Как подключиться в ВПН

0

1

Хочу на СмартТВ смотреть ютуб, он через вайфай. В наличии допотопный роутер. Есть сервер со своим ВПН(анмезия). Там есть wireguard.

Схема такая:

Телевизор ->
Роутер ВайФай ->
Мой комп, на котором установлен Docker на котором установлен docker-wireguard и который поднимает PPPoE в интернет
ВПН ->
Ютуб

Или купить Железную ВайФай плату и поставить ее в комп и выбросить роутер?

Или купить Железный ВайФай роутер со встроенным ВПН? Насколько его хватит? Насколько знаю, протоколы постоянно мониторятся Упырями и блокируются. Выбрасывать потом этот роутер?

Ладно, если остановится на моей тупой схеме, то я не пойму как настроить docker-wireguard как клиента, в доках нихера нет, а просто «Drop your client conf(s) into the config folder as /config/wg_confs/<tunnel name>.conf and start the container»

Нет описания «client conf». Может кто-то делал, поделится примерами конфигов?

Методом тыка, исходя из этого, что-то написал

[Interface]

[Peer]
Endpoint = remote_vpn_server_ip:38396
PublicKey = cnl4o9XhIuYFCknlEsrgnROsb2mCY1iIh3DmXV3YnwQ=

поднялся интерфейс

peer: flags=209<UP,POINTOPOINT,RUNNING,NOARP>  mtu 1420
        unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  txqueuelen 1000  (UNSPEC)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

Дальше чьто? Натить через iptables? PublicKey - это какой KEY? На удаленном сервере? (я его там взял). Секция Interface тоже не понятна, что куда вписывать...

←	LDAP аутентификация настройка

Не дает сделать резервную копию. (Ошибка диска)

→

Или купить Железный ВайФай роутер со встроенным ВПН

С поддержкой OpenWRT. Там при должной сноровке можно самостоятельно образ прошивки собирать с нужными пакетами. https://openwrt.org/docs/guide-user/additional-software/imagebuilder

Берешь базовый список пакетов из шаблона с сайта https://firmware-selector.openwrt.org для своей модели, например, докидываешь своё и получаешь на выходе sysupgrade-образ для заливки.

В конфиге PublicKey - это публичный ключ узла, к которому подключаешься. PrivateKey своего узла находится в секции «Interface», еще крайне желательно сгенерировать и добавить PresharedKey. Он с обоих концов одинаковый прописывается.

Клиентский конфиг от серверного отличается тем, что в серверном много секций «Peer» (для каждого клиента) и нет параметра «Endpoint», потому что сервер сам Endpoint.

В клиентском обычно одна секция «Peer» для указания адреса сервера, а в ключе «AllowedIPs» список всех сетей за сервером.

docker-wireguard

Я обычно wg-quick использую. Для запуска нужных интерфейсов там надо включить юнит «wg-quick@имяконфига».

В OperWRT с мордой Luci это всё мышкой делает на раз, даже настройки межсетевого экрана.

С роутингом не подскажу, потому что подобным сам не занимался.

Radjah ★★★★★
(20.08.24 10:33:43 MSK)

Не надо методом тыка, отличная дока есть на официальном сайте wireguard.

Dimez ★★★★★
(20.08.24 10:38:27 MSK)

Или арчвики https://wiki.archlinux.org/title/WireGuard#Specific_use-case:_VPN_server

на котором установлен docker-wireguard

Нужно без докера?

PublicKey - это какой KEY? На удаленном сервере?

тут всё по принципу ssh

NyXzOr ★★★
(20.08.24 13:23:29 MSK)

Ответ на: комментарий от Dimez 20.08.24 10:38:27 MSK

А, надо на сайте wireguard смотреть... А я то на на этом где докер, думал там свои какие то конфиги

gobot ★★★★
(20.08.24 15:00:03 MSK) автор топика

одноплатник с wi-fi и ethernet

на wi-fi поднимаешь точку доступа, через ethernet и vpn раздаешь интернет

futurama ★★★★★
(20.08.24 15:41:23 MSK)

Ответ на: комментарий от Radjah 20.08.24 10:33:43 MSK

при должной сноровке можно самостоятельно образ прошивки собирать с нужными пакетами

В OperWRT с мордой Luci

Или поставить attended-sysupgrade.

mord0d ★★★★★
(21.08.24 22:23:04 MSK)

Ответ на: комментарий от mord0d 21.08.24 22:23:04 MSK

В сборщике выключили кастомный скрипт первой загрузки, а мне так понравилось, что при сбросе интернет и сеть сразу работают.

Может уже вернули, но я со сборщиком уже сверху сторонние репы добавил и собираю образ с докидыванием пакетов из них.

Radjah ★★★★★
(21.08.24 22:26:59 MSK)

Ответ на: комментарий от Radjah 21.08.24 22:26:59 MSK

В сборщике выключили кастомный скрипт первой загрузки

Это если ты делаешь не sysupgrade. Я ставил стоковый, затем в него ставил attended-sysupgrade и обновляюсь через него. Я даже на вики перестал заходить, аппа сама проверяет наличие обновлений когда заходишь на её вкладку, можно даже тот же билд пересобрать с другими пакетами, оно прям из интерфейса скачает squashfs и поставит без необходимости скачивать на камплюхтер.

сторонние репы

Я некоторые дефолтные пакеты выкинул, а из стороннего стоит только веб-конфигуратор uhttpd (только для того, чтобы закидывать ключи/сертификаты, потому что dropbear не имеет SFTP) и attended-sysupgrade. Для всего остального есть пачка виртуалок и контейнеров на сервере. ☺

mord0d ★★★★★
(21.08.24 22:36:41 MSK)

Ответ на: комментарий от mord0d 21.08.24 22:36:41 MSK

потому что dropbear не имеет SFTP

Либо scp с ключом "-O", либо добавить в сборку «openssh-sftp-server».

Это если ты делаешь не sysupgrade.

Это моя подушка безопасности на случай полного Пэ с настройками.

Radjah ★★★★★
(21.08.24 22:42:18 MSK)

Ответ на: комментарий от Radjah 21.08.24 22:42:18 MSK

scp с ключом «-O»

Благодарю.
// А мне стоит чаще перечитывать мануалы.

добавить в сборку «openssh-sftp-server»

Ради обновления двух файлов раз в полгода? Не сказать что у меня совсем уж плохой роутер, но если можно обойтись меньшим, то нужно.

Это если ты делаешь не sysupgrade.

Это моя подушка безопасности на случай полного Пэ с настройками.

В luci есть штатный бэкап настроек, генерирует тарболл из которого в случае чего можно восстановить на той же вкладке. Просто делаем общий сброс, подключаемся к дефолтному IP (который я уже не помню, потому что чтобы сломать OpenWRT через luci нужно сильно постараться), закатываем бэкап настроек и ребутаем роутер. По времени получается быстрее, чем перекатывать прошивку. Дело, как говорится, хозяйское, но перепрошивать роутер из-за кривых настроек это, ящитаю, оверхед. ☺

Я делаю бэкап перед (почти) каждым изменением (кроме тривиальных типа добавления хоста в Static Leases). Весят они килобайты, именуются по датам, складываю в диру, синхронизирую между компом и ноутом через Syncthing (потому что неизвестно когда и при каких условиях оно может пригодиться).

mord0d ★★★★★
(24.08.24 10:14:16 MSK)

Ответ на: комментарий от mord0d 24.08.24 10:14:16 MSK

Ради обновления двух файлов раз в полгода?

Ну можно просто пакет поставить. Я постепенно для своих подопечных собираю «прошивку мечты», дописывая в конфиг сборки пакеты. Если много всего обновляется, собираю новый образ и заливаю. Он же там в xz сжимается внутри squashfs.

У меня одном роутере под оверлей всего метров 50 есть, а раздел под систему 30 метров. Тут тоже особо разбежаться не получается. На втором под оверлей аж 128 метров и вроде как динамически выделяемое место под rootfs.

Бекап настроек тоже делаю, там у меня моё всё. Что-то поменял, проверил, заебкапил.

Radjah ★★★★★
(24.08.24 12:46:25 MSK)
Последнее исправление: Radjah 24.08.24 12:47:28 MSK (всего исправлений: 1)

←	LDAP аутентификация настройка

Admin

Не дает сделать резервную копию. (Ошибка диска)

→

Похожие темы