-
Posts
1,760 -
Joined
-
Last visited
-
Days Won
26
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by hellonow
-
-
В базу знаний Keenetic добавили подробные статьи по настройке Wireguard-туннеля во всех популярных операционных системах - ссылки здесь.
Плюс были обновлены .pdf файлы Command Reference Guide CLI DOC от 15.11.2019Добавлена группа команд Wireguard:
interface wireguard listen-port
interface wireguard peer
interface wireguard private-keyОбновлен Глоссарий - добавлена информация о протоколе Wireguard
Обновлена информация о hw_nat software, hardware
Метка версии KeeneticOS 3.3, редакция 1.67Ссылки, скачать - здесь
- 3
-
Реализовано.
Вопросы по подключению, инструкции - https://forum.keenetic.net/topic/7502-подключение-wireguard/?sortby=date -
Добавил примеры настройки WG-клиента для free приложения.
-
@Кинетиковод готовим, но пока нет в БЗ, краткий пример пока здесь (а почему бы и нет?).
-
Пример настройки подключения WG-Client AndroidOS MVNO Yota > WG-Server KN-1010:
По аналогии настраиваем WG-сервер и WG-клиент:Настраиваем WG-клиента в VPN Client Pro (можно добавить готовый конфиг .conf):
[Interface] PrivateKey = u8Vag8CdaM5g96DK5ZN59tu0wwo61qV10IZWuRxxxx Address = 172.16.82.3/24 DNS = 192.168.2.1 [Peer] PublicKey = 1YVx+x3C817V9YdhUtpUhzyDLVj5tnK2m//xxxx AllowedIPs = 172.16.82.0/24, 192.168.2.0/24 Endpoint = 193.0.174.xxx:16631
Добавляем в настройки сервера ключ удаленного клиента:
Подключаем клиента к серверу:
Настраиваем WG-клиента в WireGuard (можно добавить готовый конфиг .conf):
Interface - настройки клиента
Peer - настройки сервера
Пингуем роутер внутри туннеля:
Проверяем доступность веб-интерфейса:
Доступ по протоколу SMB внутри туннеля на накопитель, который подключен к серверу:
- 1
- 1
-
@Oleg Nekrylov выше, пример настройки.
-
Подробные стать в базе знаний Keenetic:
Туннельный интерфейс Wireguard и пример настройки VPN соединения локальных сетей двух маршрутизаторов Keenetic
Доступ в Интернет через Wireguard-туннельПодключение по протоколу Wireguard VPN из Android
Подключение по протоколу Wireguard VPN в iOS
Подключение по протоколу Wireguard VPN из Linux
Подключение по протоколу Wireguard VPN из Windows 10
Подключение компьютера с Windows 7 к удаленной сети Keenetic по туннелю WireGuard
Пример настройки WG-Server KN-1010 <> WG-Client KN-1010:
WG-Server:! interface Wireguard2 description wg-server security-level public ip address 172.16.82.1 255.255.255.0 ip access-group _WEBADMIN_Wireguard2 in ip tcp adjust-mss pmtu wireguard listen-port 16631 wireguard peer gnp5gW8pBQK2rA9ah1hiib1+3Jl218ZM8dBIjxxxx= !wg-home-client keepalive-interval 25 allow-ips 172.16.82.2 255.255.255.255 allow-ips 192.168.11.0 255.255.255.0 ! up
где:
172.16.82.0/24 - адресация внутри туннеля, соответственно на концах туннеля будут адреса 172.168.82.1 и 172.16.82.2
ip address 172.16.82.1 255.255.255.0 - внутренний адрес туннеля сервера
wireguard listen-port 16631 - порт, который будет слушать клиент для установки соединения
wireguard peer gnp5gW8pBQK2rA9ah1hiib1+3Jl218ZM8dBIjxxxx= !wg-home-client - ключ клиента
keepalive-interval 5 - указываем интервал проверки доступности удаленной стороны
указываем разрешенные адреса, подсети, с которых будет допущен трафик, в моем примере:
allow-ips 172.16.82.2 255.255.255.255 - удаленный адрес клиента
allow-ips 192.168.11.0 255.255.255.0 - удаленная сеть клиента
WG-Client:! interface Wireguard2 description wg-home-client security-level public ip address 172.16.82.2 255.255.255.0 ip access-group _WEBADMIN_Wireguard2 in ip tcp adjust-mss pmtu wireguard peer 1YVx+x3C817V9YdhUtpUhzyDLVj5tnK2m//xxxxx= !wg-server endpoint 193.0.174.xxx:16631 keepalive-interval 3 allow-ips 172.16.82.1 255.255.255.255 allow-ips 192.168.2.0 255.255.255.0 ! up
где:
172.16.82.0/24 - адресация внутри туннеля, соответственно на концах туннеля будут адреса 172.168.82.1 и 172.16.82.2
ip address 172.16.82.2 255.255.255.0 - внутренний адрес туннеля клиента
wireguard peer 1YVx+x3C817V9YdhUtpUhzyDLVj5tnK2m//xxxxx= !wg-server - ключ сервера
endpoint 193.0.174.xxx:16631 - публичный адрес сервера
keepalive-interval 3 - указываем интервал проверки доступности сервера
указываем разрешенные адреса, подсети, с которых будет допущен трафик, в моем примере:
allow-ips 172.16.82.1 255.255.255.255 - удаленный адрес сервера
allow-ips 192.168.11.0 255.255.255.0 - удаленная сеть сервера
Настройка нетфильтра на стороне сервера для входящих соединений:! access-list _WEBADMIN_Wireguard2 permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
Аналогичную настройку делаете и на клиенте.
Настройка маршрутизации на сервере до сети клиента:
ip route 192.168.11.0 255.255.255.0 Wireguard2 auto
Настройка маршрутизации на клиенте до сети сервера:
ip route 192.168.2.0 255.255.255.0 Wireguard2 auto
Важно! После настройки не забываем заново поднять туннели.
Проверяем:
Сервер:
Клиент:
Пингуем клиента со стороны сервера 192.168.2.1:enpa@enpa:~$ ping 192.168.11.1 -c 10 -s 100 PING 192.168.11.1 (192.168.11.1) 100(128) bytes of data. 108 bytes from 192.168.11.1: icmp_seq=1 ttl=63 time=6.49 ms 108 bytes from 192.168.11.1: icmp_seq=2 ttl=63 time=7.31 ms 108 bytes from 192.168.11.1: icmp_seq=3 ttl=63 time=9.13 ms 108 bytes from 192.168.11.1: icmp_seq=4 ttl=63 time=6.51 ms 108 bytes from 192.168.11.1: icmp_seq=5 ttl=63 time=7.71 ms 108 bytes from 192.168.11.1: icmp_seq=6 ttl=63 time=6.76 ms 108 bytes from 192.168.11.1: icmp_seq=7 ttl=63 time=7.33 ms 108 bytes from 192.168.11.1: icmp_seq=8 ttl=63 time=6.24 ms 108 bytes from 192.168.11.1: icmp_seq=9 ttl=63 time=6.67 ms 108 bytes from 192.168.11.1: icmp_seq=10 ttl=63 time=6.02 ms --- 192.168.11.1 ping statistics --- 10 packets transmitted, 10 received, 0% packet loss, time 9015ms rtt min/avg/max/mdev = 6.021/7.016/9.132/0.862 ms
Внутри туннеля, со стороны сервера 192.168.2.1, проверяем доступ по протоколу SMB на накопитель, который подключен к клиенту:
- 3
- 1
-
@Andrey Che случаем в конфиге не указано доменном имя пира? Например провайдер Azirevpn в своих конфигах использует доменное имя образца - no1.wg.azirevpn.net с указанием порта пира.
Такой конфиг корректно не добавляется в webui и поле пира заполняется "ручками", но это надо будет обсудить с @eralde
p.s.: обсудили с @eralde, будет исправление в новой версии драфта.- 2
-
@r777ay в статье базы знаний мы описали причины, по которым может не работать обнаружение по доменному имени хоста - https://help.keenetic.com/hc/ru/articles/360009253579
Если же все соответствует описанному, все варианты опробовали, то потребуется снимать дамп трафика. Да и на каком билде возникают проблемы? Я проверяю на Win10 1903 Pro, со всеми установленными обновлениями и исправлениями для системы:
-
@Spectre какие конкретно линки не работают?
-
В 22.10.2019 в 13:23, rustrict сказал:
@enpa, в справочнике сейчас (1.66) не хватает значений у аргумента engine в п. 3.105 ppe: помимо software, ещё hardware и hardware-ipv6.
Вроде такого
Обнаружили в некоторых документациях отсутствие кондишена 'hwnat' - будет исправлено в следующих версиях.
- 2
-
@r777ay Обнаружение работает с учетом включенного WS-Discovery в WindowsOS, по умолчанию не включено в системе.
Подробно, как включить WSD протокол, и о других особенностях, можно узнать в статье - https://help.keenetic.com/hc/ru/articles/360009253579 Как будет обкатан WSD в ndm, добавим описание в статью.
Проверял работу в WindowsOS 1930, обнаружение работает:- 1
-
-
@Chervonenko_CA пропишите доп DNS-сервера:
ip name-server 8.8.8.8 "" ip name-server 8.8.4.4 ""
Либо обновитесь путем загрузки файла - https://forum.keenetic.net/topic/2620-files-keenetic/
-
@Tomel описанная проблема воспроизводиться:
I [Oct 1 12:27:34] pure-ftpd: (?@192.168.2.50) [INFO] enpa is now logged in W [Oct 1 12:27:56] ndm: kernel: mmap: pure-ftpd (28915): VmData 8392704 exceed data ulimit 8388608. Update limits or use boot option ignore_rlimit_data. I [Oct 1 12:27:57] pure-ftpd: (?@192.168.2.50) [INFO] New connection from 192.168.2.50 I [Oct 1 12:27:57] ndm: Core::Server: started Session /var/run/ndm.core.socket. I [Oct 1 12:27:57] ndm: Core::Authenticator: user "enpa" authenticated, realm "Keenetic Giga", tag "ftp". I [Oct 1 12:27:57] ndm: Core::Session: client disconnected. I [Oct 1 12:27:57] pure-ftpd: (?@192.168.2.50) [INFO] enpa is now logged in E [Oct 1 12:28:01] pure-ftpd: (enpa@192.168.2.50) [ERROR] Out of memory
спасибо за информацию в поддержке, кейс создан.
- 1
-
@rustrict а есть смысл? Данное расширение TLS выглядит как "костыль", который толком нигде не применяется на постоянной основе. Поэтому мы его не описываем в статье, нужен RFC для начала, как уточнил выше @Le ecureuil
Подождем, когда его "включит" Mozilla, тогда можно будет упомянуть eSNI.
-
6 часов назад, KorDen сказал:
Хм. http://docs.help.keenetic.com/cli/3.1/ru/cli_manual_kl_rh.pdf
"Флеш-память Winbond W25Q64FVSIG 8Mb" (знаю что чушь, а у kl_rg правильно W25Q128CSIG)
В cli manualправильно указано - Winbond W25Q128CSIG 8Mb SPI. Winbond W25Q128CSIG 16Mb SPI с учетом dual. Поэтому не "чушь", но стоит поправить.
-
@TheShadow добавьте правило ip static, пример, для 445 порт (очень небезопасно):
ip static tcp GigabitEthernet1 445 Bridge0 !445smb
Что останавливает работать с SMB внутри туннеля, например L2TP \ IPSec? И очень странная политика фильтрации у провайдера по поводу 445, 137, 138, 139 портов.
-
@Alexander Eerie https://help.keenetic.com/hc/ru/articles/360003145220 или в cli:
ip http security-level public system configuration save
-
@r13
сейчас -
@AAA сейчас большинство кейсов решаются через официальную поддержку - это касается стабильной ветки. Форум "отвечает" за альфу \ драфт ветку.
Вот выйдет новый драфт 3.xx, вот по нему будут собирать репорты с форума.@Kiborg_Man проблема касается SSL, а не ndns. К сожалению для ветки 2.15 фикса SSL-сервера не будет. Пока выход такой:
no ip http ssl enable no ip http ssl redirect system configuration save
-
@biospb рекомендуется обновить устройства с KeeneticOS LTS до стабильной 3.01, где был произведен рефакторинг кода SSL-сервера. В данной версии проблема с SSL-сервером более не наблюдается.
-
-
@Gim12 изменить порт управления nginx с 80, например, на 777? Нужно смотреть self-test файл.
Сервер VoIP телефонии Asterisk.
in Каталог готовых решений Opkg
Posted
Чтобы не было путаницы, удалили данный пункт настройки из статьи.
По умолчанию прошивочный SSH Dropbear слушает 22 порт, а Entware OPKG слушает 222 порт.
Проверьте пароль - keenetic