Как стать автором
Обновить

Комментарии 28

разработчики wg: сделаем максимально простой конфиг чтобы не понадобилось никаких дополнительных инструментов и можно было развернуть побыстрому vpn в пару тыков по клавиатуре

васяны с гитхуба: я прикручу к этому вашему wg nodejs+docker+nginx+python+go+ещёкучувсего чтобы вместо 2 тыков по клавиатуре надо было сделать 20, чтобы ресурсов жрало побольше, чтобы уровень абстракций был повыше и чтобы в акке в гитхабе хоть какая-то активность отображалась

хотел поставить тег <joke> но нет.. в каждой шутке есть лишь доля шутки..

Не знаю, мне через wg-easy оч удобно тут же добавить клиента, скачать для него конфиг и qr вместо того, чтобы лезть на сервер, генерировать конфиг, потом оттуда его вытягивать/отправлять, перезапускать службу. А потом ещё и генерировать qr-код, если нужно на телефоне быстро добавить.

Если несколько серверов надо связать, то, конечно, это не нужно. А когда WG используется для обхода блокировок, то уже на 10ом клиенте начинает надоедать собирать конфигурацию через wg genkey | tee privatekey | wg pubkey > publickey

Я конечно сонласен, но это задача уровня "скрипт в 5 строчек" или ансибловая плейбука, но никак не огромный комбайн включающий в себя столько всего что у слова "перебор" появляется новое значение..

разработчики wg: а давайте добавим скрипт на 5 строчек в пакет, чтобы всем было удобно?
те же разработчики wg: да брось, неужели у сотен тысяч пользователей не найдется 10 минут на ансибловый плейбук? 100к * 5 = +500к строк кода на планете, представляешь как прокачаем опенсорс?

а можно добавить немного смысла вашему спичу? три раза перечитал но это просто безсмысленный набор слов..

В первую очередь разработчики сделали быстрый и лаконичный протокол на уровне ядра. Все эти решения на гитхабе вполне уместны - упрощают развёртку, сам протокол не меняют

И зачем мне это, если я устанавливаю wg-easy и одной кнопкой добавляю пользователей и получаю qr или конфиг для клиента? Мне больше заняться нечем как конфиги крутить?

Ну, только развернуть впн в виде openvpn/ssh - действительно два тыка, и с вг- нет

Если уже есть сервер на убунте, или есть заодно другие задачи кроме VPN, то норм. Если надо именно сервер под VPN то практичнее сразу поставить OpenWRT, в котором удобный gui и куча разных протоколов кроме wg.

В опросе о решении для управления WireGuard не хватает варианта «роутер предоставляет свой интерфейс».

У меня микротик, и через winbox элементарно всё настраивается прямо на роутере.

Есть такое! А может ли Микрот через VPN гнать траффик только определенных клиентов, а остальные чтобы шли напрямую?

Конечно, может. Mangle

cyber5k/mistborn? Почему то не рассмотрен.

спасибо, открыл для себя удивительный мир ) может стоит тоже запилить свою мини - автоматизацию WG...

Для wireguard-ui от автора есть решение на базе systemd юнитов service и path для перезапуска после каждого сохранения конфига. Вроде как и для OpenRC и докера есть штуки там же на странице.

А вот в Linux всё не так просто. Проблема в том, что wg-quick использует
resolvconf для управления DNS и не поддерживает systemd-resolved,
который используется почти везде.

В комплект systemd входит утилита resolvectl. Которая прекрасно может прикидываться resolvconf-ом (с некоторыми ограничениями: man resolvectl #COMPATIBILITY_WITH_RESOLVCONF(8)).
Достаточно создать символическую ссылку (как пример /usr/bin/resolvconf -> resolvectl)

Добавил, спасибо

А какое-то из этих решений позволяет управлять несколькими wg интерфейсами? Для ситуации, когда на сервере несколько внешних ip адресов... и раскидывать wireguard клиентов между ними...

Знаю что ответ запоздал, но wg-portal от h44z умеет (интерфейсы выбираются в дропдауне сверху справа).

спасибо... но я уже порешал магией iptables и ручной подстановкой нужного внешнего ip адреса в сурс в зависимости от ip адреса wg интерфейса входящего пакета

Было бы шикарно, если бы вы поделились примером. Мы сейчас используем wg-portal, но всех напрягает ограниченность решения.

применительно к моей проблеме... базово я сделал два стандартных wg конфига и в каждом прописал правила:

PostUp = iptables -I INPUT -p udp --dport 50026 -j ACCEPT
PostUp = iptables -I FORWARD -i ens3 -o wg1 -j ACCEPT
PostUp = iptables -I FORWARD -i wg1 -j ACCEPT
PostUp = iptables -t nat -A POSTROUTING -o ens3 -s 10.10.1.0/24 -j SNAT --to-source 111.222.333.444
PostDown = iptables -D INPUT -p udp --dport 50026 -j ACCEPT
PostDown = iptables -D FORWARD -i ens3 -o wg1 -j ACCEPT
PostDown = iptables -D FORWARD -i wg1 -j ACCEPT
PostDown = iptables -t nat -D POSTROUTING -o ens3 -s 10.10.1.0/24 -j SNAT --to-source 111.222.333.444

10.10.1.0/24 и 111.222.333.444 для wg0 и 10.10.2.0/24 111.222.333.445 для wg1

где 111.222.333.444 и 111.222.333.445 два публичных ip адреса

Всем привет. Подбираю себе VPS, могу и криптой оплатить, проблема в том, что перебрал уже кучу хостингов, то скорость низкая, то в Гугле определяется как Россия. А мне надо для тв бокса, что бы гугл-сервисы определялись нормально. Посоветуйте хостинг VPS с безлимитом до 1 г/б и правильной геолокацией в Гугле, пожалуйста

Из консольных понравился https://github.com/naggie/dsnet. Без докера, но хранит всё в файле, позволяет многое. Вдруг кому пригодится.

Неочевидная фигня есть у wireguard-manager

Ну или у меня скила мало

Оно в конфиге вайргварда делает вот такие воот вещи PostUp = sysctl --write nft add rule inet wireguard-wg0 POSTROUTING ip saddr 192.168.77.0/24 oifname eth0 masquerade

мне надо было пришить к нему дополнительный роут, умучался пока до этого дошёл

Просто попробуйте развернуть сервер по мануалу https://www.wireguard.com/quickstart/ и всё поймёте.

Сын шлюхи разрабатывал этот "максимально простой конфиг".

OpenVPN куда проще было.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации

Истории