Помогите поднять VPN по новой сверхбыстрой технологии WireGuard

[Rand S]

Кто уже знает или готов вместе со мной разбираться как с помощью OpenWRT загрузить конфигурации для протокола WireGuard на роутер и создать VPV? Вся информация есть на сайтах https://tunsafe.com/  и https://www.azirevpn.com/  Но вот как эти конфигурации превратить в сценарий  initrc или туда встроить (я никогда этим не занимался и поэтому не знаю как правильно) и затем загрузить через Менеджер пакетов OPKG в роутер, чтобы они работали не представляю. Этот протокол дает скорость невероятную и почти не ест ресурсов использую его и на ПК и на андроиде, но очень хочется запустить через роутер. Прошу всех кому интересно подключиться к данной теме. Всем спасибо.

[zyxmon]

Оста́вь наде́жду, вся́к сюда́ входя́щий (итал. Lasciate ogni speranza, voi ch’entrate)  - (С) Данте!

Чужие пакеты не подойдут, нужно собирать свои, это документировано в Entware(wiki). Но!!! - нужны модули ядра, которые могут собрать только разработчики прошивки. Без этого никак!

[Le ecureuil]

Wireguard официально поддерживает работу с Linux kernel версий 3.10 и выше. У нас же используется ядро 3.4. Потому если вы (или кто-то еще) портируете ядерную часть на ядро 3.4, мы с удовольствием ее включим.

[Rand S]

Но должен же быть здесь хоть один человек, кто знает как это сделать., Никогда не поверю, что таких  здесь нет! Это же сверх скоростной и безопасный доступ в сеть. Грамосткий OpenVPN же прикрутили на этот роутер, а у нового протокола, код всего пару строк, ни уж-то никак? А если написать, чтобы в официальную прошивку добавили поддержку данного протокола, это возможно?

Изменено 12 июля, 2018 пользователем Rand S
Орфографическая ошибка

[Александр Рыжов]

1 час назад, Rand S сказал:

Это же сверх скоростной и безопасный доступ в сеть.

Сверхскоростных и безопасных VPN'ов существует больше, чем тем на здешнем форуме. За всеми не угонишься.

Придётся подыскать другой тип VPN.

[Rand S]

Например?

[vasek00]

43 минуты назад, Rand S сказал:

Например? 

Из не прошивочных SoftEther VPN, на форуме про него много уже написано

https://xakep.ru/2016/10/07/vpn-review/

[gzer231]

В 12.07.2018 в 12:26, Le ecureuil сказал:

Wireguard официально поддерживает работу с Linux kernel версий 3.10 и выше. У нас же используется ядро 3.4. Потому если вы (или кто-то еще) портируете ядерную часть на ядро 3.4, мы с удовольствием ее включим.

Получается, о WireguardVPN мы можем не мечтать? И у вас не как получится поднять версию ядра? Врят ли кто-то из нас, простых пользователей запилит бэкпорт, там может быть зависимостей тьма тьмущая, хотя...

[Sergey Zozulya]

Просто новость в тему - https://www.opennet.ru/opennews/art.shtml?num=49064

[gzer231]

16 минут назад, Sergey Zozulya сказал:

Просто новость в тему - https://www.opennet.ru/opennews/art.shtml?num=49064

Вы прямо как мысли читаете. Я когда заканчивал предложение словами хотя... как раз хотел про эту новость сюда упомянуть. Тем не менее, это не значит, что бэкпортнуть этот код в 3.4 будет теперь легче.

[Le ecureuil]

Моего энтузиазма мало, чтобы тащить это к нам. Это непросто, там крипточасть как раз самая беспроблемная. Основные вопросы начинаются в области взаимодействия с сетевой подсистемой ядра, которая далеко ушла вперед с 2011 года.

А массового спроса со стороны пользоваталей мы пока не видим.

[gzer231]

2 часа назад, Le ecureuil сказал:

Основные вопросы начинаются в области взаимодействия с сетевой подсистемой ядра, которая далеко ушла вперед с 2011 года.

А массового спроса со стороны пользоваталей мы пока не видим. 

Почему-то я так и подумал.

Насчет массового спроса пользователей, логично, что его нет. Все популярные сервисы VPN и не очень популярные не предлагают такого способа подключения. Я знаю всего 2 сервиса, которые позволяют так подключаться. Так что да, пока это не станет популярно, наверно нет смысла это пилить. Может, через пару лет? Действительно разумно уделить внимание чему-то более важному.

Изменено 2 августа, 2018 пользователем gzer231

[TheBB]

https://forum.keenetic.net/topic/6417-журнал-изменений-300-и-31/?do=findComment&comment=78233

Цитата

Opkg: добавлены модули ядра для поддержки Wireguard

DSL (KN-2010), DUO (KN-2110):

wireguard_0.0.20190601-1_mips-3.4.ipk  wireguard-tools_0.0.20190601-1_mips-3.4.ipk

остальные:

wireguard_0.0.20190601-1_mipsel-3.4.ipk  wireguard-tools_0.0.20190601-1_mipsel-3.4.ipk

собрано из того, что есть )))

Скрытый текст

BusyBox v1.30.1 () built-in shell (ash)

~ # ifconfig wg0
wg0       Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:192.168.1.1  P-t-P:192.168.1.1  Mask:255.255.255.0
          POINTOPOINT NOARP  MTU:1420  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

~ # wg
interface: wg0
  public key: 1234567890ABCDEF
  private key: (hidden)
  listening port: 12345

peer: FEDCBA0987654321
  endpoint: 1.2.3.4:1234
  allowed ips: 192.168.1.0/24
~ # 

 

upd

в "репах"

Изменено 14 октября, 2019 пользователем TheBB
upd

[ankar84]

2 часа назад, TheBB сказал:

собрано из того, что есть

но очень оперативно! 👍

[r13]

Ну чтож, как минимум 100 Mbit/s wireguard на KN-1910 прокачивает, навереяка и больше будет, 

100 - ограничение моей тестовой VPS

Изменено 20 июня, 2019 пользователем r13

[r13]

MT7628 в лице Extra2 смог выдавить вот столько:

[Le ecureuil]

В 23.06.2019 в 20:54, r13 сказал:

MT7628 в лице Extra2 смог выдавить вот столько:

Для 7628 очень неплохо.

[r13]

2 часа назад, Le ecureuil сказал:

Для 7628 очень неплохо. 

С учетом что на нем же L2TP/IPSec выдает 35 Мегабит, не так уж этот сверхбыстрый и быстрее на кинетике 😁

Изменено 4 июля, 2019 пользователем r13

[Le ecureuil]

Только для IPsec AES считается аппаратно, а тут все чисто программно. Если выключить аппаратный IPsec на 7628, то станет заметнее. 

[El Ruso]

@r13  Вы не могли бы подсказать как вы wireguard настраивали? Opkg Kernel modules for Wireguard support установлен и что надо делать дальше? Я на ноутбуке вставляю в  /etc/wireguard/wg0.conf конфиг клиента, делаю wg-quick down wg0 && wg-quick up wg0 и всё работает. А на роутере как? Поиск в http://files.keenopt.ru/cli_manual/KN-1910_Viva/2019-07-12/cli_manual_kn-1910.pdf по wireguard ничего мне не нашел

Изменено 21 июля, 2019 пользователем El Ruso

[El Ruso]

@Le ecureuil Подскажите, а через cli можно добавить wireguard только к одному профилю доступа, как, например, я могу сделать через UI для встроенного  OpenVPN клиента?

Изменено 21 июля, 2019 пользователем El Ruso

[r13]

6 часов назад, El Ruso сказал:

@r13  Вы не могли бы подсказать как вы wireguard настраивали? Opkg Kernel modules for Wireguard support установлен и что надо делать дальше? Я на ноутбуке вставляю в  /etc/wireguard/wg0.conf конфиг клиента, делаю wg-quick down wg0 && wg-quick up wg0 и всё работает. А на роутере как? Поиск в http://files.keenopt.ru/cli_manual/KN-1910_Viva/2019-07-12/cli_manual_kn-1910.pdf по wireguard ничего мне не нашел

В opkg нет wg-quick поэтому все делать ручками. Вечером скину конфиги как настраивал. 

ЗЫ В мануале он появится не раньше чем станет частью прошивки, а не пакетом в opkg

Изменено 22 июля, 2019 пользователем r13

[TheBB]

upd: обновлён до 20190702, вырезан за ненадобностью метапакет `wireguard`

DSL (KN-2010), DUO (KN-2110): wireguard-tools_0.0.20190702-1_mips-3.4.ipk

остальные: wireguard-tools_0.0.20190702-1_mipsel-3.4.ipk

upd

в "репах"

Изменено 14 октября, 2019 пользователем TheBB
upd

[r13]

Вариант для клиентского конфига:

/opt/etc/wireguard/wg0.conf

[Interface]
PrivateKey = {BlaBlaBla}
ListenPort = 51820
[Peer]
PublicKey = {BlaBlaBla}
AllowedIPs = 0.0.0.0/0
Endpoint = {ServerIP:Port}
PersistentKeepalive = 120

/opt/etc/wireguard/wg-up

#!/bin/sh

insmod /lib/modules/4.9-ndm-2/wireguard.ko 2>/dev/null

ip link del dev wg0 2>/dev/null
ip link add dev wg0 type wireguard
wg setconf wg0 /opt/etc/wireguard/wg0.conf
ip address add dev wg0 {IntefaceIP/Mask}
ip link set up dev wg0
ifconfig wg0 mtu 1420
ifconfig wg0 txqueuelen 1000
iptables -A FORWARD -o wg0 -j ACCEPT
iptables -A OUTPUT -o wg0  -j ACCEPT
iptables -t nat -I POSTROUTING -o wg0 -j MASQUERADE

/opt/etc/wireguard/wg-down

#!/bin/sh

ip link del dev wg0 2>/dev/null

/opt/etc/init.d/S01wireguard

#!/bin/sh

PATH=/opt/sbin:/opt/bin:/opt/usr/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/u

case $1 in
        start)
                logger "Starting WireGuard service."
                /opt/etc/wireguard/wg-up
        ;;
        stop)
                /opt/etc/wireguard/wg-down
        ;;
        restart)
                logger "Restarting WireGuard service."
                /opt/etc/wireguard/wg-down
                sleep 2
                /opt/etc/wireguard/wg-up
        ;;
        *)
        echo "Usage: $0 {start|stop|restart}"
        ;;
esac

В первых двух скриптах подставить  свои ключи и IP адреса

Далее настроить маршрутизацию по вкусу и настроить хуки netfilter для восстановления правил на кинетике

[r13]

Wireguard на VIVA KN-1910 вполне шустр

[NeedWIFI]

Планируется ли нативная поддержка?) Очень хотелось бы. OpenVPN тормоз.

[Mamay]

2 часа назад, NeedWIFI сказал:

Планируется ли нативная поддержка?) Очень хотелось бы. OpenVPN тормоз.

По всей видимости нет! Пользуйте иные VPN-ы...

[rusa13]

Всем привет.
wireguard поднялся. С одной стороны Giga (KN-1010) клиент 10.1.0.1 с другой VPS 10.2.0.1 сервер Сети друг-друга видят.
Для пробы пытаюсь завернуть весь трафик на vps.

Хожу из 192.168.1.0/24

br0 - 192.168.1.1

скрипт в /opt/etc/ndm/netfilter.d:

#!/bin/sh
[ "$type" == "ip6tables" ] && exit 0

if [ "$table" == "filter" ]; then
    iptables -I FORWARD -i br0 -o wg0 -j ACCEPT
    iptables -A OUTPUT -o wg0 -j ACCEPT
fi

if [ "$table" == "nat" ]; then
    iptables -t nat -A POSTROUTING -o wg0 -j MASQUERADE
fi

Правила добавляются. Но реакции нет.
Посоветуйте пожалуйста куда смотреть.

Изменено 19 сентября, 2019 пользователем rusa13

[r13]

2 минуты назад, rusa13 сказал:

Всем привет.
wireguard поднялся. С одной стороны Giga (KN-1010) клиент 10.1.0.1 с другой VPS 10.2.0.1 Сети друг-друга видят.
Для пробы пытаюсь завернуть весь трафик на vps.

Хожу из 192.168.1.0/24

br0 - 192.168.1.1

скрипт в /opt/etc/ndm/netfilter.d:

#!/bin/sh
[ "$type" == "ip6tables" ] && exit 0

if [ "$table" == "filt er" ]; then
    iptables -I FORWARD -i br0 -o wg0 -j ACCEPT
    iptables -A OUTPUT -o wg0 -j ACCEPT
fi

if [ "$table" == "nat" ]; then
    iptables -t nat -A POSTROUTING -o wg0 -j MASQUERADE
fi

Правила добавляются. Но реакции нет.
Посоветуйте пожалуйста куда смотреть.

А маршрутизацию настроили чтобы пакеты в туннель уходили?

[rusa13]

9 часов назад, r13 сказал:

А маршрутизацию настроили чтобы пакеты в туннель уходили?

Добавляю при старте wireguard :

ip route add 10.1.0.0/24 dev wg0