AWG-Manager (управление туннелями AmneziaWG в Entware)

[keenet07]

@hoaxisr Подумайте пожалуйста, над идеей возможности отключения основных сервисов программы из её веб-админки.  Т.е. доступ в админку должен остаться, а всё остальное отключается, как по команде stop в терминале. Ну и возможность старта сервисов так же из админки. Это нужно для быстрого старта и полной остановки функционала программы без входа в терминал. Статус программы должен сохраняться при перезагрузке системы.

Изменено Пятница в 13:31 пользователем keenet07

[hoaxisr]

16 минут назад, keenet07 сказал:

Т.е. доступ в админку должен остаться, а всё остальное отключается, как по команде stop в терминале.

Вы же и сейчас можете отключить pingcheck/логирование.

Если вы хотите так насоздавать туннелей, а потом "отключить" демона - то хочу вас предупредить, что не будут работать тогглы в UI роутера. Они не будут "убивать процессы" под капотом.

А из-за особенностей реализации opkgtun тоггл в UI еще и не может "поднять" туннель. Он сломан будет при режиме "модуль ядра".

Изменено Пятница в 13:44 пользователем hoaxisr

[keenet07]

25 минут назад, hoaxisr сказал:

Если вы хотите так насоздавать туннелей, а потом "отключить" демона - то хочу вас предупредить, что не будут работать тогглы в UI роутера. Они не будут "убивать процессы" под капотом.

А из-за особенностей реализации opkgtun тоггл в UI еще и не может "поднять" туннель. Он сломан будет при режиме "модуль ядра".

Нет, смысл в другом немного. Конечно когда всё остановлено ничего работать и не должно. Все основные функции программы останавливаются. Кромеweb-админки, она нужна только для полного запуска из неё всех демонов и по возможности какой-то настройки пере запуском. И то второе не обязательно. И так чтоб если в веб-админке остановил сервисы, то при перезагрузке роутера так же загрузилась только веб-админка, без старта всего того что там происходит при полном старте. За одно и спам в лог прекратится. В общем так просто удобнее работать в режиме включения или остановки функционала. Никаких лишних процессов не происходит. Не нужно лезть в терминал чтоб отключить полностью прогу когда она не нужна. 

Сейчас если просто остановить туннели, прога всё равно что-то делает в процессах, что-то проверяет, чего-то ждет и роутер реагирует на это в логах. Убрать все фоновые процессы, когда оно не нужно.

Изменено Пятница в 14:08 пользователем keenet07

[snakelair]

Так для интереса, уж больно благородно все сделано... какой стек использован? Я так понимаю api на GO. Js фреймворк и css какие? Думал для adguard потом сделать че-нить подобное, чтоб при резолве имени пробовать socketOpen или curl через wan и через тунель, и добавлять маршруты автоматом если нет доступа wan и есть через тунель...

 

[tiffolk]

8 часов назад, hoaxisr сказал:

 

5. По поводу развития. Парсинг ссылок приложения Amnezia конечно идея. Подумаю. По поводу прям "зонтика" это очень отдаленная история, потому что клиенты на разные протоколы нужны разные для всяких модных, а ставить универсальный комбайн типа sing-box ради только клиентской части расточительно. Надо думать.

Можно добавить тогда хотя бы для trusttunnel, он вроде по TCP работает? Будет разнообразие: и амнезия по UDP, и трастаннел по TCP. Sing-box дикость конечно, согласен.

[hoaxisr]

2 минуты назад, keenet07 сказал:

Нет, смысл в другом немного. Конечно когда всё остановлено ничего работать и не должно. Все основные функции программы останавливаются. Кромеweb-админки, она нужна только для полного запуска из неё всех демонов и по возможности какой-то настройки пере запуском. И то второе не обязательно. И так чтоб если в веб-админке остановил сервисы, то при перезагрузке роутера так же загрузилась только веб-админка, без старта всего того что там происходит при полном старте. За одно и спам в лог прекратится. В общем так просто удобнее работать в режиме включения или остановки функционала. Никаких лишних процессов не происходит. Не нужно лезть в терминал чтоб отключить полностью прогу когда она не нужна. 

Я понимаю, что есть часть людей которым не нравится в логах Core::Server: started Session /var/run/ndm.core.socket.

Но сделать с этим определено ничего нельзя. Бороться с этим не планирую. 

Но поводу разделить http-server и функионал можно, но явно не приоритетная задача сейчас. В отдаленном будущем возможно. 

[hoaxisr]

1 минуту назад, tiffolk сказал:

Можно добавить тогда хотя бы для trusttunnel, он вроде по TCP работает? Будет разнообразие: и амнезия по UDP, и трастаннел по TCP. Sing-box дикость конечно, согласен.

Trust, SMTP/IMAP tunnel в планах. в отдаленной перспективе. 

[hoaxisr]

7 минут назад, snakelair сказал:

Так для интереса, уж больно благородно все сделано... какой стек использован? Я так понимаю api на GO. Js фреймворк и css какие? Думал для adguard потом сделать че-нить подобное, чтоб при резолве имени пробовать socketOpen или curl через wan и через тунель, и добавлять маршруты автоматом если нет доступа wan и есть через тунель...

 

Go -- backend

Tailwind CSS, Svelte

[PabloEs]

19 hours ago, hoaxisr said:

Не читаете инструкции и базы знаний. 

Туннель у вас работает. Связанность есть. 

Разбирайтесь с маршрутизацией, дело не в данном ПО. 

Оно ничего не маршрутизирует. 

Маршруты по DNS настроены в UI роутера.
Направьте, пожалуйста, что я делаю не так?
Или где почитать подробне как с этим быть?
Дело для нас новое, народ хочет разобраться, не кидайтесь тухлыми помидорами 🙏
С настройкой v1 проблем у меня не возникало
 

Spoiler

 

Изменено Пятница в 14:43 пользователем PabloEs

[hoaxisr]

16 минут назад, PabloEs сказал:

Маршруты по DNS настроены в UI роутера.
Направьте, пожалуйста, что я делаю не так?
Или где почитать подробне как с этим быть?
Дело для нас новое, народ хочет разобраться, не кидайтесь тухлыми помидорами 🙏
С настройкой v1 проблем у меня не возникало

https://support.keenetic.ru/start/kn-1112/ru/51150-dns-based-routes.html

Вот тут описано как настроить этот функционал в роутере. Повторюсь, там есть зеленое выделенное "ВАЖНО"  -- там необходимо выполнить критерии, чтобы магия случилась. 

Очень важно чтобы на устройствах которые должны использовать эту самую маршрутизацию по DNS не было в браузерах настроено "использовать безопасный DNS" или DNS google еще чего-то. На всех устройствах DNS должен быть IP роутера. Проверить в настройках сети. И на телефонах тоже. И на ТВ. И на ПК. А на ПК не нужно использовать Яндекс.Браузер, он использует свои DNS и по-моему не дает это поведение поменять.

Плюс сами устройства должны находится в "политика доступа по умолчанию" в разделе Политики Доступа --> Применение

Изменено Пятница в 14:55 пользователем hoaxisr

[xliynez]

1 час назад, hoaxisr сказал:

Go -- backend

Tailwind CSS, Svelte

Доброго времени суток. Побегал по Вашему гитхабу, но исходники найти не смог. Не думали опубликовать, чтобы кто-то мог внести свой вклад в развитие? Извините, если кто-то уже задавал этот вопрос.

[hoaxisr]

v.2.2.9

 

  Мониторинг (PingCheck) v.2.0 beta

  - Принудительный перезапуск туннеля — когда туннель помечен как мёртвый, через заданный
  интервал (deadInterval) выполняется полный Stop + Start с проверкой связности через 15
  секунд
  - Статус принудительного перезапуска отображается на карточке туннеля и в логах мониторинга
  - Исправлена блокировка UI при обновлении настроек мониторинга
  - Исправлены ложные срабатывания при recovery — восстановление подтверждается только после
  успешной проверки связности

  Маршрутизация

  - Новые туннели по умолчанию используют режим "Определяет роутер" — AWG-Manager не
  вмешивается в маршрутизацию endpoint, если не указано иное. Настройка по умолчанию покрывает 99% пользователей. Роутер сам разберется для большинства сценариев. 
  - Переключатель "Добавить маршрут по умолчанию" перенесён с карточки туннеля на страницу
  маршрутизации
  - Исправлено отображение текущего WAN-подключения на карточке туннеля 
  - Исправлено восстановление информации о привязке к WAN после перезапуска демона
  - Исправлена маршрутизация для endpoint-ов с доменным именем

  - Для целей тестирования работоспособности туннелей вы можете смаршрутизировать какое-либо устройство в туннель (например телефон) и проверить работу. 

  Модули ядра

  - Автоматическое обновление модулей — при обновлении AWG-Manager автоматически скачивает
  новую версию модуля ядра для вашей модели роутера
  - Обновлены модули ядра до v1.0.2 (простите, но нужен тест поведения с <r>, <c> и прочим, если будут проблемы в 2.3.0 будет откат)

  Интерфейс

  - Кнопка удаления политики доступа заменена с иконки на текстовую кнопку "Удалить"
  - Улучшены подписи на странице маршрутизации и в логах 

   - Карточки на странице маршрутизации переупорядочены для удобства
  - Добавлена ссылка на поддержку проекта в настройках
 

  Исправления

  - Исправлен speedtest (iperf3) — использование --bind-dev вместо --bind
  - Исправлен порядок восстановления маршрутов при запуске после перезагрузки роутера

  Добавлена

  - поддержка еще одного legacy устройства Zyxel Keenetic Giga III (hw_id: kng_re) в режиме модуль ядра

 

Дополнительно: В AWG-M максимально можно создать не более 7 туннелей. А всего opkgtun в роутере может быть 17 штук. 

 

 

Изменено Пятница в 16:43 пользователем hoaxisr

[kn-shura58]

В настройках:

Не удалось скачать модуль ядра для KN-2910.download: HTTP 404

и нет amneziawg-KN-2910.ko на hoaxisr/amneziawg-linux-kernel-module-keenetic. Не поможете?

 

Изменено Пятница в 16:51 пользователем kn-shura58
исправил имя файла

[vai73]

Политика доступа должны автоматически создаваться вэб роутера?

[hoaxisr]

Только что, vai73 сказал:

Политика доступа должны автоматически создаваться вэб роутера?

Нет. Это просто название для понимания сути. 

Сделано для быстрого тестирования из одного места. 

[vai73]

4 минуты назад, hoaxisr сказал:

Нет. Это просто название для понимания сути. 

А, понял - быстро подключить клиента к конкретному туннелю без маршрутизации по доменам. Так? 

[hoaxisr]

3 минуты назад, vai73 сказал:

, понял - быстро подключить клиента к конкретному туннелю без маршрутизации по доменам. Так? 

Да. 😅

Чтобы весь трафик клиента пошел в туннель. Посмотреть что и как. 

[Sanitar]

Поставил обновление.
Решил включить еще один туннель

Включился. Перехожу в роутер:

Не включился, хотя циферки бегают,трафик идет. Обновил страничку, без изменений.
Заглянул в лог

Все хорошо.
Просто обратил внимание. Возможно что-то и у меня с лыжами, не едут...

Спасибо вам за волшебный Manager.

[paris19891]

33 минуты назад, hoaxisr сказал:

v.2.2.9

 

  Мониторинг (PingCheck) v.2.0 beta

  - Принудительный перезапуск туннеля — когда туннель помечен как мёртвый, через заданный
  интервал (deadInterval) выполняется полный Stop + Start с проверкой связности через 15
  секунд
  - Статус принудительного перезапуска отображается на карточке туннеля и в логах мониторинга
  - Исправлена блокировка UI при обновлении настроек мониторинга
  - Исправлены ложные срабатывания при recovery — восстановление подтверждается только после
  успешной проверки связности

  Маршрутизация

  - Новые туннели по умолчанию используют режим "Определяет роутер" — AWG-Manager не
  вмешивается в маршрутизацию endpoint, если не указано иное. Настройка по умолчанию покрывает 99% пользователей. Роутер сам разберется для большинства сценариев. 
  - Переключатель "Добавить маршрут по умолчанию" перенесён с карточки туннеля на страницу
  маршрутизации
  - Исправлено отображение текущего WAN-подключения на карточке туннеля 
  - Исправлено восстановление информации о привязке к WAN после перезапуска демона
  - Исправлена маршрутизация для endpoint-ов с доменным именем

  - Для целей тестирования работоспособности туннелей вы можете смаршрутизировать какое-либо устройство в туннель (например телефон) и проверить работу. 

  Модули ядра

  - Автоматическое обновление модулей — при обновлении AWG-Manager автоматически скачивает
  новую версию модуля ядра для вашей модели роутера
  - Обновлены модули ядра до v1.0.2 (простите, но нужен тест поведения с <r>, <c> и прочим, если будут проблемы в 2.3.0 будет откат)

  Интерфейс

  - Кнопка удаления политики доступа заменена с иконки на текстовую кнопку "Удалить"
  - Улучшены подписи на странице маршрутизации и в логах 

   - Карточки на странице маршрутизации переупорядочены для удобства
  - Добавлена ссылка на поддержку проекта в настройках
 

  Исправления

  - Исправлен speedtest (iperf3) — использование --bind-dev вместо --bind
  - Исправлен порядок восстановления маршрутов при запуске после перезагрузки роутера

 

Дополнительно: В AWG-M максимально можно создать не более 7 туннелей. А всего opkgtun в роутере может быть 17 штук. 

 

 

Баг 1. При отсутствии WAN и остановке вручную туннелей, первый туннель остановить можно, второй - нет. При повторном отключении пишет то же самое. После восстановления WAN, первый туннель включить можно, второй ломается до пересоздания

Баг 2. События в журнале WAN down работает даже для исключённых из списка маршрутизации WAN-интерфейсов?

Баг 3. При импорте туннеля пропала кнопка Сохранить без запуска. Теперь при любых изменениях параметров подключения требуется запуск туннеля?

Баг 4. Маршруты по умолчанию, при отключении опции, не удаляются с роутера

Баг 5. Маршруты до WAN подключения больше не прописываются в роутер

[hoaxisr]

3 минуты назад, paris19891 сказал:

Баг 5. Маршруты до WAN подключения больше не прописываются в роутер

Не баг. Именно ожидаемое поведение по дефолту. Если нужно поведение можно выбрать опцию "определяет awg manager".

4 минуты назад, paris19891 сказал:

Баг 4. Маршруты по умолчанию, при отключении опции, не удаляются с роутера

Их удаляет система автоматически.

 

5 минут назад, paris19891 сказал:

Сохранить без запуска

Убрана, для сохранения актуального состояния между туннелем и хранилищем.

 

6 минут назад, paris19891 сказал:

2. События в журнале WAN down работает даже для исключённых из списка маршрутизации WAN-интерфейсов

не очень понял о чем речь. 

По багу 1. Проверю

[paris19891]

3 минуты назад, hoaxisr сказал:

Не баг. Именно ожидаемое поведение по дефолту. Если нужно поведение можно выбрать опцию "определяет awg manager".

Я выбирал своё WAN подключение. После этого сразу прописывался маршрут. Теперь нет

[paris19891]

4 минуты назад, hoaxisr сказал:

Их удаляет система автоматически

Не удаляет

[hoaxisr]

1 минуту назад, paris19891 сказал:

Не удаляет

ip route show 

после удаления туннеля приложите пожалуйста (лучше в ЛС)

Изменено Пятница в 17:28 пользователем hoaxisr

[paris19891]

5 минут назад, hoaxisr сказал:

13 минут назад, paris19891 сказал:

2. События в журнале WAN down работает даже для исключённых из списка маршрутизации WAN-интерфейсов

не очень понял о чем речь. 

Проверка на WAN down и WAN up идёт для всех WAN подключений. Даже для тех, которые находятся в списке исключения

[hoaxisr]

3 минуты назад, paris19891 сказал:

Я выбирал своё WAN подключение. После этого сразу прописывался маршрут. Теперь нет

20.02, 17:29:09	INFO	Туннель	start	awg11	Маршрут по умолчанию добавлен через OpkgTun11
20.02, 17:29:09	INFO	Туннель	start	awg11	Маршрут до endpoint x.x.x.x через PPPoE1 (PPPoE1)
20.02, 17:29:08	INFO	Система	hook	OpkgTun11	iface-changed: layer=conf level=running

[paris19891]

Баг 6. Туннели падают в Dead насовсем при временном отключении WAN. Ждал 10 минут

[paris19891]

Только что, hoaxisr сказал:

20.02, 17:29:09	INFO	Туннель	start	awg11	Маршрут по умолчанию добавлен через OpkgTun11
20.02, 17:29:09	INFO	Туннель	start	awg11	Маршрут до endpoint x.x.x.x через PPPoE1 (PPPoE1)
20.02, 17:29:08	INFO	Система	hook	OpkgTun11	iface-changed: layer=conf level=running

Там написано, а в роутере по факту их нет. Проверено 100%

[hoaxisr]

5 минут назад, paris19891 сказал:

Не удаляет

20.02, 17:31:22	INFO	Туннель	stop	awg11	Маршрут до endpoint x.x.x.x удалён
20.02, 17:31:22	INFO	Туннель	stop	awg11	Маршрут по умолчанию удалён

[paris19891]

Только что, hoaxisr сказал:

20.02, 17:31:22	INFO	Туннель	stop	awg11	Маршрут до endpoint x.x.x.x удалён
20.02, 17:31:22	INFO	Туннель	stop	awg11	Маршрут по умолчанию удалён

То же самое. В логах сообщение есть, а удаления не происходит

[hoaxisr]

14 минут назад, paris19891 сказал:

Там написано, а в роутере по факту их нет. Проверено 100%

~ # ndmc -c "show ip route"
================================================================================
Destination         Gateway          Interface                        F  Metric
================================================================================
0.0.0.0/0           0.0.0.0          PPPoE1                           U  1000
10.16.255.136/32    0.0.0.0          PPPoE1                           U  1000
IP_Endpoint    0.0.0.0          PPPoE1                           U  1000
192.168.1.0/24      0.0.0.0          Home                             U  1000
~ #

Все создается как ожидается.

 

И удаляется

~ # ndmc -c "show ip route"
================================================================================
Destination         Gateway          Interface                        F  Metric
================================================================================
0.0.0.0/0           0.0.0.0          PPPoE1                           U  1000
10.16.255.136/32    0.0.0.0          PPPoE1                           U  1000
192.168.1.0/24      0.0.0.0          Home                             U  1000
~ #

Изменено Пятница в 17:46 пользователем hoaxisr