Комментарии 43
спасибо, исправлено
Роутер со стандартным WG, надо думать, не взлетит
Для того, чтобы обфусцировать WireGuard конфиг, нужно в ваш конфиг добавить следующие параметры: Jc, Jmin, Jmax
Что-то не распарсил вообще.
Это же не опции нативного ядерного WG?
Много раз в комментариях задавали вопрос, но, кажется, я не увидел на них ответ: будет ли AmneziaWG работать при самых лютых блокировках по белым спискам на манер тех, что были в Дагестане и Якутии? То есть, когда ТСПУ режет вообще всё, что непохоже на HTTP 1-2, голый DNS, Bittorrent и FTP как по TLS, так и по разным другим сигнатурам?
VLESS+XTLS-Reality доказал, что устойчив к таким блокировкам, но вот насчёт остальных...
Маскировки по легитимный HTTPS трафик нету, когда ТСПУ переключаются в режим "режем всё неопознанное" - работать не будет.
Например, такой режим работы ТСПУ был продемонстрирован при беспорядках в дагестанском аэропорту.
Абсолютно верно. Но для мимикрирования под HTTPS исходящий от популярного приложения и/или популярного сайт не нужна амнезия. Ванильный wg прекрасно для этого подходит. Не нужно добавлять мусорные данные, рандомные числа, переименовывать заголовки и тд.
Импортировать созданный конфиг с VPN и пользоваться им можно как в приложение AmneziaWG, так и в AmneziaWG.
Это точно то, что хотели сказать?)
Это все хорошо, только не спасет от блокировки протоколов по белым спискам, когда все unknown будет резаться. Лучше сразу копать в сторону маскировки под TLS или другие протоколы, которые возможно оставят рабочими
Wg не будет маскироваться под легетимный tls, wg это udp как бы все легетимного tls уже не будет, quic уже забанен, переключение на tcp не имеет смысла. Vless ни куда не денется пока что. Пока и vanilla wg работает в центральной части России. Vless просто держим в голове как резерв
Сделайте в Amnezia VPN для андроид возможность прописать параметры подключения к серверу руками. У меня уже есть настроенный руками сервер с vpn и cloack, нет клиента для андроид, а в Вашем не настраивается.
На гитхубе есть конвертер конфигов из json в vpn:// и обратно. Я им выдернул конфиг в читабельном формате, прописал туда свои параметры, конвертнул снова в vpn:// и скормил клиенту на ведроиде. В итоге cloak пролетает, стучится на сервер опенвпн, который биндится к локалхосту, авторизуется по х509 и сразу уходит в реконнект. Дальше копать не было времени, поэтому отложил до лучших дней.
Важно помнить, что параметры S1, S2 и H1, H2, H3, H4 должны оставаться
равными указанным значениям (иначе ничего не заработает), а параметры J
вы можете изменять как вам захочется.
Зачем тогда вообще выносить параметры в конфигурацию, если их нельзя менять?
А конфиг с AmneziaVPN на AmneziaWG раздать нельзя?
И пользуясь случаем - когда планируете killswitch?
Спасибо!
killswitch уже есть для протоколов OpenVPN, OpenVPN over Cloak WireGuard и AmneziaWG. В WireGuard он всегда был, он там прям в протокол вшит, для других протоколов мы его добавили , он работает по-умолчанию. KillSwitch точно есть в последних двух релизах Амнезии.
Чтобы раздать конфиг через AmneziaVPN для AmneziaWG нужно нажать поделиться подключением на нижней панели в AmneziaVPN и там в меню выбрать протокол AmneziaWG и чуть ниже в строке "для AmneziaWG нативный формат" ( нужна последняя версия клиента)
Вот бы ещё сборку GUI под винду и мак без вашего комбайна
Вот бы ещё версию portable для софта, цены бы небыло ;)
А поддержку для Opnsense не планируете? Там правда модуль ядра придется переписывать видимо.
Попробовал на Keenetic - не сработало(
Нет ли планов реализовать десктопные клиенты по примеру клиентов для смартфонов? Вижу у вас на гитхабе форки оригинальных клиентов для Win и MacOS (последний, впрочем, заархивирован), нет ли прогресса?
Чет я не заметил, что он устойчив к блокировкам, в мобильных сетях МТС он не работает!
Осталось systemd-networkd подружить с amneziawg также как он дружит с обычным wg. И будет счастье )
А что именно там не дружит?
Ну нужно научить systemd-networkd дёргать Netlink-вызовы Амнезии, а не обычного WireGuard'а. Он же не использует для конфигурации команду wg, а напрямую обращается к netlink-сокету.
А можно чуть подробнее, что за вызовы и когда должны дёргаться? Я сейчас пытаюсь амнезию на серверах поставить и работает оно несколько странно.
Оно же наоборот работает - wg сам свой интерфейс создаёт/конфигурирует/удаляет. Вы в обход wg что-то конфигурируете?
wg - это же обычная программа, а не какая-то магическая утилита. Если она умеет конфигурить wg-интерфейсы, значит можно написать свою программу, которая будет делать это так, как надо вам.
systemd-networkd именно по такому пути и пошел: вместо использования wg, он дёргает напрямую ядро для конфигурации сетевых интерфейсов тех типов, которые он поддерживает.
Для конфигурации сетевой подсистемы в Linux используются Netlink-сокеты. Как с ними работает утилита wg можно посмотреть в исходниках wg. Соответственно, для конфигурации awg используются похожие сообщения, но со своей "сигнатурой".
А, ну это понятно. Но чтобы systemd-networkd с awg работал, нужно его самого править, а для этого нужно активное содействие его разработчиков.
Я пользуюсь приложением v2rayN на Windows. Аналоги: Hiddify и NekoRay. Есть аналоги для всех популярных платформ. Эти программы работают с многими протоколами, в том числе с WireGuard, но я не нашёл возможность подключить ваш протокол. Где указывать все эти параметры - S1, S2 и H1, H2, H3, H4, ... для протокола WireGuard?
Ваше приложение AmneziaWG для Windows настолько уступает указанным выше универсальным клиентам, что выглядит совершенно бесполезным. Вы зачем-то написали новое приложение, когда можно было доработать существующие open source приложения.
У них же новый протокол на основе WG (с кучей плюсов, кстати), вы авторам приложений пишите. И, как я понимаю, AneziaWG это такая простенькая opensource-затычка, а есть ещё и некий мега-комбайн от них, который всё умеет, но на который нет толком документации, и которому многие не верят в силу закрытости и сложности.
Вы влезли в протокол wg для того, чтобы его обфусцировать. Все изменения, которые вы сделали, относяться только к обфускации. Но такой подход в современном мире является неверным и вот почему.
Все современные DPI системы (в т.ч. те, которые сейчас работают в РБ/РФ и в КНР) пытаются понять с каким типом трафика они имеют дело. Типы трафика для примера:
Браузер подключился к сайту
Мобильное приложение подключилось к серверу
VPN клиент подключился к серверу
Неизвестное приложение подключилось к серверу
Для каждого типа трафика действует различная политика по пропускной способности. Если вы обфусцируете то всегда попадаете в 4 категорию. А это по факту самая отвратительная политика пропускной способности.
Если говорить про КНР и великий китайский фаерволл, то ваша амнезия поработает там приблизительно 1 час на высокой скорости, затем несколько часов на низкой скорости. После этого она вообще не сможет выйти в интернет т.к. будет полностью заблокирована. А все потому, что китайский фаеволл пытался, но не смог понять с каким трафиком он имеет дело. После этого он просто построил отпечаток вашего измененного протокола и заблокировал его как неизвестный.
Если вы попытаетесь использовать вашу амнезию в КНР во время любых политических событий, то вообще не сможете ни к чему подключится. Потому что по этим дням пропуск неизвестного трафика китайским фаевроллом запрещен впринципе.
Аналогичная ситуация сегодня происходит и с различными фаевролами в РБ/РФ.
Для того, чтобы попасть в политику пропуска трафика 1-2 необходимо мимикрировать под браузер и/или мобильное приложение. А вот для мимикрирования ванильный протокол wg достаточно хорош и не требует никаких изменений. Не надо добавлять никакого мусора, переименовывать заголовки, добавлять рандомный префиксы и суффиксы. Это просто не нужно.
Приветствую! Планируется ли пакет под openwrt или там есть какие-либо нюансы?
Мы добрались до ядра, или новые возможности AmneziaWG