Frans
-
Posts
9 -
Joined
-
Last visited
-
Days Won
2
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by Frans
-
-
Спасибо! получилось
(config)> ping-check profile test1 restart
PingCheck::Profile: "test1": enabled restarting interface. -
Модель Keenetic Omni II Версия ОС 2.16.D.11.0-0
Если случается сбой соединения примерно на 8+ минут, то Wireguard перестает слушать входящие запросы от клиентов, решается перезапуском интерфейса Wireguard.
Решил для перезапуска использовать ping-check, но столкнулся с тем, что не добавляется команда ping-check restart
Профиль test1 добавлен на интерфейс Wireguard1
команда ping-check restart, выдает ошибку Command::Base error[7405600]: no such command: restart.
Spoiler(config)> interface Wireguard1 ping-check restart
Command::Base error[7405600]: no such command: restart.
(config)> interface Wireguard1 ping-check restart Wireguard1
Command::Base error[7405600]: no such command: restart.
(config)> show ping-check test1pingcheck:
profile: test1host: 192.168.7.2
update-interval: 10
max-fails: 10
mode: icmpinterface:
name: Wireguard1
successcount: 0
failcount: 10
status: not readyipcache:
host: 192.168.7.2addresses: 192.168.7.2
-
5 hours ago, g7acnt7 said:
Подскажите, пожалуйста, что прописывать в этот key:
[E] Oct 29 00:00:08 ndm: Core::System::UConfig: key not found: servicehost.
ndss.11.zyxel.ndmsystems.com
- 1
-
2 hours ago, g7acnt7 said:
Я не делал factory lock, потому что не понял, можно ли вернуться в режим редактирования env после этой операции. Это возможно?
Убрать lock можно через UART, в консоли загрузчика, командой:
setenv lock
-
3 hours ago, Explosive said:
1. Продолжить если я на каком-то моменте прервал?
Войти в настройки интерфейса (config-if) можно так: (config)> interface Wireguard0
Войти в настройки пира (config-wg-peer) можно так, в конце введя (public-key) удаленного пира:
(config)> interface Wireguard0 wireguard peer R2xBU+IA9GYIOKM4I7nIeNFhWzHswjIYfnHCTFaI35E=
Команду можно выполнить из основного меню (config), не заходя в настройки, одной строкой:
(config)> interface Wireguard0 wireguard peer R2xBU+IA9GYIOKM4I7nIeNFhWzHswjIYfnHCTFaI35E= no allow-ips 192.168.111.111/323 hours ago, Explosive said:2. Если например была команда с неверными параметрами, например allow-ips 192.168.111.111/32 ну или любая другая?
Неверные параметры можно удалить командой, добавив перед ней (no): (config-wg-peer)> no allow-ips 192.168.111.111/32
3 hours ago, Explosive said:3. Как отключить WG или очистить все настройки?
Отключить: (config)> interface Wireguard0 down
Удалить: (config)> no interface Wireguard0
при удалении очищаются настройки Wireguard, но остаются не связанные с ним настройки, такие как
no isolate-private
ip nat Wireguard0
их можно удалить командой, добавив перед ней (no) или удалив, как в случае с (no isolate-private)3 hours ago, Explosive said:4. Где посмотреть настройки потом по SSH?
(config)> show interface Wireguard0
- 2
-
- Popular Post
- Popular Post
11 hours ago, Gp21 said:А вас не сильно затруднит дополнить инструкцию по подключению в качестве пира?
Всем спасибо, что оценили мой скромный труд )
Написал краткую инструкцию по настройке Wireguard клиента через CLI:
SpoilerСоздаем Wireguard клиент через командную строку кинетика:
1. Создаем интерфейс:
(config)> interface Wireguard0
ключи(private-key и public-key) автоматически генерируются при создании интерфейсаДля подключения к публичным серверам Wireguard в интернете, можно принудительно добавить private-key ключ командой:
(config-if)> wireguard private-key UshaeghezaiJ7reo8iK6ear0eomujohkeen8jahX5uo=2. Назначаем имя:
(config-if)> description "WG-CL1"3. Назначаем внутренний IP-адрес и подсеть туннеля:
(config-if)> ip address 192.168.6.2/30
В этом примере я создал подсеть /30, т.к у меня будет только один Wireguard клиент с адресом 192.168.6.2/30
если вы планируете подключать к удаленному серверу много клиентов и объединять их локальные сети, можете забабахать подсеть /244. Назначаем порт, на котором будет слушать Wireguard, по умолчанию порт будет 48950, можете изменить его на любой
(config-if)> wireguard listen-port 489525. Включаем автоматическую подстройку mtu на интерфейсе Wireguard:
(config-if)> ip tcp adjust-mss pmtu6. Добавляем пира(удаленного сервера), публичный ключ(public-key) удаленного сервера:
(config-if)> wireguard peer R2xBU+IA9GYIOKM4I7nIeNFhWzHswjIYfnHCTFaI35E=7. Добавляем белый адрес(можно в формате IP адреса) удаленного Wireguard сервера, и через двоеточие, его порт:
(config-wg-peer)> endpoint example.wireguard.com:48951
тут example.wireguard.com вымышленный адрес8. Добавляем подсеть IP-адресов, на которые разрешена передача пакетов по туннелю
(config-wg-peer)> allow-ips 192.168.6.1/32
(config-wg-peer)> allow-ips 192.168.3.0/24
(config-wg-peer)> allow-ips 0.0.0.0/0
тут 192.168.6.1/32 это адрес Wireguard сервера на удаленном роутере, 192.168.3.0/24 это локальная сеть на удаленном роутере,
сеть 0.0.0.0/0 нужна для доступа в интернет9. Назначаем интервал внутренней проверки доступности Wireguard сервера:
(config-wg-peer)> keepalive-interval 25
В этом примере установлено значение 25 секунд, как рекомендуют в OpenWrt, на странице настроек KEENETIC, указано 15 секунд.
У меня клиент через 4G модем работает без проблем уже трое суток на значении 25 секунд10. Выходим из настроек пира:
(config-wg-peer)> exit11. Определяем интерфейс Wireguard0, как ведущий в глобальную сеть (в интернет):
(config-if)> ip global auto
после завершения настроек, через веб-морду зайдите в меню "Интернет" на странице "Приоритеты подключений" появится интерфейс WireGuard.
Перетащите его в начало списка, чтобы сделать основным подключением12. Запускаем Wireguard:
(config-if)> up13. Выходим из настроек интерфейса:
(config-if)> exit14. По желанию, если вам нужно разрешить соединения между интерфейсами типа private:
(config)> no isolate-private15. Проверяем состояние интерфейса Wireguard0, и копируем public-key нужный для настройки удаленного сервера
(config)> show interface Wireguard016. Сохраняем сделанные настройки при помощи команды:
(config)> system configuration save17. DNS сервера настраивайте через веб-морду, по вашему вкусу, можно назначить адрес удаленного Wireguard сервера(192.168.6.1)
18. По желанию, для возможности работы с удаленной локальной сетью, в нашем случае она 192.168.3.0/24,
для WireGuard-интерфейса нужно разрешить входящий трафик и указать статический маршрут в удаленную сеть,
подробно с картинками, написано тут: https://help.keenetic.com/hc/ru/articles/360012075879
кратко напишу ниже:
а) Откройте страницу "Межсетевой экран". Для WireGuard-интерфейса (в нашем примере это "WG-CL1) добавьте и включите разрешающее правило для IP-протокола, адрес источника и назначения "Любой"
б) Чтобы по туннелю отправлялся трафик в удаленную сеть(192.168.3.0/24), добавьте статический маршрут до сети 192.168.3.0/255.255.255.0 через интерфейс "WG-CL1"
в) Не забудьте на сервере так-же разрешить трафик в удаленную сеть(192.168.10.0/24), добавьте статический маршрут до сети 192.168.10.0/255.255.255.0 через интерфейс "WG-S"надеюсь, не допустил ошибок
- 11
-
- Popular Post
- Popular Post
На официальной странице отсутствует инфа по настройке Wireguard через CLI.
Набросал краткую инструкцию, как поднять Wireguard сервер через командную строку кинетика:SpoilerСоздаем Wireguard сервер через командную строку кинетика:
Роутер должен иметь белый адрес в интернете, чтоб на него могли подключаться клиенты.
1. Создаем интерфейс:
(config)> interface Wireguard0
ключи(private-key и public-key) автоматически генерируются при создании интерфейса2. Назначаем имя:
(config-if)> description "WG-S"3. Назначаем внутренний IP-адрес и подсеть туннеля:
(config-if)> ip address 192.168.6.1/30
в этом примере я создал подсеть /30, т.к у меня будет только один Wireguard клиент с адресом 192.168.6.2/30 (роутер на OpenWrt в деревне)
если вы планируете подключать много клиентов, можете забабахать подсеть /244. Назначаем порт, на котором будет слушать Wireguard, по умолчанию порт будет 48950, можете изменить его на любой
(config-if)> wireguard listen-port 489515. Для предоставления доступа в интернет удаленным клиентам устанавливаем уровень безопасности private:
(config-if)> security-level private6. Включаем автоматическую подстройку mtu на интерфейсе Wireguard:
(config-if)> ip tcp adjust-mss pmtu7. Добавляем пира(удаленного клиента), публичный ключ(public-key) удаленного пира:
(config-if)> wireguard peer R9xBU+IA7GYIOKM4I5nIeNFhWzHswjIYfnHCTFaI19E=8. Добавляем подсеть IP-адресов, на которые разрешена передача пакетов по туннелю
(config-wg-peer)> allow-ips 192.168.6.2/32
(config-wg-peer)> allow-ips 192.168.10.0/24
тут 192.168.6.2/32 это адрес Wireguard клиента на удаленном роутере, а 192.168.10.0/24 это локальная сеть на удаленном роутере10. Выходим из настроек пира:
(config-wg-peer)> exit11. Запускаем Wireguard:
(config-if)> up12. Выходим из настроек интерфейса:
(config-if)> exit13. Для предоставления доступа в интернет удаленным клиентам для Wireguard0 включаем автоматическую трансляцию адресов (NAT):
(config)> ip nat Wireguard014. По желанию, если вам нужно разрешить соединения между интерфейсами типа private:
(config)> no isolate-private15. Проверяем состояние интерфейса Wireguard0, и копируем public-key нужный для настройки удаленного клиента
(config)> show interface Wireguard016. Сохраняем сделанные настройки при помощи команды:
(config)> system configuration saveСегодня утром на Wireguard измерил скорость, дошла до 40 Мбит/с
Раньше на тоннеле IPsec не поднималась выше 26 Мбит/сСпасибо Le ecureuil
- 14
Как настроить тунель ShadowSocks для WireGuard?
in Вопросы по сборке и настройке Opkg
Posted · Edited by Frans
Пропустили запятую в конце строчки "method"
и рекомендую шифрование ставить "method":"rc4-md5", оно быстрее, сравнивал тут:
не к чему избыточное шифрование, трафик уже зашифрован в WG
если туннель SS будете использовать только для WG, можно включить "mode":"udp_only", WG идет только по udp