amneziawg-go для Entware

[RD_Dev]

Всех приветствую!

У меня следующая проблема: настроил роутер с Entware и Амнезией по инструкции от ShidlaSGC, которую уже много раз упоминали в этой ветке. Настраивал у себя дома, всё прекрасно заработало. На следующий день поставил его на то место, где он должен был начать нести свои трудовые подвиги, подключил кабелем, но он не заработал из-за конфликта адресов: т.к. он был настроен раздавать сеть с адреса 192.168.1.1, но именно в такую сеть его подключили. Не велика беда, решил я, пошёл в админке в Мои сети и Wi-Fi, выбрал Параметры IP, поставил новый адрес 192.168.5.1, маску не менял (255.255.255.0/24). Перезагружаю, всё хорошо, конфликта адресов больше нет, но и от Кинетика ничего не работает. Он исправно раздает адреса в новом диапазоне и по Wi-Fi, и по кабелю, но вот интернета нет. Перехожу в админке в Диагностику, Проверка сетевого соединения: Яндекс прекрасно пингуется, но вот все машины подключенные к Кинетику, выйти за пределы внутренней сети не могут. ДНС не резолвит, внешние ip тоже. Можете подсказать, что я делаю не так? Использую Hopper SE (KN-3812), на последней прошивке 5.0.4.

[vassemm]

5 hours ago, pppppppo_98 said:

да

А что да?

Я спросил  - А что вы в качестве серверной части для 2.0 используете?

Вы ответили - да

[zubzer0]

В 30.01.2026 в 12:57, Gromo сказал:

1. В Wireguard работал протокол ipv6. В amneziawg-go для Entware (по инструкции) не предусмотрен ipv6 адрес, хотя в conf файле остается инструкция AllowedIPs для ipv6. Заработавшая amnezia не активирует ipv6 протокол. Попробовал в cli командой interface OpkgTun0 ipv6 address ### задать ipv6 адрес и он даже отобразился в web кинетика. Также в cli show interface OpkgTun0 показывает, что ipv6 активен, но по факту протокол через туннель не ходит. Ping -6 а также trace -6 ничего не возвращают. Сайты сначала пытаются открываться через ipv6, затем с паузой открываются через ipv4. Вопрос - как включить ipv6 на amneziawg-go для Entware?

2. По ощущениям, amnezia гораздо сильнее грузит процессор, чем ранее работавший Wireguard. Например, если включить видео с youtube 4k, то при траффике 30-40мбит/с веб морда кинетика показывает загрузку ЦП 100%. Это как-то лечится?

1. у меня получилось через OpkgTun1
но тут скорее по правилу "или" :
- если хотим подключится к ipv4-endpoint и получить ipv6, то нигде кроме endpoint никаких ipv4 и масок
- тоже самое, если хотим от ipv6-endpoint получить ipv4, то нигде кроме endpoint никаких ipv6 и масок.
это касается как conf, так и самого OpkgTun интерфейса.  
* в conf для awg(opkgtun) вроде строки address быть не должно вообще
** а вот для встроенного wg, ipv4 нужно прописывать всегда, какой-нибудь из свободных 172.16.0.Х/32

2. для уменьшения страданий трафика и проца, можно отказаться от всех amnezia параметров кроме: 
i1, i2, i3 - но тут, или улучшит или не заработает, нужно тестить по месту.

---
а вообще, у меня получилось сделать тунель-в-тунеле:
амнезию конектил к v4-endpoint для получения v6., опосля, подключался к v6-endpoint через родной WG для получения v4. 

Увы, но какое либо DHCPv6 или просто v6-шлюз, не заводится. ipv6 от awg (и от WG) - остается только внутри роутера. но, может быть через fe80 ? получится подобие NATа со статикой., а то адресами светят, пинги бегают...


На заметку,
1. для MTU туннеля подключаемого к ipv4-endpoint надо вычитать 80, а у подключаемого к ipv6-endpoint надо вычитать 100. Не забывайте про MTU, если делаете тунель-в-тунеле, и не опускайте его ниже 1280 для того тунеля где вы получаете ipv6 адрес, а для тунелей где вы получаете ipv4 - mtu вполне может быть и меньше 1280. (из личной практики: я вполне удачно поднимал рабочий WG туннель с mtu=1180 через Teredo[mtu=1280] подключаясь к ipv6-endpoint)
1.а) если вы делаете "туннель в туннеле", где основной туннель amnezia с включенными параметрами Jc Jmin Jmax, то лучше исходить от меньшего (1280) прибавляя 100 на туннель amnezia, дабы у алгоритма был размах действий. т.е. первый туннель(amnezia) mtu=1380, а для туннеля внутри mtu=1280. В случае если у вас только i1, i2, i3 - то исходим/считаем от большего. 
2. если кто будет копаться в пробросах и маршрутах, и столкнется с прошивочными ограничениями роутера, то знайте - 2000::/3 вполне годится чтобы быть всею ipv6 😉

Изменено Воскресенье в 20:18 пользователем zubzer0

[Konstantine352]

8 часов назад, RD_Dev сказал:

Всех приветствую!

У меня следующая проблема: настроил роутер с Entware и Амнезией по инструкции от ShidlaSGC, которую уже много раз упоминали в этой ветке. Настраивал у себя дома, всё прекрасно заработало. На следующий день поставил его на то место, где он должен был начать нести свои трудовые подвиги, подключил кабелем, но он не заработал из-за конфликта адресов: т.к. он был настроен раздавать сеть с адреса 192.168.1.1, но именно в такую сеть его подключили. Не велика беда, решил я, пошёл в админке в Мои сети и Wi-Fi, выбрал Параметры IP, поставил новый адрес 192.168.5.1, маску не менял (255.255.255.0/24). Перезагружаю, всё хорошо, конфликта адресов больше нет, но и от Кинетика ничего не работает. Он исправно раздает адреса в новом диапазоне и по Wi-Fi, и по кабелю, но вот интернета нет. Перехожу в админке в Диагностику, Проверка сетевого соединения: Яндекс прекрасно пингуется, но вот все машины подключенные к Кинетику, выйти за пределы внутренней сети не могут. ДНС не резолвит, внешние ip тоже. Можете подсказать, что я делаю не так? Использую Hopper SE (KN-3812), на последней прошивке 5.0.4.

т.е. Вы включили кинетик в сеть 192.168.1.0/24, получили конфликт с существующим устройством с адресом 192.168.1.1 и за место смены ip кинетика, например на 192.168.1.254 поменяли подсеть на нем на 192.168.5.0/24?

Мне интересно, как устройства из подсети 192.168.1.0/24 должны работать с кинетиком?

Покажите Ipconfig и tracert 8.8.8.8 с клиентского устройства.

[JentRy]

12 часов назад, pppppppo_98 сказал:

в соседней ветке выложили awg с ядерным модулем - тоже работает 

pppppppo_98, Вы имеете в виду эту тему: AWG-Manager (управление туннелями AmneziaWG в Entware)?

[hoaxisr]

1 час назад, JentRy сказал:

pppppppo_98, Вы имеете в виду эту тему: AWG-Manager (управление туннелями AmneziaWG в Entware)?

https://github.com/hoaxisr/amneziawg-linux-kernel-module-keenetic

Тут можно все прочесть.

[pppppppo_98]

8 часов назад, vassemm сказал:

А что да?

Я спросил  - А что вы в качестве серверной части для 2.0 используете?

Вы ответили - да

да оба пира (wireguard и его форки одноранговые) используют 2.0

[pppppppo_98]

1 час назад, JentRy сказал:

pppppppo_98, Вы имеете в виду эту тему: AWG-Manager (управление туннелями AmneziaWG в Entware)?

нет я руками средствами awg-tools, iproute2, iptabes поднимаю соединение (естественно скрипты автомаьтизпции есть)

[RD_Dev]

3 hours ago, Konstantine352 said:

т.е. Вы включили кинетик в сеть 192.168.1.0/24, получили конфликт с существующим устройством с адресом 192.168.1.1 и за место смены ip кинетика, например на 192.168.1.254 поменяли подсеть на нем на 192.168.5.0/24?

Мне интересно, как устройства из подсети 192.168.1.0/24 должны работать с кинетиком?

Почему вместо? IP Кинетика теперь такой как нужно. Я вижу его в списке на главном роутере, который выходит в интернет. Внутренние адреса (внутри Кинетика) тоже теперь нормально раздаёт. 

Причину по которой так получилось, выше указал. Настраивал в домашней сети, где таких конфликтов не было. Когда увидел, что в новой конфликт есть, диапазон адресов поменял.

traceroute на любой внешний ip не проходит. 

Попробую сброс к заводским, копию конфигурации сохранил, все пакеты и конфиги Entrware всё равно на флешке, если что вернусь к этим настройкам.

[vassemm]

8 hours ago, pppppppo_98 said:

да оба пира (wireguard и его форки одноранговые) используют 2.0

Попробую еще раз

Какой софт вы используете на сервере для Amnezia 2.0 ?

Изменено Воскресенье в 17:19 пользователем vassemm

[Mapuk37]

Сделал по инструкции. Работает. Но почему-то не работает через политику.

То есть прописанные dns маршруты, которые я перенаправляю в awg go прекрасно через него ходят, но стоит мне перенести какое-то устройство в интерфейсе в политику с awg go, устройство теряет доступ в интернет. 
с чем может быть связано?

[Gromo]

2 часа назад, Mapuk37 сказал:

Сделал по инструкции. Работает. Но почему-то не работает через политику.

То есть прописанные dns маршруты, которые я перенаправляю в awg go прекрасно через него ходят, но стоит мне перенести какое-то устройство в интерфейсе в политику с awg go, устройство теряет доступ в интернет. 
с чем может быть связано?

Маршруты DNS зачем-то сделали рабочими только для политики "По умолчанию". Из Хелпа: "Клиент должен находиться в политике доступа Политика по умолчанию на странице Приоритеты подключений;"

[Mapuk37]

47 минут назад, Gromo сказал:

Маршруты DNS зачем-то сделали рабочими только для политики "По умолчанию". Из Хелпа: "Клиент должен находиться в политике доступа Политика по умолчанию на странице Приоритеты подключений;"

Так вот именно что маршруты работают прекрасно пока клиент в политике по умолчанию. 
но стоит перенести клиента в политику awg go (в таком случае по идее весь трафик к клиенту должен просто идти через awg go) доступ в инет у этого клиента теряется.

предполагаю, что нужно этот awg-go «использовать для выхода в интернет». В подключениях wg к примеру есть такая галочка и клиенты подкинутые в политику, созданную на основе этого wg без проблем выходят в интернет через этот wg. 
в общем как использовать awg-go для выхода в интернет?

[Evgeny Khramtsov]

Здравствуйте.

Для настройки AmneziaWG использовал инструкцию:
https://gitlab.com/ShidlaSGC/keenetic-entware-awg-go/-/blob/main/blob/02__KeenOS_5.0_(OpkgTun)/KeenOS_5.0_(OpkgTun).md

Можно ли доработать файлы чтобы вместо использования opkgtun поднималось прокси-соединение? В браузере установлено расширение SmartProxy, и хотелось бы указать прокси-сервер использующий AmneziaWG.

[Gromo]

8 часов назад, Mapuk37 сказал:

в общем как использовать awg-go для выхода в интернет?

В инструкции написано, что нужно дать команду в cli = ip route default OpkgTun0

[dchusovitin]

1 час назад, Evgeny Khramtsov сказал:

Здравствуйте.

Для настройки AmneziaWG использовал инструкцию:
https://gitlab.com/ShidlaSGC/keenetic-entware-awg-go/-/blob/main/blob/02__KeenOS_5.0_(OpkgTun)/KeenOS_5.0_(OpkgTun).md

Можно ли доработать файлы чтобы вместо использования opkgtun поднималось прокси-соединение? В браузере установлено расширение SmartProxy, и хотелось бы указать прокси-сервер использующий AmneziaWG.

Использовать доп. софт, поднять прокси и указать с какого интерфейса отправлять трафик. 

Либо, вариант проще. Использовать mihomo (вместо awg-go), там из коробки есть возможность запуска прокси. Генератор конфигурации умеет это делать. 

[Mapuk37]

11 часов назад, Gromo сказал:

В инструкции написано, что нужно дать команду в cli = ip route default OpkgTun0

Все сделал по шагам как в инструкции, но как я сказал при добавлении устройства в политику инет на нем пропадает

[Evgeny Khramtsov]

12 часов назад, dchusovitin сказал:

Использовать доп. софт, поднять прокси и указать с какого интерфейса отправлять трафик. 

Либо, вариант проще. Использовать mihomo (вместо awg-go), там из коробки есть возможность запуска прокси. Генератор конфигурации умеет это делать. 

Благодарю)

[Gromo]

2 часа назад, Mapuk37 сказал:

Все сделал по шагам как в инструкции, но как я сказал при добавлении устройства в политику инет на нем пропадает

У меня лично такая фигня срабатывала: При добавлении устройства в политику, где awg, устройство пыталось например идти на youtube по ipv6, а моя установка awg c ipv6 не дружит - и соединения не случалось. В итоге пришлось проверять командами ping или tracert -6 куда пытается лезть устройство и настраивать маршруты в политике

[pppppppo_98]

В 08.02.2026 в 07:12, zubzer0 сказал:

. для MTU туннеля подключаемого к ipv4-endpoint надо вычитать 80, а у подключаемого к ipv6-endpoint надо вычитать 100.

а почему 100 для ipv6? Есть какой расет за этим? у меня на обоих пирах (ipv6) 1420ю Вроде трафик идет? но после ваших слов я начал сомневаться весь ли трафик ко мне проходит?  

[pppppppo_98]

В 08.02.2026 в 16:02, vassemm сказал:

Попробую еще раз

Какой софт вы используете на сервере для Amnezia 2.0 ?

Снова спрашиваю а что такое сервер? У меня все просто. есть несколько кинетиков которые по какой-то политике свзязаны друг с другом с помощью сначала wireguarg, потом амнезия 1.0, потом 2.0 (1.0 тоже кстати работает, и местами и поныне  ваергуард  - но именно местами поэтому для связи с неопределенного хоста в сети не подходит) . Обусловлено нет, что меня просили сделать соединение к домашним и офисным сетям. В этой сети все соединения одноранговые - у меня на ноутах телефоне планшете тоже стоят клиенты. И Если на телефонах и планшете  из-за закрытости андроида (рутовать не хочу) я не могу  соединить сети , то ноутах я это делаю запросто (там тоже линух стоит , виндой я редко пользуюсь, и всегда не с целями связанными с сетевым функционалом)... ТОже самое будет если вы вместо ноута подсоедините, vps, или условный RaspberriPi, или OpenWRT (у меня вот к примеру еще есть OpenWRT One - под него есть amneziawg)

Софт я использовал на amd/intel вот тут ядерный модуль https://github.com/amnezia-vpn/amneziawg-linux-kernel-module, и стандартный awg-tools. На кинетиках снова же awg-tools и amneziawg-go, написанное на go. На опенврт есть свой скрипт для установки (ищется в гугле), на микротике (был и такой у меня в принципе удачный эксперимент) - я настраивал ваергуард включенные в прошивку чуть ли не с прошивки 7.0 ( даже видел контейнерный вариант амнезиивг для микротика, но сам не пробовал)

 

Для конфигурации сетей (подъем интерфейсов, маршрутизация, присваивания адреса, source based routing) стандартный для линуха пакет сетtвого администрирования iproute

 

Для настройки фаервола, максрадинга,  clamp-mss тоже стандартный iptables (его более новая версия lkz intel/amd/aarch64 nft)

 

Для отладки или отлова пакетов tcpdump или на интелах wireshark

 

Ну собственно и все.  

 

PS

Несколько дней назад по наводке hoaxisr на  перешел на ядерный вариант на одном из кинетиков, не совсем стабильно работает, при операциях синхронизации или смены конфигурации на работающем соединении почему-то у меня перезагружается роутер - что совсем не айс, пришлось пока отказаться от периодических проверок на зависание с переподключением

Изменено 20 часов назад пользователем pppppppo_98

[zubzer0]

10 часов назад, pppppppo_98 сказал:

а почему 100 для ipv6? Есть какой расет за этим? у меня на обоих пирах (ipv6) 1420ю Вроде трафик идет? но после ваших слов я начал сомневаться весь ли трафик ко мне проходит?  

В виду большего заголовка. Для коммутации с ipv4 endpoint требуется 20байт на ip адрес, для коммутации с ipv6 endpoint - 40байт на адрес.

-20-8-32 - если endpoint ipv4
-40-8-32 - если endpoint ipv6
(где 20/40 - ip адрес, 8 - UDP заголовок, 32 - wg данные)
но, это будет впритирку, wireguard такое не любит, хотя коннект будет, но скорость просядет,
поэтому для "буфера" вычитают еще 20 байт (можно попробовать -10 или -30, но это требует iperf тестов по месту)
поэтому правильно будет:
-20-8-32-20 ; -80 если endpoint ipv4
-40-8-32-20 ; -100 если endpoint ipv6

Изменено 10 часов назад пользователем zubzer0

[Aikei]

Большое спасибо за инструмент, настроил, поднял на интерфейсе OpkgTun0, офф.подключение Amnezia WG, но на Giga KN-1012 проц грузится на 99% при скорости всего в ~80Мбит, с этим ничего не сделать? Когда-то работающий штатный AWG 1.0 в целом проц не грузил, можно было и 500Мбит выжимать

Изменено 15 часов назад пользователем Aikei

[Кинетиковод]

8 минут назад, Aikei сказал:

с этим ничего не сделать?

Ставьте ядерный AWG от hoaxisr.