Wireguard i custom router

Jag skulle nog råda dig att vänta litegrand. Jag vet inte varför, men det har både hänt att den gateway som representerar tunneln gått ned i "pending", men också att den rapporteras uppe utan att det går att skicka trafik igenom den.
Dvs, det är lite för skakigt för att jag skulle vilja köra med det. Jag har som sagt OpenVPN som alternativ och just nu är det de tunnlarna som är aktiva då jag inte vill tappa anslutning lite nu och då.

(Och, jag har inte ork att undersöka varför det plötsligt går ned).

Min gateway har rapporterats uppe under hela dygnet, men ibland verkar den inte fungera. Det är rätt intermittent. Jag förstår inte riktigt varför och är lite för dålig på felsökning på just PFSense för att se vad som är felet.

Jag har skapat en specifik regel, så att om paketen ska till en sida på internet som alltid ska vara nåbar och kommer från min andra brandvägg skickas det via Wireguard (Kan sourcepinga). Det är alltså inte så att jag gör någon ändring i förfarandet, utan jag testar på samma sätt varje gång och ibland får jag inte svar.

Jag tror att jag ska lägga in det i min smokeping-övervakning för att få statistik på det. När/om det blir stabilt så hojtar jag till i tråden...

Nja, varje gång man bootar om så måste man starta om gateway-tjänsten och det är dessutom ganska känsligt än så länge. Jag skulle rekommendera att man väntar tills det blir stabilare fortfarande.

För övrigt uppgraderade jag PFSense till 2.5, men då blev även OpenVPN instabilt. (Det är trots allt en version under utveckling). Jag fick snurra igång min PFsense i VMware och kör den parallellt med hårdvaran just för anonymitetsbiten.

Nu kör jag faktiskt två parallella PFSensebrandväggar med fungerande Wireguard mot Mullvad. (Jag har dessutom OpenVPN på båda).
Jag uppgraderade till 2.5 på min hårdvarubrandvägg och fick packet loss, vilket gjorde att jag startade min VMware-PFSense. Nu har jag en Clavister som lastbalanserare som fördelar trafik till båda brandväggarna.

Jag har också satt upp Smokeping för att se hur trafiken flyter. Det är verkligen så att wireguard har lägre latency än OpenVPN, men det är inte stor skillnad. (Bor på Söder på 0.1 respektive 0,2 ms i skillnad. Medel-latens direkt ut till ping.sunet.se = 1,4ms. Wireguard 2,8 VMware 2,9ms hårdvara. För OpenVPN 2,9 i VMware och 3,1 i hårdvara. Nu verkar Mullvads IP adresser ligga i Årsta, som är rätt nära, vilket förklarar den låga latensen.)

Det har kommit en ny release som är bättre än de tidigare, men bara för 2.4. Det återstår fortfarande att man manuellt i xml-filen måste ändra server från dynamic till den /32-ip adress man blivit tilldelad, för att det ska fungera. Det är inte enligt GUI tillåtet att sätta en fast IP adress som gateway när wireguard-interfacet inte har en statisk IP adress...

Jag hojtar till när/om det finns en release to fungerar utan att man manuellt pillrar i text-filer och är beredd att starta om tjänster vid behov... Det är en stor anledning till att jag har dubbla pfsense, för att det alltid ska vara en som fungerar.

Testade nu hastigheter.
Fick 205 Mbps via Wiregurard mot Mullvad på min VMware-brandvägg. Mot samma server och med mullvad blev det 130 Mbps via OpenVPN.
Min wireguard på den där VMware kör på 2.4.5 och går klockrent efter den enkla manuella ändringen av gateway-IP.

Däremot fungerar det inte på min hårdvarubrandvägg som har 2.5-prerelease. Den spökar. Den har jag också packet loss via OpenVPN, så den får nog leva sitt eget liv och vara testplattform tills vidare. Fick en tredje IP adress av Ownit, så jag kan labba med miljön. (Har också en Clavister som primär brandvägg, men har PFsense för Wireguard och "VPN". Min Clavister har jag tunnlar mot många andra med som jag personligen kallar VPN, medan wireguard/OpenVPN handlar om att vara anonym).

Nu tycker jag att det finns ett bra paket att ladda hem om man kör 2.4.5. Min uppkoppling har varit stabil under tre veckors tid och det fungerar riktigt bra. (Däremot fungerar inte min 2.5-installation stabilt, för WireGuard dör sporadiskt).

Är det någon som är intresserad av guidning hur man får igång Wireguard för "VPN" så kan jag kanske skriva ihop någonting. Jag kör Mullvad, men har kvar några månader på nordvpn, så jag kan nog dra igång det också för att kunna hjälpa till.

Med det senaste paketet så slipper man mycket manuellt arbete. Man måste kunna köra SSH in till enheten för att ladda upp ett par paket (sjukt enkelt), men det går att konfigurera allt i själva gränssnittet nu.

Om någon följer min guide får denne gärna komma med feedback så att den blir mer korrekt/bättre.

Jag kan också beskriva hur jag använder NAT samt regler för att skicka in valfri trafik in i tunneln. Jag valde att inte klicka i "skip rules when gateway is down", vilken kan användas för att slippa att brandväggen skickar ut trafiken okrypterat via WAN om tunneln går ned. Istället använder jag regler med en "Tag".
Jag sätter Tag till "NO_EGRESS_WAN" och skapar en floating rule för utgående via WAN-interfacet med fältet "Tagged" till "NO_EGRESS_WAN". Den regeln droppar all trafik som är taggat och som skulle skickats ut via WAN.

Sedan har jag en Clavister som lastbalanserar via länknät till mina två PFSene. De båda har i sin tur både en OpenVPN och en wireguard-tunnel. Clavistern ser det som fyra olika vägar till internet och via round robin fördelar den utgående trafik. Går exempelvis wireguard ned på en gateway, så fördelas trafiken följdaktligen på de andra tre tunnlarna.
Det är rätt overkill såklart, men om någon är intresserad så kan jag kanske göra en guide för hur man via en PFSense sätter upp redundansen. Då kan man använda en OpenVPN och en Wireguard mot en VPN-leverantör för att säkerställa att man alltid har en fungerande krypterad tunnel för anonymitet...

Jo, jag har sett det, men det fungerar alldeles utmärkt för mig. Under två månader har installationen för 2.4.5 inte gått ned en enda gång.

Har lärt mig PFSense och det fungerar utmärkt för mig. Fick lite strul med routing då den har ett för mig korkat sätt att hantera gateway i regler, men nu kör jag precis som jag vill. Det innebär att min Clavister kör Policy Based routing och route load balancing mellan mina två PFsense för lastbalansering av trafik via Mullvad.

Jag också. Är nöjd med pdsense lcj wiregusrd fungerar, men flera har ippenbarligen bytt, så kandoe är pfsense mindre bra?

Min stackars OpenBSD-kärra kroknar med Wireguard. Visserligen wireguard-go, kör bara OpenBSD 6.7. Kommer upp i något högre hastighet än OpenVPN men har andra problem som jävligt lång svarstid på hemsidor och kan inte ansluta alls till mitt onlinespel. Kan också bero på snekonf.. men tänker nog vänta med att prova igen tills 6.8.

Får återgå till OpenVPN tills vidare. Det funkar ju faktiskt rätt bra, även om jag bara får ut 200-250mbit på min gigabitlina.