[Advanced security configuration (ASC) для WireGuard]

5 часов назад, cheburashkaDDNS сказал:

можно команду для удаления? 

Interface Wireguard0 no wireguard asc

5 часов назад, cheburashkaDDNS сказал:

и дополнительно, есть ли возможность посмотреть статус asc для выбранного интерфейса?

На стороне роутера - по наличию wireguard asc в настройках интерфейса.

На сервере я ставил пакет amneziawg.

Там команда

awg showconf awg0

покажет текущие настройки интерфейса awg0 и каждого клиента, подключенного к этому интерфейсу.

У клиента будет строка:

AdvancedSecurity = on или off

[Advanced security configuration (ASC) для WireGuard]

Извините, что морочил всем голову.

Оказалось, что сервер AmneziaWG умеет определять, поддерживает ли клиент режим Advanced Security и, соответственно, включает или не включает этот режим с данным клиентом.

[Advanced security configuration (ASC) для WireGuard]

Попробовал подключиться к серверу обычным клиентом Wireguard. Подключился. ☹️

Тогда непонятно, почему происходит подключение с настроенным на Кинетике ASC?

[Advanced security configuration (ASC) для WireGuard]

11 часов назад, Le ecureuil сказал:

В оригинальном коде из апстрима сделано так, что значения h1-h4 даже в выключенном состоянии остаются. Потому до ребута или пересоздания интерфейса без asc все будет работать.

Продолжаем эксперименты.

Удалил asc из настроек интерфейса. Выдалось сообщение:

Wireguard::Interface: "Wireguard0": reset ASC parameters.

Сохранил. Проверил, что их действительно теперь нет. Перезагрузил роутер. Соединение установилось.

Положил соединение.

Создал новое соединение на роутере, asc не настраивал. Прописал нового клиента на сервере. Перезапустил awg-сервис на сервере. Поднял новое соединение на роутере. Новое соединение установилось.

Перезагрузил роутер. Новое соединение установилось.

Что я делаю не так?

[Advanced security configuration (ASC) для WireGuard]

Прямо сейчас удалил asc из настроек интерфейса. Выдалось сообщение:

Wireguard::Interface: "Wireguard0": reset ASC parameters.

Сохранил. Проверил, что их действительно теперь нет. Положил интерфейс. Подождал 3 минуты. Поднял его. Соединение установилось.

Опять добавил asc. Выдалось сообщение:

Wireguard::Interface: "Wireguard0": set ASC parameters.

Сохранил. Проверил, что настройки asc появились. Положил интерфейс. Подождал 3 минуты. Поднял его. Соединение установилось.

Интерфейс Wireguard - единственный. Ну хоть в одном случае он же должен перестать работать?

Ничего не понимаю.

[Advanced security configuration (ASC) для WireGuard]

50 минут назад, avn сказал:

AmneziaWG сервер на кинетике?

Нет. VDS с Ubuntu.

[Advanced security configuration (ASC) для WireGuard]

У меня на сервере настроена AmneziaWG с такими параметрами:

Jc = 2
Jmin = 10
Jmax = 50
S1 = 23
S2 = 141
H1 = 1870705763
H2 = 1299454898
H3 = 788953432
H4 = 899222047
 

Так получилось, что я забыл прописать wireguard asc в кинетике. Тем не менее VPN-соединение поднялось. После того, как я прописал wireguard asc, VPN-соединение также поднимается. Как такое может быть?

[Ошибки в логе роутера после добавления в RMM]

Написал в личку.

[SSL connection error Failed to establish a secure connection to the device.]

Я использую для доступа к внутреннему серверу не переадресацию, а reverse-proxy. SSL включён. С помощью роутера получен сертификат для сервера на имя из своего домена. Таким образом к роутеру идёт обращение по HTTPS, а он пробрасывает его на внутренний сервер по HTTP. По-моему, очень удобно. И проблем с подключением RMM к роутеру нет.

[Ошибки в логе роутера после добавления в RMM]

Есть KN-1810, прошивка 3.7.1.
После добавления в RMM в логе каждые 1,5-2 минуты появляется запись:

[E] Jan 22 02:00:09 ndm: Core::Configurator: not found: "show/mws/member" [http/rci].

Удалил из RMM. Ошибки прекратились.

[проблема с получением сертификата на собственный домен]

Ошибка при получении сертификата возникает из-за ip http ssl redirect, который действует и на проксируемые домены.
Чтобы она не возникала, надо на время получения сертификата либо отключить редирект на SSL, либо удалить домен из настроек прокси.
Иначе letsencrypt обращается на порт 80, его перебрасывают на порт 443, а там роутер не отвечает, по-видимому, из-за отсутствия сертификата. Отсюда отвал по таймауту.

[Смена сертификата безопасности]

Ошибка
[E] Aug 15 11:01:21 ndm: Acme::Runner: response code 302 (Moved Temporarily).
возникает из-за ip http ssl redirect, который действует и на проксируемые домены.
Если отключить редирект на SSL, то получение сертификата проходит успешно и без удаления записей из прокси.
"should-be-renewed: no" скорее всего говорит о том, что сертификат продлять ещё рано.
Сертификат можно продлить не ранее, чем за месяц до истечения срока действия.

[Обратный прокси]

Добрый день!

А почему при включённом ip http ssl redirect  происходит перенаправление http на https на reverse proxy на своём домене?

Например, есть у меня домен xxxxx.ru

Я настроил в DNS:

test.xxxxx.ru    CNAME    xxxxx.keenetic.pro

Я настроил прокси на KN-1810:

ip http proxy test
    upstream http 192.168.1.25
    domain static xxxxx.ru
    security-level public

Приходит HTTP-запрос:

GET /index.html HTTP/1.1
Host: test.xxxxx.ru

Keenetic выдаёт ответ:

HTTP/1.1 302 Moved temporarily
Location: https://test.xxxxx.ru/index.html

А на 192.168.1.25 у меня нет никакого HTTPS.

По описанию  ip http ssl redirect должно действовать только для доменов с сертификатами. По идее это вообще должно работать только с NDMS-доменами.

В общем пришлось писать no ip http ssl redirect , только тогда отключился редирект в reverse-proxy.

Я правильно понял, что редирект можно отключить только глобально?