[Реализация режимов TUN stack в Keenetic: system, mixed]

5 минут назад, spatiumstas сказал:

Вам и не скажут, форумчанин не разбирается в том, о чём пишет, поэтому отвечает ИИшными пастами 🤠

Вы серьезно? Может быть кто-то из разработчиков тогда ответит кто понимает о чем я говорю, в userspace то есть gvisor жрет ресурсы роутера, а стек system например нет, вот и прошу реализации на системном уровне по тсп

[Реализация режимов TUN stack в Keenetic: system, mixed]

25 минут назад, avn сказал:

Прошелся поиском по исходникам ядра линукса. Оно не знает, что такое gVisor. О чем речь?

Основные отличия режимов

 

· gvisor: Сетевой стек реализован в пользовательском пространстве (userspace) для полной изоляции трафика. Использует свой собственный стек.

· system: Использует системный сетевой стек ядра операционной системы (kernel-space).

· mixed: Гибридный подход: TCP-трафик обрабатывается стеком system, а UDP — стеком gvisor.

[Реализация режимов TUN stack в Keenetic: system, mixed]

Речь идет о сетевом стеке TUN/TAP драйвера в контексте VPN-клиентов типа Clash Meta / Mihomo, которые поддерживают несколько режимов работы TUN интерфейса через параметр stack.

 

Техническая суть вопроса:

 

В конфигурации Clash Meta существует параметр:

tun:

  stack: gvisor | system | mixed

 

Как я понял:

 

1. gvisor - Использует gVisor netstack (userspace TCP/IP стек от Google)

   · Реализация в пользовательском пространстве

   · Полная изоляция от ядра

   · Высокое потребление CPU, так как каждый пакет обрабатывается в userspace

   · Используется в Clash через tun_gvisor сборку

2. system - Использует системный сетевой стек ядра

   · Пакеты передаются напрямую в системный сетевой стек (/dev/net/tun)

   · Низкие накладные расходы, высокая производительность

   · Использует стандартный Linux TUN драйвер

3. mixed - Гибридный режим

   · TCP: через системный стек (kernel)

   · UDP: через gVisor (userspace)

   · Компромисс между производительностью и функциональностью

 

Причины по которым было бы неплохо реализовать:

 

· Текущая реализация (если используется gvisor): высокая нагрузка на CPU, особенно на роутерах со слабым железом

· Реализация system/mixed: позволила бы снизить нагрузку на 30-50% за счет использования аппаратного ускорения сетевого стека ядра

· Например WireGuard (использует системный стек), OpenVPN (может использовать либо kernel, либо userspace)

 

Конкретные реализации:

 

· Clash Meta с stack: system: использует стандартный /dev/net/tun + системные вызовы ядра

· gVisor stack: требует компиляции с -tags=gvisor, реализует свой TCP/IP стек в Go

 

Если кратко:

Добавить поддержку режима stack: system в реализацию TUN интерфейса в Keenetic для VPN-клиентов, что позволит:

 

1. Снизить нагрузку на CPU роутера

2. Увеличить пропускную способность VPN

3. Улучшить поддержку современных VPN-протоколов

 

Доки:

· Clash Meta TUN реализация: https://github.com/MetaCubeX/mihomo/blob/master/docs/tun.md

· gVisor netstack: https://github.com/google/gvisor/tree/master/pkg/tcpip

· Linux TUN/TAP: https://www.kernel.org/doc/html/latest/networking/tuntap.html

 

Ответ техподдержки кинетик из ТГ:

По поводу OpkgTun и OpkgTap.

 

 

Вопрос касается открытых пакетов. По какой причине это сделано? У нас нет точной информации, мы можем предполагать.

 

 

Возможно это связано с тем, что *OpkgTun/*TAP* = далее TUN/TAP*, имеет прямой доступ к сетевому стеку ядра.

 

В *KeeneticOS 5.0* ужесточена модель безопасности открытых пакетов OPKG.

 

3. *`system`* режим даёт opkg-процессу *root-доступ к сети* → это риск:

    

    

    - обхода firewall,

    

    

    - поломки маршрутизации,

    

    

    - вмешательство в NDMS.

4. *`mixed`* непригоден для TUN/TAP: нужен *полный доступ к netns*.

5. Поэтому для *OpkgTun разрешён только `gvisor`* как единственный безопасный вариант. Потеря производительности — *осознанный компромисс* ради изоляции.

    

    Вы можете уточнить вопрос в специализированных теме https://forum.keenetic.ru/topic/17455-sing-box-универсальный-набор-прокси-инструментов-shadowsocks-vmess-vless-trojan/page/4/#comment-208868https://forum.keenetic.ru/topic/2905-экспресс-вопрос/page/157/#findComment-208942 и https://forum.keenetic.ru/topic/23610-добавить-opkgtun-на-закладку-другие-подключения

[Запрос функции: нормализация работы с туннельными интерфейсами из opkg, ndms и через webui]

Добавьте поддержку режимов tun: mixed, system. В данный момент доступен gVisor который прожорлив

Имеется ввиду доступность режимов в xkeen чтобы tcp шел через системный стек

[Advanced security configuration (ASC) для WireGuard]

В 29.10.2025 в 12:05, NSGrid сказал:

Не понял, вы хотите сказать, что это глюки роутера? У меня прошивка сейчас стоит последняя официальная - 4.3.6.3. Еще буквально несколько дней назад работало все без нареканий. А сейчас как будто просто кто-то кабель перерубил. То есть у меня вообще не коннектит с уже ранее действовавшими настройкам WG. Хотя прошивку я не менял.

И это тоже, у меня есть инстанс который без мусора на голом вг работает без мусора j на смартфоне, в кинетике они-то соединяет то нет, хз в общем

[Advanced security configuration (ASC) для WireGuard]

1 час назад, NSGrid сказал:

Народ, я что-то не пойму, а обычный классический WG уже так активно стали блочить? У меня был поднят на Кинетике WG-сервер просто для подключения мобильников и некоторых других устройств для доступа к моей домашней локальной сети, и вот уже где-то пару дней, ничего не подключается - мобильник с оператора МТС, домашний провайдер - небольшой домовой (Москва). А вот Amnezia WG работает, но она у меня не для соединений телефонов с моей локалкой. Но, значит, пора вносить эти опциональные параметры (Jc, Jmin, Jmax, S1, S2, H1, H2, H3, H4, как я делал с Амнезией WG) и в отношении соединений классического WG?

У всех так, видать в прошивках что-то, но оно коннектит но долго и не всегда с 1 раза, надуюсь они в курсе и поправят

[Advanced security configuration (ASC) для WireGuard]

Подскажите пожалуйста перечень команд для создания wg0 на роутере имея данные конфига

 

Я хочу именно из cli создать подключение wireguard и сделать его активным(для выхода в интернет)

 

Но не знаю в какие команды и в какой последовательности, заранее спасибо!

[Advanced security configuration (ASC) для WireGuard]

Подскажите ещё пожалуйста перечень команд для создания wg0 на роутере имея данные конфига

Я хочу именно из cli создать подключение wireguard и сделать его активным(для выхода в интернет)

Но не знаю в какие команды и в какой последовательности, заранее спасибо!

[Advanced security configuration (ASC) для WireGuard]

В 07.07.2025 в 21:54, Sabot сказал:

Если у Вас 4.3.4 то и не подключитесь, надо делать откат.

Что-то там наворотили в 4.3.4 с ASC и интерпретатором файлов-конфигов WG.

1) на 4.3.4 любые конфиги AmnWG - 0байт приема, тока передача несколько килобайт, на 4.2.1 всё ок

2) импортирую топор-конфиг, на 4.3.4 ошибка "Wireguard0": system failed [0xcffd0dd9].

на 4.2.1 всё ок

Подтверждаю аналогичную проблему на 4.3.4!!!, разработчики, исправите пожалуйста.