pppppppo_98

судя по анализу файла парсинга (device/uapi.go) конфигурационного файла jc,jmin,jmax,s1-s4,h1-h4,i1-i5 Только вот все молчат как партизаны... Пользовался ли кто либо уже фичами связанными с I1-I5 - маскарирование под работу других udp сервисов PS кстати ядерный модуль для линуха в версии 2.0 уже тоже есть и там теже параметры https://github.com/amnezia-vpn/amneziawg-linux-kernel-module/blob/f5cce7206418b29aa65e680e8363f8c04f3b1f6f/src/device.h

у вас работатает а уменяя периодически когда захожу в метро не работает... ежели чо попробуйте попользоваться сервисом dynv6

Есть ньанесы. Блокировки они разные. Есть блокировки ДНС (в метро часто сталкиваюсь с блокировкой днс Гугла и других провайдеров), и если у вас настроен wg или awg с использованием имени (а не адреса) endpoint (пира), то ничего не спасет кроме перехода на конфигурацию с использованием ip. Проверено мною -вполне возможно использование на Ростелеком как мобильном, так и сетевом, и на мтс- все работает. Кстати ваергуард на сетевом Ростелекоме тоже работает(на мобильном не проверял)... Кстати днс яндексовский сейчас лучше работает чем гугловский. И в последнее время я наблюдаю незаконные (поелику днс серверы не внесены в реестр экстремистских ресурсов) блокировка трафика в сторону нестандартных для страны днс серверов

А I1 пакет использовал? Откуда брал? А I2-I5?

Однако судя из прочитанного здесь https://docs.amnezia.org/documentation/amnezia-wg/#how-it-works и здесь https://github.com/amnezia-vpn/amneziawg-go/pull/91 версии (более оання в этой же ветке и ваша) бек несовместимы, и по крайней мере по-хорошему стоило бы перименовать иполняемые файлы дабы не испортить рабочие конфигурации при апгрейде.

А в чем собственно отличие? Эта новая версия может маскарироваться под легальный tls трафик, как описано здесь https://docs.amnezia.org/ru/documentation/amnezia-wg/. С дополнительными опциональными конфигурационными параметрами?

1

https://serverfault.com/questions/1141369/ping-and-mdns-over-wireguard-not-working PostUp = ip l set wg0 multicast on Это для wg-quick. Но можно попробовать и вручню

А куча паразитного (широковещательного) трафика не полезет ли по этому тоннелю? ...Сорри не заметил топик стартер как раз жаждет что бы broadcast паекты лезли...

В entware точно умеет. Проверено. ЗЫ Я вижу уже проверили . Настраиваете интерфейс не через веб морду а через подключение модуля и wg по стандартному мануалу https://www.wireguard.com/quickstart/ Не забудьте пошаманить с фаеровлом и натом. Я открываю порты в цепочке DELEGATED_FORWARD (ipv6). C NAT (ipv4) могут быть косяки из-за того что NDM по усолчанию весь трафик S-натит (изменяя естественно адрес), что не есть айс. Маршрутизация можно делать в основной табоице , но я часто и густо делаю в разных (source-based routing) и вставляю правила с помощью ip rule. Да не забудьте в mangle clampmss сделать, или ограничить mss для tcp соединений. На этот косяк нарываются многия. И установить mtu подходящий на ваш интерфейс ваергуард

спасибо вроде работает

Короче хотелось бы средствами CLI получить конфигурацию типа iptables -t nat -I POSTROUTING 1 -br0 -o !eth2.2 -j RETURN iptables -t nat -I POSTROUTING 2 -i br0 -o eth2.2 -j MASQUERADE ну или хотя бы iptables -t nat -I POSTROUTING 1 -o nwg1 -j RETURN

Убрал no ip nat Bridge0... Отвалился интернет (Через FastEthernet/Vlan2)... вернул назад дабы хотя бы это пост написать

Наверное стандартный вопрос. Но предлагаемые решения при быстром гуглении (в то числе с ответами с этого форума) к решению не приводят Итак есть кинетик k-1311. На нем настроен ваергуард который связывает несколько сетей. Все работает. Но обратил внимание что при прохождения трафика из сети A (домашняя сеть кинетика) через кинетик в сеть Б, кинетик SNATит трафик за собой. Все былонормально пока в сети Б не пооявился asterisk, который плохо любит NAT, затонормально работает с диапозоном адресов сети A. Разбираться с астериском пока времени нет. Поэтому быстрый вопрос как отключить SNAT на kn1311 средствами CLI PS 1. no ip nat WIREGUARD делал не помогает Конфигурация "isolate-private", "interface FastEthernet0/Vlan2", " rename ISP", " description xxx", " mac address factory wan", " security-level public", " ip address dhcp", " ip dhcp client hostname xxx", " ip dhcp client dns-routes", " ip mtu 1500", " ip access-group _WEBADMIN_FastEthernet0/Vlan2 in", " ip global 700", " ip no name-servers", " ipv6 address auto", " ipv6 prefix auto", " ipv6 name-servers auto", " up", "!", "interface Bridge0", " rename Home", " description \"Home network\"", " inherit FastEthernet0/Vlan1", " include WifiMaster0/AccessPoint0", " mac access-list type none", " security-level private", " ip address 192.168.xxx.1 255.255.255.0", " ip dhcp client dns-routes", " ip name-servers", " iapp key ns3 xxxxxxxxxxxxxxxxxx", " up", "!", "interface Wireguard1", " description Opportunity", " security-level public", " ip address 10.73.xx.yy 255.255.255.0", " ip mtu 1390", " ip tcp adjust-mss pmtu", " ipv6 address xx", " wireguard listen-port xx", " wireguard asc xx xx xx ", " wireguard peer xxx !xxx", " endpoint xxx", " keepalive-interval 90", " connect", " !", " up", "!",

спасибо вылечилось... Я так понимаю вы близки к разработчикам... Но теперь другой вопрос/предложение. По стандарту ULA имеет маску 48, а провайдеры выдают GUA префиксы из с маской в лучшем случае 56 (а иногда иболее) . Собственно у меня так и было. Ну и стало быть когда а начал соединять физически разделенные сети в рамках одного префикса 48 у меня и возник конфликт. А нельзя ли разделить конфинурацию префикса подсети ULA и GUA