WireGuard-Tunnel zu FunkFeuer: Unterschied zwischen den Versionen

Aus FunkFeuer Wiki
Zur Navigation springen Zur Suche springen
(PoC)
Zeile 2: Zeile 2:
|name=WireGuard Tunnel für Nodes
|name=WireGuard Tunnel für Nodes
|startdate=2021/01/05
|startdate=2021/01/05
|state=Testing
|state=Proof of Concept
|desc=
|desc=
}}
}}
Zeile 23: Zeile 23:
* Tunnel ist stateless
* Tunnel ist stateless
* Software deutlich kleiner als OpenVPN
* Software deutlich kleiner als OpenVPN
* Konfig sehr einfach
* Konfig einfach - am Server komplett aus einer DB zu bauen.
* NAT Traversal, NO Client PortForwarding
* NAT Traversal, NO Client PortForwarding
=== MeshMesh ===
* Knoten könnten auch via Web sich vermeshen --> Redundanz


== Nachteile ==
== Nachteile ==


* für OLSRv1 muss eine Layer2-Tunneltechnik durch den Tunnel gebaut werden, da WireGuard nur Layer3 macht
* für OLSR muss eine Tunneltechnik durch den Tunnel gebaut werden, da WireGuard mit dem KEY/IP Routing sonst Probleme macht.


== Link-Sammlung ==
== Link-Sammlung ==
Zeile 39: Zeile 35:
* MTU Calc - https://baturin.org/tools/encapcalc/
* MTU Calc - https://baturin.org/tools/encapcalc/
* OLSR Debian - https://repos.freiesnetz.at/
* OLSR Debian - https://repos.freiesnetz.at/
= Variante 1 - WG mit VXLAN =
== Info ==
Remote Node kann via Wireguard verbinden und via SiteLocal ipv6 fd00 Adresse ein VXLAN aufbauen, dieses steckt in der bridge auf der OLSR läuft.
(SiteLocal könnte mit echter 0xFF IPv6 ersetzt werden, mir fällt jedoch kein Nutzen ein - atadxart)
* Wireguard Verbindung Node Public Key --> im Frontend hinterlegbar.
* SiteLocal IPv6 lässt sich zb aus NODE ID und Device ID aus dem Frontend errechnen.
* Wireguard ist zur Laufzeit konfigurierbar ohne laufende Tunnel zu stören.
* VXLAN ebenfalls zur Laufzeit konfigurierbar.
* IPv4 Sparsamkeit da nur eine IPv4 für alle Remote Nodes nötig
* Der IPv?/UDP-Wireguard/IPv6-VXLAN/IPv4 Stack ist recht dick doch da Wireguard multithread fähig ist darf mehr Durchsatz erwartet werden.
(ggü OpenVPN)
* Security - Daten Verschlüsselung, und durch Public/Private Key ist auch eine Authentifizierung gegenseitig gegeben.
--> Automatisierung somit vollständig möglich ohne Admin Eingriff am Tunnel-Server
=== TODO ===
Getestet ist es noch nicht, grundsätzlich müsste ein redundantes Tunnelserver Setup machbar sein.
atadxart - (werde ich noch nachliefern)


=== Netzaufbau ===
=== Netzaufbau ===
<pre>
<pre>
 
       #-[WG/GRE/OLSR]---<Tunnelserver> ----------OLSR-------<Node1>
 
      |                  |                                    |
       #------------<Tunnelserver> ----------OLSR---------- <Node1>
  [OpenWRT Client]       |                                    |
[WG/VXLAN/OLSR]         |                                    |
       |                 [WG/GRE/OLSR]                         |
       |             [WG/VXLAN/OLSR]                           |
      |                  |                                    |
  [Mikrotik]            |                                    |
      #-[WG/GRE/OLSR]---<Remote Node>-----------OLSR----------#
                      <Remote Node> -----------OLSR----------#
</pre>
 
=== MTU ===
Ausgehend von 1500 nutzbarer MTU
 
(PPPoE da leider oft bei den DSL Verbindungen nötig)
 
https://baturin.org/tools/encapcalc/?protocols=PPPoE,IPv4,WireGuard,IPv6,VXLAN,Ethernet
 
20 bytes bleiben da über aber es könnte ja IPv6 native vorm Wireguard sein dann kommt es auf
 
https://baturin.org/tools/encapcalc/?protocols=PPPoE,IPv6,WireGuard,IPv6,VXLAN,Ethernet
 
somit max MTU 1342
 
== Tunnelserver ==
 
* Debian 11
* OLSR von https://repos.freiesnetz.at/
* wireguard
* ifupdown2
 
=== /etc/network/interfaces ===
<pre>
auto lo
iface lo inet loopback
 
#VIRTUAL Wireless link to Node 1
# OLSR interface
 
auto enp1s0
iface enp1s0
  address 10.1.0.1/32
 
#INTERNET
 
auto enp2s0
iface enp2s0 inet dhcp
 
#Bridge für VXLANS
#OLSR Interface
 
auto br0
iface br0
  pre-up /usr/bin/ip link add br0 type bridge
  address 10.1.1.1/32
  post-up /usr/bin/ip link set br0 mtu 1342
 
#WIREGUARD
#für alle Clients
 
auto wg-olsr
iface wg-olsr
  pre-up /usr/bin/ip link add wg-olsr type wireguard
  pre-up /usr/bin/wg setconf wg-olsr /etc/wireguard/wg-olsr.conf
 
  post-up /usr/bin/ip link set wg-olsr mtu 1420
 
#dieser part muss für jeden remote client ausgeführt werden
#Remote Node Config
  post-up /usr/bin/ip addr add fd00:00ff:0001:abba::1/64 dev wg-olsr
  post-up /usr/bin/ip link add vxlan1 type vxlan id 1 remote fd00:00ff:0001:abba::2 dstport 4789 dev wg-olsr
  post-up /usr/bin/ip link set vxlan1 up
  post-up /usr/bin/ip link set vxlan1 mtu 1342
  post-up /usr/bin/ip link set vxlan1 master br0
 
</pre>
 
=== /etc/olsrd/olsrd.conf ===
 
Hier nur die zusätzlichen Settings
<pre>
Interface "enp1s0"
{
      AutoDetectChanges      yes
      LinkQualityMult        default 1.0
      Weight                  0
}
 
Interface "br0"
{
      AutoDetectChanges      yes
      LinkQualityMult        default 1.0
      Weight                  0
}
</pre>
 
=== /etc/wireguard/wg-olsr.conf ===
<pre>
[Interface]
ListenPort = 51820
PrivateKey = XXXXXXXXXXXXXXXXXXXXXXXXXXX
 
##Remote Node
[Peer]
PublicKey = XXXXXXXXXXXXXXXXXXXXXXXXXXXX
AllowedIPs = fc00:ff:1:abba::2
PersistentKeepalive = 25
</pre>
 
== Remote Node ==
 
* Debian 11
* OLSR von https://repos.freiesnetz.at/
* wireguard
* ifupdown2
 
=== /etc/network/interfaces ===
<pre>
auto enp1s0
iface enp1s0 inet dhcp
 
auto enp7s0
iface enp7s0
  address 10.3.0.1/32
 
auto br0
iface br0
  pre-up /usr/bin/ip link add br0 type bridge
  address 10.3.1.1/32
  post-up /usr/bin/ip link set br0 mtu 1342
 
auto wg-olsr
iface wg-olsr
  pre-up /usr/bin/ip link add wg-olsr type wireguard
  pre-up /usr/bin/wg setconf wg-olsr /etc/wireguard/wg-olsr.conf
  address fd00:00ff:0001:abba::2/64
  post-up /usr/bin/ip link set wg-olsr mtu 1420
  post-up /usr/bin/ip link add vxlan1 type vxlan id 1 remote fd00:00ff:0001:abba::1 dstport 4789 dev wg-olsr
  post-up /usr/bin/ip link set vxlan1 up
  post-up /usr/bin/ip link set vxlan1 mtu 1342
  post-up /usr/bin/ip link set vxlan1 master br0
</pre>
</pre>


=== /etc/olsrd/olsrd.conf ===
= WG mit grev6 =
<pre>
== OpenWRT ==
Interface "enp7s0"
{
AutoDetectChanges yes
LinkQualityMulti default 1.0
Weight 0
}


Interface "br0"
zw. Tunnelserver und Client(OpenWRT) wird ein Wireguard Tunnelaufgebaut
{
Adressen aus dem IPv6 ULA Bereich [[https://www.ip-six.de/]] einen klicken
AutoDetectChanges yes
::1 serverseitig
LinkQualityMulti default 1.0
::2 clientseitig
Weight 0
}
</pre>


=== /etc/wireguard/wg-olsr.conf ===
In diesen Tunnel wird nun ein GREv6 Tunnel gelegt - dieser hat nur 4 Bytes Overhead und macht die komplizierte KEY Routing config bei WireGuard überflüssig.
<pre>
[Interface]
ListenPort = 51820
PrivateKey = XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX


#tunnel server
Wir nutzen also von 1500 Framesize:
[Peer]
{| class="wikitable" style="margin:auto"
Endpoint = tunnelserver:51820
|+ MTU bei IPv4 Tunnelverbindung
PublicKey = XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
! Frame !! size !! 1500  !! DSL mit PPPoE !! Mobil
AllowedIPs = fd00:ff:1:abba::1
|-
PersistentKeepalive = 25
|  ||  || 1500 || 1492 || 1464
</pre>
|-
| IPv4 zum Tunnelserver || 20 || 1480 || 1472 || 1444
|-
| WireGuard || 40 || 1440 || 1432 || 1404
|-
| IPv6 || 40 || 1400 || 1392 || 1364
|-
| GREv6 || 4 || 1396 || 1388 || 1360
|-
| Nutzdaten || 104 || 1396 || 1388 || 1360
|}


== Mikrotik ==
{| class="wikitable" style="margin:auto"
WireGuard und VXLAN laufen --> Docker OLSR
|+ MTU bei IPv6 Tunnelverbindung
! Frame !! size !! 1500  !! DSL mit PPPoE !! Mobil
|-
|  ||  || 1500 || 1492 || 1464
|-
| IPv6 zum Tunnelserver || 40 || 1440 || 1452 || 1424
|-
| WireGuard || 40 || 1400 || 1412 || 1384
|-
| IPv6 || 40 || 1360 || 1372 || 1344
|-
| GREv6 || 4 || 1356 || 1368 || 1340
|-
| Nutzdaten || 104 || 1356 || 1368 || 1340
|}


Was geht nicht:
warum nicht gleich GREv6 mit IPSec??
* IPv6 VXLAN, Mikrotik support fehlt, Workaround ZeroConf Ipv4
* weil der ESP Header 52 Bytes benötigt - damit ist man mit WireGuard 12 Bytes im Vorteil.
* Und Keyverwaltung mit WireGuard ist auch einfacher


<pre>
= MeshMesh =
# RouterOS 7.1.1
# model = RB960PGS


/interface wireguard
Bei Clients mit guten Uplinks >200Mbit macht es durchaus Sinn - Inter Node Tunnel aufzubauen - mit niedrigem Multiplier die im Fall es Ausfalls des Tunnelservers noch das Mesh weiter erhalten können
add listen-port=13231 mtu=1420 name=wg-olsr
/interface vxlan
add mtu=1342 name=vxlan-olsr port=4789 vni=2
/interface vxlan vteps
add interface=vxlan-olsr remote-ip=169.254.0.1
/interface wireguard peers
add allowed-address=169.254.0.1/32 endpoint-address=\
    TUNNELIP endpoint-port=51820 interface=wg-olsr persistent-keepalive=\
    25s public-key="XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX="
/ip address
add address=169.254.2.1/16 interface=wg-olsr network=169.254.0.0
/ip dhcp-client
add interface=sfp1
</pre>

Version vom 21. April 2023, 23:27 Uhr

WireGuard Tunnel für Nodes
Starttermin

05 Jan. 21

Status

Proof of Concept

Projekt


TODO: WireGuard-Tunnel zu FunkFeuer

Falls du Interesse hast, diese Idee zu einem Projekt und hoffentlich zu einem lauffähigen Produkt für die 0xFF-Gemeinschaft zu machen, mach mit und teile deine Ideen und Vorstellungen.

--> https://matrix.to/#/%230xFF-WireGuardTunnel%3Amatrix.org // #0xFF-WireGuardTunnel:matrix.org

Ziel

  • Es soll möglich sein, über WireGuard die Funktionalität des jetzigen OpenVPN-Zugangs abzubilden.
  • Es soll eine möglichst vollautomatische Konfig über das Frontend machbar sein.
  • Es soll IPv4 und IPv6 möglich sein.
  • ...

Vorteile

  • Verschlüsselung des Tunnels bei niedriger CPU-Last
  • Tunnel ist stateless
  • Software deutlich kleiner als OpenVPN
  • Konfig einfach - am Server komplett aus einer DB zu bauen.
  • NAT Traversal, NO Client PortForwarding

Nachteile

  • für OLSR muss eine Tunneltechnik durch den Tunnel gebaut werden, da WireGuard mit dem KEY/IP Routing sonst Probleme macht.

Link-Sammlung

Netzaufbau

      #-[WG/GRE/OLSR]---<Tunnelserver> ----------OLSR-------<Node1>
      |                  |                                    |
  [OpenWRT Client]       |                                    |
      |                 [WG/GRE/OLSR]                         |
      |                  |                                    |
      #-[WG/GRE/OLSR]---<Remote Node>-----------OLSR----------#

WG mit grev6

OpenWRT

zw. Tunnelserver und Client(OpenWRT) wird ein Wireguard Tunnelaufgebaut Adressen aus dem IPv6 ULA Bereich [[1]] einen klicken

1 serverseitig
2 clientseitig

In diesen Tunnel wird nun ein GREv6 Tunnel gelegt - dieser hat nur 4 Bytes Overhead und macht die komplizierte KEY Routing config bei WireGuard überflüssig.

Wir nutzen also von 1500 Framesize:

MTU bei IPv4 Tunnelverbindung
Frame size 1500 DSL mit PPPoE Mobil
1500 1492 1464
IPv4 zum Tunnelserver 20 1480 1472 1444
WireGuard 40 1440 1432 1404
IPv6 40 1400 1392 1364
GREv6 4 1396 1388 1360
Nutzdaten 104 1396 1388 1360
MTU bei IPv6 Tunnelverbindung
Frame size 1500 DSL mit PPPoE Mobil
1500 1492 1464
IPv6 zum Tunnelserver 40 1440 1452 1424
WireGuard 40 1400 1412 1384
IPv6 40 1360 1372 1344
GREv6 4 1356 1368 1340
Nutzdaten 104 1356 1368 1340

warum nicht gleich GREv6 mit IPSec??

  • weil der ESP Header 52 Bytes benötigt - damit ist man mit WireGuard 12 Bytes im Vorteil.
  • Und Keyverwaltung mit WireGuard ist auch einfacher

MeshMesh

Bei Clients mit guten Uplinks >200Mbit macht es durchaus Sinn - Inter Node Tunnel aufzubauen - mit niedrigem Multiplier die im Fall es Ausfalls des Tunnelservers noch das Mesh weiter erhalten können

Abgerufen von „https://wiki.funkfeuer.at/index.php?title=WireGuard-Tunnel_zu_FunkFeuer&oldid=3517