pppppppo_98

не слушай... пропингуй 8.8.8.8 убедись что трафик идет через впн. Дальше доююавь 8.8.8.8 к твоим лнс серверам... Вообще аккурвтно надо относится к ДНС при использовании впн - нужно что бы и это трафик шел через ВПН , и нужно использовать сторонний ЖНС а не операторский - ибо он часто и густо работает несколько неправильно

что то в вашем скриптре я таки не нашел как передавать параметры модулю... есть такая строка do_nfqws $1 $DNUM_WG4ALL "$opt" но как параметры передаются модулю загадка... ЗЫ Я посмотрел на x86-64 modinfo wireguard ; modinfo qmneziawg ... у первого вообще нет параметров, у второго какие-то 3 штуки есть, но как связаны с параиетрами awg - загадка. Не я понимаю что наверное У кинетика свой патч для ваергуарда, но как конфинурировать модуль я не увидел

у мобильных провайдеров блокируется уже год....Например московский МТС

Это как

точно в ядро линукс (ванильная ветка) добавили, или таки патч выложили без официальной поддержки?

проы мне выдает сеть /56 на кинетик (внутренний интерфейс по dhcpv6). ниже во внеутреннней сети у меня стоит опревртван. Вот хотелось что бы он получил от кинетике сеть /60 и ужо он раздел сеть /.64 своим внутренним девайсам - иначе slaac openwrt one не могцу настроить на slaac

Не то . возможно... На самом деле значительную роль играет пропускание трафика в сторону твоих приров, есть так скажнмы пиры нежелательные

Ентваре не пробовал ставить?

Вот это как раз чушь... Сама амнезиявг постоянно патчится, причем иногда у нее существенные для безопасности патчи... Да и сама амнезияаг - это по сути костыли для ваергуарда, пользущаяся спросом в России - весьма небольшом рынке в мировом масшьтабе, в остальном мирк м вагилтный вакрнуарж пока работаит. И подумай с точки зрения компании, стоит ли сильно форсированно вкладываться в добавление в сабж новых фич... Хочешь экспериментов - ставь Ентваре на роутер - там амнезиявг 2.0, или роутер с опенврт купи

ip route add _cidr_/_mask_ dev _target_dev_ ... Ы некотрых случаях еще добавить src _target_src_... И перед этим добавит ip addr add dev _target_dev _cidr_/_mask_ dev _target_dev_ Вот здесь читать и будкт вам счастье https://www.opennet.ru/docs/RUS/LARTC/ 3,4 разделы https://www.opennet.ru/man.shtml?topic=ip&category=8&russian=0 https://baturin.org/docs/iproute2/ (некоторые разделы)

Если запускаете через entware, то имеются такие волшебные команды awg setconf ...awg syncconf ... awg addconf вот тут читайте https://man7.org/linux/man-pages/man8/wg.8.html

ок... спасибо... увидел тут https://github.com/amnezia-vpn/amneziawg-go тоже -------------- А теперь следующий вопрос по выбору i1 . В свете If the final size of any packet exceeds system MTU, it would be fractured into fragments, which looks suspicious Я беру пакет с алиэкспресс. Он дрстаточно длинный... Ну почти mtu (у меня 1420)... А откель взять поменьше -------------- И еще вопрос... в свете Custom signature packets does not carry any actual data, so there is no need to specify it on both sides. General recommendation is to use it on the client side only То есть на разных сторонах одного соединения могут быть разные I1-I5... И по сути они игнорируются

А может знаете что теги <rc>, <rd> означают ... Вот тут они упоминаются и в исходниках есть https://github.com/amnezia-vpn/amneziawg-linux-kernel-module/pull/124

Это в какой версии амнезии они стали диаплзлнами? 2.0

Если вы соединяете два пира, который вы пролностью контролируете (то есть можете на обоих концах сохжать свой конфиг файл, и запустить соединени), то не обязательно. https://github.com/amnezia-vpn/amneziawg-linux-kernel-module

Имеется kn1012 (c Ентварей на усб). Он стоит на входе в сеть. Провайдер ему на интерфейс br0 выдает (видимо методом DHCPv6-PD) выдвет ему префикс xxxx:xxxx:xxxx:xxxx/56 (вижу это на статусно панели роутера) - то есть длины 56. К интерфейсу br0 присоединены домашние устройства , в том числе еще один роутер (openwrt) Для объявлений о конфигурации icmpv6 134 стало быть создает вот такой конфигурационный пакет на интерфейсе br0 prefix xxxx:xxxx:xxxx:xxxx ::/64 { AdvValidLifetime 1784; AdvPreferredLifetime 1784; AdvOnLink on; AdvAutonomous on; AdvRouterAddr off; }; # End of prefix definition r Роутер опенврт имеет два интерфейса eth0 (соединенный с br0 кинетика) и br-lan (для соединения других хостов). На интерфейсе eth0 я средствами SLAAC получилi pv6. На интерфейсе br-lan его нет. Хотелось бы получить ipv6 на br-lan ниже лежащих устройствах. Насколько я понимаю делегация префиксов для нижележащих устройств, с префиксом полученным от вышележащего кинетика с делегирующим префиксом длины 64 (см выше пакет выше) работать не будет. Но между провайдерским /56, и /64 еще лежит /60. Как средствами ndm/cli сделать длину в пакете /60? Не приведет ли к тому, что потеряют ipv6, иные связаннные с br0 кинетика устройства (nas, ноуты, и пр.)? Или надо убивать системный radvd, формировать новый radvd.conf и запускать radvd? или поднимать dhcpv6 с функцией PD на интерфейсе br0. А как его конфигурировать провайдерский то префикс xxxx:xxxx:xxxx:xxxx/56 динамический PS Кто нибудь нормально растолкует значение команд https://storage.googleapis.com/docs.help.keenetic.com/cli/4.2/ru/cli_manual_kn-1012_ru.pdf 3.84.4 ipv6 subnet prefix delegate и 3.84.5 ipv6 subnet prefix length Мало того в документации ошибка ибо # ndmc -c ipv6 subnet Default prefix length 64 ~ # ndmc -c ipv6 subnet Default prefix delegate 60 Network::Ip6::Subnets error[39584564]: delegate length must be greater than subnet length 64. # ndmc -c ipv6 subnet Default prefix length 60 Network::Ip6::Subnets: Length /60 and number 0 are assigned to subnet "Default". ~ # ndmc -c ipv6 subnet Default prefix delegate 64 Network::Ip6::Subnets: Delegate length is /64 assigned to subnet "Default". ~ # echo $? 0 то есть при len(prefix)>len(delegate_prefix) возникает ошибка

дело в том что у меня тоже РТК (правда ЦФО), и тоже проводной. Дык вот одновременно на одном роутере работает несколько соединений правда внутри 1/7 части суши, и одновременно и протокол 1.0 и 2.0 (я на 2.0 перешел ровно потому что прочел про ужасы жизни тут на форуме)...Может таки у вас конкретно проблемы с прохождением трафика в эту конкретную endpoint, а не с глобвльной блокировкой awg 1.0... Не пробовали случайно устанавливать соединения с другими географически разненсенными endpoint? PS О непрохлждении трафика на собственном опыте мне известно - но только в сетях мобильных операторов, и только чистый ваергуард..

Вам поможет ip route add сеть/маска dev ваше_устройство.... Для рахдельного доступа нужно организовывать разные таблицв маршоутизации , а потом добавлять правила через ip rule. Настройки NAT и прочие mss через iptablles или cli

а в чем сакральный смысл мочить в сортире интерфейсы если они существует (NDM поднял ранее)? Почему не так if_exists opkgtun0 || ${AWGQ} up opkgtun0

Если вы думаете что слово quick означает увеличение скорости то глубоко ошибаетесь, quick означает увеличение скорости настройки сетевого интефейса... Блин одно и тоже пишу уже 5 раз наверное, но никто не читает ветку сначала... За счент дополнительных ключевых слов конфигурационного файла Address, MTU, DNS - когда пользуетесь чистым awg (все кстати рекомендую хотя бы раз это сделать, что бы вообще понять как настраивается соединение и тогда многия вопросы будут отпадать сами), то все это надо желать руками. То что скорость упала - смотрите или в сторону fwmark. Тоже писал выше - у меня это вызвало замедление. Либо работа ipset. Вы на них посмотрите - может там сформирован список на полмира, причем не оптимальный, и его можно оптимизировать за счет объединения префиксов. Особенно когда речь идет о сервисах гугла у которого сотни префиксов Сама амнезия создает некоторый дополнительный трафик - по моим экспериментам раз в 2-3 минуты в режиме hold (бз активного трафика по соединению) отправляет все ваши i1-i5 пакеты контрагенту(пиру) по три раза за один сеанс рукопожатия- видимо совершает рукопожатие. Мне не удалось увеличить это время. Если кто-т сумел подскажите как. Ужо больно не хочется помогать стороннему анализу данных соединения - меньше трафика - меньше анализа

скорее всего нужно в директории /opt/etc/ndm/wan.d/

скорее всего ip route flush cache должео помогать

Пишу наверное уже тритий раз ... Есть 2 способа поднятия интерфейса - условно руками через чистый awg Есть второй способ eckjdyj fdnjvfnbxtcrbq - через awg-quick. У них немного отличаются конфиги... В первом случае не должно быть директив MTU, Address, DNS. читайте форум сначала, читайте маны и обрящете https://man7.org/linux/man-pages/man8/wg.8.html https://man7.org/linux/man-pages/man8/wg-quick.8.html

Сделай все что тут нвписано руквми. Вместо /proc/self/fd/63 создай где нибудь тестовый конфигурационный файл. и замени им в команде awg setconf awg0. Тогда и будет понятно что происходит -ощибка в файле, или он вообще пуст