Advanced security configuration (ASC) для WireGuard

[Noatitauaggi]

В обновлении было добавлено возможность подключить AmneziaWG, но никак не получается от слова совсем, одни ошибки.

Что я делаю не так?

Подключение WireGuard называется WG

Пытаюсь и так interface WG wireguard asc 9 50 1000 27 110 541972455 339647423 1461438265 117583223

При этом варианте ошибка

{
	"prompt": "(config)",
	"status": [
		{
			"status": "error",
			"code": "6553609",
			"ident": "Wireguard::Interface",
			"message": "unable to find WG in \"Wireguard::Interface\"."
		}
	]
}

И так interface {WG} wireguard asc {9} {50} {1000} {27} {110} {541972455 } {339647423 } {1461438265 } {117583223} 

При этом варианта ошибка

{
	"prompt": "(config)",
	"status": [
		{
			"status": "error",
			"code": "7405602",
			"ident": "Command::Base",
			"source": "jc",
			"message": "argument parse error."
		}
	]
}

 

 

• Параметры advanced security configuration (ASC) для WireGuard теперь доступны в интерфейсе командной строки (CLI). [NDM-3202]

  • interface {name} wireguard asc {jc} {jmin} {jmax} {s1} {s2} {h1} {h2} {h3} {h4} — установить дополнительные параметры ASC для WireGuard {name} туннеля.

 

[FLK]

2 часа назад, Noatitauaggi сказал:

На 4.2 релизной нет поддержи AWG?

На 4.2.0 не делась никуда вроде)

[pavelkarpov]

[pavelkarpov]

ошибка выделена  

читайте инструкции,  или на Avito Найдите мастера,  он настроит вам

Edited September 23 by pavelkarpov

[fse]

В 20.09.2024 в 21:59, Gonzik сказал:

А в чем смысл их оставлять 0 0?

Я так понял "фишка" AmneziaWG - это именно добавление мусора к пакетам рукопожатий, размер которого определяется значениями S1 и S2.

Или нет?

Все верно, значение S - это размер мусора в начале данных. Почему оставляем 0? Как я понял - с другими значениями S на стандартном (читай - бесплатном) сервере WG не взлетит, а платить за полноценный AmneziaWG не всем хочется. При этом стандартное подключение WG вообще без этих параметров, которое у меня стабильно работало больше года, в начале этого месяца перестало работать совсем, а с этими на первый взгляд нулевыми параметрами все вновь заработало и совершенно бесплатно. Каким образом остается загадкой.

[FLK]

На сколько я помню {jc} {jmin} {jmax} - мусор)

[Gonzik]

4 часа назад, FLK сказал:

{jc} {jmin} {jmax} - мусор)

Это мусор к пакетам данных, отсылаемый перед началом сессии (кол-во, мин и макс размеры). А S1 и S2, как я понял, дополнительный мусор к хендшейкам.

[FLK]

11 минуту назад, Gonzik сказал:

Это мусор к пакетам данных, отсылаемый перед началом сессии (кол-во, мин и макс размеры). А S1 и S2, как я понял, дополнительный мусор к хендшейкам.

Это нам скорее всего точно пояснить сможет @Le ecureuil

[avn]

Только что, Gonzik сказал:

Это мусор к пакетам данных, отсылаемый перед началом сессии (кол-во, мин и макс размеры). А S1 и S2, как я понял, дополнительный мусор к хендшейкам.

Все правильно. Так и есть. Когда вижу js=120, думаю, товарищ тебя скоро забанят за 120 пакетов спама.

s1,s1 мусок к handshake

    u16 init_packet_junk_size;
    u16 response_packet_junk_size;

 

jc - кол-во пакетов, jmin - минимальная длина, jmax - максимальная

Поэтому стандартные обмены по WG c ASC:

jc jmin jmax 0 0 0 0 0 0
jc jmin jmax 0 0 1 2 3 4

 

Edited September 24 by avn

[n1ck222]

On 9/24/2024 at 1:05 PM, avn said:

Когда вижу js=120, думаю, товарищ тебя скоро забанят за 120 пакетов спама.

сами виноваты в этом...)

[Ruster]

А как выглядит валидный лог подключения?

Переключил источник на предварительный. Обновился до 4.2.0(4.02.C.0.0-1).
 Вполнил конфигурацию через interface wireguard asc. Она даже сохранилась в конфигурации

interface Wireguard0
    description home
    security-level public
    ip address 10.8.0.5 255.255.255.255
    ip mtu 1324
    ip global 16383
    ip tcp adjust-mss pmtu
    wireguard asc 5 50 1000 26 32 * * * *
    wireguard peer ********************************************
        endpoint *.*.*.*:12345
        preshared-key *****************************************
        allow-ips 0.0.0.0 0.0.0.0
        connect
    !
    up
!

Но само подключение продолжает быть пассивным, хендшейк не проходит (сам файл конфига амнезии валдиный, через приложение(amneziawg-windows-client) соединение устанавливается и работает)
Да и  в логе Управление -> Диагностика -> Показать журнал   
Каких-то ошибок нет

[I] Sep 26 15:02:12 ndm: Network::Interface::Base: "Wireguard0": "base" changed "conf" layer state "disabled" to "running". 
[I] Sep 26 15:02:12 ndm: Network::Interface::Base: "Wireguard0": interface is up. 
[I] Sep 26 15:02:12 ndm: Core::System::StartupConfig: saving (http/rci). 
[I] Sep 26 15:02:13 ndm: Wireguard::Interface: "Wireguard0": resolved peer "*********" endpoint to "9.8.7.6". 
[I] Sep 26 15:02:13 ndm: Network::Interface::EndpointTracker: "Wireguard0": "*********": remote endpoint is "9.8.7.6". 
[I] Sep 26 15:02:13 ndm: Network::Interface::EndpointTracker: "Wireguard0": "*********": connecting via "L2TP0" (L2TP0). 
[I] Sep 26 15:02:13 ndm: Network::Interface::EndpointTracker: "Wireguard0": "*********": local endpoint is "1.2.3.4". 
[I] Sep 26 15:02:13 kernel: wireguard: Wireguard0: peer "*********" (4) created
[I] Sep 26 15:02:15 ndm: Core::System::StartupConfig: configuration saved. 
[I] Sep 26 15:02:18 ndm: Core::System::StartupConfig: configuration saved. 

 

[xan]

В 23.09.2024 в 15:18, Noatitauaggi сказал:

На 4.2 релизной нет поддержи AWG

Есть

[xan]

В 25.08.2024 в 09:17, stefbarinov сказал:

Генерирую здесь:

Он рабочий?

Попробовал, не взлетает)

[kent2]

В 30.09.2024 в 19:15, xan сказал:

Он рабочий?

Попробовал, не взлетает)

у меня не работает

[kors]

В 26.09.2024 в 15:44, Ruster сказал:

А как выглядит валидный лог подключения?

Переключил источник на предварительный. Обновился до 4.2.0(4.02.C.0.0-1).
 Вполнил конфигурацию через interface wireguard asc. Она даже сохранилась в конфигурации

interface Wireguard0
    description home
    security-level public
    ip address 10.8.0.5 255.255.255.255
    ip mtu 1324
    ip global 16383
    ip tcp adjust-mss pmtu
    wireguard asc 5 50 1000 26 32 * * * *
    wireguard peer ********************************************
        endpoint *.*.*.*:12345
        preshared-key *****************************************
        allow-ips 0.0.0.0 0.0.0.0
        connect
    !
    up
!

Но само подключение продолжает быть пассивным, хендшейк не проходит (сам файл конфига амнезии валдиный, через приложение(amneziawg-windows-client) соединение устанавливается и работает)
Да и  в логе Управление -> Диагностика -> Показать журнал   
Каких-то ошибок нет

[I] Sep 26 15:02:12 ndm: Network::Interface::Base: "Wireguard0": "base" changed "conf" layer state "disabled" to "running". 
[I] Sep 26 15:02:12 ndm: Network::Interface::Base: "Wireguard0": interface is up. 
[I] Sep 26 15:02:12 ndm: Core::System::StartupConfig: saving (http/rci). 
[I] Sep 26 15:02:13 ndm: Wireguard::Interface: "Wireguard0": resolved peer "*********" endpoint to "9.8.7.6". 
[I] Sep 26 15:02:13 ndm: Network::Interface::EndpointTracker: "Wireguard0": "*********": remote endpoint is "9.8.7.6". 
[I] Sep 26 15:02:13 ndm: Network::Interface::EndpointTracker: "Wireguard0": "*********": connecting via "L2TP0" (L2TP0). 
[I] Sep 26 15:02:13 ndm: Network::Interface::EndpointTracker: "Wireguard0": "*********": local endpoint is "1.2.3.4". 
[I] Sep 26 15:02:13 kernel: wireguard: Wireguard0: peer "*********" (4) created
[I] Sep 26 15:02:15 ndm: Core::System::StartupConfig: configuration saved. 
[I] Sep 26 15:02:18 ndm: Core::System::StartupConfig: configuration saved. 

 

У тебя dns over tls установлен и настроен?

https://help.keenetic.com/hc/ru/articles/360007687159-Прокси-серверы-DNS-over-TLS-и-DNS-over-HTTPS-для-шифрования-DNS-запросов

Я в него добавил IP сервера Амнезии + ещё 2 адреса:

94.140.14.14 dns.adguard-dns.com
94.140.15.15 dns.adguard-dns.com

[1qqq]

10 часов назад, kors сказал:

Я в него добавил IP сервера Амнезии

Можно подробнее? Можно в личку. 

[Ruster]

11 час назад, kors сказал:

У тебя dns over tls установлен и настроен?

https://help.keenetic.com/hc/ru/articles/360007687159-Прокси-серверы-DNS-over-TLS-и-DNS-over-HTTPS-для-шифрования-DNS-запросов

Я в него добавил IP сервера Амнезии + ещё 2 адреса:

94.140.14.14 dns.adguard-dns.com
94.140.15.15 dns.adguard-dns.com

Кажется, что амнезия на него не завязана? Или ошибаюсь? Но ок, попробую

[kors]

В 09.10.2024 в 09:51, 1qqq сказал:

Можно подробнее? Можно в личку. 

По ссылке инструкция как установить DNS-over-TLS - https://help.keenetic.com/hc/ru/articles/360007687159-Прокси-серверы-DNS-over-TLS-и-DNS-over-HTTPS-для-шифрования-DNS-запросов

После установки заходишь Сетевые правила -> Интернет фильтры -> Настройки DNS -> Добавить сервер

Тип сервера DNS: DNS-over-TLS
Адрес сервера DNS: IP-адрес твоего сервера Амнезия (перед этим нужно через приложение установить DNS-сервер Амнезии)
Домен оставляешь пустой
Любой интерфейс

+ я добавил два DNS-over-TLS сервера AdGuard, о которых выше упомянул. Тоже самое, только IP-адреса 94.140.14.14 и 94.140.15.15, а домен везде dns.adguard-dns.com.

[FLK]

В 10.10.2024 в 23:46, kors сказал:

По ссылке инструкция как установить DNS-over-TLS - https://help.keenetic.com/hc/ru/articles/360007687159-Прокси-серверы-DNS-over-TLS-и-DNS-over-HTTPS-для-шифрования-DNS-запросов

После установки заходишь Сетевые правила -> Интернет фильтры -> Настройки DNS -> Добавить сервер

Тип сервера DNS: DNS-over-TLS
Адрес сервера DNS: IP-адрес твоего сервера Амнезия (перед этим нужно через приложение установить DNS-сервер Амнезии)
Домен оставляешь пустой
Любой интерфейс

+ я добавил два DNS-over-TLS сервера AdGuard, о которых выше упомянул. Тоже самое, только IP-адреса 94.140.14.14 и 94.140.15.15, а домен везде dns.adguard-dns.com.

И с 8.8.8.8 все работает) зачем такие трудности?

[Gonzik]

2 часа назад, FLK сказал:

И с 8.8.8.8 все работает) зачем такие трудности?

И с DNS-over-HTTPS тоже. А то в инструкции прям уперлись в DNS-over-TLS.

[EcliptiC]

Здравствуйте. 
Подскажите, если настраивать WireGuard с ASC между двумя Keenetic, то какие из параметров {jc} {jmin} {jmax} {s1} {s2} {h1} {h2} {h3} {h4} должны совпадать? Все или {jc} {jmin} {jmax} могут быть разные? Да и вообще возможно ли сконнектить два Кина через WireGuard с ASC? Сейчас у меня два Кина соединены через просто WireGuard и провайдер (после 17.10.2024) как-то стал блокировать нестандартные порты (22, 222, 3000, 8090 и прочие), 80 и 443 нормально работают. При этом если соединить через OpenConnect, то порты не блокируются при работе с одной локалки в другую.

Схема такая: роутер А (сеть 192.168.1.0/24) с сервисами на портах 22, 222, 3000, 8090 и я не могу на них попасть (после 17.10.2024) из роутера Б (сеть 172.16.1.0/24). При этом на сервисы с портами 80 и 443 из Б в А попадаю сразу.

[EcliptiC]

23 hours ago, EcliptiC said:

Здравствуйте. 
Подскажите, если настраивать WireGuard с ASC между двумя Keenetic, то какие из параметров {jc} {jmin} {jmax} {s1} {s2} {h1} {h2} {h3} {h4} должны совпадать? Все или {jc} {jmin} {jmax} могут быть разные? Да и вообще возможно ли сконнектить два Кина через WireGuard с ASC? Сейчас у меня два Кина соединены через просто WireGuard и провайдер (после 17.10.2024) как-то стал блокировать нестандартные порты (22, 222, 3000, 8090 и прочие), 80 и 443 нормально работают. При этом если соединить через OpenConnect, то порты не блокируются при работе с одной локалки в другую.

Схема такая: роутер А (сеть 192.168.1.0/24) с сервисами на портах 22, 222, 3000, 8090 и я не могу на них попасть (после 17.10.2024) из роутера Б (сеть 172.16.1.0/24). При этом на сервисы с портами 80 и 443 из Б в А попадаю сразу.

Отвечу на свой вопрос. Параметры должны совпадать. jc может отличаться. 
Но вопрос с доступом из роутера Б к А так и остался. Всё что не 80 и 443 не доступно. В чём может быть проблема?

[allmoney]

Версия ОС 4.2.1

На роутере стоит стандартный WireGuard VPN

На VPS - стандартный WireGuard.

Help! Что где надо прописать/установить, чтобы заработал мусор с пакетами?

[lliax]

1 час назад, allmoney сказал:

Help! Что где надо прописать/установить, чтобы заработал мусор с пакетами?

4.2.1 realese KN-1811 Это работает! Без Amnezia! Достаточно дописать в конфиг WG (это пример) в разделе [Interface] где-то в конце:

jc = 2
jmin = 6
jmax = 12
s1 = 0
s2 = 0
h1 = 2
h2 = 4
h3 = 6
h4 = 8

 

На роутере 

interface Wireguard0 wireguard asc 2 6 12 0 0 2 4 6 8
system configuration save

И всё взлетело! Перестало тормозить. На роутере использую интерфейс сейчас отдельную зону (политику подключения) для части клиентов.

[Николай МПК]

В 05.09.2024 в 21:38, Monstr86 сказал:

Стандартный сервер WG не поддерживает эти параметры, разворачивайте amnesia

https://habr.com/ru/companies/amnezia/articles/807539/

поддерживает! сервер wg на микротике, клиент кинетик с мусором подключается

[allmoney]

15 часов назад, lliax сказал:

4.2.1 realese KN-1811 Это работает! Без Amnezia!

Это через файл конфига или telnet надо прописать? Как понять какие точно цифры надо или можно эти из вашего примера взять?

[Monstr86]

В 23.10.2024 в 10:06, Николай МПК сказал:

поддерживает! сервер wg на микротике, клиент кинетик с мусором подключается

Я говорил про сервер WG на Ubuntu, он такие параметры не принимает.

[1qqq]

4.2.2 поддержки нет, как я понял?

[FLK]

2 минуты назад, 1qqq сказал:

4.2.2 поддержки нет, как я понял?

Есть

[1qqq]

3 минуты назад, FLK сказал:

Есть

В описании ни к 4.2.1, ни к 4.2.2 не увидел поддержки asc для wg. Ткните

[FLK]

3 часа назад, 1qqq сказал:

В описании ни к 4.2.1, ни к 4.2.2 не увидел поддержки asc для wg. Ткните

Она никуда не пропала со времен альфа-версий

Кого ткнуть? 🤣 

Edited October 29 by FLK