पिनपॉइंट पीकेएच वायरगार्ड और डीएनएस क्रिप्ट के साथ एक ओपनवार्ट राउटर पर ब्लॉक कर रहा है

समान सामग्रियों से क्या अंतर है?

• शुद्ध OpenWrt कार्यान्वयन
• वायरगार्ड का उपयोग करना
• राउटर का कॉन्फ़िगरेशन ओपनवर्ट कॉन्फ़िगरेशन का उपयोग करके व्यवस्थित किया गया है, और एक स्क्रिप्ट में एक गुच्छा नहीं है
• नेटवर्क को फिर से शुरू करने और रिबूट करने की स्थितियां हैं
• यह बहुत कम राउटर संसाधनों की खपत करता है: लॉक किए गए सबनेट iptables में निहित हैं, और रूटिंग टेबल में नहीं। क्या आप कमजोर उपकरणों पर भी इस व्यवसाय को तैनात करने की अनुमति देता है
• आंसिबल (राउटर पर आवश्यक कोई अजगर नहीं) का उपयोग करके स्वचालित कॉन्फ़िगरेशन

वीडियो संस्करण

ओपनवार्ट और वायरगार्ड क्यों?

OpenWrt सोहो राउटर के कई मॉडलों पर स्थापित है, यह आपकी दिल की इच्छाओं के रूप में कॉन्फ़िगर और विस्तारित है। अब कई राउटर फ़र्मवेयर ओपनआर्ट पर ऐड-ऑन हैं।

वायरगार्ड का उपयोग इसके त्वरित और आसान सेटअप के कारण किया जाता है, और सुरंग के माध्यम से उच्च संचरण गति के कारण भी।

वायरगार्ड के बारे में थोड़ा सा

हमारे मामले में, सर्वर ILV के बाहर एक VPS है, ग्राहक घर पर एक OpenWrt राउटर है। जब आप जाना चाहते हैं pornolab तार, आपका राउटर वायरगार्ड के साथ एक सर्वर के माध्यम से यातायात को निर्देशित करेगा।
वायरगार्ड एक साइट-टू-साइट कनेक्शन उठाता है, अर्थात्। सर्वर और क्लाइंट दोनों के पास कॉन्फ़िगरेशन का सर्वर और क्लाइंट पक्ष है। यदि यह स्पष्ट नहीं है, तो कॉन्फ़िगरेशन देखने पर यह स्पष्ट हो जाएगा।

सर्वर और क्लाइंट की अपनी निजी और सार्वजनिक कुंजी होती है।

वायरगार्ड को सर्वर पर कॉन्फ़िगर करना

मैं Ubuntu 18.04 पर सब कुछ कर रहा हूं, लेकिन आधिकारिक दस्तावेज में सभी ज्ञात और बहुत ओएस के लिए स्थापना निर्देश हैं ।

स्थापना

sudo add-apt-repository ppa:wireguard/wireguard 

यदि कोई त्रुटि होती है

 sudo: add-apt-repository: command not found 

सॉफ़्टवेयर-गुण-सामान्य स्थापित करें - पैकेज पीपीए को जोड़ने और हटाने की क्षमता प्रदान करता है

 sudo apt install software-properties-common 

 sudo apt update sudo apt install wireguard-dkms wireguard-tools 

हम सर्वर के लिए कुंजी उत्पन्न करते हैं। हम सुविधा के लिए वायरगार्ड निर्देशिका में चाबियाँ बचाएंगे।

 cd /etc/wireguard/ wg genkey | tee privatekey-server | wg pubkey > publickey-server 

तदनुसार, प्राइवेटकी-सर्वर फ़ाइल में एक निजी कुंजी और पबलीके-सर्वर फ़ाइल में एक सार्वजनिक कुंजी होगी।
हमने ग्राहक के लिए तुरंत एक कुंजी भी बनाई:

 wg genkey | tee privatekey-client | wg pubkey > publickey-client 

विन्यास

कॉन्फ़िगरेशन /etc/wireguard/wg0.conf में संग्रहीत है। सर्वर साइड इस तरह दिखता है:

 [Interface] Address = 192.168.100.1 PrivateKey = privatekey-server ListenPort = 51820 PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o ens3 -j MASQUERADE PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o ens3 -j MASQUERADE 

पता - wg इंटरफ़ेस के लिए पता (सुरंग के अंदर पता)
PrivateKey - निजी कुंजी (निजी सर्वर)
ListenPort - वह पोर्ट जिस पर सेवा कनेक्ट होने की प्रतीक्षा कर रही है

खैर, हम मस्कारिंग करते हैं, क्योंकि हम इंटरनेट तक पहुंचने के लिए इस सर्वर का उपयोग करेंगे
कृपया ध्यान दें कि आपके मामले में इंटरफ़ेस का नाम अलग हो सकता है:

ग्राहक भाग

 [Peer] PublicKey = publickey-client AllowedIPs = 192.168.100.3/24 

PublicKey - हमारे राउटर की सार्वजनिक कुंजी (publickey-client)
AllowedIPs सबनेट हैं जो इस सुरंग के माध्यम से उपलब्ध होंगे। सर्वर को केवल क्लाइंट पते तक पहुंच की आवश्यकता होती है।

दोनों भागों को एक विन्यास में संग्रहीत किया जाता है।

रिबूट पर ऑटोस्टार्ट चालू करें:

 systemctl enable wg-quick@wg0 

हम सर्वर को राउटर बनाते हैं:

 sysctl -w net.ipv4.ip_forward=1 

फ़ायरवॉल कॉन्फ़िगर करें। मान लें कि हमारे पास हमारे सर्वर पर केवल वायरगार्ड और ssh है:

 sudo iptables -A INPUT -i lo -j ACCEPT sudo iptables -A INPUT -p udp -m udp --dport 51820 -j ACCEPT sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT sudo iptables -A INPUT -p icmp -j ACCEPT sudo iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT sudo iptables -A INPUT -j DROP 

Iptables कॉन्फ़िगरेशन सहेजें:

 sudo apt-get install iptables-persistent sudo netfilter-persistent save 

हम पहली बार मैन्युअल रूप से wg इंटरफ़ेस बढ़ाते हैं:

 wg-quick up wg0 

वायरगार्ड सर्वर तैयार है।

UPD 06/27/19 यदि आपका प्रदाता अभी भी PPoE का उपयोग करता है, तो आपको एक नियम जोड़ने की आवश्यकता है। धन्यवाद denix123

 iptables -t mangle -I POSTROUTING -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu 

राउटर सेटअप

मैं Xiaomi mi 3G और Asus RT-N16 पर OpenWrt संस्करण 18.06.1 का उपयोग कर रहा हूं।

राउटर का तर्क

हम सूचियों को लोड करते हैं, उन्हें iptables में डालते हैं, iptables इन सूचियों के सभी पते को 0x1 मार्कर से चिह्नित करता है। इसके अलावा, 0x1 के साथ चिह्नित सभी पैकेट एक अलग मार्ग तालिका में जाते हैं, इस मार्ग तालिका में गिरने वाले सभी पैकेट wg इंटरफ़ेस से गुजरते हैं।

पैकेज स्थापना

फ्लैश पर कब्जे वाले स्थान के लिए, सब कुछ लगभग 0.9 एमबी की आवश्यकता होगी। यदि आपके पास बहुत खराब जगह है, तो कर्ल को विग के साथ बदलें और आपको dnscrypt -xy स्थापित करने की आवश्यकता नहीं हो सकती है।

हम पैकेज डालते हैं। OpenWrt में, यह opkg पैकेज मैनेजर के माध्यम से करना आसान है:

 opkg update opkg install ipset wireguard curl 

सूची डाउनलोड करें

OpenWrt की मानक विशेषताओं के माध्यम से जो कुछ भी किया जा सकता है, उनके माध्यम से किया जाता है। बाकी सब कुछ (हॉटप्लग को छोड़कर) मैंने एक छोटी स्क्रिप्ट में डाला:

 #!/bin/sh START=99 dir=/tmp/lst mkdir -p $dir echo "Run download lists" curl -z $dir/subnet.lst https://antifilter.download/list/subnet.lst --output $dir/subnet.lst curl -z $dir/ipsum.lst https://antifilter.download/list/ipsum.lst --output $dir/ipsum.lst echo "Firewall restart" /etc/init.d/firewall restart 

निषिद्ध सबनेट और पते की सूची फाइलों द्वारा प्राप्त की जाती है। उनके लिए हम / tmp में एक डायरेक्टरी बनाते हैं। In / tmp - क्योंकि यह RAM है, OpenWrt की ऐसी सुविधा काफी सुविधाजनक है। यह राउटर के रोम पर फिर से कुछ लिखने के लायक नहीं है।

हम सूचियों को एंटीफिल्टर.डाउट कर्ल के साथ पंप करते हैं, z ध्वज का अर्थ है कि कर्ल फ़ाइल को केवल तभी डाउनलोड करेगा जब दूरस्थ फ़ाइल स्थानीय एक से अलग हो या यदि यह नहीं है, उदाहरण के लिए राउटर लोड करते समय।

subnet.lst - अवरुद्ध सबनेट की एक सूची; यह अक्सर बदलता नहीं है।
ipsum.lst अवरुद्ध पतों की एक सूची है, जिसे मुखौटा द्वारा संक्षेपित किया गया है। 150 हजार रिकॉर्ड के बदले हमें 15 हजार मिलते हैं - सुविधा से।

हमारे पास फाइलें होने के बाद, हम फ़ायरवॉल को पुनः आरंभ करते हैं, यह ipset को काम करने और iptables में सूचियों को जोड़ने के लिए आवश्यक है, हम ipset को / etc / config / फ़ायरवॉल में कॉन्फ़िगर करेंगे।

इस स्क्रिप्ट को हम /etc/init.d/ में जोड़ते हैं, जिसे hirkn कहा जाएगा। इसे अमल में लाएं

 chmod +x /etc/init.d/hirkn 

अब हमारे पास सिर्फ एक स्क्रिप्ट नहीं है, बल्कि एक पूरी सेवा है। इसे बूट पर शुरू करने के लिए, हम /etc/rc.d में एक सिमलिंक बनाते हैं। हमें अन्य सभी सेवाओं के बाद इसे शुरू करने की आवश्यकता है, इसलिए हम S99 को उपसर्ग बनाते हैं

 ln -s /etc/init.d/hirkn /etc/rc.d/S99hirkn 

सूचियों को समय-समय पर अद्यतन करने की आवश्यकता होती है, हम क्रोन में रिकॉर्ड जोड़ते हैं:

 crontab -e 

 0 4 * * * /etc/init.d/hirkn 

दिन में एक बार उन्हें अपडेट करना काफी पर्याप्त लगता है। ध्यान रखें कि जब ipset में सूचियाँ जोड़ते हैं, तो नेटवर्क बंद हो जाता है, मेरे मामले में यह 2 सेकंड है।
UPD : यदि आप ब्रेक नहीं चाहते हैं, तो sigo73 और ग्रेवर ने सुझाव दिया कि यह कैसे करना है।

इसके अलावा मुकुट चालू करें, डिफ़ॉल्ट रूप से यह अक्षम है:

 /etc/init.d/cron enable /etc/init.d/cron start 

रूटिंग टेबल कॉन्फ़िगरेशन

बस लाइन जोड़कर सुरंग के माध्यम से यातायात के लिए एक रूटिंग टेबल बनाएं:

 99 vpn 

/ etc / iproute2 / rt_tables फ़ाइल में।

आप कमांड के साथ wg इंटरफ़ेस के माध्यम से "vpn" तालिका के लिए एक डिफ़ॉल्ट मार्ग बना सकते हैं:

 ip route add table vpn default dev wg0 

लेकिन जब आप नेटवर्क को पुनरारंभ करते हैं, तो मार्ग गायब हो जाता है, इसलिए हम /etc/hotplug.d/iface/ निर्देशिका में 30-rknroute फ़ाइल को सरल सामग्री के साथ बनाते हैं:

 #!/bin/sh ip route add table vpn default dev wg0 

इसका मतलब है कि जब आप इंटरफेस चालू / बंद करते हैं, तो हमारा मार्ग जुड़ जाएगा। और तदनुसार, यह मार्ग हमेशा पंजीकृत होगा।

नेटवर्क कॉन्फ़िगरेशन

हमें वायरगार्ड और 0x1 लेबल वाले पैकेट के लिए नियम को कॉन्फ़िगर करने की आवश्यकता है।

वायरगार्ड कॉन्फ़िगरेशन / etc / config / नेटवर्क में स्थित है

"सर्वर" भाग:

 config interface 'wg0' option private_key 'privatekey-client' list addresses '192.168.100.3/24' option listen_port '51820' option proto 'wireguard' 

Private_key एक प्राइवेट -क्लाइंट है जो हमने सर्वर को कॉन्फ़िगर करते समय उत्पन्न किया था
सूची पते - wg इंटरफ़ेस पता
सुनो_पोर्ट - जिस पोर्ट पर वायरगार्ड कनेक्शन स्वीकार करता है। लेकिन कनेक्शन सर्वर पर पोर्ट के माध्यम से होगा, इसलिए यहां हम इसके लिए फ़ायरवॉल पर पोर्ट नहीं खोलेंगे
प्रोटो - प्रोटोकॉल निर्दिष्ट करें ताकि ओपनरट को समझ में आ जाए कि यह वायरगार्ड कॉन्फ़िगरेशन है

"ग्राहक" भाग:

 config wireguard_wg0 option public_key 'publickey-server' option allowed_ips '0.0.0.0/0' option route_allowed_ips '0' option endpoint_host 'wg-server-ip' option persistent_keepalive '25' option endpoint_port '51820' 

public_key - publickey-server कुंजी
अनुमत_पाइप - सबनेट जिसमें यातायात सुरंग के माध्यम से जा सकता है, हमारे मामले में कोई प्रतिबंध की आवश्यकता नहीं है, इसलिए 0.0.0.0/0
path_allowed_ips - एक ध्वज जो अनुमत_ips पैरामीटर से सूचीबद्ध नेटवर्क के लिए wg इंटरफ़ेस के माध्यम से एक मार्ग बनाता है। हमारे मामले में, यह आवश्यक नहीं है, iptables यह काम करता है
endpoint_host - हमारे wg सर्वर का ip / url
persistent_keepalive - समय अंतराल जिसके बाद कनेक्शन का समर्थन करने के लिए पैकेट भेजे जाते हैं
एंडपॉइंट_पोर्ट - सर्वर पर वायरगार्ड पोर्ट

हम उस नेटवर्क कॉन्फ़िगरेशन के लिए भी एक नियम जोड़ते हैं जो रूटिंग टेबल "vpn" के लिए 0x1 चिह्नित सभी ट्रैफ़िक भेजेगा:

 config rule option priority '100' option lookup 'vpn' option mark '0x1' 

फ़ायरवॉल कॉन्फ़िगरेशन

हम पैकेज को चिह्नित करने के लिए दो नियम जोड़ते हैं, वे ओपनरिट यूसीआई सिंटैक्स में फिट नहीं होते हैं, इसलिए हम उन्हें "जैसा कि" /etc/firewall.user में जोड़ते हैं।
UPD : ग्रेवर ने सुझाव दिया कि वे काफी अच्छी तरह से फिट होते हैं। हमने उन्हें ipset सेट करने के बाद सेट किया

फ़ायरवॉल कॉन्फ़िगरेशन / etc / config / फ़ायरवॉल में है

वायरगार्ड के लिए एक ज़ोन जोड़ें। ओपनरट में, ज़ोन iptables में कस्टम चेन हैं। इस प्रकार, एक / कई इंटरफेस वाला एक क्षेत्र बनाया जाता है और उस पर पहले से ही नियम लटका दिए जाते हैं। Wg का क्षेत्र इस तरह दिखता है:

 config zone option name 'wg' option family 'ipv4' option masq '1' option output 'ACCEPT' option forward 'REJECT' option input 'REJECT' option mtu_fix '1' option network 'wg0' 

हम केवल ट्रैफ़िक को इंटरफ़ेस से बाहर निकलने और मस्कारिंग को सक्षम करने की अनुमति देते हैं।

अब आपको lan ज़ोन से wg ज़ोन में फॉरवर्ड करने की आवश्यकता है:

 config forwarding option src 'lan' option dest 'wg' 

ठीक है, आखिरी बात यह है कि ipset का उपयोग करके iptables में सूची बनाना है:

 config ipset option name 'vpn_subnets' option storage 'hash' option loadfile '/tmp/lst/subnet.lst' option match 'dst_net' config ipset option name 'vpn_ipsum' option storage 'hash' option loadfile '/tmp/lst/ipsum.lst' option match 'dst_net' 

loadfile - वह फ़ाइल जिससे हम सूची लेते हैं
नाम - हमारी सूची के लिए नाम
भंडारण , मिलान - यहां हम निर्दिष्ट करते हैं कि किस प्रकार का स्टोर करना है और किस प्रकार का डेटा है। हम टाइप करेंगे "सबनेट"

UPD : यदि आप व्यक्तिगत IP पतों की सूची का उपयोग करना चाहते हैं, तो आपको ipset सूची का आकार बढ़ाने की आवश्यकता है। Config ipset ऐड में

  option hashsize '1000000' option maxelem '1000000' 

अन्यथा आपको एक त्रुटि मिलेगी

 ipset v6.38: Hash is full, cannot add more elements 

UPD : लेबलिंग पैकेज के लिए दो नियम जोड़ें

 config rule option name 'mark_subnet' option src 'lan' option proto 'all' option ipset 'vpn_subnets' option set_mark '0x1' option target 'MARK' config rule option name 'mark_ipsum' option src 'lan' option proto 'all' option ipset 'vpn_ipsum' option set_mark '0x1' option target 'MARK' 

इन नियमों का अर्थ है कि सबनेट से vpn_subnets और vpn_ipsum सूची में जाने वाले सभी पैकेट 0x1 के साथ चिह्नित होने चाहिए।

उसके बाद, हम नेटवर्क को फिर से शुरू करते हैं:

 /etc/init.d/network restart 

और स्क्रिप्ट चलाएँ:

 /etc/init.d/hirkn 

स्क्रिप्ट पर काम करने के बाद, आपके लिए सब कुछ काम करना चाहिए। राउटर क्लाइंट पर मार्ग की जाँच करें:

 mtr/traceroute telegram.org/linkedin.com 

बोनस DNSCrypt कॉन्फ़िगर करें

क्यों? आपका प्रदाता ध्यान से अवरुद्ध संसाधन के आईपी-पते को बदल सकता है, इस प्रकार आपको अपने आईपी को एक स्टब के साथ पुनर्निर्देशित कर सकता है, ठीक है, इस मामले में हमारा आईपी बाईपास मदद नहीं करेगा। प्रतिस्थापन के लिए, प्रदाता के डीएनएस सर्वर का उपयोग करना हमेशा आवश्यक नहीं होता है, आपके अनुरोधों को बाधित किया जा सकता है और उत्तरों को प्रतिस्थापित किया जाएगा। वैसे, न केवल प्रदाता ऐसा कर सकता है।

 opkg install dnscrpt-proxy 

/ Etc / config / dnscrypt- प्रॉक्सी कॉन्फिगर को इस तरह कॉन्फ़िगर करें:

 config dnscrypt-proxy ns1 option address '127.0.0.1' option port '5353' option resolver 'cpunks-ru' 

इसलिए हमारे पास लोकलहोस्ट पर उपलब्ध 5353 पोर्ट पर dnscrypt सेवा है।

रिज़ॉल्वर एन्क्रिप्शन का समर्थन करने वाला एक dns सर्वर है। राउटर पर, फ़ाइल /usr/share/dnscrypt-proxy/dnscrypt-resolvers.csv में dnscrypt के इंस्टॉल किए गए संस्करण के रिलीज के समय उपलब्ध सर्वरों की एक सूची होती है। और यहाँ https://dnscrypt.info/public-servers/ सामान्य रूप से सभी उपलब्ध dnscrypt सर्वर हैं। आप एक और रिज़ॉल्वर चुन सकते हैं और / या गलती सहनशीलता के लिए सर्वर जोड़ सकते हैं। ध्यान रखें कि DNSCrypt चयनित रिज़ॉल्वर के साथ काम करने के लिए, इसे dnscrypt-resolvers.csv में निर्दिष्ट किया जाना चाहिए।

हम dnscrypt के साथ काम करने के लिए dnsmasq को कॉन्फ़िगर करते हैं। में / etc / config / dhcp, लाइन से टिप्पणी करें:

 option resolvfile '/tmp/resolv.conf.auto' 

ताकि प्रदाता डीएनएस सर्वर शामिल न हों।

और जोड़ें:

  list server '/pool.ntp.org/208.67.222.222' list server '127.0.0.1#5353' 

सूची सर्वर 'डोमेन / ip_dns' प्रविष्टि इंगित करती है कि निर्दिष्ट डोमेन को हल करने के लिए कौन से सर्वर का उपयोग करना है। इस प्रकार, हम ntp सिंक्रोनाइज़ेशन के लिए dnscrypt का उपयोग नहीं करते हैं - dnscrypt सेवा के लिए वर्तमान समय होना महत्वपूर्ण है।

जब राउटर लोड होता है, तो hirkn स्क्रिप्ट dnscrypt शुरू होने की तुलना में तेजी से चलती है, इसलिए एंटीफिल्टर.डाउट डोमेन हल नहीं करता है और सूचियों को डाउनलोड नहीं किया जाता है। आप देरी कर सकते हैं या कुछ और के साथ आने के लिए, लेकिन अभी तक मुझे कोई कारण नहीं दिखता है।
UPD : एक पंक्ति जोड़ने की आवश्यकता है

 START=99 

hirkn स्क्रिप्ट के लिए

नतीजतन, हम इस तरह के विन्यास में सम्मिलित करते हैं:

  #option resolvfile '/tmp/resolv.conf.auto' list server '/pool.ntp.org/208.67.222.222' list server '127.0.0.1#5353' 

UPD : कुछ उपकरणों पर, DNSCrypt स्क्रिप्ट के बाद भी शुरू होता है। इसे ठीक करने का सबसे आसान तरीका लाइन को / etc / config / dhcp में जोड़ना है

  list server '/antifilter.download/208.67.222.222' 

वैन इंटरफ़ेस के लिए प्रदाता DNS का उपयोग अक्षम करें
में / etc / config / network लाइन जोड़ते हैं

 option peerdns '0' 

वान इंटरफ़ेस के लिए।
हमें यह विन्यास मिलता है

 config interface 'wan' option ifname 'eth0.2' option proto 'dhcp' option peerdns '0' 

नेटवर्क को पुनरारंभ करें

 /etc/init.d/network restart 

स्टार्टअप में जोड़ें और dnscrypt शुरू करें:

 /etc/init.d/dnscrypt-proxy enable /etc/init.d/dnscrypt-proxy start 

पुनः आरंभ करें

 /etc/init.d/dnsmasq restart 

DNSCrypt के बिना और DNSCrypt के साथ काम का चित्रण

स्वचालित रूप से Ansible के साथ तैनात किया गया

प्लेबुक और टेम्पलेट गिथब पर हैं। यह एक मॉड्यूल का उपयोग करता है, इसे राउटर पर अजगर की आवश्यकता नहीं है और यूसीआई के लिए समर्थन है। मैंने यह सुनिश्चित करने की कोशिश की कि आपका OpenWrt कॉन्फ़िगरेशन अछूता रहे, लेकिन फिर भी सावधान रहें।

Gekmihesg / ansible-openwrt मॉड्यूल स्थापित करें:

 ansible-galaxy install gekmihesg.openwrt 

प्लेबुक और टेम्पेयाटा की प्रतिलिपि बनाएँ:

 cd /etc/ansible git clone https://github.com/itdoginfo/ansible-openwrt-hirkn mv ansible-openwrt-hirkn/* . rm -rf ansible-openwrt-hirkn 

अपने राउटर को मेजबानों में जोड़ें:

 [openwrt] 192.168.1.1 

अपने चरों को hirkn.yml में बदलें:

  vars: ansible_template_dir: /etc/ansible/templates/ wg_server_address: wg_server_ip/url wg_private_key: privatekey-client wg_public_key: publickey-server wg_listen_port: 51820 wg_client_port: 51820 wg_client_address: 192.168.100.3/24 

सेट करना सुनिश्चित करें:

wg_server_address - ip / url वायरगार्ड सर्वर
wg_pStreet_key , wg_public_key - ग्राहक और सार्वजनिक सर्वर की निजी कुंजी
वायरगार्ड सर्वर कैसे कॉन्फ़िगर किया गया है, इसके आधार पर बाकी को बदला या बदला नहीं जा सकता है

प्लेबुक लॉन्च करें

 ansible-playbook playbooks/hirkn.yml 

प्लेबुक को पूरा करने के बाद, राउटर तुरंत आपके वायरगार्ड सर्वर के माध्यम से ताले को बायपास करना शुरू कर देगा।

बीजीपी क्यों नहीं?

ओपनर के तहत दो उपयोगिताओं हैं जो बीजीपी - कुग्गा और पक्षी को लागू करते हैं। क्वैग मैं एंटीफिल्टर से डेटा एकत्र करने में सक्षम नहीं था। बर्ड ने आधे किक से सेवा के साथ दोस्त बनाए, लेकिन दुर्भाग्य से मुझे समझ में नहीं आया कि डिफ़ॉल्ट इंटरफ़ेस को प्राप्त उपशीर्षकों में कैसे जोड़ा जाए। (मुझे यह जानकर खुशी होगी कि इसे कैसे लागू किया जा सकता है)।

ऐसे लेखों की टिप्पणियों में, मैंने देखा कि लोगों की राउटर कुछ समय के लिए "विचारशील" थे, जब उन्होंने सूचियों को राउटिंग टेबल में डाल दिया। Ipset के माध्यम से कार्यान्वयन के साथ, मेरा Xiaomi mi 3G 2 सेकंड के लिए सोचता है (Asus rt-n16 5 सेकंड के लिए), जब आप उसे 15 हजार सबनेट की सूची खिलाते हैं। आगे के काम के साथ, मैंने प्रोसेसर पर लोड को नोटिस नहीं किया।

सभी सामग्री कार्रवाई के लिए कॉल नहीं हैं और लिनक्स ओएस की कार्यक्षमता के साथ परिचित करने के लिए प्रस्तुत की जाती हैं।