avn

Я вообще рассчитываю на версии 3.8.4.5(6)/3.9, что бы задавать allow-ips в ipv6 формате через cli. Смущают фразы "уже появилась опять" и "можно задавать"

@Le ecureuil Будет ли возможность штатно раздать ipv6-адреса клиентам сети кеенетик-а?

Для истории и тех, кто держит wg-server. Для того, что бы избавиться от ната, надо: 1. Прописать sysctl net.ipv4.ip_forward=1 net.ipv6.conf.all.forwarding=1 net.ipv6.conf.eth0.forwarding=1 net.ipv6.conf.eth0.proxy_ndp=1 2. Модифицировать скрипт запуска Wireguard, добавив в него строки с "proxy", где ipv6 - адреса из Вашего диапазона у поставщика wg [Unit] Before=network.target [Service] Type=oneshot ExecStart=/usr/sbin/iptables -A FORWARD -i eth0 -o wg0 -j ACCEPT ExecStart=/usr/sbin/iptables -A FORWARD -i wg0 -j ACCEPT ExecStart=/usr/sbin/iptables -A POSTROUTING -t nat -o eth0 -j MASQUERADE ExecStop=/usr/sbin/iptables -D FORWARD -i eth0 -o wg0 -j ACCEPT ExecStop=/usr/sbin/iptables -D FORWARD -i wg0 -j ACCEPT ExecStop=/usr/sbin/iptables -D POSTROUTING -t nat -o eth0 -j MASQUERADE ExecStart=/usr/sbin/ip6tables -A FORWARD -i wg0 -j ACCEPT #ExecStart=/usr/sbin/ip6tables -A POSTROUTING -t nat -o eth0 -j MASQUERADE ExecStart=/usr/sbin/ip -6 neigh add proxy 2a00:bbbb:1000:1022::97:91 dev eth0 nud permanent ExecStop=/usr/sbin/ip6tables -D FORWARD -i wg0 -j ACCEPT #ExecStop=/usr/sbin/ip6tables -D POSTROUTING -t nat -o eth0 -j MASQUERADE ExecStop=/usr/sbin/ip -6 neigh del proxy 2a00:bbbb:1000:1022::97:91 dev eth0 RemainAfterExit=yes [Install] WantedBy=multi-user.target 3. Модифицировать серверный и клиентский конфиги wg, прописав туда адреса, указанные выше в п.2 [Interface] PrivateKey = .... Address = 172.16.97.91/32, 2a00:bbbb:1000:1022::97:91/128 DNS = 1.1.1.1, 8.8.8.8 [Peer] PublicKey = .... Endpoint = aa.bb.cc.dd:993 AllowedIPs = 0.0.0.0/0, 2000::/3 PersistentKeepalive = 25 4. Ну и поиск по proxy_ndp в google. P/S/ В принципе вариантов использования proxy_ndp море. Можно к примеру раскидать из домашней сети - кинетика адреса для клиентов wg-кинетик-сервера аналогичным способом.

Спасибо. @Le ecureuil На версии 3.8.4.5/3.9 можно задавать allow-ips в ipv6 формате? Смущают фразы "уже появилась опять" и "можно задавать"

Тоже все хорошо, появилось ::/0. Только ipv6 адрес надо свой брать, а не мой. Он присваивается на этапе генерации конфигурации wg. А так все гуд. И так далее разбирайтесь по цепочке.

ИП адрес вижу. Теперь wg setconf nwg0 /tmp/fix-Wireguard0.conf Wg show nwg0

Начните с простого показа ifconfig nwg0

Адрес на интерфейсе другой строкой задаётся ip -6 addr add fd01:5ca1:ab1e:891f:c4fc:4a2e:e64d:503d/128 dev nwg0

Вы же запрос делаете через локальный (свой) dns сервер (adguard home, dnsmasq), который видит ваш запрос, смотрит совпадает запрос с маской или нет. И если есть совпадение с маской домена, то заполняет ipset запрошенным ип-адресом для этого домена. А маршрутизация ipset уже вторична. Поэтому в схеме с выборочной маршрутизацией важно, что бы все запросы со всех устройств шли через ваш локальный днс-сервер. Иначе работать ничего не будет, так как не будет заполняться ipset.

В ручную поискать свои ошибки через wg setconf nwg0 /tmp/fix-${id}.conf

Не вижу подсети ::/0, возможно Вы не изменили имя интерфейса Wireguard2 на Wireguard0.

Так посмотрите через ifconfig, как ваш интерфейс называется.

Первый параметр - любое значение, делает копию предыдущей версии

Скрипт для автоматического обновления. Может кому пригодится #!/bin/sh agh_dir=/opt/bin agh_fn=AdGuardHome function get_download_url { curl -k -f -s -S https://api.github.com/repos/$1/$2/releases/latest 2>/dev/null | jq -r '.assets[] | select(.browser_download_url | contains("linux_mipsle_softfloat")) | .browser_download_url' } URL=$(get_download_url AdguardTeam AdGuardHome) echo $URL curl -k -f -s -S -L $URL -o /tmp/$agh_fn.tar.gz if [ ! -z "$1" ]; then cp -f $agh_dir/$agh_fn $agh_dir/$agh_fn.1 fi tar x -zf /tmp/$agh_fn.tar.gz -C /tmp mv -f /tmp/$agh_fn/$agh_fn $agh_dir/$agh_fn chmod +x $agh_dir/$agh_fn ls -al $agh_dir/$agh_fn*

-

adh маленько для другого предназначен. Он URL-ами не занимается.

Никак. Если только через squid весь трафик проксировать. Проще заблокировать весь сайт и разрешить доступ только с одного ИП из сети.

Штатно нельзя. Через entware+ iptables можно. Но придется хорошо разобраться с iptables.

arm процессор? Если нет, то поменять процессор на роутере на более мощный, т.к. он тупо не тянет и качать и раздавать и маршрутизировать?

Квас не будет работать с adguard home, установленной на малинке, потому-что ему нужно заполнять ipset локально. А это можно сделать только на головном роутере. Вот если вы воткнете провод от провайдера в малинку и поставите квас на малинку, то такая схема работать будет.

В последних беттах ADGH добавили параметр ipset_file. Теперь основной конфиг можно не трогать. ipset: [] ipset_file: /tmp/AdGuardHome-ipset.yaml

3.8.5 не починили. Ждем...

Adguard home все это умеет из коробки при правильной настройке. Dnsmasq аналогично, только сложнее на порядок.

Все эти инструкции бесполезны бес понимания процессов. Для начала разберитесь с заполнением ipset через dnsmasq или adguard home. Будут заполняться ipset можно переходить к настройкам маршрутизации. Ключевые слова для поиска ipset dnsmasq, ipset adguard home. Так же dnsmasq или adguard home должны стать единственными dns- серверами на роутере. Штатные dns роутера из коробки работать не будут.

Можно на entware через adguard home или dnsmasq заполнять ipset, который работает с настройкой на домен и автоматом применяется ко всем поддоменам. А потом это ipset маршрутизировать куда угодно. Но, зато это натуральная маршрутизация по доменам, без указания маршрутов.