avn

Потому-что маршрутизация происходит по доменным именам через ipset. А шататный dns ipset заполнять не умеет.

Попробовал три калькулятора по ipv4, все умерли от 0-ля. Вам шашечки или ехать?

Я вообще рассчитываю на версии 3.8.4.5(6)/3.9, что бы задавать allow-ips в ipv6 формате через cli. Смущают фразы "уже появилась опять" и "можно задавать"

@Le ecureuil Будет ли возможность штатно раздать ipv6-адреса клиентам сети кеенетик-а?

Для истории и тех, кто держит wg-server. Для того, что бы избавиться от ната, надо: 1. Прописать sysctl net.ipv4.ip_forward=1 net.ipv6.conf.all.forwarding=1 net.ipv6.conf.eth0.forwarding=1 net.ipv6.conf.eth0.proxy_ndp=1 2. Модифицировать скрипт запуска Wireguard, добавив в него строки с "proxy", где ipv6 - адреса из Вашего диапазона у поставщика wg [Unit] Before=network.target [Service] Type=oneshot ExecStart=/usr/sbin/iptables -A FORWARD -i eth0 -o wg0 -j ACCEPT ExecStart=/usr/sbin/iptables -A FORWARD -i wg0 -j ACCEPT ExecStart=/usr/sbin/iptables -A POSTROUTING -t nat -o eth0 -j MASQUERADE ExecStop=/usr/sbin/iptables -D FORWARD -i eth0 -o wg0 -j ACCEPT ExecStop=/usr/sbin/iptables -D FORWARD -i wg0 -j ACCEPT ExecStop=/usr/sbin/iptables -D POSTROUTING -t nat -o eth0 -j MASQUERADE ExecStart=/usr/sbin/ip6tables -A FORWARD -i wg0 -j ACCEPT #ExecStart=/usr/sbin/ip6tables -A POSTROUTING -t nat -o eth0 -j MASQUERADE ExecStart=/usr/sbin/ip -6 neigh add proxy 2a00:bbbb:1000:1022::97:91 dev eth0 nud permanent ExecStop=/usr/sbin/ip6tables -D FORWARD -i wg0 -j ACCEPT #ExecStop=/usr/sbin/ip6tables -D POSTROUTING -t nat -o eth0 -j MASQUERADE ExecStop=/usr/sbin/ip -6 neigh del proxy 2a00:bbbb:1000:1022::97:91 dev eth0 RemainAfterExit=yes [Install] WantedBy=multi-user.target 3. Модифицировать серверный и клиентский конфиги wg, прописав туда адреса, указанные выше в п.2 [Interface] PrivateKey = .... Address = 172.16.97.91/32, 2a00:bbbb:1000:1022::97:91/128 DNS = 1.1.1.1, 8.8.8.8 [Peer] PublicKey = .... Endpoint = aa.bb.cc.dd:993 AllowedIPs = 0.0.0.0/0, 2000::/3 PersistentKeepalive = 25 4. Ну и поиск по proxy_ndp в google. P/S/ В принципе вариантов использования proxy_ndp море. Можно к примеру раскидать из домашней сети - кинетика адреса для клиентов wg-кинетик-сервера аналогичным способом.

Спасибо. @Le ecureuil На версии 3.8.4.5/3.9 можно задавать allow-ips в ipv6 формате? Смущают фразы "уже появилась опять" и "можно задавать"

Тоже все хорошо, появилось ::/0. Только ipv6 адрес надо свой брать, а не мой. Он присваивается на этапе генерации конфигурации wg. А так все гуд. И так далее разбирайтесь по цепочке.

ИП адрес вижу. Теперь wg setconf nwg0 /tmp/fix-Wireguard0.conf Wg show nwg0

Начните с простого показа ifconfig nwg0

Адрес на интерфейсе другой строкой задаётся ip -6 addr add fd01:5ca1:ab1e:891f:c4fc:4a2e:e64d:503d/128 dev nwg0

Вы же запрос делаете через локальный (свой) dns сервер (adguard home, dnsmasq), который видит ваш запрос, смотрит совпадает запрос с маской или нет. И если есть совпадение с маской домена, то заполняет ipset запрошенным ип-адресом для этого домена. А маршрутизация ipset уже вторична. Поэтому в схеме с выборочной маршрутизацией важно, что бы все запросы со всех устройств шли через ваш локальный днс-сервер. Иначе работать ничего не будет, так как не будет заполняться ipset.

В ручную поискать свои ошибки через wg setconf nwg0 /tmp/fix-${id}.conf

Не вижу подсети ::/0, возможно Вы не изменили имя интерфейса Wireguard2 на Wireguard0.

Так посмотрите через ifconfig, как ваш интерфейс называется.

Первый параметр - любое значение, делает копию предыдущей версии

Скрипт для автоматического обновления. Может кому пригодится #!/bin/sh agh_dir=/opt/bin agh_fn=AdGuardHome function get_download_url { curl -k -f -s -S https://api.github.com/repos/$1/$2/releases/latest 2>/dev/null | jq -r '.assets[] | select(.browser_download_url | contains("linux_mipsle_softfloat")) | .browser_download_url' } URL=$(get_download_url AdguardTeam AdGuardHome) echo $URL curl -k -f -s -S -L $URL -o /tmp/$agh_fn.tar.gz if [ ! -z "$1" ]; then cp -f $agh_dir/$agh_fn $agh_dir/$agh_fn.1 fi tar x -zf /tmp/$agh_fn.tar.gz -C /tmp mv -f /tmp/$agh_fn/$agh_fn $agh_dir/$agh_fn chmod +x $agh_dir/$agh_fn ls -al $agh_dir/$agh_fn*

-

adh маленько для другого предназначен. Он URL-ами не занимается.

Никак. Если только через squid весь трафик проксировать. Проще заблокировать весь сайт и разрешить доступ только с одного ИП из сети.

Штатно нельзя. Через entware+ iptables можно. Но придется хорошо разобраться с iptables.

arm процессор? Если нет, то поменять процессор на роутере на более мощный, т.к. он тупо не тянет и качать и раздавать и маршрутизировать?

Квас не будет работать с adguard home, установленной на малинке, потому-что ему нужно заполнять ipset локально. А это можно сделать только на головном роутере. Вот если вы воткнете провод от провайдера в малинку и поставите квас на малинку, то такая схема работать будет.

В последних беттах ADGH добавили параметр ipset_file. Теперь основной конфиг можно не трогать. ipset: [] ipset_file: /tmp/AdGuardHome-ipset.yaml

3.8.5 не починили. Ждем...

Adguard home все это умеет из коробки при правильной настройке. Dnsmasq аналогично, только сложнее на порядок.