os-amneziawg — плагин AmneziaWG для OPNsense с GUI управлением

[Pavlik24rus]

Привет всем.
Плагин для AmneziaWG. Кому не знакомо: AmneziaWG это обфусцированный форк WireGuard, который обходит DPI-блокировки за счёт рандомных мусорных пакетов перед хендшейком и замены всех заголовков на случайные значения. Работает там где обычный WireGuard уже детектируется и блокируется.
Что это такое
os-amneziawg — плагин для OPNsense который добавляет управление AmneziaWG прямо через веб-интерфейс роутера. Появляется пункт VPN → AmneziaWG, откуда можно импортировать конфиг, настроить туннель и применить изменения без SSH.
Ключевые возможности
Импорт клиентского .conf файла — нажимаешь Import, вставляешь содержимое файла который выдал сервер, нажимаешь Parse & Fill. Все поля заполняются автоматически включая параметры обфускации Jc/Jmin/Jmax/S1/S2/H1-H4.
Поддержка нескольких туннелей — можно добавить несколько инстансов (awg0, awg1, ...) и управлять ими независимо.
Совместимость с селективной маршрутизацией — после того как туннель поднялся, назначаешь интерфейс в OPNsense, создаёшь шлюз и используешь стандартные Firewall Aliases + Rules. Никаких костылей.
Установка
Пакеты amnezia-kmod и amnezia-tools отсутствуют в репозитории OPNsense, но устанавливаются автоматически скриптом напрямую из FreeBSD quarterly:
scp os-amneziawg-v2.tar.gz root@<opnsense-ip>:/tmp/
ssh root@<opnsense-ip>
cd /tmp && tar xzf os-amneziawg-v2.tar.gz && cd os-amneziawg
sh install.sh
После этого Ctrl+F5 — и VPN → AmneziaWG уже в меню.
Важный момент после настройки
Обязательно добавить MSS Clamping: Firewall → Settings → Normalization → Interface AWG_VPN, Protocol TCP, Max MSS 1380. Без этого туннель поднимется и пинг будет работать, но видео и тяжёлые страницы грузить не будут — это особенность всех WireGuard-based туннелей с дополнительным overhead.
Совместимость
Тестировалось на OPNsense 25.x / FreeBSD 14.3-RELEASE amd64.
Ссылки
GitHub: https://github.com/MrTheory/-os-amneziawg
Там же подробный README с полным описанием всех шагов настройки и устранением неполадок.
Буду рад вопросам и обратной связи. Если что-то не работает на вашей версии — пишите сюда или открывайте issue на GitHub.

[Zlobniy Shurik]

Уважаемый автор, вопрос - а на 26.1.4 сей плагин проверялся? Очень хочу прикрутить амнезию непосредственно на свой роутер, но смущает issue на гитхабе.

[yukh975]

Уважаемый автор, вопрос - а на 26.1.4 сей плагин проверялся? Очень хочу прикрутить амнезию непосредственно на свой роутер, но смущает issue на гитхабе.

Приветствую! Отзыв на гитхабе написал я. В данный момент я активно занимаюсь тестированием этой темы. На 26.1.4 плагин работает, но после установки ломает систему обновления. Сегодня нашел вариант как это исправить

[Zlobniy Shurik]

Приветствую! Отзыв на гитхабе написал я. В данный момент я активно занимаюсь тестированием этой темы. На 26.1.4 плагин работает, но после установки ломает систему обновления. Сегодня нашел вариант как это исправить

Спасибо!
Тогда подожду новой версии скрипта, с поправленным и протестированным ;) установщиком.

P.S. Неделю назад помер китайский SSD в роутере, SSD поменял, теперь сознательно подымаю всё с ноля, с учётом былых ошибок (и пачка мелких багов таки ушла).
Заодно решил более продвинутый VPN прикрутить вместо старого. Но раньше с амнезией не сталкивался, поэтому и на воду дую - плохо без инета дома, особенно, когда удалёнщик :)

[Pavlik24rus]

Фикс залил, yukh975 обещал тоже протестировать, я тестировал на версии 26.1.3 там тоже проблема воспроивзодилась

[Zlobniy Shurik]

Пожелания:

• Добавить в инструкцию вариант настроек фаервола на новый лад. Может быть даже со скриншотами.
• Ну и, неплохо бы, англоязычный вариант инструкции. Да переводчики сейчас у всех, но...

Чем проще и наглядней инструкция, тем больше юзеров привлечет проект :)

P.S. Вроде бы, не совсем дуб, но пока селективную маршрутизацию запустить не удалось, хотя тоннель поднялся успешно.
Не страшно, разберусь, но кого-то и отпугнуть может.

[Pavlik24rus]

Zlobniy Shurik привет. Настройка фаервола вроде как избыточна, в рамках плагинов. Селективная маршрутизация делается так, делаешь алиасы, у меня часть айпи адресами в виде CIDR, чать доменами, в фаерволе делаешь правило в самом верху с GW твоего квн, добавляешь к нему все алиасы созданные, весь трафик из алиасов будет идти по нему, все остальное по дефолту. Это если кратко) Инструкции на английский есть в планах, но первоночально, плагин был создан на Русскую аудиторию, сейчас оба плагина приобрели зрелый вид и будут обвешиваться доп функционалом, теперь можно подумать о расширении географии)

[Zlobniy Shurik]

Привет!

Пока явно что-то упускаю...
Коннект до VPNа есть (awg show выдаёт, что всё хорошо), да и тест в GUI (VPN->AmneziaWG->Instances->Diagnostics) показывает, что обмен трафиком внутри тоннеля идёт нормально.

Но вот трафик от домашних компов через VPN идти не хочет.

Тот же самый VPN-сервер, если к нему подключиться фирменным амнезийным клиентом с десктопа, пашет нормально и на забугорные ресурсы попадаю влёт.
То есть, проблема именно где-то с настройками роутера (фаервол, шлюзы, e.t.c).

---
Хочу уточнить на всякий случай (есть сомнения).
Адрес со стороны удалённого сервера, если правильно понимаю 10.0.0.1 (ну, так в конфигах сервера)
Адрес со стороны роутера 10.0.0.4 (это железно, из распарсенных конфигов)

В настройках шлюза (System -> Gateways) какой адрес ставить?
10.0.0.1 или же 10.0.0.4?
У меня сейчас 10.0.0.1 (Надеюсь, я правильно понял инструкцию)

[Arxont]

Pavlik24rus привет, спасибо за плагин. Но есть вопрос, он поддерживает awgv2? Что-то у меня не получается скормить конфиг плагину. Создаю нового пользователя для подключения в программе, вытаскиваю конфиг в файл и копирую его в плагин и получаю ошибки + в конфиге плагина предусмотрены параметры S1 и S2, а в конфиге подключения также есть S3 и S4

[Pavlik24rus]

Pavlik24rus привет, спасибо за плагин. Но есть вопрос, он поддерживает awgv2? Что-то у меня не получается скормить конфиг плагину. Создаю нового пользователя для подключения в программе, вытаскиваю конфиг в файл и копирую его в плагин и получаю ошибки + в конфиге плагина предусмотрены параметры S1 и S2, а в конфиге подключения также есть S3 и S4

Плагин я делал с учетом своего конфига, нет возможности тестировать различные конфиги, вроде на сервере 2.0 развернут, но могу ошибаться, разворачивал скриптом. Что касаемо ошибок, то в подсказке сказано, что должно быть целое число в диапозоне от 5 до 4294967295

[Pavlik24rus]

Привет!

Пока явно что-то упускаю...
Коннект до VPNа есть (awg show выдаёт, что всё хорошо), да и тест в GUI (VPN->AmneziaWG->Instances->Diagnostics) показывает, что обмен трафиком внутри тоннеля идёт нормально.

Но вот трафик от домашних компов через VPN идти не хочет.

Тот же самый VPN-сервер, если к нему подключиться фирменным амнезийным клиентом с десктопа, пашет нормально и на забугорные ресурсы попадаю влёт.
То есть, проблема именно где-то с настройками роутера (фаервол, шлюзы, e.t.c).

---
Хочу уточнить на всякий случай (есть сомнения).
Адрес со стороны удалённого сервера, если правильно понимаю 10.0.0.1 (ну, так в конфигах сервера)
Адрес со стороны роутера 10.0.0.4 (это железно, из распарсенных конфигов)

В настройках шлюза (System -> Gateways) какой адрес ставить?
10.0.0.1 или же 10.0.0.4?
У меня сейчас 10.0.0.1 (Надеюсь, я правильно понял инструкцию)

у меня вот такой адрес на сервере впс 10.8.1.3/24 вот такой на GW 10.8.1.1 Если домашняя подсет в этом же диапазоне то в петлю попадаешь, подсети разные должны быть

[Pavlik24rus]

Pavlik24rus привет, спасибо за плагин. Но есть вопрос, он поддерживает awgv2? Что-то у меня не получается скормить конфиг плагину. Создаю нового пользователя для подключения в программе, вытаскиваю конфиг в файл и копирую его в плагин и получаю ошибки + в конфиге плагина предусмотрены параметры S1 и S2, а в конфиге подключения также есть S3 и S4

Плагин я делал с учетом своего конфига, нет возможности тестировать различные конфиги, вроде на сервере 2.0 развернут, но могу ошибаться, разворачивал скриптом. Что касаемо ошибок, то в подсказке сказано, что должно быть целое число в диапозоне от 5 до 4294967295

да, у меня протокол 1.0

[Pavlik24rus]

Привет!

Пока явно что-то упускаю...
Коннект до VPNа есть (awg show выдаёт, что всё хорошо), да и тест в GUI (VPN->AmneziaWG->Instances->Diagnostics) показывает, что обмен трафиком внутри тоннеля идёт нормально.

Но вот трафик от домашних компов через VPN идти не хочет.

Тот же самый VPN-сервер, если к нему подключиться фирменным амнезийным клиентом с десктопа, пашет нормально и на забугорные ресурсы попадаю влёт.
То есть, проблема именно где-то с настройками роутера (фаервол, шлюзы, e.t.c).

---
Хочу уточнить на всякий случай (есть сомнения).
Адрес со стороны удалённого сервера, если правильно понимаю 10.0.0.1 (ну, так в конфигах сервера)
Адрес со стороны роутера 10.0.0.4 (это железно, из распарсенных конфигов)

В настройках шлюза (System -> Gateways) какой адрес ставить?
10.0.0.1 или же 10.0.0.4?
У меня сейчас 10.0.0.1 (Надеюсь, я правильно понял инструкцию)

может настройку NAT пропустил

[Arxont]

да, у меня протокол 1.0

А под v2 будете плагин приспосабливать?

[Pavlik24rus]

да, у меня протокол 1.0

А под v2 будете плагин приспосабливать?

для этого мне надо ли конфиг от 2.0 или себе поднимать, пока у меня висят текущии запросы по реализациям на плагине wg и xray