Jump to content

Recommended Posts

Posted

У себя пока сделал скрипт wg.sh в Entware:

#!/bin/sh

let port=46001+$(date +%d)*$(date +%H)+$(date +%M)
ndmc -c "interface Wireguard0 wireguard listen-port $port"

и запускаю его через crond каждые 15 минут. Если связь теряется, то в течении 15 минут порт меняется и соединение восстанавливается. Не идеально конечно, но лучше чем вручную нажимать на удалённом роутере.

Posted

Подскажите, в чем может быть причина статуса "вне сети" для пира? Ранее такая проблема возникала ненадолго, но сама пофиксилось. 
Перед этим менял приоритет подключения, и какое то время на впн не было подключено ни одно устройство.
image.png.0590d0a5f15ecd8e52f1568175996c

Posted (edited)
В 02.10.2024 в 04:54, eugen0308 сказал:

Подскажите, в чем может быть причина статуса "вне сети" для пира? Ранее такая проблема возникала ненадолго, но сама пофиксилось. 
Перед этим менял приоритет подключения, и какое то время на впн не было подключено ни одно устройство.
image.png.0590d0a5f15ecd8e52f1568175996c

4.2.0 beta 4 (4.02.C.0.0-1), KN-1811

После обновления тоже была такая же ситуация.

Грешил как на местного провайдера так и на провайдера на стороне VPS - мол, блочат WG.

Ранее использовал схему ipset-dns от @Александр Рыжов(благодарность 👍), resolve на dns google/cloudflare/quad9 через WG. После обновления c beta 3 на beta 4, WG подключался только при ребуте роутера и до первого хендшейка по времени, потом пир всегда был в офлайне по статусу, даже при доступности сервера. Последующие переподключения соединение не поднимали. В логах, соответственно, множественные попытки handshake... По итогу схема не работала + подозрение на перехват dns провайдером.

Решилось добавлением ASC параметров в стандартный конфиг для WG (без Amnezia) + прописка через CLI (размер мусора взял вообще рандомный):

interface Wireguard0 wireguard asc 1 27 577 0 0 1 2 3 4

Handhsake 120.

WG точечный через маршруты до сети по интерфейсу. Профиль приоритета подключений не затрагивается.

Полёт нормальный.

Благодарность всем, кто отписался в этой теме!

Edited by IxoID
  • Thanks 5
  • 3 weeks later...
Posted
В 03.10.2024 в 03:37, IxoID сказал:

4.2.0 beta 4 (4.02.C.0.0-1), KN-1811

Решилось добавлением ASC параметров в стандартный конфиг для WG (без Amnezia) + прописка через CLI (размер мусора взял вообще рандомный):

interface Wireguard0 wireguard asc 1 27 577 0 0 1 2 3 4

WG точечный через маршруты до сети по интерфейсу. Профиль приоритета подключений не затрагивается.

 

4.2.1 realese KN-1811

Спасибо! Это работает! Без Amnezia! Достаточно дописать в конфиг WG (это пример) в разделе [Interface] где-то в конце:

jc = 2
jmin = 6
jmax = 12
s1 = 0
s2 = 0
h1 = 2
h2 = 4
h3 = 6
h4 = 8

 

На роутере 

interface Wireguard0 wireguard asc 2 6 12 0 0 2 4 6 8
system configuration save

И всё взлетело! Перестало тормозить. На роутере использую интерфейс сейчас отдельную зону (политику подключения) для части клиентов. Попозже попробую сделать ip policy PolicyName standalone, потому что в локалке почтовый сервер, который при статической маршрутизации не принимает письма из gmail

Немного офтоп. Скорость VPN через роутер 80/36, через ноут, без модификации конфгиа 93/45. Все таки если клиентов на VPN много, лучше подыскать помощнее машину, виртуалочка подойдет.

 

Posted (edited)

После обновления с 4.1.7 на 4.2.1 WG стал работать максимально отвратительно. Проблемы с хэндшейками кое-как удалось решить через cli asc (какое вообще эт должно иметь отношение к простому WG ?) но связь по тоннелю просто никакая пару килобит в секунду. 

Через WG соединены два роутера AIR и 4G, один с проводом, второй с модемом от билайна. РКН вообще не причем - до сегодняшнего "апгрейда" все прекрасно работало.

Как откатиться на 4.1.7 обратно? пытался заменить прошивку на 4.1.7 через заменить файл, но тогда пропадает WG из системы,а при установке - снова обновляется прошивка на 4.2.1. замкнутый круг.

Edited by savizor
Posted (edited)

Тоже недавно столкнулся с блокировкой WireGuard  с роутера Keenetic Ultra II(прошивка 3.5.10)  у меня личный VDS с сервером(не Amnezia). Обобщив информацию с форума в один скрипт на bash(нужен Entware + установить утилиту nping). Запускаю в cron через 5 минут, если last handshake более 125 сек. меняется listen port на клиенте проходит 10 пакетов flood затем происходит подключение к серверу. Возможно кому-нибудь пригодится.(Не забудьте подставить порт и адрес своего WireGuard сервера "server_ip" "server_port")

Spoiler
#!/bin/sh

# Server WireGuard
server_ip=""
server_port=""

# Function to calculate the port based on current date and time
calculate_port() {
    local day hour minute
    day=$(date +%d)
    hour=$(date +%H)
    minute=$(date +%M)
    echo $((45001 + day * hour + minute))
}

get_last_handshake_number() {
    # Capture the output of the 'ndmc' command and extract the last-handshake information
    output=$(ndmc -c "show interface Wireguard0" | grep "last-handshake")
....
    # Extract the number from the output using grep
    number=$(echo "$output" | grep -o '[0-9]\+')
....
    # Return the number
    echo "$number"
}

# Get last handshake number
last_handshake=$(get_last_handshake_number)

# Check if the last handshake number is greater than 120 and less than 900
if [[ "$last_handshake" -gt 125 && "$last_handshake" -lt 900 ]]; then
    # Calculate the port
    port=$(calculate_port)
....
    # Run nping with the calculated source port
    nping --udp --count 10 --data-length 16 --source-port $port --dest-port $server_port $server_ip > /dev/null 2>&1
....
    # Run ndmc to set the Wireguard listen port
    ndmc -c "interface Wireguard0 wireguard listen-port $port" > /dev/null 2>&1
....
    # Log
    echo "$(date +"%Y-%m-%d %H:%M:%S") Last handshake: $last_handshake New port: $port" >> /opt/var/log/wg.log
else
    # Exit the script if the interface does not exist
    exit 1
fi

 

 

Edited by klimvoroshilov
  • Upvote 2
Posted (edited)

Дополню- все равно отваливается. при этом веб интерфейс бежбожно врёт. на клиенте горит зеленая "лампочка" и хэндшейки типа появляются. На "сервере" ничего не светит и никаких хэндшейков. 

на сервере в логе

wireguard: Wireguard0: receiving handshake initiation from peer

wireguard: Wireguard0: sending handshake response to peer

Но связи нет вообще.

разработчики, зачем вы сломали WG без возможности вернуться на старую прошивку?

 

Untitled-1.jpg

Edited by savizor
Posted (edited)
6 часов назад, savizor сказал:

разработчики, зачем вы сломали WG

@savizor почему Вы не делаете бэкап системы и конфига при обновлении на новую версию ОС?

Edited by stefbarinov
  • Upvote 1
Posted
9 hours ago, stefbarinov said:

@savizor почему Вы не делаете бэкап системы и конфига при обновлении на новую версию ОС?

В моей ситуации она бесполезна. Обновить ОС пришлось из-за добавления компонета (DOH). Без обновления копмонент не добавляется. А вернувшись на бэкап я остаюсь без компонента.

Posted
16 часов назад, stefbarinov сказал:

@savizor почему Вы не делаете бэкап системы и конфига при обновлении на новую версию ОС?

Восстановился из бекапа с 4.2.1 обратно на 4.1.6 и конфиг тоже залил старый, WG по прежнему отваливается, как и после обновления.

  • 2 months later...
Posted

Присоединяюсь. Тоже самое. Добавил Wireguard на Keenetic. Добавил IP адреса для youtube с сайта https://rockblack.su/vpn/dopolnitelno/diapazon-ip-adresov

Все работало. Трафик маршрутизировался. В один момент перестало, где-то мсесяц назад. Еще прикол в том, что у других с тем же провайдером все работает, не работает только у меня. Пробовал другие сервера Wireguard добавлять, не помогает. Сам ютуб у меня каким-то чудом заработал без wireguard, напрямую через провайдера. Может ли быть такое, что Kennetic видит доступ к сайту и из-за этого не маршрутизирует трафик через Wireguard? И что за пункт "экслюзивный маршрут" в настройках маршрутизации? 

Posted (edited)

 

В 29.12.2024 в 23:59, crackstore сказал:

Может ли быть такое, что Kennetic видит доступ к сайту и из-за этого не маршрутизирует трафик через Wireguard? И что за пункт "экслюзивный маршрут" в настройках маршрутизации? 

Сомневаюсь)

Про эксклюзивность можно почитать в подсказке около этого параметра) но этот пункт я никогда не делал в положение on

Screenshot_20250103_054829_SamsungInternet.thumb.jpg.205450ef245388efd9e3b1e6f620777c.jpg

Edited by FLK
Posted
On 12/29/2024 at 11:59 PM, crackstore said:

Присоединяюсь. Тоже самое. Добавил Wireguard на Keenetic. Добавил IP адреса для youtube с сайта https://rockblack.su/vpn/dopolnitelno/diapazon-ip-adresov

Все работало. Трафик маршрутизировался. В один момент перестало, где-то мсесяц назад. Еще прикол в том, что у других с тем же провайдером все работает, не работает только у меня. Пробовал другие сервера Wireguard добавлять, не помогает. Сам ютуб у меня каким-то чудом заработал без wireguard, напрямую через провайдера. Может ли быть такое, что Kennetic видит доступ к сайту и из-за этого не маршрутизирует трафик через Wireguard? И что за пункт "экслюзивный маршрут" в настройках маршрутизации? 

 

В общем решил проблему, вдруг кому-то поможет. Полнейший бред конечно, но кнопка сброса на роутере помогла. Я только не понимаю, почему перепрошивка через интерфейс не помогала до этого. 

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

This site uses cookies. By clicking "I accept" or continuing to browse the site, you authorize their use in accordance with the Privacy Policy.