Wireguard VPN na požádání

Podrobnější technické novinky a vůbec novinky a postřehy z VoIP.
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8181
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Wireguard VPN na požádání

Příspěvek od xsouku04 »

Pokud má váš poskytovatel záhadné neřešitelné problémy, jako že třeba není občas slyšet jedním směrem či problémy s registrací a vyloučily se běžné příčiny,
můžete zkusit se připojit na Odorik.cz přes Wireguard VPN tunel. Může se to také hodit pro ty, co cestují (v některých zemích může být VoIP blokováno, nebo je tam mnohem častější, že poskytovatele internetu mají vážné potíže s některými službami -nefunguje v Egyptě, tam často blokují i wireguard), nebo jako alternativa k šifrovaným hovorům.

Návod je zde. http://www.odorik.cz/w/wireguard_vpn

Je to velmi jednoduché, vy nám pošlete vygenerovaný veřejný klíč a my vám pošleme přidělenou wireguard ip adresu. Vše ostatní je vždy stejné podle návodu.

VPN používáme v Odorik.cz už více jak 10 let a posledních několik let právě wireguard, s kterým jsme velmi spokojeni. Zátěž hardware je minimální, nastavení relativně jednoduché.

Obrázek
uzivatel
Příspěvky: 19
Registrován: pát 23. srp 2019 12:05:09

Re: Wireguard VPN na požádání

Příspěvek od uzivatel »

Tohle je sikovne - diky za to.

Nemate tip na nejakou levnou krabicku, ktera by se jednoduse postavila pred ten VoIP telefon jako wireguard klient a bylo to stabilni? Nechci zprovoznovat nejakou silenost kde by PC muselo bezet jako VPN klient pro ten VoIP telefon.
pe.havel
Příspěvky: 236
Registrován: pát 02. zář 2016 10:34:20

Re: Wireguard VPN na požádání

Příspěvek od pe.havel »

Koukal jsem, že je Wireguard klient dostupný už i v Mikrotik routeru (beta verze FW). Mělo by tedy stačit zakoupit jakýkoliv Mikrotik router s RouterOS a mohlo by to fungovat skvěle jako HW převodník VPN na LAN. Na Aukru se dá sehnat už kolem 300 Kč, třeba https://aukro.cz/mikrotik-routerboard-r ... 7040832376.
alfi
Příspěvky: 725
Registrován: čtv 03. led 2013 15:31:10

Re: Wireguard VPN na požádání

Příspěvek od alfi »

uzivatel píše: čtv 29. čer 2023 9:10:24 Tohle je sikovne - diky za to.

Nemate tip na nejakou levnou krabicku, ktera by se jednoduse postavila pred ten VoIP telefon jako wireguard klient a bylo to stabilni? Nechci zprovoznovat nejakou silenost kde by PC muselo bezet jako VPN klient pro ten VoIP telefon.
VPN umí lepší routery od Asusu, já tam používám openvpn a je to dlouhodobě stabilní. Nebo nějaká krabička jako Raspberry, Odroid.. některé mají i dva ethernet porty, aby mohly fungovat jako router :)
jan.hradil
Příspěvky: 51
Registrován: stř 03. dub 2013 22:13:31

Re: Wireguard VPN na požádání

Příspěvek od jan.hradil »

Tak ten Wireguard s odorikem funguje i na iPhone (iOS).
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8181
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: Wireguard VPN na požádání

Příspěvek od xsouku04 »

alfi píše: čtv 29. čer 2023 9:36:48
uzivatel píše: čtv 29. čer 2023 9:10:24 Tohle je sikovne - diky za to.

Nemate tip na nejakou levnou krabicku, ktera by se jednoduse postavila pred ten VoIP telefon jako wireguard klient a bylo to stabilni? Nechci zprovoznovat nejakou silenost kde by PC muselo bezet jako VPN klient pro ten VoIP telefon.
VPN umí lepší routery od Asusu, já tam používám openvpn a je to dlouhodobě stabilní. Nebo nějaká krabička jako Raspberry, Odroid.. některé mají i dva ethernet porty, aby mohly fungovat jako router :)
OpenVPN je ale něco jiného než Wireguard. Wireguard je několikánosbně méně náročný na hardware a snadno dovede využít všechny jádra. Nerozumím tomu, proč by měl někdo dát přednost OpenVPN. Spíše to bude o tom, že do OpenVPN investovali v minulosti a nechce se jím to zahodit. Např. Yealink telefony mají podporu OpenVPN, ale ne wireguard. Ale předpokládám, že v budoucnu se to mohlo zlepšit.

Ce se týče krabičky, co podporuje wireguard. Tak třeba tohle. https://www.aliexpress.com/item/1005005454366776.html Běží tam OpenWRT což je relativně čistý linux s balíčkovacím systémem uzpůsobený pro routery. Má to webové rozhraní jako běžný router, ale mnohem více možností včetně zabudovaného wireguardu.

https://openwrt.org/toh/gl.inet/gl-mt300n_v2

To, že je to malá krabička, která nehřeje, jednoznačně znamená i nízkou spotřebu elektřiny. Podotýkám, že naprostá většina lidí ale něco takového nepotřebuje. Jsou to naprosté výjimky. Zavedl jsem to kvůli jednomu zákazníkovi, co měl pracovníka v Pakistánu a tam právě místní poskytovatel internetu záhadně s voip zlobil. A pokud použil jiné VPN, zase jiné služby nelibě nesly rychlou změnu ip adresy na ip adresu se špatnou pověstí a blokovaly služby. Tohle bylo dobré řešení, protože VPN je jen pro Odorik.cz, tak to nemá vliv na jiné služby.
Jen opravdu výjimečně se můžeme setkat třeba s tím, že u některých hovorů není slyšet na jednu stranu občas i v ČR. A VPN by mohla být řešením, kdy se prostě záhadný a jen občasný problém obejde, což může být jednodušší než se neúspěšně dohadovat s poskytovatelem internetu. Jiné využití je zabránit možnosti odposlouchávání hovorů po cestě bez nutnosti měnit koncová VoIP zařízení, která nemusí SRTP korektně podporovat. Obecně VPN je hrozně dobrá věc kvůli bezpečnosti přístupu např. domácí nebo firemní sítě. Např. je pak možná konfigurace nejen VoIP zařízení na dálku bez nutnosti mít veřejnou IP nebo otvírat nějaké porty.
Uživatelský avatar
Pitomec
Příspěvky: 2588
Registrován: ned 27. lis 2011 21:26:33
Bydliště: Brno

Re: Wireguard VPN na požádání

Příspěvek od Pitomec »

OpenVPN server (někdy i klient) je např. integrován v routerech TP-Link, takže to je jasný důvod, proč ano.
Obrázek
alfi
Příspěvky: 725
Registrován: čtv 03. led 2013 15:31:10

Re: Wireguard VPN na požádání

Příspěvek od alfi »

xsouku04 píše: ned 02. črc 2023 17:49:35 OpenVPN je ale něco jiného než Wireguard. Wireguard je několikánosbně méně náročný na hardware a snadno dovede využít všechny jádra. Nerozumím tomu proč by měl někdo dát přednost OpenVPN. Spíše to bude o tom, že do OpenVPN investovali v minulosti a nechce se jím to zahodit. Např. Yealink telefony mají podporu OpenVPN, ale ne wireguard. Ale předpokládám, že v budoucnu se to mohlo zlepšit.
Ano, my co openvpn používáme už nějakých 15-20 let, je to odladěné a nastavené ve všech zařízeních apod., nemáme důvod měnit :) Ani router koupený před pár lety nic jiného ještě neumí - aktuální návody od Asusu už Wireguard zmiňujou, tj. tam už by to mělo jít
uzivatel
Příspěvky: 19
Registrován: pát 23. srp 2019 12:05:09

Re: Wireguard VPN na požádání

Příspěvek od uzivatel »

xsouku04 píše:
> Ce se týče krabičky co podporuje wireguard. Tak třeba tohle.
> https://www.aliexpress.com/item/1005005454366776.html Běží tam OpenWRT což
> je relativně čistý linux s balíčkovacím systémem uzpůsobený pro routery. Má
> to webové rozhraní jako běžný router, ale mnohem více možností včetně
> zabudovaného wireguardu.
>
> https://openwrt.org/toh/gl.inet/gl-mt300n_v2

To vypada dobre. Mel jste ten linkovany router nebo jiny model od tohohle vyrobce v ruce? Je to slusne/stabilni?
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8181
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: Wireguard VPN na požádání

Příspěvek od xsouku04 »

uzivatel píše: pon 03. črc 2023 16:41:03 xsouku04 píše:
> Ce se týče krabičky co podporuje wireguard. Tak třeba tohle.
> https://www.aliexpress.com/item/1005005454366776.html Běží tam OpenWRT což
> je relativně čistý linux s balíčkovacím systémem uzpůsobený pro routery. Má
> to webové rozhraní jako běžný router, ale mnohem více možností včetně
> zabudovaného wireguardu.
>
> https://openwrt.org/toh/gl.inet/gl-mt300n_v2

To vypada dobre. Mel jste ten linkovany router nebo jiny model od tohohle vyrobce v ruce? Je to slusne/stabilni?
Ano mám jej. GL.iNet je dobrej výrobce. Možné je koupit to přímo i v EU a mít tak správně i DPH. https://www.gl-inet.com/products/gl-mt300n-v2/ Jen je třeba si dát pozor, že u některých dražších modelů je na něm hodně upravená starší verze openWRT, takže ztrácíte aktualizace přímo z projektu openWRT. Tohoto modelu se to netýká, podpora openWRT je plná. Používám jej k převodu WIFI zpět na LAN, abych mohl zapojit různé Voip telefony a počítač o patro výše, kde mi nevede ethernet. Třeba starší stolní počítač ani wifi nemá, stejně tak VoIP telefony... A funguje dobře. A má hodně malou spotřebu, protože je dost malý a téměř se nezahřívá. Napájím jej přes USB z toho počítače, takže nepotřebuje ani vlastní napájecí adaptér. A z toho důvodu také věřím, že bude fungovat dlouho, protože právě zahřívání routery opotřebovává. Jo a pamětí to má pro openWRT naprostý dostatek. Dokonce by na tom mohla běžet i méně zatížená telefonní ústředna, což mám také vyzkoušené (Kamailio) - viewtopic.php?p=36788&hilit=Kamailio#p36788 . Je tam i balíček s Asteriskem, to jsem ale netestoval a nevím, jak dobře se tam vleze, a co všechno je nutné ořezat. Sestavením vlastním openWRT image se ale dost místa ušetřit a je neuvěřitelné, co lze všechno za aplikace dát třeba do 14 MB zkomprimovaného image. Sestavit vlastní image z požadovaných balíčků si můžete zde https://firmware-selector.staging.openw ... -mt300n-v2 když rozklepnete položku "Customize installed packages and/or first boot script" tak můžete přidat libovolné balíčky do seznamu "Installed Packages". Samozřejmě dělat si vlastní image není nutné, instalovat nové balíky je možné i bez toho. Jen se tím výrazně ušetří místo a vejde toho více, pokud by někdo zkoušel něco většího jako Asterisk, nebo prostě místo na "disku" docházelo.

OpenWrt funguje velmi dobře, pro nastavení wireguardu na požádání připravím návod krok za krokem. Používám čisté openWRT ne to, co dodává výrobce. Je třeba přiinstalovat balíček wireguard-tools (pár KB) a pak to naklikat na webu. V nastavení Network->Interfaces přidáte nový interface typu wireguard, vygenerujete veřejný a neveřejný klíč a v tabu peers přidáte veřejný klíč Odoriku a rozsahy ip adres, které si přejete přes tunel směrovat. A celá VoIP podsíť může být zabezpečená, včetně vzdáleného přístupu k jednotlivým telefonům pro nastavování na dálku. Ostatní přístup z internetu/na internet lze vypnout. (na požádání mohu povolit firewall, aby byl router i jeho podsíť dostupná z jiného wireguard zařízení pro vzdálenou administraci) Pro VoIP hovory opravdu není potřeba nějaký výkonnější router, tedy pokud nejste velké callcentrum.

Obrázek
Odpovědět