pppppppo_98

ну и кто пользовал? как ощущения? как скорость? Можно ипользовать в качестве запасной ВПН при нормальной настройке маршрутизации? Или пока поделие для фриков?

Подниму тред... Есть у кого-то успехи... У меня то всего с полтора десяток интерфейсов, но как-то сильно уже не айс постоянно переписывать маршруты и политики. какик пакеты использовали?

что то в вашем скриптре я таки не нашел как передавать параметры модулю... есть такая строка do_nfqws $1 $DNUM_WG4ALL "$opt" но как параметры передаются модулю загадка... ЗЫ Я посмотрел на x86-64 modinfo wireguard ; modinfo qmneziawg ... у первого вообще нет параметров, у второго какие-то 3 штуки есть, но как связаны с параиетрами awg - загадка. Не я понимаю что наверное У кинетика свой патч для ваергуарда, но как конфинурировать модуль я не увидел

у мобильных провайдеров блокируется уже год....Например московский МТС

Это как

точно в ядро линукс (ванильная ветка) добавили, или таки патч выложили без официальной поддержки?

проы мне выдает сеть /56 на кинетик (внутренний интерфейс по dhcpv6). ниже во внеутреннней сети у меня стоит опревртван. Вот хотелось что бы он получил от кинетике сеть /60 и ужо он раздел сеть /.64 своим внутренним девайсам - иначе slaac openwrt one не могцу настроить на slaac

Не то . возможно... На самом деле значительную роль играет пропускание трафика в сторону твоих приров, есть так скажнмы пиры нежелательные

Ентваре не пробовал ставить?

Вот это как раз чушь... Сама амнезиявг постоянно патчится, причем иногда у нее существенные для безопасности патчи... Да и сама амнезияаг - это по сути костыли для ваергуарда, пользущаяся спросом в России - весьма небольшом рынке в мировом масшьтабе, в остальном мирк м вагилтный вакрнуарж пока работаит. И подумай с точки зрения компании, стоит ли сильно форсированно вкладываться в добавление в сабж новых фич... Хочешь экспериментов - ставь Ентваре на роутер - там амнезиявг 2.0, или роутер с опенврт купи

Имеется kn1012 (c Ентварей на усб). Он стоит на входе в сеть. Провайдер ему на интерфейс br0 выдает (видимо методом DHCPv6-PD) выдвет ему префикс xxxx:xxxx:xxxx:xxxx/56 (вижу это на статусно панели роутера) - то есть длины 56. К интерфейсу br0 присоединены домашние устройства , в том числе еще один роутер (openwrt) Для объявлений о конфигурации icmpv6 134 стало быть создает вот такой конфигурационный пакет на интерфейсе br0 prefix xxxx:xxxx:xxxx:xxxx ::/64 { AdvValidLifetime 1784; AdvPreferredLifetime 1784; AdvOnLink on; AdvAutonomous on; AdvRouterAddr off; }; # End of prefix definition r Роутер опенврт имеет два интерфейса eth0 (соединенный с br0 кинетика) и br-lan (для соединения других хостов). На интерфейсе eth0 я средствами SLAAC получилi pv6. На интерфейсе br-lan его нет. Хотелось бы получить ipv6 на br-lan ниже лежащих устройствах. Насколько я понимаю делегация префиксов для нижележащих устройств, с префиксом полученным от вышележащего кинетика с делегирующим префиксом длины 64 (см выше пакет выше) работать не будет. Но между провайдерским /56, и /64 еще лежит /60. Как средствами ndm/cli сделать длину в пакете /60? Не приведет ли к тому, что потеряют ipv6, иные связаннные с br0 кинетика устройства (nas, ноуты, и пр.)? Или надо убивать системный radvd, формировать новый radvd.conf и запускать radvd? или поднимать dhcpv6 с функцией PD на интерфейсе br0. А как его конфигурировать провайдерский то префикс xxxx:xxxx:xxxx:xxxx/56 динамический PS Кто нибудь нормально растолкует значение команд https://storage.googleapis.com/docs.help.keenetic.com/cli/4.2/ru/cli_manual_kn-1012_ru.pdf 3.84.4 ipv6 subnet prefix delegate и 3.84.5 ipv6 subnet prefix length Мало того в документации ошибка ибо # ndmc -c ipv6 subnet Default prefix length 64 ~ # ndmc -c ipv6 subnet Default prefix delegate 60 Network::Ip6::Subnets error[39584564]: delegate length must be greater than subnet length 64. # ndmc -c ipv6 subnet Default prefix length 60 Network::Ip6::Subnets: Length /60 and number 0 are assigned to subnet "Default". ~ # ndmc -c ipv6 subnet Default prefix delegate 64 Network::Ip6::Subnets: Delegate length is /64 assigned to subnet "Default". ~ # echo $? 0 то есть при len(prefix)>len(delegate_prefix) возникает ошибка

дело в том что у меня тоже РТК (правда ЦФО), и тоже проводной. Дык вот одновременно на одном роутере работает несколько соединений правда внутри 1/7 части суши, и одновременно и протокол 1.0 и 2.0 (я на 2.0 перешел ровно потому что прочел про ужасы жизни тут на форуме)...Может таки у вас конкретно проблемы с прохождением трафика в эту конкретную endpoint, а не с глобвльной блокировкой awg 1.0... Не пробовали случайно устанавливать соединения с другими географически разненсенными endpoint? PS О непрохлждении трафика на собственном опыте мне известно - но только в сетях мобильных операторов, и только чистый ваергуард..

это где такой ужос творится?

Уважаемые а изложите мне такой вопрос. А сколько ресурсов (памяти и средняя дополнительная нагрузка на процессор) будет примерно отжирать в системе этот пакет (я так понимаю он базируется на протоколе bgp и пакете маршрутизации bird?). Ресь идет об установке этого пакета на кn1012, kn1912, kn1910 Ну и соотвественно какой примерно размер списка cidr для зоны ru? Насколько это решение приемлимо что бы заврнуть на него всю зону ру? Не встанет ли колом роутер , укотрого еще висит 4 соединения amneziawg (с несильной нагрузкой - скажем в пределе - 1-2 канал ютюба все вместе)

https://serverfault.com/questions/1141369/ping-and-mdns-over-wireguard-not-working PostUp = ip l set wg0 multicast on Это для wg-quick. Но можно попробовать и вручню

А куча паразитного (широковещательного) трафика не полезет ли по этому тоннелю? ...Сорри не заметил топик стартер как раз жаждет что бы broadcast паекты лезли...

В entware точно умеет. Проверено. ЗЫ Я вижу уже проверили . Настраиваете интерфейс не через веб морду а через подключение модуля и wg по стандартному мануалу https://www.wireguard.com/quickstart/ Не забудьте пошаманить с фаеровлом и натом. Я открываю порты в цепочке DELEGATED_FORWARD (ipv6). C NAT (ipv4) могут быть косяки из-за того что NDM по усолчанию весь трафик S-натит (изменяя естественно адрес), что не есть айс. Маршрутизация можно делать в основной табоице , но я часто и густо делаю в разных (source-based routing) и вставляю правила с помощью ip rule. Да не забудьте в mangle clampmss сделать, или ограничить mss для tcp соединений. На этот косяк нарываются многия. И установить mtu подходящий на ваш интерфейс ваергуард

спасибо вроде работает

Короче хотелось бы средствами CLI получить конфигурацию типа iptables -t nat -I POSTROUTING 1 -br0 -o !eth2.2 -j RETURN iptables -t nat -I POSTROUTING 2 -i br0 -o eth2.2 -j MASQUERADE ну или хотя бы iptables -t nat -I POSTROUTING 1 -o nwg1 -j RETURN

Убрал no ip nat Bridge0... Отвалился интернет (Через FastEthernet/Vlan2)... вернул назад дабы хотя бы это пост написать

Наверное стандартный вопрос. Но предлагаемые решения при быстром гуглении (в то числе с ответами с этого форума) к решению не приводят Итак есть кинетик k-1311. На нем настроен ваергуард который связывает несколько сетей. Все работает. Но обратил внимание что при прохождения трафика из сети A (домашняя сеть кинетика) через кинетик в сеть Б, кинетик SNATит трафик за собой. Все былонормально пока в сети Б не пооявился asterisk, который плохо любит NAT, затонормально работает с диапозоном адресов сети A. Разбираться с астериском пока времени нет. Поэтому быстрый вопрос как отключить SNAT на kn1311 средствами CLI PS 1. no ip nat WIREGUARD делал не помогает Конфигурация "isolate-private", "interface FastEthernet0/Vlan2", " rename ISP", " description xxx", " mac address factory wan", " security-level public", " ip address dhcp", " ip dhcp client hostname xxx", " ip dhcp client dns-routes", " ip mtu 1500", " ip access-group _WEBADMIN_FastEthernet0/Vlan2 in", " ip global 700", " ip no name-servers", " ipv6 address auto", " ipv6 prefix auto", " ipv6 name-servers auto", " up", "!", "interface Bridge0", " rename Home", " description \"Home network\"", " inherit FastEthernet0/Vlan1", " include WifiMaster0/AccessPoint0", " mac access-list type none", " security-level private", " ip address 192.168.xxx.1 255.255.255.0", " ip dhcp client dns-routes", " ip name-servers", " iapp key ns3 xxxxxxxxxxxxxxxxxx", " up", "!", "interface Wireguard1", " description Opportunity", " security-level public", " ip address 10.73.xx.yy 255.255.255.0", " ip mtu 1390", " ip tcp adjust-mss pmtu", " ipv6 address xx", " wireguard listen-port xx", " wireguard asc xx xx xx ", " wireguard peer xxx !xxx", " endpoint xxx", " keepalive-interval 90", " connect", " !", " up", "!",

спасибо вылечилось... Я так понимаю вы близки к разработчикам... Но теперь другой вопрос/предложение. По стандарту ULA имеет маску 48, а провайдеры выдают GUA префиксы из с маской в лучшем случае 56 (а иногда иболее) . Собственно у меня так и было. Ну и стало быть когда а начал соединять физически разделенные сети в рамках одного префикса 48 у меня и возник конфликт. А нельзя ли разделить конфинурацию префикса подсети ULA и GUA

Итак есть два роутера. Оба всети одного провайдера , но вразных районах. Один kn1012, второй kn1910, который пытаюсь настроить. На обоих прошивка 5.0-alpha10 конфигурация kn1012 (рабочая) ... "interface GigabitEthernet1", " rename ISP", " mac address factory wan", " security-level public", " ip address dhcp", " ip dhcp client hostname Keenetic-1012", " ip dhcp client dns-routes", " ip mtu 1500", " ip global 700", " ip no name-servers", " ipv6 address auto", " ipv6 prefix auto", " ipv6 name-servers auto", " up", "!", .... "interface Bridge0", " rename Home", " description Vznet", " include GigabitEthernet0/Vlan1", " include WifiMaster0/AccessPoint0", " include WifiMaster1/AccessPoint0", " mac access-list type none", " security-level private", " ip address x.x.x.x 255.255.255.0", " ip dhcp client dns-routes", " ip name-servers", " ipv6 prefix auto", " band-steering", " up", "!", .... "ipv6 subnet Default", " bind Bridge0", " mode slaac", " prefix length 64", " number 0", "!", .... и получаю на этом устройстве вот такой бродкаст для slaac # # radvd configuration generated by radvdump 2.20 # based on Router Advertisement from fe80::3041:dbff:fe2d:7910 # received by interface wlp2s0 # interface wlp2s0 { AdvSendAdvert on; # Note: {Min,Max}RtrAdvInterval cannot be obtained with radvdump AdvManagedFlag off; AdvOtherConfigFlag on; AdvReachableTime 0; AdvRetransTimer 0; AdvCurHopLimit 64; AdvDefaultLifetime 1800; AdvHomeAgentFlag off; AdvDefaultPreference medium; AdvSourceLLAddress on; prefix yyyy:yyyy:yyyy::/64 { AdvValidLifetime 4294966773; AdvPreferredLifetime 4294966773; AdvOnLink on; AdvAutonomous on; AdvRouterAddr off; }; # End of prefix definition prefix 2a02:2168:zzzz:zzzz::/64 { AdvValidLifetime 1278; AdvPreferredLifetime 1278; AdvOnLink on; AdvAutonomous on; AdvRouterAddr off; }; # End of prefix definition route kkkk:kkkk:kkkk:kkkk:kkkk:kkkk:kkkk:kkkk/128 { AdvRoutePreference low; AdvRouteLifetime infinity; # (0xffffffff) }; # End of route definition RDNSS fe80::3041:dbff:fe2d:7910 { AdvRDNSSLifetime 600; }; # End of RDNSS definition }; # End of interface definition "ipv6 local-prefix yyyy:yyyy:yyyy::/48", все работает . Все ок Теперь девайс kn1910. Почти такая же, но почему-то уде не рабочая конфигурация "interface GigabitEthernet1", " rename ISP", " mac address factory wan", " security-level public", " ip address dhcp", " ip dhcp client hostname Keenetic-1531", " ip dhcp client dns-routes", " ip mtu 1500", " ip global 32767", " ip no name-servers", " ipv6 address auto", " ipv6 prefix auto", " ipv6 name-servers auto", " up", .... "interface Bridge0", " rename Home", " description \"Home network\"", " inherit GigabitEthernet0/Vlan1", " include WifiMaster0/AccessPoint0", " include WifiMaster1/AccessPoint0", " mac access-list type none", " security-level private", " ip address x.x.x.x 255.255.255.0", " ip dhcp client dns-routes", " ipv6 prefix auto", " band-steering", " up", "!" ... "ipv6 subnet Default", " bind Bridge0", " mode slaac", " prefix length 64", " number 459", "!", "ipv6 local-prefix dddd:dddd:dddd::/48", И получаю в бродкасте такой пакет SLAAC # # radvd configuration generated by radvdump 2.20 # based on Router Advertisement from fe80::52ff:20ff:fe50:d68c # received by interface enp2s0 # interface enp2s0 { AdvSendAdvert on; # Note: {Min,Max}RtrAdvInterval cannot be obtained with radvdump AdvManagedFlag off; AdvOtherConfigFlag on; AdvReachableTime 0; AdvRetransTimer 0; AdvCurHopLimit 64; AdvDefaultLifetime 0; AdvHomeAgentFlag off; AdvDefaultPreference medium; AdvSourceLLAddress on; prefix dddd:dddd:dddd:dddd::/64 { AdvValidLifetime 4294966479; AdvPreferredLifetime 4294966479; AdvOnLink on; AdvAutonomous on; AdvRouterAddr off; }; # End of prefix definition route kkkk:kkkk:kkkk:kkkk:kkkk:kkkk:kkkk:kkkk/128 { AdvRoutePreference low; AdvRouteLifetime infinity; # (0xffffffff) }; # End of route definition RDNSS fe80::52ff:20ff:fe50:d68c { AdvRDNSSLifetime 600; }; # End of RDNSS definition }; # End of interface definition --------------- ыидно что в списке префиксов ужен нет провайдерского префикса. при этом вывод команды show ipv6 prefixes что такой префикс в списке имеется (но почему-то не бродкастится) { "prefix": [ { "prefix": "dddd:dddd:dddd::/48", "interface": "", "valid-lifetime": "infinite", "preferred-lifetime": "infinite", "global": false }, { "prefix": "2a02:2168:wwww:wwww::/56", "interface": "GigabitEthernet1", "valid-lifetime": "1584", "preferred-lifetime": "1584", "global": true } ], "prompt": "(config)" } в рабочей конфигурации вывод этой команды аналогичен... accept_ra на клиентах правильно установлены (но вижно причина не в этом )

вроде поборол... Это у меня был косяк в другом скрипте он восстанавливал файл без 8.8.8.8 каждые 5 минут1 ща вроде держит без перезаписи /var/resov.conf c namesever 8.8.8.8 nameserer 127.0.0.1 Всем спасибо