Andrey Anikin

Извините, что морочил всем голову. Оказалось, что сервер AmneziaWG умеет определять, поддерживает ли клиент режим Advanced Security и, соответственно, включает или не включает этот режим с данным клиентом.

Попробовал подключиться к серверу обычным клиентом Wireguard. Подключился. ☹️ Тогда непонятно, почему происходит подключение с настроенным на Кинетике ASC?

Продолжаем эксперименты. Удалил asc из настроек интерфейса. Выдалось сообщение: Wireguard::Interface: "Wireguard0": reset ASC parameters. Сохранил. Проверил, что их действительно теперь нет. Перезагрузил роутер. Соединение установилось. Положил соединение. Создал новое соединение на роутере, asc не настраивал. Прописал нового клиента на сервере. Перезапустил awg-сервис на сервере. Поднял новое соединение на роутере. Новое соединение установилось. Перезагрузил роутер. Новое соединение установилось. Что я делаю не так?

Прямо сейчас удалил asc из настроек интерфейса. Выдалось сообщение: Wireguard::Interface: "Wireguard0": reset ASC parameters. Сохранил. Проверил, что их действительно теперь нет. Положил интерфейс. Подождал 3 минуты. Поднял его. Соединение установилось. Опять добавил asc. Выдалось сообщение: Wireguard::Interface: "Wireguard0": set ASC parameters. Сохранил. Проверил, что настройки asc появились. Положил интерфейс. Подождал 3 минуты. Поднял его. Соединение установилось. Интерфейс Wireguard - единственный. Ну хоть в одном случае он же должен перестать работать? Ничего не понимаю.

Нет. VDS с Ubuntu.

У меня на сервере настроена AmneziaWG с такими параметрами: Jc = 2 Jmin = 10 Jmax = 50 S1 = 23 S2 = 141 H1 = 1870705763 H2 = 1299454898 H3 = 788953432 H4 = 899222047 Так получилось, что я забыл прописать wireguard asc в кинетике. Тем не менее VPN-соединение поднялось. После того, как я прописал wireguard asc, VPN-соединение также поднимается. Как такое может быть?

Я не создаю новую политику, потому что всё, что вы в неё поместите, будет работать исключительно через VPN. Тогда Кинопоиск и ВК Видео работать не будут. Я просто создаю статические маршруты, которые направлены в VPN, только для того, что нужно. Например, для Youtube, Netflix, Facebook, Instagram, LinkedIn и т.п. Остальное идёт мимо VPN. А ещё в настройках WG в настройках IP-адреса и на сервере, и на клиентах я всегда указываю маску подсети не /32, а /29 или /28. Тогда автоматически появляется маршрут к этой подсети, направленный в VPN? Можно можно будет при необходимости до другого клиента достучаться. Только не надо использовать первый и последний адрес этой подсети. Кстати, на Кинетике галочка "использовать для выхода в интернет" в настройках VPN-соединения на маршрутизацию вообще не влияет. Она влияет только на то, появится ли VPN-соединение в Системном мониторе. Ну и для создания политики с приоритетом VPN-соединения, если надо кого-то направлять исключительно через VPN, галочка тоже нужна.

Написал в личку.

Я использую для доступа к внутреннему серверу не переадресацию, а reverse-proxy. SSL включён. С помощью роутера получен сертификат для сервера на имя из своего домена. Таким образом к роутеру идёт обращение по HTTPS, а он пробрасывает его на внутренний сервер по HTTP. По-моему, очень удобно. И проблем с подключением RMM к роутеру нет.

Есть KN-1810, прошивка 3.7.1. После добавления в RMM в логе каждые 1,5-2 минуты появляется запись: [E] Jan 22 02:00:09 ndm: Core::Configurator: not found: "show/mws/member" [http/rci]. Удалил из RMM. Ошибки прекратились.

Ошибка при получении сертификата возникает из-за ip http ssl redirect, который действует и на проксируемые домены. Чтобы она не возникала, надо на время получения сертификата либо отключить редирект на SSL, либо удалить домен из настроек прокси. Иначе letsencrypt обращается на порт 80, его перебрасывают на порт 443, а там роутер не отвечает, по-видимому, из-за отсутствия сертификата. Отсюда отвал по таймауту.

Ошибка [E] Aug 15 11:01:21 ndm: Acme::Runner: response code 302 (Moved Temporarily). возникает из-за ip http ssl redirect, который действует и на проксируемые домены. Если отключить редирект на SSL, то получение сертификата проходит успешно и без удаления записей из прокси. "should-be-renewed: no" скорее всего говорит о том, что сертификат продлять ещё рано. Сертификат можно продлить не ранее, чем за месяц до истечения срока действия.

Добрый день! А почему при включённом ip http ssl redirect происходит перенаправление http на https на reverse proxy на своём домене? Например, есть у меня домен xxxxx.ru Я настроил в DNS: test.xxxxx.ru CNAME xxxxx.keenetic.pro Я настроил прокси на KN-1810: ip http proxy test upstream http 192.168.1.25 domain static xxxxx.ru security-level public Приходит HTTP-запрос: GET /index.html HTTP/1.1 Host: test.xxxxx.ru Keenetic выдаёт ответ: HTTP/1.1 302 Moved temporarily Location: https://test.xxxxx.ru/index.html А на 192.168.1.25 у меня нет никакого HTTPS. По описанию ip http ssl redirect должно действовать только для доменов с сертификатами. По идее это вообще должно работать только с NDMS-доменами. В общем пришлось писать no ip http ssl redirect , только тогда отключился редирект в reverse-proxy. Я правильно понял, что редирект можно отключить только глобально?