avn

Начните с простого показа ifconfig nwg0

Адрес на интерфейсе другой строкой задаётся ip -6 addr add fd01:5ca1:ab1e:891f:c4fc:4a2e:e64d:503d/128 dev nwg0

Вы же запрос делаете через локальный (свой) dns сервер (adguard home, dnsmasq), который видит ваш запрос, смотрит совпадает запрос с маской или нет. И если есть совпадение с маской домена, то заполняет ipset запрошенным ип-адресом для этого домена. А маршрутизация ipset уже вторична. Поэтому в схеме с выборочной маршрутизацией важно, что бы все запросы со всех устройств шли через ваш локальный днс-сервер. Иначе работать ничего не будет, так как не будет заполняться ipset.

В ручную поискать свои ошибки через wg setconf nwg0 /tmp/fix-${id}.conf

Не вижу подсети ::/0, возможно Вы не изменили имя интерфейса Wireguard2 на Wireguard0.

Так посмотрите через ifconfig, как ваш интерфейс называется.

Первый параметр - любое значение, делает копию предыдущей версии

Скрипт для автоматического обновления. Может кому пригодится #!/bin/sh agh_dir=/opt/bin agh_fn=AdGuardHome function get_download_url { curl -k -f -s -S https://api.github.com/repos/$1/$2/releases/latest 2>/dev/null | jq -r '.assets[] | select(.browser_download_url | contains("linux_mipsle_softfloat")) | .browser_download_url' } URL=$(get_download_url AdguardTeam AdGuardHome) echo $URL curl -k -f -s -S -L $URL -o /tmp/$agh_fn.tar.gz if [ ! -z "$1" ]; then cp -f $agh_dir/$agh_fn $agh_dir/$agh_fn.1 fi tar x -zf /tmp/$agh_fn.tar.gz -C /tmp mv -f /tmp/$agh_fn/$agh_fn $agh_dir/$agh_fn chmod +x $agh_dir/$agh_fn ls -al $agh_dir/$agh_fn*

-

adh маленько для другого предназначен. Он URL-ами не занимается.

Никак. Если только через squid весь трафик проксировать. Проще заблокировать весь сайт и разрешить доступ только с одного ИП из сети.

Штатно нельзя. Через entware+ iptables можно. Но придется хорошо разобраться с iptables.

arm процессор? Если нет, то поменять процессор на роутере на более мощный, т.к. он тупо не тянет и качать и раздавать и маршрутизировать?

Квас не будет работать с adguard home, установленной на малинке, потому-что ему нужно заполнять ipset локально. А это можно сделать только на головном роутере. Вот если вы воткнете провод от провайдера в малинку и поставите квас на малинку, то такая схема работать будет.

В последних беттах ADGH добавили параметр ipset_file. Теперь основной конфиг можно не трогать. ipset: [] ipset_file: /tmp/AdGuardHome-ipset.yaml

3.8.5 не починили. Ждем...

Adguard home все это умеет из коробки при правильной настройке. Dnsmasq аналогично, только сложнее на порядок.

Все эти инструкции бесполезны бес понимания процессов. Для начала разберитесь с заполнением ipset через dnsmasq или adguard home. Будут заполняться ipset можно переходить к настройкам маршрутизации. Ключевые слова для поиска ipset dnsmasq, ipset adguard home. Так же dnsmasq или adguard home должны стать единственными dns- серверами на роутере. Штатные dns роутера из коробки работать не будут.

Можно на entware через adguard home или dnsmasq заполнять ipset, который работает с настройкой на домен и автоматом применяется ко всем поддоменам. А потом это ipset маршрутизировать куда угодно. Но, зато это натуральная маршрутизация по доменам, без указания маршрутов.

Dns работает только с доменами. Ничего про страницы он не знает. А Вам нужен dpi для протоколов https/http, dns таким не занимается.

Скачал, распаковал. Мануал сразу у них на гит.

Я пользуюсь acme.sh Все работает без проблем. DNS (bind) так же на роутере обслуживает одну зону - мою. # acme.sh NSUPDATE_SERVER="192.168.97.98" NSUPDATE_SERVER_PORT=5353 NSUPDATE_KEY="/var/lib/bind/keys/acme-update.key" ./acme.sh --issue -d mydomain.xyz -d *.mydomain.xyz --dns dns_nsupdate bind zone "mydoamin.xyz" IN { type master; file "/var/lib/bind/mydoamin.xyz.conf"; key-directory "/var/lib/bind/keys"; auto-dnssec maintain; inline-signing yes; notify explicit; also-notify { 2a00:3380:0:a1::; }; allow-transfer { 2a00:3380:0:a1::; }; update-policy { grant "acme-update" name _acme-challenge.mydoamin.xyz. TXT; }; }; Что бы получить wildcard, нужно контролировать свою зону dns. acme.sh прописывает в процессе получения сертификата в зону текстовый ключ, который в свою очередь должны увидеть из-вне вашей сети в DNS-master сервера api zerossl.com. А это достигается, только правильной настройкой DNS-master.

У меня ipv6 бегает по wireguard без проблем по Warp и своему впс. А Вас видно в поиске забанили. Штатно еще не бегает, но может. Технически уже все есть, только нету возможности штатно это настроить.

Если нужно сейчас, то можно через entware. Работает без проблем.

А что не работает? Все бегает по ipv6 и wireguard. Нативно еще ждём. Думаю и по openvpn проблем не будет.