VPN com addon Wireguard

tmarquespt · 9 Fevereiro , 2020 16:30

O addon do WireGuard permite a instalação e configuração simples de uma VPN de forma a poderem aceder à vossa rede interna a partir do exterior.

1º Instalar Addon

2º Configuração do Addon

server:
  host: omeupato.duckdns.org  #podem inserir um dyndns ou o vosso IP externo. Tenham atenção que o ip externo pode alterar.
  addresses:
    - 10.10.10.1
  dns:
    - 1.1.1.1
    - 1.0.0.1
peers:
  - name: oteunome
    addresses:
      - 10.10.10.2
    allowed_ips: []
    client_allowed_ips:  #redes internas permitidas. Podem definir uma ou mais consoante o vosso cenário.
      - 10.10.10.0/24
      - 192.168.1.0/24
log_level: info

3º Redirecionar a porta 51820 em UDP para o ip interno do HASSIO

4º Configurar o acesso pelo telemóvel com QRCODE

Este passo simplifica muito a configuração uma vez que basta ler o qrcode com o telemóvel e a VPN fica configurada. Aconselho a que não copiem este ficheiro uma vez que qualquer pessoa que o tenha fica com acesso à vossa rede

Abrem o ficheiro qrcode.png que está no vosso HASSIO dentro da pasta \ssl\wireguard\oteunome

Podem usar este QRCode para fazer a configuração automática da aplicação Wireguard no Telemóvel.

Depois de instalar escolhem a opção ‘Create from QRCode’

e usam o QRCode gerado anteriormente.

Dão um nome à ligação (por exemplo omeutunel) e está feito
De seguida clicam no botão para iniciar a ligação e se tudo correr bem o túnel é estabelecido

5º Configurar acesso vpn pelo PC

Instalar a aplicação wireguard -> https://www.wireguard.com/install/

Abrem a APP do wireguard e escolhem Importar de ficheiro

e vão selecionar o ficheiro client.conf que está na pasta \ssl\wireguard\oteunome

De seguida clicam onde diz ‘ACTIVATE’ para ligar a VPN

NOTA: tanto o ficheiro client.conf como o qrcode permitem acesso à vossa rede. Aconselho a que não os mantenham no computador nem no telemóvel. Depois de usarem apaguem, ou façam a importação direta a partir da pasta do …\wireguard\hassio

Skribble · 10 Fevereiro , 2020 19:36

Qual a melhor maneira de utilizar no host algo sem ser o nosso ip publico, visto que pode alterar?

tmarquespt · 10 Fevereiro , 2020 20:02

O mais fácil é utilizar o addons duckdns com letsencrypt.
Os clientes da meo podem configurar na página de cliente um dyndns e usar esse sem ser necessária nenhuma configuração adicional dentro da rede

Skribble · 11 Fevereiro , 2020 00:03

Afinal consegui com o meu router da TP-Link.

Tenho outra dúvida, não consigo aceder ao meu NAS pelo nome Qnap.local, tenho de alterar alguma coisa nas configuração para o fazer?

tmarquespt · 11 Fevereiro , 2020 00:17

Qnap.local está num DNS interno? Se estiver altera os DNS no perfil do wireguard de 1.1.1.1 para o teu DNS
Se for NetBIOS não sei se tens sorte
Tens sempre a.opcao de aceder pelo IP dele

No limite, e como qnap.local não é acedido do exterior, podes colocar uma entrada IP.do.qn.ap qnap.local no hosts file do pc

Skribble · 11 Fevereiro , 2020 10:36

Muito obrigado! Funcionou com o DNS actualizado.

Ficou tudo ok!

Muito bom

Skysurf · 9 Maio , 2020 23:00

só uma pequena duvida:
com este addon se eu estiver numa rede publica qualquer site que eu veja, fica encriptado ou so encripta o que estou a aceder no HA ?

j_assuncao · 10 Maio , 2020 01:06

@Skysurf essa pergunta revela que não percebes o conceito de VPN. Faz alguma pesquisa no Google e vê se é isso mesmo que pretendes.

tmarquespt · 10 Maio , 2020 08:58

Existem 2 tipos de túnel e que vão definir o que acontece.

Tunnel Mode -> Todo o tráfego é enviado para a VPN e sai pela ligação do fornecedor da VPN. Isto é o que acontece com os serviços de VPN que usamos para ter acesso a serviços estrangeiros que não estão disponíveis em Portugal ou serviços que obrigam a que todo o tráfego saia por um determinado sitio.

Split Tunnel - o tráfego é dividido de acordo com o destino. Por norma todo o tráfego é enviado para a rota com o destino 0.0.0.0 (que engloba todos os ips existentes) e é criada uma excepção para uma ou mais gamas de ips. Por exemplo se a tua rede de casa é 192.168.1.x é criada uma excepção de modo a que esse tráfego vá pela VPN chegando ao HA neste caso.

A vantagem do split-tunnel é não sobrecarregar a ligação onde está suportada a VPN. Só o tráfego essencial é que vai pela VPN e o que não tem de ir é entregue na ligação local.

Normalmente todos os servidores de VPN têm uma opção para definir o tipo de túnel desejado.

Nota: Caso exista a necessidade de aceder a mais que uma rede ‘interna’ em split tunnel isto vai obrigar a criar rotas estáticas no PC para enviar esse tráfego pela VPN. Neste caso o (Full) Tunnel resolve sem configurações extra esse ‘problema’.

Skysurf · 10 Maio , 2020 23:16

Boas segui o tutorial ele liga-se mas nao consigo navegar tanto no telemovel como no windows:

config do wiregard:

server:
  host: xxxxx.duckdns.org
  addresses:
    - 10.10.10.1
  dns:
    - 1.1.1.1
    - 1.0.0.1
peers:
  - name: skysurf
    addresses:
      - 10.10.10.2
    allowed_ips: []
    client_allowed_ips:
      - 10.10.10.0/24
      - 192.168.1.0/24
log_level: info

log:
allowed ips: 10.10.10.2/32
latest handshake: 24 seconds ago
transfer: 26.59 KiB received, 22.35 KiB sent
persistent keepalive: every 25 seconds
[00:02:58] INFO: Requesting current status from WireGuard…
interface: wg0
public key: EdfWrWWOSPP+/RPF1M9hUbY1Ihtid4FuBYOSoMabRHI=
private key: (hidden)
listening port: 51820
abri a porta do router:
windows:

no browser diz dnS_PROBE_FINISHED_NXDOMAIN

no andoid nao me apareçe os dados da sessao, duraçao etc:

tmarquespt · 17 Maio , 2020 13:40

Partindo do princípio que o teu ‘não consigo navegar’ seja que não tens net, testa o seguinte:

no PC Tecla Windows+R -> CMD (enter) -> ping 23.37.160.19 (enter) e coloca aqui o resultado

Skysurf · 17 Maio , 2020 21:44

Pinging 23.37.160.19 with 32 bytes of data:
Reply from 23.37.160.19: bytes=32 time=108ms TTL=57
Reply from 23.37.160.19: bytes=32 time=26ms TTL=57
Reply from 23.37.160.19: bytes=32 time=24ms TTL=57
Reply from 23.37.160.19: bytes=32 time=50ms TTL=57

Ping statistics for 23.37.160.19:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 24ms, Maximum = 108ms, Average = 52ms

Skysurf · 17 Maio , 2020 21:46

erro do browser:

tmarquespt · 17 Maio , 2020 22:08

Portanto NET tens. Isso pode ser problema de DNS.

Tenta pingar os DNS 1.1.1.1 e já agora tenta o 8.8.8.8 e pinga tb o DNS do teu operador

Skysurf · 17 Maio , 2020 22:36

consigo pingar o 1.1.1.1 e 8.8.8.8 da google…

tmarquespt · 17 Maio , 2020 22:48

E consegues.pinga www.cisco.com? Ou sapo.pt

Skysurf · 17 Maio , 2020 23:00

nao consigo pingar nem o sapo nem a cisco:

Ping request could not find host www.sapo.pt. Please check the name and try again.

tmarquespt · 18 Maio , 2020 03:39

Então o problema será mesmo resolução de nomes

tmarquespt · 18 Maio , 2020 07:55

qd estás ligado na vpn faz um ipconfig /all e vê quais são os dns servers que tens atribuidos

Skysurf · 18 Maio , 2020 20:32

DNS Servers . . . . . . . . . . . : fe80::1%18
8.8.8.8
8.8.4.4
NetBIOS over Tcpip. . . . . . . . : Enabled

google:

Connection-specific DNS Suffix . : lan
Description . . . . . . . . . . . : Broadcom BCM43142 802.11 bgn Wi-Fi Adapter
Physical Address. . . . . . . . . : 14-2D-27-D4-37-11
DHCP Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
Link-local IPv6 Address . . . . . : fe80::84a9:a2c6:1725:4fad%18(Preferred)
IPv4 Address. . . . . . . . . . . : 192.168.1.91(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Lease Obtained. . . . . . . . . . : 18 de maio de 2020 21:26:46
Lease Expires . . . . . . . . . . : 18 de maio de 2020 22:26:47
Default Gateway . . . . . . . . . : 192.168.1.1
DHCP Server . . . . . . . . . . . : 192.168.1.1
DHCPv6 IAID . . . . . . . . . . . : 152317223
DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-22-CF-C4-79-6C-C2-17-61-06-6F
DNS Servers . . . . . . . . . . . : fe80::1%18
8.8.8.8
8.8.4.4
NetBIOS over Tcpip. . . . . . . . : Enabled