Wireguard i custom router

Jag har en Clavister som hanterar den routingen och den skickar all trafik som ska köra OpenVPN/Wireguard till min PFSense. Clavistern är mycket lättare att styra routingmässigt och den kan använda sig av FQDN så länge den får se de utgående DNS-frågorna.

Men, det är givetvis inte ett svar du har väldigt mycket nytta av.

Hur ser det ut för er som kör Wireguard på OpenWRT. Vad ligger ni på för uptime mot VPN-servern? Min tappar anslutning var/varannan dag och oftast när jag belastar nätet/routern. Tänkte vad ni andra ligger på för uptime innan jag gör någon förändring här hemma.

Hmm, mycket konstigt. Har wipeat hela min router nu och installerat nytt Openwrt samt Wireguard men går likt förbannat ner varannan dag ungefär. Ska testa att köra utan VPN i några dagar om det är min ISP som skickar ner mig. Men som sagt, man vill ju gärna ha det igång.

Kör en APU2D0 från Teklager.

Så du rekommenderar att man går över till OPNSense istället för Openwrt? Mig kvittar det, vill bara ha det stabilt.

Jag kör wireguard från min brandvägg (egenbyggd server) med opnsensense, site-to-site mot 1 apu2e0 samt mot 1 apu3d4 (opnsense på båda) och dom tunnlarna är aldrig nere. Eller ja, när det inte går någon trafik så är dom ju inte uppkopplade men går alltid nå dom 2 andra siterna utan problem.

Okej, tack! Då kanske man ska testa att köra in Opnsense istället. Kör du ett uptime test mot min ISP och ser ifall det är hos dom det strular. Annars så får jag kolla på Opnsense alternativet.

Som en update på mitt problem gällande att jag enbart hade en uptime på 1-2 dagar så kommer här en lösning. Tydligen har problemet att göra med lease tiden av ISP IP-adressen kopplat med DHCP och VPN-interfacet. För er som inte får en lång upptid så rekommenderar jag er att testa skriptet som beskrivs i forumet nedanför.

https://forum.openwrt.org/t/udhcpc-chokes-on-full-load-on-wan...

Nu finns en beta för Wireguard på pfSense 2.5.1
Jag har dragit igång den och det ser ut att fungera bra...
https://github.com/theonemcdonald/pfSense-pkg-WireGuard

Jag kör den på en Teklager-hårdvara med både OpenVPN och Wireguard.

Dessutom kör jag en OpenWRT i vmWare ESXi med samma uppsättning. Dvs både OpenVPN och Wireguard.

Nu sköter min Clavister route load balancing och sådant, men annars klarar båda lösningarna att filtrera routing baserat på IP adress eller protokoll. Dvs, man man låta en PS5 och en speldator gå rakt ut på internet, men se till att resterande burkar blir krypterade.

Och, jag kör mullvad...

Passade på att köra en speedtest mot Tele2 genom att ladda hem 10GB. OpenVPN och Wireguard är båda genom Mullvad. Det som heter Internet är alltså rakt ut på internet okrypterat.

Jag har en pfSense som kör på Teklagers värsting.
Jag har en OpenWRT som körs i vmWare
Jag har en Clavister-brandvägg (E80).

pfSense nedladdningstider.
OpenVPN 2m 15s
Wireguard 1m 39s
Internet 1m 37s

OpenWRT
OpenVPN 2m 25s
Wireguard 1m 54s
Internet 1m 40s

Clavister
Internet 1m 34s

Helt klart går det riktigt fort genom Teklagers burk. Att den ändå är långsammare än Clavister beror på att Clavister fungerar som lastbalanserare och för PBR-routing. Dvs, all trafik går igenom den i mina tester.
Den nya (beta) versionen av Wireguard till pfSense ser helt enkelt ruskigt snabb ut!!!
Jag har gigabithastighet från Ownit...

Körde samma tester med 100GB nedladdning från Tele2. Nedan gäller sekunder.
pfSense OpenVPN
1139.7
OpenWRT OpenVPN
1364.9
pfSense Wireguard
1150.2
OpenWRT Wireguard
1298.9
pfSense Internet
965.7
OpenWRT Internet
972.7
Clavister Internet
974.9

Helt klart är pfSense på en rappare hårdvara, men OpenWRT känns som en än så länge lite stabilare lösning.

Gällande smokeping har jag 0.0% packet loss på allt utom båda pfSense som har 0.1% packet loss. Inte mycket, men mot ping.sunet.se borde man faktiskt inte ha packet loss. Då all VPN går mot Mullvad kan man inte skylla på operatören.

Och... Hojta till så kan jag kanske hjälpa till att få till det via OpenWRT eller pfSense. Är ingen kung på det hela, men har fått till Policy based routing med båda, så valfria enheter från insidan kan krypteras och andra gå rakt ut på internet i båda lösningarna.
Väldigt smidigt om man kör en sonarr/radarr-lösning eller bara vill hålla sig dold, samtidigt som man har enheter där man spelar och latency är av ondo...

Latency är en annan sak. Oerhört märkligt hög latency för pfSense tycker jag.
pfSense OpenVPN
2 600 us
OpenWRT OpenVPN
419 us
pfSense Wireguard
2 400 us
OpenWRT Wireguard
412 us
pfSense Internet
1 200 us
OpenWRT Internet
416 us
Clavister Internet
1 100 us

Nu är väl inte 2ms något att irritera sig på om man inte spelar på extremt hög nivå, men det är ändå anmärkningsvärt att OpenWRT på min vmWare-burk har så låg latency. Den har inte överdrivet mycket resurser, så prestandamässigt är den långsammare än pfSense. Däremot noll packet loss och lägre latency. Kanske för att den processar paketen mindre?

Sedan kan man faktiskt förundras över hur OpenWRT har lägre latency via VPN än direkt ut på internet. Jag bor på söder, så det är riktigt nära Mullvads servrar och Sunet (som jag pingar), men ändå...

Det kan såklart vara tillfälligheter. på 10GB var Wireguard snabbare.
En skillnad är att jag tidigare körde 0.0.9 och i den senare 0.1.1 på betan, men kanske är det så att det var någon yttre störning.

Kanske ska skapa ett python-script som gör typ 20 nerladdningar och plockar bort ett par av de sämsta för att räkna medel på resten. Då eliminerar man bättre yttre faktorer.

Ok, nu krånglade jag till det. Jag körde 40 samples per anslutning där det gick som i en "cirkel" för att inte en längre störning skulle drabba endast en anslutning. Sedan plockade jag bort de tio långsammaste och räknade ett genomsnitt på de övriga 30.
Jag använder wget mot tele2 och wget är inte bäst på att hantera packetförluster då den återansluter...
Då ser det ut såhär på 1GB-filen.

pfSense OpenVPN
16.28
OpenWRT OpenVPN
14.73

pfSense Wireguard
10.78
OpenWRT Wireguard
11.75

pfSense Internet
9.68
OpenWRT Internet
9.81
Clavister Internet
9.70

Rimligen är det ganska rättvist eller?

Det ser ut som att pfSense Wireguard helt enkelt är lite instabil. Har inga loggar på det, men min misstanke är att den tappar anslutnignen då och då. Därför blir min-värden väldigt låga, men om jag ska ha ett medelvärde blir det i sammanhanget högre jämfört med de andra tjänsterna. Det är på version 0.1.1 och rimligen ett tag från att bli releasad.

Det ska sägas att jag tycker att konfigurationen numera är oerhört enkel och intiutiv. Status-sidan är också omarbetad, så att Wireguard i pfSense är väldigt smidig och fungerar på samma sätt som OpenVPN. Kan man ha lite överseende med att den är något instabil (vi pratar fortfarande bara om runt 0,1% packet loss enligt min övervakning) så är det väldigt enkelt att hantera.

Bra fråga. Jag har min strömmande saker rakt ut och inte via VPN, men i OpenWRT får man med ett script för att göra motsatsen. Dvs, baserat på FDQN så routas det in i VPN, men det borde gå att göra det omvända. Varken OpenWRT eller PFSense verkar i sig hantera FQDN i regler/routing, utan scriptet används för att kartlägga IP adresser och lägga dem i grupp.

På min Clavister så kan jag routa baserat på FQDN och då den sköter all internrouting så kan jag lösa det där lätt. Förstår dock att alla inte sitter på en Clavister hemma. (Min Clavister bestämmer vart respektive IP/port/FQDN ska skickas. Skickar det över de fyra VLAN som är länk-VLAN till de fyra VPN-tunnlarna så går det krypterat). Clavistern kan sniffa all DNS och därmed göra routing/regler baserat på exempelvis *.viaplay.se.

Märkligt. I natt klockan 02:00 dog min OpenVPN-tunnel via pfSense. Jag rebootade burken nyss och då gick tunneln äntligen upp igen.

Det är faktiskt den första gången någon tunnel gått ned (och inte omedelbart återanslutit) den vecka jag verkligen monitorerat. Jag tänker att OpenVPN rimligen borde vara mer stabil då den funnits under så lång tid.

Med det sagt, så har alltså Wireguard med både OpenWRT och pfSense varit oerhört stabil. Framförallt är jag grymt imponerad av OpenWRT där modulen VPN Policy Routing är lysande.