VPN com addon Wireguard

O addon do WireGuard permite a instalação e configuração simples de uma VPN de forma a poderem aceder à vossa rede interna a partir do exterior.

1º Instalar Addon

image

image

2º Configuração do Addon

server:
  host: omeupato.duckdns.org  #podem inserir um dyndns ou o vosso IP externo. Tenham atenção que o ip externo pode alterar.
  addresses:
    - 10.10.10.1
  dns:
    - 1.1.1.1
    - 1.0.0.1
peers:
  - name: oteunome
    addresses:
      - 10.10.10.2
    allowed_ips: []
    client_allowed_ips:  #redes internas permitidas. Podem definir uma ou mais consoante o vosso cenário.
      - 10.10.10.0/24
      - 192.168.1.0/24
log_level: info

3º Redirecionar a porta 51820 em UDP para o ip interno do HASSIO

4º Configurar o acesso pelo telemóvel com QRCODE

Este passo simplifica muito a configuração uma vez que basta ler o qrcode com o telemóvel e a VPN fica configurada. Aconselho a que não copiem este ficheiro uma vez que qualquer pessoa que o tenha fica com acesso à vossa rede

Abrem o ficheiro qrcode.png que está no vosso HASSIO dentro da pasta \ssl\wireguard\oteunome

image

Podem usar este QRCode para fazer a configuração automática da aplicação Wireguard no Telemóvel.


Depois de instalar escolhem a opção ‘Create from QRCode’

e usam o QRCode gerado anteriormente.

image

Dão um nome à ligação (por exemplo omeutunel) e está feito
De seguida clicam no botão para iniciar a ligação e se tudo correr bem o túnel é estabelecido

image

image

5º Configurar acesso vpn pelo PC

Instalar a aplicação wireguard -> https://www.wireguard.com/install/

Abrem a APP do wireguard e escolhem Importar de ficheiro

e vão selecionar o ficheiro client.conf que está na pasta \ssl\wireguard\oteunome

De seguida clicam onde diz ‘ACTIVATE’ para ligar a VPN

image

NOTA: tanto o ficheiro client.conf como o qrcode permitem acesso à vossa rede. Aconselho a que não os mantenham no computador nem no telemóvel. Depois de usarem apaguem, ou façam a importação direta a partir da pasta do …\wireguard\hassio

4 Likes

Qual a melhor maneira de utilizar no host algo sem ser o nosso ip publico, visto que pode alterar?

O mais fácil é utilizar o addons duckdns com letsencrypt.
Os clientes da meo podem configurar na página de cliente um dyndns e usar esse sem ser necessária nenhuma configuração adicional dentro da rede

Afinal consegui com o meu router da TP-Link.

Tenho outra dúvida, não consigo aceder ao meu NAS pelo nome Qnap.local, tenho de alterar alguma coisa nas configuração para o fazer?

Qnap.local está num DNS interno? Se estiver altera os DNS no perfil do wireguard de 1.1.1.1 para o teu DNS
Se for NetBIOS não sei se tens sorte
Tens sempre a.opcao de aceder pelo IP dele

No limite, e como qnap.local não é acedido do exterior, podes colocar uma entrada IP.do.qn.ap qnap.local no hosts file do pc

Muito obrigado! Funcionou com o DNS actualizado.

Ficou tudo ok! :pray:

Muito bom

só uma pequena duvida:
com este addon se eu estiver numa rede publica qualquer site que eu veja, fica encriptado ou so encripta o que estou a aceder no HA ?

@Skysurf essa pergunta revela que não percebes o conceito de VPN. Faz alguma pesquisa no Google e vê se é isso mesmo que pretendes.

Existem 2 tipos de túnel e que vão definir o que acontece.

Tunnel Mode -> Todo o tráfego é enviado para a VPN e sai pela ligação do fornecedor da VPN. Isto é o que acontece com os serviços de VPN que usamos para ter acesso a serviços estrangeiros que não estão disponíveis em Portugal ou serviços que obrigam a que todo o tráfego saia por um determinado sitio.

Split Tunnel - o tráfego é dividido de acordo com o destino. Por norma todo o tráfego é enviado para a rota com o destino 0.0.0.0 (que engloba todos os ips existentes) e é criada uma excepção para uma ou mais gamas de ips. Por exemplo se a tua rede de casa é 192.168.1.x é criada uma excepção de modo a que esse tráfego vá pela VPN chegando ao HA neste caso.

A vantagem do split-tunnel é não sobrecarregar a ligação onde está suportada a VPN. Só o tráfego essencial é que vai pela VPN e o que não tem de ir é entregue na ligação local.

Normalmente todos os servidores de VPN têm uma opção para definir o tipo de túnel desejado.

Nota: Caso exista a necessidade de aceder a mais que uma rede ‘interna’ em split tunnel isto vai obrigar a criar rotas estáticas no PC para enviar esse tráfego pela VPN. Neste caso o (Full) Tunnel resolve sem configurações extra esse ‘problema’.

1 Like

Boas segui o tutorial ele liga-se mas nao consigo navegar tanto no telemovel como no windows:

config do wiregard:

server:
  host: xxxxx.duckdns.org
  addresses:
    - 10.10.10.1
  dns:
    - 1.1.1.1
    - 1.0.0.1
peers:
  - name: skysurf
    addresses:
      - 10.10.10.2
    allowed_ips: []
    client_allowed_ips:
      - 10.10.10.0/24
      - 192.168.1.0/24
log_level: info

log:
allowed ips: 10.10.10.2/32
latest handshake: 24 seconds ago
transfer: 26.59 KiB received, 22.35 KiB sent
persistent keepalive: every 25 seconds
[00:02:58] INFO: Requesting current status from WireGuard…
interface: wg0
public key: EdfWrWWOSPP+/RPF1M9hUbY1Ihtid4FuBYOSoMabRHI=
private key: (hidden)
listening port: 51820
abri a porta do router:
windows:


no browser diz dnS_PROBE_FINISHED_NXDOMAIN

no andoid nao me apareçe os dados da sessao, duraçao etc:
Google Photos

Partindo do princípio que o teu ‘não consigo navegar’ seja que não tens net, testa o seguinte:

no PC Tecla Windows+R -> CMD (enter) -> ping 23.37.160.19 (enter) e coloca aqui o resultado

Pinging 23.37.160.19 with 32 bytes of data:
Reply from 23.37.160.19: bytes=32 time=108ms TTL=57
Reply from 23.37.160.19: bytes=32 time=26ms TTL=57
Reply from 23.37.160.19: bytes=32 time=24ms TTL=57
Reply from 23.37.160.19: bytes=32 time=50ms TTL=57

Ping statistics for 23.37.160.19:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 24ms, Maximum = 108ms, Average = 52ms

erro do browser:

Portanto NET tens. Isso pode ser problema de DNS.

Tenta pingar os DNS 1.1.1.1 e já agora tenta o 8.8.8.8 e pinga tb o DNS do teu operador

consigo pingar o 1.1.1.1 e 8.8.8.8 da google…

E consegues.pinga www.cisco.com? Ou sapo.pt

nao consigo pingar nem o sapo nem a cisco:

Ping request could not find host www.sapo.pt. Please check the name and try again.

Então o problema será mesmo resolução de nomes

qd estás ligado na vpn faz um ipconfig /all e vê quais são os dns servers que tens atribuidos

DNS Servers . . . . . . . . . . . : fe80::1%18
8.8.8.8
8.8.4.4
NetBIOS over Tcpip. . . . . . . . : Enabled

google:

Connection-specific DNS Suffix . : lan
Description . . . . . . . . . . . : Broadcom BCM43142 802.11 bgn Wi-Fi Adapter
Physical Address. . . . . . . . . : 14-2D-27-D4-37-11
DHCP Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
Link-local IPv6 Address . . . . . : fe80::84a9:a2c6:1725:4fad%18(Preferred)
IPv4 Address. . . . . . . . . . . : 192.168.1.91(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Lease Obtained. . . . . . . . . . : 18 de maio de 2020 21:26:46
Lease Expires . . . . . . . . . . : 18 de maio de 2020 22:26:47
Default Gateway . . . . . . . . . : 192.168.1.1
DHCP Server . . . . . . . . . . . : 192.168.1.1
DHCPv6 IAID . . . . . . . . . . . : 152317223
DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-22-CF-C4-79-6C-C2-17-61-06-6F
DNS Servers . . . . . . . . . . . : fe80::1%18
8.8.8.8
8.8.4.4
NetBIOS over Tcpip. . . . . . . . : Enabled


Copyright © 2017-2020. Todos os direitos reservados
CPHA.pt - info@cpha.pt


FAQ | Termos de Serviço/Regras | Política de Privacidade