.0.1/24 pentru a sublinia (intr-un fel) ca subnetul pentru wireguard este diferit de restul subnet-urilor ce au fost configurate pana acum in how-to-uri.

#80
ogo
Posted 25 November 2019 - 09:46

ogo

    Senior Member

  • Grup: Senior Members
  • Posts: 4,382
  • Înscris: 07.03.2006
HOW TO - Hardcoded DNS redirect - IPV4

- Setup-ul de mai jos se adreseaza celor ce au in reteaua locala IoT-uri ce au "prostul" obicei sa "sune acasa"  sau se poate folosi pentru a "forta" un vlan sau chiar intreaga retea sa foloseasca un safe DNS, de ex opendns (pt mai multe detalii despre opendns si ofertele lor gratuite family shield sau open dns home:  https://www.opendns....ernet-security/).

Pentru un mai bun control ar fi indicat sa aveti propriul server de DNS local (de ex un pihole ce ruleaza pe un raspberry sau intr-un vm) dar cum am indicat mai sus, merge folosind serverul preferat de dns.

Tot ce trebuie facut este de a redirectiona tot traficul tcp/udp port 53 ce pleaca spre internet din lan-ul local spre serverul de dns preferat, sau in termeni mai "profi" destination nat (un fel de port forward dar invers ca traffic flow).

In exemplu vom folosi opendns (208.67.222.222), DAR repet: pt un mai bun control un pihole local este mult mai indicat - puteti seta acest pihole sa trimita HTTPS dns request catre cloudflare a.i. tot traficul vostrul DNS sa fie securizat (cel putin pana ajunge in cloudflare).

Configuratia se poate face via CLI sau GUI (o sa fac si screen-shoot-uri pt GUI mai incolo Posted Image)

CLI

ne conectam ssh la router (putty sau tabul CLI din interfata gui)


verificam ce reguli nat sunt deja in vigoare (teoretic ar trebui sa fie doar o singura regula de masquarade - asta pentru 99% dintre useri)

configure
show service nat

si ar trebui sa avem un output de genul
rule 5010 {
	 description "masquerade for WAN"
	 outbound-interface pppoe0
	 type masquerade
}

  

Vom adauga o noua regula care va redirectiona tot traficul de pe portul 53 (dns) care pleaca spre alt server decat 208.67.222.222 din lan-ul nostru catre serverul de dns ales de noi, adica tot 208.67.222.222.
(suntem inca in configure)

set service nat rule 100 description 'DNS redirect for local network'
set service nat rule 100 destination address '!208.67.222.222'
set service nat rule 100 destination port 53

PENTRU ER3/4/5/6
set service nat rule 100 inbound-interface eth1

SAU PENTRU ER-X
set service nat rule 100 inbound-interface switch0

continuam cu:

set service nat rule 100 inside-address address 208.67.222.222
set service nat rule 100 inside-address port 53
set service nat rule 100 log disable
set service nat rule 100 protocol tcp_udp
set service nat rule 100 source address 192.168.0.0/24

o mica paranteza - prin ultima comanda de sus se poate mentiona ce  adresa/subnet/ip-range (source address) sa fie redirectionata
ogo@gw-001-main# set service nat rule 100 source address [TAB]
Possible completions:
<x.x.x.x>	 IP address to match
<x.x.x.x/x> Subnet to match
<x.x.x.x>-<x.x.x.x>
			 IP range to match
!<x.x.x.x> Match everything except the specified address
!<x.x.x.x/x> Match everything except the specified subnet
!<x.x.x.x>-<x.x.x.x>
			 Match everything except the specified range

eu am pus un intreg subnet, pentru usurinta exemplului, dar puteti experimenta Posted Image
sa mergem mai departe

set service nat rule 100 type destination
commit; save; exit

Gata. Succes!
Posted Image

Edited by ogo, 25 November 2019 - 09:49.

#81
ogo
Posted 25 November 2019 - 10:07

ogo

    Senior Member

  • Grup: Senior Members
  • Posts: 4,382
  • Înscris: 07.03.2006
POZE pt configurarea via GUI

Attached Files

  • Attached File  1.PNG   29.77K   32 downloads
  • Attached File  2.PNG   35.98K   30 downloads
  • Attached File  3.PNG   2.97K   37 downloads
  • Attached File  4.PNG   28.68K   47 downloads
  • Attached File  4A.PNG   16.07K   40 downloads

#82
wolfydRg
Posted 27 November 2019 - 17:39

wolfydRg

    Senior Member

  • Grup: Senior Members
  • Posts: 6,807
  • Înscris: 20.06.2005
@ogo wireguard este functional si la mine ... impresionant de simplu si usor de configurat. Mersi inca o data.

#83
ogo
Posted 27 November 2019 - 18:21

ogo

    Senior Member

  • Grup: Senior Members
  • Posts: 4,382
  • Înscris: 07.03.2006
De nada Posted Image
ideea e ca scriptul pt update merge doar pt wireguard (ca sa faci update la o versiune mai noua de wireguard), dar cand se face update la firmware-ul   la router dispare toata configuratia.
dupa ce dispare, se poate repune astfel:
prima oara:
conectare ssh la router (putty sau tab-ul CLI dreapta sus)

sudo -i
cd /config/wireguard
chmod 777 wg*
chmod 777 .
exit

se urmeaza toti pasii din postul https://forum.softpe...4#entry25556916
DAR FARA GENERAREA CHEILOR CARE SUNT DEJA SALVATE si FARA ADAUGAREA REGULEI 30 FIREWALL DIN WAN_LOCAL (EA RAMANE SALVATA).

aditional se poate seta keep-alive la clienti din cauza de NAT, adica in cazul nostru
configure
set interfaces wireguard wg0 peer CHEIA-PUBLICA-GENERATA-PE-TELEFON persistent-keepalive 25
commit; save; exit

si in telefon se poate bifa optional la ON-DEMAND: cellular only (de fiecare data cand telefonul trece pe conexiunea celuara se activeaza automat vpn-ul)

#84
petman
Posted 28 November 2019 - 13:31

petman

    Senior Member

  • Grup: Senior Members
  • Posts: 4,793
  • Înscris: 28.11.2001
Al meu wireguard merge ... si nu prea. Unele site-uri merg, altele nu. De exemplu uneori forumul nu merge si alte site-uri merg. Ma depaseste de ce se intampla asta.

#85
ogo
Posted 28 November 2019 - 13:47

ogo

    Senior Member

  • Grup: Senior Members
  • Posts: 4,382
  • Înscris: 07.03.2006
Pt inceput, ce mtu ai setat pe interfata wireguard?
Paste la:
show configuration commands |grep "wg0 mtu"

Si 2, 
show interfaces
si ascunde doar IP PUBLIC! cele private de genul 172.16 / 192.168. / 10.0. lasa-le :)

#86
petman
Posted 28 November 2019 - 14:45

petman

    Senior Member

  • Grup: Senior Members
  • Posts: 4,793
  • Înscris: 28.11.2001
set interfaces wireguard wg0 mtu 1440


Codes: S - State, L - Link, u - Up, D - Down, A - Admin Down
Interface	IP Address						S/L  Description
---------	----------						---  -----------
eth0		 x.x.x.x/24				  u/u  Internet
eth1		 -								 u/u  Desktop
eth2		 -								 u/u  Extern
eth3		 -								 u/u  Nas
eth4		 -								 u/u  AP
lo		   127.0.0.1/8					   u/u
			 ::1/128
switch0	  192.168.1.1/24					u/u  Local
wg0		  192.168.33.1/24				   u/u

#87
ogo
Posted 28 November 2019 - 17:26

ogo

    Senior Member

  • Grup: Senior Members
  • Posts: 4,382
  • Înscris: 07.03.2006
Teoretic, de cele mai multe ori chiar si practic, posibil sa ai ceva pierderi de pachete din cauza de udp (pur si simplu asa functioneaza protocolul, fara confirmarea primirii pachetelor) dar n-ar trebui sa se manifeste in imposibilitatea de a accesa site-uri, acest lucru apare mai ales din cauza de mtu prost setat.
Incearca sa scazi putin mtu la 1420: 
configure
set interfaces wireguard wg0 mtu 1420
commit; save; exit

Poti adauga si:
configure
set interfaces wireguard wg0 peer CHEIA-PUBLICA-GENERATA-PE-TELEFON persistent-keepalive 25
commit; save; exit

Paste la output-ul comenzii de mai jos pt nr de erori/pachete pierdute:
show interfaces wireguard wg0

#88
petman
Posted 28 November 2019 - 18:33

petman

    Senior Member

  • Grup: Senior Members
  • Posts: 4,793
  • Înscris: 28.11.2001
wg0: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000
link/none
inet 192.168.33.1/24 brd 192.168.33.255 scope global wg0
	 valid_lft forever preferred_lft forever
RX: bytes packets	 errors dropped overrun	 mcast
	 7261184	 30199	 231	 330990		 0		 0
TX: bytes packets	 errors dropped carrier collisions
	 537924620	 418951	 632	 119		 0		 0
E foarte ciudat ca merge foarte bine sa accesez nas, camere cu ip-ul local dar la unele site-uri pur si simplu crapa. Tre sa fac un test cu 2 telefoane unul langa celalalt (amandoua pe aceeasi retea de telefonie) sa vad daca nu cumva nokia mea face figuri (de la atatea buseli luate :)) ).
Multam!

Edited by petman, 28 November 2019 - 18:35.

#89
ogo
Posted 28 November 2019 - 23:10

ogo

    Senior Member

  • Grup: Senior Members
  • Posts: 4,382
  • Înscris: 07.03.2006
Ai prea multe erori.
Ai QoS/smart queue/alt tip de queue, activ cumva?
Cablul ce vine cu internet in router dpdv fizic pare ok? Mufa?

Ce output ai la:
show ip route
si
/sbin/ifconfig

ascunde doar ce e absolut necesar (maxim ip public) dar nu mai mult de-atat.

PS
Sa-ti faci o idee:
ogo@gw-001-main:~$ sudo wg
interface: wg0
public key: Z78XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX8=
private key: (hidden)
listening port: 51820
peer: +XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXk=
endpoint: 178.138.XX.XX:43215
allowed ips: 172.20.0.2/32
latest handshake: 1 hour, 18 minutes, 39 seconds ago
transfer: 65.81 MiB received, 1.43 GiB sent
persistent keepalive: every 25 seconds

si
ogo@gw-001-main:~$ show interfaces wireguard wg0
wg0: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1432 qdisc noqueue state UNKNOWN group default qlen 1
link/none
inet 172.20.0.1/24 brd 172.20.0.255 scope global wg0
	 valid_lft forever preferred_lft forever
Description: WireGuard VPN server
RX: bytes packets	 errors dropped overrun	 mcast
	 69005128	 580305		 0		 52		 0		 0
TX: bytes packets	 errors dropped carrier collisions
1531550464 1128535	 1024	 1234		 0		 0
ogo@gw-001-main:~$

#90
mihairo79
Posted 29 November 2019 - 05:09

mihairo79

    Junior Member

  • Grup: Junior Members
  • Posts: 79
  • Înscris: 06.11.2019

View Postogo, on 28 noiembrie 2019 - 23:10, said:

Ai prea multe erori.
Ai QoS/smart queue/alt tip de queue, activ cumva?
Cablul ce vine cu internet in router dpdv fizic pare ok? Mufa?

Ce output ai la:
show ip route
si
/sbin/ifconfig

ascunde doar ce e absolut necesar (maxim ip public) dar nu mai mult de-atat.

PS
Sa-ti faci o idee:
ogo@gw-001-main:~$ sudo wg
interface: wg0
public key: Z78XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX8=
private key: (hidden)
listening port: 51820
peer: +XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXk=
endpoint: 178.138.XX.XX:43215
allowed ips: 172.20.0.2/32
latest handshake: 1 hour, 18 minutes, 39 seconds ago
transfer: 65.81 MiB received, 1.43 GiB sent
persistent keepalive: every 25 seconds

si
ogo@gw-001-main:~$ show interfaces wireguard wg0
wg0: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1432 qdisc noqueue state UNKNOWN group default qlen 1
link/none
inet 172.20.0.1/24 brd 172.20.0.255 scope global wg0
	 valid_lft forever preferred_lft forever
Description: WireGuard VPN server
RX: bytes packets	 errors dropped overrun	 mcast
	 69005128	 580305		 0		 52		 0		 0
TX: bytes packets	 errors dropped carrier collisions
1531550464 1128535	 1024	 1234		 0		 0
ogo@gw-001-main:~$

View Postpetman, on 28 noiembrie 2019 - 18:33, said:

wg0: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000
link/none
inet 192.168.33.1/24 brd 192.168.33.255 scope global wg0
	 valid_lft forever preferred_lft forever
RX: bytes packets	 errors dropped overrun	 mcast
	 7261184	 30199	 231	 330990		 0		 0
TX: bytes packets	 errors dropped carrier collisions
	 537924620	 418951	 632	 119		 0		 0
E foarte ciudat ca merge foarte bine sa accesez nas, camere cu ip-ul local dar la unele site-uri pur si simplu crapa. Tre sa fac un test cu 2 telefoane unul langa celalalt (amandoua pe aceeasi retea de telefonie) sa vad daca nu cumva nokia mea face figuri (de la atatea buseli luate Posted Image) ).
Multam!
Verifica pe router daca si pe interfata WAN se incrementeaza erori (/sbin/ifconfig WANDEV sau cat /proc/net/dev; unde WANDEV este interfata cu conexiunea la internet ex eth0)

Anunturi

Chirurgia cranio-cerebrală minim invazivă Chirurgia cranio-cerebrală minim invazivă

Tehnicile minim invazive impun utilizarea unei tehnologii ultramoderne.

Endoscoapele operatorii de diverse tipuri, microscopul operator dedicat, neuronavigația, neuroelectrofiziologia, tehnicile avansate de anestezie, chirurgia cu pacientul treaz reprezintă armamentarium fără de care neurochirurgia prin "gaura cheii" nu ar fi posibilă. Folosind tehnicile de mai sus, tratăm un spectru larg de patologii cranio-cerebrale.

www.neurohope.ro
Back to Networking

0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users

  1. Forumul Softpedia
  2. Professional Zone
  3. Networking
Forumul Softpedia foloseste "cookies" pentru a imbunatati experienta utilizatorilor Accept
Pentru detalii si optiuni legate de cookies si datele personale, consultati Politica de utilizare cookies si Politica de confidentialitate