amneziawg-go для Entware

[RD_Dev]

Всех приветствую!

У меня следующая проблема: настроил роутер с Entware и Амнезией по инструкции от ShidlaSGC, которую уже много раз упоминали в этой ветке. Настраивал у себя дома, всё прекрасно заработало. На следующий день поставил его на то место, где он должен был начать нести свои трудовые подвиги, подключил кабелем, но он не заработал из-за конфликта адресов: т.к. он был настроен раздавать сеть с адреса 192.168.1.1, но именно в такую сеть его подключили. Не велика беда, решил я, пошёл в админке в Мои сети и Wi-Fi, выбрал Параметры IP, поставил новый адрес 192.168.5.1, маску не менял (255.255.255.0/24). Перезагружаю, всё хорошо, конфликта адресов больше нет, но и от Кинетика ничего не работает. Он исправно раздает адреса в новом диапазоне и по Wi-Fi, и по кабелю, но вот интернета нет. Перехожу в админке в Диагностику, Проверка сетевого соединения: Яндекс прекрасно пингуется, но вот все машины подключенные к Кинетику, выйти за пределы внутренней сети не могут. ДНС не резолвит, внешние ip тоже. Можете подсказать, что я делаю не так? Использую Hopper SE (KN-3812), на последней прошивке 5.0.4.

[vassemm]

5 hours ago, pppppppo_98 said:

да

А что да?

Я спросил  - А что вы в качестве серверной части для 2.0 используете?

Вы ответили - да

[zubzer0]

В 30.01.2026 в 12:57, Gromo сказал:

1. В Wireguard работал протокол ipv6. В amneziawg-go для Entware (по инструкции) не предусмотрен ipv6 адрес, хотя в conf файле остается инструкция AllowedIPs для ipv6. Заработавшая amnezia не активирует ipv6 протокол. Попробовал в cli командой interface OpkgTun0 ipv6 address ### задать ipv6 адрес и он даже отобразился в web кинетика. Также в cli show interface OpkgTun0 показывает, что ipv6 активен, но по факту протокол через туннель не ходит. Ping -6 а также trace -6 ничего не возвращают. Сайты сначала пытаются открываться через ipv6, затем с паузой открываются через ipv4. Вопрос - как включить ipv6 на amneziawg-go для Entware?

2. По ощущениям, amnezia гораздо сильнее грузит процессор, чем ранее работавший Wireguard. Например, если включить видео с youtube 4k, то при траффике 30-40мбит/с веб морда кинетика показывает загрузку ЦП 100%. Это как-то лечится?

1. у меня получилось через OpkgTun1
но тут скорее по правилу "или" :
- если хотим подключится к ipv4-endpoint и получить ipv6, то нигде кроме endpoint никаких ipv4 и масок
- тоже самое, если хотим от ipv6-endpoint получить ipv4, то нигде кроме endpoint никаких ipv6 и масок.
это касается как conf, так и самого OpkgTun интерфейса.  
* в conf для awg(opkgtun) вроде строки address быть не должно вообще
** а вот для встроенного wg, ipv4 нужно прописывать всегда, какой-нибудь из свободных 172.16.0.Х/32

2. для уменьшения страданий трафика и проца, можно отказаться от всех amnezia параметров кроме: 
i1, i2, i3 - но тут, или улучшит или не заработает, нужно тестить по месту.

---
а вообще, у меня получилось сделать тунель-в-тунеле:
амнезию конектил к v4-endpoint для получения v6., опосля, подключался к v6-endpoint через родной WG для получения v4. 

Увы, но какое либо DHCPv6 или просто v6-шлюз, не заводится. ipv6 от awg (и от WG) - остается только внутри роутера. но, может быть через fe80 ? получится подобие NATа со статикой., а то адресами светят, пинги бегают...


На заметку,
1. для MTU туннеля подключаемого к ipv4-endpoint надо вычитать 80, а у подключаемого к ipv6-endpoint надо вычитать 100. Не забывайте про MTU, если делаете тунель-в-тунеле, и не опускайте его ниже 1280 для того тунеля где вы получаете ipv6 адрес, а для тунелей где вы получаете ipv4 - mtu вполне может быть и меньше 1280. (из личной практики: я вполне удачно поднимал рабочий WG туннель с mtu=1180 через Teredo[mtu=1280] подключаясь к ipv6-endpoint)
1.а) если вы делаете "туннель в туннеле", где основной туннель amnezia с включенными параметрами Jc Jmin Jmax, то лучше исходить от меньшего (1280) прибавляя 100 на туннель amnezia, дабы у алгоритма был размах действий. т.е. первый туннель(amnezia) mtu=1380, а для туннеля внутри mtu=1280. В случае если у вас только i1, i2, i3 - то исходим/считаем от большего. 
2. если кто будет копаться в пробросах и маршрутах, и столкнется с прошивочными ограничениями роутера, то знайте - 2000::/3 вполне годится чтобы быть всею ipv6 😉

Изменено Воскресенье в 20:18 пользователем zubzer0

[Konstantine352]

8 часов назад, RD_Dev сказал:

Всех приветствую!

У меня следующая проблема: настроил роутер с Entware и Амнезией по инструкции от ShidlaSGC, которую уже много раз упоминали в этой ветке. Настраивал у себя дома, всё прекрасно заработало. На следующий день поставил его на то место, где он должен был начать нести свои трудовые подвиги, подключил кабелем, но он не заработал из-за конфликта адресов: т.к. он был настроен раздавать сеть с адреса 192.168.1.1, но именно в такую сеть его подключили. Не велика беда, решил я, пошёл в админке в Мои сети и Wi-Fi, выбрал Параметры IP, поставил новый адрес 192.168.5.1, маску не менял (255.255.255.0/24). Перезагружаю, всё хорошо, конфликта адресов больше нет, но и от Кинетика ничего не работает. Он исправно раздает адреса в новом диапазоне и по Wi-Fi, и по кабелю, но вот интернета нет. Перехожу в админке в Диагностику, Проверка сетевого соединения: Яндекс прекрасно пингуется, но вот все машины подключенные к Кинетику, выйти за пределы внутренней сети не могут. ДНС не резолвит, внешние ip тоже. Можете подсказать, что я делаю не так? Использую Hopper SE (KN-3812), на последней прошивке 5.0.4.

т.е. Вы включили кинетик в сеть 192.168.1.0/24, получили конфликт с существующим устройством с адресом 192.168.1.1 и за место смены ip кинетика, например на 192.168.1.254 поменяли подсеть на нем на 192.168.5.0/24?

Мне интересно, как устройства из подсети 192.168.1.0/24 должны работать с кинетиком?

Покажите Ipconfig и tracert 8.8.8.8 с клиентского устройства.

[JentRy]

12 часов назад, pppppppo_98 сказал:

в соседней ветке выложили awg с ядерным модулем - тоже работает 

pppppppo_98, Вы имеете в виду эту тему: AWG-Manager (управление туннелями AmneziaWG в Entware)?

[hoaxisr]

1 час назад, JentRy сказал:

pppppppo_98, Вы имеете в виду эту тему: AWG-Manager (управление туннелями AmneziaWG в Entware)?

https://github.com/hoaxisr/amneziawg-linux-kernel-module-keenetic

Тут можно все прочесть.

[pppppppo_98]

8 часов назад, vassemm сказал:

А что да?

Я спросил  - А что вы в качестве серверной части для 2.0 используете?

Вы ответили - да

да оба пира (wireguard и его форки одноранговые) используют 2.0

[pppppppo_98]

1 час назад, JentRy сказал:

pppppppo_98, Вы имеете в виду эту тему: AWG-Manager (управление туннелями AmneziaWG в Entware)?

нет я руками средствами awg-tools, iproute2, iptabes поднимаю соединение (естественно скрипты автомаьтизпции есть)

[RD_Dev]

3 hours ago, Konstantine352 said:

т.е. Вы включили кинетик в сеть 192.168.1.0/24, получили конфликт с существующим устройством с адресом 192.168.1.1 и за место смены ip кинетика, например на 192.168.1.254 поменяли подсеть на нем на 192.168.5.0/24?

Мне интересно, как устройства из подсети 192.168.1.0/24 должны работать с кинетиком?

Почему вместо? IP Кинетика теперь такой как нужно. Я вижу его в списке на главном роутере, который выходит в интернет. Внутренние адреса (внутри Кинетика) тоже теперь нормально раздаёт. 

Причину по которой так получилось, выше указал. Настраивал в домашней сети, где таких конфликтов не было. Когда увидел, что в новой конфликт есть, диапазон адресов поменял.

traceroute на любой внешний ip не проходит. 

Попробую сброс к заводским, копию конфигурации сохранил, все пакеты и конфиги Entrware всё равно на флешке, если что вернусь к этим настройкам.

[vassemm]

8 hours ago, pppppppo_98 said:

да оба пира (wireguard и его форки одноранговые) используют 2.0

Попробую еще раз

Какой софт вы используете на сервере для Amnezia 2.0 ?

Изменено Воскресенье в 17:19 пользователем vassemm

[Mapuk37]

Сделал по инструкции. Работает. Но почему-то не работает через политику.

То есть прописанные dns маршруты, которые я перенаправляю в awg go прекрасно через него ходят, но стоит мне перенести какое-то устройство в интерфейсе в политику с awg go, устройство теряет доступ в интернет. 
с чем может быть связано?

[Gromo]

2 часа назад, Mapuk37 сказал:

Сделал по инструкции. Работает. Но почему-то не работает через политику.

То есть прописанные dns маршруты, которые я перенаправляю в awg go прекрасно через него ходят, но стоит мне перенести какое-то устройство в интерфейсе в политику с awg go, устройство теряет доступ в интернет. 
с чем может быть связано?

Маршруты DNS зачем-то сделали рабочими только для политики "По умолчанию". Из Хелпа: "Клиент должен находиться в политике доступа Политика по умолчанию на странице Приоритеты подключений;"

[Mapuk37]

47 минут назад, Gromo сказал:

Маршруты DNS зачем-то сделали рабочими только для политики "По умолчанию". Из Хелпа: "Клиент должен находиться в политике доступа Политика по умолчанию на странице Приоритеты подключений;"

Так вот именно что маршруты работают прекрасно пока клиент в политике по умолчанию. 
но стоит перенести клиента в политику awg go (в таком случае по идее весь трафик к клиенту должен просто идти через awg go) доступ в инет у этого клиента теряется.

предполагаю, что нужно этот awg-go «использовать для выхода в интернет». В подключениях wg к примеру есть такая галочка и клиенты подкинутые в политику, созданную на основе этого wg без проблем выходят в интернет через этот wg. 
в общем как использовать awg-go для выхода в интернет?

[Evgeny Khramtsov]

Здравствуйте.

Для настройки AmneziaWG использовал инструкцию:
https://gitlab.com/ShidlaSGC/keenetic-entware-awg-go/-/blob/main/blob/02__KeenOS_5.0_(OpkgTun)/KeenOS_5.0_(OpkgTun).md

Можно ли доработать файлы чтобы вместо использования opkgtun поднималось прокси-соединение? В браузере установлено расширение SmartProxy, и хотелось бы указать прокси-сервер использующий AmneziaWG.

[Gromo]

8 часов назад, Mapuk37 сказал:

в общем как использовать awg-go для выхода в интернет?

В инструкции написано, что нужно дать команду в cli = ip route default OpkgTun0

[dchusovitin]

1 час назад, Evgeny Khramtsov сказал:

Здравствуйте.

Для настройки AmneziaWG использовал инструкцию:
https://gitlab.com/ShidlaSGC/keenetic-entware-awg-go/-/blob/main/blob/02__KeenOS_5.0_(OpkgTun)/KeenOS_5.0_(OpkgTun).md

Можно ли доработать файлы чтобы вместо использования opkgtun поднималось прокси-соединение? В браузере установлено расширение SmartProxy, и хотелось бы указать прокси-сервер использующий AmneziaWG.

Использовать доп. софт, поднять прокси и указать с какого интерфейса отправлять трафик. 

Либо, вариант проще. Использовать mihomo (вместо awg-go), там из коробки есть возможность запуска прокси. Генератор конфигурации умеет это делать. 

[Mapuk37]

11 часов назад, Gromo сказал:

В инструкции написано, что нужно дать команду в cli = ip route default OpkgTun0

Все сделал по шагам как в инструкции, но как я сказал при добавлении устройства в политику инет на нем пропадает

[Evgeny Khramtsov]

12 часов назад, dchusovitin сказал:

Использовать доп. софт, поднять прокси и указать с какого интерфейса отправлять трафик. 

Либо, вариант проще. Использовать mihomo (вместо awg-go), там из коробки есть возможность запуска прокси. Генератор конфигурации умеет это делать. 

Благодарю)

[Gromo]

2 часа назад, Mapuk37 сказал:

Все сделал по шагам как в инструкции, но как я сказал при добавлении устройства в политику инет на нем пропадает

У меня лично такая фигня срабатывала: При добавлении устройства в политику, где awg, устройство пыталось например идти на youtube по ipv6, а моя установка awg c ipv6 не дружит - и соединения не случалось. В итоге пришлось проверять командами ping или tracert -6 куда пытается лезть устройство и настраивать маршруты в политике