Wireguard i custom router

wireguard

Jag bytte från pfsense till opnsense. Nu har jag wireguard 0.3

Men lyckas inte få igång tunneln. Får kolla med supporten på azire.

Senast redigerat 2018-09-04 22:10

Dags att bumpa detta lite. Drog precis in OpenWRT via en USB sticka och har nu konfat upp WireGuard mot AzireVPN och jäklar vad det går jämfört med OpenVPN. Jag verkar maxa ut mitt bredband (600/50) med ensiffrig ping som det ser ut just nu och det är väl svårt att begära så mycket mer än så. Sett till att fredag och lördag kvällar/nätter tenderar att vara då bandbredden dippar som mest hos olika VPN leverantörer så är det väl bara lägga skumpan på kylning och så om det håller i sig....

Sett till att det var några år sedan jag konfade OpenWRT senast...nån som kan rekommendera några bra onlinebaserade tester av att brandvägg osv ser ut att göra sitt jobb? ShieldsAreUp är väl klassikern men gärna några andra. OpenWRT är ju klart fattigare än pfSense/OpenSense men samtidigt var det inte direkt så att jag använde mer än typ 5% av all funktionalitet tidigare heller för mitt hemmanätverk. Typ igång med tunneln och så in med all trafik till WAN via den.

Edit:

Detta behöver förstås testas lite över tid för att se hur det håller upp, återkommer med uppdateringar.

Senast redigerat 2019-01-27 00:32

Nu verkar de jobba på att man ska kunna få en publik adress och portforwarding till wg hos azire. Men vill ha det till pfsense 😎😎

Skickades från m.sweclockers.com

Skrivet av soujiro:

Nu verkar de jobba på att man ska kunna få en publik adress och portforwarding till wg hos azire. Men vill ha det till pfsense 😎😎

Skickades från m.sweclockers.com

Ja, OpenWRT är rätt "fattigt" och svårarbetat tycker jag när man vill göra något mer avancerat. WG har dock fungerat utmärkt på det men tex att lägga upp regler för att gå runt geo block var en mardröm.

Njau... det är MYCKET viktigt att man vet att Wireguard inte är en stabilt och det gör att alla mjukvarutvecklare av routermjukvara är mycket försiktiga.

Wireguard, senaste utvecklingsversionen för Vyatta-Edgeroter fick hastigt dras in pga helt eller delvist brickade routrar, man har hållt på en längre tid med att fösöka hitta felet i koden.

https://github.com/Lochnair/vyatta-wireguard/releases

Sen är just geoblockeringar skälet att jag vill ha en VPN och då en egen så slipper man allt trams om man är utomlands med att se sådant jag betalar för hemma. (har jag inte hittat någon bra lösning för, Open VPN funkar klockrent)

@plunn: Det är just därför man kör OpenWRT för WireGuard, det är trist och tråkigt men verkar vara den absolut stabilaste implementationen av Wireguard i dagsläget (för routerbruk). Har varit klippstabilt hos mig, bättre så än OpenVPN och med väldigt mycket bättre prestanda.

@improwise: Jo men den viktiga poängen är att det är lika instabilt för OpenWRT som för Ubiquiti och därför är det inget som kan tas med i stabila routerversioner.

Sen är det lite konstigt att man inte får till en stabil version "upstream"?

https://www.wireguard.com/#work-in-progress

Jag är för lat för att kolla hur OpenWRT behandlat det här, om deras ordinarie utvecklare tar i koden eller det ligger som ett sidoprojekt?

Kör själv hursomhelst den föregående Vyatta/Ubiquitiversionen och den funkar utmärkt men blir inte klok på hur man får IP-adressen som jag har hemma (dvs har inget behov av en anon eftersom de också alltmer blockas bort), enbart för att gå runt geoblockeringar om jag är utomlands, tex för att se C-More som jag betalar för.

@plunn: Nej, poängen är att det är stabilt för OpenWRT, vilket jag vet eftersom jag kör det, vilket du inte verkar göra Dock inget jag skulle köra hos en kund eller något då av flera olika skäl utan enbart privat. Har lite svårt att se hur man skulle kunna bricka en hel router med en felaktiv WG implementation, då är det nog något mer man klantat till än bara så.

Kan tipsa om att CMore numera infört VPN-block sen några veckor tillbaka på samma sätt som Netflix etc.

NordLynx: NordVPN Builds New Tech Around WireGuard
https://www.phoronix.com/scan.php?page=news_item&px=NordLynx-...

Har kört Wireguard via OpenWRT på en ASUS ac87u ett tag och är nöjd med stabilitet osv.
Har dock uppgraderat mitt internet till 1000/1000 och märker att CPU:n i routern inte klarar av att leverera högre hastigheter än cirka 200/200.

Vill gärna köra via routern så alla enheter i nätverket är "skyddade".

Nu till frågan, vad har jag för alternativ för att kunna maximera min lina? Byta router eller köra en virtuell variant? Sitter på en Microserver gen8 med en E3 1230 V2 3,3GHz och 8GB RAM.

Hur gör ni? Är ingen mästare på detta, men kan läsa mig till det mesta!

Tacksam för svar!

En liten ping går ut till: @plunn @improwise @CyberNerd

Skrivet av 695mb:

Har kört Wireguard via OpenWRT på en ASUS ac87u ett tag och är nöjd med stabilitet osv.
Har dock uppgraderat mitt internet till 1000/1000 och märker att CPU:n i routern inte klarar av att leverera högre hastigheter än cirka 200/200.

Vill gärna köra via routern så alla enheter i nätverket är "skyddade".

Nu till frågan, vad har jag för alternativ för att kunna maximera min lina? Byta router eller köra en virtuell variant? Sitter på en Microserver gen8 med en E3 1230 V2 3,3GHz och 8GB RAM.

Hur gör ni? Är ingen mästare på detta, men kan läsa mig till det mesta!

Tacksam för svar!

En liten ping går ut till: @plunn @improwise @CyberNerd

Jag skaffade en router med en i7a (förmodligen rejält overkill) från @TekLager och med den maxar jag ut mitt 600 Mbit/s internet via WG VPN utan problem.

Skrivet av improwise:

Jag skaffade en router med en i7a (förmodligen rejält overkill) från @TekLager och med den maxar jag ut mitt 600 Mbit/s internet via WG VPN utan problem.

Jisses! Coolt, kikade lite på hemsidan och de verkar sjukt nice.
Vad kör du för OS ?

Skickades från m.sweclockers.com

Skrivet av 695mb:

Jisses! Coolt, kikade lite på hemsidan och de verkar sjukt nice.
Vad kör du för OS ?

Skickades från m.sweclockers.com

OpenWRT iom att det är det enda OS som har stöd för WireGuard (iaf senast jag kollade). @TekLager finns här som användare också, dock lite si och så med svenskan

Skrivet av improwise:

OpenWRT iom att det är det enda OS som har stöd för WireGuard (iaf senast jag kollade). @TekLager finns här som användare också, dock lite si och så med svenskan

@695mb My Swedish is still far from great, so I'll answer in English. Hope that's OK!

OpenWRT works well with WireGuard as @improwise says. I believe OPNSense added WireGuard support in the latest "Development" version. I know it's there, but I haven't tested how well it works.

On APU2 you will get about 600Mbit+ on Wireguard (only about 140 Mbit/s on OpenVPN )
On TLSense routers you will get full Gigabit on WireGuard (and about 600-900Mbit/s on OpenVPN).

Let me know if you have any more questions!

Skrivet av teklager:

@695mb My Swedish is still far from great, so I'll answer in English. Hope that's OK!

OpenWRT works well with WireGuard as @improwise says. I believe OPNSense added WireGuard support in the latest "Development" version. I know it's there, but I haven't tested how well it works.

On APU2 you will get about 600Mbit+ on Wireguard (only about 140 Mbit/s on OpenVPN )
On TLSense routers you will get full Gigabit on WireGuard (and about 600-900Mbit/s on OpenVPN).

Let me know if you have any more questions!

That's OK for sure!

OpenWRT is great I think. Do you think the Wireguard speeds will be better and better on the APU2 when the development continues?
The APU2 would be nice to have, the other ones aswell of course! I'll look more into it, and maybe make an order in the future.

Thanks for the reply!

Cheers!

@695mb: It looks like Mullvad published a short tutorial on how to set up OpenWRT with WireGuard https://mullvad.net/en/guides/running-wireguard-router/

I think APU2 with a new BIOS version can do a little more than 600Mbit/s with WireGuard. The new BIOS enabled CPU boost to 1.4Ghz (from 1.0Ghz). I haven't tested this myself yet, so take this with a grain of salt

@teklager: AzireVPN har en också. Det ser lite mer kompicerat ut än vad det i praktiken är (iaf för någon som ens kommer på tanken att sätta upp en egen router dvs ).

https://www.azirevpn.com/support/guides/router/openwrt/wiregu...

För den som har en setup likt min och normal kör allt via VPN tunneln men som ändå inte vill göra det för viss trafik(t.ex. streamingttjänster med VPN/GEO block) så kan jag rekommendera paketet vpn-policy-routing. Inte helt intuitivt kanske alltid men upplever att det blivit något stabilare i senaste releaserna. Finns ett GUI också som man kan ladda på som gör det hela lite smidigare att arbeta med för den som mig inte har koll på OpenWRTs CLI.

@695mb: Kommer du uppdatera ditt användarnamn beroende på vilken hastighet du får ut?

Skrivet av improwise:

@695mb: Kommer du uppdatera ditt användarnamn beroende på vilken hastighet du får ut?

Ha-ha!

Ja, högst troligt!
100000GBIT/TERAFLOPPYS/MEGABYTIS/PETADROPS!

Skrivet av improwise:

Dags att bumpa detta lite. Drog precis in OpenWRT via en USB sticka och har nu konfat upp WireGuard mot AzireVPN och jäklar vad det går jämfört med OpenVPN. Jag verkar maxa ut mitt bredband (600/50) med ensiffrig ping som det ser ut just nu och det är väl svårt att begära så mycket mer än så. Sett till att fredag och lördag kvällar/nätter tenderar att vara då bandbredden dippar som mest hos olika VPN leverantörer så är det väl bara lägga skumpan på kylning och så om det håller i sig....

Sett till att det var några år sedan jag konfade OpenWRT senast...nån som kan rekommendera några bra onlinebaserade tester av att brandvägg osv ser ut att göra sitt jobb? ShieldsAreUp är väl klassikern men gärna några andra. OpenWRT är ju klart fattigare än pfSense/OpenSense men samtidigt var det inte direkt så att jag använde mer än typ 5% av all funktionalitet tidigare heller för mitt hemmanätverk. Typ igång med tunneln och så in med all trafik till WAN via den.

Edit:

Detta behöver förstås testas lite över tid för att se hur det håller upp, återkommer med uppdateringar.

När du säger att du "verkar maxa ut min lina med 600/50", är det en överdrift eller är det en fart du får stabilt?
Har själv 600/200 och med windowsklienten får jag 600 på en väldigt bra dag i nån random test men det är 4-500 mestadels, med mullvad dock

Skrivet av box4mm:

När du säger att du "verkar maxa ut min lina med 600/50", är det en överdrift eller är det en fart du får stabilt?
Har själv 600/200 och med windowsklienten får jag 600 på en väldigt bra dag i nån random test men det är 4-500 mestadels, med mullvad dock

Det är ju många faktorer som påverkar totalen, men sett till vad jag får för hastighet och belastningen på routern så ser jag ingen anledning till att den i sig inte skulle klara av att routa den trafiken med WG.

Skrivet av improwise:

@teklager: AzireVPN har en också. Det ser lite mer kompicerat ut än vad det i praktiken är (iaf för någon som ens kommer på tanken att sätta upp en egen router dvs ).

https://www.azirevpn.com/support/guides/router/openwrt/wiregu...

För den som har en setup likt min och normal kör allt via VPN tunneln men som ändå inte vill göra det för viss trafik(t.ex. streamingttjänster med VPN/GEO block) så kan jag rekommendera paketet vpn-policy-routing. Inte helt intuitivt kanske alltid men upplever att det blivit något stabilare i senaste releaserna. Finns ett GUI också som man kan ladda på som gör det hela lite smidigare att arbeta med för den som mig inte har koll på OpenWRTs CLI.

Menar du att man kan routra en viss enhet att gå utanför tunneln eller en viss IP-range?

Skrivet av Tinkerbeard:

Menar du att man kan routra en viss enhet att gå utanför tunneln eller en viss IP-range?

Exakt så, man kan konfigurera lite olika, jag använder det i de fall jag behöver visa min riktiga IP adress för andra sidan.

Skrivet av improwise:

Exakt så, man kan konfigurera lite olika, jag använder det i de fall jag behöver visa min riktiga IP adress för andra sidan.

Så det är ingen match att konfigurera så att Cmore går utanför tunneln? Isåfall blir det ett köp. Det är just där min fallgrop står och väger.

Skickades från m.sweclockers.com

Skrivet av Tinkerbeard:

Så det är ingen match att konfigurera så att Cmore går utanför tunneln? Isåfall blir det ett köp. Det är just där min fallgrop står och väger.

Skickades från m.sweclockers.com

Det beror nog på användarens kunskaper främst, OpenWRT är kanske inte den mest pedagogiska mjukvaran som skapats

Dock undrar jag om det behövs längre så länge man har en IP från EU, har för mig att det kom något direktiv om att det var konkurenshämmande eller nåt.

Skrivet av improwise:

Det beror nog på användarens kunskaper främst, OpenWRT är kanske inte den mest pedagogiska mjukvaran som skapats

Dock undrar jag om det behövs längre så länge man har en IP från EU, har för mig att det kom något direktiv om att det var konkurenshämmande eller nåt.

Ser nu att man kan kolla på TV4 Play / Cmore via alla svenska servrar hos Mullvad. Blir en beställning av en router! Tekniknördig som man är

Skrivet av Tinkerbeard:

Ser nu att man kan kolla på TV4 Play / Cmore via alla svenska servrar hos Mullvad. Blir en beställning av en router! Tekniknördig som man är

Testade stänga av min routing för CMore utanför VPN tunneln (så trafiken går via VPN) och numer verkar det fungera, det gjorde det inte i början när CMore införde geolock.

@Teklager (Pawel) finns här på forumet för övrigt och är riktigt trevlig, även om tidspassningen kanske var lite så där när vi skulle ses för överlämning av min router

(Routern fungerar för övrigt utmärkt...och för att inte låta som en säljare så finns det så klart andra leverantörer och tillverkare som också gör bra custom routers).

Skrivet av teklager:

@695mb My Swedish is still far from great, so I'll answer in English. Hope that's OK!

OpenWRT works well with WireGuard as @improwise says. I believe OPNSense added WireGuard support in the latest "Development" version. I know it's there, but I haven't tested how well it works.

On APU2 you will get about 600Mbit+ on Wireguard (only about 140 Mbit/s on OpenVPN )
On TLSense routers you will get full Gigabit on WireGuard (and about 600-900Mbit/s on OpenVPN).

Let me know if you have any more questions!

Were those tests done on Linux or BSD? Performance will be a lot lower on BSD since it runs in userspace instead of kernel.

Skrivet av tudz:

Were those tests done on Linux or BSD? Performance will be a lot lower on BSD since it runs in userspace instead of kernel.

Jag kör OpenWRT 18 (som är baserat på Linux om jag minns rätt) och toppar ut mitt underliggande bredband på 600 Mbit/s via WireGuard utan problem. Sen är det så klart många faktorer som påverkar faktiskt prestanda men om man förenklare det hela lite.

Skrivet av tudz:

Were those tests done on Linux or BSD? Performance will be a lot lower on BSD since it runs in userspace instead of kernel.

The's a little section about Wireguard performance on APU2 at the end of this article: https://teklager.se/en/knowledge-base/apu2-vpn-performance/

I ran this test on Linux. I have not tried on BSD yet. I also think that the performance will be lower, but I'm not sure by how much.