спасибо за видео, весь прогресс держится на таких людях как вы, и сожалению современная школа перестала объяснять, что зачем и почему, и все просто говорят запомните, что нужно просто вставить вот эту строчку в конфиг и все зубрят, а птом не понимают что и зачем им это надо было. и вот это видео пример современного образования, каким одно должно быть в современном мире надеюсь люди просто перестанут следовать ритуалам, типа мы все ок учились, а поймут зачем вообще им это нужно, забыв о корочках и тд
Они на одном 11 ядре от FreeBSD в котором ограниченная поддержка железа. Поддержка того же AX (я про Wi-Fi) появится только в 13 ядре. И не понятно когда она доберётся до {pf,open}sense. Так что нет, не интересно.
Подскажите пожалуйста, а как в eve сделать чтобы видно было адреса сетевые. В community версии можно так сделать? Я искал минут 10, не нашел ) Заранее спасибо.
Подскажите, можно ли на WireGuard серевер поднять > 1 wg интерфейсов? Или как то на одном интерфейсе поднять несколько ip_сетей. Я заинтересовался вопросом, допустим у нас есть линукс роутер. На нем мы поднимаем N-ное количество виртуальных интрфейсов, и связываем их P_to_P с филиалами по маске /30 , и один интерфейс по /24 маске выделяем под remote-access vpn для подключения пользователей на удаленке . От сюда вопрос, как поднимать доп интерфейсы или как то все сделать в рамках одного интерфейса?
В чем проблема? У автора есть видео, там указано как с нуля все это настраивать и там вроде был разговор за виртаульный сетевой интерфейс и как его создавать (ip link add dev wg0 type wireguard). Для каждого интерфейса свой конфиг. т.е. на один интерфейс WG навесить 10 конфигов не выйдет. А вот навесить 10 клиентов на один интерфейс легко. С изоляцией внутри 1 сервера вроде замутить можно. К примеру у меня у клиента в allowed ip стоит 10.11.9.1/32. Т.е. для клиента доступен маршрут только до 10.11.9.1. Но я не проверил как будет если на клиенте руками добавить маршрут (у меня 2 клиента, комп на работе и смарт). Да и в контексте отдать конфиг пользователям... завтра любой его откроет и поменяет /32 на /24 и будет иметь доступ ко всем клиентам. Внутри wg правил маршрутизации кроме этого allow ip я и не нашел, все отдается на сторону файрвола. Т.е. в нем прописываем что если источник равен подсети клиентов и назначение подсеть клиентов, то дропать пакеты. Все. это по факту будет изолированная сеть. ovpn просто это делаем внутри сервера, до того как пакет попадет в файрвол.
Интересно возможно ли реализовать в этой схеме обратную операцию когда с локальной подсети можно стучаться к wg клиентам, но при условии что wg сервер это отдельная машина в локалке, а локалка подключается к роутеру с публичным ip конечно же?) Может port unreachable потому что трассировка идёт на tcp порт или потому что udp не предполагает инициализации связи?! Можно разграничить права созданием нескольких интерфейсов.
Что чего не предполагает? и при чем тут tcp - трассировка и инциализация udp? А так да возможно. Роутер же по факту отдельная машина. Просто у него внутри настроена маршрутизация. В винде (когда она клиент wg) достаточно на виртуальном интерфейсе WG поставить галочку "разрешить другим пользователем бля-бла" и выбрать сетевой интерфейс который смотрит в сеть. Есть вероятность что ip адрес интерфейса станет 192.168.137.1, на сколько я помню в современных десктопных версиях винды только на этом ip будет работать NAT, но это не точно. Останется только на всех компах добавить к примеру route add remote-net mask remote-mask lan-ip-wg-client В линухах грубо говоря все тоже самое, ну кроме может галочки как в винде нету и надо прописать nat ручками.
@@dondzhonson6882 ресурсы лишними не бывают. К примеру есть небольшая фирма с несколькими филиалами. Выделить денег на какой-нибудь более или менее микрот или чего подобного нет. Вот что прошлый админ купил когда инет туда делали, то и есть. А тратить сейчас 25к рублей на какие-то роутеры... "вон служебная машина, в ней водитель надо настроить? садись и езжай". Путем не хитрых манипуляций что-то прошилось в owrt, что-то махнулось и опять же прошилось в owrt. Как итог везде появился доступ внутрь сети офисов за не дорого, много что завернул в сеть. Но ovpn прилично поджирал ресы. с приходом wg все стало заметно лучше. Пока случаев взлома нет официальных, а vpn канал в самом узком месте с 1.2 метра подрос до 5 метров. Пользователи rdp сходу заметили как полегчало.
Чем мне не нравится wireguard. Отсутствие автоматической передачи этих маршрутов и отсутствие возможности централизованно все это настраивать. В этом плане ovpn на 2 головы выше. Отдал клиенту конфиг (в котором пара строк по поводу сервера куда подключаться и настройки аутентификации) с сертами, да логин-пароль и все. Дальше на сервере уже настраиваешь какому клиенту ip, что он маршрутизирует, что ему отдать в маршруты. Особенно в контексте - роутер-роутер милейшее дело. Вот в офисе 1 появилась подсеть с телефонией, надо отдать маршрут до АТС всем клиентам удаленным. 1 строка на стороне сервера (точнее даже строка эта скорее уже будет, просто дописать в нее), в возможное время перезапускаем сервер и все. Клиенты тут же цепляются автоматом и уже знают что к примеру до 172.16.4.16 можно добраться через шлюз ovpn. Ну и прочее и прочее.
Полностью согласен, как по мне, это самый дичайший минус wireguard. Одно дело, когда хоста 2,3-5, другое дело, когда их под сотню. Хотя оно и не удивительно, в идее wireguard нет центрального звена, оба узла равнозначны и нет более главного, даже в звезде - ибо тут костыли и магия роутинга.
спасибо за видео, весь прогресс держится на таких людях как вы, и сожалению современная школа перестала объяснять, что зачем и почему, и все просто говорят запомните, что нужно просто вставить вот эту строчку в конфиг и все зубрят, а птом не понимают что и зачем им это надо было. и вот это видео пример современного образования, каким одно должно быть в современном мире надеюсь люди просто перестанут следовать ритуалам, типа мы все ок учились, а поймут зачем вообще им это нужно, забыв о корочках и тд
Спасибо за видео очень познавательно. Интересно было бы посмотреть в дальнейшем сравнение современных версий и функционала pfsense и opensense от вас.
Они на одном 11 ядре от FreeBSD в котором ограниченная поддержка железа. Поддержка того же AX (я про Wi-Fi) появится только в 13 ядре. И не понятно когда она доберётся до {pf,open}sense. Так что нет, не интересно.
О КЛАСС, давно ждал твой видосы.
Было бы интересно посмотреть видео о настройке IPTABLES для WireGuard в разных топологиях.
Кратко и ёмко, лайк!
Спасибо тебе! Всегда отличные видосы и пояснения!
Как всегда очень информативно и максимально полезно
Иван, классные видео.
Ваня, спасибо! Ты лучший!
Есть у меня интересный вопрос к автору видео. А как получить доступ до клиентов которые в подсети 10.0.15.0/24 с устройства 192.168.12.2 или 12.3?
Спасибо! Очень пригодилось!
Хороший комментарий для хорошего видео
Здравствуйте! Очень хотелось бы видео по настройке Wireguard на pfsense. Не получается пока настроить, на openvpn все работало, а тут беда.
Подскажите пожалуйста, а как в eve сделать чтобы видно было адреса сетевые. В community версии можно так сделать? Я искал минут 10, не нашел ) Заранее спасибо.
Хорошие видео, запиши как-нибудь видео по обфускации траффика
Интересно, лайк
Подскажите, можно ли на WireGuard серевер поднять > 1 wg интерфейсов? Или как то на одном интерфейсе поднять несколько ip_сетей. Я заинтересовался вопросом, допустим у нас есть линукс роутер. На нем мы поднимаем N-ное количество виртуальных интрфейсов, и связываем их P_to_P с филиалами по маске /30 , и один интерфейс по /24 маске выделяем под remote-access vpn для подключения пользователей на удаленке . От сюда вопрос, как поднимать доп интерфейсы или как то все сделать в рамках одного интерфейса?
В чем проблема? У автора есть видео, там указано как с нуля все это настраивать и там вроде был разговор за виртаульный сетевой интерфейс и как его создавать (ip link add dev wg0 type wireguard). Для каждого интерфейса свой конфиг. т.е. на один интерфейс WG навесить 10 конфигов не выйдет. А вот навесить 10 клиентов на один интерфейс легко. С изоляцией внутри 1 сервера вроде замутить можно. К примеру у меня у клиента в allowed ip стоит 10.11.9.1/32. Т.е. для клиента доступен маршрут только до 10.11.9.1. Но я не проверил как будет если на клиенте руками добавить маршрут (у меня 2 клиента, комп на работе и смарт). Да и в контексте отдать конфиг пользователям... завтра любой его откроет и поменяет /32 на /24 и будет иметь доступ ко всем клиентам. Внутри wg правил маршрутизации кроме этого allow ip я и не нашел, все отдается на сторону файрвола. Т.е. в нем прописываем что если источник равен подсети клиентов и назначение подсеть клиентов, то дропать пакеты. Все. это по факту будет изолированная сеть. ovpn просто это делаем внутри сервера, до того как пакет попадет в файрвол.
Интересно, спасибо.
спасибо что ти повернулся
спасибо, keepalive 25 сек со стороны сервера надо ставить или клиента?
Спасибо
А что за ПО для ssh используется? Или это часть eve-ng?
Присединяюсь к вопросу... Не xshell часом?
Интересно возможно ли реализовать в этой схеме обратную операцию когда с локальной подсети можно стучаться к wg клиентам, но при условии что wg сервер это отдельная машина в локалке, а локалка подключается к роутеру с публичным ip конечно же?)
Может port unreachable потому что трассировка идёт на tcp порт или потому что udp не предполагает инициализации связи?! Можно разграничить права созданием нескольких интерфейсов.
Что чего не предполагает? и при чем тут tcp - трассировка и инциализация udp? А так да возможно. Роутер же по факту отдельная машина. Просто у него внутри настроена маршрутизация. В винде (когда она клиент wg) достаточно на виртуальном интерфейсе WG поставить галочку "разрешить другим пользователем бля-бла" и выбрать сетевой интерфейс который смотрит в сеть. Есть вероятность что ip адрес интерфейса станет 192.168.137.1, на сколько я помню в современных десктопных версиях винды только на этом ip будет работать NAT, но это не точно. Останется только на всех компах добавить к примеру route add remote-net mask remote-mask lan-ip-wg-client
В линухах грубо говоря все тоже самое, ну кроме может галочки как в винде нету и надо прописать nat ручками.
не смог достучатся до lan а ip vpn пингуется
Возможно ли Маршрутизация трафика для подсети Wireguard через подключенного клиента
в локальной сети?
Да. Без проблем.
@@vanohaker Можешь подсказать документацию где я могу найти как это сделать?
Спасибо
А что за софтина для рисования топологии сети и доступа ssh?
Топология нарисована в eve-ng. А вот софтина интересная.. Чем-то похожа на xshell
А если бы за клиентом тоже была подсеть, то на сервере нужно было бы аналогичным образом добавить маршрут и всё?
да
как отключить автоконнект при перезагрузи компа?
На какой системе?
@@vanohaker windows 10/11
@@shotaputkaradze4271 убери из автозагрузки wg
@@vanohaker пробовал уже
а как можно добавить свои сетевые ресурсы например DNS/FTP/WEB сервера в VPN тоннель
Ну если можно пинговать , то в чем проблема так же пользоваться остальными ресурсами.
чего все накинулись на вайргуард, других реализаций туннелей нет?
есть. просто wg не требователен к железу и кросс платформенный
@@vanohaker В 2020г. Думаю ресурсы не проблема
@@vanohaker Маршруты пушить научился вайргуард?
@@dondzhonson6882 Нет. Ни чего не научился считай клиенту давать.
@@dondzhonson6882 ресурсы лишними не бывают. К примеру есть небольшая фирма с несколькими филиалами. Выделить денег на какой-нибудь более или менее микрот или чего подобного нет. Вот что прошлый админ купил когда инет туда делали, то и есть. А тратить сейчас 25к рублей на какие-то роутеры... "вон служебная машина, в ней водитель надо настроить? садись и езжай". Путем не хитрых манипуляций что-то прошилось в owrt, что-то махнулось и опять же прошилось в owrt. Как итог везде появился доступ внутрь сети офисов за не дорого, много что завернул в сеть. Но ovpn прилично поджирал ресы. с приходом wg все стало заметно лучше. Пока случаев взлома нет официальных, а vpn канал в самом узком месте с 1.2 метра подрос до 5 метров. Пользователи rdp сходу заметили как полегчало.
А к nextcloud так можно достучаться?
Мне кто-то говорил, что он работает только с open VPN.
Ждём видео , как настроить iptables , кто за ставим лайк
Чем мне не нравится wireguard. Отсутствие автоматической передачи этих маршрутов и отсутствие возможности централизованно все это настраивать. В этом плане ovpn на 2 головы выше. Отдал клиенту конфиг (в котором пара строк по поводу сервера куда подключаться и настройки аутентификации) с сертами, да логин-пароль и все. Дальше на сервере уже настраиваешь какому клиенту ip, что он маршрутизирует, что ему отдать в маршруты. Особенно в контексте - роутер-роутер милейшее дело. Вот в офисе 1 появилась подсеть с телефонией, надо отдать маршрут до АТС всем клиентам удаленным. 1 строка на стороне сервера (точнее даже строка эта скорее уже будет, просто дописать в нее), в возможное время перезапускаем сервер и все. Клиенты тут же цепляются автоматом и уже знают что к примеру до 172.16.4.16 можно добраться через шлюз ovpn. Ну и прочее и прочее.
Полностью согласен, как по мне, это самый дичайший минус wireguard. Одно дело, когда хоста 2,3-5, другое дело, когда их под сотню.
Хотя оно и не удивительно, в идее wireguard нет центрального звена, оба узла равнозначны и нет более главного, даже в звезде - ибо тут костыли и магия роутинга.
Эх щас бы мне настроить Wg. Я тот парень из вк у которого рабочий сервер не работает)
@@ivansk222 у меня какая то хрень, я подкл но трафик не идёт
@@ivansk222 муторно, и к тому же пробовал различные скрипты установки, одни и те же тапки
@@tumanyants182 У сервера порт проброшен во вне и открыт на файрволе?
@@vasyna007 можешь объяснить подробнее? Tg @cratoss
ivan-molodez
bd