Advanced security configuration (ASC) для WireGuard

[Noatitauaggi]

В обновлении было добавлено возможность подключить AmneziaWG, но никак не получается от слова совсем, одни ошибки.

Что я делаю не так?

Подключение WireGuard называется WG

Пытаюсь и так interface WG wireguard asc 9 50 1000 27 110 541972455 339647423 1461438265 117583223

При этом варианте ошибка

{
	"prompt": "(config)",
	"status": [
		{
			"status": "error",
			"code": "6553609",
			"ident": "Wireguard::Interface",
			"message": "unable to find WG in \"Wireguard::Interface\"."
		}
	]
}

И так interface {WG} wireguard asc {9} {50} {1000} {27} {110} {541972455 } {339647423 } {1461438265 } {117583223} 

При этом варианта ошибка

{
	"prompt": "(config)",
	"status": [
		{
			"status": "error",
			"code": "7405602",
			"ident": "Command::Base",
			"source": "jc",
			"message": "argument parse error."
		}
	]
}

 

 

• Параметры advanced security configuration (ASC) для WireGuard теперь доступны в интерфейсе командной строки (CLI). [NDM-3202]

  • interface {name} wireguard asc {jc} {jmin} {jmax} {s1} {s2} {h1} {h2} {h3} {h4} — установить дополнительные параметры ASC для WireGuard {name} туннеля.

 

[Denis P]

8 минут назад, nikrays сказал:

видать в прошивках что-то

Или в головах.

[aarnet]

В 07.08.2024 в 12:52, Noatitauaggi сказал:

interface {name}

что пишете в {name} ?

сначало команду - show interface - там смотрите как называется ваш интерфейс - скорее всего - если WG у вас один то "interface-name": "Wireguard0"

а вы пишете вместо имени интерфейса(Wireguard0), свое название которое вы написали себе для удобства (WG)

вот так должна выглядить ваша команда (если WG интерфейс у вас один)

interface Wireguard0 wireguard asc 9 50 1000 27 110 541972455 339647423 1461438265 117583223

Изменено 28 октября пользователем aarnet

[NSGrid]

18 часов назад, nikrays сказал:

У всех так, видать в прошивках что-то, но оно коннектит но долго и не всегда с 1 раза, надуюсь они в курсе и поправят

Не понял, вы хотите сказать, что это не блоки со стороны РКН, а глюки роутера? У меня прошивка сейчас стоит последняя официальная - 4.3.6.3. Еще буквально несколько дней назад работало все без нареканий. А сейчас как будто просто кто-то кабель перерубил. То есть у меня вообще не коннектит с уже ранее действовавшими настройкам WG. Хотя прошивку я не менял.

Изменено 29 октября пользователем NSGrid

[VVS]

1 час назад, NSGrid сказал:

Не понял, вы хотите сказать, что это не блоки со стороны РКН, а глюки роутера?

Это РКН.

[nikrays]

1 час назад, NSGrid сказал:

Не понял, вы хотите сказать, что это не блоки со стороны РКН, а глюки роутера? У меня прошивка сейчас стоит последняя официальная - 4.3.6.3. Еще буквально несколько дней назад работало все без нареканий. А сейчас как будто просто кто-то кабель перерубил. То есть у меня вообще не коннектит с уже ранее действовавшими настройкам WG. Хотя прошивку я не менял.

И это тоже, у меня есть инстанс который без мусора на голом вг работает без мусора j на смартфоне, в кинетике они-то соединяет то нет, хз в общем

[NSGrid]

Ясно, не очень-то радостная новость. Как-то прям очень неожиданно обрубили, при том, что у меня домовой провайдер вообще такой лайтовый, например Ютуб не замедляет и не блочит.

Кстати, удачно, добрые люди уже создали сайт для ленивых для быстрой генерации ASC параметров WG - https://rockblack.pro/generator_amneziawg.html

И еще, сразу возникает вопрос/предложение. Может уже пора бы разрабам Кинетика добавить эту опцию в графический интерфейс, чтобы не приходилось через командную строку это вносить? Ведь не все же могут использовать эту функцию для обхода блокировок РКН, а если мне просто нравится этот пртокол для доступа к моей локалке, почему, получается, мне РКН и этого не дает теперь делать?

И еще вопрос. Подскажите в принципе эти параметры их просто можно задать произвольно или у них есть какие-то диапазоны? См. ниже.

S1 = 0 (вообще любое число или или есть диапазон типа от и до)
S2 = 0 (вообще любое число или или есть диапазон типа от и до)
Jc = 3 (вообще любое число или или есть диапазон типа от и до)
Jmin = 10 (тут получается от такого то, типа от 10 и не больше числа Jmax, верно?)
Jmax = 50 (а здесь до такого то, типа до 50, а можно 500 или больше/меньше?)
H1 = 904321824 (а здесь есть какой-то принцип или числа могут быть любые? я заметил, что они все 9-ти значные, то есть любые, но 9 знаков должны быть?)
H2 = 245411986 (а здесь есть какой-то принцип или числа могут быть любые? я заметил, что они все 9-ти значные, то есть любые, но 9 знаков должны быть?)
H3 = 663334667 (а здесь есть какой-то принцип или числа могут быть любые? я заметил, что они все 9-ти значные, то есть любые, но 9 знаков должны быть?)
H4 = 1944657114 (а здесь есть какой-то принцип или числа могут быть любые? я заметил, что они все 9-ти значные, то есть любые, но 9 знаков должны быть?)

 

Изменено 29 октября пользователем NSGrid

[Gonzik]

2 часа назад, NSGrid сказал:

добрые люди уже создали сайт для ленивых для быстрой генерации ASC параметров WG

Угу, а заодно, соберут информацию о вашем личном VDS. Вы же им туда вместе с интерфейсами и ключами выложите в готовом виде весь конфиг.

Да, прям для дураков ленивых.

[Gonzik]

2 часа назад, NSGrid сказал:

Подскажите в принципе эти параметры их просто можно задать произвольно или у них есть какие-то диапазоны?

нельзя их задать произвольно. Их можно сгенерировать, когда развернете свой сервер.

Или использовать публичные 1 2 3 4..

[nikrays]

6 часов назад, NSGrid сказал:

Ясно, не очень-то радостная новость. Как-то прям очень неожиданно обрубили, при том, что у меня домовой провайдер вообще такой лайтовый, например Ютуб не замедляет и не блочит.

Кстати, удачно, добрые люди уже создали сайт для ленивых для быстрой генерации ASC параметров WG - https://rockblack.pro/generator_amneziawg.html

И еще, сразу возникает вопрос/предложение. Может уже пора бы разрабам Кинетика добавить эту опцию в графический интерфейс, чтобы не приходилось через командную строку это вносить? Ведь не все же могут использовать эту функцию для обхода блокировок РКН, а если мне просто нравится этот пртокол для доступа к моей локалке, почему, получается, мне РКН и этого не дает теперь делать?

И еще вопрос. Подскажите в принципе эти параметры их просто можно задать произвольно или у них есть какие-то диапазоны? См. ниже.

S1 = 0 (вообще любое число или или есть диапазон типа от и до)
S2 = 0 (вообще любое число или или есть диапазон типа от и до)
Jc = 3 (вообще любое число или или есть диапазон типа от и до)
Jmin = 10 (тут получается от такого то, типа от 10 и не больше числа Jmax, верно?)
Jmax = 50 (а здесь до такого то, типа до 50, а можно 500 или больше/меньше?)
H1 = 904321824 (а здесь есть какой-то принцип или числа могут быть любые? я заметил, что они все 9-ти значные, то есть любые, но 9 знаков должны быть?)
H2 = 245411986 (а здесь есть какой-то принцип или числа могут быть любые? я заметил, что они все 9-ти значные, то есть любые, но 9 знаков должны быть?)
H3 = 663334667 (а здесь есть какой-то принцип или числа могут быть любые? я заметил, что они все 9-ти значные, то есть любые, но 9 знаков должны быть?)
H4 = 1944657114 (а здесь есть какой-то принцип или числа могут быть любые? я заметил, что они все 9-ти значные, то есть любые, но 9 знаков должны быть?)

 

Ага, и тогда это будет считаться публичным способом настройки обхода для каждой домохозяйки то с чем борется РКН. Лучше так как есть, да и разрабы не пойдут на это, что считаю правильным 

[NSGrid]

4 часа назад, Gonzik сказал:

Их можно сгенерировать, когда развернете свой сервер.

Так тут и возникает вопрос, как это сделать на Кинетике тогда, если речь не идет о VPS и Амнезии WG? Вот, у меня развернут сервер - классический WG на Кинетике по их инструкции, я хочу чтобы мой мобильник и, может быть, еще некоторые клиенты могли к нему подключаться и получать доступ к моей локалке и моему домашнему интернету, как у меня ранее и было, до проделок РКН.

Что мне надо сделать, чтобы поменять эти ASC параметры на Кинетике? Как их тогда сгенерировать, чтобы не спалить приватные ключи?

Инструкция на сайте Амнезии подробно рассказывает как развернуть сервер на отдельной машине - VPS и как затем к нему подключаться, но ничего не рассказывает,  когда фактически в качестве VPS выступает сам Кинетик -  ведь это ж тоже по сути Линуксовая машина. Подскажите, плз.

Изменено 29 октября пользователем NSGrid

[aarnet]

9 минут назад, NSGrid сказал:

до проделок РКН

и тему закроют, а то еще и форум - КоАП РФ Статья 13.41

все что вы спрашиваете тут, товарищ майор, ищется и на сайте AWG и даже тут...

[Кинетиковод]

16 минут назад, NSGrid сказал:

Что мне надо сделать, чтобы поменять эти ASC параметры на Кинетике? Как их тогда сгенерировать, чтобы не спалить приватные ключи?

У вас 1012. Смените протокол да и всё. Вы прям как обладатель 7628 вцепились в wg мёртвой хваткой. У вас будет летать любой протокол. Почему вы так зациклились на wg непонятно.

Ну а если хотите генерировать, генерируйте. Параметры вашего сервера можете сменить в любой момент. Вам из генератора нужны только ASC параметры, остальное меняйте сколько хотите. Можете изначально фейковые данные в генератор вставить. 

[NSGrid]

13 часов назад, aarnet сказал:

и тему закроют, а то еще и форум - КоАП РФ Статья 13.41

все что вы спрашиваете тут, товарищ майор, ищется и на сайте AWG и даже тут...

Не очень понятно, ведь сам по себе ВПН в целом как способ подключения к удаленным сетям же не запрещался. Запрещаются, как я понимаю, обход блокировок РКН с помощью ВПН (и реклама услуг по таким обходам). Тем более, ведь множество компаний используют различные виды ВПН для доступа сотрудников к своим корпоративным сетям и их невозможно запретить, иначе просто множество процессов встанет в деловой среде. Кстати, еще ведь есть другого вида блокировки, когда иностранный ресурс блокирует пользователей с российских IP, и если я так обхожу блокировку через ВПН, за это ж не может ругать РКН и нарушения закона же здесь нет, наоборот РКН должен нас так хвалить, типа вон граждан РФ ущемляют некоторые западные ресурсы, а мы все равно на них заходим 😂

 

12 часов назад, Кинетиковод сказал:

У вас 1012. Смените протокол да и всё. Вы прям как обладатель 7628 вцепились в wg мёртвой хваткой. У вас будет летать любой протокол. Почему вы так зациклились на wg непонятно.

Не зациклился, просто им давно уже пользовался и он удобен. Мне главное нравится, что в отличии от ВПН типа L2TP/IPsec или IKEv2/IPsec ты просто включаешь туннель и все работает, не надо именно подключаться к серверу, как делают вышеперечисленные способы, то есть как будто через прокси заходишь. Хотя, у меня настроены и варианты типа IKEv2/IPsec через него тоже работает.

 

12 часов назад, Кинетиковод сказал:

Ну а если хотите генерировать, генерируйте. Параметры вашего сервера можете сменить в любой момент. Вам из генератора нужны только ASC параметры, остальное меняйте сколько хотите. Можете изначально фейковые данные в генератор вставить. 

Я думал, что вот ранее мне написал юзер Gonzik

17 часов назад, Gonzik сказал:

нельзя их задать произвольно. Их можно сгенерировать, когда развернете свой сервер.

И я решил, что здесь важны данные приватных ключей, адрес сервера и т. п. Потому я и выше спрашивал по какому принципу они генерируются? Получается, если ни адрес сервера, ни приватный ключ и другие ключи неважны, тогда никаких проблем не вижу здесь. Значит можно просто завести произвольную конфигурацию, на основе нее сгенерировать эти параметры и затем вписать их уже в конфигурацию реального сервера.

Изменено 30 октября пользователем NSGrid

[Кинетиковод]

4 часа назад, NSGrid сказал:

Я думал, что вот ранее мне написал юзер Gonzik

Правильно писал. ASC параметры нельзя указать с потолка, у них есть свои правила. Вот чтобы в эту тему не погружаться и нужен генератор. Остальное можете менять как хотите, кроме ключей. Ключи генерируют пиры сами, но вы их можете перегенерировать множество раз без ограничений, главное не забыть публичные ключи в настройках пиров на другом конце тоннеля поменять. 

5 часов назад, NSGrid сказал:

не надо именно подключаться к серверу, как делают вышеперечисленные способы, то есть как будто через прокси заходишь

Странное объяснение, ну дело ваше. Не забудьте стандартный wg клиент на амнезийный поменять на своих устройствах, стандартный asc параметры не поддерживает.