AWG-Manager (управление туннелями AmneziaWG в Entware)

[jinndi]

7 минут назад, paris19891 сказал:

На 1011 скорость 22-23 Mbps

Такая скорость была раньше на штатном WG у Keenetic на одноядерном процессоре 575 МГц.
В целом в sing-box протокол WG не очень оптимизирован — на эту тему есть много обсуждений.
Личный опыт показал, что он потребляет очень много памяти и через некоторое время отваливается.
Не знаю, как обстоят дела в последних версиях, но, судя по логам обновлений, исправлений не было.

 

[paris19891]

19 минут назад, hoaxisr сказал:

Они все же есть, и место для улучшений тоже еще не все изучено. 

Но спасибо за теплые слова. 

А какие ошибки есть?

[hoaxisr]

6 минут назад, jinndi сказал:

39 минут назад, paris19891 сказал:

На 1011 скорость 22-23 Mbps

Такая скорость была раньше на штатном WG у Keenetic на одноядерном процессоре 575 МГц.
В целом в sing-box протокол WG не очень оптимизирован — на эту тему есть много обсуждений.

Все потому что используется userspace пространство, модуль ядра сильно улучшит ситуацию, но в этом вопросе нужна "помощь зала". 

Заняться отладкой модуля ядра пока не позволяет возможность "выдернуть" устройство из локальной сети, чтобы посмотреть по UART где там kernel panic наступает. Буду думать.

[hoaxisr]

2 минуты назад, paris19891 сказал:

какие ошибки есть?

Выше один из пользователей писал, что у него запустился второй туннель без отображения в морде роутера. Нужно исследовать. 

"Оживление" туннеля еще можно посмотреть и возможно реализовать механизм смены i1-i5 для его восстановления.

Так что есть пространство для улучшения качества работы.

[spun]

уважаемый автор, а в веморде кинетика в разделе "другие подключения" должен тоннель отображаться? у меня не отображается при этом в разделе "приоритеты подключений" его видно

[hoaxisr]

5 часов назад, theNightman сказал:

Спасибо за модуль. Понимаю что это awg, но будет здорово если помимо awg туннелей, можно было бы добавить vless, а не лезть в дебри флэшки и править файл singbox добавляя в него что нужно

Можете более подробно рассказать, можно в личку, о сценарии, что вы изменяете в config.json sing-box. Для понимания как это можно реализовать. 

Возможно решение уже готово, альфа тест пока проводился на Linux и там все работало, вот хотелось бы понять что из функционала может быть востребовано на роутере. 

[hoaxisr]

1 минуту назад, spun сказал:

уважаемый автор, а в веморде кинетика в разделе "другие подключения" должен тоннель отображаться? у меня не отображается при этом в разделе "приоритеты подключений" его видно

Нет. Не должен. Это не реализовано в прошивке. Есть тема в "развитие" с предложением к разработчикам Кинетик это добавить.

[2028426]

3 часа назад, Родион Гусев сказал:

Первый тунель есть в нативном мониторе и в политиках, а второго тунеля нет ни в мониторе ни в политиках.

создал второй руками из Entware и в AWG Manager подсунул второй конфиг, в морде keenetic светят два OpkgTun

ndmc -c interface OpkgTun1
ndmc -c interface OpkgTun1 description SRV01_AWG
ndmc -c interface OpkgTun1 ip global auto
ndmc -c interface OpkgTun1 ip address 10.66.66.5 255.255.255.255
ndmc -c interface OpkgTun1 ip mtu 1280
ndmc -c interface OpkgTun1 ip tcp adjust-mss pmtu
ndmc -c interface OpkgTun1 up
ndmc -c ip route default OpkgTun1
ndmc -c system configuration save

 

 

Спойлер

 

Изменено Понедельник в 10:13 пользователем 2028426

[hoaxisr]

20 минут назад, 2028426 сказал:

создал второй руками из Entware и в AWG Manager подсунул второй конфиг, в морде keenetic светят два OpkgTun

Хм. Если вы уже создали туннель в Entware для чего вы создаете его же в AWG Manager? 

Или у вас есть какая-то задумка которую я не понимаю, или вы делаете то, что я не понимаю. Простите.

Когда вы импортируете конфигурацию в AWG Manager он проходит весь тот путь, что вы делаете руками для туннеля. Т.е. выполняет по сути ровно теже команды, что и вы "руками" в entware, он не "подтягивает" созданные туннели вне его. 

[hoaxisr]

Приложение AWG-Manager обновлено до версии 1.5.0

Изменения:

1) Теперь на устройствах с <256Mb можно отключить режим ограничения памяти для процесса amneziawg-go в     настройках.  

      Для этого:

• - Открыть "Настройки", на устройствах (<200MB) будет активен toggle "Отключить режим экономии памяти", при включении toggle: появляется модальное окно предупреждения о необходимости использовать swap раздел, после перезапуска туннеля применяются новые параметры ограничений по памяти

2) Добавлено логирование работы приложения. Для его включения и настройки необходимо включить логгирование в разделе "Настройка". Логи не записываются на флешку/внутреннюю память, хранятся в ОЗУ и теряются при перезагрузке приложения/роутера. Время хранения логов настраивается и задается пользователем.

 

Обновление:

opkg update && opkg upgrade awg-manager

[jinndi]

4 минуты назад, hoaxisr сказал:

Теперь на устройствах с <256Mb

Касательно оптимизации WireGuard в последней версии sing-box (1.12.19):
протестировал, запустив speedtest по 10 раз.

Результаты по потреблению памяти:

WireGuard:

PID: 17090
Memory: 197 MB (peak: 217 MB)
Threads: 11

 

Для сравнения — Hysteria 2:

PID: 15874
Memory: 102 MB (peak: 104 MB)
Threads: 11

И это, похоже, не предел для WireGuard - его потребление памяти продолжало расти и не стабилизировалось.
Как обстоят дела с вашим модом?

[hoaxisr]

12 минут назад, jinndi сказал:

Касательно оптимизации WireGuard в последней версии sing-box (1.12.19):
протестировал, запустив speedtest по 10 раз.

Результаты по потреблению памяти:

WireGuard:

PID: 17090
Memory: 197 MB (peak: 217 MB)
Threads: 11

 

Для сравнения — Hysteria 2:

PID: 15874
Memory: 102 MB (peak: 104 MB)
Threads: 11

И это, похоже, не предел для WireGuard - его потребление памяти продолжало расти и не стабилизировалось.
Как обстоят дела с вашим модом?

На linux машине sing-box-awg-1.12.17 настроено три endpoint awg 2.0, настроено 52 route rules на основании rule-set'ов. Потребление памяти колеблется от 120mb до 250mb-300mb и зависит от харатера нагрузки в локальной сети. Более 300mb не было ни разу. У этой машины выделено 1Gb ОЗУ. 

Рост потребления памяти до 250-300mb связан у меня не с wireguard, а с активным открытием соединений торрент-качалками. Если кол-во соединений менее 1000 то потребление памяти около 120-150мб, при 3000 и более растет до 300 мб. 

sing-box у меня роутер в локальной сети для всего. весь траффик идет через него и обрабатывается им. 

root@singbox:~# systemctl status sing-box
● sing-box.service - sing-box service
     Loaded: loaded (/usr/lib/systemd/system/sing-box.service; enabled; preset: enabled)
     Active: active (running) since Sun 2026-01-25 19:08:49 MSK; 1 week 0 days ago
       Docs: https://sing-box.sagernet.org
   Main PID: 17380 (sing-box)
      Tasks: 8 (limit: 16545)
     Memory: 173.7M (peak: 329.9M)

Тестирования на роутере не проводил. У меня MIPSEL и эти развелечения с sing-box ему не по плечу

Amneziawg-go без sing-box работает, но очевидно тоже потребляется ОЗУ как не в себя

Изменено Понедельник в 12:14 пользователем hoaxisr

[jinndi]

9 минут назад, hoaxisr сказал:

sing-box у меня роутер в локальной сети для всего. весь траффик идет через него и обрабатывается им. 

и как в нем , в роутере ?

[hoaxisr]

Только что, jinndi сказал:

и как в нем , в роутере ?

  Main PID: 17380 (sing-box)
      Tasks: 8 (limit: 16545)
     Memory: 173.7M (peak: 329.9M)

Я может быть не совсем корректно выразил мысль. У меня в локальной сети есть устройство. На котором установлен sing-box и оно (устройство) шлюз по умолчанию для всей локальной сети.

Роутер (настоящий, Кинетик) выполняет роль получателя интернета и пересылки уже готовых пакетов.

[jinndi]

2 минуты назад, hoaxisr сказал:

  Main PID: 17380 (sing-box)
      Tasks: 8 (limit: 16545)
     Memory: 173.7M (peak: 329.9M)

Я может быть не совсем корректно выразил мысль. У меня в локальной сети есть устройство. На котором установлен sing-box и оно (устройство) шлюз по умолчанию для всей локальной сети.

Роутер (настоящий, Кинетик) выполняет роль получателя интернета и пересылки уже готовых пакетов.

понял, для роутера это критично было-бы

[hoaxisr]

переехало в соседнюю тему по Amnezia-box

Изменено Понедельник в 12:53 пользователем hoaxisr

[hoaxisr]

8 минут назад, jinndi сказал:

понял, для роутера это критично было-бы

Да. sing-box как роутер на роутере это затратное мероприятие.

Методом снижения использования ОЗУ это фильтрация трафика входящего в него  я вижу только использование механизма Fake-IP. 

Или механизм из 1.13.0 

auto_redirect now allows you to bypass sing-box for connections based on routing rules.

A new rule action bypass is introduced to support this feature. When matched during pre-match, the connection will bypass sing-box and connect directly.

This feature requires Linux with auto_redirect enabled.

See Pre-match and Rule Action.

Изменено Понедельник в 12:30 пользователем hoaxisr

[hoaxisr]

Мне кажется пора разделить тему на две

Отдельно по amnezia-box (sing-box-awg2.0) и отдельно awg-manager

Но так лениво

 

UPD. DONE. Предлагаю эту тему оставить только для обсуждения AWG-Manager

Изменено Понедельник в 12:54 пользователем hoaxisr

[jinndi]

7 минут назад, hoaxisr сказал:

Методом снижения использования ОЗУ это фильтрация трафика входящего в него  я вижу только использование механизма Fake-IP. 

чем поможет?

 

7 минут назад, hoaxisr сказал:

Или механизм из 1.13.0 

auto_redirect now allows you to bypass sing-box for connections based on routing rules.

а это? auto_redirect  в кинетеке не работает , там nftables нужен

я использовал в тестировании включенный днс Fake-IP и  TProxy UDP c Redirect TCP (без TUN), однако на использование памяти WG это не особо повлияло, тут дело скорее в том что держит соединения долго и они накапливаются при интенсивном использовании, при этом общая производительность падает вместе с исчерпанием памяти которой на кинетике не так много.

[hoaxisr]

3 минуты назад, jinndi сказал:

чем поможет?

 

а это? auto_redirect  в кинетеке не работает , там nftables нужен

я использовал в тестировании включенный днс Fake-IP и  TProxy UDP c Redirect TCP (без TUN), однако на использование памяти WG это не особо повлияло, тут дело скорее в том что держит соединения долго и они накапливаются при интенсивном использовании, при этом общая производительность падает вместе с исчерпанием памяти которой на кинетике не так много.

Как я себе это представляю:

1. Если фильтровать через Fake-IP то не весь трафик будет проходить через sing-box, а только тот который он должен маршрутизировать. По-моему, такой подход реализует podkop в OpenWRT.

2. Возможно, если поковырять sing-box, то можно его заставить использовать kernel-module там где он есть и это может дать существенную прибавку в производительности и снижение использования ОЗУ. Но вообще sing-box никогда не славился бережным отношением к ОЗУ

[SigmaPlus]

Ув. hoaxisr, попытался установить и запустить AWG-Manager. По логам всё гладко, но оба раза одна и та же проблема: не принимает пароль администратора Кинетика.

С моей стороны путаницы никакой. Сразу же захожу в интерфейс роутера с этими же параметрами....

[jinndi]

23 минуты назад, hoaxisr сказал:

Если фильтровать через Fake-IP то не весь трафик будет проходить через sing-box, а только тот который он должен маршрутизировать

это влияет только на днс запросы, на маршрутизацию трафика нет

 

24 минуты назад, hoaxisr сказал:

Но вообще sing-box никогда не славился бережным отношением к ОЗУ

не согласен , он лучше всех управляет памятью среди 2х остальных известных, но вот с WG у него беда

 

25 минут назад, hoaxisr сказал:

Возможно, если поковырять sing-box, то можно его заставить использовать kernel-module там где он есть и это может дать существенную прибавку в производительности и снижение использования ОЗУ

разраб. наверное не догадался до этого )

[hoaxisr]

4 минуты назад, SigmaPlus сказал:

Ув. hoaxisr, попытался установить и запустить AWG-Manager. По логам всё гладко, но оба раза одна и та же проблема: не принимает пароль администратора Кинетика.

С моей стороны путаницы никакой. Сразу же захожу в интерфейс роутера с этими же параметрами....

Какая версия AWG-Manager у вас установлена? 

Временно можете отключить авторизацию в файле /opt/etc/settings.json

указав "authEnabled": false, 

 

[hoaxisr]

4 минуты назад, jinndi сказал:

это влияет только на днс запросы, на маршрутизацию трафика нет

 

не согласен , он лучше всех управляет памятью среди 2х остальных известных, но вот с WG у него беда

 

разраб. наверное не догадался до этого )

Как это не влияет? Если я делаю взаимосвязь и отдаю fake-ip только на маршуртизируемые домены по rule-set, и делаю перенаправление fakeip пула на singbox, то все что должно идти direct не будет получать fakeip на запросы DNS и не будет попадать в sing-box.

А что может сделать разработчик sing-box с реализацией WG в go?

Я не знаю догодался он или нет. Этот путь предлагает внешнюю зависимость - а sing-box универсальный инструмент без них. 

Изменено Понедельник в 13:22 пользователем hoaxisr

[jinndi]

9 минут назад, hoaxisr сказал:

Как это не влияет?

Я имел в виду, что Fake ip сам по себе не влияет на routing внутри sing-box, если маршрутизация построена по доменам / rule-set-ам, а не по IP

[SigmaPlus]

15 минут назад, hoaxisr сказал:

Какая версия AWG-Manager у вас установлена? 

Да, вошёл без авторизиации. Ставлю на Кинетик Ultra (1810) версия прошивки ОС 5.0.5

Изменено Понедельник в 13:37 пользователем SigmaPlus
Уточнение

[hoaxisr]

3 минуты назад, SigmaPlus сказал:

Да, вошёл без авторизиации. 

Если хотите помочь в диагностике проблемы, то можно сделать следующее:

1. /opt/etc/init.d/S80awg-manager stop
2. /opt/bin/awg-manager

После выполнения второй команды AWG-Manager сообщит адрес роутера где он будет пересылать hash пароля для проверки авторизации.

Выход - ctrl+C

3. Возврат к работе AWG-Manager через автозапуск /opt/etc/init.d/S80awg-manager start

Вот этот адрес совпадает с адресом роутера в локальной сети?

Изменено Понедельник в 13:37 пользователем hoaxisr

[SigmaPlus]

4 минуты назад, hoaxisr сказал:

Вот этот адрес совпадает с адресом роутера в локальной сети?

Да, совпадает. В данном конкретном случае это 10.10.10.1. Есть, нюанс, может в этом дело: я когда-то по некоторым соображениям менял порт, поэтому вход в Кинетик по 10.10.10.1:8090

[hoaxisr]

Только что, SigmaPlus сказал:

Да, совпадает. В данном конкретном случае это 10.10.10.1. Есть, нюанс, может в этом дело: я когда-то по некоторым соображениям менял порт, поэтому вход в Кинетик по 10.10.10.1:8090

Ясно. Вот в этом корень зла. Сейчас попробую эту историю исправить.

Есть есть нюанс, по поводу версии ОС.

можете выполнить команду 

~ # ndmc -c "show version"

 в Entware?

[SigmaPlus]

3 минуты назад, hoaxisr сказал:

ndmc -c "show version"