Ник Пост Дата
vitalik6243(vitalik6243)

Для тех кто использует: Скрипт для автоматического развертывания AntiZapret VPN + обычный VPN (без контейнера) OpenVPN / WireGuard / AmneziaWG + Патч для обхода блокировки OpenVPN - #1892 by KillThis666

:fire:В двух словах, испытанная за несколько недель конфигурация WG под Keenetic, с полностью исправленной утечкой DNS.

  1. Конфигурируем .conf файл:
Спойлер

  1. В строке Address = меняем /32 на /24
    Конфиг нужно привести к такому состоянию, а именно убрать вообще воле DNS оно нам не пригодится.
  2. В AllowedIPs через запятую дописать ваши DNS используемые в Интернет-фильтре, либо указать DNS вашего провайдера. (внимание нужно указывать все DNS! Это важно!)
    Днс прописываем следующем образом: IPDNS/32,IPDNS2/32
  1. Импортируем ваш файл конфигурации в Keenetic:
Спойлер


Убеждаемся что все ваши AllowedIPs появились в том числе и DNS провайра/интернет-фильтра.
Убеждаемся что проверка активности выставлена 15 секунд или менее.

  1. Включаем соединение и переходим во вкладку маршрутизация.
    1 Скачиваем файл для импорта маршрутов в Keenetic:
    routekeenetic.txt (145 байтов)
    2 Открываем и редактируем файл блокнотом. Там необходимо указать IPDNS, IPDNS2.
    3 Если используются дополнительные AllowedIPs их все необходимо добавить в маршруты.
    4 Нажимаем в Keenetic “Загрузить из файла” и импортурем измененный файл указываем интерфейс антизапрета WG.

    Убеждаемся что все маршруты на месте и тут видно ваши DNS.
  2. На этом можно в целом и закончить WireGuard настроен и готов к работе.

:fire:Для тех кто хочет настроить интернет фильтры:

Создаем интернет фильтр антизапрета
  1. Убираем транзит запросов, добавляем DNS которые хотите использовать/маршрутизировать.
  2. Выбираем для домашней и гостевой сети профиль который создали в 1 пункте
  3. На этом настройка интернет фильтра завершена, в дальнейшем можно некоторым устройствам разрешать доступ к антизапрету, некоторым запрещать.

:fire:Для тех кто хочет использовать Amnesia WG на Keennetic:
В целом процедура конфигурации ничем не отличается от обычного WG, но есть некоторые моменты.
Во 1 у вас должна быть прошивка 4.2.1 или новее.

  1. Открываем файл конфигурации .conf
    В конфигурации AWG есть такие параметры:
Jc = 10
Jmin = 50
Jmax = 1000
S1 = 50
S2 = 80
H1 = 1134610890
H2 = 2137373420
H3 = 625719520
H4 = 2106927320

Мы эти параметры копируем и сохраняем, они нам понадобятся в дальнейшем, из файла .conf параметры нужно убрать для успешного импорта. Приводим .conf файл к состоянию как указано в 1 пункте в начале темы.
2. Переходим в Keenetic параметры системы.
3. Скачиваем файл startup-config
4. Редактируем файл блокнотом.
Наживаем ctrl + f, вводим wireguard и ищем наш интерфейс wireguard который мы импортировали ранее.
Между ip tcp adjust-mss pmtu и wireguard peer
Вставляем:

wireguard asc 10 50 1000 50 80 1134610890 2137373420 625719520 2106927320

За место моих цифр берете те которые скопировали ранее когда редактировали файл конфигурации.
5. Отлично конфигурацию кинетика мы подправили, теперь заменяем ее в Keenetic.
6. Ждем когда Keenetic перезапустится, и включаем VPN. Peer загорелся зеленым значит подключение заработало.

2024-10-18T10:59:08.410Z
suzu

Подскажите, вот у меня в конф файле 10.30.0.0/15, 10.29.0.1/32, то есть второй адрес отличается от того, что у вас. Также есть три айпи для дискорда, их по аналогии добавлять в маршруты? 66.22.192.0/18, 35.192.0.0/11, 34.0.192.0/18
Мту надо именно как у вас указывать? По умолчанию при импорте конфига кинетик добавляет мту 1324.

2024-10-18T12:55:21.718Z
vitalik6243(vitalik6243)

Не вижу отличий, просто зачем указывать только /32 если проще прокинуть всю подсетку как у меня указано в описании.

Их нужно добавить в AllowedIPs и дополнительно сделать route по аналогии с 10.30.0.0/15
Чтобы упростить жизнь /18 /11 /18 маску посмотри в интернете какая будет маска и просто добавьте в routekeenetic.txt и импортируйте файл.

2024-10-18T13:31:58.968Z
JewB

В моем случае, если убрать DNS 10.29.0.1, антизапрет не работает. Возможно зависит от соединение с провайдером, в моем случае VPN PPTP.

2024-10-18T20:54:46.303Z
vitalik6243(vitalik6243)

Не имеет разницы, днс создаваемый самим подключением создает утечку, редкую но она есть.
Если перестает работать антизапрет значит не завелись маршруты либо некорректно указан AllowedIPs. Данную конфигурацию я проверил на 3.8 и 4.2.1 прошивках как с интернет фильтром так и без, подключение PPPoE и IPOE

2024-10-18T20:57:37.431Z
Zlodeyz(Владимир)

На второй картинке у Вас 3 DNS 94.140…, 94.140…, 76.76…,
На третей картинке (маршрутизация) IP 35.192.0.0/11, 34.0.192.0/18 Откуда они, должны же быть DNS 94.140…, 94.140…, 76.76…, ?
На четвертой картинке у Вас 4 DNS Хотя было у казано что кол-во DNS должно быть одинаково везде.
(подключение, маршрутизация, фильтр)
Я почему так придираюсь, уже неделю бьюсь и не могу завести нормально работать. Когда делаю все настройки. Почему то открываются только заблокированные сайты.

2024-10-18T20:58:45.328Z
vitalik6243(vitalik6243)

У меня сумарно 4 днс используется тут без разницы сколько их будет.

35.192.0.0/11, 34.0.192.0/18 это войсы дискорда можно не прокидывать или прокинуть позже.

На 4 картинке это пример как должно выглядеть после импорта это не более чем пример, в файле route указано где указать IP dns провайдера/ интернет фильтра.

Если открываются только заблокированные сайты значит включен выход в интернет для интерфейса WG

2024-10-18T21:01:52.350Z
JewB

Все прекрасно работает с DNS, делаю все по новой без DNS, не работает, опять удаляю настраиваю по новой с DNS все работает)) Маршруты не подсвечиваются зеленым без DNS.

2024-10-18T21:05:22.793Z
vitalik6243(vitalik6243)

Хм заметил, похоже что переподключение не возобновляется, поправлю щас статью, чет 2 недели без перезагрузок посидел и полет был нормальный.

2024-10-18T21:11:04.540Z
vitalik6243(vitalik6243)

Да ты был прав, как оказалось кинетик без днсов просто не видит шлюз, исправил маршруты можно проверять.
Теперь объясню почему не рекомендую юзать днс и почему идет утечка. Не стоит забывать что на последних прошивках ранее была тема с OpenVPN где не рекомендовалось использование днс в Системном и AntiZapret профиле. Т.к. днсы в системном профиле иногда начинают отвечать по разным причинам утечка есть не существенная обычный юзер ее почти не видит, но рано или поздно если оставить ntc или chatgpt открытым можешь увидеть отвал сайта хотя линк впна мог и не рваться, помогает тут ребут браузера даже как будто бы нет проблем, но нюанс такой был.
При включении днс в WG они автоматом дублируются в Системный профиль, а по итогу мы еще эти же днс перенаправляем что не есть хорошо.

2024-10-18T21:24:04.513Z
vitalik6243(vitalik6243)

Я обновил инструкцию касаемо routekeenetic.txt попробуй сравнить текущие конфиги и залить повторно чтобы у тебя все заработало.

2024-10-18T21:24:48.276Z
selkoslen(Selkoslen)

Благодарю за инструкцию, сейчас попробую настроить)))

2024-10-18T21:56:22.487Z
JewB

После добавления в маршрут 10.29.0.0/24, заработал


В общем все равно без указания 10.29.0.1 в профиле антизапрета у меня не работает. nslookup ничего не выдает, естественно 10.29.0.1 не пингуется

2024-10-18T22:32:42.688Z
selkoslen(Selkoslen)

@vitalik6243 все просто супер, я раньше писал в группе, что каждые 120-130 сек обрывалось соединение ВГ на 5-10 сек после рукопожатия, сейчас же грузится идеально, нет зависания и фризов при просмотре контента. буду всегда теперь по этому образцу настраивать)))
p.s. хм, некоторые сайты почему-то не грузятся с таким методом, просто не отвечают на запрос, если по старой методике, то все нормально грузится

2024-10-18T23:11:33.451Z
MrRulez(MrRulez)


А из-за чего в логе может так спамить ошибками?
При том всё работает

2024-10-19T01:22:22.593Z
vitalik6243(vitalik6243)

где-то в маршрутах еще используется 10.29.0.1

2024-10-19T06:33:31.980Z
vitalik6243(vitalik6243)

после обновления маршрутизации роутеру нужно подумать, попробуй на те сайты сделать трассировку.

2024-10-19T06:34:58.244Z
vitalik6243(vitalik6243)

Обновил конфигурацию подключения WG используй маску /24 в Adress
Шлюз 10.29.8.1 будет пинговаться на него и направляй routelist

2024-10-19T06:36:37.666Z
vitalik6243(vitalik6243)

Исправил пинг шлюза, далее приходим к следующим значениям в качестве шлюза используем 10.29.8.1
в самом подключении WG исправьте IP/32 на IP/24 (это IP который вам присваивается на сервере)

2024-10-19T06:46:21.923Z
Zlodeyz(Владимир)

Да похоже в этом и была моя ошибка. Я использовал приоритет подключения для нужно ПК, а что бы он там появился я устанавливал галку “включен выход в интернет для интерфейса” . СПАСИБО!!!

2024-10-19T07:01:25.831Z
vitalik6243(vitalik6243)

галочку включать выход в интернет не нужно, вся эта тема должна работать на уровне маршрутизации, и все будет нормально)

2024-10-19T07:02:18.971Z
Zlodeyz(Владимир)

2024-10-19_10-17-36
Route.rar (694,4 КБ)
Сделал прогу для формирования маршрутов. Может пригодиться. Основная фишка это формирования маски из короткой записи в обычную.

2024-10-19T07:22:11.060Z
vitalik6243(vitalik6243)

У тебя ошибка измени 10.29.8.2 на 10.29.8.1
Я исправил общую ветку и сделал чтобы шлюз пинговался нормально.
Там надо в самом подключении маску поменять с /32 на /24 в Adress и шлюз нормально пингуется.

2024-10-19T07:37:04.209Z
selkoslen(Selkoslen)

понял, попробую еще разок, отпишу результат))
ps превосходно, все теперь как положено стало, хоть PH начал грузится, а то расстроился, все другие сайты работали, а главный нет :smiley:

2024-10-19T07:51:39.168Z
JewB

Теперь все вуаля. Благодарю за проделанную работу!

2024-10-19T08:00:26.247Z
JewB

Бывали иногда задержки в получении DNS, я думаю в этом и была зарыта собака. Сейчас скорость получения DNS, заметно лучше.

2024-10-19T08:06:55.964Z
vitalik6243(vitalik6243)

ну это видно было ток прям на совсем печальных роутерах. у меня 2 роутера Keenetic Ultra 2 и Keenetic Giant чувствовалась утечка, но не критичная типо можно было и так оставить, но с правильными маршрутами корректно работают интернет фильтры, и утечки я не замечал, вот правда роутеры я не ребутал и в инструкции были косяки как оказалось шлюз не пингуется, но благо быстро и легко исправляется.

2024-10-19T08:15:55.468Z
suzu

Спасибо, всё завелось по вашему гайду, наконец-то не надо страдать со скоростью жрущего овпн. Завелось без строки днс, кинетик 3.7.4, всё прекрасно работает. Вот только почему-то нтс.пати не грузится, и есть ощущение, что это как раз может быть связано с днс. Днс в allowed, если что, указал провайдерские, а не гугла/кф/етц.

2024-10-19T08:17:43.587Z
vitalik6243(vitalik6243)

если ты оставил форум в открытом состоянии на кинетики и винде остались старые маршруты закрой браузер подожди секунд 30-60 запусти браузер маршруты почистятся

2024-10-19T08:18:36.638Z
JewB

Роутер шустрый, Keenetic Giga(1012).

2024-10-19T08:23:48.897Z
vitalik6243(vitalik6243)

Ну тогда если ты не прям активный юзер утечки ты и замечать не должен был только видел мб загрузку cpu 20+%

2024-10-19T08:24:30.488Z
suzu

Не, что-то вообще не хочет.

2024-10-19T08:26:35.776Z
vitalik6243(vitalik6243)

{0D88D468-F1C8-4BE3-8002-C88BB9491C53}
маршрутики старые у тебя висят, пробуй ребутать пк/роутер. не очистились значит
Либо ты используешь DNS 8.8.8.8 в системном профиле + в антизапрет профиле в интернет фильтре, что ведет аналогично к утечке.

2024-10-19T08:29:20.822Z
JewB

vitalik6243, подскажите пожалуйста не совсем понимаю логиrу вывода зарегистрированных девайсов из ip листа роутера в не зарегистрированные. Чтоб работал антизапрет на моб. телефоне(поскольку mac тел. меняется) в локальной сети роутера, надо телефон вывести из зарегистрированных в ip листе роутера. Не зарегистрированные девайсы по какому профилю работают?))

2024-10-19T08:37:27.270Z
vitalik6243(vitalik6243)

это пофиг, если ты выставил профильантизапрета для домашней и гостевой сети.

2024-10-19T08:39:10.166Z
JewB

сорян)), надо было тел перезагрузить после всех манипуляций)

2024-10-19T08:43:15.786Z
suzu

Да, видимо маршруты, открылось только спустя 15 минут. Спасибо

2024-10-19T08:43:50.612Z
Zlodeyz(Владимир)

При использовании Антизапрета у меня есть проблема с сайтами Авито, Озон, Валберис не прогружаются картинки. Особенно это заметно на телефоне в приложениях. Это только у меня или у Всех ?

Спойлер

PS еще Госуслуги сайт не открывается

2024-10-19T10:42:28.697Z
vitalik6243(vitalik6243)


антизапрет не может влиять так, сделай трассировку до сайта озон tracert команда в командой строке.

2024-10-19T11:11:10.577Z
vitalik6243(vitalik6243)

Допустили ошибки при настройке, а именно включили выход в интернет через интерфейс антизапрета.

2024-10-19T11:17:34.280Z
Zlodeyz(Владимир)

Вы про галку “Использовать для выхода в интернет” у Интерфейса Антизапрет ? Писал ранее что ее отключил. С ней у меня открывались только заблокированные сайты.

2024-10-19T12:44:47.491Z
vitalik6243(vitalik6243)

тогда проблем быть вообще не должно, с такой конфигурацией работает openvpn, и множество людей пользуется. И госуслуги все открывается, смотрите трассировки, возможно они убегают в впн что делать не должны.

2024-10-19T13:17:55.953Z
Zlodeyz(Владимир)

88.1 это Microtic c 4g Мегафон

Спойлер

1 tracert c антизапетом
2 tracert без госуслуги открываются

2024-10-19T13:44:14.949Z
vitalik6243(vitalik6243)

Удивительная история, у тебя трассировка что с антизапретом что без него работает без проблем. И т.к. я вижу что у тебя микротик я подозреваю что не в этой теме это стоит обсуждать т.к. эта тема для кинетик и связана с конфигурацией именно роутеров Keenetic. В твоем случае все должно работать как с антизапретом так и без.

2024-10-19T14:37:11.379Z
Zlodeyz(Владимир)

Решил свою проблему с сайтами озон авито госуслуги.
У меня даже при выборе в фильтре - Присвоенный сигменту не работали сайты корректно, они как то грузились на половину.
Но когда я создал Фильтр (MegafonDNS)и прописал DNS провайдера, и выбрал этот фильтр все корректно заработало. Тогда я добавил один из DNS провайдера в фильтр антизапрета и все завелось.

Системный - сайты открываются на половину (часть картинок нет)

Спойлер

MegafonDNS - c ним сайты открываются коррктно

Спойлер

Антизапрет - Добавил DNS провайдера, и прописал его в подключении и маршрутизации

Спойлер

2024-10-19T20:41:44.711Z
JewB

vitalik6243, пытаюсь настроить VPN _WG между роутером и телефоном, чтоб телефон выходил в интернет через роутер с антизапретом, каменный цветок ни как не выходит. Туннель подымается, локалку видит только роутер, все остальное хз почему не видит, телефон ни как не хочет ходить через интернет роутера, ну, а чтоб еще и антизапрет не доходит дело пока. Маршрут прописал удаленного клиента 192.168.100.2/32, прописывал. WG на роутере сделал приватным и открыл nat

Спойлер

interface Wireguard1 security-level private
ip nat Wireguard1
system configuration save

В межсетевом экране открыл все для домашней сети и WG.

Клиент

Сервер

Imgur: The magic of the Internet

Подключения

Imgur: The magic of the Internet

Сетевой экран

Imgur: The magic of the Internet

Подскажите, что не так делаю?

2024-10-19T23:41:02.729Z
vitalik6243(vitalik6243)

используй dns у клиента 10.29.8.1 и не парься. Либо маршрутизируй свой dns в чем не вижу никакого смысла.
Правда вообще не вижу смысла в таком подключении… во первых закручивает весь трафик (разве что у тебя локалка и тебе нужно стучаться в локалку) + ты юзаешь подключение через сервера Keenetic а значит скорость будет порезана если у тебя не внешник.
Не проще создать учетку в антизапрете и в антизапрет просто локалку свою прокинуть и через свой сервер общаться со своими устройствами?

2024-10-21T10:57:14.405Z
vitalik6243(vitalik6243)

сложно, проще отказаться от днс провайдера если с ними возникли проблемы прописать 8ки например и не прокидывать лишние днсы в твоем случае adguard dns без впна корректно работать не будет.

  • я вижу что днс что тебе дает провайдер находятся в нате оператора, где то читал у кого-то были проблемы при использовании днс оператора хотя интернет фильтр эти проблемы решал.
2024-10-21T11:01:34.865Z
JewB

Благодарю, все завелось))

2024-10-21T19:20:27.271Z
Zlodeyz(Владимир)

Снова я с проблемой загрузки сайта. Вся проблема в операторе Megafon, если используешь не DNS оператора то сайты криво отображаются.
Вот нашел на 4pda сообщение с аналогичной проблемой.
Как настроить маршруты что бы обычные сайты открывались через мегафон DNS?

2024-10-24T11:11:22.457Z
Xirurg

В подключении от прова ,остается dns прова , в интернет фильтре dns какой хочешь , ну и в конфиге openvpn, wg вписываешь те которые в интернет фильтре.

2024-10-24T12:24:48.350Z
Zlodeyz(Владимир)

Все так и сделано, как по инструкции выше. DNS провайдера не трогаю. Но половина картинок не грузиться в озоне, госуслуги тоже не до конца прогружаются.

2024-10-24T12:53:09.893Z
Xirurg

Какие dns используете в vpn?

2024-10-24T19:06:17.560Z
vitalik6243(vitalik6243)

Есть предположение что используя dns мегафона мегафон на эти адреса подкидывает свои ip адреса своих серверов которые ты получить не можешь, мейби у них стоит аналог GGC только для картинок.
Так сказать решили своим клиентам трафика сэкономить.
Поэтому не грузятся картинки.
Вариантов решения особо нет, либо на впску кидать мегафоновские днсы либо жить без картинок.
Но далеко не факт что мегафоновские днсы вообще заведутся нужно брать тестировать, у меня лично на мегафоне с подменой днс проблем нет. Симка Тамбов, сам я из Сочи.

2024-10-24T20:55:15.156Z
Zlodeyz(Владимир)

10.93.233.204
10.93.233.236

2024-10-25T06:28:41.494Z
Zlodeyz(Владимир)

Пробовал так
AllowedIPs = 10.29.0.0/32,10.30.0.0/15,10.93.233.236/32,10.93.233.204/32

route ADD 10.30.0.0 MASK 255.254.0.0 10.29.8.1
route ADD 10.93.233.236 MASK 255.255.255.255 10.29.8.1
route ADD 10.93.233.204 MASK 255.255.255.255 10.29.8.1

Озон грузиться нормально, блокированные сайты не работают.
Я с Новороссийска. Почти соседи :slight_smile:

2024-10-25T06:33:41.695Z
Zlodeyz(Владимир)

route ADD 10.30.0.0 MASK 255.254.0.0 10.29.8.1
route ADD 94.140.14.14 MASK 255.255.255.255 10.29.8.1
route ADD 94.140.15.15 MASK 255.255.255.255 10.29.8.1
route ADD 76.76.2.44 MASK 255.255.255.255 10.29.8.1
route ADD 76.76.10.44 MASK 255.255.255.255 10.29.8.1

2024-10-25T06:37:00.298Z
Xirurg

route ADD 10.30.0.0 MASK 255.254.0.0 10.29.0.1
route ADD 77.88.8.8 MASK 255.255.255.255 10.29.0.1
route ADD 9.9.9.10 MASK 255.255.255.255 10.29.0.1

Попробуйте так .
Где 2 и 3 строчки dns яндекса и клауда , и они же в фильтре должны быть.

2024-10-25T09:40:33.245Z
Zlodeyz(Владимир)

С шлюзом 10.29.0.1 не заработало с 10.29.8.1 все так же.
DNS 77.88.8.8 и 9.9.9.10 также прописал в подключении
Похоже мегафон не обдурить.
А можно еще создать маршруты конкретно для сайтов с которыми у меня проблемы ?
Что бы запросы шли не через антизапрет ?

2024-10-25T10:55:24.042Z
Xirurg

У меня тоже мегафон , что-то не так делаете
Вроде квас на keenetic так умеет , но это не точно.

2024-10-25T11:04:52.468Z
vitalik6243(vitalik6243)

а ты поменял маску в строке адресс с 32 на /24? чтобы у тебя звонился шлюз?

2024-10-25T17:54:05.223Z
vitalik6243(vitalik6243)

Данные днсы в антизапрете работать не будут. Ради експеремента отключить антизапрет убрать днс мегафона вовсе, и прописать днсы яндекс будет ли работать озон на яндекс днс т.к. там солянка такая судя по моим наблюдениям что по идее должно все запуститься.
Если будет работать озон и прочее, уже пробовать яндекс днсы прокидывать в антизапрет, на мое сообщение выше пристально внимание нужно обратить если не пингуется шлюз значит не правильная маска в ip адресе вот шлюз и не пингуется.

2024-10-25T17:56:20.851Z
suzu

Вчера произошла интересная история: провайдер попал под огромную ддос атаку, и вместе с этим у меня откис вг на роутере. Когда домой вернулся, начал проверять, пробовал и сервер переустановить, и днс поменять, но всё одно: при импорте конфига даже пир не ловится, кружок так и остаётся серым. Попробовал на телефоне запустить, тоже облом, причём тут даже нет характерных для блокировки 92 байт принятых, тут буквально приходит ровно 0, сколько ни жди. Однако с мобильного интернета всё работает, и, также, к самому своему серверу я по ssh с вайфая могу спокойно подключиться, овпн тоже работает. Есть идеи?

Упд: авг тоже не запускается, вот теперь вообще не понял. Не могли же мне блокнуть конкретно айпи впс, если овпн у меня работает с неё?

2024-10-26T05:29:12.173Z
vitalik6243(vitalik6243)

связь то с сервером есть пингуется?
Порт WG поменяй, порт скорее всего локнули если OpenVPN без патча работает.

2024-10-26T07:12:01.574Z
suzu

Пингуется, да. Порт поставил выше на тысячу — то же самое, 0 байт получено. Не понимаю, почему так, ибо даже при блоке 92 должно приходить.

Апд: поменял порт на другой в низком диапозоне: завелось. Забавно. То есть провайдер просто обрубил порты что в верхнем? Не знаете, при обновлении скрипта порт не будет сбрасываться на интерфейсе?

2024-10-26T08:31:02.622Z
trustmetrust

Что делать если провайдер не дает свои dns? В роутере у меня не пишется. Пробовал включать отключать галку получать dns от провайдера, их нет. Так же по ssh подключался к роутеру и выполнял show dns.
В гайде указано обязательно их указать, пробовал без них - не работает.

2024-10-26T08:54:50.735Z
JewB

Если связь с сервером перестала пинговаться, заблочили получается WG? Соединение не устанавливается, идут хандшейки и усё. До этого все было гладко, ничего не менял. Порт бесполезно менять? Связка WG(телефон)-WG(роутер) работает, получается где то до vps блочится? Попробовал vps на vdsina, та же шляпа. Печально

2024-10-26T10:06:51.467Z
SeamniZ(Seamni)

Ещё раз asc атрибуты для вг соединения в консоли введи и все, оно часто слетает , у меня также, если сервер вг жив- то команда с параметрами asc снова введенная в консоли помогает на кинетике

2024-10-26T10:34:49.484Z
Batonskij

это рекомендация, а не указание, у меня прекрасно работает с интернет-фильтрами где днс яндекса.

2024-10-26T10:35:42.030Z
JewB

У меня WG, а не AWG

2024-10-26T10:42:36.609Z
vitalik6243(vitalik6243)

Верно, т.к. при DDoS обычно используются порты либо 80 либо 443. но современные DDoS защиты легко определяют такой трафик. А вот по портам менее популярным да может проходить такая тенденция что все отваливается, поэтому и написал что менять нужно было именно порт.
Хорошо что разобрались сами.

2024-10-26T15:47:27.952Z
vitalik6243(vitalik6243)

Мб просто отказаться от днс провайдера и воткнуть свои днс например яндекса?

2024-10-26T15:47:56.779Z
vitalik6243(vitalik6243)

Хостинг vdsina на 1 нод может вешать достаточно много впсок, и вполне вероятно может ограничивать впн протоколы в случае перегрузки по трафику, я лично им не пользуюсь и точно сказать не могу, но не 1 раз замечал подобные грехи у пользователей на этом форуме.
Нужно проверять с разных операторов будет ли подключение по WG если нет то блокировка может быть как со стороны хостинга так и со стороны операторов связи. Еще есть вариант что твой впс попал в список ркн тут уже ничего не поможет.
Если связь не получается поднять не с 1 оператора то нужно менять для начала порт, завелось значит с увереностью 60% я думаю лочит сам хостер впс.
Но вот ранее человек писал что заблокировали порты в сети провайдера.

2024-10-26T15:51:12.522Z
JewB

Скорее всего оператор связи, перебрал несколько портов, по барабану). В общем на ovpn пока перешел. А какой хостинг у вас?

2024-10-26T18:13:09.843Z
suzu

Да, спасибо
Настроил на роутере авг по вашему гайду, прекрасно работает
Благодарю за гайд!

2024-10-26T19:21:40.357Z
vitalik6243(vitalik6243)

Тут как вариант запустить AWG если провайдер лочит WG.
Так сказать запасной аэродром для тех у кого побанили обычные протоколы)
Опять же одновременной мобильный оператор и домашний не могут вместе сговориться и забанить)

2024-10-26T19:32:55.135Z
Zlodeyz(Владимир)

Вроде с DNS Яндекса работает. Нужно наблюдать.
Маску в подключении поменял с 32 на 24
10.29.8.2/24 - Пинг есть
10.29.8.1 - пинга нет. А должен быть ?

2024-10-26T19:45:28.034Z
vitalik6243(vitalik6243)

При маске в строке Adress ping должен быть на Ip от 10.29.8.1 до 10.29.8.254(клиентов грубо говоря)

2024-10-26T19:46:45.774Z
vitalik6243(vitalik6243)

тут вопрос главный маску поменяли в днсах или в ip адресе который в конфигу вг? маску в днса не советую менять
Вот так выглядит правильная маска
{E8B55185-EAFC-4886-9036-4BE3161A445C}

2024-10-26T19:47:34.176Z
Zlodeyz(Владимир)

Да все так. как у вас на фото. В днс маску не менял.
Но пинга на 8.1 нет

2024-10-26T20:13:25.838Z
vitalik6243(vitalik6243)

я тут конфигурацию у тумана посмотрел. в AllowedIPs у вас чуть не так указано все это добро посмотрите на мой, и адрес 10,29 нужно привести так же как у меня.

2024-10-26T20:57:11.001Z
Zlodeyz(Владимир)

Вы правы маска у 10.29 была не такая как у вас. Пинг появился.

2024-10-27T06:18:42.548Z
vitalik6243(vitalik6243)

ну дак оно прописано у меня все в инструкциях не просто так) но на гитхабе полностью поменяли подсеть поэтому будет проще теперь при настройках

2024-10-27T07:41:24.203Z
SSKlord

Здравствуйте, АнтизапретWG сделал все по инструкции но почему то не работает. В настройках роутера (кинетик гига) зелёным горит но не работает, то есть заблокированные сайты не открывает. Провайдер Ростелеком. Антизапрет стоит на аезе, подключение там показывает. Может ткнете чайника куда смотреть или что вам показать чтобы починить?

2024-10-27T13:39:17.701Z
vitalik6243(vitalik6243)

Возможно ваш сервер находится в списке ркн и вг может не работать, проверьте на том же провайдере вг с телефона если аналогично не работает, тогда в помощь будет только амнезия.

2024-10-27T14:36:17.246Z
SSKlord

Ага, на телефоне тоже не завелось. Попробовал амнезию на телефоне работает. Поставил на роутер не работает. Чёт я уже запутался как правильно надо делать. Я так понимаю на сервере надо конфиг теперь пересоздать для роутера тот что в телефоне проверил теперь туда не подходит.

2024-10-27T15:16:03.732Z
vitalik6243(vitalik6243)

Тут все просто твой ip попал в список ркн как впн сервер, по итогу связь с сервером поднимается а трафик не ходит)
Вчера вот человеку помогал амнезию завести на кинетике вроде работает. В целом если следовать инструкции все заведется без проблем главное правильно все делать.
Я вот с нововведениями решил свой сервер перестраховать, хоть я и не попал под раздачу.
{948C406D-E341-4018-BB8E-E002BA685DE7}
В ВГУИ себе добавил и на амнезию конфиг для клиента и на обычный вг пока летим нормально.

2024-10-27T15:35:33.859Z
SSKlord

Блин не понимаю я что делаю не так. Не заводится на кинетике. Пересоздал конфиг, скопировал/вырезал цифры загрузил в роутер отредактировал старт конфиг. Зелёным показывает но не работает. Или надо первые пункты как для wg сначало было сделать.

2024-10-27T16:26:01.825Z
vitalik6243(vitalik6243)

Пункты для WG являются основными амнезия от обычного вг в случае сборки антизапрета отличается только конфигом wireguard asc
Больше никаких отличий нет.
Если не получается сделать через конфигурационный файл можете пойти по сложному пути
telnet ip routera
show interface
config
interface Wireguard0-100
wireguard asc цифры
exit
system config save

2024-10-27T19:11:28.837Z
SSKlord

Да это я все сделал. Зелёным горит но сайты заблоченые не открывает даже этот форум. И на приеме 92б висит. Как будто в одну сторону работает. Просто я максимально далек от всего этого и делаю в первый раз.

2024-10-27T21:28:58.004Z
vitalik6243(vitalik6243)

с роутера в диагностике запустить пинг на 10.29.8.1 если пинга нет допустили ошибки в первых пунктах настройки
дополнительно скачать конфиг с кинетика открыть через notepad и найти строчку wireguard asc есть она или нет

2024-10-27T22:29:31.337Z
selkoslen(Selkoslen)

в самом скрипте изменился AllowedIPs = 10.28.0.0/14, теперь такого вида, загрузил новый конфиг, в файл routekeenetic прописал новую маску и путь

route ADD 10.28.0.0 MASK 255.252.0.0 10.29.8.1
route ADD 8.8.8.8 MASK 255.255.255.255 10.29.8.1
route ADD 9.9.9.9 MASK 255.255.255.255 10.29.8.1

по итогу, какие-то сайты ходят, по WG ютуб, инста к прмиеру, а PH, xvideo и тп нет, ну как и прошлый раз, когда шлюз меняли, что можно изменить? подредактировать?
P.s. через OVPN все работает как нужно, любые сайты открываются

Спойлер


2024-10-28T00:13:17.524Z
SSKlord

Вроде все правильно.

Спойлер


2024-10-28T05:31:38.490Z
SSKlord

Мне кажется я чёт с маршрутами не правильно сделал

2024-10-28T05:32:55.138Z
vitalik6243(vitalik6243)

что то очень странно что пинг до сервера составляет 1-2мс впс. Скиньте маршруты с вебморды кинетика

2024-10-28T07:32:59.980Z
vitalik6243(vitalik6243)

а ну я понял почему у вас ничего не работает.
В строке Adress у вас указан шлюз а не ip адрес который был в конфиге…
Нужно исправлять в инструкции сказано менять только 32 на 24 и не более

2024-10-28T07:34:44.223Z
lulu(lulu)

Спасибо, настроил по инструкции antizapret по WG на Keenetic. Скорость, в сравнении с OVPN, на порядок выше на моем роутере (KN1010)
OVPN где-то ~30 мбит
WG 200+

2024-10-28T09:07:34.342Z
SSKlord
Спойлер



2024-10-28T09:41:17.034Z
selkoslen(Selkoslen)

1- откуда и для чего взяли адрес 10.30.0.0/15?
2-адрес шлюза 10.29.8.1
3-инструкция не совсем актуальна, уже вышел изменения в самом скрипте, думаю @vitalik6243 обновит, желательно чтобы и все сайты открывались, а то чет не все маршруты стали ходить через ВГ :smiley:

2024-10-28T09:53:54.310Z
SSKlord

Да это я уже менял и так и сяк добавлял удалял. Первоначально было 10.30.0.0/15, 10.29.0.1/32
На Гите просто изменения есть ,а конфиг выдает с ними. Вот и пробовал по разному то добавлял 10.28.0.0/14 те удалял то все вместе писал. Аж сам уже запутался где и что менял.

2024-10-28T10:01:01.694Z
SSKlord

А шлюз согласно скаченому из инструкции тхт

2024-10-28T10:02:17.756Z
SSKlord

Что-то мне кажется эти все свистопляски тупо из за днс провайдера. Я их ещё не трогал.

2024-10-28T10:11:37.952Z
vitalik6243(vitalik6243)

Почему шлюз указываете 8.2
Увы но там не обновился файл после редактирования.
А форум не дает отредактировать повторно.
Именно поэтому я дублирую все скриншотами

2024-10-28T12:51:23.611Z
vitalik6243(vitalik6243)

В текущий момент после последних событий от ркн, я рекомендую после подключения к вг сразу пинговать шлюз 8.1 и проверять идет пинг до сервера через шлюз или нет

2024-10-28T13:36:12.132Z
SSKlord

Приплыли)

Спойлер



Сейчас я так понимаю все правильно сделал и как вы и писали теперь не пингуется.

2024-10-28T13:59:16.495Z
vitalik6243(vitalik6243)

да, все правильно пинга нет значит ваш ip в списке ркн. WG работать не будет, пока работает опен впн можно перейти на него, либо перевести на амнезию.

2024-10-28T14:25:06.482Z
vitalik6243(vitalik6243)

Надо наверное подумать и указать в инструкцию теперь чтобы проверяли пинг до шлюза, т.к. ркн хитро ограничивает WG
зеленый стрелочка горит, сервер тоже говорит все ок, а dpi ркн говорит не будет у тебя трафика до твоей впс по этому протоколу)))

2024-10-28T14:26:30.408Z
SSKlord

Так это амнезию я настраивал. Или я опять не так сделал.

2024-10-28T14:36:16.124Z
vitalik6243(vitalik6243)

посмотри в файле конфигурации есть ли строка wireguard asc и правильные ли ты вбил туда значения?

2024-10-28T16:29:56.165Z
vitalik6243(vitalik6243)

Хм я вот кстати не тестировал с новой сеткой в маршрутах будет ли работать, ща гляну отпишусь мож ты закрутил трафик что он не работает…
PS проверил работает.

2024-10-28T16:31:34.952Z
SSKlord

Есть, выше скрин же кидал. Оказывается не пинговался шлюз у меня. Сервер опытов моих не выдержал и лег. Сейчас перезапустил. Пинг до шлюза проходит, но с роутера по-прежнему заблокированные сайты не открывает хотя может позже продуплится, хотя на телефоне конфиг стоит, сразу работает все.

Спойлер

А трафик только в одну сторону идёт. Что странно. Похоже днс всё таки блочит провайдера.

2024-10-28T17:00:04.563Z
vitalik6243(vitalik6243)

Что говорит dnsleaktest?
Ты можешь аналогично сделать с компа tracert ipdns и посмотреть куда уходит трафик в твоего провайдера или в впн там будет заметная разница.

2024-10-28T17:12:54.170Z
SSKlord

Я так понимаю трафик на прямую идёт.

Спойлер


2024-10-28T19:25:10.716Z
vitalik6243(vitalik6243)

Да трафик идет напрямую. Замените днс првоайдера на днс яндекса. В целом я лично не использую днс провайдера т.к. они имеют свойство меняться потом создавай мне дискомфорт.

Этот сайт работает шустрее рекомендую его.

2024-10-28T19:30:54.554Z
SSKlord

Поменял не помогло. Чёт меня уже это прям напрягает.
А это кстати нормально что в маршрутах вылезло 10.29.8.0 хотя не где не прописано.

Спойлер

2024-10-28T21:54:19.556Z
vitalik6243(vitalik6243)

ага а вот тут нужно было начинать. у тебя ppoe соединение оно не работает без интернет фильтра. Листай пунктны ниже))) И настраивай интернет фильтр, днсы верни провайдерские взад.

2024-10-28T21:57:29.387Z
SSKlord

Заработало, ну наконец-то!) Причем даже без возврата днс от провайдера. Спасибо огромное)

2024-10-29T05:46:46.416Z
jaos42(EVGENIY)

Работает на pppoe безо всяких фильтров

2024-10-29T07:11:29.373Z
Batonskij

Не работает!

2024-10-29T10:51:17.568Z
Zlodeyz(Владимир)

Обновил антизаперт на сервере
Поменялись конфигурационные файлы.
Сделал так
AllowedIPs = 10.28.0.0/14, 77.88.8.8/32, 77.88.8.1/32

Маршрутизация такая
route ADD 10.28.0.0 MASK 255.252.0.0 10.29.8.1
route ADD 77.88.8.8 MASK 255.255.255.255 10.29.8.1
route ADD 77.88.8.1 MASK 255.255.255.255 10.29.8.1

Правильно ?

2024-10-29T12:04:34.738Z
selkoslen(Selkoslen)

по идее да, начинает работать,но некоторые сайты у меня не грузят (хотя до обновлений скрипта все работало)

2024-10-29T15:09:39.797Z
SSKlord

Там же опять изменения были.

2024-10-29T17:18:24.192Z
Zlodeyz(Владимир)

Какие сайты не работают ? Напиши проверю.
У меня например госуслуги грузяться на половину, но я знаю, что это из-за мегафона. С билайном все корректно отображается.

2024-10-29T17:28:26.787Z
selkoslen(Selkoslen)

Да самые важные PornHub, xvideo ну и тп :smiley: xhamster только норм работает

2024-10-29T17:35:48.798Z
Zlodeyz(Владимир)

Работают твои сайты.
Обнови антизапрет и
создай нового клиента там есть изменения.
AllowedIPs = 10.29.8.0/24, 10.30.0.0/15,

2024-10-29T17:56:09.366Z
selkoslen(Selkoslen)

Про обновление знаю, да это проверка работоспособности :smiley:, подсеть 10.30 кст не создавал, попробую. просто вроде как все и работает, а вроде и не совсем корректно

2024-10-29T17:58:41.827Z
Zlodeyz(Владимир)

я 10.30 создал, а вот 10.29.8 нет. Но вроде работает.

2024-10-29T18:05:46.266Z
mafiacheb(Александр)

del

2024-11-02T10:20:31.774Z
travkin

Сразу несколько вопросов:
1: файл .conf сгенерированный через гугл шелл или через гитхаб поддаётся такой же правке?
2: нужен ли тогда антизапрет через OpenVPN? (он настроен и работает исправно) В моём понимании он работает с заблокированными сайтами, а warp можно использовать для ютуба.
3: откуда вообще этот шлюз взят (10.29.8.1)? не разобрался.

2024-11-05T08:38:17.183Z
k200r87

Приветствую. При перезагрузке роутеров (Giga и Sprinter) слетает время (не может автоматически обновится) и соответственно нет подключения через AWG. Помогает вручную ввести время в настройках, после этого интернет поднимается и снова переключить на автоматическое получение. Если оставить время в ручном режиме, то после следующей перезагрузки оно выставляется как в первый раз (т.е. не корректно). AWG настроена через фильтры. Включено “игнорировать DNS интернет-провайдера”
Куда копать?

Спойлер

2024-11-09_15-46-44

2024-11-09T12:50:24.355Z
dartraiden(Alexander Gavrilov)

Поскольку у вас в системном профиле публичных серверов нет, то вы сами себя загнали в замкнутый круг: пока туннель не поднят, в системном профиле нет DNS, роутер не может отрезолвить сервер времени и скорректировать время; а пока время не скорректировано, туннель не может подняться.

Очевидно, нужно в системный профиль добавить какие-либо публичные DNS с привязкой к домену, используемому для коррекции времени. Добавьте какой-нибудь публичный DNS (отличный от тех, который используются в профиле AntiZapret) и укажите там же, что его нужно использовать для домена pool.ntp.org

2024-11-14T14:36:21.334Z
k200r87

Добавил в системный профиль следующее:

Спойлер

2024-11-14_18-15-29

И к сожалению перезагрузил роутер, не находясь с ним рядом. По итого связь с роутером потеряна (ни через приложение, ни через KeenDNS), теперь доберусь до него на следующей неделе и попытаюсь понять, что могло пойти не так.

2024-11-14T15:20:29.701Z
dartraiden(Alexander Gavrilov)

Может, роутер по умолчанию использует какой-то иной сервис синхронизации времени. В таком случае проблема сохранилась: роутер при старте остаётся без DNS (т.к. в системном профиле только частный адрес, который недоступен без активного WG-туннеля, а WG-туннель не может подняться из-за сбитого времени), соответственно, он даже не может достучаться до своих серверов (для всех служебных нужд используется именно системный профиль), поэтому и KeenDNS с приложением не работают (правда, не очень понятно, почему потеря связи не случилась при прошлых перезагрузках).

В таком случае следует в настройках указать серверы синхронизации времени вручную (возможно, создать для каждого из них запись в системном профиле).

К слову, KeeneticOS имеет режим безопасной настройки, который позволяет протестировать внесённые изменения без их сохранения, что очень удобно при удалённой настройке: в случае пропадания доступа через 3 минуты роутер отменит проблемные изменения.

2024-11-14T18:01:07.916Z
JewB

Все отлично крутилось, на кинетике( амнезия_WG ). Сегодня все ТВ, PS5, Dune отлетели от YouTube. Компьютер, мобильные телефоны, прекрасно работают от кинетика. Проверил на ТВ, через браузер 2ip.ua, видется мой VPS, 2ip.ru мой ip, но youtube хрен работает. Если с телефона раздать моб. интернет, youtube работает.
Куда еще можно посмотреть? Ума не приложу.

2024-11-17T21:14:06.497Z
dartraiden(Alexander Gavrilov)

У мобильных провайдеров YT зачастую не блокируется, поэтому и работает.

2024-11-18T07:52:15.668Z
JewB

С мобильного делал, чтоб проверить клиентов YouTube на устройствах. Вопрос не в том, а почему не работают от кинетика? Компьютер и телефоны подключенные к кинетику показывают YouTube. А тут целый зоопарк перестал показывать. Может на кинетике надо глянуть? Попробовал на старом асусе ax88u, картина такая же)))

2024-11-18T07:58:04.370Z
dartraiden(Alexander Gavrilov)

В общем, я вижу два пути:

  1. Как было предложено изначально, выяснить, какие домены KeeneticOS использует для синхронизации времени, и для этих доменов указать публичный DNS.

Минусы: если по какой-то причине WG не подключён (сервер умер или протокол начали блокировать), то у вас в системном профиле голяк, соответственно перестают работать все сервисы роутера (KeenDNS, обновление прошивки, установка компонентов)

  1. Не создавать профиль DNS “AntiZapret”. Вместо этого публичные DNS указать в Системном профиле. Маршруты до этих публичных DNS добавлять лишь когда доступно подключение WG (вроде бы, для этого служит опция “добавлять автоматически” в настройках маршрута).

Таким образом, пока WG-туннель не поднят, роутер использует публичные DNS, а когда туннель поднимается, запросы к этим DNS маршрутизируются в туннель.

Это всё сугубо теоретически, т.к. на мой “пиратский” Keenetic пока нет прошивки 4.2, а без неё не работает и AmneziaWG.

2024-11-18T07:58:50.326Z
dartraiden(Alexander Gavrilov)

Уточните, он хрен работает на ТВ через браузер или через приложение? Или и так, и эдак не работает?

2024-11-18T08:00:36.796Z
JewB

Итак про YouTube. На ТВ не работает через приложение и через встроенный браузер. На PS5 не работает через приложение, на приставке DUNE не работает через приложениe. Если зайти через браузер на ТВ на 2ip.ua, то показывает ip vps, 2ip.ru мой ip. Вот такая хреномуть. Абсолютно разные на устройствах ос WebOS, android, PS5))

2024-11-18T08:09:59.419Z
dartraiden(Alexander Gavrilov)

Это правильно, доступ к доменам .ua в России блокируется, поэтому трафик до них идёт через VPN (и показывается адрес сервера), а доступ к 2ip.ru не блокируется, и трафик идёт напрямую (и показывается реальный IP).

Раз у вас наблюдается ситуация “в браузере YT работает, а через приложение нет”, то попробуйте на роутере зарезать трафик QUIC.

Межсетевой экран → Домашняя сеть → Добавить правило
Включить правило: Включено
Описание: Блокировать QUIC
Действие: Запретить
Протокол: UDP
Номер порта назначения: Равен 443
Остальные параметры оставляем без изменений

2024-11-18T08:49:33.538Z
JewB

Благодарю, вечером попробую.

2024-11-18T08:52:13.654Z
bync(Ole)

а можно в системный добавить какой-то днс на такой случай, используя профиль АЗ? если будет использоваться профиль АЗ пока поднят туннель, то по идее неважно что там в системном? или будут утечки какие-то и прочие проблемы?

2024-11-18T10:36:33.017Z
dartraiden(Alexander Gavrilov)

Теоретически можно просто в системный профиль добавить любой публичный DNS, не из профиля AntiZapret.

Минусы: для сервисов, поднятых на самом роутере и для клиентов, подключённых по VPN (когда роутер выступает как VPN-сервер), обход блокировок работать не будет. То есть, для всех, кто использует системный профиль. Только для клиентов из локальной сети обход блокировок будет работать (т.к. они используют другой профиль DNS, не системный).

Лучше сначала попробовать реализовать п.2 из Настройка Keenetic под WireGuard AntiZapret - #137 by dartraiden. Этот способ лишён таких недостатков.

2024-11-18T10:44:09.760Z
bync(Ole)

Спасибо, раньше у меня так и было как в п.2, но почему-то со временем показалось что с профилем стабильнее работает, беда только в том что если почему-то антизапрет упадет, то не открываются никакие сайты.

2024-11-18T13:00:01.669Z
JewB

Ничего не изменилось к моему сожалению.

Сетевой экран

2ip.ua показывает на ТВ адрес VPS, даже локальный ip(должно так быть?), но если обновить страницу то уже не даст. Маленькая ремарка, приложение Youtube при запуске, даже не доходит до превьюшек, висит заставка или чистый экран после заставки Youtube и так на всем моем зоопарке, акромя пк и телефонов.
ЗЫ достал старенький планшет samsung на Андроиде, тоже показывает 2ip.ua, ip VPS, YouTube так же до превье не доходит.

2024-11-18T14:51:31.650Z
k200r87

Опишу, что в итоге было.
Роутер работал, интернет раздавал, но доступа из KeenDNS и приложение не было. Время на роутере было правильное.
До этого в роутере были прописаны вручную сервисы синхронизации.

Спойлер

image

Указал - автовыбор. Вроде пока после перезагрузки удаленный доступ не отваливается. Буду наблюдать дальше.
Профили системный и антизапрет выглядят так:

Спойлер


2024-11-19T10:09:49.534Z
dartraiden(Alexander Gavrilov)

Ну, если при автовыборе прошивка использует pool.ntp.org, то должно работать. Вопрос конечно, что она использует при автовыборе…

Для подстраховки можно для pool.ntp.org добавить ещё какой-нибудь DNS. А то вдруг 195.208.4.1 возьмёт и умрёт. Какая-нибудь атака на него случится или рукожопые администраторы его уронят. Например, можно воспользоваться публичным DNS MSK-IX

2024-11-19T14:01:34.200Z
k200r87

Это могло быть связано с новостью описанной в этой статье по ссылке ниже?
https://habr.com/ru/articles/860828/

2024-11-28T13:07:43.347Z
dartraiden(Alexander Gavrilov)

cloudflare.com точно не мог быть доступен, т.к. его домен не через что было резолвить.
162.159.200.1 (вроде, это тоже Cloudflare) - не знаю, может, Keenetic хочет именно домен, а IP не поддерживает тут?
pool.ntp.org хоть и испытывал огромную нагрузку, но работал

Главная мысль в том, чтобы не загонять себя в замкнутый круг “на старте нет доступных DNS > NTP-серверы не отрезолвить > Время не синхронизировать > WG со сбитым временем не поднять > DNS от WG не доступен”.

Поэтому в системный профиль добавляется правило “NTP-сервер можно резолвить через вон тот публичный DNS”. Дальше время корректируется, заводится WG, появляется доступ к 10.29.0.1 и он уже резолвит все запросы.

2024-11-28T17:39:17.254Z