Problemas Técnicos Wireguard e DPI

zebisnaga

zebisnaga

Power Member
Boas pessoal,
Alguem usa Wireguard e tem problemas com o DPI da NOS?
Tenho atualmente uma VM com wireguard numa casa com rede Vodafone, no entanto quando tento aceder a partir do router da NOS de outra casa, só consigo aceder ao Servidor do Wireguard, no entanto nao consigo aceder aos serviços que estao a correr paralelamente no servidor do wireguard, parte do pressuposto que será problemas de DPI

Um amigo meu testou a partir de casa dele , usa Vodafone tambem, e funcionou na perfeição
 
zebisnaga disse:
Boas pessoal,
Alguem usa Wireguard e tem problemas com o DPI da NOS?
Tenho atualmente uma VM com wireguard numa casa com rede Vodafone, no entanto quando tento aceder a partir do router da NOS de outra casa, só consigo aceder ao Servidor do Wireguard, no entanto nao consigo aceder aos serviços que estao a correr paralelamente no servidor do wireguard, parte do pressuposto que será problemas de DPI

Um amigo meu testou a partir de casa dele , usa Vodafone tambem, e funcionou na perfeição
Clicar para expandir...
Tenho exactamente o mesmo problema. Já encontraste solução?
Já agora, o que significa DPI?
Qual a porta e range de ips em utilização?
Qual o router da NOS onde acontece?

Com ligação móvel da Vodafone, sem espinhas.
Com a ligação da NOS, não funciona da mesma forma.
 
SwimmerBoy disse:
Tenho exactamente o mesmo problema. Já encontraste solução?
Já agora, o que significa DPI?
Qual a porta e range de ips em utilização?
Qual o router da NOS onde acontece?

Com ligação móvel da Vodafone, sem espinhas.
Com a ligação da NOS, não funciona da mesma forma.
Clicar para expandir...

DPI - Deep Packet Inspection
https://www.fortinet.com/resources/cyberglossary/dpi-deep-packet-inspection
https://digitalguardian.com/blog/what-deep-packet-inspection-how-it-works-use-cases-dpi-and-more

Os routers dos ISP não têm essa feature. Encontras tal funcionalidade em NGFW (Next Generation Firewall).

Onde tens o servidor Wireguard alojado, altera a rede para um outra que não a default. Ex. 192.168.10.0/24 (/24 = 255.255.255.0). Isto, para não teres problemas com endereçamento IP na mesma subnet.

Cumps
 
Ok, não tinha associado DPI a linhas residenciais.

Tenho uma rede não default, 172.16.16.X quando a rede nas casas estão na gama 192.168... (e em gamas diferentes)...

Mas irei certamente explorar essa questão dos IPs, não me parece que seja a razão do problema.
 
SwimmerBoy disse:
Ok, não tinha associado DPI a linhas residenciais.
Clicar para expandir...

Podes ter essa feature em tua casa. Por ex. montas um sistema com pfSense e instalas uns packages e ficas com DPI, IDS/IPS, URL Filtering, and so on.
Não é algo que vem nos comuns routers dos ISP.

SwimmerBoy disse:
Tenho uma rede não default, 172.16.16.X quando a rede nas casas estão na gama 192.168... (e em gamas diferentes)...
Clicar para expandir...

Essa rede, 172.16.16.X está configurada no router?

Dá-me mais detalhes de como tens isso configurado para que te possa dar uma ajuda.

SwimmerBoy disse:
Mas irei certamente explorar essa questão dos IPs, não me parece que seja a razão do problema.
Clicar para expandir...

Creio que haja algum problema no Wireguard relativamente ao NAT e com redes Class C (192.168/16 prefix)...

Cumps
 
At Work disse:
Podes ter essa feature em tua casa. Por ex. montas um sistema com pfSense e instalas uns packages e ficas com DPI, IDS/IPS, URL Filtering, and so on.
Não é algo que vem nos comuns routers dos ISP.

Essa rede, 172.16.16.X está configurada no router?

Dá-me mais detalhes de como tens isso configurado para que te possa dar uma ajuda.

Creio que haja algum problema no Wireguard relativamente ao NAT e com redes Class C (192.168/16 prefix)...

Cumps
Clicar para expandir...

Log story short.

Double NAT num router com ddwrt com wireguard.

Operadora na gama 192.168.1.x, ddwrt na gama 192.168.2.x, wireguard na gama 172.16.16.x.

Aquando do uso de rede móvel, wireguard funciona TUDO perfeito (no tlm). Quando passo da rede móvel para uma rede wifi residencial da NOS, há algum problema...

Consigo facilmente aceder a SSH mas todo o browsing de webpages é penoso. Tudo desaparece e funciona bem aquando de rede movel + wireguard (mesmo as browsing).
 
SwimmerBoy disse:
Log story short.

Double NAT num router com ddwrt com wireguard.

Operadora na gama 192.168.1.x, ddwrt na gama 192.168.2.x, wireguard na gama 172.16.16.x.
Clicar para expandir...

Poderá haver algum problema devido a haver Double NAT...

Altera o endereçamento IP do router do ISP para outra subnet. Ex. 192.168.10.254/24 ou 10.0.10.254/24 e testa. Caso o problema persista, mantém a configuração do endereçamento IP no router do ISP como mencionei anteriormente e, altera também a rede do router com DD-WRT para outra diferente. Ex. 192.168.100.254/24 ou 10.100.0.254/24 e, testa.

SwimmerBoy disse:
Aquando do uso de rede móvel, wireguard funciona TUDO perfeito (no tlm). Quando passo da rede móvel para uma rede wifi residencial da NOS, há algum problema...

Consigo facilmente aceder a SSH mas todo o browsing de webpages é penoso. Tudo desaparece e funciona bem aquando de rede movel + wireguard (mesmo as browsing).
Clicar para expandir...

No telemóvel, dependendo do ISP, ou terás um endereço IP Público ou um endereço IP Privado, logo, a entrada das redes no túnel VPN do Wireguard não é com uma rede Class C 192.168/16 prefix.
E, é aí que creio que esteja o problema. Pois, todos os routers dos ISP e de outros fabricantes, vêm por defaut na rede 192.168.0.0/24 ou 192.168.1.0/24.

Só com thsoot é que se consegue chegar a uma conclusão para a origem do problema. Poderei testar, mas para já ainda não há a versão estável para pfSense do Wireguard.

Cumps
 
@SwimmerBoy avanços / novidades?

Entretanto, na versão 2.5.0 do pfSense já está disponível o WireGuard. Configurado e a funcionar numa VM que tenho com pfSense.

Onde tens o WireGuard a correr, cria uma regra de NAT Outbound da rede de origem (172.16.16.x) para a interface WAN ou endereçamento IP da mesma.
Na configuração do WireGuard, terás também que adicionar as subnets permitidas (0.0.0.0/0,172.16.16.X/X) para que tenhas routing.

Documentação pfSense mas será idêntico:
https://docs.netgate.com/pfsense/en/latest/recipes/wireguard-ra.html?highlight=wireguard
The Tunnel address, and any additional networks which should be routed across the VPN in a comma-separated list. This could be a LAN subnet (e.g. 10.6.0.0/24) or use 0.0.0.0/0 to route all traffic, including Internet traffic, across the tunnel.
Clicar para expandir...

Cumps
 
At Work disse:
@SwimmerBoy avanços / novidades?

Entretanto, na versão 2.5.0 do pfSense já está disponível o WireGuard. Configurado e a funcionar numa VM que tenho com pfSense.

Onde tens o WireGuard a correr, cria uma regra de NAT Outbound da rede de origem (172.16.16.x) para a interface WAN ou endereçamento IP da mesma.
Na configuração do WireGuard, terás também que adicionar as subnets permitidas (0.0.0.0/0,172.16.16.X/X) para que tenhas routing.

Documentação pfSense mas será idêntico:
https://docs.netgate.com/pfsense/en/latest/recipes/wireguard-ra.html?highlight=wireguard


Cumps
Clicar para expandir...

Viva, não tenho novidades porque numa das tentativas perdi acesso ao servidor.
Só para a semana é que terei acesso.
A NAT outbound como lhe chamas já estava in place.

Depois terei acesso ao servidor mas devo perder a possibilidade de testar da ligação que estava a causar problemas.
 
Inicie sessão ou registe-se para poder participar.
Back
Topo