Комментарии 28
разработчики wg: сделаем максимально простой конфиг чтобы не понадобилось никаких дополнительных инструментов и можно было развернуть побыстрому vpn в пару тыков по клавиатуре
васяны с гитхуба: я прикручу к этому вашему wg nodejs+docker+nginx+python+go+ещёкучувсего чтобы вместо 2 тыков по клавиатуре надо было сделать 20, чтобы ресурсов жрало побольше, чтобы уровень абстракций был повыше и чтобы в акке в гитхабе хоть какая-то активность отображалась
хотел поставить тег <joke> но нет.. в каждой шутке есть лишь доля шутки..
Не знаю, мне через wg-easy оч удобно тут же добавить клиента, скачать для него конфиг и qr вместо того, чтобы лезть на сервер, генерировать конфиг, потом оттуда его вытягивать/отправлять, перезапускать службу. А потом ещё и генерировать qr-код, если нужно на телефоне быстро добавить.
Если несколько серверов надо связать, то, конечно, это не нужно. А когда WG используется для обхода блокировок, то уже на 10ом клиенте начинает надоедать собирать конфигурацию через wg genkey | tee privatekey | wg pubkey > publickey
Я конечно сонласен, но это задача уровня "скрипт в 5 строчек" или ансибловая плейбука, но никак не огромный комбайн включающий в себя столько всего что у слова "перебор" появляется новое значение..
разработчики wg: а давайте добавим скрипт на 5 строчек в пакет, чтобы всем было удобно?
те же разработчики wg: да брось, неужели у сотен тысяч пользователей не найдется 10 минут на ансибловый плейбук? 100к * 5 = +500к строк кода на планете, представляешь как прокачаем опенсорс?
В первую очередь разработчики сделали быстрый и лаконичный протокол на уровне ядра. Все эти решения на гитхабе вполне уместны - упрощают развёртку, сам протокол не меняют
И зачем мне это, если я устанавливаю wg-easy и одной кнопкой добавляю пользователей и получаю qr или конфиг для клиента? Мне больше заняться нечем как конфиги крутить?
Ну, только развернуть впн в виде openvpn/ssh - действительно два тыка, и с вг- нет
Если уже есть сервер на убунте, или есть заодно другие задачи кроме VPN, то норм. Если надо именно сервер под VPN то практичнее сразу поставить OpenWRT, в котором удобный gui и куча разных протоколов кроме wg.
В опросе о решении для управления WireGuard не хватает варианта «роутер предоставляет свой интерфейс».
У меня микротик, и через winbox элементарно всё настраивается прямо на роутере.
cyber5k/mistborn? Почему то не рассмотрен.
спасибо, открыл для себя удивительный мир ) может стоит тоже запилить свою мини - автоматизацию WG...
Для wireguard-ui от автора есть решение на базе systemd юнитов service и path для перезапуска после каждого сохранения конфига. Вроде как и для OpenRC и докера есть штуки там же на странице.
А вот в Linux всё не так просто. Проблема в том, что wg-quick использует
resolvconf для управления DNS и не поддерживает systemd-resolved,
который используется почти везде.
В комплект systemd входит утилита resolvectl. Которая прекрасно может прикидываться resolvconf-ом (с некоторыми ограничениями: man resolvectl #COMPATIBILITY_WITH_RESOLVCONF(8)).
Достаточно создать символическую ссылку (как пример /usr/bin/resolvconf -> resolvectl)
А какое-то из этих решений позволяет управлять несколькими wg интерфейсами? Для ситуации, когда на сервере несколько внешних ip адресов... и раскидывать wireguard клиентов между ними...
Знаю что ответ запоздал, но wg-portal от h44z умеет (интерфейсы выбираются в дропдауне сверху справа).
спасибо... но я уже порешал магией iptables и ручной подстановкой нужного внешнего ip адреса в сурс в зависимости от ip адреса wg интерфейса входящего пакета
Было бы шикарно, если бы вы поделились примером. Мы сейчас используем wg-portal, но всех напрягает ограниченность решения.
применительно к моей проблеме... базово я сделал два стандартных wg конфига и в каждом прописал правила:
PostUp = iptables -I INPUT -p udp --dport 50026 -j ACCEPT
PostUp = iptables -I FORWARD -i ens3 -o wg1 -j ACCEPT
PostUp = iptables -I FORWARD -i wg1 -j ACCEPT
PostUp = iptables -t nat -A POSTROUTING -o ens3 -s 10.10.1.0/24 -j SNAT --to-source 111.222.333.444
PostDown = iptables -D INPUT -p udp --dport 50026 -j ACCEPT
PostDown = iptables -D FORWARD -i ens3 -o wg1 -j ACCEPT
PostDown = iptables -D FORWARD -i wg1 -j ACCEPT
PostDown = iptables -t nat -D POSTROUTING -o ens3 -s 10.10.1.0/24 -j SNAT --to-source 111.222.333.444
10.10.1.0/24 и 111.222.333.444 для wg0 и 10.10.2.0/24 111.222.333.445 для wg1
где 111.222.333.444 и 111.222.333.445 два публичных ip адреса
Всем привет. Подбираю себе VPS, могу и криптой оплатить, проблема в том, что перебрал уже кучу хостингов, то скорость низкая, то в Гугле определяется как Россия. А мне надо для тв бокса, что бы гугл-сервисы определялись нормально. Посоветуйте хостинг VPS с безлимитом до 1 г/б и правильной геолокацией в Гугле, пожалуйста
Из консольных понравился https://github.com/naggie/dsnet. Без докера, но хранит всё в файле, позволяет многое. Вдруг кому пригодится.
Неочевидная фигня есть у wireguard-manager
Ну или у меня скила мало
Оно в конфиге вайргварда делает вот такие воот вещи PostUp = sysctl --write nft add rule inet wireguard-wg0 POSTROUTING ip saddr 192.168.77.0/24 oifname eth0 masquerade
мне надо было пришить к нему дополнительный роут, умучался пока до этого дошёл
Просто попробуйте развернуть сервер по мануалу https://www.wireguard.com/quickstart/ и всё поймёте.
Сын шлюхи разрабатывал этот "максимально простой конфиг".
OpenVPN куда проще было.
7 решений для установки и управления WireGuard на своём сервере