[завернуть трафик клиентов SSTP в мое подключение Wireguard]

9 часов назад, x13 сказал:

Это тоже делал-не помогло.

Странно. Данная команда добавит маршрут для клиента SSTP в

Скрытый текст

Авг 14 08:51:51 ndm SstpServer::Manager: user "UsrVP" connected from "2хх.хх7.1хх.ххх" with address "172.16.130.29". 


~ # ip rule add from 172.16.130.29/32 table 10
~ # ip rule
0:      from all lookup local 
9:      from 172.16.130.29 lookup 10 
10:     from all fwmark 0xffffa00 lookup main 
100:    from all fwmark 0xffffaaa lookup 10 ****** table для маркированных 
...

или 
~ # ip rule add from 172.16.130.29/32 table 75
~ # ip rule
0:      from all lookup local 
9:      from 172.16.130.29 lookup 75 
10:     from all fwmark 0xffffa00 lookup main 
100:    from all fwmark 0xffffaaa lookup 10 
...
451:    from 10.10.132.101 lookup 75 ****** table для интерфейса WG (для данной Policy0)
...

или 
~ # ip rule add from 172.16.130.29/32 table 75 prio 300
~ # ip rule
0:      from all lookup local 
10:     from all fwmark 0xffffa00 lookup main 
...
111:    from all fwmark 0xffffaaf blackhole
300:    from 172.16.130.29 lookup 75 
450:    from ххх.ххх.ххх.ххх lookup 74 
451:    from 10.10.132.101 lookup 75 
...

 

Как итог удаленный клиент подключился, вышел в интернет через провайдера (speedtest на клиенте провайдера), при применении выше правил удаленный клиент вышел через WG (speedtest на клиенте показал), что через WG.

ip nat sstp

 

 

[AmneziaWG]

1 час назад, EnemyDown сказал:

Настройки наконец-то принялись и подключение заработало. Но интернет через него не работает. Галочку "использовать для выхода в интернет" ставил. При трассировке любого сайта, определяет его IP, значит DNS видимо проходят. Но дальше ни один узел не пингуется.

Да как то без проблем, без всяких Тут хитрость надо применить, чтобы интернет через него заработал.

Скрытый текст

...
access-list _WEBADMIN_Wireguard1
    permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 ***** правила для WG интерфейса
    permit description Pr-IP
    auto-delete
! 
...
interface Wireguard1 **** сам WG интерфейс 
    description Pr...
    security-level public
    ip address 10.11.ххх.ххх 255.255.255.255
    ip global 64765 **** использовать для выхода в интернет, приоритет самый низ из всех 
    ip tcp adjust-mss pmtu
...
    wireguard asc ...
        keepalive-interval 120
        allow-ips 0.0.0.0 0.0.0.0
        allow-ips 192.168.1.0 255.255.255.0
        allow-ips 10.11.ххх.ххх 255.255.255.255
        connect via GigabitEthernet0/Vlan9 ***** второй провайдер
    !
    up
...
ip policy Policy2
    description WG-P
    permit global Wireguard1 ******************* галка в интернет+def маршрут в данной policy
    no permit global GigabitEthernet0/Vlan9 **** второй провайдер WAN2
    no permit global PPPoE0 ******************** первый провайдер WAN1
...
ip nat Wireguard3
...
ip hotspot
...
    policy Wireguard3 Policy2 ******* заворот удаленных клиентов WG роутра на данную policy
...
    host 70:КЛИЕНТ:e2 permit *************
    host 70:КЛИЕНТ:e2 policy Policy2 ***** локальный клиент в данной политики в которой WG1

DNS в настройках WG вообще не используется, так как все идет через AGH который контролирует это.

 

[завернуть трафик клиентов SSTP в мое подключение Wireguard]

8 часов назад, x13 сказал:

как узнать ,  table маршрутизации ( show ip policy ) для профиля?

Походу черезвеб морду не запустится. придется черезкомандную строку делать

192.168.1.1/a в 42B2 работает так же (в 4.2 - 42B1 - 192.168.1.1/webcli)

Скрытый текст

show ip policy

{
	"policy": {
		"Policy0": {
			"description": "C-",
			"mark": "ffffaaa",
			"table4": 10,
			"route4": {
				"route": [
					{
						"destination": "0.0.0.0/0",
						"gateway": "0.0.0.0",
						"interface": "Wireguard0",
						"metric": 0,
						"flags": "U",
						"rejecting": false,
						"proto": "boot",
						"floating": true,
						"static": false

...
		},
			"table6": 10,
			"route6": {}
		},
		"Policy1": {
			"description": "In-2",
			"mark": "ffffaab",
			"table4": 11,
			"route4": {
				"route": [
					{
						"destination": "0.0.0.0/0",
						"gateway": "0.0.0.0",
						"interface": "PPPoE0",
						"metric": 120,
						"flags": "U",
						"rejecting": false,
						"proto": "boot",
						"floating": false,
						"static": false
...

 

 

[завернуть трафик клиентов SSTP в мое подключение Wireguard]

25 минут назад, x13 сказал:

У вас получилось сделать не из командной строки?

Судя по тому что написано ранее.

Цитата

Самый простой вариант, начиная с 4.2:

- создать еще один сегмент

- привязать его к желаемой политике

- привызать к этому сегменту VPN-сервер (в настройках этого сервера)

Все из WEB. Если правильно понял - 1. новый сегмент -> в политику 2. SSTP к этому сегменту.

Скрытый текст

 

[AmneziaWG]

2 часа назад, EnemyDown сказал:

я так понял что interface скобки нужно оставить, иначе без них ругается

Не знаю как другим мне эти png невидно.

Скрытый текст

(config)> interface Wireguard1 wireguard asc ?

 Usage template:  
              asc {jc} {jmin} {jmax} {s1} {s2} {h1} {h2} {h3} {h4}

(config)> interface Wireguard1 wireguard asc х ххх хххх хх хх хх хх хх хх
Wireguard::Interface: "Wireguard1": set ASC parameters.
(config)> 

(config)> interface Wireguard1 wireguard asc х ххх хххх хх хх хх хх хх ? 

 Usage template:  
              asc {jc} {jmin} {jmax} {s1} {s2} {h1} {h2} {h3} {h4}

(config)> 

 

[Маршруты к сетям Google]

43 минуты назад, i81 сказал:

но формат другой, файл прилагаю.

https://ip-calculator.ru/#!ip=213.59.192.0/18

 

 

[Возможность пускать клиентов VPN по определенному интернет-подключению]

10 часов назад, Reolins сказал:

а можно ли как то сделать rate limit для полиси/private интерфейса wg/vpn сервера? 

Это не оно

Скрытый текст

 

ip policy Policy0
...
    rate-limit Wireguard0 input auto

 

 

[ipset-dns для выборочного роутинга]

8 минут назад, applick сказал:

Самое главное что работает.

Да без проблем можно и еще по больше. Для того чтоб определить маршрут для пакета нужно проверить таблицу маршрутизации, при совпадении отправить туда куда надо согласно записи, а если нет то на default.

[ipset-dns для выборочного роутинга]

1 час назад, applick сказал:

Чтобы ютуб заработал c этим dns на телефоне, мне на роутере пришлось пробросить статические маршруты ютуба. Заходим в роутер > Сетевые Правила > Маршрутизация и выбираем загрузить из файла (Файлы я прикрепил ниже).

Больно большой списочек, 142.250 и 173.194 и 74.125 и 209.85.128 чуток не хватает (видимо от пров.) можно об'еденить, а так же есть лишнии так как есть uBlock для браузера, который блокирует некоторые и в тоже время youtube все равно работает.

[Почему wireguard на Keenetic медленее?]

13 часа назад, alex772 сказал:

Сделал wireguard через Amnezia на Giga (KN-1011), все работает. Меряю скорость: 110 Mbps \ 90 Mbps

Отключаю wireguard с роутера, подключаю его через приложение Amnezia на ПК и скорость: 219 Mbps \ 180 Mbps

(Сервер один и тот же, подключение одно и тоже)

Через роутер получается почти в 2 раза медленее. Почему так?

Как написано выше - KN-1011 это проц 7621 (и его аналоги) скорость WG максимум 150Мбит, если надо 400Мбит скорость то этого любой ARM в Keenetic (7622/7981)

[AmneziaWG]

23 минуты назад, EnemyDown сказал:

Можно по подробнее пожалуйста, в каком виде, где  и как прописывать?
Через командную строку пишет что не найдено name интерфейса, хотя введено оно верно. Прошивка 4.2 beta 2

 

Скрытый текст

interface Wireguard1
    description Pхххххх
    security-level public
...
    wireguard asc хх ххх хххх хх хх хх хх хх хх

или

interface Wireguard1 wireguard asc хх хххх хххх хххх хххх хххх хххх хххх хххх

 

 

[Не загружается страница "Список клиентов" (4.2 Beta 0)]

42B2 попробовал так и не работает, приходится в мобильном приложение все "передергивать"

[Advanced security configuration (ASC) для WireGuard]

1 час назад, Noatitauaggi сказал:

Что я делаю не так?
И так interface {WG} wireguard asc {9} {50} {1000} {27} {110} {541972455 } {339647423 } {1461438265 } {117583223}
 

 

Скрытый текст

... wireguard asc 9 50 1000 27 110 541972455 339647423 1461438265 117583223

 

[AdGuard Home для селективной маршрутизации доменов]

В 05.08.2024 в 11:19, avn сказал:

Для тех, кто в теме по dnsmasq и ADH, можете адаптировать под себя обвязку для YT.

Для ARM проца все ОК (AGH+tpws+iptable). tpws тут уже свой не для mipsle. Ручная проверка.

1. AGH

Скрытый текст

  ipset: []
  ipset_file: /opt/home/AdGuardHome/ipset.conf

  
  
  файл ipset.conf
  googlevideo.com/un-tpws

Создать hash таблицу

ipset create un-tpws hash:net timeout 86400 family inet -exist

timeout 86400 - 1 сутки.

2. tpws (ARM)

Скрытый текст

./tpws --user=nobody --port 9433 --bind-iface4=br0 --pidfile=/var/run/tpws.pid --disorder --tlsrec=sni --split-pos=2

 

3. iptables

Скрытый текст

iptables -t nat -I PREROUTING -i br0 -p tcp --dport 443 -m set --match-set un-tpws dst -j REDIRECT --to-port 9433

 

4. итог

Скрытый текст

На всякий случай 443 порт освобожден в ПО роутера

ip http ssl port 8443

Проверка наполнения hash таблицы адресов согласно ipset

~ # ipset list un-tpws


Проверка iptables

   51  4918 REDIRECT   tcp  --  br0    *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443 match-set un-tpws dst redir ports 9433

По status

~ # cat /proc/18571/status
Name:   tpws
Umask:  0022
State:  S (sleeping)
Tgid:   18571
Ngid:   0
Pid:    18571
PPid:   4052
TracerPid:      0
Uid:    65534   65534   65534   65534
Gid:    65534   65534   65534   65534
FDSize: 64
Groups:  
VmPeak:      508 kB
VmSize:      436 kB
VmLck:         0 kB
VmPin:         0 kB
VmHWM:       324 kB
VmRSS:       268 kB
RssAnon:             260 kB
RssFile:               8 kB
RssShmem:              0 kB
VmData:       32 kB
VmStk:       132 kB
VmExe:       412 kB
VmLib:  18446744073709551400 kB
VmPTE:        16 kB
VmPMD:        12 kB
VmSwap:        0 kB
Threads:        1


tpws    18571 nobody   3u     IPv4 1734630      0t0     TCP 192.168.1.1:9433 (LISTEN)
tpws    18571 nobody   4u  a_inode     0,9        0    1025 [eventpoll:3,21,22,29,30]
tpws    18571 nobody  21u     IPv4 1735756      0t0     TCP 192.168.1.1:9433->192.168.130.20:48016 (ESTABLISHED)
tpws    18571 nobody  22u     IPv4 1735758      0t0     TCP ххх.ххх.ххх.хх7:53410->213.xxx.xxx.78:https (ESTABLISHED)
tpws    18571 nobody  23r     FIFO     0,8      0t0 1735759 pipe
tpws    18571 nobody  24w     FIFO     0,8      0t0 1735759 pipe
tpws    18571 nobody  29u     IPv4 1735946      0t0     TCP 192.168.1.1:9433->192.168.1.2:58033 (ESTABLISHED)
tpws    18571 nobody  30u     IPv4 1735948      0t0     TCP xxx.xxx.xx.xx7:52548->sXXXXXXX-in-f32.xxxxxx.net:https (ESTABLISHED)

 

 

[Пробуем КВАС]

6 часов назад, Evil_Raven сказал:

При обновлении прошивки роутера до версии 4.2 Beta 1 возникает проблема: при переходе в раздел "Мои сети и Wi-Fi" и попытке открыть "Список клиентов" начинается бесконечная загрузка.

 

[AdGuard Home для селективной маршрутизации доменов]

4 часа назад, avn сказал:

Я ориентируюсь на свой опыт. Мне помогло. Тут каждый решает сам.

Да не вопрос, я просто ссылку почитать.

[AdGuard Home для селективной маршрутизации доменов]

8 часов назад, avn сказал:

достаточно фрагментировать sni.

https://habr.com/ru/articles/831846/comments/

Скрытый текст

.....Едва-ли фрагментированный SNI повлияет на скорости загрузки......

 

[AdGuard Home для селективной маршрутизации доменов]

20 часов назад, vkblack сказал:

В ошибке он ругается что не может прочитать 0x$mark_id

У вас скорей всего ошибка в строке

mark_id=`curl -kfsS http://localhost:79/rci/show/ip/policy 2>/dev/null | ... | .mark'`

Смотрите вывод команды - show ip policy в webcli наример Policy0 или Policy1 и так далее.

[AdGuard Home для селективной маршрутизации доменов]

8 часов назад, Marelych сказал:

Такая же ситуация и никак не можем решить.

А как вы ее пытаетесь решить?

Сам механизм ниже.

1. ipset create ИМЯ_списка hash:ip hashsize 4096

2. iptables ... -m set --match-set ИМЯ_списка dst -j MARK --set-mark ПОЛИТИКА_Policy

3.
ipset: []
ipset_file: /opt/home/AdGuardHome/ipset.conf

4.
/opt/home/AdGuardHome/ipset.conf
flxvpn.net,.....,nflxvideo.net/ИМЯ_списка

5. ПОЛИТИКА_Policy - web/cli команда "show ip policy" 

Policy0": {
			"description": "Cl",
			"mark": "ffffaaa",
...

ПОЛИТИКА_Policy - может быть созданная вами или готовая в системе.

[Копирование настроек]

2 часа назад, Дмитрий211 сказал:

Здравствуйте, подскажите, например есть Keenetic EXTRA, есть необходимость поменять его на более мощную модель, например на Keenetic HERO 4G+, есть ли возможность перенести настройки с одного роутера на другой ? Можно сохранить startup-config и загрузить в другой роутер. Так делают, какая правильная практика?

Лучше сначала ручками WEB настройки интернета/Wifi сделать, а то что касается клиентов/маршрутов - то "определенные блоки" которые можно перенести из одного конф в другой (копированием). Прокидка портов тут нужно смотреть, так как у вас Extra это 100Мбит интерфейсы, а у KN-2311 это 1Гбит интерфейсы имеют разные имена, но так же все решаемо.

[Сообщения "этот параметр задается контроллером Wi-Fi-системы"]

3 часа назад, eralde сказал:

 Но без четкого сценария кому и зачем так частно нужно ходить на экстендер вряд ли мы договоримся до того, что устраивает всех

Решил сегодня посмотреть лог и как с клиентами.

Скрытый текст

Конечно не часто туда заходишь, но заходишь.

 

3 часа назад, eralde сказал:

Если бы у нас было бесконечное время и ресурсы, веб-интерфейс позволял бы настраивать что угодно и как угодно. В реальной жизни, к сожалению, приходится выбирать что-то, что, на наш взгляд, выглядит наиболее полезным.

В WEB - "управление - параметры системы"  есть такие поля как "Удобство навигации", галка в "Префикс в название", "Параметры системы" ну видимо они важны раз размещены. Возможно ли так же добавить "галку" для показа данного окна или нет, пусть не в WEB может в cli.

 

[Сообщения "этот параметр задается контроллером Wi-Fi-системы"]

1 минуту назад, eralde сказал:

На мой взгляд, скорее нужно добавить возможность больше всего настраивать с контроллера

Ну нет так нет. Хотя конечно плохо когда нет альтернативы.

 

[Сообщения "этот параметр задается контроллером Wi-Fi-системы"]

33 минуты назад, eralde сказал:

Зачем вы хотите его отключить?

Список того, что можно настроить на самом экстендере, если он включен в Wi-Fi-систему, очень небольшой. Показывать кучу заблокированных полей без объяснения причины блокировки -- странная затея.

Для начального использования вопросов нет, но после нескольких месяцев уже понятно что и как. Становится назойливо уже.

Может поставить галку, по умолчанию включена, а потом кому надо ставят отключить напоминание.

 

[Стат маршрут только в нужный Policy]

1. В текущей реализации ПО 4.2/4.1 в WEB .../staticRoutes при вводе стат.маршрутов они попадают во все политики (Policy) которые есть в системе.

2. Например, имеем Inet-1 (основной) на нем поднят VPN канал и для данного соединения Policy1, далее Inet-2 (резервный) на нем Policy2. Клиент в Policy2, но для него и только нужно добавить стат.маршрут до сети/узла через интерфейс WG (от Inet-1).

Есть ли возможность на странице /staticRoutes добавить поле выбора Policy -> default (как сейчас) или политику (Policy), исключив попадание данного маршрута в другие политики.

Скрытый текст

 

[packet loss on a wi fi network/потеря пакетов в wi fi сети]

В 19.07.2024 в 11:32, Testall сказал:

сеть состоит из роутера  Peak (KN-2710) EAU и 8 устройств Voyager Pro (KN-3510). Wi Fi Mesh система перекрывает все здание. Но наблюдаю просто огромный процент потери пакетов 25-40% в WiFI сети.

https://www.ixbt.com/comm/tech-80211g-super_1.shtml

Для ознакомления как работает Bursting это чуток для понимания работы wifi - работают два устройства остальные слушают, после передачи устройство должно получить подтверждение о получение ack если его не будет то будут повторы.

Второе - так как "Peak (KN-2710) EAU и 8 устройств Voyager Pro (KN-3510). Wi Fi Mesh система перекрывает все здание" то могут возникать коллизии

найти что-то по проще https://zvondozvon.ru/tehnologii/kompyuternye-seti/wi-fi-razdelyaemaya-sreda . Возможно у вас имеет место быть достаточное кол-во коллизий и как итог это время ожидания перед новой передачей.

В selftest устройств есть раздел <file name="proc:net/dev"> -> интерфейс прием/передача начните с него, на передаче есть "colls".

Еще раз проверьте что и как подключено, устройства для mesh провод/wifi (друг за другом или каждый в 2710) и т.д.

Цитата

то процент потерь становится нормальным, НО время прохождения пакета более 1000 милисекунд. На ноутбуке такой пакет считается потерянным. Пинг в локальной сети должен быть 1-10 милисекунд, но точно не 1000.

ПК ---Wifi--- 2710 ---Wifi--- смартфон

Скрытый текст

первый ПК с роутером, второй ПК-смартфон = это все на ПК.