Для тех кто использует: Скрипт для автоматического развертывания AntiZapret VPN + обычный VPN (без контейнера) OpenVPN / WireGuard / AmneziaWG + Патч для обхода блокировки OpenVPN - #1892 by KillThis666
В двух словах, испытанная за несколько недель конфигурация WG под Keenetic, с полностью исправленной утечкой DNS.
- Конфигурируем .conf файл:
Спойлер
- В строке Address = меняем /32 на /24
Конфиг нужно привести к такому состоянию, а именно убрать вообще воле DNS оно нам не пригодится. - В AllowedIPs через запятую дописать ваши DNS используемые в Интернет-фильтре, либо указать DNS вашего провайдера. (внимание нужно указывать все DNS! Это важно!)
Днс прописываем следующем образом: IPDNS/32,IPDNS2/32
- Импортируем ваш файл конфигурации в Keenetic:
Спойлер
Убеждаемся что все ваши AllowedIPs появились в том числе и DNS провайра/интернет-фильтра.
Убеждаемся что проверка активности выставлена 15 секунд или менее.
- Включаем соединение и переходим во вкладку маршрутизация.
1 Скачиваем файл для импорта маршрутов в Keenetic:
routekeenetic.txt (145 байтов)
2 Открываем и редактируем файл блокнотом. Там необходимо указать IPDNS, IPDNS2.
3 Если используются дополнительные AllowedIPs их все необходимо добавить в маршруты.
4 Нажимаем в Keenetic “Загрузить из файла” и импортурем измененный файл указываем интерфейс антизапрета WG.
Убеждаемся что все маршруты на месте и тут видно ваши DNS. - На этом можно в целом и закончить WireGuard настроен и готов к работе.
Для тех кто хочет настроить интернет фильтры:
Создаем интернет фильтр антизапрета
- Убираем транзит запросов, добавляем DNS которые хотите использовать/маршрутизировать.
- Выбираем для домашней и гостевой сети профиль который создали в 1 пункте
- На этом настройка интернет фильтра завершена, в дальнейшем можно некоторым устройствам разрешать доступ к антизапрету, некоторым запрещать.
Для тех кто хочет использовать Amnesia WG на Keennetic:
В целом процедура конфигурации ничем не отличается от обычного WG, но есть некоторые моменты.
Во 1 у вас должна быть прошивка 4.2.1 или новее.
- Открываем файл конфигурации .conf
В конфигурации AWG есть такие параметры:
Jc = 10
Jmin = 50
Jmax = 1000
S1 = 50
S2 = 80
H1 = 1134610890
H2 = 2137373420
H3 = 625719520
H4 = 2106927320
Мы эти параметры копируем и сохраняем, они нам понадобятся в дальнейшем, из файла .conf параметры нужно убрать для успешного импорта. Приводим .conf файл к состоянию как указано в 1 пункте в начале темы.
2. Переходим в Keenetic параметры системы.
3. Скачиваем файл startup-config
4. Редактируем файл блокнотом.
Наживаем ctrl + f, вводим wireguard и ищем наш интерфейс wireguard который мы импортировали ранее.
Между ip tcp adjust-mss pmtu и wireguard peer
Вставляем:
wireguard asc 10 50 1000 50 80 1134610890 2137373420 625719520 2106927320
За место моих цифр берете те которые скопировали ранее когда редактировали файл конфигурации.
5. Отлично конфигурацию кинетика мы подправили, теперь заменяем ее в Keenetic.
6. Ждем когда Keenetic перезапустится, и включаем VPN. Peer загорелся зеленым значит подключение заработало.
Подскажите, вот у меня в конф файле 10.30.0.0/15, 10.29.0.1/32, то есть второй адрес отличается от того, что у вас. Также есть три айпи для дискорда, их по аналогии добавлять в маршруты? 66.22.192.0/18, 35.192.0.0/11, 34.0.192.0/18
Мту надо именно как у вас указывать? По умолчанию при импорте конфига кинетик добавляет мту 1324.
Не вижу отличий, просто зачем указывать только /32 если проще прокинуть всю подсетку как у меня указано в описании.
Их нужно добавить в AllowedIPs и дополнительно сделать route по аналогии с 10.30.0.0/15
Чтобы упростить жизнь /18 /11 /18 маску посмотри в интернете какая будет маска и просто добавьте в routekeenetic.txt и импортируйте файл.
В моем случае, если убрать DNS 10.29.0.1, антизапрет не работает. Возможно зависит от соединение с провайдером, в моем случае VPN PPTP.
Не имеет разницы, днс создаваемый самим подключением создает утечку, редкую но она есть.
Если перестает работать антизапрет значит не завелись маршруты либо некорректно указан AllowedIPs. Данную конфигурацию я проверил на 3.8 и 4.2.1 прошивках как с интернет фильтром так и без, подключение PPPoE и IPOE
На второй картинке у Вас 3 DNS 94.140…, 94.140…, 76.76…,
На третей картинке (маршрутизация) IP 35.192.0.0/11, 34.0.192.0/18 Откуда они, должны же быть DNS 94.140…, 94.140…, 76.76…, ?
На четвертой картинке у Вас 4 DNS Хотя было у казано что кол-во DNS должно быть одинаково везде.
(подключение, маршрутизация, фильтр)
Я почему так придираюсь, уже неделю бьюсь и не могу завести нормально работать. Когда делаю все настройки. Почему то открываются только заблокированные сайты.
У меня сумарно 4 днс используется тут без разницы сколько их будет.
35.192.0.0/11, 34.0.192.0/18 это войсы дискорда можно не прокидывать или прокинуть позже.
На 4 картинке это пример как должно выглядеть после импорта это не более чем пример, в файле route указано где указать IP dns провайдера/ интернет фильтра.
Если открываются только заблокированные сайты значит включен выход в интернет для интерфейса WG
Все прекрасно работает с DNS, делаю все по новой без DNS, не работает, опять удаляю настраиваю по новой с DNS все работает)) Маршруты не подсвечиваются зеленым без DNS.
Хм заметил, похоже что переподключение не возобновляется, поправлю щас статью, чет 2 недели без перезагрузок посидел и полет был нормальный.
Да ты был прав, как оказалось кинетик без днсов просто не видит шлюз, исправил маршруты можно проверять.
Теперь объясню почему не рекомендую юзать днс и почему идет утечка. Не стоит забывать что на последних прошивках ранее была тема с OpenVPN где не рекомендовалось использование днс в Системном и AntiZapret профиле. Т.к. днсы в системном профиле иногда начинают отвечать по разным причинам утечка есть не существенная обычный юзер ее почти не видит, но рано или поздно если оставить ntc или chatgpt открытым можешь увидеть отвал сайта хотя линк впна мог и не рваться, помогает тут ребут браузера даже как будто бы нет проблем, но нюанс такой был.
При включении днс в WG они автоматом дублируются в Системный профиль, а по итогу мы еще эти же днс перенаправляем что не есть хорошо.
Я обновил инструкцию касаемо routekeenetic.txt попробуй сравнить текущие конфиги и залить повторно чтобы у тебя все заработало.
Благодарю за инструкцию, сейчас попробую настроить)))
После добавления в маршрут 10.29.0.0/24, заработал
В общем все равно без указания 10.29.0.1 в профиле антизапрета у меня не работает. nslookup ничего не выдает, естественно 10.29.0.1 не пингуется
@vitalik6243 все просто супер, я раньше писал в группе, что каждые 120-130 сек обрывалось соединение ВГ на 5-10 сек после рукопожатия, сейчас же грузится идеально, нет зависания и фризов при просмотре контента. буду всегда теперь по этому образцу настраивать)))
p.s. хм, некоторые сайты почему-то не грузятся с таким методом, просто не отвечают на запрос, если по старой методике, то все нормально грузится
А из-за чего в логе может так спамить ошибками?
При том всё работает
где-то в маршрутах еще используется 10.29.0.1
после обновления маршрутизации роутеру нужно подумать, попробуй на те сайты сделать трассировку.
Обновил конфигурацию подключения WG используй маску /24 в Adress
Шлюз 10.29.8.1 будет пинговаться на него и направляй routelist
Исправил пинг шлюза, далее приходим к следующим значениям в качестве шлюза используем 10.29.8.1
в самом подключении WG исправьте IP/32 на IP/24 (это IP который вам присваивается на сервере)
Да похоже в этом и была моя ошибка. Я использовал приоритет подключения для нужно ПК, а что бы он там появился я устанавливал галку “включен выход в интернет для интерфейса” . СПАСИБО!!!
галочку включать выход в интернет не нужно, вся эта тема должна работать на уровне маршрутизации, и все будет нормально)
Route.rar (694,4 КБ)
Сделал прогу для формирования маршрутов. Может пригодиться. Основная фишка это формирования маски из короткой записи в обычную.
У тебя ошибка измени 10.29.8.2 на 10.29.8.1
Я исправил общую ветку и сделал чтобы шлюз пинговался нормально.
Там надо в самом подключении маску поменять с /32 на /24 в Adress и шлюз нормально пингуется.
понял, попробую еще разок, отпишу результат))
ps превосходно, все теперь как положено стало, хоть PH начал грузится, а то расстроился, все другие сайты работали, а главный нет 
Теперь все вуаля. Благодарю за проделанную работу!
Бывали иногда задержки в получении DNS, я думаю в этом и была зарыта собака. Сейчас скорость получения DNS, заметно лучше.
ну это видно было ток прям на совсем печальных роутерах. у меня 2 роутера Keenetic Ultra 2 и Keenetic Giant чувствовалась утечка, но не критичная типо можно было и так оставить, но с правильными маршрутами корректно работают интернет фильтры, и утечки я не замечал, вот правда роутеры я не ребутал и в инструкции были косяки как оказалось шлюз не пингуется, но благо быстро и легко исправляется.
Спасибо, всё завелось по вашему гайду, наконец-то не надо страдать со скоростью жрущего овпн. Завелось без строки днс, кинетик 3.7.4, всё прекрасно работает. Вот только почему-то нтс.пати не грузится, и есть ощущение, что это как раз может быть связано с днс. Днс в allowed, если что, указал провайдерские, а не гугла/кф/етц.
если ты оставил форум в открытом состоянии на кинетики и винде остались старые маршруты закрой браузер подожди секунд 30-60 запусти браузер маршруты почистятся
Роутер шустрый, Keenetic Giga(1012).
Ну тогда если ты не прям активный юзер утечки ты и замечать не должен был только видел мб загрузку cpu 20+%
Не, что-то вообще не хочет.
маршрутики старые у тебя висят, пробуй ребутать пк/роутер. не очистились значит
Либо ты используешь DNS 8.8.8.8 в системном профиле + в антизапрет профиле в интернет фильтре, что ведет аналогично к утечке.
vitalik6243, подскажите пожалуйста не совсем понимаю логиrу вывода зарегистрированных девайсов из ip листа роутера в не зарегистрированные. Чтоб работал антизапрет на моб. телефоне(поскольку mac тел. меняется) в локальной сети роутера, надо телефон вывести из зарегистрированных в ip листе роутера. Не зарегистрированные девайсы по какому профилю работают?))
это пофиг, если ты выставил профильантизапрета для домашней и гостевой сети.
сорян)), надо было тел перезагрузить после всех манипуляций)
Да, видимо маршруты, открылось только спустя 15 минут. Спасибо
При использовании Антизапрета у меня есть проблема с сайтами Авито, Озон, Валберис не прогружаются картинки. Особенно это заметно на телефоне в приложениях. Это только у меня или у Всех ?
PS еще Госуслуги сайт не открывается
антизапрет не может влиять так, сделай трассировку до сайта озон tracert команда в командой строке.
Допустили ошибки при настройке, а именно включили выход в интернет через интерфейс антизапрета.
Вы про галку “Использовать для выхода в интернет” у Интерфейса Антизапрет ? Писал ранее что ее отключил. С ней у меня открывались только заблокированные сайты.
тогда проблем быть вообще не должно, с такой конфигурацией работает openvpn, и множество людей пользуется. И госуслуги все открывается, смотрите трассировки, возможно они убегают в впн что делать не должны.
88.1 это Microtic c 4g Мегафон
1 tracert c антизапетом
2 tracert без госуслуги открываются
Удивительная история, у тебя трассировка что с антизапретом что без него работает без проблем. И т.к. я вижу что у тебя микротик я подозреваю что не в этой теме это стоит обсуждать т.к. эта тема для кинетик и связана с конфигурацией именно роутеров Keenetic. В твоем случае все должно работать как с антизапретом так и без.
Решил свою проблему с сайтами озон авито госуслуги.
У меня даже при выборе в фильтре - Присвоенный сигменту не работали сайты корректно, они как то грузились на половину.
Но когда я создал Фильтр (MegafonDNS)и прописал DNS провайдера, и выбрал этот фильтр все корректно заработало. Тогда я добавил один из DNS провайдера в фильтр антизапрета и все завелось.
Системный - сайты открываются на половину (часть картинок нет)
MegafonDNS - c ним сайты открываются коррктно
Антизапрет - Добавил DNS провайдера, и прописал его в подключении и маршрутизации
vitalik6243, пытаюсь настроить VPN _WG между роутером и телефоном, чтоб телефон выходил в интернет через роутер с антизапретом, каменный цветок ни как не выходит. Туннель подымается, локалку видит только роутер, все остальное хз почему не видит, телефон ни как не хочет ходить через интернет роутера, ну, а чтоб еще и антизапрет не доходит дело пока. Маршрут прописал удаленного клиента 192.168.100.2/32, прописывал. WG на роутере сделал приватным и открыл nat
Спойлер
interface Wireguard1 security-level private
ip nat Wireguard1
system configuration save
В межсетевом экране открыл все для домашней сети и WG.
Подключения
Сетевой экран
Подскажите, что не так делаю?
используй dns у клиента 10.29.8.1 и не парься. Либо маршрутизируй свой dns в чем не вижу никакого смысла.
Правда вообще не вижу смысла в таком подключении… во первых закручивает весь трафик (разве что у тебя локалка и тебе нужно стучаться в локалку) + ты юзаешь подключение через сервера Keenetic а значит скорость будет порезана если у тебя не внешник.
Не проще создать учетку в антизапрете и в антизапрет просто локалку свою прокинуть и через свой сервер общаться со своими устройствами?
сложно, проще отказаться от днс провайдера если с ними возникли проблемы прописать 8ки например и не прокидывать лишние днсы в твоем случае adguard dns без впна корректно работать не будет.
- я вижу что днс что тебе дает провайдер находятся в нате оператора, где то читал у кого-то были проблемы при использовании днс оператора хотя интернет фильтр эти проблемы решал.
Благодарю, все завелось))
Снова я с проблемой загрузки сайта. Вся проблема в операторе Megafon, если используешь не DNS оператора то сайты криво отображаются.
Вот нашел на 4pda сообщение с аналогичной проблемой.
Как настроить маршруты что бы обычные сайты открывались через мегафон DNS?
В подключении от прова ,остается dns прова , в интернет фильтре dns какой хочешь , ну и в конфиге openvpn, wg вписываешь те которые в интернет фильтре.
Все так и сделано, как по инструкции выше. DNS провайдера не трогаю. Но половина картинок не грузиться в озоне, госуслуги тоже не до конца прогружаются.
Какие dns используете в vpn?
Есть предположение что используя dns мегафона мегафон на эти адреса подкидывает свои ip адреса своих серверов которые ты получить не можешь, мейби у них стоит аналог GGC только для картинок.
Так сказать решили своим клиентам трафика сэкономить.
Поэтому не грузятся картинки.
Вариантов решения особо нет, либо на впску кидать мегафоновские днсы либо жить без картинок.
Но далеко не факт что мегафоновские днсы вообще заведутся нужно брать тестировать, у меня лично на мегафоне с подменой днс проблем нет. Симка Тамбов, сам я из Сочи.
10.93.233.204
10.93.233.236
Пробовал так
AllowedIPs = 10.29.0.0/32,10.30.0.0/15,10.93.233.236/32,10.93.233.204/32
route ADD 10.30.0.0 MASK 255.254.0.0 10.29.8.1
route ADD 10.93.233.236 MASK 255.255.255.255 10.29.8.1
route ADD 10.93.233.204 MASK 255.255.255.255 10.29.8.1
Озон грузиться нормально, блокированные сайты не работают.
Я с Новороссийска. Почти соседи 
route ADD 10.30.0.0 MASK 255.254.0.0 10.29.8.1
route ADD 94.140.14.14 MASK 255.255.255.255 10.29.8.1
route ADD 94.140.15.15 MASK 255.255.255.255 10.29.8.1
route ADD 76.76.2.44 MASK 255.255.255.255 10.29.8.1
route ADD 76.76.10.44 MASK 255.255.255.255 10.29.8.1
route ADD 10.30.0.0 MASK 255.254.0.0 10.29.0.1
route ADD 77.88.8.8 MASK 255.255.255.255 10.29.0.1
route ADD 9.9.9.10 MASK 255.255.255.255 10.29.0.1
Попробуйте так .
Где 2 и 3 строчки dns яндекса и клауда , и они же в фильтре должны быть.
С шлюзом 10.29.0.1 не заработало с 10.29.8.1 все так же.
DNS 77.88.8.8 и 9.9.9.10 также прописал в подключении
Похоже мегафон не обдурить.
А можно еще создать маршруты конкретно для сайтов с которыми у меня проблемы ?
Что бы запросы шли не через антизапрет ?
У меня тоже мегафон , что-то не так делаете
Вроде квас на keenetic так умеет , но это не точно.
а ты поменял маску в строке адресс с 32 на /24? чтобы у тебя звонился шлюз?
Данные днсы в антизапрете работать не будут. Ради експеремента отключить антизапрет убрать днс мегафона вовсе, и прописать днсы яндекс будет ли работать озон на яндекс днс т.к. там солянка такая судя по моим наблюдениям что по идее должно все запуститься.
Если будет работать озон и прочее, уже пробовать яндекс днсы прокидывать в антизапрет, на мое сообщение выше пристально внимание нужно обратить если не пингуется шлюз значит не правильная маска в ip адресе вот шлюз и не пингуется.
Вчера произошла интересная история: провайдер попал под огромную ддос атаку, и вместе с этим у меня откис вг на роутере. Когда домой вернулся, начал проверять, пробовал и сервер переустановить, и днс поменять, но всё одно: при импорте конфига даже пир не ловится, кружок так и остаётся серым. Попробовал на телефоне запустить, тоже облом, причём тут даже нет характерных для блокировки 92 байт принятых, тут буквально приходит ровно 0, сколько ни жди. Однако с мобильного интернета всё работает, и, также, к самому своему серверу я по ssh с вайфая могу спокойно подключиться, овпн тоже работает. Есть идеи?
Упд: авг тоже не запускается, вот теперь вообще не понял. Не могли же мне блокнуть конкретно айпи впс, если овпн у меня работает с неё?
связь то с сервером есть пингуется?
Порт WG поменяй, порт скорее всего локнули если OpenVPN без патча работает.
Пингуется, да. Порт поставил выше на тысячу — то же самое, 0 байт получено. Не понимаю, почему так, ибо даже при блоке 92 должно приходить.
Апд: поменял порт на другой в низком диапозоне: завелось. Забавно. То есть провайдер просто обрубил порты что в верхнем? Не знаете, при обновлении скрипта порт не будет сбрасываться на интерфейсе?
Что делать если провайдер не дает свои dns? В роутере у меня не пишется. Пробовал включать отключать галку получать dns от провайдера, их нет. Так же по ssh подключался к роутеру и выполнял show dns.
В гайде указано обязательно их указать, пробовал без них - не работает.
Если связь с сервером перестала пинговаться, заблочили получается WG? Соединение не устанавливается, идут хандшейки и усё. До этого все было гладко, ничего не менял. Порт бесполезно менять? Связка WG(телефон)-WG(роутер) работает, получается где то до vps блочится? Попробовал vps на vdsina, та же шляпа. Печально
Ещё раз asc атрибуты для вг соединения в консоли введи и все, оно часто слетает , у меня также, если сервер вг жив- то команда с параметрами asc снова введенная в консоли помогает на кинетике
это рекомендация, а не указание, у меня прекрасно работает с интернет-фильтрами где днс яндекса.
У меня WG, а не AWG
Верно, т.к. при DDoS обычно используются порты либо 80 либо 443. но современные DDoS защиты легко определяют такой трафик. А вот по портам менее популярным да может проходить такая тенденция что все отваливается, поэтому и написал что менять нужно было именно порт.
Хорошо что разобрались сами.
Мб просто отказаться от днс провайдера и воткнуть свои днс например яндекса?
Хостинг vdsina на 1 нод может вешать достаточно много впсок, и вполне вероятно может ограничивать впн протоколы в случае перегрузки по трафику, я лично им не пользуюсь и точно сказать не могу, но не 1 раз замечал подобные грехи у пользователей на этом форуме.
Нужно проверять с разных операторов будет ли подключение по WG если нет то блокировка может быть как со стороны хостинга так и со стороны операторов связи. Еще есть вариант что твой впс попал в список ркн тут уже ничего не поможет.
Если связь не получается поднять не с 1 оператора то нужно менять для начала порт, завелось значит с увереностью 60% я думаю лочит сам хостер впс.
Но вот ранее человек писал что заблокировали порты в сети провайдера.
Скорее всего оператор связи, перебрал несколько портов, по барабану). В общем на ovpn пока перешел. А какой хостинг у вас?
Да, спасибо
Настроил на роутере авг по вашему гайду, прекрасно работает
Благодарю за гайд!
Тут как вариант запустить AWG если провайдер лочит WG.
Так сказать запасной аэродром для тех у кого побанили обычные протоколы)
Опять же одновременной мобильный оператор и домашний не могут вместе сговориться и забанить)
Вроде с DNS Яндекса работает. Нужно наблюдать.
Маску в подключении поменял с 32 на 24
10.29.8.2/24 - Пинг есть
10.29.8.1 - пинга нет. А должен быть ?
При маске в строке Adress ping должен быть на Ip от 10.29.8.1 до 10.29.8.254(клиентов грубо говоря)
тут вопрос главный маску поменяли в днсах или в ip адресе который в конфигу вг? маску в днса не советую менять
Вот так выглядит правильная маска
Да все так. как у вас на фото. В днс маску не менял.
Но пинга на 8.1 нет
я тут конфигурацию у тумана посмотрел. в AllowedIPs у вас чуть не так указано все это добро посмотрите на мой, и адрес 10,29 нужно привести так же как у меня.
Вы правы маска у 10.29 была не такая как у вас. Пинг появился.
ну дак оно прописано у меня все в инструкциях не просто так) но на гитхабе полностью поменяли подсеть поэтому будет проще теперь при настройках
Здравствуйте, АнтизапретWG сделал все по инструкции но почему то не работает. В настройках роутера (кинетик гига) зелёным горит но не работает, то есть заблокированные сайты не открывает. Провайдер Ростелеком. Антизапрет стоит на аезе, подключение там показывает. Может ткнете чайника куда смотреть или что вам показать чтобы починить?
Возможно ваш сервер находится в списке ркн и вг может не работать, проверьте на том же провайдере вг с телефона если аналогично не работает, тогда в помощь будет только амнезия.
Ага, на телефоне тоже не завелось. Попробовал амнезию на телефоне работает. Поставил на роутер не работает. Чёт я уже запутался как правильно надо делать. Я так понимаю на сервере надо конфиг теперь пересоздать для роутера тот что в телефоне проверил теперь туда не подходит.
Тут все просто твой ip попал в список ркн как впн сервер, по итогу связь с сервером поднимается а трафик не ходит)
Вчера вот человеку помогал амнезию завести на кинетике вроде работает. В целом если следовать инструкции все заведется без проблем главное правильно все делать.
Я вот с нововведениями решил свой сервер перестраховать, хоть я и не попал под раздачу.
В ВГУИ себе добавил и на амнезию конфиг для клиента и на обычный вг пока летим нормально.
Блин не понимаю я что делаю не так. Не заводится на кинетике. Пересоздал конфиг, скопировал/вырезал цифры загрузил в роутер отредактировал старт конфиг. Зелёным показывает но не работает. Или надо первые пункты как для wg сначало было сделать.
Пункты для WG являются основными амнезия от обычного вг в случае сборки антизапрета отличается только конфигом wireguard asc
Больше никаких отличий нет.
Если не получается сделать через конфигурационный файл можете пойти по сложному пути
telnet ip routera
show interface
config
interface Wireguard0-100
wireguard asc цифры
exit
system config save
Да это я все сделал. Зелёным горит но сайты заблоченые не открывает даже этот форум. И на приеме 92б висит. Как будто в одну сторону работает. Просто я максимально далек от всего этого и делаю в первый раз.
с роутера в диагностике запустить пинг на 10.29.8.1 если пинга нет допустили ошибки в первых пунктах настройки
дополнительно скачать конфиг с кинетика открыть через notepad и найти строчку wireguard asc есть она или нет
в самом скрипте изменился AllowedIPs = 10.28.0.0/14, теперь такого вида, загрузил новый конфиг, в файл routekeenetic прописал новую маску и путь
route ADD 10.28.0.0 MASK 255.252.0.0 10.29.8.1
route ADD 8.8.8.8 MASK 255.255.255.255 10.29.8.1
route ADD 9.9.9.9 MASK 255.255.255.255 10.29.8.1
по итогу, какие-то сайты ходят, по WG ютуб, инста к прмиеру, а PH, xvideo и тп нет, ну как и прошлый раз, когда шлюз меняли, что можно изменить? подредактировать?
P.s. через OVPN все работает как нужно, любые сайты открываются
Вроде все правильно.
Мне кажется я чёт с маршрутами не правильно сделал
что то очень странно что пинг до сервера составляет 1-2мс впс. Скиньте маршруты с вебморды кинетика
а ну я понял почему у вас ничего не работает.
В строке Adress у вас указан шлюз а не ip адрес который был в конфиге…
Нужно исправлять в инструкции сказано менять только 32 на 24 и не более
Спасибо, настроил по инструкции antizapret по WG на Keenetic. Скорость, в сравнении с OVPN, на порядок выше на моем роутере (KN1010)
OVPN где-то ~30 мбит
WG 200+
1- откуда и для чего взяли адрес 10.30.0.0/15?
2-адрес шлюза 10.29.8.1
3-инструкция не совсем актуальна, уже вышел изменения в самом скрипте, думаю @vitalik6243 обновит, желательно чтобы и все сайты открывались, а то чет не все маршруты стали ходить через ВГ
Да это я уже менял и так и сяк добавлял удалял. Первоначально было 10.30.0.0/15, 10.29.0.1/32
На Гите просто изменения есть ,а конфиг выдает с ними. Вот и пробовал по разному то добавлял 10.28.0.0/14 те удалял то все вместе писал. Аж сам уже запутался где и что менял.
А шлюз согласно скаченому из инструкции тхт
Что-то мне кажется эти все свистопляски тупо из за днс провайдера. Я их ещё не трогал.
Почему шлюз указываете 8.2
Увы но там не обновился файл после редактирования.
А форум не дает отредактировать повторно.
Именно поэтому я дублирую все скриншотами
В текущий момент после последних событий от ркн, я рекомендую после подключения к вг сразу пинговать шлюз 8.1 и проверять идет пинг до сервера через шлюз или нет
Приплыли)
Сейчас я так понимаю все правильно сделал и как вы и писали теперь не пингуется.
да, все правильно пинга нет значит ваш ip в списке ркн. WG работать не будет, пока работает опен впн можно перейти на него, либо перевести на амнезию.
Надо наверное подумать и указать в инструкцию теперь чтобы проверяли пинг до шлюза, т.к. ркн хитро ограничивает WG
зеленый стрелочка горит, сервер тоже говорит все ок, а dpi ркн говорит не будет у тебя трафика до твоей впс по этому протоколу)))
Так это амнезию я настраивал. Или я опять не так сделал.
посмотри в файле конфигурации есть ли строка wireguard asc и правильные ли ты вбил туда значения?
Хм я вот кстати не тестировал с новой сеткой в маршрутах будет ли работать, ща гляну отпишусь мож ты закрутил трафик что он не работает…
PS проверил работает.
Есть, выше скрин же кидал. Оказывается не пинговался шлюз у меня. Сервер опытов моих не выдержал и лег. Сейчас перезапустил. Пинг до шлюза проходит, но с роутера по-прежнему заблокированные сайты не открывает хотя может позже продуплится, хотя на телефоне конфиг стоит, сразу работает все.
А трафик только в одну сторону идёт. Что странно. Похоже днс всё таки блочит провайдера.
Что говорит dnsleaktest?
Ты можешь аналогично сделать с компа tracert ipdns и посмотреть куда уходит трафик в твоего провайдера или в впн там будет заметная разница.
Я так понимаю трафик на прямую идёт.
Да трафик идет напрямую. Замените днс првоайдера на днс яндекса. В целом я лично не использую днс провайдера т.к. они имеют свойство меняться потом создавай мне дискомфорт.
Этот сайт работает шустрее рекомендую его.
Поменял не помогло. Чёт меня уже это прям напрягает.
А это кстати нормально что в маршрутах вылезло 10.29.8.0 хотя не где не прописано.
ага а вот тут нужно было начинать. у тебя ppoe соединение оно не работает без интернет фильтра. Листай пунктны ниже))) И настраивай интернет фильтр, днсы верни провайдерские взад.
Заработало, ну наконец-то!) Причем даже без возврата днс от провайдера. Спасибо огромное)
Работает на pppoe безо всяких фильтров
Не работает!
Обновил антизаперт на сервере
Поменялись конфигурационные файлы.
Сделал так
AllowedIPs = 10.28.0.0/14, 77.88.8.8/32, 77.88.8.1/32
Маршрутизация такая
route ADD 10.28.0.0 MASK 255.252.0.0 10.29.8.1
route ADD 77.88.8.8 MASK 255.255.255.255 10.29.8.1
route ADD 77.88.8.1 MASK 255.255.255.255 10.29.8.1
Правильно ?
по идее да, начинает работать,но некоторые сайты у меня не грузят (хотя до обновлений скрипта все работало)
Там же опять изменения были.
Какие сайты не работают ? Напиши проверю.
У меня например госуслуги грузяться на половину, но я знаю, что это из-за мегафона. С билайном все корректно отображается.
Да самые важные PornHub, xvideo ну и тп xhamster только норм работает
Работают твои сайты.
Обнови антизапрет и
создай нового клиента там есть изменения.
AllowedIPs = 10.29.8.0/24, 10.30.0.0/15,
Про обновление знаю, да это проверка работоспособности , подсеть 10.30 кст не создавал, попробую. просто вроде как все и работает, а вроде и не совсем корректно
я 10.30 создал, а вот 10.29.8 нет. Но вроде работает.
del
Сразу несколько вопросов:
1: файл .conf сгенерированный через гугл шелл или через гитхаб поддаётся такой же правке?
2: нужен ли тогда антизапрет через OpenVPN? (он настроен и работает исправно) В моём понимании он работает с заблокированными сайтами, а warp можно использовать для ютуба.
3: откуда вообще этот шлюз взят (10.29.8.1)? не разобрался.
Приветствую. При перезагрузке роутеров (Giga и Sprinter) слетает время (не может автоматически обновится) и соответственно нет подключения через AWG. Помогает вручную ввести время в настройках, после этого интернет поднимается и снова переключить на автоматическое получение. Если оставить время в ручном режиме, то после следующей перезагрузки оно выставляется как в первый раз (т.е. не корректно). AWG настроена через фильтры. Включено “игнорировать DNS интернет-провайдера”
Куда копать?
Поскольку у вас в системном профиле публичных серверов нет, то вы сами себя загнали в замкнутый круг: пока туннель не поднят, в системном профиле нет DNS, роутер не может отрезолвить сервер времени и скорректировать время; а пока время не скорректировано, туннель не может подняться.
Очевидно, нужно в системный профиль добавить какие-либо публичные DNS с привязкой к домену, используемому для коррекции времени. Добавьте какой-нибудь публичный DNS (отличный от тех, который используются в профиле AntiZapret) и укажите там же, что его нужно использовать для домена pool.ntp.org
Добавил в системный профиль следующее:
Спойлер
И к сожалению перезагрузил роутер, не находясь с ним рядом. По итого связь с роутером потеряна (ни через приложение, ни через KeenDNS), теперь доберусь до него на следующей неделе и попытаюсь понять, что могло пойти не так.
Может, роутер по умолчанию использует какой-то иной сервис синхронизации времени. В таком случае проблема сохранилась: роутер при старте остаётся без DNS (т.к. в системном профиле только частный адрес, который недоступен без активного WG-туннеля, а WG-туннель не может подняться из-за сбитого времени), соответственно, он даже не может достучаться до своих серверов (для всех служебных нужд используется именно системный профиль), поэтому и KeenDNS с приложением не работают (правда, не очень понятно, почему потеря связи не случилась при прошлых перезагрузках).
В таком случае следует в настройках указать серверы синхронизации времени вручную (возможно, создать для каждого из них запись в системном профиле).
К слову, KeeneticOS имеет режим безопасной настройки, который позволяет протестировать внесённые изменения без их сохранения, что очень удобно при удалённой настройке: в случае пропадания доступа через 3 минуты роутер отменит проблемные изменения.
Все отлично крутилось, на кинетике( амнезия_WG ). Сегодня все ТВ, PS5, Dune отлетели от YouTube. Компьютер, мобильные телефоны, прекрасно работают от кинетика. Проверил на ТВ, через браузер 2ip.ua, видется мой VPS, 2ip.ru мой ip, но youtube хрен работает. Если с телефона раздать моб. интернет, youtube работает.
Куда еще можно посмотреть? Ума не приложу.
У мобильных провайдеров YT зачастую не блокируется, поэтому и работает.
С мобильного делал, чтоб проверить клиентов YouTube на устройствах. Вопрос не в том, а почему не работают от кинетика? Компьютер и телефоны подключенные к кинетику показывают YouTube. А тут целый зоопарк перестал показывать. Может на кинетике надо глянуть? Попробовал на старом асусе ax88u, картина такая же)))
В общем, я вижу два пути:
- Как было предложено изначально, выяснить, какие домены KeeneticOS использует для синхронизации времени, и для этих доменов указать публичный DNS.
Минусы: если по какой-то причине WG не подключён (сервер умер или протокол начали блокировать), то у вас в системном профиле голяк, соответственно перестают работать все сервисы роутера (KeenDNS, обновление прошивки, установка компонентов)
- Не создавать профиль DNS “AntiZapret”. Вместо этого публичные DNS указать в Системном профиле. Маршруты до этих публичных DNS добавлять лишь когда доступно подключение WG (вроде бы, для этого служит опция “добавлять автоматически” в настройках маршрута).
Таким образом, пока WG-туннель не поднят, роутер использует публичные DNS, а когда туннель поднимается, запросы к этим DNS маршрутизируются в туннель.
Это всё сугубо теоретически, т.к. на мой “пиратский” Keenetic пока нет прошивки 4.2, а без неё не работает и AmneziaWG.
Уточните, он хрен работает на ТВ через браузер или через приложение? Или и так, и эдак не работает?
Итак про YouTube. На ТВ не работает через приложение и через встроенный браузер. На PS5 не работает через приложение, на приставке DUNE не работает через приложениe. Если зайти через браузер на ТВ на 2ip.ua, то показывает ip vps, 2ip.ru мой ip. Вот такая хреномуть. Абсолютно разные на устройствах ос WebOS, android, PS5))
Это правильно, доступ к доменам .ua в России блокируется, поэтому трафик до них идёт через VPN (и показывается адрес сервера), а доступ к 2ip.ru не блокируется, и трафик идёт напрямую (и показывается реальный IP).
Раз у вас наблюдается ситуация “в браузере YT работает, а через приложение нет”, то попробуйте на роутере зарезать трафик QUIC.
Межсетевой экран → Домашняя сеть → Добавить правило
Включить правило: Включено
Описание: Блокировать QUIC
Действие: Запретить
Протокол: UDP
Номер порта назначения: Равен 443
Остальные параметры оставляем без изменений
Благодарю, вечером попробую.
а можно в системный добавить какой-то днс на такой случай, используя профиль АЗ? если будет использоваться профиль АЗ пока поднят туннель, то по идее неважно что там в системном? или будут утечки какие-то и прочие проблемы?
Теоретически можно просто в системный профиль добавить любой публичный DNS, не из профиля AntiZapret.
Минусы: для сервисов, поднятых на самом роутере и для клиентов, подключённых по VPN (когда роутер выступает как VPN-сервер), обход блокировок работать не будет. То есть, для всех, кто использует системный профиль. Только для клиентов из локальной сети обход блокировок будет работать (т.к. они используют другой профиль DNS, не системный).
Лучше сначала попробовать реализовать п.2 из Настройка Keenetic под WireGuard AntiZapret - #137 by dartraiden. Этот способ лишён таких недостатков.
Спасибо, раньше у меня так и было как в п.2, но почему-то со временем показалось что с профилем стабильнее работает, беда только в том что если почему-то антизапрет упадет, то не открываются никакие сайты.
Ничего не изменилось к моему сожалению.
2ip.ua показывает на ТВ адрес VPS, даже локальный ip(должно так быть?), но если обновить страницу то уже не даст. Маленькая ремарка, приложение Youtube при запуске, даже не доходит до превьюшек, висит заставка или чистый экран после заставки Youtube и так на всем моем зоопарке, акромя пк и телефонов.
ЗЫ достал старенький планшет samsung на Андроиде, тоже показывает 2ip.ua, ip VPS, YouTube так же до превье не доходит.
Опишу, что в итоге было.
Роутер работал, интернет раздавал, но доступа из KeenDNS и приложение не было. Время на роутере было правильное.
До этого в роутере были прописаны вручную сервисы синхронизации.
Спойлер
Указал - автовыбор. Вроде пока после перезагрузки удаленный доступ не отваливается. Буду наблюдать дальше.
Профили системный и антизапрет выглядят так:
Ну, если при автовыборе прошивка использует pool.ntp.org, то должно работать. Вопрос конечно, что она использует при автовыборе…
Для подстраховки можно для pool.ntp.org добавить ещё какой-нибудь DNS. А то вдруг 195.208.4.1 возьмёт и умрёт. Какая-нибудь атака на него случится или рукожопые администраторы его уронят. Например, можно воспользоваться публичным DNS MSK-IX
Это могло быть связано с новостью описанной в этой статье по ссылке ниже?
https://habr.com/ru/articles/860828/
cloudflare.com точно не мог быть доступен, т.к. его домен не через что было резолвить.
162.159.200.1 (вроде, это тоже Cloudflare) - не знаю, может, Keenetic хочет именно домен, а IP не поддерживает тут?
pool.ntp.org хоть и испытывал огромную нагрузку, но работал
Главная мысль в том, чтобы не загонять себя в замкнутый круг “на старте нет доступных DNS > NTP-серверы не отрезолвить > Время не синхронизировать > WG со сбитым временем не поднять > DNS от WG не доступен”.
Поэтому в системный профиль добавляется правило “NTP-сервер можно резолвить через вон тот публичный DNS”. Дальше время корректируется, заводится WG, появляется доступ к 10.29.0.1 и он уже резолвит все запросы.