All streams
Search
Edit
Pull to refresh

Comments 18

Сколько делал VPSок - Debian 11 отлично самоапдейтится до 13. Зачем сидеть в старье, даже если нужно только докер запустить?

Rating is hidden

В 13 Debian пакета software-properties-common больше нет и туда теперь проблематично ставить пакеты из PPA для Ubuntu - а это самый простой способ поставить AmneziaWG на сервер

Но на Debian 12 этот способ должен всё ещё работать

Rating is hidden

Жуткий нейрослоп, даже читать больно.

Rating is hidden

Во первых пакеты awg с Ubuntu ppa отлично работают в Debian 13 и модуль ядра успешно собирается, во вторых отключение маршрутизации в WG это одна строчка: table=off в секции interface, в третьих - а нафига это все нужно? Я не догоняю

Rating is hidden

Нужно что бы не включать впн на телефоне.

Для обхода геоблокировок от чатгпт итп можно использоваться днс который перенаправляет запросы к заблокированным сайтам через свой реверс прокси, интересно получится ли так сделать для списка сайтов от ркн или так будут работать далеко не все сайты https://xbox-dns.ru/

Rating is hidden

Пробовал на роутере такое настроить - сработало, но телеге это не помогло.

И вопрос открытым остался, что делать когда работает только «белый» интернет. Где оно это заметное окно в Европу.

Rating is hidden

И не поможет потому что telegram по ip подключается, а не через dns.

Rating is hidden

Удаляем default route, который AmneziaWG добавляет автоматически

Что за костыли? Достаточно в конфиге AmneziaWG добавить Table = off и там же добавить маршруты вручную через PostUp = ip r add ...

Rating is hidden

PostUp = ip r add ...

Table = off - отличное решение, я не знал. Спасибо, но routes не получается добавить через PostUp ((

Rating is hidden

Не, должно всё работать нормально. Попробуйте просто запустить ваш скрипт, который добавляет маршруты: PostUp = /usr/local/bin/awg-start.sh. Или добавить одну подсеть для начала: PostUp = ip r a ...

Rating is hidden

Спойлер - настраивается аналогично обычному WG

Rating is hidden

Вижу что схема слишком переусложнена.
И в тоже время не очень функциональна.
Логичней заиметь две (минимум но можно и больше для резерва) VPS.
Одну в РФ а другую за границей.

VPS в РФ лучше выбирать у хостера, который пока еще без лишних коробочек на канале.
Таких мало уже, но есть, можно найти если поискать.

Далее на "non-ru VPS" поднимается AWG 2.0 в обычном варианте с одним каналом-интерфейсом.
А вот на "ru VPS" делаем хитрее и поднимаем три канала-интерфейса (учесть что надо мощности побольше, минимум 2 ядра CPU и 2Gb RAM с хорошим каналом).

Один канал-интерфейс AWG ("исходящий" за границу) с "ru VPS" на "non-ru VPS" с именем awg0.
Далее два канала-интерфейса AWG ("входящие" для мобильных и прочих клиентов) на "ru VPS" с именами awg1 и awg2.
Трафик с клиентов на awg1 идет через "ru VPS" напрямую неважно куда.
А вот трафик с клиентов на awg2 маршрутизируется через awg0 на "non-ru VPS".
В итоге серверу не надо заниматься напряжной split-tunneling маршрутизацией, простые правила в iptables по "входящим" интерфейсам.

А куда и через что пускать решает уже клиент, выборочно для доменов или ip.
Причем сервер у клиента в РФ назначен один, просто разные порты, зарубежный трафик с клиента не отловят легко.

Rating is hidden

никогда не писал тут, но премудрость этого решения просто убила. Нахрена так сложно?

Берется роутер кинетик (у меня гига 1011 на mipsel). Арендуется белый айпи адрес..(это дешевле чем впс).

На нем поднимается авг тунель до впс за бугром и вг сервер. Настраиваем на нем маршрутизацию по доменам и айпи адресам куда нам надо.

Всё, дома у нас уже сплит туннель.

Теперь на мобилу ставим приложение wg tunnel. Создаём подключение до кинетика.

В приложении можно выбрать вообще что условно только ТГ и Ютуб приложения идут в тунель.

В приложении можно настроить автоматизацию. Слез с вай-фай, Вг до роутера поднялся.

И всё это делается без единого захода в cli. Чисто тык-тык.

Сразу оговорюсь, что от белых списков это не спасает. Может не работать на каких-то провайдерах. Критика про белые списки принимается только с решением как их преодолеть. Остальное идёт лесом.

Rating is hidden

Берется роутер кинетик (у меня гига 1011 на mipsel). Арендуется белый айпи адрес..(это дешевле чем впс).

и дома так и сделано ... а у вас в городе нет мест, где работает только "белый" Интернет? Сбер, Яндекс и еще пара сайтов ... мой домашний провайдер не входит в список одобренных для таких мест ...

В целом, вся задумка и была ради этого, сделать первый сервер в диапазоне белых списков ..

Rating is hidden

Интересный workaround через Table=off + custom systemd-юнит. Для split-tunnel это рабочий способ, особенно когда маршруты меняются динамически.

Проще без Table=off: если в конфиге клиента указать конкретные AllowedIPs (в вашем примере — подсети Telegram), wg-quick по умолчанию НЕ добавляет default route и не ставит fwmark. Маршрут создастся автоматически только для указанных подсетей. Остальной трафик идёт через eth0 по умолчанию ОС, без правок systemd.

По DKMS на Debian 12/13: официальный PPA ставится через mapping bookworm→focal и trixie→noble, модуль собирается штатно. Ваш вариант через bullseye-backports + linux-5.15 валиден для Debian 11, но на новых релизах этот workaround уже не нужен.

Rating is hidden

Ваш вариант через bullseye-backports + linux-5.15 валиден для Debian 11, но на новых релизах этот workaround уже не нужен.

в Yandex.cloud на данный момент доступен Debian только 11 версии ... знаю, что в остальных случаях такой проблемы в принципе не будет

Rating is hidden

  1. А нет rootless контейнерного сетапа AWG 2.0?

  2. И нет ли более высокоуровневого, нативного на уровне AWG и переносимого вместе с контейнером (а значит, работающего исключительно внутри него) расширяемого решения типа VLESS route ID? Ссылка: https://xtls.github.io/en/config/routing.html (в поиске по странице введите VlessRoute)

Rating is hidden
Sign up to leave a comment.

Articles

Your account

Sections

Information

Services

Support
© 2006–2026, Habr