pppppppo_98
Forum Members-
Posts
15 -
Joined
-
Last visited
Equipment
-
Keenetic
kn3810
Recent Profile Visitors
The recent visitors block is disabled and is not being shown to other users.
pppppppo_98's Achievements
Member (2/5)
1
Reputation
-
amneziawg-go для Entware
pppppppo_98 replied to zyxmon's topic in Вопросы по сборке и настройке Opkg
я обычно тспользую tcpdump с фильтрами - дабы посмотреть куда доходит какой трафик. -
amneziawg-go для Entware
pppppppo_98 replied to zyxmon's topic in Вопросы по сборке и настройке Opkg
CLI - это вы имеете ввиду интерфейс команд идущий вместе с роутером и описываемый в отдельном pdf файле на 800+ страниц... А не в entware (и amneziawg-go с репозитария zyxmon). И стало быть amneziawg-go только поднимает tun интерфейс и все? или таки go приложение , а не модуль ядра управляет трафиком (аутентификация, маршрутизация, шифрование) ЗЫ Я развернул небольшую сеть с десяток нодов подключенных к одному awg-устройству на кинетике (с помощью amneziawg-go и entware). И вот начал замечать нестабильную работу awg...Примерно раз в неделю приходится перегружать роутер ибо при выполнении комманды awg - нет никакого вывода, и соттвественно подкоманды awg тоже не работают -
а меняли дефолтные параметры amneziawg на собственные? Я запустил примерно с неделю назад - пока полет нормальный, но у меня автоматом соединения поднимаются (по cron) при отвале - я за логом особо не слежу
-
amneziawg-go для Entware
pppppppo_98 replied to zyxmon's topic in Вопросы по сборке и настройке Opkg
В свете написанного камерадом hophey выше что вот эти комманды означают? Что в ядерном модуле поддерживается расширенные папаметры, и что коммандой amnezia-go я только скармливаю ядру параметры связи(ключи, пиров, s1,s2,h1,h2...)...Так надо понимать? -
Уважаемые... Из-за ограничений поддержки веб конфигуратора (не поддкрживаются ipv6 адреса в опсании endpoint, а у меня только такие публичные адреса), пришлось использовать пакет из entware wireguard, ибо там в текстовом файле проблем нет с настройкой ipv6 сетей. Дык вот есть два интерфейса wireguard, написанный на си, и wireguard-go, написанный на go. Второй как я понимаю все сетевые операции проводит в userspace и ИМХО посему быстрым врядли будет. Второй из этих инрфейсов скомпиллировал zyxmon, о чем составил отдельную ветку на форуме.. А вот первый сетевые операции проводит в ядре, подгрeжая модуль wireguard.ko, и поэтому шустрый. Это все контекст... Теперь вопрос. А как работает эта команда - я просмотрел wireguard.ko (strings wireguard.ko), команду wg (strings /opt/bin/wg), и не обнаружил никаких следов обработки параметров Jc, Jmin, Jmax, S1 ... И если я вношу в эти параметры в конфигурационный файл, то мне говорит система об ошибке в конфигурационном файле. Модуль ядра тоже никаких параметров не принимает. А как тогда параметры из interface {name} wireguard asc {jc} {jmin} {jmax} {s1} {s2} {h1} {h2} {h3} {h4} попадают в ядро для дальнейшей офусификации трафика...или ndm поднимает какой-то другой модуль ядра? Или вообще обработка трафика интерфейсов поднятых в веб морде кинетика идет не в ядре? На десктопах удалось собрать awg - но они не в постоянной работе... Теперь вот загвоздка в кинетиках
-
И снова вопрос , теперь не связанный с кинетиком. По инструкции инсталлировал amneziawg на убунту. А как теперь интерфейс поднять. Ваергуард поднимал по иструкции с самого сайта https://www.wireguard.com/quickstart/ командой wg setconf wg0 myconfig.conf А теперь какой командой awg setconf wg0 myconfig.conf? А никакой модуль перед этим подгружать в ядро не надо?
-
cпасибо
-
Какой вариант да 1. Да Peer1.h1=Peer2.h1 и Peer1.h2=Peer2.h2 или 2.Да Peer1.h1=Peer2.h2 и Peer1.h2=Peer2.h1? КАк бы заимоисключающие опции...
-
Маршруты это только часть проблемы. Причем коли речь идет о телике - то может оказаться что надо разобраться с мультикастом.. Вторая часть проблемы фаервол причем на обоих сторонах соединения... Отдельная еще песня блокирование трафика по географическому признаку - от него только нат помогает защитится.
-
Излагаю... Набил херову тучу шишок на этом... Если знать ворожью мову и прочесть программный документ на сайте ваергуард. ТО можно узнать что сам ваергуард вообще никак маршрутизацию не меняет, все шо он делает смотрит с какой сети пришел пакет, и дешифрует или шифрует с помощью публичного/приватного ключа трафик пиров ... Возможно создатели прошивок кинетика вставили вместе с создание самого ваергурд установку каких-то очевидных маршрутов, но в целом за маршрутизацию в ответе сам пользователь. Компетенция пользователя выстраивать политику маршрутизации с участием всех сетевых интерфейсов (не только ваергуард)своего хоста по своему желанию. Амнезия вообще лишь обфусицифицирует ваергуард, дабы относительно малоинтелектуальные скрипты DPI (ибо они преднзначены для быстрой обработки огромного трафика) не поняли что этот трафик ВПН.
-
А параметры h1 -h4 должны быть одинаковы для обоих пиров. или Peer1.h1=Peer2.h2 и Peer1.h2=Peer2.h1?
-
ИМХО... Скорее всего нет... Сегмент ru состоит из тысяч AS м сеиевыз префиксов... И не дело ВПНов заниматься обработкой запросов на маршрутизацию. Для этого есть другие сервисы... Как это желать хрен знает ... Наверное какой нибудь BGP демон поднимать и зону ру как-то ручками с помощью geoip выделять.
-
блин не пользуюсь родным встроенным в прощшивку wireguaerd( может и зря) из=за плохой поддержки ipv6 веб-мордой , на момент оконсания пользования (2 года назад), пользую из entware....но посмотю
-
Собственно сабж. Никто не видел готового пакета для кинетика? А виде модуля ядра нет? Сиотрю для андроида пакет создали, может и до кинетика докатилось? Ну и что раза с места не вставать. Никто не знает как как скрестить ужа и ежа. Быстродействие wireguard, вместе с аутентификацией, похожей на TLS. Shadowsocks, vless и прочие прокси обертки трафика wireguard нее предлагать - двойное шифрование и модификация пакетов силно снижают проищводительность PS Смторю здесь обсуждается openconnect. А как у этой VPN обстоит со скоростью соединения.
-
Добрый день заметил вот такие косяки в конфигуравции (реализации интерфейса?) ipv6 У меня kn3810. Провайдер Рсстелеком. Он раздает ipv6 из диапазона 2a02:2168::/32. Я настроил сеть так что бы мои домашние девайсы (не едининственное) получали адреса из этого диапазона (комбинация slaac и dhcpv6 на разных интерфейсах). Кроме того, я настроил сеть ipv6 ULA из диапазона fd::/8 (назовем ее fduu:u:u:u::/64 . В домашней сети есть ssh сервер, к которому необходим необходим доступ из внешнего мира (одна из основных причин ухода на ipv6, ибо РТК мне выдает только серые ип адреса 10.*.**)В прошивке alpha 5 или alpha6 я обнаружил проблему со slaac, ее быстро починили (как мне тогда показалось ...для диапозона ип6 адресов Росттелеком ,указанног выше, действительно проблем нет ). Потом я заметил что в телефоне пропали адреса из диапазона домашней ULA fduu:u:u:u::/64. Проверил на других девайсах - та жже малина. Открываю radvddump и вижу для интрефейса enp3s0f1 interface enp3s0f1 { AdvSendAdvert on; # Note: {Min,Max}RtrAdvInterval cannot be obtained with radvdump AdvManagedFlag off; AdvOtherConfigFlag on; AdvReachableTime 0; AdvRetransTimer 0; AdvCurHopLimit 64; AdvDefaultLifetime 1800; AdvHomeAgentFlag off; AdvDefaultPreference medium; AdvSourceLLAddress on; prefix 2a02:2168:xxxx:xxxx::/64 { AdvValidLifetime 1768; AdvPreferredLifetime 1768; AdvOnLink on; AdvAutonomous on; AdvRouterAddr off; }; # End of prefix definition prefix fduu:u:u:u::/64 { AdvValidLifetime infinity; # (0xffffffff) AdvPreferredLifetime 0; AdvOnLink on; AdvAutonomous off; AdvRouterAddr off; }; # End of prefix definition RDNSS fe80::52ff:20ff:fe7c:61d { AdvRDNSSLifetime 600; }; # End of RDNSS definition }; # End of interface definition ------------------------------ Выделил жирным красным цветом (таже петрушка была в указанной прошивке alpha6). Понятно что никакой автоконфигурации SLAAC домашней ULA сети нет. Что делать что бы исправить ситуацию? Вот конфиггурация устройства (привожу только уместные выжимки) "interface GigabitEthernet0/Vlan2", " rename ISP", " description Rostelecom", ----- " ipv6 address auto", " ipv6 prefix auto", " ipv6 name-servers auto", " up", "!", "interface Bridge0", " rename Home", " description \"Home network\"", " inherit GigabitEthernet0/Vlan1", " include WifiMaster0/AccessPoint0", " include WifiMaster1/AccessPoint0", ----- " ipv6 prefix auto", ------ " up", "!", ------------- "ipv6 subnet Default", " bind Bridge0", " mode slaac", " prefix length 64", " number 0", "!", "ipv6 local-prefix fduu:u:u::/48",