Wireguard. Настройка топологий Point to Point, Star, Mesh. Маршрутизация через Wireguard. Тесты.
HTML-код
- Опубликовано: 6 фев 2025
- 4:32 - Point to Point
15:32 - Star
26:17 - Mesh
VPS хостинг --- netbreeze.net/?...
Моя документация со всеми командами mega.nz/file/0...
Официальный сайт Wireguard --- www.wireguard....
Связь со мной:
ВК --- vanohaker
Группа в -- yiglazkov
twitter --- / vanohaker
Insta -- / vanohaker
Стрим:
RUclips -- www.youtube.co....
Twitch --- / vanohaker
Если вам понравилось видео и вы желайте помочь каналу развиться, пожертвуйте на развитие любым удобным для вас способом.
Webmoney -- R817191732354 --Z031836116848
Yandex -- 410012265076860
Da -- www.donationale... 
Наука
Автор видео основательно заморочился по созданию "подсказки". Огромная благодарность и уважение Вам за Ваш труд.
Тема очень интересная. А главное актуальная. Почитал статьи, говорят за Wireguard будущее VPN. Мое лично мнение, не хватает описание куда можно применить обычному пользователю. По поводу видео, качество стало лучше. Звук тоже очень понравился. В общем успехов тебе. Очень приятно и интересно смотреть твои ролики. Годного контента на RUclips становиться все меньше и меньше.
Спасибо за видео. Как для начального уровня лабы - пойдет, для реальной жизни - нет (куча нюансов в построении впн в любой мало-мальски реальной организации).
Недочёты, которые бросились в глаза:
1)Показал настройку стар и меш, но забыл объяснить, зачем они нужны
2) Весь трафик описывается префиксом 0.0.0.0/0, никогда не видел, чтобы описывали как ты
3) iperf читается как ай-перф, где перф - от перформанс.
Вспомнил про канал который смотрел в 2015-2016, а тут такой плейлист жирный ! Лайк подписка
Вот это очень востребованная тема, вообще за Wireguard считаю будущее.
нет за ним будущего, по крайней мере в рф! С помощью DPI он глушится на раз-два!
@@e7frolov не все используется для обхода блокировок, мне как сисадмину вайргуард интересен
@@e7frolov что такое DPI?
@@ОлегИванов-к8б deep packet inspection
Настраиваем Точка - Точка... Берем 2 клиента и соединяем. Настраиваем Звезду. Берем 2 клиента соединяем.... )))) Огонь
Ооо спасибо большое! Теперь стало понятным как настроить сеть между компами!!
Спустя полтора года в предложке увидел. Как нельзя к стати, спасибо!
Вернулся Иван, отлично! И тема актуальная!
го видос (в стиле думок про роут скан, как сейчас помню, очень интересно было послушать) про свой жаббер сервер+шифрование и что-то подобное.
очень интересно...
анонимность это всегда интересно, мб просмотров наберешь
если свой сервер.. то получается логи только у тебя)
ну я думаю прям супер тема лучше не придумаешь для видоса
Ну неужели!!!! Привет! Всегда с нетерпением жду твоих видео!!!!
ОООООООО НЕУЖЕЛИ!! С ВОЗВРАЩЕНИЕМ ИВАНЫЧ!!!!
Пользуюсь wireguard больше полугода, суперская вещь. Аренда vps выйдет раза в 2 дешевле популярного exitlag. Настройка может показаться сложной только для тех, кто с линуксом вообще никогда не сталкивался.
подтверждаю ВГ топ, просадка по скорости от провайдера 5-7 процентов.
@@ultrazSupporter Я не знаю насколько у меня сильная просадка, я тестировал только задержку сети. В среднем wireguard добавляет не более 1 мс пинга, что очень и очень важно для меня.
Чем он лучше Open VPN, к примеру? На нем тоже просадки почти нет, если судить по видео от канала "Боевое вождение".
@@zubrzaeb9730 Не знаю. Я сначала попробовал старый pptp протокол и там +20мс в среднем задержка была. Потом мне знакомый подсказал посмотреть на wireguard. Мне он понравился простотой настройки и минимальной задержкой. Меня это устроило и ничего другого я уже не стал пробовать. Сейчас я уже не пользуюсь впн-ом.
@@amrklp Так Wire guard это протокол, который работает через ВПН туннель.У кого сервер арендовал?
Рофл со скоростью. Нежданчик так нежданчик. :D Спасибо за видео.
Ну наконец-то, тебя только за смертью посылать
Хорошо что этот автор вернулся, интересный контент! Спасибо, Бро! Держи класс!
Вот братан давай не пропадай, с пускай у тебя получается снимать интесние ролики
Я все настроил! Спасибо тебе огромное!
Шикарное видео, спасибо Вам.
Oxygen not included - уважуха)
Amazing Video,. thanks you. Greetings from Peru
Просто лучший. Спасибо
Старнно делать "звезду" с целью чтобы сходить в интернет через VPN трафик. Цель звезды - чтобы лучи звезды видели друг друга посредством центрального узла. Иметь 3 виртуалки linux, еще один хост с виндой и не сделать нормальную звезду, это надо еще постаратся.
Добрый день. А какие настройки надо вписать в AllowedIPs чтобы трафик не ходил в интернет а VPN служил только для объединение сетей и устройств в локальную сет, а инет ходил через провайдеры?
Очень информативное видео, подскажите пожалуйста а если установить wireguard на raspberry, настройки будут такие-же или это делается по другому? Заранее благадарю.👋
Ееее, Иван, так скучал по роликам
Привет
Подскажи пожалуйста как грамотно настроить тунелирование трафика, особенно актуально для компа.
Многие сайты используют целый пул айпишников и не понятно как именно заставить вг включаться только для определенных сайтов
Спасибо за подробный разбор, но "звезда" у меня не завелась на Ubuntu 20.04. Долго копал инет и накопал скрипт автоустановки на гитхабе github.com/angristan/wireguard-install. Все завелось сразу и без граблей. Что бы клиенты друг-друга увидели достаточно снять галочку (в клиенте винды) "Блокировать нетунельный трафик".
Дядь, ты вернулся:D
Спасибо за подробное видео. Вопрос такой возник. Создаю WG-туннель по типу Star, при этом сервер(10.0.0.1) имеет двух клиентов R1 и R2(10.0.0.2 и 10.0.0.3). К роутерам подключены устройства. К R1 девайс с прописанный IP 10.20.20.100, а к R2 с IP 10.20.20.200. Друг друга напрямую они у меня почему--то у меня не видется и не пингуются. Как правильно прописать для них маршрут в Mikrotik? Спасибо.
По схеме star, клиенты видят друг друга. Я не вижу разницы между звездой и мешом в настройках изменяется только подсеть сервера с 24 на 30. Вот как сделать так, чтоб клиенты не видели друг друга, не поднимая для каждого отдельно wg интерфейс ?
надо с allowed ips поиграться и брандмауэр настроить, можно в postup и postdown любые условия прописать, можно создать интерфейс под это дело (не wireguard, линуксовый, который командой ifconfig показывается). У меня в wireguard локалке на компе крутится несколько дашбордов, к ним доступ есть только с компа по локалхосту, с моего телефона и ноута. В сети около 20 пиров, может и больше (кручу сервера для игр).
Отлично. Спасибо!
Привет. Вы говорили что нужно ещё включить ворвардинг. Но в первом и во втором случаи вы его не настраивали. Сейчас вроде есть какой то спирт с qr кодом. Могли бы показать как его настроить. ?
Вернулся Иван!
го в бар в мск сходим)
Я с Вами!
На 100к можно устроить. Я не против.
актуальненько)))
Спасибо, очень подробно!
ура ты жив
По красоте всё рассказал и показал. Благодарность.
Всем кто хочет по*баться смотрите видос, а кому нет времени страдать в консоли давно уже есть простой путь github.com/burghardt/easy-wg-quick
Иван, спасибо что жив)
Ролики по pfsense до сих пор выручают как шпаргалка
А как заставить работать Mikrotik как WireGuard клиент, если сервер на Ubuntu. И мой микротик подключен в режиме бриджа к оптическому терминалу, к которому приходит интернет?
38:00 не может быть это связанно с кэшированием туннеля? а то уж слишком быстро как то сотни мегабит замеряет.
Лайкойс залетел ))
Можно ли на Wireguard сделать раздельное туннелирование, не по IP, а по приложениям? Например пустить трафик Хрома и какой то программе через vpn wireguard, а остальное без vpn. Или от обратного, через запрет на vpn другим приложениям. Как это реализовано в Nordvpn и Expressvpn
на андроиде точно можно в официальном приложении wireguard
Можно, в клиенте на Android есть выбор приложений для которых использовать тунель Wireguard, или весь трафик.
Хорошо объясняете, лайк. Вопрос про днс трафик в топологии звезда - на стороне пира в секции Interface мы прописываем ip-шники DNS-серверов. Но это не значит, что за dns запросы будут выполняться через wireguard-подключение (тунель). Какую настройку следует сделать, чтобы днс-трафик также ходил через тунель?
А у меня IP адрес не сменился на ip сервера, что я не так сделал? Хотя подключение есть, тунель подключен и трафик судя по передаче идет
Отлично! Но. Если при топологии Меш к серверу2 (например) по wg подключить Смартфон, с него я могу попасть на сервер1 и сервер3? При топологии Меш как запустить весть тафик в интернет, напрмер через север3? Спасибо.
Иван приветствую. Очень бы хотелось увидеть настройку сервера DNS over HTTPS он же (DOH) в русскоязычном сегменте ютуба я не нашёл достойного гайда.
Привет, что за терминал используете?
А как настроить постоянный Реконнект клиента если есть какие то проблемы с сетью?
в AllowedIPs = можно прописать как то диапазон айпишника?
Нужная тема, жду видео.
ОН ЖИВ!
А как установка хедеров ядра может помочь wireguard-у?
А как определить что он работает в режиме ядра а не в юзерспайсе?
А, ещё нельзя ли аутентификацию по паролю там сделать? Или только сертификаты?
В wg только сертификаты. Можно попробовать сделать captive portal и там авторизоваться.
А что не так, если сервер ВПН пингуется, а в интернет не пускает?
Wireguard можно использовать для удаленных рабочих мест и как к ним подключаться например по RDP?
либо коннектить каждого клиента к серверу, либо сделать DNAT с внутреннего адреса на внешний на сервере
По возможности расскажите об отличиях между openVPN и Wireguard
В openvpn есть tap, в wg нет.
В openvpn на данный момент нет поточного шифрования в wg есть.
Openvpn тяжёлый протокол особенно для мобильного железа, wg нет.
ВГ включен в ядро линукса, ВГ топ, самый быстрый впн протокол на данный момент, достаточен безопасен, на данный момент уязвимости не обнаружены.
Я рад
Вопрос, в чем может быть причина, если все настроено по схеме звезда, (компьютер, сервер, телефон) - комп, сервер и телефон видит, а телефон, видит только сервер, а комп не видит. Где собака зарыта?))
Ipsec будет на канале?
интересно про настройку на всех ос. и как сделать удобный переключатель на линуксе.
Уже есть специальный пакет для network manager ну и любительские разработки на github
@@vanohaker вот об этом всем бы и хотелось послушать. я в линуксе совсем новичек
@@TVmustDIEEE по поводу gui. Это не обязательный инструмент. Включать и выключать wg в консоли гораздо удобнее. Единственный минус в том что не видно статус подключения и приходится писать в консоли команду чтобы посмотреть состояние подключения.
@@vanohaker а как тогда понять что впн отвалился и коннект идет напрямую? не будешь же каждую секунду в консоли проверять
В kde есть встроенный плагин
Дано: 2 VPS-сервера, на обоих запущен wireguard по топологии star, и 1 ПК на линукс.
Задача: Как сделать на ПК, при запуске трёх портативных браузеров firefox следующую связь: Firefox-1 подключается к дефолтному провайдеру интернета. Firefox-2 подключается к VPS-1 через "wireguard client_1" настроенный на VLAN-1. Firefox-3 подключается к VPS-2 через "wireguard client_2" настроенный на VLAN-2, однако VLAN-2 пускать трафик через VLAN-1 (т.е. сделать виртуальный DoubleVPN)
Вопросы: Возможно ли реализовать множественные подключения wireguard с помощью VLAN, либо есть другие способы (кроме виртуальных машин)?
Как настроить правила iptables (nftables), таким образом чтобы VLAN-2 проходил через VLAN-1 ?
С помощью чего можно реализовать перенаправление трафика в приложениях ? Ранее работал способ с iptables с помощью специального юзера закреплённого за определённым приложением, так же есть сложный способ с настройками политик безопасности SELinux.
Можно ли это реализовать с помощью Docker-контейнеров ?
Здравствуйте. У меня каждый день в 6 ч утро отпадает VPN, помогает только перезагрузка сервера.
Как это исправить?
Иван, можешь сделать обзор на Untangle?
Здравствуйте,как сохранять конфигурацию 6:42
Тебя в гугле забанили? Редактор nano. Из редактора выйти не может, а туда же, впн настраивать. Мамкины кулцхакеры.
А что за ssh клиент используется?
есть с начало лета такая вещь бесплатная, и можно платно как cloudfare warp по сути это не VPN он меняет ваши DNS хотя у меня и ip меняет
Прошу прощения, но как (06:25) свернуть редактируемый конфиг?
сохранить и выйти?
Будет обзор виртуального маршрутизатора vyos?
Не планировал. Как вариант можно попробовать собрать для pi4 из исходников и на ней протестировать и обозреть.
Возник вопрос при повторном включение сервера нужно вручную прописывать стар Wireguard или он уже будет работать ?
Будет работать. Команда systemctl enable добавляет эго в автозапуск.
@@Koniukhov спасибо
никак не могу связать двух клиентов, каждый клиент пингует сервер, но не пингуют друг друга. помогите в чем проблема
ruclips.net/video/D7Zp2yjjzV4/видео.html
наверно вы имели ввиду использовать маску 30 а не 32.
Как насчёт site to site?
Имеешь ввиду маршрутизацию двух сетей через wg?
Да, когда "сеть 1 - нат - wg - интернет - wg2 - nat - сеть 2" и чтобы все видели друг друга.
А лучше вообще несколько сетей. И когда 1 ip белый. Т.е. один vps, берёт на себя основую роль и весь трафик ходит через него. Это явно выиграшнее, чем l2tp, например или опенвпн. В производительности уж точно
Столкнулся с проблемой малой скорости в направлении от клиента к серверу при организации wg-vpn сети по топологии Звезда/Star. К примеру:
1. От сервера к клиенту: 97.7 Mbits/sec
2. От клиента к серверу: 19.9 Mbits/sec
3. Между клиентами (через сервер): 13.4 Mbits/sec
Speedtest на сервере показывает скорости: Download: 95.10 Mbit/s, Upload: 200.71 Mbit/s
Пробовал понизить MTU как подсказали здесь: keremerkan.net/posts/wireguard-mtu-fixes/
Но это ни к чему не привело. В инете нашел такой вариант объяснения, может в этом кроется проблема ( www.reddit.com/r/WireGuard/comments/brsnuq/wireguard_very_slow_in_onedirection/ ): One side of the network filtering ingress UDP traffic to guard against DoS/DDoS techniques, probably - но я ума не приложу как это проверить а тем более разрешить проблему.
Может кто сталкивался с таким и смог найти решение?
Я идиот :), проблема по стороне моего провайдера. Скорость на Upload из сети клиента: 20 Mbit/s потому и скорость от клиента к серверу была такой низкой.
@@zeniasyriany77 привет друг, подскажи, как связать двух клиентов, каждый клиент пингует сервер, но не пингуют друг друга
Здравствуйте! Как сделать так чтобы при соединении через wireguard все клиенты выходили в интернет через своего провайдера и видели друг друга?
Легко. У клиентов allowedip = твоя_сеть_wg/маска(24). Маска как на сервере.
А почему гуард??? У нас говорят гааард.
Уаергард, где р почти не слышится.
Сори фор май бед инглиш :)
@@vanohaker А у меня зато ... плохо соображаю в Линуксе. Изучаю, изучаю... и не очень.
@@arleenlasleur Та не! Эйч ти эм эль, си эс эс, пи эйч пи. У нас так в Сибири гуторят.
Классная инструкция, теперь виртуальная машина с wireguard не видит локальную сеть (но в инет выходит)
Мб у меня руки из жопы конечно, но все равно.
0,0,0,0 лишнее в конфиге клиента
А что это за ssh клиент?
Ждём site to site!!!!!
вроде mesh это и есть site to site, не?
Help. Вроде делал - всё получалось и тут бац...
root@raspberrypi:/home/pi/WireGuard/src# systemctl start wg-quick@wg0
Job for wg-quick@wg0.service failed because the control process exited with error code.
See "systemctl status wg-quick@wg0.service" and "journalctl -xe" for details.
root@raspberrypi:/home/pi/WireGuard/src#
root@raspberrypi:/home/pi/WireGuard/src# systemctl status wg-quick@wg0.service
● wg-quick@wg0.service - WireGuard via wg-quick(8) for wg0
Loaded: loaded (/lib/systemd/system/wg-quick@.service; enabled; vendor preset: enabled)
Active: failed (Result: exit-code) since Fri 2020-10-02 00:32:21 +07; 7s ago
Docs: man:wg-quick(8)
man:wg(8)
www.wireguard.com/
www.wireguard.com/quickstart/
git.zx2c4.com/WireGuard/about/src/tools/man/wg-quick.8
git.zx2c4.com/WireGuard/about/src/tools/man/wg.8
Process: 2010 ExecStart=/usr/bin/wg-quick up wg0 (code=exited, status=1/FAILURE)
Main PID: 2010 (code=exited, status=1/FAILURE)
окт 02 00:32:20 raspberrypi systemd[1]: Starting WireGuard via wg-quick(8) for wg0...
окт 02 00:32:20 raspberrypi wg-quick[2010]: [#] ip link add wg0 type wireguard
окт 02 00:32:20 raspberrypi wg-quick[2010]: [#] wg setconf wg0 /dev/fd/63
окт 02 00:32:20 raspberrypi wg-quick[2010]: Key is not the correct length or format: `zf/2271NuUaa9
окт 02 00:32:20 raspberrypi wg-quick[2010]: Configuration parsing error
окт 02 00:32:20 raspberrypi wg-quick[2010]: [#] ip link delete dev wg0
окт 02 00:32:21 raspberrypi systemd[1]: wg-quick@wg0.service: Main process exited, code=exited, sta
окт 02 00:32:21 raspberrypi systemd[1]: Failed to start WireGuard via wg-quick(8) for wg0.
окт 02 00:32:21 raspberrypi systemd[1]: wg-quick@wg0.service: Unit entered failed state.
окт 02 00:32:21 raspberrypi systemd[1]: wg-quick@wg0.service: Failed with result 'exit-code'.
lines 1-22/22 (END)
Проблемы с ключом. Скорее всего, криво вставил.
@@h.i.1359 Спасибо, вы очень помогли - да - у ключа появился в конце лишний знак)
Что за терминал используешь?
SecureCRT
Спасибо. А что за ssh-клиент?
Да
Secure CRT
Он костмически платный. Я как цену посмотрел, у меня череда микроинсультов случилась
У меня не взлетел... :( Может кто-то просветить что не так?
(VPS хостинг взял из шапки. Самый дешевый.)
>> Oct 23 13:35:25 zhygar wg-quick[8935]: RTNETLINK answers: Operation not supported
>> Oct 23 13:35:26 zhygar wg-quick[8935]: Unable to access interface: Protocol not supported
>> uname -r
>> 2.6.32-042stab142.1
>> apt-get install linux-headers-$(uname -r|sed 's/[^-]*-[^-]*-//')
>> Reading package lists... Done
>> Building dependency tree
>> Reading state information... Done
>> E: Unable to locate package linux-headers-2.6.32-042stab142.1
>> E: Couldn't find any package by glob 'linux-headers-2.6.32-042stab142.1'
>> E: Couldn't find any package by regex 'linux-headers-2.6.32-042stab142.1'
>> apt-get install linux-headers*
>> Reading package lists... Done
>> Building dependency tree
>> Reading state information... Done
>> Note, selecting 'linux-headers-generic' for glob 'linux-headers*'
>> Note, selecting 'linux-headers-686-pae' for glob 'linux-headers*'
>> Note, selecting 'linux-headers-5.8.0-0.bpo.2-amd64' for glob 'linux-headers*'
>> Note, selecting 'linux-headers-s390x' for glob 'linux-headers*'
>> Note, selecting 'linux-headers-5.9.0-1-rt-amd64' for glob 'linux-headers*'
>> Note, selecting 'linux-headers-4.9.0-13-all-amd64' for glob 'linux-headers*'
>> Note, selecting 'linux-headers-4.9.0-13-common-rt' for glob 'linux-headers*'
>> Note, selecting 'linux-headers-rt-amd64' for glob 'linux-headers*'
>> Note, selecting 'linux-headers-686' for glob 'linux-headers*'
WireGuard можно как-нибудь клиента ограничить только на одно устройство? например другу конфиг дам, а он возьмет и всем знакомым раздаст
В любом случае в один момент времени по одному конфигу можно только одно устройство подключить. Это из-за прибитых ip на клиента. Так что если твой друг раздаст конфиг то он сам не подключится.
@@vanohaker получается они с друг другом конфликтовать начнут айпи адреса?
@@Канай-д6о скорее всего даже до конфликта не дойдёт. Сервер на стадии хендшейка откажет в подключении.
@@vanohaker спасибо!
Маска /32 не изолирует клиентов друг от друга
ip адреса частных сетей прописаны в RFC
Привет, не знаешь, возможно ли два клиентских подключения wireguard повесить на 2 vlan ? И чтобы VLAN2 подключался через VLAN1 ? (т.е. организовать виртуальный DoubleVPN с возможностью подключения к провайдеру напрямую)
Что делать, если и сервер и клиент, находятся за натом?
писать путину чтоб нат убрал
А чем он лучше openVPN? Или он не лучше?)
быстрее и проще в настройке, но опенвпн сильно гибче
@@ShaMan1910 и на сколько мне известно, в опенВПН имеется ограничение на количество бесплатных подключений...
@@afrotech9770 это не правда
На слабом железе wg работает заметно быстрее чем openvpn.
WG самый быстрый впн на данный момент
Насколько можно доверять wiregiard?
Wireguard встраивают в ядро линукса, ещё вопросы есть?
Пока что не было ни одного случая взлома.
Скоро dpi все нам перекроет!!! Как обходить dpi? Очень актуально
💖💖💖💖💖💖💖💖💖💖💖💖💖
Разъеб. Красавчик, все по красоте сделал. Продолжай в том же духе !
промотал так промотал хе-хе. вг-считается
А как сделать чтобы Ubuntu server был клиентом?
Консольный вариант wg есть. В целом всё так же как и с сервером только конфиг другой, такой же как на клиенте в винде.
Запускать клиента можно через systemctl
Он жиф :-)
Ванька , запили видос про то как развернуть nextcloud.
Скоро dpi все нам перекроет!!! Как обходить dpi? Очень актуально
Очень сильное заблуждение. Перекрыть всё можно только обрезав кабель.
@@vanohaker Я имелл ввиду что все Wireguardы и OpenVPNы работать не будут, это уже реализовано в некоторых странах СНГ, в Белорусии мало что работало когда очень нужно было! Теперь нужно как то маскировать канал VPN как это делает GoVPN и Shadowsocks при помощи плагинов. Пока нагуглил obfsproxy и ScrambleSui и cbeuw/Cloak
@@_mult всегда будет работать что-то.
хаха у меня твой privatekey сейчас я тебя взломаю))))))))))))))))
После такого заявления обычно начинают шантажировать...
@@ShaMan1910 парень мечтает получить 272 УК РФ в своё досье. почему нет? его право.
Я вижу не хрена в компах не шариш
забавно слушать этот ламерский бред, все блогеры два нюанса упускают.
?