Jump to content

lliax

Forum Members
  • Posts

    9
  • Joined

  • Last visited

Everything posted by lliax

  1. 1) У меня вопрос был почему в инструкции указывался публичный сервер. Именно публичный, это смущало. DNS сервер я считаю лучше настраивать со стороны клиента. Я в самом роутере поле DNS в конфигурации WG оставляю пустым, а в файле клиентов указываю DNS в зависимости от того что за клиент. По умолчанию на сам роутер. По такому примеру: [Interface] PrivateKey = ##### Address = XXX.XXX.XXX.XXX/32 DNS = адрес роутера в локальной сети [Peer] PublicKey = ##### AllowedIPs = 0.0.0.0/0 - вот это поле вообще какое-то бесполезное. По факту нужно чтобы интернет у клиента работал. Но в чем смысл указывать в нём ограничения? Клиент же и сам может строку переписать. Нужная штука оказывается. Когда NAT не включен до клиента и клиент хочет иметь доступ в интернет при включенном VPN от своего провайдера то вместо 0.0.0.0/0 указываем подсеть к которой организуем доступ. Endpoint = белый IP : порт роутера И больше ничего не указываю для клиентов. 2) Инструкции keenetic хорошо пишет для новичков. И их нужно значит обновлять и дополнять. Потому что каждый раз требуется какой-то переводчик. Мне именно было не ясно для КОГО эти входы/выходы в интернет. Т.е. для пиров которые в том же конфиге прописываются или для клиентов локальных сетей роутера (второе верно, но по тексту это не очевидно). Для доступа пиров WG к интернету через сервер-роутер включать эту галочку не требуется! Достаточно настроить маршрутизацию из той подсети (домашне или любой другой), из которой вы хотите допустить для пиров доступ. Можно сделать в разделе маршрутизации WG правило разрешающее для подсети клиентов к подсети "Б" которой вы хотели организовать доступ. И если подсети "Б" был уже доступен интернет, то он появится и у клиентов. Дополнительных правил не требуется. 2.1) Я вот до сих пор не очень понимаю принципа по разделам которые есть в меню маршрутизации. Межсетевой экран разбит на группы подсетей. Что именно разделено до конца не ясно. Сейчас создал разрешение по IP из подсети "Б" источник любой назначение подсеть WG. Интернет есть у всех клиентов, но нет доступа к другим подсетям - это понятно, логика есть. А если указать назначение не как подсеть, а как любой, то из подсети "Б" появляется доступ к другим подсетям. Или возможно даже все ко всем будут иметь доступ. Т.е. уже нет никакого ограничения. 5) по командам спасибо за tab и курсор. Но дальше я все равно не пойму. Как проверить включен или нет NAT для WG интерфейса? Нашел в файле конфига строку ip nat Wireguard1 среди прочих. По ней можно сориентироваться.
  2. Добрый день! Существует вот такая инструкция от keenetic, которую тут тоже обсуждают, называется: Доступ в Интернет через WireGuard-туннель В ней рассматриваются моменты которые мне не везде ясны. На мой взгляд логика или объяснение причинно-следственных связей до сих пор хромает в разных частях настроек. Хотя в целом я доволен тем как создают инструкции. Например просто указано: введите вот такую команду. А зачем она, что делает, не объясняется. Прошу знатоков разжевать зачем нужны по инструкции следующие настройки: 1) Зачем нужно задавать публичный DNS сервер, а не например сам же роутер как DNS сервер? Все клиенты в локальной сети же работают без этой настройки. вопрос снимаю сам, публичный сервер только в качестве примера, можно указывать и собственно сам роутер сервера как DNS сервер 2) Что это за кнопка "Использовать для ВЫХОДА в интернет"? (В инструкции написано "для ВХОДА")? Входа или выхода? В чем разница? Для выхода в интернет клиентов WG или для клиентов локальной сети в интернет? На мой взгляд речь тут идёт про выход именно клиентов из локальной сети. Но почему словами то не дописать было это? Например "Использовать данный интерфейс для возможности доступа в интернет по данному VPN соединению клиентам локальных подсетей и его отображению в списке Профилей доступа в интернет" 3) Почему для Домашней сети? Можно выбрать любую другую подсеть с доступом в интернет со стороны VPN сервера? При открытии доступа к такой подсети устройства этой подсети также будут доступны WG клиентам? Этого стоило бы избежать, когда такого доступа открывать не следует и например создать подсеть допустимую для WG клиентов. 4) Это когда VPN клиент рассматривается как роутер? Если это какой-нибудь ноутбук, для него же не надо никаких доп настроек делать, если доступ предполагается только с самого клиента? 5) ip nat Wireguard0 Ещё в инструкции стоило бы пояснить что нумерация интерфейсов меняется и актуальную нумерацию нужно проверить, прежде чем писать команды. В конфиг файле роутера написан текущий номер интерфейса. Но возможно и команда есть для вывода всех известных интерфейсов? Как можно проверить текущее состояние интерфейса? no ip nat Wireguard0 или no ip nat Wireguard0. В конфигурационном файле с самого роутера видно только security-level public или private
  3. Сегодня обновился до версии 3.9.1. После этого упал L2tp VPN сервер, который уже пару лет работал. Перестали цепляться клиенты. Переустановка не помогла. Написал в саппорт. Узнал ещё сегодня что l2tp после android 11 перестал поддерживаться. В общем походе его время пришло. Поставил wireguard. В некоторой степени клиентам подключать его проблематичнее чем ранее. Но я не в курсе какие надёжные клиенты сейчас позволяют подключаться без скачивания файлов конфигураций или сертификатов. Заметил следующее. Если вы делаете роутер сервером и хотите через него ходить клиентами в интернет, то после открытия nat для android клиентов всё работает без настройки DNS сервера. Для windows клиента требуется указывать конкретный DNS сервер. Почему-то в инструкциях в качестве примеров DNS сервера приводят google DNS, но отмечу, что без проблем можно подключить и сам роутер в качестве DNS сервера (например DNS=192.168.1.1). Было бы в будущем хорошо ещё настраивать DNS сервера каждому клиенту, как это сейчас делается для устройств локальной сети. Ещё кстати. Если меняете конфиги, переподключайте соединения. Не всегда изменения корректно проходят. Бывает даже приходится перетыкивать межсетевые экраны после изменений конфигов.
  4. Межсетевой экран откройте, найдите там новое подключение и там добавьте правило открыть для клиентов VPN рабочую вашу подсеть.
  5. Согласен. Элементарная функция недоступна. Ещё надо бы над переводом поработать. В разделе нового подключения WG в подразделе интерфейса указано поле Адрес, но это скорее подсеть интерфейса.
  6. При установке пакета opkg install /opt/app/kvas_1.0-beta_21_all.ipk, получил ошибку pkg_init_from_file: Malformed package file /opt/app/kvas_1.0-beta_21_all.ipk. Могли бы подсказать причину этой ошибки? https://ibb.co/mJjGnHJ https://ibb.co/RbFyzY1 В чем замысел отключения встроенного DNS сервера? opkg dns-override
  7. Устанавливаю пакет по первому сообщению и по инструкции в гитхаб. В инструкциях при подготовке нигде нет речи про adguard-home. На гитхабе инструкция про настройку VPN как предподготовка и использование команды opkg dns-override, после которой падает инет и продолжить что-то качать уже никак не получится. При этом почему бы не написать для чего эта функция в общем замысле и что стоит в подготовке скачать все пакеты? Стоило бы добавить в инструкцию. Поясните пожалуйста, таки kvas умеет работать без adguard или Если это так, почему бы об этом также не указать в инструкции? Сейчас ставил пакет opkg install /opt/app/kvas_1.0-beta_21_all.ipk, получил ошибку pkg_init_from_file: Malformed package file /opt/app/kvas_1.0-beta_21_all.ipk. Могли бы пояснить почему? Ещё интересно что как войти в админ панель роутера расписали, а через что ставить пакеты в инструкции почему-то не указали. "Заходим по SSH на роутер под админкой Entware." Так же верно? Я впервые эти пакеты ставлю. Про установку в папку opt. Я вот по инструкции поставил Entware на usb. А где эта папка opt потом отдельно искал. Упомяните пожалуйста в инструкцию, что usb диск смонтирован в папку opt. Поставил отдельно mc чтобы увидеть где, что.
×
×
  • Create New...