Wireguard VPN - OPENWRT SERVER

bortolotti80

Salve a tutti, ho voluto prendere spunto da qualcuno qui nel forum che si era fatto un LAB in openWRT, perciò ho preso il mio vecchio router che utilizzavo con tomato, installato l'ultima versione di openWRT e inizialmente mi sono dato come obiettivo la creazione di un server VPN, su questo router, che non è il gateway della rete, perciò mi interessa per routing puro/server

Inizialmente ho seguito la guida ufficiale, https://openwrt.org/docs/guide-user/services/vpn/wireguard/start
Purtroppo l'ho trovata un pò confusionaria, nel senso che molti passi venivano ripetuti e mi ritrovavo con due inferfaccie Wireguard, perciò ho fatto una pulizia delle interfaccie lasciando solo la LAN, dopodichè dato che i pacchetti wireguard erano installati ho seguito questa guida https://www.reddit.com/r/openwrt/comments/bahhua/openwrt_wireguard_vpn_server_tutorial/

in particolare dal punto 3 in poi dove si lavora, con la generazione delle chiavi e la creazione dell'interfaccia

Perciò mi ritrovo con:

Dove l'interfaccia Wireguard l'ho lasciata il più semplice possibile, 10.0.5.1/24 , la sua porta d'ascolto, ignoro il dns inserito dal peer e utilizzo il mio del server, firewall impostato allo stesso livello della LAN, perchè considero sicuro il traffico (o sbaglio?) il peer e basta

Una volta fatto questo, impostato il port forwarding sul gateway per la porta in ascolto 51820 verso il server, ho aggiunto anche una route statica nel gateway verso la classe 10.0.5.1/24 della VPN, con gateway il server WRT, questa mi sembrava necessaria dato che se ho capito bene con wireguard, il client fa richiesta verso l'IP locale della VPN, alla porta in ascolto

Nel Router WRT, invece non ho messo rotte statiche, perchè ha il default gateway corretto per 0.0.0.0/0, il quale gestisce tutta la rete

Ora testando la connessione Wireguard avveniva, ma purtroppo era accessibile solo la rete della VPN 10.0.5.1/24 e l'IP del server verso la rete del gateway 192.168.x.x, mentre la suddetta rete era irraggiungibile, qui capii c'era lo zampino del firewall o comunque un problema con qualche rotta (verso il gateway)

Ci ho pensato a lungo e ho risolto, solamente lato firewall impostando un masquarading tra la LAN e la VPN, ma non capisco perchè, avendo messo le due interfaccie (foto sopra) sullo stesso piano, lato routing puro non dovrebbero poter comunicare, cos'è che mi sfugge?

Ecco la soluzione:

Nella mia configurazione c'è qualcosa di molto sbagliato, dal punto di vista della sicurezza?
Grazie per la lettura 😅

Aggiungo uno schema della rete fisica/logica

edofullo

bortolotti80 Nella mia configurazione c'è qualcosa di molto sbagliato, dal punto di vista della sicurezza?

Ma la WAN che fine ha fatto? Senza quella come ti connetti al server Wireguard? 😅

mark129

bortolotti80 Grazie per la lettura

Giusto per la lettura: https://github.com/gravitl/netmaker (magari un giorno il tuo lab avrà una vps...)

bortolotti80

edofullo
Tramite il Gateway che è nella LAN, ha senso fare WAN -> Gateway -> LAN -> WAN WRT ?

Essendo un laboratorio non voglio mettere il router WRT come Gateway, la mia intenzione è mantenerlo come router nella rete del Gateway

Aggiungo che quella configurazione mi funziona, riesco a instaurare la connessione dal telefono tramite rete mobile, raggiungo la rete e ho provato un trace verso google e vedo IP-VPN -> RETE GATEWAY -> INTERNET

Sul Gateway ho aperto la porta UDP 51820 (wireguard) verso il routerWRT nella rete locale, il traffico fa questo percorso per concludere l'handshake

edofullo

bortolotti80 Scusami se non ti risposto... mi ero perso il messaggio.

bortolotti80 Essendo un laboratorio non voglio mettere il router WRT come Gateway

Ti conviene davvero usare OpenWRT allora?

Comunque in questo caso devi fare dstnat sull'openwrt oppure mettere rotta statica sul router principale verso la subnet che usi per OpenWRT

bortolotti80

mark129
Grazie hai fatto bene, ora comincio con le basi 😅

Questo è un test in WiFi, con wireguard attivo, purtroppo la rete mobile non prende benissimo

bortolotti80

@edofullo
Ho aggiunto uno schema e forse è più capibile

Ho guardato delle spiegazioni per la iptable di OpenWRT

Ci ho pensato, al fatto del perchè fosse necessario il NAT tra LAN e VPN, se io da vpn faccio una richiesta qualsiasi avrò: Source- IP-pubblico, Destination: IP-Locale o Pubblico, il gateway che riceve un pacchetto in forwarding con Source IP-pubblico lo scarta, al contrario se mettiamo il NAT, il Source viene riscritto da OpenWRT con il suo IP nella rete Locale del Gateway, perciò non ho idea di come risolvere in modo differente

Anche in questa discussione se ho capito bene si parlava di qualcosa di simile:
[cancellato]

Lato sicurezza, il gateway accetta in ingresso solo richieste verso la porta UDP 51820, che inoltra al router OpenWRT verso destinazione 10.0.5.1 (che dovrebbe solamente creare la connessione o rifiutarla), in teoria altro non potrebbe fare, non mi viene in mente altro 🤔

Mentre il peer o client, tramite il campo allowed IP, mi permette di scegliere quale traffico far passare per la VPN se ho capito bene, 0.0.0.0/0,::0 per dirottare tutto il traffico sia IPv4 che IPv6

Aggiungo ho sperimentato con il firewall, provando a fare tutto passo passo, sono giunto alla conclusione che, avendo messo le interfaccie wireguard e lan sullo stesso piano, per openWrt possono comunicare (internamente ad esso) il problema è come poi openWrt si interfaccia alla lan, senza nat dalla vpn non si esce dal router OpenWrt

Questa è la configurazione attuale, più base che ho testato e con cui tutto funziona, non mi piace molto l'idea di Nattare verso la Lan, ora provo a ragionarci ancora

bortolotti80

edofullo Scusami se non ti risposto... mi ero perso il messaggio.

Nessun problema, non ho fretta sto pensando, provando, testando ahahah , anche perchè mi piacerebbe fare le cose bene

edofullo Ti conviene davvero usare OpenWRT allora?

Pensavo di si, perchè, mi permette di imparare meglio come funziona, inoltre, il router consuma pochi Watt, al contrario un server o un raspberry, avrebbe un costo d'acquisto o comunque un consumo di più di 100W con i pc che mi ritrovo
Perciò potrei lasciarlo acceso, connettermi con wireguard, gestire la rete locale e in caso utilizzassi un Wifi pubblico potrei navigare in sicurezza, ora ho una VPN sul router principale ma è IPsec Xauth psk ikev1

edofullo Comunque in questo caso devi fare dstnat sull'openwrt

Come ho fatto nell'ultima immagine?

edofullo oppure mettere rotta statica sul router principale verso la subnet che usi per OpenWRT

Questo mi piaceva di più ma non funziona, ho messo sul gateway la rotta verso la subnet 10.0.5.1/24 verso l'openWrt, ma senza Masquarade/Nat, non riesco a pingare nulla al di fuori della subnet, si instaura la VPN ma in pratica non ho accesso nè alla rete locale nè ad internet

bortolotti80

Nei giorni ho sperimentato e modificato, per ora ho la configurazione con il router connesso in LAN, firewall praticamente aperto input, output accettati, forward reject, ho limitato il masquerading solo ai pacchetti sorgenti nella classe Wireguard, in questo modo accedo a internet e alla rete con la VPN, ho fatto dei test e l'unico traffico permesso da internet è verso la porta d'ascolto di wireguard in UDP

Poi ho messo il redirect della porta 80 alla 443 (https) sul router, sto provando un pacchetto di statistiche che mostra le connessioni e l'hardware del router utilizzato

Ora quando avrò tempo riproverò senza Masquerading

Devo dire funziona molto bene, per ora ho provato con 2-3 peer, utilizzando telefoni + notebook

spaghi

bortolotti80
Ciao, ho letto adesso il tuo post e stavo iniziando qualche esperimento, come te, rinunciando alla wan, con mikrotik riesco senza problemi ma con openwrt in lan niente..
Potresti pubblicare la tua configurazione ? Il mio dubbio rimane sull'ip dell'interfaccia wireguard se deve essere lasciato in bianco o metterlo in un altra classa e creare una rotta.
Grazie anticipatamente

bortolotti80

spaghi
Prova a seguire questa risposta che avevo dato in un'altra discussione

https://forum.fibra.click/d/36149-vpn-casalinga/82

Nella stessa puoi ritrovare altro di utile

Ora il router openwrt che utilizzavo è spento, forse l'ho anche riportato alle impostazioni di default 😅

spaghi

bortolotti80

Grazie mille, sono riuscito a farlo andare. `
Per chi vuole fare le stesse prove non deve dimenticare d'inserire l'IP "Allowed IPs" e DNS nell'app wireguard, senza non va.
Generando il QR code non m'inserisce il valore, non so perche´
Chiaramente l'IP sull' ENDPOINT, sempre sull'app, deve essere quello pubblico del router internet aprendogli la porta 51820 UDP o altra che decidete voi.
Riguardo il Firewall basta togliere tutto e mettere solo accept sulla LAN in Masquering, senza questo non riesce ad accedere. Nel mio caso il bridge openwrt lavora su 10.3.0.0 per questo nell app wireguard ho abilitato questa classe, se avete un 192.168.1.0/24 dovete mettere questa.

bortolotti80

spaghi non deve dimenticare d'inserire l'IP "Allowed IPs" e DNS nell'app wireguard, senza non va.
Generando il QR code non m'inserisce il valore, non so perche´

Esatto, sinceramente non saprei, ma anche quando le inseriva erano sbagliate

Ottimo 👍

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile