Спасибо

Спасибо. Многие пишут, что бы показал с MikroTik. Нужно приобрести.

@@RomNero было бы прекрасно, сам сейчас бьюсь на этим) кстати приобретать, возможно, ничего не нужно, достаточно установить дистрибутив RouterOs c их оф сайта. У меня routeros микротик стоит на VDS, при туннелировании на 10 винду проблем нет, а с дебианом оказалось сложнее. З.Ы. Подписался)

Спасибо. Есть видео на канале об openvpn, там я использую такой скрипт

@@RomNero Я знаю)

Спвсибо 😉

​@@RomNeroНе подскажите как ещё сделать чтобы ipv6 работало? )

Стоит использовать свой vpn. Можно изменить порт, протокол шифрования. Так же можно использовать одновременно разные ip для vpn (это уже не так просто настроить). Всё зависит от алгоритмов определения vpn. Одного точного решения не могу сказать

Спасибо.

И как вариант, можно ли использовать например несколько клиентов (смартфонов) для выхода в интернет?

1. Можно сделать с помощью iptables, если речь идёт о перенаправлении всего трафика. Или с помощью прокси, если нужно перенаправить, например http запросы. 2. Указав на клиенте AllowedIPs. Связь к этим ip идёт всегда через тунель

@@RomNero спасибо

@@RomNero А если на Windows 10 устанавливать и VPS сервер на Ubuntu купить. Не совсем понятно, эти все манипуляции на линуксе? Это с помощью PuTTY key generator можно сделать? Вроде для VPS уже дают приватный ключ. А как на счёт маршрутизатора Dlink 825 ACG1 ? Если через кабель на ПК windows установить, то при подключении через dlink это ведь работать не будет. Я уже запутался, если честно.

Спасибо за отзыв👍🏻

Спасибо)) не тестировал с iPhone

Спасибо большое за поддержку канала 👍😀

Странное явление. У меня 2 хоста уже больше года работают по wireguard. Проблем не замечал.

@@RomNero может какая-то специфика сети, но что есть, то есть. Openvpn, который живет рядом работает стабильно.

Попробуй проанализировать логи. И так же есть возможность включить "debug Mode". Может, какая-то ошибка всплывёт.

О каком втором варианте?

Да, так можно. Стоит всего лишь создать правила iptables.

@@RomNero Еще раз спасибо))))

Да, конечно можно. И будет все хорошо работать. Сам давно так же делал.

@@RomNero Не найдется ли у вас мануала? англо либо русскоязычного?

Спасибо за отзыв. Если известны IP нужных сайтов, то нужно создать рутинг правила для этих сайтов.

@@RomNero я понял, спасибо

У таких провайдеров как AWS, Azure и Google Cloud можно получить бесплатное использование серверов и другие сервисы. Эти сервера, конечно, не самые мощные, но для многих задач подойдут отлично. Если интересует, то сделаю пару видео.

@@RomNero Да. Очень интересует. 🙂 Я понимаю что все (труд/оборудование) должно оплачиваться. Но сейчас просто хочу пару зарубежных серверов для тестирования, так как сам еще ни разу VPN с нуля не настраивал) 🙂🙂🙂

@@RomNero Например неделю назад я писал вам комментарий про Пфсенс и Проксмокс. Ютуб удали эти комментарии.

Мой коммент снова снёс ёптуб :(

Так как тут коммент просто сносят

Я использую proxmox

Программа mobaxterm. Вот видео по ней kzbin.info/www/bejne/qne5eIaVedVgndU

Можно. Нужно настравить Routing. Смотри в эту сторону.

@@RomNero а роутинг при старте получается прописывать в клиенте?

Можно сделать и на домашнем сервере. Главное что бы был публичный ip. Не важно статический или динамический. Если все же динамический, то стоит настроить ещё dyndns (видео по настройке dyndns есть на канале kzbin.info/www/bejne/jmbRZpZ3drGbj80). Пожалуйста, не употребляйте понятия белый и серый ip.

@@RomNero Какие требования к железу для 3-4 клиентов сеть на 100 мегабит на ноуте в инет 500 скорость если нужно то можно ещё один USB сетевой интерфейс зацепить для исходящего инета. Имеется 2 ядерный 4 поточный i3 2Ггц 2 гига оперативки видео карта встроенная. Какова нагрузка будет на процессор для 2-3 активных клиентах для раздачи 100 мегабит на них?

Нагрузка минимальная. Для wireguard достаточно будет даже raspberry. Сам сервер будет заниматься только перенаправлении и маскировкой трафика.

Проверь настройку ip forwarding. Или в настройках клиентов сети не полностью указаны.

@@RomNero Подскажи разницу между сервером и клиентом, я это уловить не могу, чтобы понять полную картину...

Сервер - центральный элемент. Как любой сайт. А к нему, например, через браузер подключаются клиенты.

Зависит от целей и от окружения. Но лучше так не делать. Вот, например, не получилось подключить vpn, а другие соединения не работают. Лучше поставить мониторинг и в зависимости от данных уже все автоматизировать.

@@RomNero спасибо за ответ!

в смысле новые айпи адреса? А старые куда делись? У тебя в системе минимум два сетевых интерфейса всегда - реальный (кабель/вайфай) и виртуальная NiC для VPN Адреса с первой никак не зависят от второй

@@1222dss разобрался, там в настройках клиента wireguard на Винде есть галочка не блокировать локальный траффик, вроде так называется

Привет. Да, OpenWRT должен поддерживать протокол. Я использую ddwrt

Процессор мало вероятно. WG очень мало требует мощности. Возможно стоит изменить алгоритм шифрования (если возможно). И проверь Routing. Возможно, запросы проходят какими-то "обходными" путями.

Вам нужно так же указать маршрутизацию. Проблема в том, что сервер отвечает на "неправильный" ip. Можно ещё проанализировать подключения с tcpdump

Наверное, самый верный способ через iptables. Есть online сервисы, которые упрощают написание правил. Я сейчас тестирую очередную UI к wireguard. Сделаю видео

Дабл vpn на стороне криента или 2 vpn сервера? Есть много подобных скриптов. Я сам писал свой в ansible

@@RomNero double vpn wireguard то есть цепочка, видел только один в ansible , но что то я с ним насолодел увы

Потому что пока майкрософт придумал как внедрить линукс в виндовс (WSL/WSL2), было придумано изолировать всё с помощью докер контейнеров да чтоб это всё можно было запустить на любой платформе без проблем. Ну и за LXC контейнерами наступившее будущее.

В винде можно убрать галочку блокировать нетуннелированный трафик и тогда можно заходить по сети на компы в сети

@@mr.morden9247 это где? не могу нагуглить

На сколько хватит ресурсов системы. Ограничений нет

Так идей не было. Но стоит подумать. Спасибо за идею.

@@RomNero Да, подумай. А то времена пошли ненадежные... Просыпаешься завтра, а телега заблокирована, тытруба тоже ... :-)

Пытался раз 5 один каммент оставить про сетку на wireguard. удаляет и все. пробую повторить как ответ. "Посмотри, может быть тебе будет интересно. Wiretrustee --mesh сеть, построенная на wireguard. Сайт wiretrustee com Беглое ознакомление показало, что работает похоже на Zerotier, связь каждый с каждым, практически никакой настройки пиров не надо, все автоматом, проходит через NAT. Из минусов: клиенты только под основные десктопы, но говорят, что под мобильные платформы тоже пилят. Кстати, может быть и видео снимешь как-нибудь по этой теме :-) ЗЫ третий раз пытаюсь оставить каммент, тытруба совсем звеереет, вырезает и все."

Всё бесплатно

Не правильно утановле default gateway.

@@RomNero на виндовс или на сервере?

На клиенте (win)

Купи себе роутер и подними wireguard на роуторе как клиент (кинетик роуторы это поддерживают)

@@alexluck26 я так и сделал. Но не могу получить доступ к компам, которые сидят во внутренней сети роутера, доступ есть только если на них запускать клиент WireGuard. Работает все, через ВПН все компы могут выходить в сеть. Но с VPS нет доступа к ВПН туннелю, пингуется только сервер ВПН, клиенты ВПН и клиенты роутера в его внутренней сети не доступны. Как настроить?

Нужно настроить Routing. Об этом все забывают (я тоже иногда) 😄

@@RomNero так вот я и спрашиваю - как его настроить? И где - на сервере ВПН или на роутере?

На внешнем устройстве, которому необходим доступ к внутренним ресурсам (за роутером). Делается в настройках wireguard сервера для определённых клиентов.

Я думаю, этот комент не для этого видео был ;)

Прогуглю за вас, мне не сложно)) www.wireguard.com/install/

@@RomNero так это же клиент)))

В настройках сервера

Привет. Какой дистрибутив?

@@RomNero пробовал в CentOS 7 и Debian 10 - картина одинаковая

В CentOS как и в redhat синтакс другой. Можно сделать с помощью онлайн генератора.

@@RomNero Можно ссылку на такой?

windows стандартными свойствами не поддерживает протокол WireGuard

Как это должно работать? Это же не связка между свитчами. Вы путаете принцип работы vpn. Как должен происходить менеджмент и управление?

@@RomNero а вы подумайте. почти вся инфа в вашем видео. между тремя линукс системами то уже можно сделать :)

Это vpn решение. Как-то нужно было по другому обьяснять? Я просто не могу понять что не правильно 🤔

Спасибо за stun. Не приходилось использовать. Везде были публичные ip.

Точно сказать не могу, как именно настраивается в PfSense. Подключал несколько месяцев назад opensense.

@@RomNero а как на нём подключали?

Мне не сложно, прогуглю за тебя)) Официальная инструкция: docs.opnsense.org/manual/how-tos/wireguard-s2s.html

Такое делается в самом wg. Для каждого клиента (ip) можно указать правила. Все запросы с клиентов (винда или другие) идут на wg

@@RomNero в самом WG, я так понимаю имеется в виду на стороне сервера? А можно буквально парой слов сам принцип? Дальше я сам попробую разобраться.

На самом сервере зайти в настройки и установить в белый список все серверы, на которых не стоит делать фильтрацию. Так же можно отдельно настроит списки для клиентов.

@@RomNero Можно обойтись средствами одного WG или только совместно с iptables, DNS и маршрутизацией?

Внутри wg. Смотря что конкретное стоит настраивать, конечно. Пробуй.

Ставится просто и быстро. Скорость подрезает раза в 3 у меня

Некоторые роутеры поддерживают сразу wireguard. Смотри на роутере, есть ли такая возможность.

@@RomNero Asus ac59u, у него только pptp, 2ltp и openvpn, пытаюсь настроить, чтобы колонка Алиса нормально заграницей работала, openvpn блокируется провайдером, поэтому нужны другие способы

Все русские ip и карты будут банить. Без вариантов. Если не сразу прийдет бан, то вскоре.

Поезжайте в Турцию, арендуйте квартиру на год, и подайте на ВНЖ на основе аренды квартиры, с ВНЖ можете открыть счёт в банке Турции и заказать банковскую карту и купить симку Турции, если работа на удаленке, живите и работайте, находясь в Турции, для связи с банками РФ Российская карта МИР работает на территории Турции, таким образом получив турецкую ip и карту можете избежать санкций. Аренда квартир очень дешёвая в городах Синоп, Трабзон, Конья, Кайсери. Без ВНЖ открыть счет и карту в Банках Турции и купить симку не сможете. ВНЖ получить легко на основании годовой аренды квартиры, главное иметь удаленную работу в РФ, чтобы не претендовать на рабочие места в Турции, на основании ВНЖ работать в Турции в турецких местных компаниях запрещено (не легально). С карты МИР можете снять деньги в турецких лирах в банкоматах Турции.

@@RomNero Кто ищет - тот найдёт) Варианты есть, отлично работают. Даже в Германии.

Создать 2 конфига, продумать и прописать маршрутизацию, сделать скрипт автоматизации. Вариантов много

@@RomNero не получается после подключения на виртуалке интернет отрубается

Полностью новичкам, будет, наверное, довольно сложно понять все нюансы.

Можно по MAC адресу ограничить.

@@RomNero откуда я могу узнать MAC адрес клиента?)

Либо спросить у друга. Или посмотреть адреса, подключённые к серверу (этот вариант не всегда отображается корректно)

@@RomNero спасибо!

Статический публичный ip (белый) не обязательно иметь. Именно в этой ситуации поможет vps

@@RomNero Спасибо за ответ, вы нам объясните, что такое VPS. Сколько он стоит в месяц и про геморройные танцы с бубном при его настройке. Ну если танцевать, то пожалуйста объясните как победить NAT не арендуя VPS.

Понял)) вот можете посмотреть данное видео kzbin.info/www/bejne/bYfZiI1_r5aeeJo. Там я использую VPS и настраиваю подключение к домашнему серверу. Вам не нужно бороться с NAT. Но если нет публичного ip, то здесь не много смысла делать дома wireguard. Стоит просто сделать vpn сервер на VPS. Цены очень разные. Если просто для vpn, то можно брать самые дешёвые сервера. Я думаю, что около 1$ в месяц можно найти.

@@RomNero я нашел решение VPN-туннелирования без аренды VPS и белого IP. Решение называется Tailscale, пробивает любой NAT, основан на Wirequard.

Я так понимаю, что для его работы используется какой-то сервер, который не под вашим контролем (но tailscale можно поставить и на свой сервер). Соответственно кто-то 3й может мониторить вам трафик. Или вы организовали как-то по другому?

Главное правильно пробросить порты.

@@RomNero В общем все было банально нужно было проброску именно udp трафика сделать. Не сразу заметил что на RRAS это нужно явно указывать 🤷‍♂️

Возможно, сервер имеет небольшую скорость...

@@RomNero Сервер имеет скорость 200 мб\с

Спасибо. Стыкался с этой прогой. Но как-то не прижилась.

Сам сижу за двойным натом. Тоже остановился на ZEROTIER, в том числе по причине если придёт чебурнет - у меня должен оставаться доступ к своей сети. Уже забыл о WIREGUARD с его конфигами как о страшном сне.

Спвсибо, нужно исправить 😊👍🏻

В каком плане закрыла? Порты блокируют?

@@RomNero Ну да если не прикрывать на стороннем сервере то уже не пашет.

Хахахаха, так видео не для домохозяек 😄

Критикуешь, предлагай.

@@RomNero Настрой браузер, научи людей работать в Linux, и сократи время настройки хотя бы до десяти минут.