Как превратить Raspberry Pi в роутер с поддержкой WireGuard VPN клиента

[Aelliari]

Эх, прошел бы кто путь с IKEv2, аутентификацией по сертификатам на radius (возможно с хранением юзеров/ip в какой mariadb...) сервере, и статическими ip назначаемыми через radius...

[artyomsoft]

Я старался сделать проще и доступнее. Но спасибо за наводку, я про IKEv2 не знал.

[Aelliari]

То что я написал не будет ни проще, ни доступнее:) это геморрой "на развернуть"

Wireguard хорош, с легким шифрованием, можно запустить хоть на табуретке, но IKEv2 выглядящий как ктулху, тоже есть повсюду чуть ли не из коробки

[artyomsoft]

Да я понял, просто я узнал еще про один протокол для VPN от Вас, поэтому и поблагодарил.

[Vasily_Pechersky]

Есть ещё FreeIPA которая фронтэнд ко всему этому(Ldap,RADIUS,user management Web interface).
Ну и Swan(Open, strong) который IKE реализует. К нему есть плаг под NetwokManager и под винду стандартное подключение. Также iOS и Зелёный робот.
Также принимаем во внимание VLAN, которыми можно разделить проводной интерфейс малины, чтобы она занималась VPN а раутер занимался WiFi.

[Sabirman]

Классная идея - использовать малину в качестве роутера. Интересно, какую задержку дает такое решение по сравнению, например с кенетиками (у роутеров есть аппаратная маршрутизация).

[kik_krsk]

А нельзя на базе OpenWRT сделать "роутер на палочке" чтобы были клиенты подключаемые по кабелю и обычный роутер в качестве точки доступа?

[artyomsoft]

Я правильно Вас понимаю, что в этом случае Raspberry будет только предоставлять доступ по WireGuard, а доступ к провайдеру и WiFi будет предоставлять роутер со стандартной стоковой прошивкой и гораздо лучшим, чем у raspberry покрытием?

[kik_krsk]

raspberry будет предоставлять доступ к интернет и к Wireguard

[Djonyx7566]

Недавно пробовал на на третьей машине сделать не получилось, конфиг подрубался но сети не было, попробую сделать по этой статье и отпишусь что из этого выйдет

[Kenya-West]

Думаю, что лучше бы запостить на Хабр Q&A... но спрошу здесь?

А как заставить WireGuard маршрутизировать трафик именно по доменам, а не по маскам IP/адресов? Знакомый devops-инженер пояснил мне за теорию OSI, что большинство VPN работает на третьем уровне модели, а там доменов, как таковых, не существует.

И я не могу, соответственно, заставить WireGuard, скажем, маршрутизировать домены Facebook, а их, с учетом CDN, серверов авторизаций и сопутствующих доменов Meta, выходит под 30 штук. Если указывать ненадежные в данном случае маски IP, их там явно больше 80 выйдет, причем о них узнаешь лишь методом "тыка", и они часто меняются.

Вот такая вот проблема

[Aelliari]

Я не дам тебе готового решения (но нааерняка в интернете есть, это не самый редкий кейс), но в целом, задача перенаправления в туннель по домену - решаемая. Ключевые слова для поиска - policy routing (vpn policy routing). Идея в чем, при ресолвинге доменного имени добавлять для ip (ipset списка, вернее даже добавить ip в ipset список) отдельный маршрут через другой интерфейс.

[artyomsoft]

В кометариях к предыдущей моей статье, мне советовали посмотреть https://openwrt.org/docs/guide-user/network/routing/pbr, но я еще не разбирался, как можно сделать

[SalazarMAX]

Antizapret VPN нечто похожее умеет путём разворачивания собственного DNS. Для домашнего использования самое то, но только OpenVPN.

[dmitrmax]

Оно вам не нужно. Вам нужно маршрутизировать VPN зарубежный трафик, а без VPN - российский. Если вы внутри РФ. Если нет, то наоборот.

[Yarik217]

В виду того, что вычислительные возможности Raspberry Pi выше, чем у среднестатистического роутера, вы получите большую скорость Интернет при работе через VPN.

А вот и нет. Любой нормальный роутер будет решать эту проблему аппаратным шифрованием и свежим процессором, а не устаревшим Cortex-A72, и о доминировании нормального роутера над RPi могут рассказать вам в любой профильной группе в Telegram, особенно если речь идёт о сопоставимой с RPi цене.

Гораздо полезнее с помощью RPi выполнять функционал, который в роутере обычно отсутствует, например Pi-hole и DoH/DoT

[artyomsoft]

По срвавнению со своим Аsus RT56U я получил прирост в скорости через WireGuard VPN в три раза минимум. Да он уже устаревший, но я думаю, что он сейчас на равне со среднестатистическим бюджетныи роутером. По поводу цены распбери я сказал в статье. Я не призываю использовать распберри вместо роутера, я рассказал о такой возможности, если вы хотите применить распберри в качестве роутера. А за интересную наводку спасибо.

[AlexeyPotopakhin]

Как это часто бывает, видео немного устарело, и мне приходилось решать что-то уже по-своему, но когда я дошел до шага установки драйвера для WiFi USB адаптера, я не смог его установить, ни для одного из имеющихся у меня адаптеров.

Так у вас получилось установить драйвер для USB Wi-Fi адаптера? У меня Raspberry Pi старая без встроенного Wi-Fi и ни один адаптер не удалось подключить. Пробовал устанавливать kmod пакеты, но так ничего и не заработало. И вкладка "Network" -> "Wireless" отсутствует, как и сам конфиг в /etc/config/wireless.

[artyomsoft]

К сожалению ничего не получилось. Я думаю, что, вероятно с адаптером, что использовал NetworkChuck получилось бы, но у меня такого не было.

[erley]

Проходил мимо, решил сказать спасибо автору, частично по этой статье собрал себе похожую коробочку на Rpi2B v1.2 c usb wifi на rtl8192eu.

Для интересующихся, потолок по скорости (со свежим софтом) получается около 6-7 Mbit через wireguard, с OpenVPN по UDP скорость падает до 1,5-2 Mbit.

Решил оставить оба варианта, но OpenVPN деактивировал.

Ещё я добавил второй usb wifi адаптер и поднял на нём точку доступа, получилось прикольно - можно воткруть малинку к телефонному powerbank и расшарить интернет с телефона или подключиться к какому-нибудь публичному. И подключившись к малинке по wifi очутиться в домашней сети.

Мне скорость большая не так важна, даже 1 Mbit вполне достаточно, заодно малинку пристроил.