Цитата: CHIPSET от 03/01/2022, 17:13

Сейчас проверить не могу, попробую позже(если найду открытый сервер для тестов). Но в целом нужно добавить в секцию Peer следующее:

Endpoint = адрес:порт

Также надо будет заменить ключи и возможно создать правила для сетевого экрана. Частично действия описывал в предыдущей теме. Остальное нужно проверить.

Цитата: CHIPSET от 04/01/2022, 19:26

А какой у Вас тип подключения - статический, DHCP или VPN(PPPoE/L2TP/PPTP)? Я пока что добился работы с первым вариантом, осталось только понять, где маршруты прописать. Также не проверял проброс портов, если что.

Цитата: alex66 от 04/01/2022, 21:00

Добрый день, dhcp

Цитата: CHIPSET от 04/01/2022, 21:53

Ясно. Это будет несколько сложнее, особенно учитывая что у меня статика. Попробую найти маршрутизатор, что поставить перед своим. В идеале, конечно, надо попробовать всё подтянуть - VPN, проброс и IPv6. Так что это всё займёт какое-то время.

Цитата: CHIPSET от 05/01/2022, 05:00

Посмотрел и оказалось что никаких сложностей. Т.к. прошивка сделана очень грамотно почти ничего делать не пришлось - метод получился универсальным как для статических настроек, так и для динамических. Правда маршрутизатор для 100% проверки я пока так и не нашёл, но по логике всё должно работать.

Примечание: в крайнем случае, если что-то не так, можно сделать сброс кнопкой, зажав секунд на 15.

Итак, поехали.

1. Выставляем ключи. [ Сервисы - Сервер VPN - Сервер WireGuard ] - Включаем и жмём "Применить". Затем "Сгенерировать" и выше "Сохранить". Полученный архив открываем(не распаковывая) архиватором(я использовал 7-Zip), внутри открываем ещё один и прямо в нём открываем файл wg_client_public_key. Несмотря на название(я уже не стал переделывать), в нём надо заменить ключ на публичный ключ сервера. Если есть необходимость заменить личный ключ клиента, то это надо сделать в файле wg_server_private_key(опять же не зацикливаемся на названии). После изменения файлов архиватор должен 1-2 раза предложить обновить архив. Архив с обновлёнными ключами загружаем через веб-интерфейс в поле "Загрузить ключи из файла". Счётчик применения застревает на нуле, так что просто обновите страницу. После этого сервер пока что отключаем(не забываем нажать "Применить").
2. Подключаемся к терминалу и проверяем ключи. Подключаемся к маршрутизатору по SSH(в поиске куча информации как это делать). Это можно сделать даже через Chrome(расширение Secure Shell). Ну или приложение вроде PuTTY. По умолчанию адрес 192.168.1.1 порт 22. Логин и пароль такие же, как в веб-интерфейсе. Пароль при вводе может не отображаться. Далее пишем команды, каждая из которых должна показать изменённый нами ключ:

   cat /pss/wg_server_private_key
   cat /pss/wg_client_public_key

3. Вбиваем настройки удалённого сервера. Выполняем команды, указывая порт и реальный внешний адрес сервера(заменяем на свои):

   nvram_set wireguard_endpoint 51.75.74.253
   nvram_set wireguard_endpoint_port 1024

4. Добавляем поддержку "режима клиента". Скачиваем приложенный к сообщению архив WGC.tar.bz2 и идём в [ Администрирование - Управление ]. Раскрываем "Загрузка RW-FS" и загружаем туда этот архив. Обращаем внимание на названия меню - будьте внимательны! Примечание: после каждого обновления ПО этот пакет нужно загружать заново.
5. Возвращаемся в веб-интерфейс.  Идём в [ Сервер VPN ]. Ставим "Сервер WireGuard" - Включено. "Адрес клиента" выставляем в 0.0.0.0/0, если нужно весь трафик пропускать через VPN, в противном случае конкретный адрес в сети VPN(или саму сеть). В "Сетевой адрес" указываем внутренний адрес клиента. Для запуска клиента жмём "Применить".
6. В случае проблем в DNS в [ Сервисы - Службы DNS ] включаем "Перенаправлять DNS на локальный сервер" и в "Список Upstream DNS" добавляем любой понравившийся DNS-сервер(например, 77.88.8.8). Жмём "Добавить" и "Применить".

Изменения:

• 0.1(04.01) Добавил Endpoint, настройки NVRAM для него, хук iptables для уточнения правила маскировки и необходимые маршруты.
• 0.2(05.01) Теперь хук только для 0.0.0.0/0 и маршруты строятся в зависимости от настройки "Адрес клиента". Метрики теперь используют переменные из global.sh Также добавляется правило маскировки при запуске сервера(т.к. при запуске сервис iptables не перезапускается). При остановке правила теперь удаляются.
• 0.3(05.01) Добавил экспериментальную поддержку VPN включая хук на ip-down, останавливающий сервис во избежание ступора при перезапуске основного туннеля.
• 0.4(07.01) Поддержка DNS. Для DHCP надо использовать $reallangw. Добавлены записи в журнал.

Цитата: CHIPSET от 06/01/2022, 00:08

Если что, добавил ряд важных уточнений, особенно по DNS на последнем шаге - иначе имена не разрешаются(скорее всего это актуально только при маршрутизации всего трафика через WG). Надо будет на DNS отдельные маршруты написать, чтобы в Upstream не лезть. В "Сетевой адрес" указываем внутренний адрес клиента, а не сервера. Ну и т.д.

Цитата: alex66 от 06/01/2022, 15:09

Благодарю, завтра попробую настроить.

Цитата: alex66 от 22/01/2022, 20:16

Привет.

Настроил, работает.

Благодарочка)

Цитата: CHIPSET от 23/01/2022, 17:41

Отлично. Значит можно расширять круг тестирования.

Цитата: Nelastermonf от 24/01/2022, 10:16

Было бы интересно увидеть статью по настройке выборочного vpn(wireguard) для сайтов из списка, для неграмотных. :)

Примерно так как в этой статье: https://habr.com/ru/post/428992/

Цитата: CHIPSET от 30/01/2022, 15:27

Попробую сделать на неделе, если в больницу не уеду.

Цитата: CHIPSET от 08/02/2022, 03:20

Цитата: Nelastermonf от 24/01/2022, 10:16

Было бы интересно увидеть статью по настройке выборочного vpn(wireguard) для сайтов из списка, для неграмотных. :)

Примерно так как в этой статье: https://habr.com/ru/post/428992/

Жаль нельзя сообщение отредактировать теперь, ну да ладно.

• 0.5(08.02) Поддержка списка туннелирования. Добавил настройку wireguard_dns для перенаправления Upstream DNS в туннель. Поправил правила сетевого экрана. Прочие мелкие правки.

Чтобы добавить в список записи, перед четвёртым шагом откройте архив и также, как и ключи, отредактируйте файл wg, находящийся в папке etc. На каждую строку приходится одна запись - либо домен(wi-cat.ru), либо IP-адрес либо целая подсеть в виде CIDR(192.168.6.0/24). "Адрес клиента" выставляем в 0.0.0.0/0. Если опасаетесь подмены адресов, то вместо всяких dnscrypt я решил использовать подручные средства. Для этого нужно перед пятым пунктом выполнить шестой и дать команду:

nvram_set wireguard_dns 1

Изначально хотел использовать ipget, но там, к сожалению, так и не был реализован выбор сервера.

Цитата: alex66 от 08/02/2022, 15:27

Привет, не могу настроить для удаленного сервера, какие настройки нужно поменять? Попробовал то что описано, вешает роутер, пришлось сбрасывать.

Список брал отсюда https://antifilter.network/ip самый первый.

У меня еще включен днс адблок и динамик днс с no-ip.com может это как то влияет? Или для удаленного сервера здесь нужно чтото другое прописывать?

p.s. я прописывал "Адрес клиента" выставляем в 0.0.0.0/0 просто на скрине уже дефолт после сброса.

У меня просто почему то отпал вайфай намертво, даже не ловился, поэтому мне только скидывать оставалось, логов нет.

Цитата: CHIPSET от 08/02/2022, 17:16

Приветствую. Изначально список задумывался для ручного наполнения. Т.е. вписываете нужные Вам ресурсы по одному на строку. Я не интересовался, сколько маршрутов можно нарисовать в таблице маршрутизации и уж тем более, сколько адресов можно добавить в настройки Wireguard(хотя там можно и нули прописать), но при 20 тысячах возможно разумнее не использовать список вовсе, а пускать весь трафик. Ну либо наполнять только реально нужные, как описал выше. Я даже не уверен, что такой файл поместится в RWFS при загрузке. Я попробую для интереса использовать его, но всё же логичнее варианты выше.

Цитата: alex66 от 08/02/2022, 17:22

Попробовал с выключеным адблоком и динамик днс тоже самое.

Т.е. основное подозрение что слишком большой список? Ок попробую со списком подсетей, он там меньше.

Цитата: CHIPSET от 08/02/2022, 18:17

Отключил добавление в настройки Wireguard и в правила сетевого экрана и в результате после 15 секунд добавления маршрутов вывод в SSH прекращается и маршрутизатор в скором времени перезагружается. Так что лучше не мучить железку и вписывать вручную только нужные ресурсы.

Ну или пытаться прикручивать BGP, т.к. списки нацелены на него, как я понял. Также Вас млжет заинтересовать мой вариант с OpenVPN на форуме 4PDA.

Цитата: alex66 от 08/02/2022, 19:16

Так, адреса свои я вписал, теперь ничего не падает, но получаю ошибку ERR_CONNECTION_TIMED_OUT в хроме когда захожу на адрес из списка, как понять где что не так? Если подключаюсь с винды через клиент wireguard все норм, сервер я настроил на удаленной впске.

Цитата: alex66 от 08/02/2022, 19:21

Цитата: CHIPSET от 08/02/2022, 18:17

Также Вас млжет заинтересовать мой вариант с OpenVPN на форуме 4PDA.

поделитесь ссылочкой пожалста

Цитата: CHIPSET от 08/02/2022, 19:37

В теме устройства.

Цитата: CHIPSET от 08/02/2022, 19:41

Цитата: alex66 от 08/02/2022, 19:16

но получаю ошибку

В адресе клиента нули? С DNS всё что нужно сделали? Wireguard после всего этого выключали-включали?

Цитата: alex66 от 08/02/2022, 19:48

Да, все это сделал

Цитата: CHIPSET от 08/02/2022, 19:53

Могу по TeamViewer подключиться глянуть, если напишите в личные на 4pda. Если такой возможности нет, можно здесь попробовать.

Цитата: sfstudio от 14/02/2022, 15:53

Скиньте на sfstudio[at]wi-cat.ru wan mac  и ip, переключу на тестовую ветку. Накидал там sceleton под wg клиента. Что бы вот тот бедлам у вас в пакете поуменьшить + необходимые проверки перед подъёмом.

Т.е. пакет нужно  будет переделать. В init.d непосредственно теперь нет смысла что-то вносить, можно всё делать через /etc/wg*.d

Заодно просьба проверить не сломал ли серверную часть.

 

Цитата: CHIPSET от 14/02/2022, 22:34

Скинул.  Этот бедлам изначально и задумывался, в смысле потому я и обозначил пакет версией 0.х. Так сказать минимально необходимые изменения для поиска решений и проверок возможностей. А ещё это лишь вторая попытка в жизни значительного вмешательства в Bash скрипт, но опыт интересный, потому продолжаю.

Переделывать готов. Насчёт init.d не знаю, т.к. мой "хитрый" механизм с Upstream предполагал с одной команды "start"один служебный запуск и один рабочий(с правильно разрешёнными доменными именами через служебный). Хотя это было сделано в стиле "всё по правильному" - чтобы прописать их в "Allowed IPs". Ну можно наверно и забить и прописать туда нули, а маршруты заменить на ходу. В общем сперва надо увидеть как теперь всё устроено.

Серверную часть я так и не проверял, добровольцев нет. Обойдусь тогда телефоном с мобильным интернетом, думаю для проверки подойдёт.

Цитата: CHIPSET от 26/03/2022, 02:56

• Версия 0.6 (29.03) В связи с частичной реализацией клиента в ПО всё допиливание маршрутизации и DNS перенесено в специализированные хуки. Для маршрутов на локальные DNS теперь используется только resolvipv4.conf, чтобы не переписывать аналогичные маршруты из VPN. Также для них теперь всегда используется $reallangw. Добавлена проверка наличия Upstream DNS сервера и включения соответствующей опции NVRAM перед разрешением имени из списка(в противном случае напрямую через ipget). Использование новой метрики $wgmetric. Добавлен перезапуск сервиса iptables. Сервер для разрешения имён из списка теперь указывается через wireguard_diffsrv. А маршруты на DNS создаётся только при включённой wireguard_dns.
• !!! Необходимо ПО версий 4.3-4.4 и выше. Желательно последнее. !!!
• Примечание: в крайнем случае, если что-то не так, можно сделать сброс кнопкой, зажав секунд на 15.

1. Подключаемся к терминалу и прописываем ключи. Подключаемся к маршрутизатору по SSH(в поиске куча информации как это делать). Это можно сделать даже через Chrome(расширение Secure Shell). Ну или приложение вроде PuTTY. По умолчанию адрес 192.168.1.1 порт 22. Логин и пароль такие же, как в веб-интерфейсе. Пароль при вводе может не отображаться. Далее прописываем личный ключ клиента. Для этого выполняем команду:

   vi /pss/wg_cli_client_private_key

   Нажимаем букву i (после нажатия она отобразится в левом нижнем углу) и вставляем туда ключ(обычно нажатием правой кнопки). После этого жмём по очереди - ESC, двоеточие, W, Q и Enter. Таким же образом прописываем публичный ключ сервера:

   vi /pss/wg_cli_client_public_key

   И сохраняем их:

   fs saveps

2. Скачиваем пакет, приложенный к сообщению. Если нужно заворачивать в туннель не весь трафик, а только к конкретным адресам/подсетям/доменам, то откройте его(не распаковывая) архиватором(я использовал 7-Zip), внутри откройте ещё один и прямо в нём открываем файл wg, находящийся в папке etc. На каждую строку приходится одна запись - либо домен(wi-cat.ru), либо IP-адрес либо целая подсеть в виде CIDR(192.168.6.0/24). После изменения файла архиватор должен 1-2 раза предложить обновить его. Идём в [ Администрирование - Управление ]. Раскрываем "Загрузка RW-FS" и загружаем туда этот пакет. Обращаем внимание на названия меню - будьте внимательны! В дальнейшем можно редактировать этот список таким же способом как и ключи, но командой:

   vi /etc/wg

   Сохранение в таком случае производится командой:

   fs save

   Если домены из списка нужно разрешать через туннель, то выполняем пятый пункт. Также все адреса DNS-серверов в таком случае нужно добавлять в список(файл wg). После чего выполняем указывая адрес DNS сервера:

   nvram_set wireguard_diffsrv 77.88.8.8

   Если DNS-сервера маршрутизатора(не Upstream) нужно пускать в обход туннеля(допустим нужны для разрешения имени VPN-сервера на доступе), то выполняем:

   nvram_set wireguard_dns 1

   Примечание: после каждого обновления ПО этот пакет нужно загружать заново.

3. Производим настройку. Выполняем команды по одной, указывая свои значения. Адрес и порт сервера:

   nvram_set wireguard_cli_endpoint 51.51.51.51
   nvram_set wireguard_cli_endpoint_port 5151

   И адрес клиента:

   nvram_set wireguard_cli_netaddress 192.168.6.155/32

4. Включаем и запускаем клиент:

   nvram_set wireguard_cli_enabled 1
   service wireguard start

5. Желательно(в случае проблем, особенно при VPN на доступе[PPPoE/L2TP/PPTP]). Идём в [ Сервисы - Службы DNS ] включаем "Перенаправлять DNS на локальный сервер" и в "Список Upstream DNS" добавляем любой понравившийся DNS-сервер(например, 77.88.8.8). Жмём "Добавить" и "Применить".

Цитата: ganin от 27/03/2022, 11:12

Огромное спасибо! все работает 
обязательно прописывайте upstream dns в настройках роутера(Сервисы - Службы DNS ), даже если оставляете файл /etc/wg пустым, и планируете весь трафик пускать через тоннель

Цитата: CHIPSET от 29/03/2022, 22:43

Спасибо за тестирование. Инструкцию обновил. Также внёс некоторые изменения касательно DNS, но обновляться не требуется.

Цитата: jaaah_FT-G от 30/03/2022, 18:32

Цитата: CHIPSET от 26/03/2022, 02:56

• Версия 0.6 (29.03) В связи с частичной реализацией клиента в ПО ..............     
• ... Если нужно заворачивать в туннель не весь трафик, а только к конкретным адресам/подсетям/доменам, то откройте его(не распаковывая) архиватором(я использовал 7-Zip), внутри откройте ещё один и прямо в нём открываем файл wg, находящийся в папке etc. На каждую строку приходится одна запись - либо домен(wi-cat.ru), либо IP-адрес либо целая подсеть 

Прошу прощения) , имеется у меня (как пример) конфиг wg с одного известного ресурса

[spoiler title=" вот такой wg.conf "]

[Interface]
Address = 10.8.18.84/32
DNS = 1.1.1.1, 1.0.0.1
PrivateKey = XXXXXXXXXX

[Peer]
PublicKey = XXXXXXXXXX
PresharedKey = XXXXXXXXXX
AllowedIPs = 1.1.1.0/24,1.0.0.0/24,31.13.0.0/16,157.240.0.0/16,108.174.0.0/16,69.63.0.0/16,66.220.144.0/20,179.60.192.0/22,103.4.96.0/22,45.64.40.0/22,204.15.20.0/22,74.119.76.0/22,185.60.216.0/22,185.89.216.0/22,102.132.96.0/20,147.75.208.0/20,69.171.224.0/19,173.252.64.0/18,91.225.248.0/24,185.63.144.0/24,108.174.0.0/16,13.104.0.0/14,179.43.149.0/24,217.195.153.0/24,91.211.91.0/24,104.244.42.0/24,104.244.42.0/24,151.101.0.0/16,172.66.41.0/24,172.66.42.0/24,91.227.34.0/24,151.115.45.0/24,163.172.74.0/24,88.212.244.0/24,151.115.46.0/23,151.115.57.0/24,88.212.240.0/24,185.137.235.0/24,185.71.67.0/24,23.53.52.0/24,2.19.183.0/24,104.75.59.0/24,2.21.200.0/24,104.18.36.0/24,104.18.37.0/24,65.9.96.0/24,65.9.47.0/24,104.75.52.0/24,212.58.249.0/24,151.101.0.0/24,13.32.43.0/24,104.92.86.0/24,52.222.236.0/24,104.89.20.0/24,52.222.236.0/24,104.90.150.0/24,143.204.98.0/24,143.204.98.0/24,18.64.103.0/24,185.70.40.0/23,18.195.178.0/24,54.93.56.0/24,35.159.24.0/24,3.127.229.0/24
Endpoint = 5.61.37.22:51820
PersistentKeepalive = 25

[/spoiler]

Не очень понял как импортировать параметры имеющегося конфига в ваш пакет ?

[spoiler title=" В 7-zip хватает ума открыть, но что дальше делать не понимаю)) "]

[/spoiler]

@chipset , @ganin    

помогите пожалуйста в конфигурации wg-клиента на основе вышепредставленного примера wg.conf .

 

Цитата: CHIPSET от 30/03/2022, 21:58

Жмёте по файлу wg дважды и открываете блокнотом. У Вас в конфигурации есть параметр AllowedIPs со списком подсетей разделённым запятыми. Каждую надо вписать на отдельную строку. Т.е.:

1.1.1.0/24
1.0.0.0/24

И т.д. После чего закрываете блокнот, подтверждая изменения. Также и с архиватором. Далее по инструкции.

З.Ы. Я надеюсь Вы проверили эту конфигурация на каком-нибудь другом устройстве?

Цитата: jaaah_FT-G от 31/03/2022, 20:28

Цитата: CHIPSET от 30/03/2022, 21:58

 Я надеюсь Вы проверили эту конфигурация на каком-нибудь другом устройстве?

Да, проверял на винде с wg-клиентом(с сайта wg). Конфиг (был) рабочий (сейчас ключи из поста выше удалил). 

На роутере пока не ставил, но позже потестирую, отпишусь.