Jump to content

Search the Community

Showing results for tags 'wireguard'.

  • Search By Tags

    Type tags separated by commas.
  • Search By Author

Content Type


Forums

  • Keenetic Community
    • Forum policy
    • Community Support & Knowledge Exchange
    • Off-topic lounge
  • Keenetic Updates
    • KeeneticOS
    • Keenetic mobile application
    • Keenetic RMM system
  • Форум пользователей Keenetic
    • Обмен опытом
    • KeeneticOS
    • Мобильное приложение
    • Keenetic RMM

Find results in...

Find results that contain...


Date Created

  • Start

    End


Last Updated

  • Start

    End


Filter by number of...

Joined

  • Start

    End


Group


Location


Web-site


Interests


Occupation


AOL Account


ICQ Account


WLM


YAHOO


Facebook Account


Twitter Account


Skype Account


Youtube Account


Google+ Account


Keenetic

Found 24 results

  1. Прошу помощи, окончательно встрял, не могу разобраться. делал все по официальным мануалам: https://help.keenetic.com/hc/ru/articles/360012075879-Настройка-WireGuard-VPN-между-двумя-роутерами-Keenetic https://help.keenetic.com/hc/ru/articles/360010551419 Задача — есть роутер с белым, IP, нужно на нем настроить Wireguard сервер с доступом и в локальную сеть сервера, и в интернет. Сейчас туннель создается и подключается, но на пире (Wireguard macOS) в момент подключения перестают работать внешние подключения, будто бы пиру сервер не дает доступ в сеть.
  2. Пишу по мотивам моего поста в курилке, который сейчас уже в архиве, а мог бы быть многим полезен. Иногда на форуме и в канале я вижу вопросы по реализации выборочной маршрутизации некоторых ресурсов через поднятый на роутере VPN туннель, такой как OpenVPN или Wireguard. Мой скрипт очень простой и эффективный способ перейти на любимый ресурс, даже если он по какой-то причине заблокирован на территории страны. Многие инструкции предлагают обойти блокировку вообще всего, что заблокировано. Но вряд ли кто-то постоянно посещает все эти заблокированные ресурсы. Многим достаточно разблокировать лишь несколько своих нужных ресурсов. Небольшие комментарии по скрипту. /opt/root/vpnsitelist.txt - это обычный текстовый файл, где в каждой строке находится адрес заблокированного ресурса 127.0.0.1 - это ваш DNS сервер. У меня используется AdGuardDNS в режиме DoT/DoH из прошивки. У вас может быть другой. Узнать какой у вас можно выполнив команда nslookup ya.ru на роутере. ovpn_br0 - имя интерфейса туннеля OpenVPN. У вас может немного отличаться, чтобы посмотреть какой именно у вас воспользуйтесь командой ifconfig nwg0 - имя интерфейса туннеля Wireguard. У вас может немного отличаться, чтобы посмотреть какой именно у вас воспользуйтесь командой ifconfig Для тех у кого OpenVPN скрипт удобно разместить в директории /opt/etc/ndm/openvpn-up.d/ и сделать симлинк в крон ln -s /opt/etc/ndm/openvpn-up.d/1-unblock-static-route /opt/etc/cron.hourly/01unblock Выполнять скрипт в кроне с какой-либо периодичностью я рекомендую потому, что IP адреса заблокированных ресурсов могут часто меняться и нужно добавлять маршруты для них. У тех у кого Wireguard можно разместить скрипт в /opt/etc/ndm/ifstatechanged.d но тут нужна доработка по отслеживанию поднятия туннеля. Дополнения и улучшения скрипта приветствуются.
  3. Добрый день! Может кому-то пригодится выборочная маршрутизация через Wireguard по ipv6. На версии 3.7.4 ipv6 адрес на интерфейсе nwg можно было задать командой: interface Wireguard2 ipv6 address fd01:5ca1:ab1e:891f:c4fc:4a2e:e64d:503d На версии 3.8.2 эта команда не работает. Поэтому был модифицирован скрипт /opt/etc/ndm/ifstatechanged.d/000-fix-Wireguard2.sh #!/bin/sh [ "$1" == "hook" ] || exit 0 [ "$change" == "link" ] || exit 0 [ "$id" == "Wireguard2" ] || exit 0 ip6t() { if ! ip6tables -C "$@" &>/dev/null; then ip6tables -A "$@" fi } case ${id}-${change}-${connected}-${link}-${up} in ${id}-link-yes-up-up) cat << EOF >/tmp/fix-${id}.conf [Interface] PrivateKey = MMVM2wVNQqUyug1cBY= [Peer] PublicKey = bmXOC+F1FxEMF9dyiK2H5/1SUtzH0JuVo51h2wPfgyo= AllowedIPs = 0.0.0.0/0, ::/0 Endpoint = engage.cloudflareclient.com:2408 EOF ip -6 addr add fd01:5ca1:ab1e:891f:c4fc:4a2e:e64d:503d/128 dev nwg2 wg setconf nwg2 /tmp/fix-${id}.conf ip6t POSTROUTING -t nat -o nwg2 -j MASQUERADE ;; esac exit 0 Сам тест: wg show nwg2 ifconfig nwg2 ip -6 rule add from all lookup 123 priority 1123 ip -6 route add table 123 2a03:1b20:1:f410::ff1 dev nwg2 ip -6 rule ip -6 route show table 123 traceroute6 2a03:1b20:1:f410::ff1 Результат: ~ # uname -a Linux ZyAvenger 4.9-ndm-5 #0 SMP Tue Jun 21 16:39:31 2022 mips GNU/Linux ~ # wg show nwg2 interface: nwg2 public key: JL+TtFAHd2heTNrACYj8tlkn9f4rrZi7auvuQRBkajY= private key: (hidden) listening port: 49203 peer: bmXOC+F1FxEMF9dyiK2H5/1SUtzH0JuVo51h2wPfgyo= endpoint: [2606:4700:d0::a29f:c001]:2408 allowed ips: 0.0.0.0/0, ::/0 latest handshake: 1 minute, 33 seconds ago transfer: 15.29 KiB received, 6.19 KiB sent ~ # ifconfig nwg2 nwg2 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 inet addr:172.16.0.2 P-t-P:172.16.0.2 Mask:255.255.255.255 inet6 addr: fd01:5ca1:ab1e:891f:c4fc:4a2e:e64d:503d/128 Scope:Global UP POINTOPOINT RUNNING NOARP MTU:1280 Metric:1 RX packets:52643 errors:0 dropped:53 overruns:0 frame:0 TX packets:63283 errors:3 dropped:1 overruns:0 carrier:0 collisions:0 txqueuelen:50 RX bytes:14968865 (14.2 MiB) TX bytes:8037372 (7.6 MiB) ~ # ip -6 rule 0: from all lookup local 233: from all fwmark 0x2333 lookup 233 1123: from all lookup 123 1778: from all fwmark 0xd1001 lookup 1001 32766: from all lookup main ~ # ip -6 route show table 123 2a03:1b20:1:f410::ff1 dev nwg2 metric 1024 pref medium ~ # traceroute6 2a03:1b20:1:f410::ff1 traceroute to 2a03:1b20:1:f410::ff1 (2a03:1b20:1:f410::ff1) from fd01:5ca1:ab1e:891f:c4fc:4a2e:e64d:503d, port 33434, from port 45415, 30 hops max, 60 bytes packets 1 fd01:5ca1:ab1e::1 (fd01:5ca1:ab1e::1) 10.845 ms 10.961 ms 10.997 ms 2 2400:cb00:87:1000::1 (2400:cb00:87:1000::1) 11.906 ms 17.869 ms 20.842 ms 3 mow-b4-link.ip.twelve99.net (2001:2000:3080:539::1) 11.994 ms 11.797 ms 11.299 ms 4 mow-b8-v6.ip.twelve99.net (2001:2034:0:220::1) 11.474 ms 11.974 ms 12.476 ms 5 kbn-bb2-v6.ip.twelve99.net (2001:2034:1:78::1) 40.321 ms 41.409 ms 72.470 ms ^C22% completed...
  4. Итак, Keenetic Hopper с Entware. Я написал несколько скриптов для выборочной маршрутизации. Все эти скрипты работают нормально, никаких ошибок во время исполнения нет, да и маршрутизация работает. Ping через Wireguard работает нормально, но проблемы возникают, когда я захожу в браузер, всё очень сильно тормозит. Если честно, я не имею ни малейшего понятия, в чем может быть проблема, единственное, если выключить мои скрипты и в веб-интерфейсе выставить wireguard приоритетным подключением, то весь трафик будет идти через wireguard нормально, без проблем и подвисаний, я думаю проблема заключается в моей маршрутизации. Вот конфигурация Wireguard: Вот мои скрипты: # /opt/etc/ndm/fs.d/100_hirkn-ipsets.sh #!/bin/sh [ "$1" != "start" ] && exit 0 echo " --- HIRKN ENTRY POINT --- " RKN_SET_FILE="/opt/root/rkn.lst" GOOGLE_SET_FILE="/opt/root/google.lst" CUSTOM_SET_FILE="/opt/root/custom.lst" function create_ipset() { IPSET_NAME=$1 ipset create $IPSET_NAME hash:net family inet -! } function fill_ipset() { FILE="$1" IPSET_NAME="$2" data=$(cat $FILE) for row_data in $data do ipset add $IPSET_NAME ${row_data} -! done } function create_and_fill_ipset() { IPSET_NAME="$1" FILE="$2" create_ipset $IPSET_NAME fill_ipset $FILE $IPSET_NAME } if [ -z "$(ip route list table 1)" ]; then ip rule add fwmark 1 table 1 ip route add default dev nwg0 table 1 fi create_ipset "HIRKN" create_ipset "HIGOOGLE" create_ipset "HICUSTOM" #fill_ipset $RKN_SET_FILE "HIRKN" #fill_ipset $GOOGLE_SET_FILE "HIGOOGLE" #fill_ipset $CUSTOM_SET_FILE "HICUSTOM" #create_and_fill_ipset "HIRKN" $RKN_SET_FILE #create_and_fill_ipset "HIGOOGLE" $GOOGLE_SET_FILE #create_and_fill_ipset "HICUSTOM" $CUSTOM_SET_FILE exit 0 # /opt/etc/ndm/netfilter.d/99_hirkn-fwmarks.sh #!/bin/sh [ "$type" != "iptables" ] && exit 0 [ "$table" != "mangle" ] && exit 0 echo "HIRKN: Creating $type rule on table $table !" [ -z "$(iptables-save | grep HIRKN)" ] && \ iptables -w -A PREROUTING -t mangle -m set --match-set HIRKN dst,src -j MARK --set-mark 1 [ -z "$(iptables-save | grep HIGOOGLE)" ] && \ iptables -w -A PREROUTING -t mangle -m set --match-set HIGOOGLE dst,src -j MARK --set-mark 1 [ -z "$(iptables-save | grep HICUSTOM)" ] && \ iptables -w -A PREROUTING -t mangle -m set --match-set HICUSTOM dst,src -j MARK --set-mark 1 exit 0 В основном я использую сет HIRKN, в него закачивается rkn.lst, который берется отсюда: https://antifilter.download/list/allyouneed.lst Если у кого-то есть догадки, я с радостью выслушаю! P.S.: Число записей в сете не влияют, хоть одна запись, хоть 10000 - одно и то же
  5. Доброго времени суток господа. Решил поднять Wireguard сервер для доступа к домашним ресурсам и интернету домашнего роутера с различных точек. Настроил одного клиента на смартфоне. Всё работало замечательно. Когда добавил второй пир, первый пир перестал функционировать. Не пингуется даже сам интерфейс wireguard хотя тунель поднимается. В этот же момент последний добавленный пир прекрасно работает. Я грешным делом подумал что у кинетика на каждый тунель ограничение по 1 пиру на интерфейс но в мануале сказано что есть возможность подключения нескольких клиентов одновременно. В чём может быть проблема? Почему перестаёт работать ранее работоспособный пир каждый раз после добавления нового? Заранее спасибо за помощь.
  6. Здравствуйте! У меня есть два роутера: Speedster и 4G, они через интернет соединены Wireguard тоннелем. IP Speedster: 192.168.1.1, IP в тоннеле: 10.10.10.10 IP 4G: 192.168.50.1, IP в тоннеле: 10.10.10.20 В качестве сервера VPN выступает Speedster, клиент - 4G. USB Модем Роутер 4G Тоннель Wireguard Роутер Speedster Компьютер NAS 192.168.8.1---------192.168.50.1------10.10.10.20=========10.10.10.10-------192.168.1.1 -------------- 192.168.1.100 Тоннель используется для доступа к интернет для пользователей сети 192.168.50.x, с этим проблем нет. Я могу из клиентской сети 192.168.50.x пинговать хосты из сети 192.168.1.x, например свой NAS с адресом 192.168.1.100. К порту роутера 4G подключен USB модем с адресом 192.168.8.1. Мне необходимо иметь доступ к нему с компьютера NAS - 192.168.1.100. К сожалению, никак не могу этого добиться, получаю такой вывод: ping 192.168.8.1 PING 192.168.8.1 (192.168.8.1) 56(84) bytes of data. ^C --- 192.168.8.1 ping statistics --- 12 packets transmitted, 0 received, 100% packet loss, time 1005ms Не проходит пинг от 192.168.1.100 до 10.10.10.20, а до 10.10.10.10 - проходит. Думаю, что где-то здесь я не доработал. Использовал инструкции на сайте Кинетик: Настройка WireGuard VPN между двумя роутерами Keenetic, Доступ в Интернет через WireGuard-туннель, Доступ в веб-интерфейс USB-модема за VPN-клиентом Wireguard-туннеля, Маршрутизация сетей через VPN. В итоге я могу пинговать модем 192.168.8.1 с роутера Speedster - 192.168.1.1 (Диагностика - Проверка сетевого соединения), то есть маршрут к модему существует. Но ни с одного из компьютеров сети 192.168.1.x не могу пингануть ни сеть 192.168.50.x, ни модем, но даже второй конец тоннеля - 10.10.10.20. Здесь на форуме было несколько похожих тем, но не помогло ничего пока что. Прошу помочь.
  7. Почитал темы про wireguard на форуме, ничего не откликнулось. Буду признателен за помощь с диагностикой. Set up следующий: - Есть сервер Centos 8 в облаке, на нём поднят wg сервер. Соединение с ноутбука работает. - Беру тут же конфиг, что и для ноута и раскатываю на keenetic - не работает. Причём непонятно даже где всё ломается. Конфиг файл для пира [Interface] PrivateKey = .... ListenPort = 51820 Address = 10.13.13.2/32 DNS = 8.8.8.8 [Peer] PublicKey = SivZBGe.... PresharedKey = ni16eqej4... AllowedIPs = 0.0.0.0/0, ::/0 Endpoint = 89.208.NNN.NNN:51820 На роутере (версия прошивки 3.8.3) было сделано следующее: 1. Создано соединение (галочку "для выхода в интернет" тоже ставил, тут снята). В межсетевые экраны во все интерфейсы засунул allow all tcp/udp. Проблема При включении интерфейса вижу, что какой-то обмен данными есть. В системном журнале при этом начинают валиться ошибки, что на самом деле endpoint недоступен. Все маршруты тоже остаются без изменений, даже если мой интерфейс стоит первым приоритетом в части подключения к интернету. Интересно, что первая ошибка тоже всегда идёт перед второй (ну или после). А это именно мой текущий основной шлюз, через который работает интернет (он через WISP). Поскольку в этот момент со стороны Centos сервака 10.13.13.2 не пингуется - полагаю, что соединение у меня вообще не происходит. Подскажите куда покопать? Похоже что роутер не может добежать до endpoint'a, но явно не из-за МСЭ...
  8. Всем привет. Бьюсь над проблемой, не могу понять в чем причина, может кто-то подскажет. Wireguard от ProtonVPN, конфиг загружен, но при включении нет соединения: IP сервера пингуется, через их приложение по wireguard к этому же серверу на телефоне подключение происходит. Роутер перезагружал, сервера разные с разными настройками у них пробовал, прошивку обновил - результат один и тот же.
  9. Всем привет, Может кто подсказать - есть ли opkg-пакет или скрипт, который будет скачивать список заблокированных в РФ сайтов (с возможностью добавления в include и exclude листы), при запросе сверяться с ним, и, в случае нахождения в списке, перенаправлять, например, через Wireguard туннель? Знаю, что можно настроить роутинг вручную через iptables, но вручную добавлять сайты неудобно, особенно если надо срочно зайти на сайт (о блокировке которого ты не знал), когда не можешь оперативно прописать правило. Заранее спасибо.
  10. Коллеги, подскажите по следующему вопросу. Из официальных источников ничего добыть дельного не получилось. Планирую на Keenetic Ultra соорудить проброс во внутреннюю сеть IPv6 получаемую через туннель WireGuard. На Ubuntu машинах у меня данная схема работает норм (WireGuard + radvd). Но есть непонимание Entware, отсюда вопросы: 1. Работает ли она вообще с IPv6? 2. Насколько стабильны пакеты WG которые есть в Entware? Там два варианта на Go и один непойми какой. 3. Насколько вообще хорошо будет это дело держать нагрузку? У меня канал 200 мбит, не будет ли лимитировать мощность "машины" Entware? Благодарю за ответы.
  11. при включении wg интерфейса не сразу происходит соединение с сервером - может пройти несколько минут перед тем как соединение появится. В логах вижу Wireguard2: handshake for peer "usLK did not complete after 20 attempts, giving up: wireguard: Wireguard2: retrying handshake with peer "usLK0q6XAcJWlpEf127SnK/+KxHyTUG9+h+z/Fia5CQ=" (5) (162.19.151.35:51820) because we stopped hearing back after 15 seconds кто-то знает, как решить проблему? игра с mtu не помогла
  12. Hello, is there some limitation in WireGuard speed bandwith? In my Speedster I have set up a WG Server. I have 1000Mbps in downstream and 300 Mbps in upstream (from speedtest.net 940/282) In my client, PC desktop with i7 11th gen, i have 200Mbps in downstream (180/20). But when WireGuard tunnel is established, i obtaining only 100Mbps limitation. Thanks.
  13. kn-2710 3.8.1 ветка draft Ранее было настроено 3 подключения, добавил четвертое подключение - нормально. При добавлении пятого подключения, подключение не создается и в логе ошибка: I] Apr 30 09:41:50 kernel: wireguard: Wireguard4: interface deleted [C] Apr 30 09:41:50 ndm: Wireguard::Interface: "Wireguard4": system failed [0xcffd025d], unable to acquire local listen port. Пробовал указывать разные/не указывать "порт прослушивания" в созданных ранее и новом подключениях, экспортировать конфиг из файла - также ошибка. Текущие рабочие подключения не удалял, вдруг не получится их добавить заново. Self-тест ниже сообщением.
  14. Было бы здорово подружить KeeneticOS с реализацией Wireguard от NordVPN - NordLynx (https://nordvpn.com/ru/blog/nordlynx-protocol-wireguard/). Судя по тестированию на Reddit, при использовании NordLynx скорости в два и более раз выше чем у OpenVPN.
  15. Друзья, а получится ли на кинетике затуннелировать IPv6 на сеть за IPv4 NAT? Вроде уже такие эксперименты в сети делают (http://www.makikiweb.com/ipv6/wireguard_on_openwrt.html) и провайдеры тоже наличиствуют.
  16. Интерфейс работает, и в веб версии виден, а в приложении 29(110) его нет.
  17. Никак не могу сообразить, как настроить WireGuard на Keenetic Speedster, чтобы подключенные к нему пиры могли коннектиться друг к другу по их IP в подсети WireGuard. Сейчас они видят только IP самого Кинетика. Ну еще у меня проброшен 445-й порт к Samba-серверу в локальной сети Кинетика, это тоже работает через WG IP Кинетика. А как настроить, чтобы пиры могли коннектиться друг к другу внутри подсети WG?
  18. Вобщем, хочется странного. Есть гига, до нее поднято ваергард-соединение. Можно ли, в принципе сделать на ней такой нат, что при заданном адресе доставки, натить адрес источника в гиговский адрес в локальной сети? Чтобы было понятнее, в удаленной локалке есть одно устройство, на котором нельзя прописать маршруты, т.е. оно видит только свою локалку, ни маршрута по умолчанию, ни других у него нет. Или все это хрень полная?
  19. Просто наблюдение. Скорость обмена данными (iperf) в цепочке PC#1-Ultra#1-Ultra#2-PC#2 без VPN Lan-Lan-Lan (1 Gbps-1 Gbps-1 Gbps) — 947 Мбит/с Lan-WiFi-Lan (1 Gbps-11ac 4x4 80 МГц (36 канал, канальная скорость 1170)-1 Gbps) — 464 Мбит/с WiFi-WiFi-Lan (11ac/v 2x2 80 МГц-11ac 4x4 80 МГц-1Gbps) — 218 Мбит/с Скорость обмена данными (iperf) в цепочке PC#1-Ultra#1-Ultra#2-PC#2 (исключительно кабельное соединение) у разных VPN WireGuard — 117 Мбит/с L2TP/IPsec — 86 Мбит/с Условия тепличные, роутеры находятся в прямой видимости и соединены комплектным патч-кордом, до каждого из компьютеров не больше 6 метров, 4 еле слышимых 5 ггц сетей соседей, Ultra#2 (3.6 alpha 5) заняла 36 канал, Ultra#1 (3.5.2) подключается через wisp. Завтра-послезавтра постараюсь дополнить по аналогии с вышеперечисленным следующие варианты: ultra-extra, extra-extra.
  20. Задача поднять была поднять wireguard (10.10.10.3 -> 10.10.10.1), а поверх Gre (192.168.100.0/30). После перезагрузки роутера первым пытается подняться gre, в результате чего присваивается IP wan'a (в моем случае ip, полученный от USB модема 192.168.8.100). Помогает down -> up интерфейса. Для этого и задумана командная срока через веб-интерфейс ? "id": "Gre0", "index": 0, "type": "Gre", "description": "gre0", "interface-name": "gre0", "link": "up", "connected": "yes", "state": "up", "mtu": 1476, "tx-queue": 1, "address": "192.168.100.3", "mask": "255.255.255.252", "uptime": 267, "global": false, "security-level": "public", "tunnel-local-source": "192.168.8.100", "tunnel-remote-destination": "10.10.10.1", "ipsec-enabled": false, "ipsec-ikev2-allowed": true, "ipsec-ikev2-enabled": false, "prompt": "(config)" В следствии чего возникло два вопроса: 1) Возможно как-то выставить приоритетность/последовательность создания туннелей ? 2) Когда завезут gretap ? Как-то заходил разговор в 2017 году и ? С ув.
  21. Всем привет! Дома Keenetic Viva, локальный адрес 10.10.1.1/24. Настроен L2TP-сервер, клиентам присваивается IP из той же подсети (10.10.1.0/24), также L2TP клиентам назначается гейтвей 10.10.1.1 (т.е. весь из траффик идет через Keenetic). Также на роуетере настроен Wireguard-клиент до рабочего места. Адрес клиента 192.168.73.2, адрес сервера (рабочего места) 192.168.73.1. Из локальной сети доступ к адресу 192.168.73.1 есть, никакие дополнительные маршруты на домашних устройствах не приходится прописывать. А вот L2TP-клиенты доступа к 192.168.73.1 не имеют, хотя в той же подсети находятся. Подскажите, пожалуйста, как это исправить? Скрины настроек L2TP-сервера и Wireguard-клиента прилагаю.
  22. Друзья, подскажите что делаю не так и как надо? Хочу завернуть все запросы на конкретный IPv6 адрес в туннель Wireguard. Делаю так: ipv6 route 2001:470:1f15:f1:6e6e:6d2d:636c:7562/128 Wiregurad0 или так ipv6 route 2001:470:1f15:f1::/64 Wireguard0 Но запросы IPv6 с компа из локальной сети упорно идут не туда куда следует, т.е. не маршрутизируются ни разу в туннель Wireguard. PS. Аналогичная задача с IPv4 - все работает, запросы идут куда следует.
  23. Всем привет. Настроил wireguard систему. Интернет всё работает Но когда запускаю сервер сервер не видно в интернете Будто порты заблокированы Вот схема И какие есть идеи?
  24. Хотелось бы wireguard клиента как компонент OS
×
×
  • Create New...