pppppppo_98

ip li или awg или wg. Это если у вас установлена Entware

А не могли бы вы поделиться секретным знанием как вы компилировали пакеты ? С самого начала - от исходников...

судя по анализу файла парсинга (device/uapi.go) конфигурационного файла jc,jmin,jmax,s1-s4,h1-h4,i1-i5 Только вот все молчат как партизаны... Пользовался ли кто либо уже фичами связанными с I1-I5 - маскарирование под работу других udp сервисов PS кстати ядерный модуль для линуха в версии 2.0 уже тоже есть и там теже параметры https://github.com/amnezia-vpn/amneziawg-linux-kernel-module/blob/f5cce7206418b29aa65e680e8363f8c04f3b1f6f/src/device.h

у вас работатает а уменяя периодически когда захожу в метро не работает... ежели чо попробуйте попользоваться сервисом dynv6

Есть ньанесы. Блокировки они разные. Есть блокировки ДНС (в метро часто сталкиваюсь с блокировкой днс Гугла и других провайдеров), и если у вас настроен wg или awg с использованием имени (а не адреса) endpoint (пира), то ничего не спасет кроме перехода на конфигурацию с использованием ip. Проверено мною -вполне возможно использование на Ростелеком как мобильном, так и сетевом, и на мтс- все работает. Кстати ваергуард на сетевом Ростелекоме тоже работает(на мобильном не проверял)... Кстати днс яндексовский сейчас лучше работает чем гугловский. И в последнее время я наблюдаю незаконные (поелику днс серверы не внесены в реестр экстремистских ресурсов) блокировка трафика в сторону нестандартных для страны днс серверов

А I1 пакет использовал? Откуда брал? А I2-I5?

Однако судя из прочитанного здесь https://docs.amnezia.org/documentation/amnezia-wg/#how-it-works и здесь https://github.com/amnezia-vpn/amneziawg-go/pull/91 версии (более оання в этой же ветке и ваша) бек несовместимы, и по крайней мере по-хорошему стоило бы перименовать иполняемые файлы дабы не испортить рабочие конфигурации при апгрейде.

А в чем собственно отличие? Эта новая версия может маскарироваться под легальный tls трафик, как описано здесь https://docs.amnezia.org/ru/documentation/amnezia-wg/. С дополнительными опциональными конфигурационными параметрами?

1

https://serverfault.com/questions/1141369/ping-and-mdns-over-wireguard-not-working PostUp = ip l set wg0 multicast on Это для wg-quick. Но можно попробовать и вручню

А куча паразитного (широковещательного) трафика не полезет ли по этому тоннелю? ...Сорри не заметил топик стартер как раз жаждет что бы broadcast паекты лезли...

В entware точно умеет. Проверено. ЗЫ Я вижу уже проверили . Настраиваете интерфейс не через веб морду а через подключение модуля и wg по стандартному мануалу https://www.wireguard.com/quickstart/ Не забудьте пошаманить с фаеровлом и натом. Я открываю порты в цепочке DELEGATED_FORWARD (ipv6). C NAT (ipv4) могут быть косяки из-за того что NDM по усолчанию весь трафик S-натит (изменяя естественно адрес), что не есть айс. Маршрутизация можно делать в основной табоице , но я часто и густо делаю в разных (source-based routing) и вставляю правила с помощью ip rule. Да не забудьте в mangle clampmss сделать, или ограничить mss для tcp соединений. На этот косяк нарываются многия. И установить mtu подходящий на ваш интерфейс ваергуард

спасибо вроде работает

Короче хотелось бы средствами CLI получить конфигурацию типа iptables -t nat -I POSTROUTING 1 -br0 -o !eth2.2 -j RETURN iptables -t nat -I POSTROUTING 2 -i br0 -o eth2.2 -j MASQUERADE ну или хотя бы iptables -t nat -I POSTROUTING 1 -o nwg1 -j RETURN

Убрал no ip nat Bridge0... Отвалился интернет (Через FastEthernet/Vlan2)... вернул назад дабы хотя бы это пост написать

Наверное стандартный вопрос. Но предлагаемые решения при быстром гуглении (в то числе с ответами с этого форума) к решению не приводят Итак есть кинетик k-1311. На нем настроен ваергуард который связывает несколько сетей. Все работает. Но обратил внимание что при прохождения трафика из сети A (домашняя сеть кинетика) через кинетик в сеть Б, кинетик SNATит трафик за собой. Все былонормально пока в сети Б не пооявился asterisk, который плохо любит NAT, затонормально работает с диапозоном адресов сети A. Разбираться с астериском пока времени нет. Поэтому быстрый вопрос как отключить SNAT на kn1311 средствами CLI PS 1. no ip nat WIREGUARD делал не помогает Конфигурация "isolate-private", "interface FastEthernet0/Vlan2", " rename ISP", " description xxx", " mac address factory wan", " security-level public", " ip address dhcp", " ip dhcp client hostname xxx", " ip dhcp client dns-routes", " ip mtu 1500", " ip access-group _WEBADMIN_FastEthernet0/Vlan2 in", " ip global 700", " ip no name-servers", " ipv6 address auto", " ipv6 prefix auto", " ipv6 name-servers auto", " up", "!", "interface Bridge0", " rename Home", " description \"Home network\"", " inherit FastEthernet0/Vlan1", " include WifiMaster0/AccessPoint0", " mac access-list type none", " security-level private", " ip address 192.168.xxx.1 255.255.255.0", " ip dhcp client dns-routes", " ip name-servers", " iapp key ns3 xxxxxxxxxxxxxxxxxx", " up", "!", "interface Wireguard1", " description Opportunity", " security-level public", " ip address 10.73.xx.yy 255.255.255.0", " ip mtu 1390", " ip tcp adjust-mss pmtu", " ipv6 address xx", " wireguard listen-port xx", " wireguard asc xx xx xx ", " wireguard peer xxx !xxx", " endpoint xxx", " keepalive-interval 90", " connect", " !", " up", "!",

спасибо вылечилось... Я так понимаю вы близки к разработчикам... Но теперь другой вопрос/предложение. По стандарту ULA имеет маску 48, а провайдеры выдают GUA префиксы из с маской в лучшем случае 56 (а иногда иболее) . Собственно у меня так и было. Ну и стало быть когда а начал соединять физически разделенные сети в рамках одного префикса 48 у меня и возник конфликт. А нельзя ли разделить конфинурацию префикса подсети ULA и GUA

Итак есть два роутера. Оба всети одного провайдера , но вразных районах. Один kn1012, второй kn1910, который пытаюсь настроить. На обоих прошивка 5.0-alpha10 конфигурация kn1012 (рабочая) ... "interface GigabitEthernet1", " rename ISP", " mac address factory wan", " security-level public", " ip address dhcp", " ip dhcp client hostname Keenetic-1012", " ip dhcp client dns-routes", " ip mtu 1500", " ip global 700", " ip no name-servers", " ipv6 address auto", " ipv6 prefix auto", " ipv6 name-servers auto", " up", "!", .... "interface Bridge0", " rename Home", " description Vznet", " include GigabitEthernet0/Vlan1", " include WifiMaster0/AccessPoint0", " include WifiMaster1/AccessPoint0", " mac access-list type none", " security-level private", " ip address x.x.x.x 255.255.255.0", " ip dhcp client dns-routes", " ip name-servers", " ipv6 prefix auto", " band-steering", " up", "!", .... "ipv6 subnet Default", " bind Bridge0", " mode slaac", " prefix length 64", " number 0", "!", .... и получаю на этом устройстве вот такой бродкаст для slaac # # radvd configuration generated by radvdump 2.20 # based on Router Advertisement from fe80::3041:dbff:fe2d:7910 # received by interface wlp2s0 # interface wlp2s0 { AdvSendAdvert on; # Note: {Min,Max}RtrAdvInterval cannot be obtained with radvdump AdvManagedFlag off; AdvOtherConfigFlag on; AdvReachableTime 0; AdvRetransTimer 0; AdvCurHopLimit 64; AdvDefaultLifetime 1800; AdvHomeAgentFlag off; AdvDefaultPreference medium; AdvSourceLLAddress on; prefix yyyy:yyyy:yyyy::/64 { AdvValidLifetime 4294966773; AdvPreferredLifetime 4294966773; AdvOnLink on; AdvAutonomous on; AdvRouterAddr off; }; # End of prefix definition prefix 2a02:2168:zzzz:zzzz::/64 { AdvValidLifetime 1278; AdvPreferredLifetime 1278; AdvOnLink on; AdvAutonomous on; AdvRouterAddr off; }; # End of prefix definition route kkkk:kkkk:kkkk:kkkk:kkkk:kkkk:kkkk:kkkk/128 { AdvRoutePreference low; AdvRouteLifetime infinity; # (0xffffffff) }; # End of route definition RDNSS fe80::3041:dbff:fe2d:7910 { AdvRDNSSLifetime 600; }; # End of RDNSS definition }; # End of interface definition "ipv6 local-prefix yyyy:yyyy:yyyy::/48", все работает . Все ок Теперь девайс kn1910. Почти такая же, но почему-то уде не рабочая конфигурация "interface GigabitEthernet1", " rename ISP", " mac address factory wan", " security-level public", " ip address dhcp", " ip dhcp client hostname Keenetic-1531", " ip dhcp client dns-routes", " ip mtu 1500", " ip global 32767", " ip no name-servers", " ipv6 address auto", " ipv6 prefix auto", " ipv6 name-servers auto", " up", .... "interface Bridge0", " rename Home", " description \"Home network\"", " inherit GigabitEthernet0/Vlan1", " include WifiMaster0/AccessPoint0", " include WifiMaster1/AccessPoint0", " mac access-list type none", " security-level private", " ip address x.x.x.x 255.255.255.0", " ip dhcp client dns-routes", " ipv6 prefix auto", " band-steering", " up", "!" ... "ipv6 subnet Default", " bind Bridge0", " mode slaac", " prefix length 64", " number 459", "!", "ipv6 local-prefix dddd:dddd:dddd::/48", И получаю в бродкасте такой пакет SLAAC # # radvd configuration generated by radvdump 2.20 # based on Router Advertisement from fe80::52ff:20ff:fe50:d68c # received by interface enp2s0 # interface enp2s0 { AdvSendAdvert on; # Note: {Min,Max}RtrAdvInterval cannot be obtained with radvdump AdvManagedFlag off; AdvOtherConfigFlag on; AdvReachableTime 0; AdvRetransTimer 0; AdvCurHopLimit 64; AdvDefaultLifetime 0; AdvHomeAgentFlag off; AdvDefaultPreference medium; AdvSourceLLAddress on; prefix dddd:dddd:dddd:dddd::/64 { AdvValidLifetime 4294966479; AdvPreferredLifetime 4294966479; AdvOnLink on; AdvAutonomous on; AdvRouterAddr off; }; # End of prefix definition route kkkk:kkkk:kkkk:kkkk:kkkk:kkkk:kkkk:kkkk/128 { AdvRoutePreference low; AdvRouteLifetime infinity; # (0xffffffff) }; # End of route definition RDNSS fe80::52ff:20ff:fe50:d68c { AdvRDNSSLifetime 600; }; # End of RDNSS definition }; # End of interface definition --------------- ыидно что в списке префиксов ужен нет провайдерского префикса. при этом вывод команды show ipv6 prefixes что такой префикс в списке имеется (но почему-то не бродкастится) { "prefix": [ { "prefix": "dddd:dddd:dddd::/48", "interface": "", "valid-lifetime": "infinite", "preferred-lifetime": "infinite", "global": false }, { "prefix": "2a02:2168:wwww:wwww::/56", "interface": "GigabitEthernet1", "valid-lifetime": "1584", "preferred-lifetime": "1584", "global": true } ], "prompt": "(config)" } в рабочей конфигурации вывод этой команды аналогичен... accept_ra на клиентах правильно установлены (но вижно причина не в этом )

вроде поборол... Это у меня был косяк в другом скрипте он восстанавливал файл без 8.8.8.8 каждые 5 минут1 ща вроде держит без перезаписи /var/resov.conf c namesever 8.8.8.8 nameserer 127.0.0.1 Всем спасибо

Вижу вот в конфиге "dns-proxy", " rebind-protect auto", " intercept enable", " filter engine opkg", "!", Может тут надо intercept запретить (не помогает - проверил), или filter engine поменять. Это мне говорит show dns-proxy { "proxy-status": [ { "proxy-name": "System", "proxy-config": "rpc_port = 54321\nrpc_ttl = 10000\nrpc_wait = 10000\ntimeout = 7000\nproceed = 500\nstat_file = /var/ndnproxymain.stat\nstat_time = 10000\ndns_server = 8.8.8.8 .\ndns_server = 8.8.4.4 .\nstatic_a = my.keenetic.net x.x.x.x \nstatic_aaaa = my.keenetic.net x:x:x:x:x:x:x:x \nstatic_a = name.keenetic.io x.x.x.x\nstatic_aaaa = name.keenetic.io x:x:x:x:x:x:x:x\nnorebind_ctl = on\nnorebind_ip4net = 192.168.x.x:24\nnorebind_ip4net = 255.255.255.255:32\nset-profile-ip 127.0.0.1 0\nset-profile-ip ::1 0\ndns_tcp_port = 53\ndns_udp_port = 53\n\n", "proxy-stat": "# ndnproxy statistics file\n\nTotal incoming requests: 18\nProxy requests sent: 20\nCache hits ratio: 0.167 (3)\nMemory usage: 6.88K\n\nDNS Servers\n\n Ip Port R.Sent A.Rcvd NX.Rcvd Med.Resp Avg.Resp Rank \n 8.8.4.4 53 7 2 0 67ms 44ms 3 \n 8.8.8.8 53 13 9 0 53ms 78ms 4 \n", "proxy-safe": "", "proxy-tls": {}, "proxy-tls-filters": {}, "proxy-https": {}, "proxy-https-filters": {} } ], "prompt": "(config)" } Про всяк случа выуладываю кусок моего конфигурационного файла, не думаю что остальной кусок имеет отношение к конфигурпции, но могу выложить и его. "ip name-server 8.8.8.8", "ip name-server 8.8.4.4", "ip http security-level private", "ip http lockout-policy 5 15 3", "ip http ssl enable", "ip http ssl redirect", "ip conntrack max-entries 16384", "ip nat Bridge0", "ip nat Bridge1", "ip telnet", " security-level private", " lockout-policy 5 15 3", "!", "ip hotspot", " policy Bridge0 permit", " host *** permit", " host *** conform", " host *** permit", " host *** conform", "!", "ipv6 subnet Default", " bind Bridge0", " mode dhcp", " prefix length 64", " number 8696", "!", "ipv6 local-prefix ***/48", "ppe software", "ppe hardware", "upnp lan Bridge0", "service dhcp", "service dns-proxy", "service igmp-proxy", "service http", "service ntp", "service upnp", "dns-proxy", " rebind-protect auto", " filter engine opkg", "!", "opkg disk 96121f5b-e505-49ac-b57c-68a3c8c29405:/", "opkg initrc /opt/etc/init.d/rc.unslung", "opkg dns-override", "easyconfig disable", "components", " auto-update disable", " auto-update channel preview", "!", "cloud control2 security-level public", "!", "" В такой конфигурации продолжается переписывание

Я же вам сказал я написал. сначала руками через GUI Затем когда это не сработало ввел через cli ip name-server 8.8.8.8 ip name-server 8.8.4.4 что в принципе эквивалентно Пока обошолся полурабочей времянкой ежеминутной заменой (cron) /var/resolv.conf... Но она не всегда срабатывает... А когда не срабатывает не может разрешить адрес xxx.yyy.dynv6.net, и тогда не срабатывает пинг и перезапускается впн, и так каждые 5 минут . Вообще не айс

и как побороть что бы nameserver таки стал 8.8.8.8 . Если на 5.0 перейти поможет? На лету - это надо понимать разово ,в момент запуска... А нет ли какого сигнала или хука, о том что /var/resov.conf изменилось

и включал (opkg dns-override) и выключал (no opkg dns-override) все равно переписывается /var/resolv.conf c единственным nameserver 127.0.0.1 ... когда включил ужо было обрадовался появились записи nameserver 8.8.8.8 nameserver 8.8.4.4 Потом исчезли. Это я все о kn1912... Или может надо перегрузить роутер?

в какой директории бинарник, и конфигурационный файл? в /bin, /opt/bin не вижу

а ndms никак шаблон файла не поправить? А почему тогда этой проблемы нет на kn1012.... на обоих роутерах у меня ip name-server 8.8.8.8 ip name-server 8.8.4.4