Wireguard VPN na požádání

[sip2sim]

Tu Vasi privatni IP adresu potrebuji pridat do adres na tom routeru v sekci (3) a (5):

1]

Kód: Vybrat vše

/interface/wireguard/add private-key="muj-privatni-klic=" name=wg-odorik

2]

Kód: Vybrat vše

/interface/wireguard/peers/add allowed-address=81.31.43.192/28,81.31.43.232/29,81.31.45.32/27,89.185.255.32/28,89.185.255.48/29,89.185.255.56/32,89.185.255.58/31,89.185.255.60/30,172.16.0.0/16 \
endpoint-address=89.185.255.57 \
endpoint-port=38150 \
interface=wg-odorik \
public-key="Odor8VaaxS9YIdZv6xGcuibSccYRFVWk7ctTGSp43C8=" \
persistent-keepalive=30

3]

Kód: Vybrat vše

/ip/address/add address=172.16.xx.xx/xx network=???.??.?.?/?? interface=wg-odorik

Jaka "network=???.??.?.?/??" to je u Vas?

4]

Kód: Vybrat vše

/routing/table/add name=wg-sip
/ip/firewall/mangle/add chain=prerouting in-interface=wg-sip action=mark-routing new-routing-mark=wg-sip

5]

Kód: Vybrat vše

/routing/rule/add routing-mark=wg-sip action=lookup-only-in-table table=wg-sip
/ip/route/add dst-address=0.0.0.0/0 gateway=???.??.?.?/?? routing-table=wg-sip

6]

Kód: Vybrat vše

/ip/firewall/nat/add chain=srcnat out-interface=wg-odorik action=masquerade

Kdyz se na to ted divam, nemnely by ty adresy na WG Interface mit "0.0.0.0/0"
a v bode (5) se ty adresy pridaji, protoze pres to WG "wg-odorik" interface, chci routovat jen Vas traffic a ne vsechno .....
ale mikrotik preci potrebuje vedet (z routing table) ze to pro ty vase rozsahy IP address ma smerovat na to "wg-odorik" interface ..

[xsouku04]

Add 3) Podle mě síť je definovaná tím číslem za lomítkem a network=něco už jení potřeba specifikovat.
WG-interface by určitě mělo mít jen tu přidělenou adresu. 0.0.0.0/0 není adresa, ale nastavení, kdy se někam směruje úplně všechno. Tedy síť, která zahrnuje úplně všechny ip adresy.

[sip2sim]

1]

Kód: Vybrat vše

/interface/wireguard/add private-key="muj-privatni-klic=" name=wg-odorik

2]

Kód: Vybrat vše

/interface/wireguard/peers/add allowed-address=81.31.43.192/28,81.31.43.232/29,81.31.45.32/27,89.185.255.32/28,89.185.255.48/29,89.185.255.56/32,89.185.255.58/31,89.185.255.60/30,172.16.0.0/16 \
endpoint-address=89.185.255.57 \
endpoint-port=38150 \
interface=wg-odorik \
public-key="Odor8VaaxS9YIdZv6xGcuibSccYRFVWk7ctTGSp43C8=" \
persistent-keepalive=30

3]

Kód: Vybrat vše

/ip/address/add address=172.16.xx.xx/xx interface=wg-odorik

4]

Kód: Vybrat vše

/ip/firewall/mangle/add chain=prerouting in-interface=wg-odorik action=mark-routing new-routing-mark=main

5]

Kód: Vybrat vše

/ip/route/add dst-address=81.31.45.32/27 gateway=wg-odorik routing-table=main

Tady asi bude treba pridat vsechny ty Vase subnets, ze?

6]

Kód: Vybrat vše

/ip/firewall/nat/add chain=srcnat out-interface=wg-odorik action=masquerade

Telefon, co je k tomu routeru prihlaseny pres Wi-Fi se ted hlasi jako registrovany z:
89.185.255.57:49765
ale lokalni adresa je
z rozsahu moji LAN

Ale ....traceroute na Mikrotiku na to wg interface:

Kód: Vybrat vše

/tool/traceroute interface=wg-odorik sip.odorik.cz

stale hlasi:

Kód: Vybrat vše

Columns: LOSS, SENT, LAST
#  LOSS  SENT  LAST   
1  100%     6  timeout
2  100%     6  timeout
3  100%     6  timeout
4  100%     5  timeout
5  100%     5  timeout

Ale na PC, co je pripojene pres WiFi:

Kód: Vybrat vše

>tracert sip.odorik.cz

Tracing route to sip.odorik.cz [81.31.45.51]
over a maximum of 30 hops:

  1     1 ms     1 ms     1 ms  router.lan [xxx.xxx.xxx.xxx]
  2    30 ms    33 ms    30 ms  172.16.0.1
  3    30 ms    30 ms    30 ms  81-31-45-51.static.masterinter.net [81.31.45.51]

A nefunguje oznameni o prichozim hovoru :(

[xsouku04]

Na mikrotiku by mělo stačit jen
/tool/traceroute sip.odorik.cz

Interface by to mělo vybrat samo podle ip adresy destinace. Pokud to nejde, není to důležité, podstatné je, že to jde ze sítě za mikrotikem.

[sip2sim]

Taky to nefunguje
a na linkach, ktere jsou pripojene k tomuto WG tunelu nefunguji prichozi hovory.

Takze to jeste potrebuje doopravit, protoze, data tecou tunelem spravne, ale
zpet se nevrati ???

[xsouku04]

Ohledně blokace Wireguard v Egyptě a jiných podobných zemích.


Tak jsem dnes zjistil, že Wireguard systematicky neblokují jen v Egyptě, ale např. i v Pákistánu. Nový Odorik Wireguard VPN v Pákistánu chvíli jel, zjevně než jej detekovali a zablokovali.
SIP v Pákistánu také nefunguje dobře/spolehlivě, zjevně je také záměrně przněno.
Tedy nezbývá než použít nějaký VPN, který je velmi obtížné detekovat. Zajímavé je, že např. WhatsApp v Pákistánu funguje OK.

Náš zákazník zkoušel protonVPN. Nejnižší tarif s neomezenými daty má úplně zdarma bez omezení dat, zdarma je i podpora OpenVPN, Wireguard nebo vlastní aplikace. Zajímavé je, že Wireguard byl vždy blokován, ale jejich vlastní aplikace fungovala. Zjevně používají vlastní protokol (či např. mírně pozměněný Wireguard nebo OpenVPN), tak aby nebylo je snadné jej detekovat a tedy blokovat.

Bohužel náš zákazník má ještě další požadavek. Chce VPN používat jen na volání přes Odorik, ale na nic jiného.
Tedy mělo by stačit někam zadat ip rozsahy Odoriku a mělo by být hotovo.

Bohužel podpora mnohých VPN služeb je tak mizerná, že ani nejsou schopni zodpovědět tento jednoduchý dotaz, zda je možné jejich VPN použít jen na určité IP rozsahy. To je pro práci jistě rozumné. Za používání VPN, tedy IP adres se špatnou reputací, vás mohou totiž některé služby (jako např. LinkedIn) trvale zablokovat účet, proto může být dobré VPN používat jen pro služby, kde je to nutné.

Ukázalo se, že aplikace protonVPN má možnost si nastavit, že přes tunel mají jít jen některé ip rozsahy. Bohužel tato možnost je dostupná jen u placené verze.

V každém případě protonVPN (či podobné služby) je způsob, jak rozchodit SIP v Pákistánu, tedy pravděpodobně i v Egyptě, a to zcela zdarma. Jen je třeba se vyhnout použití standardizovaných VPN protokolů a používat jejich aplikaci, která používá tajný a možná měnící se protokol, který brání detekci tedy i blokaci.

[dako]

K tomu jen krátce, raději bych se držel staré dobré OpenVPN. S Wireguardem jsem si chvílemi zahrával, a chovalo se to různě, především mi šlo o chování v mobilní aplikaci. Raději jsem se vrátil zpět k OpenVPN. Především šlo o "pushování" lokalních sítí do vpn, Ve wireguard to nahrazuje allowed-address, jenže to fungovalo tak nějak divně. Zkrátka, spíš to neroutovalo jak routovalo. Druhá věc, v Mikrotiku je wireguard dostupný od ROS7, a s tou mají mikrotiky s čipem mibs neskutečný problém (ani se nepokoušejte os7 do něj dávat).
Nastavování wireguardu - super, přes qr kód zvládne i cvičená opička, ale to je tak asi vše. Trochu pokročilejší síťařina ale drhne.

[xsouku04]

K tomu jen krátce, raději bych se držel staré dobré OpenVPN. S Wireguardem jsem si chvílemi zahrával, a chovalo se to různě, především mi šlo o chování v mobilní aplikaci. Raději jsem se vrátil zpět k OpenVPN. Především šlo o "pushování" lokalních sítí do vpn, Ve wireguard to nahrazuje allowed-address, jenže to fungovalo tak nějak divně. Zkrátka, spíš to neroutovalo jak routovalo. Druhá věc, v Mikrotiku je wireguard dostupný od ROS7, a s tou mají mikrotiky s čipem mibs neskutečný problém (ani se nepokoušejte os7 do něj dávat).
Nastavování wireguardu - super, přes qr kód zvládne i cvičená opička, ale to je tak asi vše. Trochu pokročilejší síťařina ale drhne.

Se špatnou podporou v hardware se nedá nic dělat, ale předpokládám, že časem se to zlepší hlavně kvůli tomu, že wireguard je méně náročný na výkon hardware. Co se ale týče nějakého záhadného chování, to věřím, že bude snad jen nějaké nepochopení či špatná konfigurace. Ta nastavení allowed address normálně ovlivní routování, i když se nepřidají nová pravidla do routovací tabulky. Což je trochu taková magie, ale celé je to kvůli tomu docela jednoduché.