[Помогите поднять VPN по новой сверхбыстрой технологии WireGuard]

24 минуты назад, Albram сказал:

Попробуйте так, заменив ppp0 на имя своего внешнего интерфейса:

  Скрыть содержимое

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

 

На клиенте добавьте в конфиг DNS сервер, и Allowed IPs должен включать 0.0.0.0/0.

Да, именно оно помогло. Спасибо!

[Помогите поднять VPN по новой сверхбыстрой технологии WireGuard]

В 11.05.2020 в 22:04, Albram сказал:

 Скрипт /opt/etc/init.d/S01wireguard положили?

  Показать содержимое

~ # cat /opt/etc/init.d/S01wireguard
#!/bin/sh

PATH=/opt/sbin:/opt/bin:/opt/usr/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/u

case $1 in
        start)
                logger "Starting WireGuard service."
                /opt/etc/wireguard/wg-up
        ;;
        stop)
                /opt/etc/wireguard/wg-down
        ;;
        restart)
                logger "Restarting WireGuard service."
                /opt/etc/wireguard/wg-down
                sleep 2
                /opt/etc/wireguard/wg-up
        ;;
        *)
        echo "Usage: $0 {start|stop|restart}"
        ;;
esac

 

 

Да, всё было. Не найдя решения снёс OPKG, установил всё то же заново, и заработало. Спасибо!

Теперь пытаюсь решить проблему: пакеты до определённого адреса в Интернет заворачиваются в туннель на удалённом конце, доходят до интерфейса на этом конце (смотрю по трассировке) и всё - в шлюз Интернета не уходят. Пакеты через туннель до хостов в локальной сети на этой стороне проходят нормально. Полагаю, нужно какое-то правило МСЭ для разрешения пакетов из туннеля в Интернет.

[Помогите поднять VPN по новой сверхбыстрой технологии WireGuard]

В 16.02.2020 в 18:18, Albram сказал:

Конфиги следующие:

На клиенте, при автозапуске не добавляются правила фаервола. Интерфейс поднимается, маршрут до сети за сервером добавляется, а правила фаервола не добавляются ни из срипта в init.d, ни из netfilter.d. При запуске вручную правила в обоих случаях добавляются как надо.

Скрипты:

/opt/etc/ndm/netfilter.d/wg.sh

#!/bin/sh

[ "$type" == "ip6tables" ] && exit 0

if [ "$table" == "filter" ]; then

  iptables -C INPUT -i wg0 -j ACCEPT 2>/dev/null || iptables -I INPUT -i wg0 -j ACCEPT
  iptables -C FORWARD -i wg0 -j ACCEPT 2>/dev/null || iptables -I FORWARD -i wg0 -j ACCEPT
  iptables -C FORWARD -o wg0 -j ACCEPT 2>/dev/null || iptables -I FORWARD -o wg0 -j ACCEPT

fi


/opt/etc/wireguard/wg-up

#!/bin/sh

wireguard-go wg0
wg setconf wg0 /opt/etc/wireguard/wg0.conf
ip addr add 192.168.10.2/24 dev wg0
ip link set wg0 up

#iptables -C INPUT -i wg0 -j ACCEPT 2>/dev/null || iptables -I INPUT -i wg0 -j ACCEPT
#iptables -C FORWARD -i wg0 -j ACCEPT 2>/dev/null || iptables -I FORWARD -i wg0 -j ACCEPT
#iptables -C FORWARD -o wg0 -j ACCEPT 2>/dev/null || iptables -I FORWARD -o wg0 -j ACCEPT

ip route add 192.168.0.0/24 dev wg0

 

[Борьба с "любителями" nmap и прочими :)]

1 час назад, Le ecureuil сказал:

Мультикаст кино?

У меня белый IP. Было бы странно.

1 час назад, Le ecureuil сказал:

Пробовали отключать все ppe на время захвата? Они, вероятно, влияют.

что такое ppe?

[Борьба с "любителями" nmap и прочими :)]

31 минуту назад, Le ecureuil сказал:

Компонентом monitor захватить и посмотреть в wireshark.

Пробовал. Настраивал на безразборный захват с максимальными лимитами. Он не фиксирует этот трафик.

Проблема в том, что этот траффик виден только в системном мониторе, потребителей его в локальной сети нет. Такое чувство, что дальше входа в роутер он не идёт.

[Борьба с "любителями" nmap и прочими :)]

В 15.02.2017 в 00:35, Dorik1972 сказал:

Насмотревшись логов своего Keenetic

Приветствую!

Системный монитор показывает подозрительную активность на входе (см. скриншот). Где взять/как собрать логи, чтобы понять, из какого источника трафик?

В ip_conntrack лишних соединений не наблюдаю.

Спасибо!