r13

На кинетике поднимается именно сервер, а вы уже клиентом к нему подключаетесь. KeenDNS проксирует SSTP туннель

Wireguard на VIVA KN-1910 вполне шустр

Я бы не был таким голословным и не думаю что у вас есть такая информация. Почему же нет, вот тут все расписано: https://help.keenetic.com/hc/ru/articles/115000990005-Таблица-актуальных-версий-KeeneticOS

Новое приложение работает, только с относительно новыми прошивками. С КIII не работает.

Перерос видимо кинетик ресурс в виде роутера с opkg 😁

Старый веб такую конструкцию не знает и на ней ломается. Так что с этой фишкой дальнейшие манипуляции с nat только через cli

Добавлять в автозагрузку https://github.com/ndmsystems/packages/wiki/Opkg-Component

Да не такие уж другие, +180 рублей вот тебе и статика (ростелеком мск)

Постоянный и статический в данном контексте слова синонимы, так что в данной ситуации вы не правы.

Вариант для клиентского конфига: /opt/etc/wireguard/wg0.conf [Interface] PrivateKey = {BlaBlaBla} ListenPort = 51820 [Peer] PublicKey = {BlaBlaBla} AllowedIPs = 0.0.0.0/0 Endpoint = {ServerIP:Port} PersistentKeepalive = 120 /opt/etc/wireguard/wg-up #!/bin/sh insmod /lib/modules/4.9-ndm-2/wireguard.ko 2>/dev/null ip link del dev wg0 2>/dev/null ip link add dev wg0 type wireguard wg setconf wg0 /opt/etc/wireguard/wg0.conf ip address add dev wg0 {IntefaceIP/Mask} ip link set up dev wg0 ifconfig wg0 mtu 1420 ifconfig wg0 txqueuelen 1000 iptables -A FORWARD -o wg0 -j ACCEPT iptables -A OUTPUT -o wg0 -j ACCEPT iptables -t nat -I POSTROUTING -o wg0 -j MASQUERADE /opt/etc/wireguard/wg-down #!/bin/sh ip link del dev wg0 2>/dev/null /opt/etc/init.d/S01wireguard #!/bin/sh PATH=/opt/sbin:/opt/bin:/opt/usr/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/u case $1 in start) logger "Starting WireGuard service." /opt/etc/wireguard/wg-up ;; stop) /opt/etc/wireguard/wg-down ;; restart) logger "Restarting WireGuard service." /opt/etc/wireguard/wg-down sleep 2 /opt/etc/wireguard/wg-up ;; *) echo "Usage: $0 {start|stop|restart}" ;; esac В первых двух скриптах подставить свои ключи и IP адреса Далее настроить маршрутизацию по вкусу и настроить хуки netfilter для восстановления правил на кинетике

Ядро 4.9 обязательное условие независимо entware или нет.

В opkg нет wg-quick поэтому все делать ручками. Вечером скину конфиги как настраивал. ЗЫ В мануале он появится не раньше чем станет частью прошивки, а не пакетом в opkg

SNI это же не вещь в себе, а часть tls обмена, как оно может быть на роутере?

Хотите без bootstrap, используйте dot. PS в хотя подмены в bootstrap можно в принципе не боятся, так как не верный ресурс не пройдет валидацию по сертификатам.

При наличии dot/doh обычные не используются совсем. Недоступность dot/doh не влияет на поведение.

Ну в нашем дремучем лесу хорошо если провайдер в принципе ipv6 дает, не то что статику. Например упомянутый domru только /64 дает физикам, что как бы не комильфо. Пока только брокеры нормально раздают v6 клиентам, а провы в сад шлют с ipv6 и за нат по v4.

@vst Добрый день, Добавьте в список хотелок хук на изменение префикса ipv6 провайдером! ЗЫ или и сейчас есть какие нибудь варианты это отлавливать?

Через обычные гугловые

BusyBox v1.30.1 () built-in shell (ash) ~ # opkg list ebtables ebtables - 2018-06-27-48cff25d-1a - The ebtables program is a filtering tool for a bridging firewall. The filtering is focussed on the Link Layer Ethernet frame fields. Apart from filtering, it also gives the ability to alter the Ethernet MAC addresses and implement a brouter.

Да почти сразу, в старые устройства клиент попал ошибочно.

Уже реализовано Попробуйте ручками https в адресе прописать при обращении

Второй тоже 1910? Если нет то все правильно.

ebtables из opkg по идее должен справиться с задачей

Или балансировка соединений(настройка через cli) Добавлена возможность одновременного использования WAN-подключений в режиме балансировки (настройка доступна через CLI командой ip policy {name} multipath);

Раз вы отключили выдачу по dhcp, то нужно присвоить интерфейсу статический ip, прописать default route через этот интерфейс, а также dns. Тогда заведется.