Прилетело в Discussions amneziawg-installer: AWG-тоннель встаёт с домашнего инета, через мобильный - handshake падает. MTU поменяли - не помогло.
Полез в код. Оказалось, я в awg_common.sh четыре диапазона H1-H4 захардкодил константами - у всех, кто запускал скрипт, они были одинаковые. Готовая статическая сигнатура. ТСПУ её, судя по всему, очень быстро просто выучил и стал палить всех разом. Не AWG виноват, баг был в моей реализации.
Вчера зарелизил v5.8.0 - H1-H4 теперь рандомятся при каждой установке: 8 uint32 из /dev/urandom, sort, четыре непересекающиеся пары. У каждого сервера свой набор.
Так что да, автор прав - не волшебная кнопка. Это постоянная гонка с тем, что новое научился ловить ТСПУ. Скрипт тут только снимает первичную настройку, дальше всё равно вручную.
Собирал похожее на мини-ПК. Кто планирует VPN на таком роутере - обращайте внимание на AES-NI. У меня на ARM без него WireGuard через userspace давал около 250 Мбит, а на x86 с AES-NI — под гигабит.
Администрирую серверы, VPN для меня рабочий инструмент - корпоративный до офиса, WireGuard до мониторинга, SSH-туннели. Без этого работа просто встаёт. Интересно как на практике будут отличать «плохой» VPN от рабочего.
Хорошо сделано, особенно GeoSite через dnsmasq ipset.
В статье серверная часть подразумевается готовой - для тех кому нужно поднять сервер с нуля можно глянуть https://github.com/bivlked/amneziawg-installer. Одна команда на Ubuntu/Debian VPS, ставит AWG 2.0 с I1-I5, генерирует .conf и QR-коды. Импортируешь в этот аддон и всё работает.
Как альтернатива, если веб-панель не нужна (для дома, для семьи) или VPS совсем слабенький сервачок (дешёвый) можно глянуть https://github.com/bivlked/amneziawg-installer. Чистый bash без зависимостей, тоже AWG 2.0 с I1-I5. Есть vpn:// URI для импорта в Amnezia Client одним тапом, --expires для временных клиентов, batch add/remove. Автор - я, если что)
Похожая схема - rsync + systemd timers. Один совет: добавь проверку что бэкап реально свежий, а не просто таймер отработал. У меня скрипт проверяет дату последнего файла и алертит если старше суток. Пару раз спасало, когда rsync молча падал.
На 24.04 с ручной установкой действительно боль - PPA не всегда подтягивает нужные пакеты, заголовки ядра не совпадают. Я с этим намучился и в итоге написал свой скрипт amneziawg-installer на гитхабе. Запускаешь одну команду, он сам ставит модуль, настраивает фаервол, генерит конфиги. На 24.04 и Debian 12/13 работает стабильно, все тщательно протестировано.
AWG использует ядерный модуль (DKMS), поэтому в Docker и обычном LXC не заведётся. На VPS проще ставить напрямую. Если нужна изоляция - KVM VM, там DKMS работает штатно. Ещё есть amneziawg-go (userspace), её в контейнер загнать можно.
Насчёт сложности I1-I5 - я это автоматизировал в отдельном проекте: github.com/bivlked/amneziawg-installer. Скрипт сам генерит рандомизированные H1-H4 ranges, S3-S4, I1-I5 для QUIC-мимикрии, пользователь их вообще не видит.
Одна команда на Ubuntu 24.04/25.10 или Debian 12/13, на выходе .conf + QR + vpn:// для импорта в приложение.
Не совсем понятное для меня отношение к "семейному архиву"... То, что было снято 15 лет назад второй раз уже не снимешь! Дети выросли, бабушки/дедушки и того хуже... У тут раз так, батничек запускаешь на два дня, а потом смотришь, на сколько же гигабайтов сократился твой архив. Да я уж лучше куплю пару винтов по 10Тб и сделаю две копии. Другое дело, порыться в этом архиве, найти что-то ценное (пару десятков фото) и уже их аккуратно и вдумчиво, с привлечением современных технологий отреставрировать/поправить/улучшить и т.д. Но, конечно, у всех разное отношение к этому. И это вопрос уже не технический.
Абсолютно согласен. Даже и не заметил "уход" гугла куда-то, хотя много лет пользуюсь телефоном на Android. Карты МИР как работали, так и работают в Samsung Pay и еще в нескольких платежных системах, в том числе и касанием терминала в магазине. Карты от Яндекса давным-давно стали удобнее гугловских и вторые были заброшены уже года три как. Про Яндекс.Навигатор даже и речи нет, он лучше гугловской навигации, как Ламборджини лучше копейки. Что еще? Гугл.Диск? Так Яндекс.Диск (по крайней мере у нас тут) просто в разы быстрее, и он однозначно удобнее. Гугл ассистент? Не видел среди своего круга общение кто бы его использовал регулярно. Так, попробовать, побаловаться. Даже Алису пользуют, а этого нет... А называть все описанные в статье действия гугла безвозмездными инвестициями в Россию просто смешно - хотели рубить деньги с рекламы и поиска, хотели привязать больше пользователей к своей экосистеме вот и делали. Уж точно не бесплатно инвестировали.
Прилетело в Discussions amneziawg-installer: AWG-тоннель встаёт с домашнего инета, через мобильный - handshake падает. MTU поменяли - не помогло.
Полез в код. Оказалось, я в awg_common.sh четыре диапазона H1-H4 захардкодил константами - у всех, кто запускал скрипт, они были одинаковые. Готовая статическая сигнатура. ТСПУ её, судя по всему, очень быстро просто выучил и стал палить всех разом. Не AWG виноват, баг был в моей реализации.
Вчера зарелизил v5.8.0 - H1-H4 теперь рандомятся при каждой установке: 8 uint32 из /dev/urandom, sort, четыре непересекающиеся пары. У каждого сервера свой набор.
Так что да, автор прав - не волшебная кнопка. Это постоянная гонка с тем, что новое научился ловить ТСПУ. Скрипт тут только снимает первичную настройку, дальше всё равно вручную.
Собирал похожее на мини-ПК. Кто планирует VPN на таком роутере - обращайте внимание на AES-NI. У меня на ARM без него WireGuard через userspace давал около 250 Мбит, а на x86 с AES-NI — под гигабит.
Три месяца и ничего не сделали - странно. Обфускация которая не обновляется долго не живёт, ТСПУ давно не статичный файрвол.
Администрирую серверы, VPN для меня рабочий инструмент - корпоративный до офиса, WireGuard до мониторинга, SSH-туннели. Без этого работа просто встаёт. Интересно как на практике будут отличать «плохой» VPN от рабочего.
Хорошо сделано, особенно GeoSite через dnsmasq ipset.
В статье серверная часть подразумевается готовой - для тех кому нужно поднять сервер с нуля можно глянуть https://github.com/bivlked/amneziawg-installer. Одна команда на Ubuntu/Debian VPS, ставит AWG 2.0 с I1-I5, генерирует .conf и QR-коды. Импортируешь в этот аддон и всё работает.
Автор — я, если что)
Как альтернатива, если веб-панель не нужна (для дома, для семьи) или VPS совсем слабенький сервачок (дешёвый) можно глянуть https://github.com/bivlked/amneziawg-installer. Чистый bash без зависимостей, тоже AWG 2.0 с I1-I5. Есть vpn:// URI для импорта в Amnezia Client одним тапом, --expires для временных клиентов, batch add/remove.
Автор - я, если что)
Похожая схема - rsync + systemd timers. Один совет: добавь проверку что бэкап реально свежий, а не просто таймер отработал. У меня скрипт проверяет дату последнего файла и алертит если старше суток. Пару раз спасало, когда rsync молча падал.
если все внутри РФ, то и проблем никаких и блокировок нет. в Казахстан, кстати, тоже легче, если там сервер брать
На 24.04 с ручной установкой действительно боль - PPA не всегда подтягивает нужные пакеты, заголовки ядра не совпадают. Я с этим намучился и в итоге написал свой скрипт amneziawg-installer на гитхабе. Запускаешь одну команду, он сам ставит модуль, настраивает фаервол, генерит конфиги. На 24.04 и Debian 12/13 работает стабильно, все тщательно протестировано.
AWG использует ядерный модуль (DKMS), поэтому в Docker и обычном LXC не заведётся. На VPS проще ставить напрямую. Если нужна изоляция - KVM VM, там DKMS работает штатно. Ещё есть amneziawg-go (userspace), её в контейнер загнать можно.
Насчёт сложности I1-I5 - я это автоматизировал в отдельном проекте: github.com/bivlked/amneziawg-installer. Скрипт сам генерит рандомизированные H1-H4 ranges, S3-S4, I1-I5 для QUIC-мимикрии, пользователь их вообще не видит.
Одна команда на Ubuntu 24.04/25.10 или Debian 12/13, на выходе .conf + QR + vpn:// для импорта в приложение.
Не совсем понятное для меня отношение к "семейному архиву"... То, что было снято 15 лет назад второй раз уже не снимешь! Дети выросли, бабушки/дедушки и того хуже... У тут раз так, батничек запускаешь на два дня, а потом смотришь, на сколько же гигабайтов сократился твой архив. Да я уж лучше куплю пару винтов по 10Тб и сделаю две копии. Другое дело, порыться в этом архиве, найти что-то ценное (пару десятков фото) и уже их аккуратно и вдумчиво, с привлечением современных технологий отреставрировать/поправить/улучшить и т.д.
Но, конечно, у всех разное отношение к этому. И это вопрос уже не технический.
Абсолютно согласен. Даже и не заметил "уход" гугла куда-то, хотя много лет пользуюсь телефоном на Android. Карты МИР как работали, так и работают в Samsung Pay и еще в нескольких платежных системах, в том числе и касанием терминала в магазине. Карты от Яндекса давным-давно стали удобнее гугловских и вторые были заброшены уже года три как. Про Яндекс.Навигатор даже и речи нет, он лучше гугловской навигации, как Ламборджини лучше копейки. Что еще? Гугл.Диск? Так Яндекс.Диск (по крайней мере у нас тут) просто в разы быстрее, и он однозначно удобнее. Гугл ассистент? Не видел среди своего круга общение кто бы его использовал регулярно. Так, попробовать, побаловаться. Даже Алису пользуют, а этого нет... А называть все описанные в статье действия гугла безвозмездными инвестициями в Россию просто смешно - хотели рубить деньги с рекламы и поиска, хотели привязать больше пользователей к своей экосистеме вот и делали. Уж точно не бесплатно инвестировали.