Cofigurare server Wireguard pe OpenWRT

Salutare, datele problemei:

Locatia A: NAS Synology configurat ca si VPN server
Locatia B: VPN client un Tplink Archer C9 ce ruleaza DDwrt

Am realizat fara probleme o conexiune VPN PPTP unde obtin max 30Mbps insa am citit ca daca as folosi L2TP as obtine rezultate mai bune.
Acum daca va uitati pe screenshoturi, pe VPn server pot seta doar o parola insa pe VPN client (ddwrt) trebuie sa scriu atat user cat si parola.

Vreo idee care sa ma ajute sa realizez conexiunea VPN?
Dupa cum vedeti conexiunea VPN o realizez chiar pe interfata WAN a routerului client.

Multumiri!

Doar ai pornit serverul vpn.  Trebuie sa configurezi și utilizatorii. Cumva aceștia sunt utilizatorii definiți in NAS ?

@Leo2006 cred ca ai dreptate, userii sunt deja definiti in alta parte in Synology. Atunci la client unde folosesc acea cheie preshared pe care o configurez pe server?

ddwrt nu are client de ipsec , de aia nu este ceruta preshared key - o problema mai veche , care nu afost rezolvata
Eventual sa setezi router-ul ddwrt ca si openvpn client , sau sa instalezi wireguard pe NAS si in ddwrt  ( in ddwrt -> tunnels , si alegi wireguard )

Edited by marmota_vasi, 16 January 2023 - 15:42.

wireguard is the way to go daca vrei un boost considerabil de performanta

Pot sa-ti confirm ca wireguard este mult mai rapid decat celelalte conexiuni vpn. La mine duce 100mb/s si e instalat pe un RPI4.

Multumesc, habar nu aveam de acest wireguard dar o sa explorez aceasta varianta.

Urmandu-va sfaturile si mai citind si eu pe net mi-am comandat un NanoPi R2S pe care voi pune o imagine de OpenWRT care se gaseste deja pe github ptr Wireguard.

Pana ajunge de la chinezi am o nelamurire, sa-l pun in "spatele" routerului actual si sa-i aloc un IP fix (192.168.1.x) sau sa-l expun direct la internet prin DMZ?
Care  ar fi abordarea cea mai simpla/ practica?

Edited by atupi, 30 January 2023 - 19:08.

In spatele routerului si aloci un ip fix.

Pe routerele ASUS de câțiva ani poți face vpn server cu wireguard .
Extrem de simplu și util .
Openvpn este mult în spate la capitolul viteză față de wireguard

@kye77 poate merge pe modelele mai noi si cam scumpe. Acum am un Asus RT-AC68U si merge f bine, nu am de ce sa il schimb doar ptr wireguard. Trebuie sa vina NanoPi-ul de la chinezi si o sa-i pun un ddwrt. Am dat 45 euro pe Nanopi.

Edited by atupi, 14 February 2023 - 12:21.

Salutare, asa cum va spuneam am comandat si a sosit NanoPi si am pus pe el un Open WRT si mi-am cam prins urechile in configurarea serverului Wireguard pe el.

O sa va descriu configuratia si o sa pun si cateva screenshoturi, poate cineva mai experimentat ma poate ajuta.
Va spun de la inceput ca desi eu consider ca am urmat o groaza de tutoriale online nu am reusit,
Nefiind un linux expert totul incerc sa-l fac din interfata Luci.

Avem asa:

- conexiune la internet Digi unde ONT-ul lor e pus in bridge si routerul principal este un Asus Ac68U.

Pe acest router in LAN am adrese de genul 192.168.2.x
DDNS-ul (xxx.go.ro) merge perfect ptr ca momentan ma conectez cu PPTP pana fac sa mearga wireguard.

Pe una din interfetele LAN ale lui Asus am conectat interfata WAN a lui NanoPI si am alocat ip fix (192.168.2.100) iar cu ajutorul PPTP server activat pe Asus ma pot conecta momentan de la distanta si pe NAnoPi

Pe Asus am facut fwd la portul 1234 pe care l-am setat si pe NanoPi

Mai departe pe NanoPi am facut urmatoarele configurari:
- am creat interfata VPN care asculta pe 1234 cum se vede si in poza atasata
- am facut fwd la port 1234 zic eu (aici nu reusesc sa inteleg bine diferenta dintre port intern si port extern)

Am pus clientul pe telefon, am facut configuratia zic eu corect insa la final cand incerc sa ma conectez obtin pe client mesajul: Error bringing up tunnel. At least one address must be specified.
Daca cineva are timpul si rabdarea sa ma ajute as aprecia f mult. OpenWRT mi se pare destul de abstract/ netw expert.

Paste fericit!

Daca tot ai pus mana pe un sbc si ai deja un router, de ce sa te limitezi singur si sa nu folosesti Armbian?  
Eventual aplici un dietpi peste si ai un TUI distractiv, pivpn pt wireguard, poate pi.hole.

PS. N-am intels scopul tau, dar abordarea e cam aiurea, macar foloseste-l in mod bridge daca vrei sa stai pe openWRT.
PS. In momentul de fata, pptp si l2tp nici nu ar trebui luate in considerare, sunt total inutile dpdv al securitatii.

Edited by bardu, 16 April 2023 - 08:04.

sa inteleg ca ai 2 routere in cascada: Asus router principal, si nano pi cel secundar ( in spate /dupa Asus )
sunt persoane pe forum care se pricep la partea de network si cum sa eviti double nat si altele : poate are  timp si disponibilitatea sa faca un mig ghid/ tutorial cu un  server VPN pe openwrt,  in spatele routerului principal [ vpn appliance behind router]  ( ceea ce cred eu ca vrei tu sa faci aici )

Eu nu ma pricep ( mi se pare mai intuitiv ddwrt , dar mi se pare dificila  de inteles si pus in practica logica de setare openwrt - atat Luci si  mai ales CLI  ) dar uitandu-ma la screenshot-urile tale , ceva pare in neregula ;
In setup-ul tau , daca faci fwd la port 1234 de pe Asus catre openwrt, atunci openwrt are incoming pe port exterior 1234( wan ) si de acolo poti fwd catre openwrt lan port 1234 sau care vrei tu [ ideea e ca ce portul fwd-at de Asus catre lan,  ai pus tu  de ex.1234 , e trimis catre opewrt wan [ asta presupunand ca openwrt e in mod router , nu bridge sau altceva ]

Eroarea de la clientul de android : ai pus la end point adresa xxx.go.ro ? in caz ca te conectezi din afara retelei?


ps: openwrt are mai multe optiuni pe partea de vpn si ar fi util multor utilizatori , daca e setat corect - ca server de vpn / zerotier /tailscale in reteaua locala, in spatele routerului principal ( functiile openwrt de router / dhcp / forewall dezactivate )

Poate cineva  sa ajute cu sfaturi in setarea openwrt doar ca vpn appliance, in spatele /dupa  router ? ( se poate considera exemplul de mai sus , la reteaua/router principal 192.168.2.x )

Edited by marmota_vasi, 16 April 2023 - 10:41.

Cat ai scris aici, nu era mai bine sa cauti direct?
https://openwrt.org/...wireguard/start
E plin de tutoriale peste tot, ce ghiduri mai trebuie?
In cazul in care serverul nu este instalat pe gateway regula este simpla, adauga ruta statica potrivita.

@marmota_vasi ai inteles destul de bine situatia, NanoPi care ruleaza Openwrt este in spatele Asus-ului.
Intradevar chestia aia cu port extern si port intern ma confuzeaza, de asta am si cerut ajutor.

Cu DDwrt chiar nu am avut probleme insa NanoPi suporta doar Openwrt.

@bardu multumesc ptr sugestii, stiu ca se pot face multe dar dupa cum vezi eu am problemele prezentate. Poate ptr cineva mai experimentat asa ca tine sunt simple dar na, facem si noi ce putem
Echipamentele mele se afla in Bucuresti si eu la 2000km mai la vest de ele.

Cred ca ar trebui sa simplifici abordarea, pune sbc-ul in mod client, adapteaza configul dupa nevoile tale.
https://openwrt.org/...as_clientdevice

Setat pe ddwrt: port forward catre serverul wireguard, ruta statica catre reteaua wg0 definita pe openwrt prin sbc ip.
P.S. Distanta nu conteaza atata vreme cat ai acces, sau o mana de ajutor la fata locului si un laptop. Banuiesc ca asa ai ars openwrt pe cardul sd . Poti chiar sa trimiti cardul gata instalat si rogi pe cineva sa-l schimbe.

@bardu cum spuneam si anterior apreciez propunerile tale, in principiu le inteleg si sunt justificate insa dupa cum vezi eu nu sunt in stare un amarat de server Wg sa configurez asa ca pihole, rute statice etc sigur ma depasesc.

In ce priveste configurarea Wg cred ca am mai facut ceva progrese, am refacut totul urmand sfaturile de aici desi unii pasi nu-mi sunt clari si acum ma pot conecta de pe telefon la server insa am traifc doar pe "send", nu vine nimic inapoi.
Alta chestie deranjanta este ca pe telefon nu permite sa setez numele de domeniu digi  ci suporta doar IP-ul extern insa asta nu e fix, se mai schimba.