AmneziaWG

[Gull_88]

Господа, помогите плиз.

Задача была раздать интернет с KN-1811 через AmneziaWG на комп, гаджеты и телек LG.
На KN-1811 вроде все настроил. Политики применил.
В Маршрутизации роутера применил GooogleIp.bat и Only_YouTube_0.0.4.bat отсюда https://rockblack.su/vpn/dopolnitelno/diapazon-ip-adresov

В итоге:
Подключение есть, на компе и телефоне все работает.
На телеке Ютюб есть, скорость - норм.
А вот Kinopoisk, KION и все прочие наши онлайн-кинотеатры на телевизоре не работают.
Куда копать?

Изменено 15 сентября пользователем Gull_88

[Кинетиковод]

33 минуты назад, Gull_88 сказал:

Куда копать?

Ресурсы до которых маршруты не добавлены не работают. Копайте в сторону поиска маршрутов.

[Gull_88]

9 минут назад, Кинетиковод сказал:

Ресурсы до которых маршруты не добавлены не работают. Копайте в сторону поиска маршрутов.

Так маршруты были добавлены только для Гугла и Ютюба.
Как я понял концепцию "Static Routes", подключение AmneziaWG активируется только для прописанных маршрутов, а остальное идет по дефолтному подключению.

[Кинетиковод]

21 минуту назад, Gull_88 сказал:

а остальное идет по дефолтному подключению.

А что за политики вы применили? Может у вас телек идёт через awg и с внешки Kinopoisk и KION не работают? Я этими ресурсами не пользуюсь, не знаю их ограничения. Но никаких политик для awg применять не надо, маршрутов достаточно. Верните телеку выход через провайдера, если загнали его в awg.

[bigpu]

1 час назад, Gull_88 сказал:

Куда копать?

может вам в Xkeen православный лучше?

Там точно с маршрутами и т.д. проще.

[Gull_88]

1 час назад, Кинетиковод сказал:

А что за политики вы применили? Может у вас телек идёт через awg и с внешки Kinopoisk и KION не работают? Я этими ресурсами не пользуюсь, не знаю их ограничения. Но никаких политик для awg применять не надо, маршрутов достаточно. Верните телеку выход через провайдера, если загнали его в awg.

Уау! Алилуйя! Именно так все и заработало. Я кажется перепутал то, что нужно обходить и то, что нужно получать напрямую. Спасибо огромное еще раз!

[Gull_88]

1 час назад, bigpu сказал:

может вам в Xkeen православный лучше?

А я туда давно пытался...
Скопирую сюда свой пост их соответствующей темы:

1 час назад, bigpu сказал:

Добрый день!
Я специально выждал несколько суток, но та проблема, которая была с самого начала,  не исчезла.
Да, все сайты открываются.
Да, когда трафик идет скорость вполне прилична.
Ролики Youtube идут без лагов и подгрузки.

Но... при браузинге нереально долгий отклик! Когда заходишь на какой либо сайт, кликаешь по ссылке на закачку, пока пойдет реакция - проходит нереально много времени. Вполне бывает секунд 15-20. Захожу в ТВ на Кинопоиск или в Plex, пока начтет грузиться - лаг теж е 15-20 сек.. Раздражает жутко.
С чем может быть связано? Есть у кого-нибудь кроме меня такое?

 

[pppppppo_98]

19 часов назад, Gull_88 сказал:

Так маршруты были добавлены только для Гугла и Ютюба.
Как я понял концепцию "Static Routes", подключение AmneziaWG активируется только для прописанных маршрутов, а остальное идет по дефолтному подключению.

Излагаю... Набил херову тучу шишок на этом... Если знать ворожью мову и прочесть программный документ на сайте ваергуард. ТО можно узнать что сам ваергуард вообще никак маршрутизацию не меняет, все шо он делает смотрит с какой сети пришел пакет, и дешифрует или шифрует с помощью публичного/приватного  ключа трафик пиров ... Возможно создатели прошивок кинетика вставили вместе с создание самого ваергурд установку каких-то очевидных маршрутов, но в целом за маршрутизацию в ответе сам пользователь. Компетенция пользователя выстраивать политику маршрутизации с участием всех сетевых интерфейсов (не только ваергуард)своего хоста по своему желанию.  Амнезия вообще лишь обфусицифицирует ваергуард, дабы относительно малоинтелектуальные скрипты DPI (ибо они преднзначены для быстрой обработки огромного трафика) не поняли что этот трафик ВПН. 

[pppppppo_98]

20 часов назад, Кинетиковод сказал:

Ресурсы до которых маршруты не добавлены не работают. Копайте в сторону поиска маршрутов.

Маршруты это только часть проблемы. Причем коли речь идет о телике - то может оказаться что надо разобраться с мультикастом.. Вторая часть проблемы фаервол причем на обоих сторонах соединения... Отдельная еще песня блокирование трафика по географическому признаку - от него только нат помогает защитится.

[pppppppo_98]

В 12.09.2024 в 21:24, zyxmon сказал:

Да. Подробнее тут - https://github.com/amnezia-vpn/amneziawg-linux-kernel-module?tab=readme-ov-file#configuration

Какой вариант да

 

1. Да Peer1.h1=Peer2.h1 и Peer1.h2=Peer2.h2

или 

2.Да Peer1.h1=Peer2.h2 и Peer1.h2=Peer2.h1?

КАк бы заимоисключающие опции... 

[Werld]

18 часов назад, pppppppo_98 сказал:

Какой вариант да

 

1. Да Peer1.h1=Peer2.h1 и Peer1.h2=Peer2.h2

или 

2.Да Peer1.h1=Peer2.h2 и Peer1.h2=Peer2.h1?

КАк бы заимоисключающие опции...

Peer1......Peer2
  h1     =      h1
   ≠              ≠
  h2     =     h2
   ≠              ≠
  h3     =      h3
   ≠              ≠
  h4     =     h4

[pppppppo_98]

4 часа назад, Werld сказал:

Peer1......Peer2
  h1     =      h1
   ≠              ≠
  h2     =     h2
   ≠              ≠
  h3     =      h3
   ≠              ≠
  h4     =     h4

cпасибо

[pppppppo_98]

И снова вопрос , теперь не связанный с кинетиком. По инструкции инсталлировал amneziawg на убунту. А как теперь интерфейс поднять. Ваергуард поднимал по иструкции с самого сайта https://www.wireguard.com/quickstart/ командой 

wg setconf wg0 myconfig.conf

А теперь какой командой 

awg setconf wg0 myconfig.conf?

 

А никакой модуль перед этим подгружать в ядро не надо?

[pppppppo_98]

В 20.06.2024 в 07:04, avn сказал:

В 4.2 уже добавлен.

• Wireguard: добавлены параметры Advanced Security Configuration (по запросу @UwU) [NDM-3202]:
  • interface {name} wireguard asc {jc} {jmin} {jmax} {s1} {s2} {h1} {h2} {h3} {h4}

Уважаемые... Из-за ограничений поддержки веб конфигуратора (не поддкрживаются ipv6 адреса в опсании endpoint, а у меня только такие публичные адреса), пришлось использовать пакет из entware wireguard, ибо там в текстовом файле проблем нет с настройкой ipv6 сетей. Дык вот есть два интерфейса wireguard, написанный на си, и wireguard-go, написанный на go. Второй как я понимаю все сетевые операции проводит в userspace и ИМХО посему быстрым врядли будет. Второй из этих инрфейсов скомпиллировал zyxmon, о чем составил отдельную ветку на форуме.. А вот первый сетевые операции проводит в ядре, подгрeжая модуль wireguard.ko, и поэтому шустрый. Это все контекст... Теперь вопрос. А как работает эта команда - я просмотрел wireguard.ko (strings wireguard.ko), команду wg (strings /opt/bin/wg), и не обнаружил никаких следов обработки параметров Jc, Jmin, Jmax, S1 ... И если я вношу в эти параметры в конфигурационный файл, то мне говорит система об ошибке в конфигурационном файле. Модуль ядра тоже никаких параметров не принимает. А как тогда параметры из interface {name} wireguard asc {jc} {jmin} {jmax} {s1} {s2} {h1} {h2} {h3} {h4} попадают в ядро для дальнейшей офусификации трафика...или ndm поднимает какой-то другой модуль ядра? Или вообще обработка трафика интерфейсов поднятых в веб морде кинетика идет не в ядре? На десктопах удалось собрать awg - но они не в постоянной работе... Теперь вот загвоздка в кинетиках 

[mafiozzzza]

Здравствуйте, подскажите, пожалуйста, как экспортировать конфигурацию
из AmneziaVPN App для AmneziaWG

Загвоздка в том, что в официальной инструкции для Keenetic на сайте Amnezia на скриншоте показана возможность
 экспорта в формате .conf, у меня же выбор формата не доступен. Получаю на выходе QR код или зашифрованную строку "vpn://sdfdsfds..."

UPD: Пока ждал модерации, установил последнюю версию клиента AmneziaVPN (4.8.1.0 beta) и там появилась возможность выбора

Скрин со статьи


Мой скрин

Изменено 28 сентября пользователем mafiozzzza
Нашел решение

[М. Мik]

Никто не сталкивался с такими логами? в журнале при работающем AmneziaWG:

wireguard: Wireguard0: retrying handshake with peer "XXXXXXXXXXXXXXXXXXXXXX" (46) (XXX.X.XXX.XXX:XXXXX) because we stopped hearing back after 2406938528 seconds

[R0cky]

В 05.10.2024 в 03:01, М. Мik сказал:

Никто не сталкивался с такими логами? в журнале при работающем AmneziaWG:

wireguard: Wireguard0: retrying handshake with peer "XXXXXXXXXXXXXXXXXXXXXX" (46) (XXX.X.XXX.XXX:XXXXX) because we stopped hearing back after 2406938528 seconds

Сталкивались. Это результат работы DPI РКН.

[М. Мik]

В 12.10.2024 в 12:52, R0cky сказал:

Сталкивались. Это результат работы DPI РКН.

Типа подменяет в заголовке хендшейка время подключения? умно...

[pppppppo_98]

13 часа назад, М. Мik сказал:

Типа подменяет в заголовке хендшейка время подключения? умно...

а меняли дефолтные параметры amneziawg на собственные? Я запустил примерно с неделю назад - пока полет нормальный, но у меня автоматом соединения поднимаются (по cron) при отвале - я за логом особо не слежу

[М. Мik]

9 часов назад, pppppppo_98 сказал:

а меняли дефолтные параметры amneziawg на собственные? Я запустил примерно с неделю назад - пока полет нормальный, но у меня автоматом соединения поднимаются (по cron) при отвале - я за логом особо не слежу

Я пользовался немного не так, у меня есть доступ к серверу где поднят дефолтный WG, если подключаться по дефолту работает пару дней и блочиться по порту сервера на сколько я понял, потому что спустя некоторое время над другом порту работает. Я где то нашел инфу, что можно к дефолтному WG, подключиться клиентом AWG:

скачал приложение AWG включив обфускацию  подсоединился к серваку с дефолтным WG, пару дней потестил работает стабильно

выкачал конфиг из AWG клиента а именно параметры  {jc} {jmin} {jmax} {s1} {s2} {h1} {h2} {h3} {h4}

вбил их в настройки кинетика и все заработало, однако не так стабильно как через приложение AWG. На роутере заметны просадки в игрухи не поиграешь но для просмотра контента достаточно более чем, так же часто бывало что приходилось вручную реконектить чтобы заработало, но в клиенте AWG работает как часики(к сожалению как там смотреть логи и есть ли они вообще незнаю). К примеру дергаю подключение на роутере  - не конектиться, выключаю, тут же пробую через приложение AWG четко коннект и все стабильно, тут же выключаю приложение и включаю в роутере опять не коннект.

Поэтому отчасти мне кажется что со встройкой параметра wireguard asc закрались ошибки/баги вызывающие we stopped hearing back after 2406938528 seconds. , хотя возможно я и ошибаюсь и это действительно DPI.

 

И так к вашему вопросу о смене параметров, я не знаю почему, но любые другие параметры кроме выкачанных мной из конфига AWG не работают.

 

Изменено 16 октября пользователем М. Мik

[avn]

4 минуты назад, М. Мik сказал:

Я пользовался немного не так, у меня есть доступ к серверу где поднят дефолтный WG, если подключаться по дефолту работает пару дней и блочиться по порту сервера на сколько я понял, потому что спустя некоторое время над другом порту работает. Я где то нашел инфу, что можно к дефолтному WG можно подключиться клиентом AWG:

скачал приложение AWG включив обфускацию  подсоединился к серваку с дефолтным WG? пару дней потестил работает стабильно

выкачал конфиг из AWG клиента а именно параметры  {jc} {jmin} {jmax} {s1} {s2} {h1} {h2} {h3} {h4}

вбил их в настройки кинетика и все заработало, однако не так стабильно как через приложение AWG. На роутере заметны просадки в игрухи не поиграешь но для просмотра контента достаточно более чем, так же часто бывало что приходилось вручную реконектить чтобы заработало, но в клиенте AWG работает как часики(к сожалению как там смотреть логи и есть ли они вообще незнаю). К примеру дергаю подключение на роутере  - не конектиться, выключаю, тут же пробую через приложение AWG четко коннект и все стабильно, тут же выключаю приложение и включаю в роутере опять не коннект.

Поэтому отчасти мне кажется что со встройкой параметра wireguard asc закрались ошибки/баги вызывающие we stopped hearing back after 2406938528 seconds. , хотя возможно я и ошибаюсь и это действительно DPI.

 

И так к вашему вопросу о смене параметров, я не знаю почему, но любые другие параметры кроме выкачанных мной из конфига AWG не работают.

 

Покажите свои параметры asc. Скорее всего, проблема в них. Можно ещё дамп траффика приложить в момент коннекта.

Изменено 16 октября пользователем avn

[М. Мik]

20 часов назад, avn сказал:

Покажите свои параметры asc. Скорее всего, проблема в них. Можно ещё дамп траффика приложить в момент коннекта.

asc 3 10 0050 00 00 0000000001 0000000002 000000003 0000000004

вот параметры которые я вбивал, причем если вбить: 3 10 50 0 0 1 2 3 4 - а не как выше работать не будет. к сожалению дамб сейчас уже приложить не смогу больше не пользуюсь данным соединением.

 

Изменено 17 октября пользователем М. Мik

[Dalex]

В 17.10.2024 в 20:14, М. Мik сказал:

asc 3 10 0050 00 00 0000000001 0000000002 000000003 0000000004

в этом видимо и проблема - везде нули - траффик недостаточно замаскирован.

[Виталий Владимирович]

Приветствую, не работает сразу 2 таких подключения к разным серверам , по отдельности - работают и причем всегда работает только 1ый, есть идеи? 

[pppppppo_98]

В 14.11.2024 в 14:27, Виталий Владимирович сказал:

Приветствую, не работает сразу 2 таких подключения к разным серверам , по отдельности - работают и причем всегда работает только 1ый, есть идеи? 

Конфигурацию сетевую приведите (нужны конфигурация пиров, номера портов - насколько понял у вас несколько соединений самих соежинеий у вас случаем не конфликтуют?).  Я на подобные грабли наступал несколько раз.... Скореевсего ошибка в конфигурации амнезии и/или роутинг 

 

А вообще с амнензией начинаются проблемы. DPi добрались и до нее . У меня пол сети помрело, правда пол сети жива, что удивительно концы в обоих случаях в одной и тойже стране, а втой что померла дык еще и значительная часть самой сети имела внутреннний трафик (то есть содиниения российских подсетей)... За просвящался говорят возможно параметры надо подстроить. Еще бы инструкцию с учетом реального опыта работы с DPI о выборе параметров Jc, Jmin, Jmax, S1, S2

 

гашел вот такую гнормальную статю с разьяснениями... Но нет рекомендация для практики за исключением Jc. https://mk16.de/blog/amneziawg-en/

 

А тут пишут что есои понизить Jс - увеличивает шансы на прохождение DPI https://github.com/amnezia-vpn/amnezia-client/issues/1010

Изменено 22 ноября пользователем pppppppo_98