Jump to content

Версия 2.16.D.7.0-0 Wireguard


Explosive

Recommended Posts

На Keenetic 4G III обновил прошивку, установил Wireguard, но во вкладке "Другие подключения нет его", на Giga все отображается.

Кстати, если установить OpenVPN на Keenetic 4G то тоже в списке его нет.

Screenshot_2020-10-23 Keenetic 4G III – Другие подключения.png

Screenshot_2020-10-23 Keenetic 4G III – Общие настройки системы.png

Link to comment
Share on other sites

13 минуты назад, Explosive сказал:

На Keenetic 4G III обновил прошивку, установил Wireguard, но во вкладке "Другие подключения нет его", на Giga все отображается.

Кстати, если установить OpenVPN на Keenetic 4G то тоже в списке его нет.

Screenshot_2020-10-23 Keenetic 4G III – Другие подключения.png

Screenshot_2020-10-23 Keenetic 4G III – Общие настройки системы.png

Версия 2.16.D.7.0-0:

  • Wireguard: бэкпорт из 3.5 (только cli-версия)
Link to comment
Share on other sites

13 минуты назад, Explosive сказал:

На Keenetic 4G III обновил прошивку, установил Wireguard, но во вкладке "Другие подключения нет его", на Giga все отображается.

Кстати, если установить OpenVPN на Keenetic 4G то тоже в списке его нет.

Screenshot_2020-10-23 Keenetic 4G III – Другие подключения.png

Screenshot_2020-10-23 Keenetic 4G III – Общие настройки системы.png

Читайте внимательно changelog, настройка wg только через cli

Link to comment
Share on other sites

1 hour ago, r13 said:

Читайте внимательно changelog, настройка wg только через cli

Спасибо за уточнение. Тогда может чтобы не было путаницы стоит исправить на "настройка через CLI", а то мышинально "cli-версия" воспринимается как client. Планируется ли вытащить настройку в интерфейс? Роутер находитя далеко и нет возможности приехать туда для настройки Wireguard или хотя бы разрешить SSH через интернет.

Edited by Explosive
Link to comment
Share on other sites

2 часа назад, Explosive сказал:

Спасибо за уточнение. Тогда может чтобы не было путаницы стоит исправить на "настройка через CLI", а то мышинально "cli-версия" воспринимается как client. Планируется ли вытащить настройку в интерфейс? Роутер находитя далеко и нет возможности приехать туда для настройки Wireguard или хотя бы разрешить SSH через интернет.

Я через web cli настроил,

Заходим на вебморду, страница /a

Минимальный конфиг для клиента:

Скрытый текст

interface Wireguard0
interface Wireguard0    ip address {ip mask}
interface Wireguard0    ip mtu 1420
interface Wireguard0    ip global {priority}
interface Wireguard0    ip tcp adjust-mss pmtu
interface Wireguard0    wireguard peer {public key}
interface Wireguard0    wireguard peer {public key}        endpoint {ip:port}
interface Wireguard0    wireguard peer {public key}        keepalive-interval 25
interface Wireguard0    wireguard peer {public key}        allow-ips 0.0.0.0 0.0.0.0

 

 

  • Thanks 1
Link to comment
Share on other sites

4 часа назад, Explosive сказал:

Планируется ли вытащить настройку в интерфейс? Роутер находитя далеко и нет возможности приехать туда для настройки Wireguard или хотя бы разрешить SSH через интернет.

Нет. @Le ecureuilне занимается вебом. Либо ssh, либо в web же добавить в строке браузера после IP адреса роутера /a

Link to comment
Share on other sites

5 часов назад, r13 сказал:

@Le ecureuilКстати в вебе есть загрузка из файла, эту функцию как то чере cli можно дернуть? или rci?

В 3.x это сделано через парсинг конфига регуляркой и уже дальше командами, потому на уровне cli нет работы с конфигом.

  • Thanks 2
Link to comment
Share on other sites

9 часов назад, Frans сказал:

Набросал краткую инструкцию

вот такие инструкции должны быть к любой фичи на роутере. даже я все понял. а понимаю я редко. спасибо.

Link to comment
Share on other sites

В 24.10.2020 в 12:28, Frans сказал:

Набросал краткую инструкцию

А вас не сильно затруднит дополнить инструкцию по подключению в качестве пира?

Edited by Gp21
Link to comment
Share on other sites

Подскажите, пожалуйста, при доступе через /a как мне потом:

1. Продолжить если я на каком-то моменте прервал?

2. Если например была команда с неверными параметрами, например allow-ips 192.168.111.111/32 ну или любая другая?

3. Как отключить WG или очистить все настройки?

4. Где посмотреть настройки потом по SSH?

Link to comment
Share on other sites

3 hours ago, Explosive said:

1. Продолжить если я на каком-то моменте прервал?

Войти в настройки интерфейса (config-if)  можно так: (config)> interface Wireguard0
Войти в настройки пира (config-wg-peer) можно так, в конце введя (public-key) удаленного пира:
(config)> interface Wireguard0 wireguard peer R2xBU+IA9GYIOKM4I7nIeNFhWzHswjIYfnHCTFaI35E=
Команду можно выполнить из основного меню (config), не заходя в настройки, одной строкой:
(config)> interface Wireguard0 wireguard peer R2xBU+IA9GYIOKM4I7nIeNFhWzHswjIYfnHCTFaI35E= no allow-ips 192.168.111.111/32

 

3 hours ago, Explosive said:

2. Если например была команда с неверными параметрами, например allow-ips 192.168.111.111/32 ну или любая другая?

Неверные параметры можно удалить командой, добавив перед ней (no): (config-wg-peer)> no allow-ips 192.168.111.111/32

 

3 hours ago, Explosive said:

3. Как отключить WG или очистить все настройки?

Отключить: (config)> interface Wireguard0 down
Удалить: (config)> no interface Wireguard0
при удалении очищаются настройки Wireguard, но остаются не связанные с ним настройки, такие как
no isolate-private
ip nat Wireguard0
их можно удалить командой, добавив перед ней (no) или удалив, как в случае с (no isolate-private)

 

3 hours ago, Explosive said:

4. Где посмотреть настройки потом по SSH?

(config)> show interface Wireguard0

  • Thanks 2
Link to comment
Share on other sites

В 01.11.2020 в 21:11, Le ecureuil сказал:

Как миниум один пользователь G2 сообщил о падениях при работе wg. Кто еще подобное наблюдает?

У меня один раз гига2 ребутнулась при множественных прогонах iperf через туннель, но более не повторялось.

Прокачал через туннель 40Гб на максимальной скорости все ок, продолжает работать

  • Thanks 1
Link to comment
Share on other sites

  • 2 weeks later...
  • 3 weeks later...
  • 3 weeks later...

Сложилось ощущение, что wireguard на Keenetic 4G III с 2.16.D.9.0-1 игнорирует keepalive. Стоит 15 секунд с обеих сторон, endpint был заведомо недоступен несколько часов, однако не произошло переключения на другое подключение по порядку приоритетов.

Очень-очень не хватает принудительного выбора исходящего интерфейса при настройке WG.

Как задать в NAT исключение хотя бы для локальной сети при настроенном доступе к интернету через WG? Сейчас интернет работает, но натится совсем всё.

Схема: 192.168.2.1/24-(10.10.10.2/32-10.10.10.1/32)-192.168.1.1/24.

Пинг от 192.168.2.20 к 192.168.1.100 натится так, что пакеты приходят с 192.168.1.1. В обратную сторону разумеется ничего не работает.

Поэтому приходится держать ещё один тоннель для межсетевого траффика.

Link to comment
Share on other sites

6 часов назад, Xenos_rus сказал:

Сложилось ощущение, что wireguard на Keenetic 4G III с 2.16.D.9.0-1 игнорирует keepalive. Стоит 15 секунд с обеих сторон.....

Рекомендуется на стороне WG-сервера вообще ничего не прописывать  в поле "Проверка активности", а на стороне WG-клиента достаточно 8-10 секунд

Screenshot_1.jpg

Edited by stefbarinov
Link to comment
Share on other sites

59 minutes ago, stefbarinov said:

а на стороне WG-клиента достаточно 8-10 секунд

Не совсем понимаю как настройка сервера влияет на поведение клиента. В моём случае клиент вообще не заметил, что сервер стал недоступен и продолжал считать подключение живым.

Link to comment
Share on other sites

23 минуты назад, Xenos_rus сказал:

Не совсем понимаю как настройка сервера влияет на поведение клиента. В моём случае клиент вообще не заметил, что сервер стал недоступен и продолжал считать подключение живым.

Попробуйте пингчек включить для этого интерфейса

Link to comment
Share on other sites

3 minutes ago, r13 said:

Попробуйте пингчек включить для этого интерфейса

Подскажите, как это можно сделать на интерфейсе wireguard? В вебморде нет такого, перерыл документацию на CLI - тоже не нашёл.

Link to comment
Share on other sites

2 минуты назад, Xenos_rus сказал:

Подскажите, как это можно сделать на интерфейсе wireguard? В вебморде нет такого, перерыл документацию на CLI - тоже не нашёл.

Да через cli.

Что-то вроде этого:

interface Wireguard0 ping-check profile default

Edited by r13
  • Thanks 1
Link to comment
Share on other sites

7 minutes ago, r13 said:

interface Wireguard0 ping-check profile default

Спасибо. Сделал, понаблюдаю.

Но вообще было бы неплохо, чтобы стабильно работал предусмотренный протоколом механизм keepalive...

Link to comment
Share on other sites

14 минуты назад, Xenos_rus сказал:

Спасибо. Сделал, понаблюдаю.

Но вообще было бы неплохо, чтобы стабильно работал предусмотренный протоколом механизм keepalive...

Keepalive и работает, посто он для другого в  wireguard реализован.

WG stateless и у него просто нет состояния подключено или нет. А keepalive в нем нужен для случая если одна из сторон за nat и нужно поддерживать дырку в этом nat. 

https://www.wireguard.com/protocol/

  • Thanks 1
Link to comment
Share on other sites

1 minute ago, r13 said:

Keepalive и работает, посто он для другого в  wireguard реализован.

Спасибо за разъяснение.

У меня есть другие пары роутеров, все на актуальной линейке 3.х и там при отвале "сервера" клиент нормально переключает соединение на следующее с меньшим приоритетом. Косвенное проявление - состояние из зелёной точки меняется на серую, статус меняется на "Нет соединения".

А на легаси ветке 2.х этого не происходит - соединение продолжает считаться живым, переключения не происходит. Хочу понять почему и как добиться такого же поведения.

Link to comment
Share on other sites

4 минуты назад, Xenos_rus сказал:

А на легаси ветке 2.х этого не происходит - соединение продолжает считаться живым, переключения не происходит. Хочу понять почему и как добиться такого же поведения.

Ну на легаси только @Le ecureuil

Расскажет как там все устроено.

Link to comment
Share on other sites

2 часа назад, Xenos_rus сказал:

Спасибо за разъяснение.

У меня есть другие пары роутеров, все на актуальной линейке 3.х и там при отвале "сервера" клиент нормально переключает соединение на следующее с меньшим приоритетом. Косвенное проявление - состояние из зелёной точки меняется на серую, статус меняется на "Нет соединения".

А на легаси ветке 2.х этого не происходит - соединение продолжает считаться живым, переключения не происходит. Хочу понять почему и как добиться такого же поведения.

А покажите self-test в момент, когда якобы нет связи, но пир светится зеленым.
Причем лучше снять парочку, с интервалом строго в 1 минуту, чтобы было понятнее.

Link to comment
Share on other sites

2 hours ago, Le ecureuil said:

А покажите self-test в момент, когда якобы нет связи, но пир светится зеленым.

Подскажите, как убрать ping-check profile default с интерфейса wireguard без его пересоздания?

Потому что после его добавления в принципе работает: PingCheck::Profile: interface Wireguard0 connection check failed и активным стало следующее подключение.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...