Předpokládám, že většina routerů přidá časem i Wireguard. Mně se nechce nyní OpenVPN učit (myslím hlavně dobré a bezpečné nastavení pro server a veřejnostt), když jej nepovažuji za moc perspektivní. Konfigurace wireguard je jednodušší a na stejném hardware proteče několikanásobně více dat, i když pro VoIP nebo vzdálenou konfiguraci je to celkem jedno.
Wireguard VPN na požádání
- xsouku04
- Administrátor
- Příspěvky: 8177
- Registrován: pát 15. říj 2010 11:11:44
- Bydliště: Brno
- Kontaktovat uživatele:
Re: Wireguard VPN na požádání
Re: Wireguard VPN na požádání
S tímto netřeba se učit OpenVPN: https://github.com/Nyr/openvpn-install
- xsouku04
- Administrátor
- Příspěvky: 8177
- Registrován: pát 15. říj 2010 11:11:44
- Bydliště: Brno
- Kontaktovat uživatele:
Re: Wireguard VPN na požádání
Bohužel to vypadá, že např. v Egyptě je Wireguard blokovaný. Nestandardní port nepomůže, asi dovedou wireguard rozpoznat. Tedy alespoň někdy. Blokují tam v podstatě všechno VoIP, prý dokonce VoWifi mobilních operátorů. Je otázka jestli také blokují jiné VPN, které se častěji používají ve větších korporátech.
Řešením by mohlo být použít normální roaming s nějakým balíčkem. Roaming samotný totiž fungje jako VPN a předpokládám, že se tak jakékoli blokaci vyhnete. T-mobile twist např. nabízí 100 MB dat v druhé zóně za 199 Kč. Lze to aktivovat i u SIM za 30 Kč s kreditem 200 Kč. https://www.odorik.cz/w/eshop:predplace ... rnet_karta
Řešením by mohlo být použít normální roaming s nějakým balíčkem. Roaming samotný totiž fungje jako VPN a předpokládám, že se tak jakékoli blokaci vyhnete. T-mobile twist např. nabízí 100 MB dat v druhé zóně za 199 Kč. Lze to aktivovat i u SIM za 30 Kč s kreditem 200 Kč. https://www.odorik.cz/w/eshop:predplace ... rnet_karta
Re: Wireguard VPN na požádání
Zvláštní - jestli to má nějakou TLS vrstvu, vůbec by nemělo být poznat, co teče uvnitř? I když asi ne "WireGuard over TCP is not obfuscated, hence it can be easily censored."xsouku04 píše: ↑pon 02. říj 2023 12:24:37 Bohužel to vypadá, že např. v Egyptě je Wireguard blokovaný. Nestandardní port nepomůže, asi dovedou wireguard rozpoznat. Tedy alespoň někdy. Blokují tam v podstatě všechno VoIP, prý dokonce VoWifi mobilních operátorů. Je otázka jestli také blokují jiné VPN, které se častěji používají ve větších korporátech.
Řešením by mohlo být použít normální roaming s nějakým balíčkem. Roaming samotný totiž fungje jako VPN a předpokládám, že se tak jakékoli blokaci vyhnete. T-mobile twist např. nabízí 100 MB dat v druhé zóně za 199 Kč. Lze to aktivovat i u SIM za 30 Kč s kreditem 200 Kč. https://www.odorik.cz/w/eshop:predplace ... rnet_karta
Řešením je pořídit místní SIM, ne? (https://prepaid-data-sim-card.fandom.com/wiki/Egypt). Roaming v 2. nebo 3. zóně člověk moc platit nechce
Zajímavé info je i v té wiki "In 2015 operators confirmed reports that the national regulator NTRA had blocked VoIP services on all mobile networks, although this was denied by the regulator. It's technically prohibited to make international calls from mobile networks under Article 72 of the Telecommunications Law, which forbids the “by-passing [of] international telephone calls by any means whatsoever.”"
- xsouku04
- Administrátor
- Příspěvky: 8177
- Registrován: pát 15. říj 2010 11:11:44
- Bydliště: Brno
- Kontaktovat uživatele:
Re: Wireguard VPN na požádání
Buď blokují až na vyjímky veškerý UDP provoz a nebo rozpoznají podle prvních hlaviček, že je to wireguard, a pak to blokují. Ale prý blokují ji openVPN na TCP, takže asi šmírují hlavičky. Pořídit si místní SIM nepomůže, protože právě tu blokují, podobně jako většinu wifi. 30 Kč za 100 MB je docela rozumná cena na to, že v tom máte hodiny volání přes VoIP + nějaké fotky a textové zprávy. Předpokládám celkem určitě bez blokování.alfi píše: ↑pon 02. říj 2023 13:05:12 Zvláštní - jestli to má nějakou TLS vrstvu, vůbec by nemělo být poznat, co teče uvnitř? I když asi ne "WireGuard over TCP is not obfuscated, hence it can be easily censored."
Řešením je pořídit místní SIM, ne? (https://prepaid-data-sim-card.fandom.com/wiki/Egypt). Roaming v 2. nebo 3. zóně člověk moc platit nechce
Zajímavé info je i v té wiki "In 2015 operators confirmed reports that the national regulator NTRA had blocked VoIP services on all mobile networks, although this was denied by the regulator. It's technically prohibited to make international calls from mobile networks under Article 72 of the Telecommunications Law, which forbids the “by-passing [of] international telephone calls by any means whatsoever.”"
Důvod, proč se nesmí volat přes data, je určitě ten, aby místní mobilní mafie (tedy ta v Egyptě) více vydělala, i když možná se bude odvolávat na nějakou bezpečnost. Jako že VoIP nelze vždy odposlouchávat, když je provoz šifrován. U roamingových dat, předpokládám, už dostane své výpalné, a proto je, myslím, pravděpodobné, že nic blokovat nebude. U dat v roamingu máte českou ip adresu a případný firewall/NAT vám dělá domací mobilním operátor, tedy je nelogické, aby do toho zasahovali.
Co údajně nedovedou blokovat, je zatím Obfuscated server - https://support.nordvpn.com/Connectivit ... ervers.htm Tedy takový VPN, který nelze rozpoznat, že je to VPN, ale má hlavičky, aby to vypadalo jako něco jiného, co se běžně neblokuje.
Re: Wireguard VPN na požádání
Vlastnim staricky Gigaset N300A IP s nekolika E630HX a C610H ale
uvedene zarizeni nepodporuje ani TLS/SRTP ani ZRTP.
https://www.odorik.cz/w/srtp
https://www.odorik.cz/w/zrtp
Koukam ze Odorik nabizi Wireguard VPN tunel
https://www.odorik.cz/w/wireguard_vpn
Doma pouzivam Mikrotik Router, ktery taky nabizi WG a provozuji na nem WG pro pripojeni z venku.
Bohuzel nejsem sitar, ale neumi nekdo nastavit Mikrotik s WG od Odorik
aby pres tento WG tunel chodil "POUZE" jen traffic pro "sip.odorik.cz"
a ne vsechno jako alternativa k nefungujicimu TLS/SRTP a ZRTP na mojem zarizeni?
Nechci se do toho vrtat, at jak pisou pres to netece vsechen muj traffic ....
uvedene zarizeni nepodporuje ani TLS/SRTP ani ZRTP.
https://www.odorik.cz/w/srtp
https://www.odorik.cz/w/zrtp
Koukam ze Odorik nabizi Wireguard VPN tunel
https://www.odorik.cz/w/wireguard_vpn
Doma pouzivam Mikrotik Router, ktery taky nabizi WG a provozuji na nem WG pro pripojeni z venku.
Bohuzel nejsem sitar, ale neumi nekdo nastavit Mikrotik s WG od Odorik
aby pres tento WG tunel chodil "POUZE" jen traffic pro "sip.odorik.cz"
a ne vsechno jako alternativa k nefungujicimu TLS/SRTP a ZRTP na mojem zarizeni?
Nechci se do toho vrtat, at jak pisou pres to netece vsechen muj traffic ....
- xsouku04
- Administrátor
- Příspěvky: 8177
- Registrován: pát 15. říj 2010 11:11:44
- Bydliště: Brno
- Kontaktovat uživatele:
Re: Wireguard VPN na požádání
Aby přes Wireguard šel provoz jen na odorik, se zajistí pomocí nastavení.sip2sim píše: ↑čtv 28. pro 2023 21:22:39 Vlastnim staricky Gigaset N300A IP s nekolika E630HX a C610H ale
uvedene zarizeni nepodporuje ani TLS/SRTP ani ZRTP.
https://www.odorik.cz/w/srtp
https://www.odorik.cz/w/zrtp
Koukam ze Odorik nabizi Wireguard VPN tunel
https://www.odorik.cz/w/wireguard_vpn
Doma pouzivam Mikrotik Router, ktery taky nabizi WG a provozuji na nem WG pro pripojeni z venku.
Bohuzel nejsem sitar, ale neumi nekdo nastavit Mikrotik s WG od Odorik
aby pres tento WG tunel chodil "POUZE" jen traffic pro "sip.odorik.cz"
a ne vsechno jako alternativa k nefungujicimu TLS/SRTP a ZRTP na mojem zarizeni?
Nechci se do toho vrtat, at jak pisou pres to netece vsechen muj traffic ....
AllowedIPs = 81.31.43.192/28, 81.31.43.232/29, 81.31.45.32/27, 89.185.255.32/28, 89.185.255.48/29, 89.185.255.56/32, 89.185.255.58/31, 89.185.255.60/30, 172.16.0.0/16
Je to trochu takové magie v tom , že allowedIPs zajistí i jakési speciální routovací pravidla, které ale nejsou nikde vidět. Tedy nejsou vidět v nastavených routovacích pravidlech. Tedy tak je to aspoň v Linuxu. Předpokládám, že tuhle magii přebírá i implementace na mikrotiku, protože je to jaksi součást fungování wireguardu.
Pro všechno ostatní je, předpokládám, možné použít obecný návod pro wireguard a mikrotic.
Re: Wireguard VPN na požádání
Ve windows WG jsem si vygeneroval "PrivateKey" a podle nastaveni
https://www.odorik.cz/w/wireguard_vpn
nastavil, po obdrzeni IP adresy 172.16.X.X/XX doplnil.
Aktivoval a na PC s Windows to funguje a trafic pro *.odorik.cz se routuje pres WG tunnel
a vsechno ostatni mimo tunel :)
Takze to zkousim na zarizeni MikroTik v7.12 i z druhe VDSL linky s v7.13 z prikazove radky:
Kontrola na "Vaše registrovaná SIP zařízení":
https://www.odorik.cz/ucet/sip_tisk.html?line=123456
Je videt, ze komunikace funguje, male mnozstvi dat (xx B) pres tunel tece,
ale telefon se stale ukazuje jako registrovany z WAN IP adresy :(
Jeste pro jistotu, zkousim SIP telefon Odorik.exe a ten ze zarizeni,
ktere je pripojene k routeru (v7.13) routuje trafic pres WAN a ne WG tunel :(
Nevi nekdo co mam spatne?
https://www.odorik.cz/w/wireguard_vpn
nastavil, po obdrzeni IP adresy 172.16.X.X/XX doplnil.
Aktivoval a na PC s Windows to funguje a trafic pro *.odorik.cz se routuje pres WG tunnel
a vsechno ostatni mimo tunel :)
Kód: Vybrat vše
[Interface]
PrivateKey = mujvygenerovanyprivatniklic=
Address=172.16.XX.XX/XX
[Peer]
AllowedIPs = 81.31.43.192/28, 81.31.43.232/29, 81.31.45.32/27, 89.185.255.32/28, 89.185.255.48/29, 89.185.255.56/32, 89.185.255.58/31, 89.185.255.60/30, 172.16.0.0/16
PublicKey = Odor8VaaxS9YIdZv6xGcuibSccYRFVWk7ctTGSp43C8=
Endpoint = 89.185.255.57:38150
PersistentKeepalive = 30
Takze to zkousim na zarizeni MikroTik v7.12 i z druhe VDSL linky s v7.13 z prikazove radky:
Kód: Vybrat vše
/interface/wireguard add private-key="mujvygenerovanyprivatniklic=" name=wg-odorik1
Kód: Vybrat vše
/interface wireguard peers add allowed-address=81.31.43.192/28,81.31.43.232/29,81.31.45.32/27,89.185.255.32/28,89.185.255.48/29,89.185.255.56/32,89.185.255.58/31,89.185.255.60/30 \
client-address=172.16.XX.XX/XX \
disabled=no \
endpoint-address=89.185.255.57 \
endpoint-port=38150 \
interface=wireguard-odorik \
persistent-keepalive=30s \
public-key="Odor8VaaxS9YIdZv6xGcuibSccYRFVWk7ctTGSp43C8="
Kontrola na "Vaše registrovaná SIP zařízení":
https://www.odorik.cz/ucet/sip_tisk.html?line=123456
Je videt, ze komunikace funguje, male mnozstvi dat (xx B) pres tunel tece,
ale telefon se stale ukazuje jako registrovany z WAN IP adresy :(
Jeste pro jistotu, zkousim SIP telefon Odorik.exe a ten ze zarizeni,
ktere je pripojene k routeru (v7.13) routuje trafic pres WAN a ne WG tunel :(
Nevi nekdo co mam spatne?
Naposledy upravil(a) sip2sim dne úte 09. led 2024 12:56:52, celkem upraveno 1 x.
- xsouku04
- Administrátor
- Příspěvky: 8177
- Registrován: pát 15. říj 2010 11:11:44
- Bydliště: Brno
- Kontaktovat uživatele:
Re: Wireguard VPN na požádání
A to zařízení microtik je v cestě na internet? Možná se tam přecijen musí přidat routovací pravidla pro ip adresy odoriku, aby to šlo přes wireguard.sip2sim píše: ↑pát 05. led 2024 15:24:16 Ve windows WG jsem si vygeneroval "PrivateKey" a podle nastaveni
https://www.odorik.cz/w/wireguard_vpn
nastavil, po obdrzeni IP adresy 172.16.X.X/XX doplnil.
Aktivoval a na PC s Windows to funguje a trafic pro *.odorik.cz se routuje pres WG tunnel
a vsechno ostatni mimo tunel
Kód: Vybrat vše
[Interface] PrivateKey = mujvygenerovanyprivatniklic= Address=172.16.XX.XX/XX [Peer] AllowedIPs = 81.31.43.192/28, 81.31.43.232/29, 81.31.45.32/27, 89.185.255.32/28, 89.185.255.48/29, 89.185.255.56/32, 89.185.255.58/31, 89.185.255.60/30, 172.16.0.0/16 PublicKey = Odor8VaaxS9YIdZv6xGcuibSccYRFVWk7ctTGSp43C8= Endpoint = 89.185.255.57:38150 PersistentKeepalive = 30
Takze to zkousim na zarizeni MikroTik v7.12 i z druhe VDSL linky s v7.13 z prikazove radky:
Kód: Vybrat vše
/interface/wireguard add private-key="mujvygenerovanyprivatniklic=" name=wg-odorik1
Kód: Vybrat vše
/interface wireguard peers add allowed-address=81.31.43.192/28,81.31.43.232/29,81.31.45.32/27,89.185.255.32/28,89.185.255.48/29,89.185.255.56/32,89.185.255.58/31,89.185.255.60/30 \ client-address=172.16.XX.XX/XX \ disabled=no \ endpoint-address=89.185.255.57 \ endpoint-port=38150 \ interface=wireguard-odorik \ persistent-keepalive=30s \ public-key="Odor8VaaxS9YIdZv6xGcuibSccYRFVWk7ctTGSp43C8="
Kontrola na "Vaše registrovaná SIP zařízení":
https://www.odorik.cz/ucet/sip_tisk.html?line=123456
Je videt, ze komunikace funguje, male mnozstvi dat (xx B) pres tunel tece,
ale telefon se stale ukazuje jako registrovany z WAN IP adresy
Jeste pro jistotu, zkousim SIP telefon Odorik.exe a ten ze zarizeni,
ktere je pripojene k routeru (v7.13) routuje trafic pres WAN a ne WG tunel
Nevi nekdo co mam spatne?
Jsou to rozsahy. 81.31.43.192/28, 81.31.43.232/29, 81.31.45.32/27, 89.185.255.32/28, 89.185.255.48/29, 89.185.255.56/32, 89.185.255.58/31, 89.185.255.60/30, 172.16.0.0/16
Jinak zkontrolovat by to mělo jít také příkazem traceroute. Pokud jde provoz přes tunel, vypadá to podobně jako níže.
Kód: Vybrat vše
traceroute sip.odorik.cz
traceroute to sip.odorik.cz (81.31.45.51), 30 hops max, 60 byte packets
1 192.168.145.1 (192.168.145.1) 27.026 ms 28.391 ms 33.338 ms
2 81-31-45-51.static.masterinter.net (81.31.45.51) 33.901 ms 33.886 ms 33.855 ms
Re: Wireguard VPN na požádání
To zarizeni MikroTik je domaci Router, ktery pomoci PPPoE dostane od meho ISP (verejnou IPv4/IPv6).
Protoze "combo" zarizeni co ISP's poskytuji vetsinou stoji za ...... pouzivam pred Tim routerem
VDSL2 modem (Huawei EchoLife HG612) unlocknuty a s upravenym firmware, ktery se osvedcil leta a nabizi
pristup pres telent pro stats atd.
Doufal jsem,
ze nekdo poradi,
protoze pridani "Route" nepomohlo .......
(Neni tady nejaky sitar?)
EDIT: Tuesday, January 09 2024
Napsal jsem na forum MikroTik
https://forum.mikrotik.com/viewtopic.php?t=203203
Protoze "combo" zarizeni co ISP's poskytuji vetsinou stoji za ...... pouzivam pred Tim routerem
VDSL2 modem (Huawei EchoLife HG612) unlocknuty a s upravenym firmware, ktery se osvedcil leta a nabizi
pristup pres telent pro stats atd.
Doufal jsem,
ze nekdo poradi,
protoze pridani "Route" nepomohlo .......
(Neni tady nejaky sitar?)
EDIT: Tuesday, January 09 2024
Napsal jsem na forum MikroTik
https://forum.mikrotik.com/viewtopic.php?t=203203