WireguardSurSsidOpwnWRT » Historique » Version 4
Version 3 (Matthieu Herrb, 16/06/2020 22:01) → Version 4/7 (Matthieu Herrb, 16/06/2020 22:08)
h1. Wireguard Sur SSID séparé sous OpwnWRT
Configuration de Wireguard sur OpenWRT
But:
* Routeur OpenWRT configuration standard (ie wan en DHCP, NAT sur le lan)
* Ajouter un VPN Tetaneutral sur le wan
* Ajouter un 2e SSID routé dans le VPN
h2. Réalisation:
Résumé de la démarche :
# Créer la config VPN - interface wgnet Attention à ne pas router les allowed IPs.
# La mettre dans une zone firewall - wgwan
# Créer le vlan3
# Créer un SSID et le mettre dans un bridge avec le vlan3 (br-ttnn)
# Créer la zone firewall wglan
# Définir les règles firewall wglan -> wgwan (idem lan->wan)
# Via rc.local créer table de routage + règles pour router br-ttn -> wgnet
h3. configuration wireguard wgnet
Dans /etc/config/network
<pre>
config interface 'wgnet'
option proto 'wireguard'
option private_key 'REPLACE_ME'
list addresses '185.119.170.xxx'
list addresses '2a03:7220:8087:YY00::1/64'
config wireguard_wgnet
option public_key 'DsIeOCRs/5uYdi8rLiBzRNmN4zUzKCQRqY3Sbl8NS0A='
option description 'Tetaneutral'
option persistent_keepalive '25'
list allowed_ips '0.0.0.0/0'
list allowed_ips '::/0'
option endpoint_host '89.234.156.116'
option endpoint_port '51820'
</pre>
h3. zone firewall wgwan
Dans /etc/config/firewall
<pre>
config zone
option network 'wgnet'
option forward 'REJECT'
option name 'vgwan'
option output 'ACCEPT'
option input 'REJECT'
option masq '1'
</pre>
h3. création du vlan3
Dans /etc/config/network
<pre>
config switch_vlan
option device 'switch0'
option vlan '3'
option ports '0t'
option vid '3'
</pre>
h3. création d'un SSID tetaneutral.net en bridge avec le vlan3
Dans /etc/config/network
<pre>
config interface 'ttnn'
option proto 'static'
option ip6ifaceid '::1'
option ipaddr '192.168.42.1'
option type 'bridge'
option netmask '255.255.255.0'
option ifname 'eth1.3'
option ip6prefix '2a03:7220:8087:XX01::/64'
list ip6addr '2a03:7220:8087:XX1::1/64'
</pre>
Dans /etc/config/wireless
<pre>
config wifi-iface 'wifinet2'
option device 'radio0'
option mode 'ap'
option ssid 'tetaneutral.net'
option key 'Secret'
option encryption 'psk2'
option network 'ttnn'
</pre>
Configuration de Wireguard sur OpenWRT
But:
* Routeur OpenWRT configuration standard (ie wan en DHCP, NAT sur le lan)
* Ajouter un VPN Tetaneutral sur le wan
* Ajouter un 2e SSID routé dans le VPN
h2. Réalisation:
Résumé de la démarche :
# Créer la config VPN - interface wgnet Attention à ne pas router les allowed IPs.
# La mettre dans une zone firewall - wgwan
# Créer le vlan3
# Créer un SSID et le mettre dans un bridge avec le vlan3 (br-ttnn)
# Créer la zone firewall wglan
# Définir les règles firewall wglan -> wgwan (idem lan->wan)
# Via rc.local créer table de routage + règles pour router br-ttn -> wgnet
h3. configuration wireguard wgnet
Dans /etc/config/network
<pre>
config interface 'wgnet'
option proto 'wireguard'
option private_key 'REPLACE_ME'
list addresses '185.119.170.xxx'
list addresses '2a03:7220:8087:YY00::1/64'
config wireguard_wgnet
option public_key 'DsIeOCRs/5uYdi8rLiBzRNmN4zUzKCQRqY3Sbl8NS0A='
option description 'Tetaneutral'
option persistent_keepalive '25'
list allowed_ips '0.0.0.0/0'
list allowed_ips '::/0'
option endpoint_host '89.234.156.116'
option endpoint_port '51820'
</pre>
h3. zone firewall wgwan
Dans /etc/config/firewall
<pre>
config zone
option network 'wgnet'
option forward 'REJECT'
option name 'vgwan'
option output 'ACCEPT'
option input 'REJECT'
option masq '1'
</pre>
h3. création du vlan3
Dans /etc/config/network
<pre>
config switch_vlan
option device 'switch0'
option vlan '3'
option ports '0t'
option vid '3'
</pre>
h3. création d'un SSID tetaneutral.net en bridge avec le vlan3
Dans /etc/config/network
<pre>
config interface 'ttnn'
option proto 'static'
option ip6ifaceid '::1'
option ipaddr '192.168.42.1'
option type 'bridge'
option netmask '255.255.255.0'
option ifname 'eth1.3'
option ip6prefix '2a03:7220:8087:XX01::/64'
list ip6addr '2a03:7220:8087:XX1::1/64'
</pre>
Dans /etc/config/wireless
<pre>
config wifi-iface 'wifinet2'
option device 'radio0'
option mode 'ap'
option ssid 'tetaneutral.net'
option key 'Secret'
option encryption 'psk2'
option network 'ttnn'
</pre>