Wireguard i custom router

pfSense verkar ha ett sätt att lösa det på. Vet inte hur URLerna ser ut för streamingtjänsterna.
https://docs.netgate.com/pfsense/en/latest/firewall/aliases.h...

Tyvärr ser det inte riktigt ut att fungera något vidare:/

Har satt upp gateway för både Wireguard och för OpenVPN. Sedan använder jag dessa för routing.

Sedan fick jag jobba med TAGS och TAGGED, för att inte trafik via wireguard ska kunna göra en "fallback" till att gå ut via WAN. Detta för att med den inställning jag har i PFSense fungerar det så. (Det finns lite andra settings i hur den ska hantera regler när gateway inte räknas som online).

Jo, PBR fungerar för IP adresser, protokoll och då förmodligen domäner också.

I korthet.
Man konfigurerar en gateway för VPNet. På OpenVPN blir det automatiskt rätt gateway, men i Wireguard sätter du samma gateway som det IP du fått av leverantören (som Mullvad).

Sedan skapar du en regel för "source interfacet" som filtrerar på source, destination, protocol, ports osv.
Klicka på "Display advanced". Där väljer du "Gateway" för den regeln. Dvs, om trafiken ska till vissa FQDNs så kan du alltså tvinga dem över den gateway (och därmed interface/VPN) som du vill att den ska gå via.

Under system->advanced->miscllaneous finns en lurig inställning som heter "skip rules when gateway is down". Har man den ikryssad så hoppar man över regeln om gateway är nere. I vissa fall bra då man vill ha redundans, men i andra fall bedrövligt då man kan gå rakt ut utan anonymisering.

Själv lägger jag istället in "NO_WAN_EGRESS" som Tag. Det är egentligen ett fritextfält. Sedan skapar jag en floating rule som säger att om utgående interface är WAN och "NO_WAN_EGRESS" är satt så kastas paketet genom att fältet "Tagged" kollas mot NO_WAN_EGRESS. Jag vill att trafiken BARA ska gå den väg jag vill, inte att det ska finnas en fallback som innebär att det skickas via default gateway om wireguard är nere.

Gällande DNS/FQDN är det via alias, men man kan inte sortera på *.netflix.com som man skulle vilja.
Subnets rent IP-mässigt går däremot bra.

Ska man köra med FQDN, så tänk på att dator/klient och brandvägg måste ha samma DNS-servrar. Annars kan många siter som exempelvis Microsofts bli fel, för de svarar med flera IPen lite beroende på vars man frågar ifrån.

Tycker OVPN känns lite shaky överlag med WG, ska nog testa dra in en pfSense installation nu när dom väl fått lite ordning på 2.5.0 releasen förhoppningsvis som ju var katastrofal initialt. Är väl samma kodbas men har fått för mig att pfSense har lite annan implementation av just WG.

Det finns ett repo med i mina ögon väldigt bra stöd. lägger in en guide inorgon.

Det man lade in var helt värdelöst. Det fanns tydligen buggar som inte alls borde ha funnits där. Jag tror att pressen blev för stor, så man tog i det där även om det inte var riktigt kvalitetstestat.

Den här däremot: https://github.com/theonemcdonald/pfSense-pkg-WireGuard/relea...
Det verkar vara en stabilare och bättre implementation. Menyalternativen, statusrapporteringen och annat känns mycket mer genomtänkta än den - felaktigt - officiellt släppta.

Nåja, det fungerar väl med OpenVPN också.

Verkade väl som att personen hos Netgate/Pfsense som gjorde implementationen av Wireguard i FreeBSD var en rejält knepig figur, samt att de förlitade sig mer på FreeBSDs kodgranskningsprocess som kvalitetssäkring än vad den processen kunde hantera.
De fick vad jag förstår viss feedback på problem som behövde åtgärdas och efter att de hade åtgärdat dessa tog FreeBSD in koden. Därefter släppte Netgate en Pfsense-version som innehöll denna Wireguard-implementation.

Först senare började Wireguard-folket nysta i djupare problem i den kod som redan tagits in i FreeBSD och det drogs då i nödbromsen vad gäller släppet av FreeBSD 13, där man ryckte ut Wireguard helt.
Där någonstans blev det dessutom rejält dålig stämning och allmän pajkastning när Wireguard-folket inte hade inkluderat Netgate i kommunikationen kring problemen och Netgate då blev tagna på sängen när Wireguard+FreeBSD publikt kommunicerade att det fanns allvarliga problem i Wireguard-implementationen i FreeBSD och att den därför uteblir ur den kommande FreeBSD-versionen. Detta var ju samma kod som redan fanns ute i Pfsense 2.5.0 (vilken senare drogs tillbaka i 2.5.1).

Vad detta tredjepartspaket innehåller verkar vara en vidareutvecklad version av användargränssnittet som Netgate ursprungligen byggde för 2.5.0 + en modul till FreeBSD-kärnan med Wireguard-stöd (vilket på pappret då låter som en direkt motsvarighet till vad Netgate själva inkluderade i Pfsense från början).
Den avsevärda skillnaden är väl att kernelmodulen är baserad den nya versionen som Wireguard-folket jobbar på för FreeBSD (som kanske då inkluderas officiellt i en framtida FreeBSD-version).

Beskrivningen (från https://www.freshports.org/net/wireguard-kmod/ ) är ju dock rätt tydlig med att detta fortfarande inte ska ses som en färdig version:

"Kernel module for FreeBSD to support Wireguard.

At this time this code is new, unvetted, possibly buggy, and should be
considered "experimental". It might contain security issues. We gladly
welcome your testing and bug reports, but do keep in mind that this code
is new, so some caution should be exercised at the moment for using it
in mission critical environments.

WWW: https://git.zx2c4.com/wireguard-freebsd/ "

Alternativ menar du?
Ja, det är lite knepigt. Personligen kör jag Pfsense trots allt; gillar principiellt Opnsense bättre men utifrån mina preferenser upplever jag gränssnittet som tydligt sämre, tyvärr. Och ingen av dessa *sense har något vettigt CLI, vilken är vad som allra främst får mig att fortsätta att snegla åt andra håll.

VyOS känns intressant att titta närmare på, har dock inte själv hoppat på det tåget på riktigt så jag kan inte säga så mycket mer än att jag tycker det ser intressant ut.
Det är en fortsättning på Vyatta-projektet, så om man t.ex. är bekant med CLI-delen av mjukvaran i Ubiquitis Edgerouter-serie så har ju detta samma grund.

Jag kör gratisversionen av pfSense och sedan OpenWRT för WG/OpenVPN. Då jag har Clavister för wildcard-routing själv så har jag inte lagt väldigt mycket tid på det, men däremot har jag haft tanken att kunna hjälpa polare med en lösnig där en eller ett par burkar går ut krypterat medan speldator och PS4 går direkt ut på internet. Därför känns det aktuellt för mig att leka lite.
(Alltså source routing är viktigt för mig, men däremot inte baserat på destination/FQDNs för det löser jag på annat sätt).

Jag är rätt nyfiken av mig och om någon har ett annat/bättre förslag på routermjukvara så kan jag dra igång någonting i vmWare och testa. Jag kan även testa throughput, latency och packetloss på ett hyggligt sätt.

Sätter inte upp lika mycket VPN för kunde längre, men det är IKEv2 som gäller numera. Både för klient VPN och för LAN2LAN.
WG och OpenVPN känns mer för anonymisering än för företagslösningar. Dessutom har många kommersiella brandväggar IPSec-acceleringskort, så jag kan via min Clavister köra 1Gbps IPSec-krypterat.
Dock får jag inte röra min dator eller jobbets egna brandvägg sjukt nog:)

Det känns som en ren routerprogramvara och jag hittar inget stöd för wifi eller för att stoppa in det i konsumentbredbandsroutrar. Sedan hittade jag ingen dokumentation av WireGuard heller.

Har därmed ingen direkt nytta av den, men jag kan övertygas om att testa "bara för att".

Fundera på en https://www.aliexpress.com/item/1005002592374240.html?spm=a2g...

10th gen i5.

lång leveranstid dock.

Något annat förslag på strömsnål i5 för openwrt/pfsense/opensense.
wirteguard/openvpn. ska gärna klara runt 1gb.
?

Behöver egentligen bara en vpnrouter som fungerar som edgerouter.