Wireguard

Od pewnego czasu na mojej stronie poruszam tematykę związaną z OpenWrt. Jednym z głównych obszarów zainteresowań moich czytelników była implementacja WireGuard, dodawanie tunelu Cloudflare WARP oraz zarządzanie wieloma łączami internetowymi na jednym routerze.

Do tej pory nie opisałem jednak, jak warunkowo kierować ruchem w sytuacji, gdy dysponujemy dwoma łączami lub gdy do pojedynczego połączenia fizycznego dodaliśmy połączenie wirtualne (takie jak VPN).

Choć do przekierowania ruchu można wykorzystać reguły zapory ogniowej (firewalla), ich wdrożenie nie zawsze jest proste i intuicyjne. W związku z tym zacząłem szukać alternatywnego rozwiązania.

Zależało mi szczególnie na możliwości szybkiego skonfigurowania routera tak, aby w razie potrzeby kierował ruch z konkretnego urządzenia bezpośrednio przez tunel VPN. Aby to ułatwić, przyjrzałem się pakietowi PBR (Policy-Based Routing).

Ostatnio miałem problem z mwan3, pakietem na routerach OpenWrt, który został zaprojektowany do zarządzania wieloma połączeniami internetowymi, albo do równoważenia obciążenia, albo do przełączania awaryjnego.

W pracy mamy dwa łącza światłowodowe, z których główne jest używane jako podstawowe, a drugie jest online, ale aktywowane tylko wtedy, gdy pierwsze przestanie działać – typowe podejście do przełączania awaryjnego (failover).

Pierwsze połączenie (nazwijmy je fibre) jest z metryką 10, podczas gdy drugie połączenie (fibre2) jest z metryką 20.

Dla osób zajmujących się technologią, pierwsze połączenie jest bezsporne (uncontended) ze statycznym adresem IP, podczas gdy nasze zapasowe połączenie jest sporne (contended) przez PPPoE.

Moją główną polityką w mwan3 jest fibre_fibre2.

Polityka fibre_fibre2 zawiera członka fibre_m1_w3 (Metryka 1, Waga 3) i fibre2_m2_w2 (Metryka 2, Waga 2).

Gdy fibre nie działa, fibre2 przejmuje kontrolę i cały ruch przepływa płynnie, prawie.

Jeżeli śledzisz moją stronę i wpisy związane z OpenWrt to zapewne napotkałeś się na mój wpis odnośnie instalacji serwera VPN na routerze z OpenWrt z użyciem WireGuard.

WireGuard jest jednym z najszybszych dostępnych protokołów służących stworzeniu połączenia VPN. Dzięki niemu, z poziomu Internetu, możemy bez problemu połączyć się z naszą siecią i używać jej, albo do celów lokalnych (dostęp do drukarki lub dysku sieciowego) lub w celu ograniczeń restrykcji regionalnych. Będąc poza krajem, mogę w każdej chwili połączyć się z moim routerem i moje urządzenie wyglądać będzie w Internecie tak, jakby znajdowało się tam, gdzie jest router, czyli w Wielkiej Brytanii.

Cloudflare słynie z tego, że jest drugim Google i udostępnia nam wysokiej jakości usługi, z czego dużą ich część można używać za darmo bez żadnych kompromisów. Na szczęście, w przeciwieństwie do Google, nie uśmierca tak ochoczo swoich usług.

Od zarządzania domenami, poprzez certyfikat SSL dla twojej strony www, bezpieczny i szybki DNS, poprzez turbodoładowanie połączenia internetowego z WARP (lub WARP+ dla tych, którzy chcą więcej).

Jeśli masz router z OpenWrt, prawdopodobnie nie raz zastanawiałeś się, jak skonfigurować na nim serwer VPN, aby móc łączyć się z siecią spoza domu lub biura i mieć dostęp do lokalnych danych, takich jak dysk sieciowy czy drukarka.