Wireguard VPN na požádání

[xsouku04]

OpenVPN server (někdy i klient) je např. integrován v routerech TP-Link, takže to je jasný důvod, proč ano.

Předpokládám, že většina routerů přidá časem i Wireguard. Mně se nechce nyní OpenVPN učit (myslím hlavně dobré a bezpečné nastavení pro server a veřejnostt), když jej nepovažuji za moc perspektivní. Konfigurace wireguard je jednodušší a na stejném hardware proteče několikanásobně více dat, i když pro VoIP nebo vzdálenou konfiguraci je to celkem jedno.

[rssreader]

S tímto netřeba se učit OpenVPN: https://github.com/Nyr/openvpn-install

[xsouku04]

Bohužel to vypadá, že např. v Egyptě je Wireguard blokovaný. Nestandardní port nepomůže, asi dovedou wireguard rozpoznat. Tedy alespoň někdy. Blokují tam v podstatě všechno VoIP, prý dokonce VoWifi mobilních operátorů. Je otázka jestli také blokují jiné VPN, které se častěji používají ve větších korporátech.
Řešením by mohlo být použít normální roaming s nějakým balíčkem. Roaming samotný totiž fungje jako VPN a předpokládám, že se tak jakékoli blokaci vyhnete. T-mobile twist např. nabízí 100 MB dat v druhé zóně za 199 Kč. Lze to aktivovat i u SIM za 30 Kč s kreditem 200 Kč. https://www.odorik.cz/w/eshop:predplace ... rnet_karta

[alfi]

Bohužel to vypadá, že např. v Egyptě je Wireguard blokovaný. Nestandardní port nepomůže, asi dovedou wireguard rozpoznat. Tedy alespoň někdy. Blokují tam v podstatě všechno VoIP, prý dokonce VoWifi mobilních operátorů. Je otázka jestli také blokují jiné VPN, které se častěji používají ve větších korporátech.
Řešením by mohlo být použít normální roaming s nějakým balíčkem. Roaming samotný totiž fungje jako VPN a předpokládám, že se tak jakékoli blokaci vyhnete. T-mobile twist např. nabízí 100 MB dat v druhé zóně za 199 Kč. Lze to aktivovat i u SIM za 30 Kč s kreditem 200 Kč. https://www.odorik.cz/w/eshop:predplace ... rnet_karta

Zvláštní - jestli to má nějakou TLS vrstvu, vůbec by nemělo být poznat, co teče uvnitř? I když asi ne "WireGuard over TCP is not obfuscated, hence it can be easily censored."
Řešením je pořídit místní SIM, ne? (https://prepaid-data-sim-card.fandom.com/wiki/Egypt). Roaming v 2. nebo 3. zóně člověk moc platit nechce
Zajímavé info je i v té wiki "In 2015 operators confirmed reports that the national regulator NTRA had blocked VoIP services on all mobile networks, although this was denied by the regulator. It's technically prohibited to make international calls from mobile networks under Article 72 of the Telecommunications Law, which forbids the “by-passing [of] international telephone calls by any means whatsoever.”"

[xsouku04]

Zvláštní - jestli to má nějakou TLS vrstvu, vůbec by nemělo být poznat, co teče uvnitř? I když asi ne "WireGuard over TCP is not obfuscated, hence it can be easily censored."
Řešením je pořídit místní SIM, ne? (https://prepaid-data-sim-card.fandom.com/wiki/Egypt). Roaming v 2. nebo 3. zóně člověk moc platit nechce
Zajímavé info je i v té wiki "In 2015 operators confirmed reports that the national regulator NTRA had blocked VoIP services on all mobile networks, although this was denied by the regulator. It's technically prohibited to make international calls from mobile networks under Article 72 of the Telecommunications Law, which forbids the “by-passing [of] international telephone calls by any means whatsoever.”"

Buď blokují až na vyjímky veškerý UDP provoz a nebo rozpoznají podle prvních hlaviček, že je to wireguard, a pak to blokují. Ale prý blokují ji openVPN na TCP, takže asi šmírují hlavičky. Pořídit si místní SIM nepomůže, protože právě tu blokují, podobně jako většinu wifi. 30 Kč za 100 MB je docela rozumná cena na to, že v tom máte hodiny volání přes VoIP + nějaké fotky a textové zprávy. Předpokládám celkem určitě bez blokování.
Důvod, proč se nesmí volat přes data, je určitě ten, aby místní mobilní mafie (tedy ta v Egyptě) více vydělala, i když možná se bude odvolávat na nějakou bezpečnost. Jako že VoIP nelze vždy odposlouchávat, když je provoz šifrován. U roamingových dat, předpokládám, už dostane své výpalné, a proto je, myslím, pravděpodobné, že nic blokovat nebude. U dat v roamingu máte českou ip adresu a případný firewall/NAT vám dělá domací mobilním operátor, tedy je nelogické, aby do toho zasahovali.

Co údajně nedovedou blokovat, je zatím Obfuscated server - https://support.nordvpn.com/Connectivit ... ervers.htm Tedy takový VPN, který nelze rozpoznat, že je to VPN, ale má hlavičky, aby to vypadalo jako něco jiného, co se běžně neblokuje.

[sip2sim]

Vlastnim staricky Gigaset N300A IP s nekolika E630HX a C610H ale
uvedene zarizeni nepodporuje ani TLS/SRTP ani ZRTP.
https://www.odorik.cz/w/srtp
https://www.odorik.cz/w/zrtp

Koukam ze Odorik nabizi Wireguard VPN tunel
https://www.odorik.cz/w/wireguard_vpn

Doma pouzivam Mikrotik Router, ktery taky nabizi WG a provozuji na nem WG pro pripojeni z venku.

Bohuzel nejsem sitar, ale neumi nekdo nastavit Mikrotik s WG od Odorik
aby pres tento WG tunel chodil "POUZE" jen traffic pro "sip.odorik.cz"
a ne vsechno jako alternativa k nefungujicimu TLS/SRTP a ZRTP na mojem zarizeni?

Nechci se do toho vrtat, at jak pisou pres to netece vsechen muj traffic ....

[xsouku04]

Vlastnim staricky Gigaset N300A IP s nekolika E630HX a C610H ale
uvedene zarizeni nepodporuje ani TLS/SRTP ani ZRTP.
https://www.odorik.cz/w/srtp
https://www.odorik.cz/w/zrtp

Koukam ze Odorik nabizi Wireguard VPN tunel
https://www.odorik.cz/w/wireguard_vpn

Doma pouzivam Mikrotik Router, ktery taky nabizi WG a provozuji na nem WG pro pripojeni z venku.

Bohuzel nejsem sitar, ale neumi nekdo nastavit Mikrotik s WG od Odorik
aby pres tento WG tunel chodil "POUZE" jen traffic pro "sip.odorik.cz"
a ne vsechno jako alternativa k nefungujicimu TLS/SRTP a ZRTP na mojem zarizeni?

Nechci se do toho vrtat, at jak pisou pres to netece vsechen muj traffic ....

Aby přes Wireguard šel provoz jen na odorik, se zajistí pomocí nastavení.

AllowedIPs = 81.31.43.192/28, 81.31.43.232/29, 81.31.45.32/27, 89.185.255.32/28, 89.185.255.48/29, 89.185.255.56/32, 89.185.255.58/31, 89.185.255.60/30, 172.16.0.0/16

Je to trochu takové magie v tom , že allowedIPs zajistí i jakési speciální routovací pravidla, které ale nejsou nikde vidět. Tedy nejsou vidět v nastavených routovacích pravidlech. Tedy tak je to aspoň v Linuxu. Předpokládám, že tuhle magii přebírá i implementace na mikrotiku, protože je to jaksi součást fungování wireguardu.

Pro všechno ostatní je, předpokládám, možné použít obecný návod pro wireguard a mikrotic.

[sip2sim]

Ve windows WG jsem si vygeneroval "PrivateKey" a podle nastaveni
https://www.odorik.cz/w/wireguard_vpn
nastavil, po obdrzeni IP adresy 172.16.X.X/XX doplnil.
Aktivoval a na PC s Windows to funguje a trafic pro *.odorik.cz se routuje pres WG tunnel
a vsechno ostatni mimo tunel :)

Kód: Vybrat vše

[Interface]
PrivateKey = mujvygenerovanyprivatniklic=
Address=172.16.XX.XX/XX

[Peer]
AllowedIPs = 81.31.43.192/28, 81.31.43.232/29, 81.31.45.32/27, 89.185.255.32/28, 89.185.255.48/29, 89.185.255.56/32, 89.185.255.58/31, 89.185.255.60/30, 172.16.0.0/16
PublicKey = Odor8VaaxS9YIdZv6xGcuibSccYRFVWk7ctTGSp43C8=
Endpoint = 89.185.255.57:38150
PersistentKeepalive = 30

Takze to zkousim na zarizeni MikroTik v7.12 i z druhe VDSL linky s v7.13 z prikazove radky:

Kód: Vybrat vše

/interface/wireguard add private-key="mujvygenerovanyprivatniklic=" name=wg-odorik1

Kód: Vybrat vše

/interface wireguard peers add allowed-address=81.31.43.192/28,81.31.43.232/29,81.31.45.32/27,89.185.255.32/28,89.185.255.48/29,89.185.255.56/32,89.185.255.58/31,89.185.255.60/30 \
client-address=172.16.XX.XX/XX \
disabled=no \
endpoint-address=89.185.255.57 \
endpoint-port=38150 \
interface=wireguard-odorik \
persistent-keepalive=30s \
public-key="Odor8VaaxS9YIdZv6xGcuibSccYRFVWk7ctTGSp43C8="

Kontrola na "Vaše registrovaná SIP zařízení":
https://www.odorik.cz/ucet/sip_tisk.html?line=123456

Je videt, ze komunikace funguje, male mnozstvi dat (xx B) pres tunel tece,
ale telefon se stale ukazuje jako registrovany z WAN IP adresy :(

Jeste pro jistotu, zkousim SIP telefon Odorik.exe a ten ze zarizeni,
ktere je pripojene k routeru (v7.13) routuje trafic pres WAN a ne WG tunel :(

Nevi nekdo co mam spatne?

[xsouku04]

Ve windows WG jsem si vygeneroval "PrivateKey" a podle nastaveni
https://www.odorik.cz/w/wireguard_vpn
nastavil, po obdrzeni IP adresy 172.16.X.X/XX doplnil.
Aktivoval a na PC s Windows to funguje a trafic pro *.odorik.cz se routuje pres WG tunnel
a vsechno ostatni mimo tunel

Kód: Vybrat vše

[Interface]
PrivateKey = mujvygenerovanyprivatniklic=
Address=172.16.XX.XX/XX

[Peer]
AllowedIPs = 81.31.43.192/28, 81.31.43.232/29, 81.31.45.32/27, 89.185.255.32/28, 89.185.255.48/29, 89.185.255.56/32, 89.185.255.58/31, 89.185.255.60/30, 172.16.0.0/16
PublicKey = Odor8VaaxS9YIdZv6xGcuibSccYRFVWk7ctTGSp43C8=
Endpoint = 89.185.255.57:38150
PersistentKeepalive = 30

Takze to zkousim na zarizeni MikroTik v7.12 i z druhe VDSL linky s v7.13 z prikazove radky:

Kód: Vybrat vše

/interface/wireguard add private-key="mujvygenerovanyprivatniklic=" name=wg-odorik1

Kód: Vybrat vše

/interface wireguard peers add allowed-address=81.31.43.192/28,81.31.43.232/29,81.31.45.32/27,89.185.255.32/28,89.185.255.48/29,89.185.255.56/32,89.185.255.58/31,89.185.255.60/30 \
client-address=172.16.XX.XX/XX \
disabled=no \
endpoint-address=89.185.255.57 \
endpoint-port=38150 \
interface=wireguard-odorik \
persistent-keepalive=30s \
public-key="Odor8VaaxS9YIdZv6xGcuibSccYRFVWk7ctTGSp43C8="

Kontrola na "Vaše registrovaná SIP zařízení":
https://www.odorik.cz/ucet/sip_tisk.html?line=123456

Je videt, ze komunikace funguje, male mnozstvi dat (xx B) pres tunel tece,
ale telefon se stale ukazuje jako registrovany z WAN IP adresy

Jeste pro jistotu, zkousim SIP telefon Odorik.exe a ten ze zarizeni,
ktere je pripojene k routeru (v7.13) routuje trafic pres WAN a ne WG tunel

Nevi nekdo co mam spatne?

A to zařízení microtik je v cestě na internet? Možná se tam přecijen musí přidat routovací pravidla pro ip adresy odoriku, aby to šlo přes wireguard.

Jsou to rozsahy. 81.31.43.192/28, 81.31.43.232/29, 81.31.45.32/27, 89.185.255.32/28, 89.185.255.48/29, 89.185.255.56/32, 89.185.255.58/31, 89.185.255.60/30, 172.16.0.0/16

Jinak zkontrolovat by to mělo jít také příkazem traceroute. Pokud jde provoz přes tunel, vypadá to podobně jako níže.

Kód: Vybrat vše

traceroute sip.odorik.cz
traceroute to sip.odorik.cz (81.31.45.51), 30 hops max, 60 byte packets
 1  192.168.145.1 (192.168.145.1)  27.026 ms  28.391 ms  33.338 ms
 2  81-31-45-51.static.masterinter.net (81.31.45.51)  33.901 ms  33.886 ms  33.855 ms

Tracert (nebo traceroute) také ukáže jestli jde provoz přes ten Mikrotik nebo nikoli.

[sip2sim]

To zarizeni MikroTik je domaci Router, ktery pomoci PPPoE dostane od meho ISP (verejnou IPv4/IPv6).
Protoze "combo" zarizeni co ISP's poskytuji vetsinou stoji za ...... pouzivam pred Tim routerem
VDSL2 modem (Huawei EchoLife HG612) unlocknuty a s upravenym firmware, ktery se osvedcil leta a nabizi
pristup pres telent pro stats atd.

Doufal jsem,
ze nekdo poradi,
protoze pridani "Route" nepomohlo .......

(Neni tady nejaky sitar?)

EDIT: Tuesday, January 09 2024
Napsal jsem na forum MikroTik
https://forum.mikrotik.com/viewtopic.php?t=203203