pppppppo_98

у меня простой скрипт в wan.d #!/bin/sh if [ $1=="start" ]; then /opt/bin/vpn0.sh start # /opt/bin/vpn1.sh start /opt/bin/vpn2.sh start /opt/bin/vpn3.sh start fi /opt/bin/vpn0.sh тоже из какого-то типового переделал #!/bin/sh prefix="/opt" PATH=${prefix}/bin:${prefix}/sbin:/sbin:/bin:/usr/sbin:/usr/bin . /opt/etc/netenv start() { echo "starting amnezia0..." /opt/bin/changeresolvconf.sh ip link show dev $DEVAMN0 || amneziawg-go $DEVAMN0 awg syncconf $DEVAMN0 /opt/etc/amneziawg/${DEVAMN0}.conf && ip link set dev $DEVAMN0 up mtu $MTUAMN0 && addvpn0route.sh } stop() { echo "stopping amnezia0..." ip link set dev $DEVAMN0 down } status() { awg } case "$1" in start) start ;; stop) stop ;; restart) stop sleep 5 start ;; status) status ;; *) echo "Usage: $0 (start|stop|restart|status)" exit 1 ;; esac в файле /opt/etc/netenv собрал все переменные (для разных скриптов). В скрипте /opt/bin/addvpn0route.sh - модифицируются маршруты, перезапускается фаервол (/opt/etc/ndm/netfilter.d). вот и все.. писал для себя на коленке- посему несколько коряво,но оаботает на 6 роутерах

вы вообще о скриптах системы NDMSystems слышали... вот тут есть русский перевод https://support.keenetic.ru/ultra/kn-1811/ru/42407-opkg-component-description.html Самое главное, что нужно знать - скрипты выполняются асинхронно, при наступлении какого-то системного события (прерывания).

Оно конечно дело вкуса, но я подобные скрипты (естсественно с модификацией) в wan.d кладу. Ибо нахер не нужна vpn, пока не поднялся интерфейс wan

Ты можешь столкнуться с тем 1. что по tcp трафику некоторые сайты могут не открываться (ежели те тоже сидят за впн)...Нужно clamp-mss делать... Я делеал через iptables -t mangle. Но вроде есть команды и через CLI 2. что нужно жестко ограничить возможность появления какого-то трафика с определеннного диапазона адресов на интерфейсе. Тогда тоже не избежать iptables/ipset 3. NAT... Его тоже можно конфигурировать средствами CLI но не уверен, что гибкость сравнима с iptables IPv6 работает и как транспорт, и как внутренняя сеть (скрываемая ВПН) у клиента надо ip route default установить в иной нежели провайдерский... Лучше это это делать через source based routing (ip route table /ip rule)...Рекомендую начинать с локальной подсети ( а не устанавливать сразу default), ибо если ошибешься в настройках есть возможность откатить назад, и бегать к клиенту и откатывать измененияна его территории не надо... Это тебе в помощь https://tldp.org/HOWTO/Adv-Routing-HOWTO/ есть где-то перевод на русский язык

Комментируете их да и все. Запуcкается так же как обычно c помощью awg. MTU можно устанавливать с помощью ip link или ifconfig, адрес выставляется с помощью ip address или снова же ifconfig. DNS надо править resolv.

забей... у всех так.. и все работает...

Есть две версии conf пакетов.. Одна для запускак с помощью обычного awg вторая для запуска через awg-quick. Во второй есть дополнительные MTU, Adsress, etc... Но вторая обычно для запуска на декстопах/ноутах и обычно через systemctld, несколько более удобна в плане дополнительной конфигурации сети ... в кинетике я ее не видел..

Уважаемые а изложите мне такой вопрос. А сколько ресурсов (памяти и средняя дополнительная нагрузка на процессор) будет примерно отжирать в системе этот пакет (я так понимаю он базируется на протоколе bgp и пакете маршрутизации bird?). Ресь идет об установке этого пакета на кn1012, kn1912, kn1910 Ну и соотвественно какой примерно размер списка cidr для зоны ru? Насколько это решение приемлимо что бы заврнуть на него всю зону ру? Не встанет ли колом роутер , укотрого еще висит 4 соединения amneziawg (с несильной нагрузкой - скажем в пределе - 1-2 канал ютюба все вместе)

а доп параметры для wireguard, которые его прерпацабт по крайней мере в amneziawd 1.0, конфигурировал? Опмвние есть везде. И на этом форумк, и в NEWS при объявлении прошивок

читал основной сайт? https://docs.amnezia.org/documentation/amnezia-wg#configuration-parameters Есть только ньюанес. Откуда (с каких серверов) захватывать реально работающие (которые не отбрасываются) quic или sip - пакеты

ну таки м не знаю шр вам сказать. У меня 5 кинетиков в управлении, ща 4 из них проапгрейдил пакетом из этой ветки (0.2.15). Сеть как работала так и работает

В иы камерад в версии амнезии уверен (что она >= 1.5)

ip li или awg или wg. Это если у вас установлена Entware

А не могли бы вы поделиться секретным знанием как вы компилировали пакеты ? С самого начала - от исходников...

судя по анализу файла парсинга (device/uapi.go) конфигурационного файла jc,jmin,jmax,s1-s4,h1-h4,i1-i5 Только вот все молчат как партизаны... Пользовался ли кто либо уже фичами связанными с I1-I5 - маскарирование под работу других udp сервисов PS кстати ядерный модуль для линуха в версии 2.0 уже тоже есть и там теже параметры https://github.com/amnezia-vpn/amneziawg-linux-kernel-module/blob/f5cce7206418b29aa65e680e8363f8c04f3b1f6f/src/device.h

у вас работатает а уменяя периодически когда захожу в метро не работает... ежели чо попробуйте попользоваться сервисом dynv6

Есть ньанесы. Блокировки они разные. Есть блокировки ДНС (в метро часто сталкиваюсь с блокировкой днс Гугла и других провайдеров), и если у вас настроен wg или awg с использованием имени (а не адреса) endpoint (пира), то ничего не спасет кроме перехода на конфигурацию с использованием ip. Проверено мною -вполне возможно использование на Ростелеком как мобильном, так и сетевом, и на мтс- все работает. Кстати ваергуард на сетевом Ростелекоме тоже работает(на мобильном не проверял)... Кстати днс яндексовский сейчас лучше работает чем гугловский. И в последнее время я наблюдаю незаконные (поелику днс серверы не внесены в реестр экстремистских ресурсов) блокировка трафика в сторону нестандартных для страны днс серверов

А I1 пакет использовал? Откуда брал? А I2-I5?

Однако судя из прочитанного здесь https://docs.amnezia.org/documentation/amnezia-wg/#how-it-works и здесь https://github.com/amnezia-vpn/amneziawg-go/pull/91 версии (более оання в этой же ветке и ваша) бек несовместимы, и по крайней мере по-хорошему стоило бы перименовать иполняемые файлы дабы не испортить рабочие конфигурации при апгрейде.

А в чем собственно отличие? Эта новая версия может маскарироваться под легальный tls трафик, как описано здесь https://docs.amnezia.org/ru/documentation/amnezia-wg/. С дополнительными опциональными конфигурационными параметрами?

1

https://serverfault.com/questions/1141369/ping-and-mdns-over-wireguard-not-working PostUp = ip l set wg0 multicast on Это для wg-quick. Но можно попробовать и вручню

А куча паразитного (широковещательного) трафика не полезет ли по этому тоннелю? ...Сорри не заметил топик стартер как раз жаждет что бы broadcast паекты лезли...

В entware точно умеет. Проверено. ЗЫ Я вижу уже проверили . Настраиваете интерфейс не через веб морду а через подключение модуля и wg по стандартному мануалу https://www.wireguard.com/quickstart/ Не забудьте пошаманить с фаеровлом и натом. Я открываю порты в цепочке DELEGATED_FORWARD (ipv6). C NAT (ipv4) могут быть косяки из-за того что NDM по усолчанию весь трафик S-натит (изменяя естественно адрес), что не есть айс. Маршрутизация можно делать в основной табоице , но я часто и густо делаю в разных (source-based routing) и вставляю правила с помощью ip rule. Да не забудьте в mangle clampmss сделать, или ограничить mss для tcp соединений. На этот косяк нарываются многия. И установить mtu подходящий на ваш интерфейс ваергуард

спасибо вроде работает