avn

Скачал, распаковал. Мануал сразу у них на гит.

Я пользуюсь acme.sh Все работает без проблем. DNS (bind) так же на роутере обслуживает одну зону - мою. # acme.sh NSUPDATE_SERVER="192.168.97.98" NSUPDATE_SERVER_PORT=5353 NSUPDATE_KEY="/var/lib/bind/keys/acme-update.key" ./acme.sh --issue -d mydomain.xyz -d *.mydomain.xyz --dns dns_nsupdate bind zone "mydoamin.xyz" IN { type master; file "/var/lib/bind/mydoamin.xyz.conf"; key-directory "/var/lib/bind/keys"; auto-dnssec maintain; inline-signing yes; notify explicit; also-notify { 2a00:3380:0:a1::; }; allow-transfer { 2a00:3380:0:a1::; }; update-policy { grant "acme-update" name _acme-challenge.mydoamin.xyz. TXT; }; }; Что бы получить wildcard, нужно контролировать свою зону dns. acme.sh прописывает в процессе получения сертификата в зону текстовый ключ, который в свою очередь должны увидеть из-вне вашей сети в DNS-master сервера api zerossl.com. А это достигается, только правильной настройкой DNS-master.

У меня ipv6 бегает по wireguard без проблем по Warp и своему впс. А Вас видно в поиске забанили. Штатно еще не бегает, но может. Технически уже все есть, только нету возможности штатно это настроить.

Если нужно сейчас, то можно через entware. Работает без проблем.

А что не работает? Все бегает по ipv6 и wireguard. Нативно еще ждём. Думаю и по openvpn проблем не будет.

Мечты про версию 3.8.3. Уважаемые разработчики, что скажете? @vst interface Wireguard2 ipv6 address <ipv6 address> interface Wireguard2 wireguard peer <Public Key peer-а> allow-ips ::/0 Или идеальный вариант: interface Wireguard2 ipv6 address <ipv6 address> interface Wireguard2 wireguard peer <Public Key peer-а> allow-ips <ipv6 route> ipv6 nat Wireguard2

Так маскардинг для этого и прописан. А вот если не прописать, то будет как описано выше. Пакет, вроде wireguard-utils. На 3.7.4 ip -6 rule не работает.

А в чем проблема, посмотреть кем занят 53 порт? netstat -ltunp | grep ':53'

Сутки с редиректами по ipv6. Полет нормальный. Огромное спасибо, товарищи разработчики!!!

В догонку, как показали текущие тесты, нужен ещё аналог ipv6 nat Wireguard2, например для warp. А иначе с br0 идут реальные ipv6 адреса.

@vst не удалось разобраться, что произошло с командой на версии 3.8.2? interface Wireguard2 ipv6 address

Добрый день! Может кому-то пригодится выборочная маршрутизация через Wireguard по ipv6. На версии 3.7.4 ipv6 адрес на интерфейсе nwg можно было задать командой: interface Wireguard2 ipv6 address fd01:5ca1:ab1e:891f:c4fc:4a2e:e64d:503d На версии 3.8.2 эта команда не работает. Поэтому был модифицирован скрипт /opt/etc/ndm/ifstatechanged.d/000-fix-Wireguard2.sh #!/bin/sh [ "$1" == "hook" ] || exit 0 [ "$change" == "link" ] || exit 0 [ "$id" == "Wireguard2" ] || exit 0 ip6t() { if ! ip6tables -C "$@" &>/dev/null; then ip6tables -A "$@" fi } case ${id}-${change}-${connected}-${link}-${up} in ${id}-link-yes-up-up) cat << EOF >/tmp/fix-${id}.conf [Interface] PrivateKey = MMVM2wVNQqUyug1cBY= [Peer] PublicKey = bmXOC+F1FxEMF9dyiK2H5/1SUtzH0JuVo51h2wPfgyo= AllowedIPs = 0.0.0.0/0, ::/0 Endpoint = engage.cloudflareclient.com:2408 EOF ip -6 addr add fd01:5ca1:ab1e:891f:c4fc:4a2e:e64d:503d/128 dev nwg2 wg setconf nwg2 /tmp/fix-${id}.conf ip6t POSTROUTING -t nat -o nwg2 -j MASQUERADE ;; esac exit 0 Сам тест: wg show nwg2 ifconfig nwg2 ip -6 rule add from all lookup 123 priority 1123 ip -6 route add table 123 2a03:1b20:1:f410::ff1 dev nwg2 ip -6 rule ip -6 route show table 123 traceroute6 2a03:1b20:1:f410::ff1 Результат: ~ # uname -a Linux ZyAvenger 4.9-ndm-5 #0 SMP Tue Jun 21 16:39:31 2022 mips GNU/Linux ~ # wg show nwg2 interface: nwg2 public key: JL+TtFAHd2heTNrACYj8tlkn9f4rrZi7auvuQRBkajY= private key: (hidden) listening port: 49203 peer: bmXOC+F1FxEMF9dyiK2H5/1SUtzH0JuVo51h2wPfgyo= endpoint: [2606:4700:d0::a29f:c001]:2408 allowed ips: 0.0.0.0/0, ::/0 latest handshake: 1 minute, 33 seconds ago transfer: 15.29 KiB received, 6.19 KiB sent ~ # ifconfig nwg2 nwg2 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 inet addr:172.16.0.2 P-t-P:172.16.0.2 Mask:255.255.255.255 inet6 addr: fd01:5ca1:ab1e:891f:c4fc:4a2e:e64d:503d/128 Scope:Global UP POINTOPOINT RUNNING NOARP MTU:1280 Metric:1 RX packets:52643 errors:0 dropped:53 overruns:0 frame:0 TX packets:63283 errors:3 dropped:1 overruns:0 carrier:0 collisions:0 txqueuelen:50 RX bytes:14968865 (14.2 MiB) TX bytes:8037372 (7.6 MiB) ~ # ip -6 rule 0: from all lookup local 233: from all fwmark 0x2333 lookup 233 1123: from all lookup 123 1778: from all fwmark 0xd1001 lookup 1001 32766: from all lookup main ~ # ip -6 route show table 123 2a03:1b20:1:f410::ff1 dev nwg2 metric 1024 pref medium ~ # traceroute6 2a03:1b20:1:f410::ff1 traceroute to 2a03:1b20:1:f410::ff1 (2a03:1b20:1:f410::ff1) from fd01:5ca1:ab1e:891f:c4fc:4a2e:e64d:503d, port 33434, from port 45415, 30 hops max, 60 bytes packets 1 fd01:5ca1:ab1e::1 (fd01:5ca1:ab1e::1) 10.845 ms 10.961 ms 10.997 ms 2 2400:cb00:87:1000::1 (2400:cb00:87:1000::1) 11.906 ms 17.869 ms 20.842 ms 3 mow-b4-link.ip.twelve99.net (2001:2000:3080:539::1) 11.994 ms 11.797 ms 11.299 ms 4 mow-b8-v6.ip.twelve99.net (2001:2034:0:220::1) 11.474 ms 11.974 ms 12.476 ms 5 kbn-bb2-v6.ip.twelve99.net (2001:2034:1:78::1) 40.321 ms 41.409 ms 72.470 ms ^C22% completed...

Раньше было так Сейчас вот так -

@vstЗа это ОГРОМНОЕ спасибо. Но зачем выпилили ipv6 из WireGuard? interface Wireguard2 ipv6 address Просто оно могло уже сегодня срастись. А такой обломище получился... Одно лечим, второе калечим. С горя напьюсь...

Я сделал так backup-Tor-202205-25.tar

AGH полностью может заменить dnsmasq. dnsmasq при использовании agh не нужен. Лишнее звено.

Попробуйте такое правило ipset=/fbcdn.net/unblock

Вы путаете мух с котлетами. Iptables вам тут не поможет. Вам надо настроить dns, что бы он всегда возвращал только ipv4 адрес. Знаю у dnsmasq есть такой флаг.

Статистика. А без статистики он нафиг не нужен. Это чисто мое субъективное мнение, да красивое, но мне такое не нужно. 1 2 3

Да, видел я их IsOpenWrt *release*. Сделал просто: cp -f /opt/etc/hosts /tmp Для поднятия на [::] надо делать так: dns: bind_hosts: - "" port: 53

Что за обычный режим? Я к тому, что у него много накладных расходов.

AGH тормоз ещё тот. Только для побаловаться. Dnsmasq в сто раз меньше и быстрее.

А никто не знает как вместо /etc/hosts подсасать /opt/etc/hosts?

Тоже все заработало с ipset:

Почитал исходники. ADH поддерживает ipset. DNSMasq - можно выкинуть из цепочки вообще. Я не пробовал. ## ipset AGH can add IP addresses of the specified in configuration domain names to an ipset list. Prepare: user creates an ipset list and configures AGH for using it. 1. User --( ipset create my_ipset hash:ip ) -> OS 2. User --( ipset: host.com,host2.com/my_ipset )-> AGH Syntax: ipset: "DOMAIN[,DOMAIN].../IPSET1_NAME[,IPSET2_NAME]..." IPv4 addresses are added to an ipset list with `ipv4` family, IPv6 addresses - to `ipv6` ipset list. Run-time: AGH adds IP addresses of a domain name to a corresponding ipset list. 1. AGH --( resolve host.com )-> upstream 2. AGH <-( host.com:[1.1.1.1,2.2.2.2] )-- upstream 3. AGH --( ipset.add(my_ipset, [1.1.1.1,2.2.2.2] ))-> OS Конфиг: dns: ipset: - domain.com/ipset_name - domain1.com,domain2.com/ipset_name,ipset_name2 ... Настройка upstream: [/pool.ntp.org/]1.1.1.1 [/pool.ntp.org/]1.0.0.1 [/pool.ntp.org/]2606:4700:4700::1111 [/pool.ntp.org/]2606:4700:4700::1001