Настройка клиента Wireguard

Цитата: alex66 от 03/01/2022, 16:09Господа, подскажите как настроить клиента на Wive-NG-HQ ?
Господа, подскажите как настроить клиента на Wive-NG-HQ ?

Цитата: CHIPSET от 03/01/2022, 17:13Сейчас проверить не могу, попробую позже(если найду открытый сервер для тестов). Но в целом нужно добавить в секцию Peer следующее:
Endpoint = адрес:портТакже надо будет заменить ключи и возможно создать правила для сетевого экрана. Частично действия описывал в предыдущей теме. Остальное нужно проверить.
Сейчас проверить не могу, попробую позже(если найду открытый сервер для тестов). Но в целом нужно добавить в секцию Peer следующее:
Endpoint = адрес:порт
Также надо будет заменить ключи и возможно создать правила для сетевого экрана. Частично действия описывал в предыдущей теме. Остальное нужно проверить.

Цитата: CHIPSET от 04/01/2022, 19:26А какой у Вас тип подключения - статический, DHCP или VPN(PPPoE/L2TP/PPTP)? Я пока что добился работы с первым вариантом, осталось только понять, где маршруты прописать. Также не проверял проброс портов, если что.
А какой у Вас тип подключения - статический, DHCP или VPN(PPPoE/L2TP/PPTP)? Я пока что добился работы с первым вариантом, осталось только понять, где маршруты прописать. Также не проверял проброс портов, если что.

Цитата: alex66 от 04/01/2022, 21:00Добрый день, dhcp
Добрый день, dhcp

Цитата: CHIPSET от 04/01/2022, 21:53Ясно. Это будет несколько сложнее, особенно учитывая что у меня статика. Попробую найти маршрутизатор, что поставить перед своим. В идеале, конечно, надо попробовать всё подтянуть - VPN, проброс и IPv6. Так что это всё займёт какое-то время.
Ясно. Это будет несколько сложнее, особенно учитывая что у меня статика. Попробую найти маршрутизатор, что поставить перед своим. В идеале, конечно, надо попробовать всё подтянуть - VPN, проброс и IPv6. Так что это всё займёт какое-то время.

Цитата: CHIPSET от 05/01/2022, 05:00Посмотрел и оказалось что никаких сложностей. Т.к. прошивка сделана очень грамотно почти ничего делать не пришлось - метод получился универсальным как для статических настроек, так и для динамических. Правда маршрутизатор для 100% проверки я пока так и не нашёл, но по логике всё должно работать.
Примечание: в крайнем случае, если что-то не так, можно сделать сброс кнопкой, зажав секунд на 15.
Итак, поехали.
- Выставляем ключи. [ Сервисы - Сервер VPN - Сервер WireGuard ] - Включаем и жмём "Применить". Затем "Сгенерировать" и выше "Сохранить". Полученный архив открываем(не распаковывая) архиватором(я использовал 7-Zip), внутри открываем ещё один и прямо в нём открываем файл wg_client_public_key. Несмотря на название(я уже не стал переделывать), в нём надо заменить ключ на публичный ключ сервера. Если есть необходимость заменить личный ключ клиента, то это надо сделать в файле wg_server_private_key(опять же не зацикливаемся на названии). После изменения файлов архиватор должен 1-2 раза предложить обновить архив. Архив с обновлёнными ключами загружаем через веб-интерфейс в поле "Загрузить ключи из файла". Счётчик применения застревает на нуле, так что просто обновите страницу. После этого сервер пока что отключаем(не забываем нажать "Применить").
- Подключаемся к терминалу и проверяем ключи. Подключаемся к маршрутизатору по SSH(в поиске куча информации как это делать). Это можно сделать даже через Chrome(расширение Secure Shell). Ну или приложение вроде PuTTY. По умолчанию адрес 192.168.1.1 порт 22. Логин и пароль такие же, как в веб-интерфейсе. Пароль при вводе может не отображаться. Далее пишем команды, каждая из которых должна показать изменённый нами ключ:
cat /pss/wg_server_private_key cat /pss/wg_client_public_key- Вбиваем настройки удалённого сервера. Выполняем команды, указывая порт и реальный внешний адрес сервера(заменяем на свои):
nvram_set wireguard_endpoint 51.75.74.253 nvram_set wireguard_endpoint_port 1024- Добавляем поддержку "режима клиента". Скачиваем приложенный к сообщению архив WGC.tar.bz2 и идём в [ Администрирование - Управление ]. Раскрываем "Загрузка RW-FS" и загружаем туда этот архив. Обращаем внимание на названия меню - будьте внимательны! Примечание: после каждого обновления ПО этот пакет нужно загружать заново.
- Возвращаемся в веб-интерфейс. Идём в [ Сервер VPN ]. Ставим "Сервер WireGuard" - Включено. "Адрес клиента" выставляем в 0.0.0.0/0, если нужно весь трафик пропускать через VPN, в противном случае конкретный адрес в сети VPN(или саму сеть). В "Сетевой адрес" указываем внутренний адрес клиента. Для запуска клиента жмём "Применить".
- В случае проблем в DNS в [ Сервисы - Службы DNS ] включаем "Перенаправлять DNS на локальный сервер" и в "Список Upstream DNS" добавляем любой понравившийся DNS-сервер(например, 77.88.8.8). Жмём "Добавить" и "Применить".
Изменения:
- 0.1(04.01) Добавил Endpoint, настройки NVRAM для него, хук iptables для уточнения правила маскировки и необходимые маршруты.
- 0.2(05.01) Теперь хук только для 0.0.0.0/0 и маршруты строятся в зависимости от настройки "Адрес клиента". Метрики теперь используют переменные из global.sh Также добавляется правило маскировки при запуске сервера(т.к. при запуске сервис iptables не перезапускается). При остановке правила теперь удаляются.
- 0.3(05.01) Добавил экспериментальную поддержку VPN включая хук на ip-down, останавливающий сервис во избежание ступора при перезапуске основного туннеля.
- 0.4(07.01) Поддержка DNS. Для DHCP надо использовать $reallangw. Добавлены записи в журнал.
Посмотрел и оказалось что никаких сложностей. Т.к. прошивка сделана очень грамотно почти ничего делать не пришлось - метод получился универсальным как для статических настроек, так и для динамических. Правда маршрутизатор для 100% проверки я пока так и не нашёл, но по логике всё должно работать.
Примечание: в крайнем случае, если что-то не так, можно сделать сброс кнопкой, зажав секунд на 15.
Итак, поехали.
- Выставляем ключи. [ Сервисы - Сервер VPN - Сервер WireGuard ] - Включаем и жмём "Применить". Затем "Сгенерировать" и выше "Сохранить". Полученный архив открываем(не распаковывая) архиватором(я использовал 7-Zip), внутри открываем ещё один и прямо в нём открываем файл wg_client_public_key. Несмотря на название(я уже не стал переделывать), в нём надо заменить ключ на публичный ключ сервера. Если есть необходимость заменить личный ключ клиента, то это надо сделать в файле wg_server_private_key(опять же не зацикливаемся на названии). После изменения файлов архиватор должен 1-2 раза предложить обновить архив. Архив с обновлёнными ключами загружаем через веб-интерфейс в поле "Загрузить ключи из файла". Счётчик применения застревает на нуле, так что просто обновите страницу. После этого сервер пока что отключаем(не забываем нажать "Применить").
- Подключаемся к терминалу и проверяем ключи. Подключаемся к маршрутизатору по SSH(в поиске куча информации как это делать). Это можно сделать даже через Chrome(расширение Secure Shell). Ну или приложение вроде PuTTY. По умолчанию адрес 192.168.1.1 порт 22. Логин и пароль такие же, как в веб-интерфейсе. Пароль при вводе может не отображаться. Далее пишем команды, каждая из которых должна показать изменённый нами ключ:
cat /pss/wg_server_private_key cat /pss/wg_client_public_key
- Вбиваем настройки удалённого сервера. Выполняем команды, указывая порт и реальный внешний адрес сервера(заменяем на свои):
nvram_set wireguard_endpoint 51.75.74.253 nvram_set wireguard_endpoint_port 1024
- Добавляем поддержку "режима клиента". Скачиваем приложенный к сообщению архив WGC.tar.bz2 и идём в [ Администрирование - Управление ]. Раскрываем "Загрузка RW-FS" и загружаем туда этот архив. Обращаем внимание на названия меню - будьте внимательны! Примечание: после каждого обновления ПО этот пакет нужно загружать заново.
- Возвращаемся в веб-интерфейс. Идём в [ Сервер VPN ]. Ставим "Сервер WireGuard" - Включено. "Адрес клиента" выставляем в 0.0.0.0/0, если нужно весь трафик пропускать через VPN, в противном случае конкретный адрес в сети VPN(или саму сеть). В "Сетевой адрес" указываем внутренний адрес клиента. Для запуска клиента жмём "Применить".
- В случае проблем в DNS в [ Сервисы - Службы DNS ] включаем "Перенаправлять DNS на локальный сервер" и в "Список Upstream DNS" добавляем любой понравившийся DNS-сервер(например, 77.88.8.8). Жмём "Добавить" и "Применить".
Изменения:
- 0.1(04.01) Добавил Endpoint, настройки NVRAM для него, хук iptables для уточнения правила маскировки и необходимые маршруты.
- 0.2(05.01) Теперь хук только для 0.0.0.0/0 и маршруты строятся в зависимости от настройки "Адрес клиента". Метрики теперь используют переменные из global.sh Также добавляется правило маскировки при запуске сервера(т.к. при запуске сервис iptables не перезапускается). При остановке правила теперь удаляются.
- 0.3(05.01) Добавил экспериментальную поддержку VPN включая хук на ip-down, останавливающий сервис во избежание ступора при перезапуске основного туннеля.
- 0.4(07.01) Поддержка DNS. Для DHCP надо использовать $reallangw. Добавлены записи в журнал.
- Вам нужно войти, чтобы просматривать прикрепленные файлы..

Цитата: CHIPSET от 06/01/2022, 00:08Если что, добавил ряд важных уточнений, особенно по DNS на последнем шаге - иначе имена не разрешаются(скорее всего это актуально только при маршрутизации всего трафика через WG). Надо будет на DNS отдельные маршруты написать, чтобы в Upstream не лезть. В "Сетевой адрес" указываем внутренний адрес клиента, а не сервера. Ну и т.д.
Если что, добавил ряд важных уточнений, особенно по DNS на последнем шаге - иначе имена не разрешаются(скорее всего это актуально только при маршрутизации всего трафика через WG). Надо будет на DNS отдельные маршруты написать, чтобы в Upstream не лезть. В "Сетевой адрес" указываем внутренний адрес клиента, а не сервера. Ну и т.д.

Цитата: alex66 от 06/01/2022, 15:09Благодарю, завтра попробую настроить.
Благодарю, завтра попробую настроить.

Цитата: alex66 от 22/01/2022, 20:16Привет.
Настроил, работает.
Благодарочка)
Привет.
Настроил, работает.
Благодарочка)

Цитата: CHIPSET от 23/01/2022, 17:41Отлично. Значит можно расширять круг тестирования.
Отлично. Значит можно расширять круг тестирования.

Цитата: Nelastermonf от 24/01/2022, 10:16Было бы интересно увидеть статью по настройке выборочного vpn(wireguard) для сайтов из списка, для неграмотных. :)
Примерно так как в этой статье: https://habr.com/ru/post/428992/
Было бы интересно увидеть статью по настройке выборочного vpn(wireguard) для сайтов из списка, для неграмотных. :)
Примерно так как в этой статье: https://habr.com/ru/post/428992/

Цитата: CHIPSET от 30/01/2022, 15:27Попробую сделать на неделе, если в больницу не уеду.
Попробую сделать на неделе, если в больницу не уеду.

Цитата: CHIPSET от 08/02/2022, 03:20Цитата: Nelastermonf от 24/01/2022, 10:16Было бы интересно увидеть статью по настройке выборочного vpn(wireguard) для сайтов из списка, для неграмотных. :)
Примерно так как в этой статье: https://habr.com/ru/post/428992/
Жаль нельзя сообщение отредактировать теперь, ну да ладно.
- 0.5(08.02) Поддержка списка туннелирования. Добавил настройку wireguard_dns для перенаправления Upstream DNS в туннель. Поправил правила сетевого экрана. Прочие мелкие правки.
Чтобы добавить в список записи, перед четвёртым шагом откройте архив и также, как и ключи, отредактируйте файл wg, находящийся в папке etc. На каждую строку приходится одна запись - либо домен(wi-cat.ru), либо IP-адрес либо целая подсеть в виде CIDR(192.168.6.0/24). "Адрес клиента" выставляем в 0.0.0.0/0. Если опасаетесь подмены адресов, то вместо всяких dnscrypt я решил использовать подручные средства. Для этого нужно перед пятым пунктом выполнить шестой и дать команду:
nvram_set wireguard_dns 1Изначально хотел использовать ipget, но там, к сожалению, так и не был реализован выбор сервера.
Цитата: Nelastermonf от 24/01/2022, 10:16Было бы интересно увидеть статью по настройке выборочного vpn(wireguard) для сайтов из списка, для неграмотных. :)
Примерно так как в этой статье: https://habr.com/ru/post/428992/
Жаль нельзя сообщение отредактировать теперь, ну да ладно.
- 0.5(08.02) Поддержка списка туннелирования. Добавил настройку wireguard_dns для перенаправления Upstream DNS в туннель. Поправил правила сетевого экрана. Прочие мелкие правки.
Чтобы добавить в список записи, перед четвёртым шагом откройте архив и также, как и ключи, отредактируйте файл wg, находящийся в папке etc. На каждую строку приходится одна запись - либо домен(wi-cat.ru), либо IP-адрес либо целая подсеть в виде CIDR(192.168.6.0/24). "Адрес клиента" выставляем в 0.0.0.0/0. Если опасаетесь подмены адресов, то вместо всяких dnscrypt я решил использовать подручные средства. Для этого нужно перед пятым пунктом выполнить шестой и дать команду:
nvram_set wireguard_dns 1
Изначально хотел использовать ipget, но там, к сожалению, так и не был реализован выбор сервера.
Загруженные файлы:- Вам нужно войти, чтобы просматривать прикрепленные файлы..

Цитата: alex66 от 08/02/2022, 15:27Привет, не могу настроить для удаленного сервера, какие настройки нужно поменять? Попробовал то что описано, вешает роутер, пришлось сбрасывать.
Список брал отсюда https://antifilter.network/ip самый первый.
У меня еще включен днс адблок и динамик днс с no-ip.com может это как то влияет? Или для удаленного сервера здесь нужно чтото другое прописывать?
p.s. я прописывал "Адрес клиента" выставляем в 0.0.0.0/0 просто на скрине уже дефолт после сброса.
У меня просто почему то отпал вайфай намертво, даже не ловился, поэтому мне только скидывать оставалось, логов нет.
Привет, не могу настроить для удаленного сервера, какие настройки нужно поменять? Попробовал то что описано, вешает роутер, пришлось сбрасывать.
Список брал отсюда https://antifilter.network/ip самый первый.
У меня еще включен днс адблок и динамик днс с no-ip.com может это как то влияет? Или для удаленного сервера здесь нужно чтото другое прописывать?
p.s. я прописывал "Адрес клиента" выставляем в 0.0.0.0/0 просто на скрине уже дефолт после сброса.
У меня просто почему то отпал вайфай намертво, даже не ловился, поэтому мне только скидывать оставалось, логов нет.
Загруженные файлы:- Вам нужно войти, чтобы просматривать прикрепленные файлы..

Цитата: CHIPSET от 08/02/2022, 17:16Приветствую. Изначально список задумывался для ручного наполнения. Т.е. вписываете нужные Вам ресурсы по одному на строку. Я не интересовался, сколько маршрутов можно нарисовать в таблице маршрутизации и уж тем более, сколько адресов можно добавить в настройки Wireguard(хотя там можно и нули прописать), но при 20 тысячах возможно разумнее не использовать список вовсе, а пускать весь трафик. Ну либо наполнять только реально нужные, как описал выше. Я даже не уверен, что такой файл поместится в RWFS при загрузке. Я попробую для интереса использовать его, но всё же логичнее варианты выше.
Приветствую. Изначально список задумывался для ручного наполнения. Т.е. вписываете нужные Вам ресурсы по одному на строку. Я не интересовался, сколько маршрутов можно нарисовать в таблице маршрутизации и уж тем более, сколько адресов можно добавить в настройки Wireguard(хотя там можно и нули прописать), но при 20 тысячах возможно разумнее не использовать список вовсе, а пускать весь трафик. Ну либо наполнять только реально нужные, как описал выше. Я даже не уверен, что такой файл поместится в RWFS при загрузке. Я попробую для интереса использовать его, но всё же логичнее варианты выше.

Цитата: alex66 от 08/02/2022, 17:22Попробовал с выключеным адблоком и динамик днс тоже самое.
Т.е. основное подозрение что слишком большой список? Ок попробую со списком подсетей, он там меньше.
Попробовал с выключеным адблоком и динамик днс тоже самое.
Т.е. основное подозрение что слишком большой список? Ок попробую со списком подсетей, он там меньше.

Цитата: CHIPSET от 08/02/2022, 18:17Отключил добавление в настройки Wireguard и в правила сетевого экрана и в результате после 15 секунд добавления маршрутов вывод в SSH прекращается и маршрутизатор в скором времени перезагружается. Так что лучше не мучить железку и вписывать вручную только нужные ресурсы.
Ну или пытаться прикручивать BGP, т.к. списки нацелены на него, как я понял. Также Вас млжет заинтересовать мой вариант с OpenVPN на форуме 4PDA.
Отключил добавление в настройки Wireguard и в правила сетевого экрана и в результате после 15 секунд добавления маршрутов вывод в SSH прекращается и маршрутизатор в скором времени перезагружается. Так что лучше не мучить железку и вписывать вручную только нужные ресурсы.
Ну или пытаться прикручивать BGP, т.к. списки нацелены на него, как я понял. Также Вас млжет заинтересовать мой вариант с OpenVPN на форуме 4PDA.

Цитата: alex66 от 08/02/2022, 19:16Так, адреса свои я вписал, теперь ничего не падает, но получаю ошибку ERR_CONNECTION_TIMED_OUT в хроме когда захожу на адрес из списка, как понять где что не так? Если подключаюсь с винды через клиент wireguard все норм, сервер я настроил на удаленной впске.
Так, адреса свои я вписал, теперь ничего не падает, но получаю ошибку ERR_CONNECTION_TIMED_OUT в хроме когда захожу на адрес из списка, как понять где что не так? Если подключаюсь с винды через клиент wireguard все норм, сервер я настроил на удаленной впске.

Цитата: alex66 от 08/02/2022, 19:21Цитата: CHIPSET от 08/02/2022, 18:17Также Вас млжет заинтересовать мой вариант с OpenVPN на форуме 4PDA.
поделитесь ссылочкой пожалста
Цитата: CHIPSET от 08/02/2022, 18:17Также Вас млжет заинтересовать мой вариант с OpenVPN на форуме 4PDA.
поделитесь ссылочкой пожалста

Цитата: CHIPSET от 08/02/2022, 19:37В теме устройства.
В теме устройства.

Цитата: CHIPSET от 08/02/2022, 19:41Цитата: alex66 от 08/02/2022, 19:16но получаю ошибку
В адресе клиента нули? С DNS всё что нужно сделали? Wireguard после всего этого выключали-включали?
Цитата: alex66 от 08/02/2022, 19:16но получаю ошибку
В адресе клиента нули? С DNS всё что нужно сделали? Wireguard после всего этого выключали-включали?


Цитата: CHIPSET от 08/02/2022, 19:53Могу по TeamViewer подключиться глянуть, если напишите в личные на 4pda. Если такой возможности нет, можно здесь попробовать.
Могу по TeamViewer подключиться глянуть, если напишите в личные на 4pda. Если такой возможности нет, можно здесь попробовать.

Цитата: sfstudio от 14/02/2022, 15:53Скиньте на sfstudio[at]wi-cat.ru wan mac и ip, переключу на тестовую ветку. Накидал там sceleton под wg клиента. Что бы вот тот бедлам у вас в пакете поуменьшить + необходимые проверки перед подъёмом.
Т.е. пакет нужно будет переделать. В init.d непосредственно теперь нет смысла что-то вносить, можно всё делать через /etc/wg*.d
Заодно просьба проверить не сломал ли серверную часть.
Скиньте на sfstudio[at]wi-cat.ru wan mac и ip, переключу на тестовую ветку. Накидал там sceleton под wg клиента. Что бы вот тот бедлам у вас в пакете поуменьшить + необходимые проверки перед подъёмом.
Т.е. пакет нужно будет переделать. В init.d непосредственно теперь нет смысла что-то вносить, можно всё делать через /etc/wg*.d
Заодно просьба проверить не сломал ли серверную часть.

Цитата: CHIPSET от 14/02/2022, 22:34Скинул. Этот бедлам изначально и задумывался, в смысле потому я и обозначил пакет версией 0.х. Так сказать минимально необходимые изменения для поиска решений и проверок возможностей. А ещё это лишь вторая попытка в жизни значительного вмешательства в Bash скрипт, но опыт интересный, потому продолжаю.
Переделывать готов. Насчёт init.d не знаю, т.к. мой "хитрый" механизм с Upstream предполагал с одной команды "start"один служебный запуск и один рабочий(с правильно разрешёнными доменными именами через служебный). Хотя это было сделано в стиле "всё по правильному" - чтобы прописать их в "Allowed IPs". Ну можно наверно и забить и прописать туда нули, а маршруты заменить на ходу. В общем сперва надо увидеть как теперь всё устроено.
Серверную часть я так и не проверял, добровольцев нет. Обойдусь тогда телефоном с мобильным интернетом, думаю для проверки подойдёт.
Скинул. Этот бедлам изначально и задумывался, в смысле потому я и обозначил пакет версией 0.х. Так сказать минимально необходимые изменения для поиска решений и проверок возможностей. А ещё это лишь вторая попытка в жизни значительного вмешательства в Bash скрипт, но опыт интересный, потому продолжаю.
Переделывать готов. Насчёт init.d не знаю, т.к. мой "хитрый" механизм с Upstream предполагал с одной команды "start"один служебный запуск и один рабочий(с правильно разрешёнными доменными именами через служебный). Хотя это было сделано в стиле "всё по правильному" - чтобы прописать их в "Allowed IPs". Ну можно наверно и забить и прописать туда нули, а маршруты заменить на ходу. В общем сперва надо увидеть как теперь всё устроено.
Серверную часть я так и не проверял, добровольцев нет. Обойдусь тогда телефоном с мобильным интернетом, думаю для проверки подойдёт.

Цитата: CHIPSET от 26/03/2022, 02:56
- Версия 0.6 (29.03) В связи с частичной реализацией клиента в ПО всё допиливание маршрутизации и DNS перенесено в специализированные хуки. Для маршрутов на локальные DNS теперь используется только resolvipv4.conf, чтобы не переписывать аналогичные маршруты из VPN. Также для них теперь всегда используется $reallangw. Добавлена проверка наличия Upstream DNS сервера и включения соответствующей опции NVRAM перед разрешением имени из списка(в противном случае напрямую через ipget). Использование новой метрики $wgmetric. Добавлен перезапуск сервиса iptables. Сервер для разрешения имён из списка теперь указывается через wireguard_diffsrv. А маршруты на DNS создаётся только при включённой wireguard_dns.
- !!! Необходимо ПО версий 4.3-4.4 и выше. Желательно последнее. !!!
- Примечание: в крайнем случае, если что-то не так, можно сделать сброс кнопкой, зажав секунд на 15.
- Подключаемся к терминалу и прописываем ключи. Подключаемся к маршрутизатору по SSH(в поиске куча информации как это делать). Это можно сделать даже через Chrome(расширение Secure Shell). Ну или приложение вроде PuTTY. По умолчанию адрес 192.168.1.1 порт 22. Логин и пароль такие же, как в веб-интерфейсе. Пароль при вводе может не отображаться. Далее прописываем личный ключ клиента. Для этого выполняем команду:
vi /pss/wg_cli_client_private_keyНажимаем букву i (после нажатия она отобразится в левом нижнем углу) и вставляем туда ключ(обычно нажатием правой кнопки). После этого жмём по очереди - ESC, двоеточие, W, Q и Enter. Таким же образом прописываем публичный ключ сервера:
vi /pss/wg_cli_client_public_keyИ сохраняем их:
fs saveps- Скачиваем пакет, приложенный к сообщению. Если нужно заворачивать в туннель не весь трафик, а только к конкретным адресам/подсетям/доменам, то откройте его(не распаковывая) архиватором(я использовал 7-Zip), внутри откройте ещё один и прямо в нём открываем файл wg, находящийся в папке etc. На каждую строку приходится одна запись - либо домен(wi-cat.ru), либо IP-адрес либо целая подсеть в виде CIDR(192.168.6.0/24). После изменения файла архиватор должен 1-2 раза предложить обновить его. Идём в [ Администрирование - Управление ]. Раскрываем "Загрузка RW-FS" и загружаем туда этот пакет. Обращаем внимание на названия меню - будьте внимательны! В дальнейшем можно редактировать этот список таким же способом как и ключи, но командой:
vi /etc/wgСохранение в таком случае производится командой:
fs saveЕсли домены из списка нужно разрешать через туннель, то выполняем пятый пункт. Также все адреса DNS-серверов в таком случае нужно добавлять в список(файл wg). После чего выполняем указывая адрес DNS сервера:
nvram_set wireguard_diffsrv 77.88.8.8Если DNS-сервера маршрутизатора(не Upstream) нужно пускать в обход туннеля(допустим нужны для разрешения имени VPN-сервера на доступе), то выполняем:
nvram_set wireguard_dns 1Примечание: после каждого обновления ПО этот пакет нужно загружать заново.
- Производим настройку. Выполняем команды по одной, указывая свои значения. Адрес и порт сервера:
nvram_set wireguard_cli_endpoint 51.51.51.51 nvram_set wireguard_cli_endpoint_port 5151И адрес клиента:
nvram_set wireguard_cli_netaddress 192.168.6.155/32- Включаем и запускаем клиент:
nvram_set wireguard_cli_enabled 1 service wireguard start- Желательно(в случае проблем, особенно при VPN на доступе[PPPoE/L2TP/PPTP]). Идём в [ Сервисы - Службы DNS ] включаем "Перенаправлять DNS на локальный сервер" и в "Список Upstream DNS" добавляем любой понравившийся DNS-сервер(например, 77.88.8.8). Жмём "Добавить" и "Применить".
- Версия 0.6 (29.03) В связи с частичной реализацией клиента в ПО всё допиливание маршрутизации и DNS перенесено в специализированные хуки. Для маршрутов на локальные DNS теперь используется только resolvipv4.conf, чтобы не переписывать аналогичные маршруты из VPN. Также для них теперь всегда используется $reallangw. Добавлена проверка наличия Upstream DNS сервера и включения соответствующей опции NVRAM перед разрешением имени из списка(в противном случае напрямую через ipget). Использование новой метрики $wgmetric. Добавлен перезапуск сервиса iptables. Сервер для разрешения имён из списка теперь указывается через wireguard_diffsrv. А маршруты на DNS создаётся только при включённой wireguard_dns.
- !!! Необходимо ПО версий 4.3-4.4 и выше. Желательно последнее. !!!
- Примечание: в крайнем случае, если что-то не так, можно сделать сброс кнопкой, зажав секунд на 15.
- Подключаемся к терминалу и прописываем ключи. Подключаемся к маршрутизатору по SSH(в поиске куча информации как это делать). Это можно сделать даже через Chrome(расширение Secure Shell). Ну или приложение вроде PuTTY. По умолчанию адрес 192.168.1.1 порт 22. Логин и пароль такие же, как в веб-интерфейсе. Пароль при вводе может не отображаться. Далее прописываем личный ключ клиента. Для этого выполняем команду:
vi /pss/wg_cli_client_private_key
Нажимаем букву i (после нажатия она отобразится в левом нижнем углу) и вставляем туда ключ(обычно нажатием правой кнопки). После этого жмём по очереди - ESC, двоеточие, W, Q и Enter. Таким же образом прописываем публичный ключ сервера:
vi /pss/wg_cli_client_public_key
И сохраняем их:
fs saveps
- Скачиваем пакет, приложенный к сообщению. Если нужно заворачивать в туннель не весь трафик, а только к конкретным адресам/подсетям/доменам, то откройте его(не распаковывая) архиватором(я использовал 7-Zip), внутри откройте ещё один и прямо в нём открываем файл wg, находящийся в папке etc. На каждую строку приходится одна запись - либо домен(wi-cat.ru), либо IP-адрес либо целая подсеть в виде CIDR(192.168.6.0/24). После изменения файла архиватор должен 1-2 раза предложить обновить его. Идём в [ Администрирование - Управление ]. Раскрываем "Загрузка RW-FS" и загружаем туда этот пакет. Обращаем внимание на названия меню - будьте внимательны! В дальнейшем можно редактировать этот список таким же способом как и ключи, но командой:
vi /etc/wg
Сохранение в таком случае производится командой:
fs save
Если домены из списка нужно разрешать через туннель, то выполняем пятый пункт. Также все адреса DNS-серверов в таком случае нужно добавлять в список(файл wg). После чего выполняем указывая адрес DNS сервера:
nvram_set wireguard_diffsrv 77.88.8.8
Если DNS-сервера маршрутизатора(не Upstream) нужно пускать в обход туннеля(допустим нужны для разрешения имени VPN-сервера на доступе), то выполняем:
nvram_set wireguard_dns 1
Примечание: после каждого обновления ПО этот пакет нужно загружать заново.
- Производим настройку. Выполняем команды по одной, указывая свои значения. Адрес и порт сервера:
nvram_set wireguard_cli_endpoint 51.51.51.51 nvram_set wireguard_cli_endpoint_port 5151
И адрес клиента:
nvram_set wireguard_cli_netaddress 192.168.6.155/32
- Включаем и запускаем клиент:
nvram_set wireguard_cli_enabled 1 service wireguard start
- Желательно(в случае проблем, особенно при VPN на доступе[PPPoE/L2TP/PPTP]). Идём в [ Сервисы - Службы DNS ] включаем "Перенаправлять DNS на локальный сервер" и в "Список Upstream DNS" добавляем любой понравившийся DNS-сервер(например, 77.88.8.8). Жмём "Добавить" и "Применить".
- Вам нужно войти, чтобы просматривать прикрепленные файлы..

Цитата: ganin от 27/03/2022, 11:12Огромное спасибо! все работает
обязательно прописывайте upstream dns в настройках роутера(Сервисы - Службы DNS ), даже если оставляете файл /etc/wg пустым, и планируете весь трафик пускать через тоннель
Огромное спасибо! все работает
обязательно прописывайте upstream dns в настройках роутера(Сервисы - Службы DNS ), даже если оставляете файл /etc/wg пустым, и планируете весь трафик пускать через тоннель

Цитата: CHIPSET от 29/03/2022, 22:43Спасибо за тестирование. Инструкцию обновил. Также внёс некоторые изменения касательно DNS, но обновляться не требуется.
Спасибо за тестирование. Инструкцию обновил. Также внёс некоторые изменения касательно DNS, но обновляться не требуется.

Цитата: jaaah_FT-G от 30/03/2022, 18:32Цитата: CHIPSET от 26/03/2022, 02:56
- Версия 0.6 (29.03) В связи с частичной реализацией клиента в ПО ..............
- ... Если нужно заворачивать в туннель не весь трафик, а только к конкретным адресам/подсетям/доменам, то откройте его(не распаковывая) архиватором(я использовал 7-Zip), внутри откройте ещё один и прямо в нём открываем файл wg, находящийся в папке etc. На каждую строку приходится одна запись - либо домен(wi-cat.ru), либо IP-адрес либо целая подсеть
Прошу прощения) , имеется у меня (как пример) конфиг wg с одного известного ресурса
[spoiler title=" вот такой wg.conf "]
[Interface] Address = 10.8.18.84/32 DNS = 1.1.1.1, 1.0.0.1 PrivateKey = XXXXXXXXXX [Peer] PublicKey = XXXXXXXXXX PresharedKey = XXXXXXXXXX AllowedIPs = 1.1.1.0/24,1.0.0.0/24,31.13.0.0/16,157.240.0.0/16,108.174.0.0/16,69.63.0.0/16,66.220.144.0/20,179.60.192.0/22,103.4.96.0/22,45.64.40.0/22,204.15.20.0/22,74.119.76.0/22,185.60.216.0/22,185.89.216.0/22,102.132.96.0/20,147.75.208.0/20,69.171.224.0/19,173.252.64.0/18,91.225.248.0/24,185.63.144.0/24,108.174.0.0/16,13.104.0.0/14,179.43.149.0/24,217.195.153.0/24,91.211.91.0/24,104.244.42.0/24,104.244.42.0/24,151.101.0.0/16,172.66.41.0/24,172.66.42.0/24,91.227.34.0/24,151.115.45.0/24,163.172.74.0/24,88.212.244.0/24,151.115.46.0/23,151.115.57.0/24,88.212.240.0/24,185.137.235.0/24,185.71.67.0/24,23.53.52.0/24,2.19.183.0/24,104.75.59.0/24,2.21.200.0/24,104.18.36.0/24,104.18.37.0/24,65.9.96.0/24,65.9.47.0/24,104.75.52.0/24,212.58.249.0/24,151.101.0.0/24,13.32.43.0/24,104.92.86.0/24,52.222.236.0/24,104.89.20.0/24,52.222.236.0/24,104.90.150.0/24,143.204.98.0/24,143.204.98.0/24,18.64.103.0/24,185.70.40.0/23,18.195.178.0/24,54.93.56.0/24,35.159.24.0/24,3.127.229.0/24 Endpoint = 5.61.37.22:51820 PersistentKeepalive = 25[/spoiler]
Не очень понял как импортировать параметры имеющегося конфига в ваш пакет ?
[spoiler title=" В 7-zip хватает ума открыть, но что дальше делать не понимаю)) "]
[/spoiler]
@chipset , @ganin
помогите пожалуйста в конфигурации wg-клиента на основе вышепредставленного примера wg.conf .
Цитата: CHIPSET от 26/03/2022, 02:56
- Версия 0.6 (29.03) В связи с частичной реализацией клиента в ПО ..............
- ... Если нужно заворачивать в туннель не весь трафик, а только к конкретным адресам/подсетям/доменам, то откройте его(не распаковывая) архиватором(я использовал 7-Zip), внутри откройте ещё один и прямо в нём открываем файл wg, находящийся в папке etc. На каждую строку приходится одна запись - либо домен(wi-cat.ru), либо IP-адрес либо целая подсеть
Прошу прощения) , имеется у меня (как пример) конфиг wg с одного известного ресурса
Не очень понял как импортировать параметры имеющегося конфига в ваш пакет ?
@chipset , @ganin
помогите пожалуйста в конфигурации wg-клиента на основе вышепредставленного примера wg.conf .

Цитата: CHIPSET от 30/03/2022, 21:58Жмёте по файлу wg дважды и открываете блокнотом. У Вас в конфигурации есть параметр AllowedIPs со списком подсетей разделённым запятыми. Каждую надо вписать на отдельную строку. Т.е.:
1.1.1.0/24 1.0.0.0/24И т.д. После чего закрываете блокнот, подтверждая изменения. Также и с архиватором. Далее по инструкции.
З.Ы. Я надеюсь Вы проверили эту конфигурация на каком-нибудь другом устройстве?
Жмёте по файлу wg дважды и открываете блокнотом. У Вас в конфигурации есть параметр AllowedIPs со списком подсетей разделённым запятыми. Каждую надо вписать на отдельную строку. Т.е.:
1.1.1.0/24 1.0.0.0/24
И т.д. После чего закрываете блокнот, подтверждая изменения. Также и с архиватором. Далее по инструкции.
З.Ы. Я надеюсь Вы проверили эту конфигурация на каком-нибудь другом устройстве?

Цитата: jaaah_FT-G от 31/03/2022, 20:28Цитата: CHIPSET от 30/03/2022, 21:58Я надеюсь Вы проверили эту конфигурация на каком-нибудь другом устройстве?Да, проверял на винде с wg-клиентом(с сайта wg). Конфиг (был) рабочий (сейчас ключи из поста выше удалил).На роутере пока не ставил, но позже потестирую, отпишусь.
Цитата: CHIPSET от 30/03/2022, 21:58Я надеюсь Вы проверили эту конфигурация на каком-нибудь другом устройстве?