Teknisk dokumentation för olika komponenter i AMPRNet - "HOWTOs". Bidrag välkomnas!

– Har du frågor eller önskemål? Vänligen skicka ett ebrev så återkopplar vi snarast.

Vissa artiklar i denna kategori kräver inloggning för åtkomst! – Inte medlem? Anmäl dig här

Wireguard ingår inte i image från Ubnt utan du måste ladda hem en deb-fil från https://github.com/Lochnair/vyatta-wireguard/releases och sedan ladda upp den till edgeroutern. Därefter installeras med dpkg -i wireguard.deb

Wiregard bygger på att man har en publik och en privat nyckel. Dessa skapas genom att slå följande kommandon:

cd /config/auth
wg genkey | tee wg.key | wg pubkey > wg-pub.key

 

Nedan är ett exempel på OSPF och Wireguard-konfiguration för en klient:

set interfaces wireguard wg0 address 44.140.160.19/31
set interfaces wireguard wg0 ip ospf authentication md5 key-id 1 md5-key enhemlignyckel
set interfaces wireguard wg0 ip ospf cost 1000
set interfaces wireguard wg0 ip ospf dead-interval 40
set interfaces wireguard wg0 ip ospf hello-interval 10
set interfaces wireguard wg0 ip ospf network point-to-point
set interfaces wireguard wg0 ip ospf priority 1
set interfaces wireguard wg0 ip ospf retransmit-interval 5
set interfaces wireguard wg0 ip ospf transmit-delay 1
set interfaces wireguard wg0 mtu 1420
set interfaces wireguard wg0 peer RHxDe4gQr6L1IawYZQMV749xHZMPP6JL5Vlm9eIwYx4= allowed-ips 0.0.0.0/0
set interfaces wireguard wg0 peer RHxDe4gQr6L1IawYZQMV749xHZMPP6JL5Vlm9eIwYx4= endpoint 'publit-ip-server:port'
set interfaces wireguard wg0 peer RHxDe4gQr6L1IawYZQMV749xHZMPP6JL5Vlm9eIwYx4= persistent-keepalive 15
set interfaces wireguard wg0 private-key /config/auth/wg.key
set interfaces wireguard wg0 route-allowed-ips false
set protocols ospf area 0 area-type normal
set protocols ospf area 0 authentication md5
set protocols ospf area 0 network 44.140.160.18/31
set protocols ospf area 0 network 44.140.162.160/27
set protocols ospf parameters abr-type cisco
set protocols ospf parameters router-id 10.163.2.241
set protocols ospf passive-interface default
set protocols ospf passive-interface-exclude eth0
set protocols ospf passive-interface-exclude wg0

Porten som ska anges för att nå wireguard på servern kan kontrolleras på servern genom att slå kommandot sudo wg .

Som du även ser ovan så är MTU satt till 1420 för att den tunnlade trafiken ska komma igenom då wireguard lägger till en kapsling kring varje paket. Detta innebär då också att MSS för TCP blir mindre än normalt. För att hjälpa TCP att förhandla detta så kan man låta brandväggen i edgeroutern sätta om detta i paketen:

set firewall options mss-clamp interface-type all
set firewall options mss-clamp mss 1380

Om du använder DHCP för att få IP på den vanliga Internet-anslutningen, så förenklar det att lägga till optionen att inte ta emot en default router via DHCP. Då måste då istället lägga till en rutt för IPt till publika servern som du ska tunnla mot.

set interfaces ethernet eth0 address dhcp
set interfaces ethernet eth0 dhcp-options default-route no-update
set protocols static route publikt-ip-server/32 next-hop vanliga-internet-gws-ip

 

Ungefär det samma gäller för servern, men här inkluderas även en default-route som distribureas via OSPF:

set interfaces wireguard wg1 address 44.140.160.18/31
set interfaces wireguard wg1 ip ospf authentication md5 key-id 1 md5-key enhemlignyckel
set interfaces wireguard wg1 ip ospf dead-interval 40
set interfaces wireguard wg1 ip ospf hello-interval 10
set interfaces wireguard wg1 ip ospf network point-to-point
set interfaces wireguard wg1 ip ospf priority 1
set interfaces wireguard wg1 ip ospf retransmit-interval 5
set interfaces wireguard wg1 ip ospf transmit-delay 1
set interfaces wireguard wg1 mtu 1420
set interfaces wireguard wg1 peer rgXmgcm4DewuyWik1xTXxQHFjK/9BzkBgyZPE+IR4Q4= allowed-ips 0.0.0.0/0
set interfaces wireguard wg1 peer rgXmgcm4DewuyWik1xTXxQHFjK/9BzkBgyZPE+IR4Q4= persistent-keepalive 15
set interfaces wireguard wg1 private-key /config/auth/wg.key
set interfaces wireguard wg1 route-allowed-ips false
set protocols ospf area 0 area-type normal
set protocols ospf area 0 authentication md5
set protocols ospf area 0 network 44.140.160.18/31
set protocols ospf area 0 network 44.140.160.0/28
set protocols ospf default-information originate always
set protocols ospf default-information originate metric 10
set protocols ospf default-information originate metric-type 2
set protocols ospf parameters abr-type cisco
set protocols ospf parameters router-id 10.163.2.246
set protocols ospf passive-interface default
set protocols ospf passive-interface-exclude wg0