Quqas Wased

ну политиками поиграйся кто выше-ниже + опять же галка влияет в свойсвах wg юзать для инета или нет

а что ещё подробней? интерфейс руским по белому задаётся - если игнорит = ошибабка. куда об ней сообщать незнаю ниже даже галки что применять только когда интерфейс апнут справедливости ради сам так не делал - муторно одной галкой ставил "юзать для инета" 2й командой делал via работало как задумано 2й внутре 1го ессно конфиги должны этот момент учитывать - алловед ип в 1м тока эндпоинт 2го , а во 2м исключить эндпоинт 1го - поэтому и маршрутов стопицоттыщ =лениво в винде так автоматом чертит таблицу по алловед ип

не знаю после чего (подозреваю после облачного домена) появилось расписание в роутере какой командой узнать что оно исполняет? чтоб понять откуда взялось?

ну так тогда никаких проблем ручонками и маршрутом сэмулировать via там же можно указать интерфейс для шлюза

на текущий момент даже allowed ip в маршрутизацию не попадают хорошо что хоть via в cli есть а маршруты только если ручонками прописывать

спасибо озадачил электронного болвана - он выдал 2a07:b944::/64 и клиенты тутже ожили. благо даже нативно ясно куда прописать. в тотже .conf - даже не вполне себе представляю куда...

как ? если wg по определенью точка-точка? т.е. /128 в принципе наверно от балды можно... понять бы что придумать? 2a07:b944::2:22/128 такой по дефолту в какую сторону что изменить чтоб /64 не был сразу послан? - внешнего полноценного ipv6 не дают - только вовне тот ipv6 а извне я пытался =никак

kn-1611 v4.3.6.1 провайдер ipv6 не умеет зато умеет wg сервак к которому настроил подключение на самом роутере =результат с самого роутера ping6 работает а ни с каких клиентов не работает - ноут ни по проводу ни по wifi, с телефона через wifi тоже нет такие банальности что ipv6 не включен на клиенте отметаем. с тем же конфигом если подключаться через клиент wg а не через wg на роутере - ipv6 норм работает какие доп.данные в первую очередь нужны? и в чём может быть хитрость разных результатов? раз сам роутер может ping6 - то что там с ipv6 для клиентов?

пусть. только врядли ктото способен с "языка" иптаблес на"язык" нетлинка перевести тот скрипт - поэтому нуж0н челевечий iptables. и так нашёл его в энтвари. но почему в sdk он кривоватый (без мультпорта хоть и обещано) нет понимания

а чем? nftables? в скрипте ради которого всё затеялось через iptables. с мультипортом можно на nftables скрпт сменить - но в sdk его нет - есть лишь якобы поддержка со стороны iptables

решил проблему - в entware спец iptables для кинетика есть, а я простые брал эти специальные ndmmark понимают... но то что в sdk сунули нерабочие - не могущие в мультипорт хоть и обещано в описании - это факап

нужно чтоб в /usr/lib/iptables/ лежал файл libxt_multiport.so такойже как libxt_connbytes.so - который я случайно нашёл в sdk - без него -m connbytes тоже лажали -- но какой параметр генерит нужный .so - никто неможет подсказать. я вообще всё включал всё равно не работает

хотя обещано

в sdk выбираю только iptables iptables6 ЧЯДНТ?

что и требовалось доказать из лучших чувств сделали фигню я заменил родной /bin/sh в 67kb на ссылку на busybox - все проблемы сразу ушли и cli нормально работает. и не надо с #!/bin/sh извращаться - всё отлично запускается - а с тем вредным родным только моск сношать могло - то одно то другое ему не нравилось

знаю lsmod | grep "xt_multiport " даже его показывает - а ругается точно также --help тоже не знает -m multiport

opkg и netfilter addon ессно что уже есть в прошивке

не могу понять тот iptables который можно в sdk добавить в прошивку хоть каким то образом может или нет -m multiport? может какойто kmod нужен ? ибо включение всех просто iptables-mod никак не помогает и "iptables -m multiport" врёт что нет такого файла мультипорт... альтернативный iptables из entware -m multiport умеет -но не умеет в ndmmark = замкнутый круг...

кабы влазило то полноценное entware - то и темы не было не влазит. юсб тоже нет поэтому часть файлов и энтвар пытюсь просто в прошивку сунуть и кажется понял про их busybox что он без их же lib не стартовал/ а poorbox видать static и всё равно нифига с #!/bin/sh не может - матерится что origin not /opt хотя формально в /opt/bin и естьно как ссылка. а физически - да по другому пути(иначе никак) поэтому так и не победил... надо либо sh беред запуском любого скрипта добавлять либо что муторней на #!/opt/bin/sh содержимое менять

и всё же в родном /bin/sh ещё и другие проверки\защиты которые пока не удалось из вас выудить. непосредственно из cli никаким образом не могу запустить /opt/bin/sh - который от entware и от их пакета busybox -то ли есть некий триггер на который смотрите что entware поставили полноценно а не просто запускают файлы от неё -то ли идёт проверка что это настоящие файлы\папки а не ссылки ln -s зато я могу из cli запустить /opt/usr/bin/sh - который из пакета entware poorbox в чём между ними концептуальная(кроме списка аплетов) разница х.з. поменял местами те busybox и заработало exec sh из cli - начало именно внешний а не вшитый в sdk busybox запускать но даже и так уже непосредственно в bash нельзя просто запустить /opt/etc/**/any.sh надо писать sh /opt/etc/**/any.sh либо внутри .sh менять #!/bin/sh на #!/opt/bin/sh есть мысль заменить этот вредный /bin/sh на ln -s /opt/bin/busybox и посмотреть пока не успел - но если после этого все проблемы уйдут - точно изначальные догадки об ненужной "защите" - подтвердятся

да но не userfriendly совсем чем кинет и "славен" и оверпрайсен вдуше например не знаю простой способ из route print получить файлег с кучей route add ей соответствующей тем более что с компа и в рутере и не совпадут

ну так а банальный случай - как сделать чтоб в wg лезло только, то что в нём и разрешено? а то сейчас в зависимости от "места" в Connection Policies весь траф лезет в самый верхний (wg) - хотя там может быть лишь "полторы" сети. а всё что "мимо" - через isp вовсе не пытается = а нету соединения... в той же винде - gui wireguard сам чё то там куда надо добавляет маршруты - никогда даже не задумывался об них - надо бы и тут также userfriendly (хотя согласен что не все 146% пользователей wg юзают ) - но всё идёт к тому что больше и больше будут --- а закончится тем что nfqws в стоковый функционал рутера будут требовать

новая напасть рутер ip6 через туннель могёт а комп перестал...хоть убейся с штатного wg с винды мог. копаюсь - но моск кипит такие банальности как ip6 в свойствах адаптера исключены

ну как будто заработало почемуто не с первогу разу... долго морщил мозг что есть <name> и почему оно при любом раскладе равно publickey даже если ручонками добавить peer name в итоге удалил и заново добавил оба wg а команда вышла interface Wireguard1 wireguard peer qcb7KUuClTqMcsDxhDY3N5OnoW1twENuSw39kU8XiTU= connect via Wireguard0 т.е. очевидно же что №2 через №1 а ненаебоврот даже убрал галку "юзать инет" с Wireguard0 и продолжило работать и никаких стапицот route add не потребовалось - а в route print также чало в прыжке даёт до 20мбит не понял пока проц нетащит или сервак забит.... Спасибо - совет даже сработал

1) так при таком раскладе может и ручонками делать не надо route add ? 2) в gui тоже есть некий add peer - назначения которого я невкурил щас попробую отпишусь