avn

https://help.keenetic.com/hc/ru/articles/360010131139-Пример-объединения-локальных-сетей-трех-роутеров-Keenetic-через-соединение-Wireguard-VPN

Делюсь собственным опытом. На арендуемом сервере была поднята AmneziaWG + использовался Warp + ZT Warp. С 5-го декабря все эти соединения умерли и больше не поднимаются. Если соединения установить через провайдера с менее суровым файерволом - то все ок. То же самое случилось и с V**SS протоколом в любых комбинациях. Сейчас у надзора задача перевести все забугорные хостинги на российские серверы. Так что блокируют весь траффик и все. Т.е обмены умирают не сразу, пинги трейсы ходят, но некоторое время - потом бан соединения.

Так точно. Настройки должны быть синхронизированы. Awg должен работать с уже существующим интерфейсом, созданным через ndm.

Конечно не работает. Все настройки должны делаться исключительно через NDM.

Если вы не знали, в ядро параметры можно не только через интерфейс грузить.

https://github.com/keenetic/wireguard/pull/1 А толку-то, как собрать не понятно.

Добрый день! Накатил патчи AWG 2.0 на Wireguard NDM. Возможна ли сборка модуля ядра?

После установки компонента Wireguard Server не вижу его в установленных компонентах и соответственно не могу его настроить. Аналогично и для IKev2 Server. Приходится производить настройку через клиентов. Так и задумано? P.S/ система требует доустановить, а мне он не нужен.

Сегодня понадобилось настроить данный вид соединения. Такого квеста я давно не проходил. Роутер буквально умер от настройки. Пошагово. Проблема 1. Внес настройки соединения как для сервера. Решил исправить - а исправленные значения не сохраняются. Потом я понял, что они сохраняются но в другой профиль (running). Отображается - startup. System configuration save пришел мне на помощь. Обычный пользователь достанет бубен. Проблема 2. Выгрузка лога буквально съедает половину данных (как при сохранении файла лога так и при выгрузке диагностики). Т.е. поиск по этим файлам не находит ключевого слова, которое я вижу на экране.

Спасибо. Исправлено.

Jc - кол-во пакетов с мусором размером от JMin до JMax S1 - кол-во мусорных байтов до заголовка H1 (в обычном WG =0) H1 - сам заголовок S2 - кол-во мусорных байтов до заголовка H2 (в обычном WG =0) H2 - сам заголовок S3 - кол-во мусорных байтов до заголовка H3 (в обычном WG =0) H3 - сам заголовок S4 - кол-во мусорных байтов до заголовка H4 (в обычном WG =0) H4 - сам заголовок s1,s2,s3,s4,h1,h2,h3,h4 - заголовки должны совпадать и на сервере и на клиенте. Все остальные - произвольные, т.к. отвечают за мусор. Актуально для awg 1,1.5,2 Примерно так:

Починили? Конфиг теряется. b1

Клиенты не должны юзать, что-то постороннее. Только днс-роутера

И не должно работать. ByDesign

Тележный в6 дропает тспу. Не спрашивайте почему. Я не в курсе.

Не требуется entware. А так списки можно и через api читать и формировать параметры для agh

Можно и с включением роутинга, просто ipset пополняет AGH или dnsmasq. С dns-override пополнение штатно выключено, т.к. штатный dns не работает.

Штатная работает с dnsmasq отлично. Думаю и AGH будет чувствовать себя хорошо.

Можно и более сложные тесты ipt _NDM_ACL_IN -t filter -i eth3 -p tcp --dport ${SECRET_PORT1} -m conntrack --ctstate NEW -m recent --name ${IPSET}-forcedel1 --rsource --set -j DROP ipt _NDM_ACL_IN -t filter -i eth3 -p tcp --dport ${SECRET_PORT2} -m conntrack --ctstate NEW -m recent --name ${IPSET}-forcedel1 --rsource --rcheck --seconds 5 --reap -m recent --name ${IPSET}-forcedel2 --rsource --set -j DROP ipt _NDM_ACL_IN -t filter -i eth3 -p tcp --dport 443 -m conntrack --ctstate NEW -m recent --name ${IPSET}-forcedel2 --rsource --rcheck --seconds 5 --reap -j SET --del-set ${IPSET} src Т.е последовательные tcp пакеты на secretport1->secretport2->443

Если хотите, что бы DNS-Маршрутизация работала и в политиках, то попробуйте для нее изменить приоритет, путем добавление копии rule. Мне такой тест проводить лениво, но если заработает, можно написать разработчикам. $ ip rule add from all fwmark 0xffffaaf lookup 4102 pref 8 $ ip rule 0: from all lookup local 8: from all fwmark 0xffffaaf lookup 4102 10: from all fwmark 0xffffa00 lookup main 100: from all fwmark 0xffffaaa lookup 4096 101: from all fwmark 0xffffaaa blackhole 102: from all fwmark 0xffffaab lookup 4098 103: from all fwmark 0xffffaab blackhole 106: from all fwmark 0xffffaae lookup 4100 107: from all fwmark 0xffffaae blackhole 108: from all fwmark 0xffffaac lookup 4101 109: from all fwmark 0xffffaac blackhole 110: from all fwmark 0xffffaaf lookup 4102 111: from all fwmark 0xffffaaf blackhole 233: from all fwmark 0x20000000 lookup 233 1152: from x.x.x.x lookup 16385 2000: from all lookup 248 32766: from all lookup main 32767: from all lookup default

Меня тут заблокировало. Решил добавить пару правил для разблокировки. ipt _NDM_ACL_IN -t filter -i eth3 -p tcp --dport ${SECRET_PORT} -m set ! --match-set ${EXCLUDE_IPSET} src -m conntrack --ctstate NEW -m recent --name ${IPSET}-forcedel --set ipt _NDM_ACL_IN -t filter -i eth3 -p tcp -m multiport --dports $PORTS -m set ! --match-set ${EXCLUDE_IPSET} src -m conntrack --ctstate NEW -m recent --name ${IPSET}-forcedel --rcheck --seconds 3 -j SET --del-set ${IPSET} src Это позволяет мне убрать себя из блокировки curl --silent --max-time 1 http://{MyHomeSite}:{SecretPort} || curl https://{MyHomeSite}

@Le ecureuil Удалось посмотреть?

При добавлении маршрута все начинает работать с интерфейса Bridge0. На версии 5.0.0Pre аналогичное поведение.

После перезагрузки не восстанавливаются правила с комментарием. Так же эти правила удалились из конфига. Через Web задать комментарий можно. А через /a нельзя, хотя я повторяю правило, которое прописалось в конфиг. ipv6 static tcpudp GigabitEthernet1 36:57:4d:b5:6c:c0 53 !dns

@Le ecureuil Так и задумано? Тоже не получаю маршруты, правда клиентом ikev2 на кинетике. Возможно его там и нету. Но 100.100.100.34 === 172.16.35.0/22 Разве не должен создаться маршрут у клиента 172.16.35.0/22?