Frans

У меня на KN-1011 настроено шесть WG, три из них работают в качестве серверов, из них 2 работают круглосуточно, остальные три в качестве клиентов. На серверах совершенно не нужна проверка и смена порта. Сделал так: Проверяются интерфейсы WG, исключая отключенные или работающие как сервера WG с пирами имеющими адрес 0.0.0.0 и/или портом равным 0 Адресом для проверки прохождения пинга через интерфейс WG установил 1.1.1.1

это что то ненормальное с подключением модема, зачем ему такая огромная подсеть?: https://ip-calculator.ru/#!ip=10.0.0.0/8

Осталось прописать маршрут ip r a 192.168.2.0/24 via 192.168.8.41 на Huawei, я это делал удаленно, через ноут человека, который живет на даче, программой AnyDesk

хорошо, так что с правилом межсетевого экрана для wan интерфейса? не помогло?

тогда на 192.168.1.1 должен быть прописан статический маршрут до сети 192.168.2.0/24 думаю так: Пробуйте, у меня удаленный (старый кинетик) начал отвечать только после прописке в нем маршрута

wg настроен маршрутом по умолчанию на keenetic lite (192.168.1.1)? На keenetic lite (192.168.1.1) нужно разрешить трафик с wan интерфейса На huawei b315 (192.168.8.1) пропиши статический маршрут: ip r a 192.168.2.0/24 via 192.168.8.41

У себя сделал так: установить cron и nping: opkg update && opkg upgrade opkg install cron nping В файле /opt/etc/crontab удалите неиспользуемые строки, нам нужна cron.1min: */1 * * * * root /opt/bin/run-parts /opt/etc/cron.1min */5 * * * * root /opt/bin/run-parts /opt/etc/cron.5mins 01 * * * * root /opt/bin/run-parts /opt/etc/cron.hourly 02 4 * * * root /opt/bin/run-parts /opt/etc/cron.daily 22 4 * * 0 root /opt/bin/run-parts /opt/etc/cron.weekly 42 4 1 * * root /opt/bin/run-parts /opt/etc/cron.monthly создаем скрипт, например с именем "pinger" в папке /opt/etc/cron.1min/, который будет запускаться кроном каждую минуту Сам скрипт: (для Amnezia он тоже будет работать) в переменной fey задаем номера интерфейсов WG через пробел, в кавычках(не больше 5), которые мы будем проверять каждую минуту, номера интерфейсов можете посмотреть командой: ip a | sed -n 's/[^ ]* \(nwg\)/\1/p' Теперь порт и адрес удаленного пира берутся из конфигурации WG, их не нужно указывать, если в конфигурации WG добавлено несколько пиров, данные берутся от первого. В переменных gateX указывается адрес который будет пинговаться через интерфейс WG, обычно это шлюз внутри сети WG или любой другой адрес в интернете отвечающий на пинг, число X должно совпадать с номером интерфейса WG для которого вы указываете адрес для пинговки Каждую минуту проверяется включен ли интерфейс nwgХ, если включен, то пингом проверяется доступность указанного в gateX адреса, если через интерфейс WG на него не прошел пинг четыре раза подряд, запускается генерация случайного порта из диапазона 2000-65000 с проверкой его занятости, если занят, генерируется другой порт запускается пинговка 9 раз по UDP с нового порта на пир WG на интерфейсе WG устанавливается новый порт: после создания файла дайте ему разрешения командой: chmod 755 /opt/etc/cron.1min/pinger Проверяем возможные команды и запускаем крон: /opt/etc/init.d/S10cron -? Usage: /opt/etc/init.d/S10cron (start|stop|restart|check|status|kill|reconfigure) /opt/etc/init.d/S10cron start

Интересно. Пишут, что он быстрее Wireguard https://devsday.ru/blog/details/136671

Пропустили запятую в конце строчки "method" и рекомендую шифрование ставить "method":"rc4-md5", оно быстрее, сравнивал тут: не к чему избыточное шифрование, трафик уже зашифрован в WG если туннель SS будете использовать только для WG, можно включить "mode":"udp_only", WG идет только по udp

Спасибо! получилось (config)> ping-check profile test1 restart PingCheck::Profile: "test1": enabled restarting interface.

Модель Keenetic Omni II Версия ОС 2.16.D.11.0-0 Если случается сбой соединения примерно на 8+ минут, то Wireguard перестает слушать входящие запросы от клиентов, решается перезапуском интерфейса Wireguard. Решил для перезапуска использовать ping-check, но столкнулся с тем, что не добавляется команда ping-check restart Профиль test1 добавлен на интерфейс Wireguard1 команда ping-check restart, выдает ошибку Command::Base error[7405600]: no such command: restart.

ndss.11.zyxel.ndmsystems.com

Убрать lock можно через UART, в консоли загрузчика, командой: setenv lock

Войти в настройки интерфейса (config-if) можно так: (config)> interface Wireguard0 Войти в настройки пира (config-wg-peer) можно так, в конце введя (public-key) удаленного пира: (config)> interface Wireguard0 wireguard peer R2xBU+IA9GYIOKM4I7nIeNFhWzHswjIYfnHCTFaI35E= Команду можно выполнить из основного меню (config), не заходя в настройки, одной строкой: (config)> interface Wireguard0 wireguard peer R2xBU+IA9GYIOKM4I7nIeNFhWzHswjIYfnHCTFaI35E= no allow-ips 192.168.111.111/32 Неверные параметры можно удалить командой, добавив перед ней (no): (config-wg-peer)> no allow-ips 192.168.111.111/32 Отключить: (config)> interface Wireguard0 down Удалить: (config)> no interface Wireguard0 при удалении очищаются настройки Wireguard, но остаются не связанные с ним настройки, такие как no isolate-private ip nat Wireguard0 их можно удалить командой, добавив перед ней (no) или удалив, как в случае с (no isolate-private) (config)> show interface Wireguard0

Всем спасибо, что оценили мой скромный труд ) Написал краткую инструкцию по настройке Wireguard клиента через CLI: надеюсь, не допустил ошибок