qmxocynjca

В этом случае в radvd конфиге появляется два префикса, и особо ничего не меняется без принудительного выставления AdvDefaultLifetime в ненулевое значение. Тут появляются дополнительные вопросы: нужен ли при этом активный ipv6 local-prefix? Нужно ли иметь ipv6 subnet и к чему её биндить? Скорей всего для вас это базовые вещи, но мне это вообще не очевидно. Методом тыка увидел, что если ipv6 subnet отсутствует то radvd вообще не запускается. У меня сейчас основная претензия к тому, что роутер не является ipv6 роутером без костыля с AdvDefaultLifetime.

Сторонний VPN сервис.

Имею схожую конфигурацию - ipv6 от провайдера нет, в WG-интерфейсе есть только /128 адрес. На роутере ipv6 работает, а в локальной сети нет. Можно поподробней про nat6? Нужно какие-то настройки включить в CLI или нужно что-то через entware мудрить? Хочу просто пустить клиентов через тот ipv6, что доступен на WG интерфейсе. Upd: Получилось завести nat6, долго не мог понять почему не работает, пока не добавил это правило: ip6tables -A FORWARD -o nwg0 -j ACCEPT Однако, роутер не сигнализирует что он может роутить ipv6. Если руками добавить ipv6 gateway на устройстве локальной сети, то всё работает. На сколько я понял, `AdvDefaultLifetime 0` в /var/run/radvd.conf как раз препятствует анонсу роутера как ipv6 гейтвея. Есть идеи как заставить прошивку выставить это значение в ненулевое? Upd2: вот так выкрутился, но хотелось бы просто иметь опцию в ipv6 subnet: /opt/etc/ndm/ifip6changed.d$ cat radvd-router-announce.sh #!/bin/sh # Path to the radvd configuration file CONFIG_FILE="/var/run/radvd.conf" # Check if the file exists if [[ ! -f "$CONFIG_FILE" ]]; then logger "Error: $CONFIG_FILE does not exist." exit 1 fi # Check if "AdvDefaultLifetime 0" exists in the file if grep -q "AdvDefaultLifetime 0" "$CONFIG_FILE"; then # Perform the replacement sed -i 's/AdvDefaultLifetime 0/AdvDefaultLifetime 1800/' "$CONFIG_FILE" logger "Replaced 'AdvDefaultLifetime 0' with 'AdvDefaultLifetime 1800' in $CONFIG_FILE." # Send SIGHUP to radvd to reload the configuration if pidof radvd > /dev/null; then logger "Sending SIGHUP to radvd..." killall -s HUP radvd logger "SIGHUP signal sent to radvd." else logger "Error: radvd is not running." exit 1 fi else logger "No replacement needed: 'AdvDefaultLifetime 0' not found in $CONFIG_FILE." fi

Подтверждаю. Тоже развлекался вчера и пришёл к выводу что в opkg теперь по дефолту питон 3.11, а сборка HA от @TheBB рассчитана на 3.10. На этой волне пытался установить HA руками через pip, но всё оказалось тщетным, т.к. один из пакетов затребовал rust компилятор, чего на кинетике пока нет. Попытки подтянуть его через rustup-init ни к чему не привели, т.к. бинарники тулчейна mipsel-unknown-linux-gnu отказались запускаться. Решил дальше не копать и дождаться обновления HA для работы с питоном 3.11. @TheBB все надежды на вас

Вижу тут достаточно много пользователей этого чуда, собираюсь тоже попробовать в ближайшее время. Подскажите, на девайсах со 128 мб оперативки оно нормально крутится? Понятно что swap надо на флешке иметь, но вопрос - не будет ли оно всё время этот свап туда-сюда использовать и ресурс флешки подъедать каждый день?

Автор поднял действительно существующую проблему, когда неактивная WG сессия не должна быть равна мёртвому интерфейсу. На примере ниже кинетик-клиент, т.е. тот кто инициирует соединение, в свойствах указан keepalive 3600. Без трафика это соединение становится "сереньким" после нескольких минут, то же самое получаем сразу, если поле keepalive просто оставить пустым: В таком состоянии я не могу достучаться до удалённых адресов, хотя они прописаны в интерфейсе, статические маршруты на эти адреса добавлены, сам интерфейс включён переключателем слева. Я ожидаю что любой запрос на прописанные подсети должен идти через WG, даже если кружок серый, т.е. WG должен начать хендшейк в этот момент. Судя по-всему, имплементация WG в кинетике немного отличается от подхода WG на обычном линуксе - там если wg up выполнен, то интерфейс всегда доступен и трафик пытается идти через него, даже если сам WG с другой стороной не связан (не важно - таймаут или просто выключен свет). В кинетике же, если WG связности нет (серый кружок вместо зеленого на пире), то интерфейс считается оффлайн и трафик через него перестаёт роутиться. Кажется, суть сводится к тому, чтобы иметь опцию а-ля "Пир всегда доступен" как раз на этот случай, чтобы маршруты были живы, но чтобы WG-пир мог быть в "оффлайне", пока через него не пойдёт трафик. Вполне вероятно что эта опция может быть автоматически установлена при пустом значении "Порт прослушивания", но надо быть аккуратным с "Использовать для выхода в интернет", т.к. в этом случае отвалившийся WG-пир всё-таки должен сносить маршруты, чтобы интернет мог фолбэкнуться на основного провайдера.

Операционка не ходит в роутер для доступа к вашим хитрым сетям из-за /22 маски, потому что она охватывает весь диапазон - и локальный, который доступен даже без роутера, и удалённый, в который всё-таки нужно ходить через роутер. Вам надо или маску подрезать на клиентах руками или научить роутер отдавать дополнительные маршруты через DHCP. В CLI есть такая штука, она позволяет DHCP серверу отдавать дополнительные данные клиентам: ip dhcp pool option смотрите значения опций 121 или 249, какой-то из них должен заработать. Поэкспериментируйте, надеюсь получится. http://docs.help.keenetic.com/cli/3.8/ru/cli_manual_kn-1010_ru.pdf Вот тут даже официальная дока есть https://help.keenetic.com/hc/ru/articles/115004467465-Инструкция-по-настройке-опций-DHCP-в-интернет-центрах

Что-то я так и не понял, можно ли сейчас делать usb power-cycle, если привязанного interface к usb порту нет? Судя по доке нет, то вдруг есть какой-то финт ушами.

+1. USB ведь можно использовать и просто в качестве питания для каких-то неуправляемых девайсов, которые хочется ребутать периодически.

Конфигурация клиентов динамическая, какие-то засыпают, какие-то перестают коннектиться в определённых Wi-Fi сетях. В связи с этим в логах очень много места занимают простыни подобного рода. Может сделать настройку уровня логгирования WG интерфейсов? Или на крайний случай явно приглушить конкретно эти события.

Возможно дело в маске /32, с ней маршрут 10.13.13.0/24 не прописывается. Или нужно установить маску /24 или добавить руками статический маршрут до 10.13.13.0/24 через это подключение.

Спасибо! Разобрался! Пропустил это в инструкции, на стороне сервера нужно прописывать /32 айпишник клиента. Все работает!

На всех клиентах 0.0.0.0/0 прописано, в самом роутере в пирах тоже 0.0.0.0/0 стоит. Хочу всех клиентов пускать через роутер в интернет. Как-то иначе надо настроить?

Настроил wireguard сервер на Giga, прописал одного клиента - всё ок, работает, интернет через себя пускает (security-level и nat Wireguard0 активированы). Дописываю второго клиента, на первом всё перестаёт работать (ключи разные, ip на клиентах разные). Дописываю третьего клиента, второй так же отваливается, т.е. рабочим остаётся один клиент, добавленный в список последним. Куда копать? В логах ничего странного не видно, есть хэндшейки от всех девайсов, но маршрутизация не работает вообще, даже до роутера не могу достучаться: C:\Users\user>tracert -d -w 50 192.168.2.1 Трассировка маршрута к 192.168.2.1 с максимальным числом прыжков 30 1 * * * Превышен интервал ожидания для запроса. 2 * * * Превышен интервал ожидания для запроса. 3 * * * Превышен интервал ожидания для запроса.

topology subnet как раз помогло.