pppppppo_98

Конфигурацию сетевую приведите (нужны конфигурация пиров, номера портов - насколько понял у вас несколько соединений самих соежинеий у вас случаем не конфликтуют?). Я на подобные грабли наступал несколько раз.... Скореевсего ошибка в конфигурации амнезии и/или роутинг А вообще с амнензией начинаются проблемы. DPi добрались и до нее . У меня пол сети помрело, правда пол сети жива, что удивительно концы в обоих случаях в одной и тойже стране, а втой что померла дык еще и значительная часть самой сети имела внутреннний трафик (то есть содиниения российских подсетей)... За просвящался говорят возможно параметры надо подстроить. Еще бы инструкцию с учетом реального опыта работы с DPI о выборе параметров Jc, Jmin, Jmax, S1, S2 гашел вот такую гнормальную статю с разьяснениями... Но нет рекомендация для практики за исключением Jc. https://mk16.de/blog/amneziawg-en/ А тут пишут что есои понизить Jс - увеличивает шансы на прохождение DPI https://github.com/amnezia-vpn/amnezia-client/issues/1010

я обычно тспользую tcpdump с фильтрами - дабы посмотреть куда доходит какой трафик.

CLI - это вы имеете ввиду интерфейс команд идущий вместе с роутером и описываемый в отдельном pdf файле на 800+ страниц... А не в entware (и amneziawg-go с репозитария zyxmon). И стало быть amneziawg-go только поднимает tun интерфейс и все? или таки go приложение , а не модуль ядра управляет трафиком (аутентификация, маршрутизация, шифрование) ЗЫ Я развернул небольшую сеть с десяток нодов подключенных к одному awg-устройству на кинетике (с помощью amneziawg-go и entware). И вот начал замечать нестабильную работу awg...Примерно раз в неделю приходится перегружать роутер ибо при выполнении комманды awg - нет никакого вывода, и соттвественно подкоманды awg тоже не работают

а меняли дефолтные параметры amneziawg на собственные? Я запустил примерно с неделю назад - пока полет нормальный, но у меня автоматом соединения поднимаются (по cron) при отвале - я за логом особо не слежу

В свете написанного камерадом hophey выше что вот эти комманды означают? Что в ядерном модуле поддерживается расширенные папаметры, и что коммандой amnezia-go я только скармливаю ядру параметры связи(ключи, пиров, s1,s2,h1,h2...)...Так надо понимать?

Уважаемые... Из-за ограничений поддержки веб конфигуратора (не поддкрживаются ipv6 адреса в опсании endpoint, а у меня только такие публичные адреса), пришлось использовать пакет из entware wireguard, ибо там в текстовом файле проблем нет с настройкой ipv6 сетей. Дык вот есть два интерфейса wireguard, написанный на си, и wireguard-go, написанный на go. Второй как я понимаю все сетевые операции проводит в userspace и ИМХО посему быстрым врядли будет. Второй из этих инрфейсов скомпиллировал zyxmon, о чем составил отдельную ветку на форуме.. А вот первый сетевые операции проводит в ядре, подгрeжая модуль wireguard.ko, и поэтому шустрый. Это все контекст... Теперь вопрос. А как работает эта команда - я просмотрел wireguard.ko (strings wireguard.ko), команду wg (strings /opt/bin/wg), и не обнаружил никаких следов обработки параметров Jc, Jmin, Jmax, S1 ... И если я вношу в эти параметры в конфигурационный файл, то мне говорит система об ошибке в конфигурационном файле. Модуль ядра тоже никаких параметров не принимает. А как тогда параметры из interface {name} wireguard asc {jc} {jmin} {jmax} {s1} {s2} {h1} {h2} {h3} {h4} попадают в ядро для дальнейшей офусификации трафика...или ndm поднимает какой-то другой модуль ядра? Или вообще обработка трафика интерфейсов поднятых в веб морде кинетика идет не в ядре? На десктопах удалось собрать awg - но они не в постоянной работе... Теперь вот загвоздка в кинетиках

И снова вопрос , теперь не связанный с кинетиком. По инструкции инсталлировал amneziawg на убунту. А как теперь интерфейс поднять. Ваергуард поднимал по иструкции с самого сайта https://www.wireguard.com/quickstart/ командой wg setconf wg0 myconfig.conf А теперь какой командой awg setconf wg0 myconfig.conf? А никакой модуль перед этим подгружать в ядро не надо?

cпасибо

Какой вариант да 1. Да Peer1.h1=Peer2.h1 и Peer1.h2=Peer2.h2 или 2.Да Peer1.h1=Peer2.h2 и Peer1.h2=Peer2.h1? КАк бы заимоисключающие опции...

Маршруты это только часть проблемы. Причем коли речь идет о телике - то может оказаться что надо разобраться с мультикастом.. Вторая часть проблемы фаервол причем на обоих сторонах соединения... Отдельная еще песня блокирование трафика по географическому признаку - от него только нат помогает защитится.

Излагаю... Набил херову тучу шишок на этом... Если знать ворожью мову и прочесть программный документ на сайте ваергуард. ТО можно узнать что сам ваергуард вообще никак маршрутизацию не меняет, все шо он делает смотрит с какой сети пришел пакет, и дешифрует или шифрует с помощью публичного/приватного ключа трафик пиров ... Возможно создатели прошивок кинетика вставили вместе с создание самого ваергурд установку каких-то очевидных маршрутов, но в целом за маршрутизацию в ответе сам пользователь. Компетенция пользователя выстраивать политику маршрутизации с участием всех сетевых интерфейсов (не только ваергуард)своего хоста по своему желанию. Амнезия вообще лишь обфусицифицирует ваергуард, дабы относительно малоинтелектуальные скрипты DPI (ибо они преднзначены для быстрой обработки огромного трафика) не поняли что этот трафик ВПН.

А параметры h1 -h4 должны быть одинаковы для обоих пиров. или Peer1.h1=Peer2.h2 и Peer1.h2=Peer2.h1?

ИМХО... Скорее всего нет... Сегмент ru состоит из тысяч AS м сеиевыз префиксов... И не дело ВПНов заниматься обработкой запросов на маршрутизацию. Для этого есть другие сервисы... Как это желать хрен знает ... Наверное какой нибудь BGP демон поднимать и зону ру как-то ручками с помощью geoip выделять.

блин не пользуюсь родным встроенным в прощшивку wireguaerd( может и зря) из=за плохой поддержки ipv6 веб-мордой , на момент оконсания пользования (2 года назад), пользую из entware....но посмотю

Собственно сабж. Никто не видел готового пакета для кинетика? А виде модуля ядра нет? Сиотрю для андроида пакет создали, может и до кинетика докатилось? Ну и что раза с места не вставать. Никто не знает как как скрестить ужа и ежа. Быстродействие wireguard, вместе с аутентификацией, похожей на TLS. Shadowsocks, vless и прочие прокси обертки трафика wireguard нее предлагать - двойное шифрование и модификация пакетов силно снижают проищводительность PS Смторю здесь обсуждается openconnect. А как у этой VPN обстоит со скоростью соединения.