Обход блокировок WireGuard с помощью скрипта на AsusWRT-Merlin

В связи с блокировками со стороны Роскомнадзора, возникает необходимость обойти такие ограничения для WireGuard на вашем роутере. Это можно сделать путем отправки одного произвольного UDP-пакета, который нарушает первоначальное распознавание протокола WireGuard. Следуйте этим шагам, чтобы настроить решение на базе прошивки AsusWRT-Merlin.

Сейчас я разрабатываю установку AmneziaWG для роутеров ASUS с прошивкой AsusWRT-Merlin, что обеспечит более устойчивое и автоматизированное решение этих проблем. Отправка UDP-пакета является временным решением для обхода текущих ограничений, пока не будет завершена интеграция AmneziaWG

Шаг 1: Установка прошивки [AsusWRT-Merlin](https://www.asuswrt-merlin.net/)

Начнем с того, что роутер должен быть прошит прошивкой AsusWRT-Merlin. Проверьте, поддерживается ли ваш роутер, перейдя на сайт AsusWRT-Merlin. Следуйте инструкциям на сайте для установки прошивки.

Шаг 2: Подключение USB флешки и установка [Entware](https://github.com/RMerl/asuswrt-merlin.ng/wiki/Entware)

1. Процесс установки и настройки должен выполняться через telnet или SSH. Если эта часть кажется вам сложной, то лучше сразу отказаться от использования Entware, поскольку все необходимо устанавливать и настраивать через telnet/SSH.

2. Для начала, перейдите в веб-интерфейс вашего роутера, чтобы включить доступ по SSH. В данном примере эта настройка находится следующим образом: Администрирование -> Система.

3. Вам необходимо подключить USB-диск, отформатированный в нативной файловой системе Linux (ext2, ext3 или ext4). Чтобы отформатировать диск, используйте утилиту amtm. Подключите USB-диск к вашему роутеру, затем запустите amtm командой

amtm

и выберите опцию 'fd' для форматирования диска.

4. Чтобы начать процесс установки Entware запустите приложение amtm в терминале, выполнив команду

amtm

Меню предложит вам опцию 'ep' для начала установки Entware.

Если у вас используется версия прошивки старше 384.15 (или 384.13_4 для моделей RT-AC87U и RT-AC3200), тогда начните установку, запустив скрипт "entware-setup.sh".

Шаг 3: Установка [WireGuard Manager](https://github.com/MartineauUK/wireguard)

1. Для установки WireGuard Manager, выполните:

amtm

2. Набирайте i далее wg для устновки Wireguard Manager.

3. После установки, для доступа к интерфейсу WireGuard Manager в терминале роутера введите:

wg_manager

Шаг 4: Добавление [клиента](https://github.com/ZebMcKayhan/WireguardManager?tab=readme-ov-file#import-client)

1. Разместите файл конфигурации клиента в:

/opt/etc/wireguard.d/

2. Назовите файл, как вам удобно, но завершите его .conf (например, wireguard.conf). Включите ListenPort в конфигурацию.

[Interface]
## wireguard.conf
Address = 10.2.100.2/32
PrivateKey = 2D8Y..../Uo=
DNS = 10.100.0.1. # DNS указан ip адреса роутера для использования dnsmasq с ipset
ListenPort=56012

[Peer]
PublicKey = nK8eL....HE=
PreSharedKey = L....=
AllowedIPs =  0.0.0.0/0, ::/0
Endpoint = 11.22.33.44:443 # Адрес сервера 
PersistentKeepalive = 10  

3. Импортируйте конфигурацию в WireGuard Manager, используя:

E:Option ==> import wireguard.conf

4. Проверьте успешность импорта командой peer в WireGuard Manager.

5. Интерфейс можно активирвовать командой start wg11, где wg11 - это имя вашего клиента. Пока автивировать не нужно. Дополнительные команды можно найти здесь

Шаг 5: Установка скрипта для автоматической отправки пакетов UDP

1. Установите socat:

opkg update
opkg install socat

2. Перейдите в /jffs/scripts и создайте новый скрипт wireguard.sh:

nano /jffs/scripts/wireguard.sh

Примечание: Если nano не установлен, выполните:

opkg update
opkg install nano

3. Вставьте в редактор следующий скрипт и измените название интерфейсов, если необходимо. Обратите внимание на строку, где указан список интерфейсов WireGuard. Измените значение WG_INTERFACES на название интерфейса, который вы используете.

#!/bin/bash

# Определяем файл журнала на USB-устройстве
LOG_FILE="/tmp/mnt/usb/logs/wireguard_unblock.log"

# Убедимся, что каталог для лога существует
mkdir -p "$(dirname "$LOG_FILE")"

# Перенаправляем stdout и stderr в файл журнала
exec 1>>"$LOG_FILE" 2>&1

# Функция для записи сообщений в лог с отметкой времени
log() {
    echo "$(date '+%Y-%m-%d %H:%M:%S') - $1"
}

# Список интерфейсов WireGuard, которые нужно обработать, в виде строки
WG_INTERFACES="wg11"

# Начало выполнения скрипта
log "Script execution started"

# Обрабатываем каждый интерфейс из списка строк
for WG_INTERFACE in $WG_INTERFACES; do
    WG_CONFIG="/opt/etc/wireguard.d/$WG_INTERFACE.conf"

    # Убедимся, что файл конфигурации существует
    if [ ! -f "$WG_CONFIG" ]; then
        log "Файл конфигурации для $WG_INTERFACE не существует: $WG_CONFIG"
        continue
    fi

    log "Обработка интерфейса $WG_INTERFACE"

    # Определяем необходимые функции и логику здесь
    get_wireguard_endpoint() {
        grep "Endpoint" "$WG_CONFIG" | cut -d'=' -f2 | tr -d ' '
    }

    get_wireguard_ip() {
        local ip_with_mask
        ip_with_mask=$(grep "Address" "$WG_CONFIG" | cut -d'=' -f2 | tr -d ' ')
        echo "${ip_with_mask%/*}"
    }

    get_listen_port() {
        grep "ListenPort" "$WG_CONFIG" | cut -d'=' -f2 | tr -d ' '
    }

    get_peer_public_key() {
        grep "PublicKey" "$WG_CONFIG" | cut -d'=' -f2 | tr -d ' '
    }

    update_listen_port() {
        local new_port="$1"
        log "Изменение ListenPort в конфигурации WireGuard на $new_port"
        sed -i "s/^ListenPort=.*/ListenPort=$new_port/" "$WG_CONFIG"
    }

    is_wireguard_running() {
        ip link show "$WG_INTERFACE" > /dev/null 2>&1
        return $?  # Возвращает 0, если интерфейс найден, и ненулевое значение, если нет
    }

    send_socat_packet() {
        local source_port="$1"
        local endpoint="$2"
        log "Отправка UDP-пакета с использованием socat с исходного порта $source_port на конечную точку $endpoint"
        echo ":)" | socat - UDP:"$endpoint",sourceport="$source_port"
    }

    check_data_transfer_status() {
        local peer_public_key="$1"

        local data_received
        data_received=$(wg show "$WG_INTERFACE" transfer | grep "$peer_public_key" | awk '{print $3}')

        log "Получено данных: $data_received байт"

        if [ "$data_received" -eq 92 ] || [ "$data_received" -eq 148 ]; then
            log "Полученные данные остаются постоянными на уровне $data_received байт, что может указывать на блокировку рукопожатия"
            return 1
        else
            log "Передача данных выглядит нормально"
            return 0
        fi
    }

    attempt_wireguard_connection() {
        local port="$1"
        local endpoint="$2"
        local peer_public_key="$3"
        log "Попытка подключения WireGuard с портом $port и конечной точкой $endpoint для интерфейса $WG_INTERFACE"

        send_socat_packet "$port" "$endpoint"
        sleep 2

        log "Запуск интерфейса WireGuard $WG_INTERFACE"
        wgmExpo "start $WG_INTERFACE"
        sleep 10

        if check_data_transfer_status "$peer_public_key"; then
            log "Подключение успешно"
            return 0
        else
            log "Ошибка из-за возможной блокировки рукопожатия"
            return 1
        fi
    }

    if is_wireguard_running; then
        log "Интерфейс WireGuard $WG_INTERFACE выполняется"

        peer_public_key=$(get_peer_public_key)
        log "Использование Peer PublicKey $peer_public_key из конфигурации WireGuard"

        if check_data_transfer_status "$peer_public_key"; then
            log "Рукопожатие действительно, пропуск интерфейса $WG_INTERFACE."
            continue
        fi
    fi

    endpoint=$(get_wireguard_endpoint)
    log "Использование Endpoint $endpoint из конфигурации WireGuard"

    initial_port=$(get_listen_port)
    log "Использование первоначального ListenPort $initial_port из конфигурации WireGuard"

    if attempt_wireguard_connection "$initial_port" "$endpoint" "$peer_public_key"; then
        log "Подключение WireGuard успешно установлено с портом $initial_port"
        continue
    fi

    while true; do
        log "Остановка интерфейса WireGuard $WG_INTERFACE"
        wgmExpo "stop $WG_INTERFACE"
        sleep 10

        new_port=$((RANDOM % (65535 - 49152 + 1) + 49152))
        log "Попытка нового случайного ListenPort: $new_port"

        update_listen_port "$new_port"

        if attempt_wireguard_connection "$new_port" "$endpoint" "$peer_public_key"; then
            log "Подключение WireGuard успешно установлено с портом $new_port"
            break
        fi

        log "Ожидание перед повторной попыткой с новым портом..."
        sleep 5
    done
done

log "Выполнение скрипта завершено"

Этот скрипт предназначен для управления подключениями WireGuard на вашем роутере и включает следующие основные функции:

Логирование:

Создает файл журнала на подключенном USB-устройстве, чтобы записывать всю активность скрипта, включая ошибки и статус операций.

Обработка интерфейсов WireGuard:

Пробегает по списку заданных интерфейсов WireGuard (например, "wg11"), указанных в переменной WG_INTERFACES. Для каждого интерфейса скрипт извлекает конфигурационные параметры, такие как направление сервера (Endpoint), IP-адрес и порт для прослушивания.

Проверка Handshake:

Проверяет, успешно ли установлен handshake (рукопожатие) с сервером WireGuard. Это необходимо для проверки работоспособности соединения.

Изменение порта и повторная попытка подключения:

Если handshake не был успешным, скрипт изменяет порт прослушивания и отправляет произвольный UDP-пакет для сброса первоначального состояния. После изменения порта и отправки пакета скрипт снова пробует подключиться к серверу WireGuard для установления соединения.

---

Чтобы скрипт wireguard.sh запускался автоматически при старте роутера, нужно добавить его в инит-скрипт /jffs/scripts/post-mount. Ниже приведены инструкции, как это сделать, а также пример содержания файла post-mount.

1. Откройте файл /jffs/scripts/post-mount в текстовом редакторе, например, nano:

nano /jffs/scripts/post-mount

2. Убедитесь, что ваш скрипт wireguard.sh включен в этот файл. Если строка отсутствует, добавьте её:

#!/bin/sh
. /jffs/addons/amtm/mount-entware.mod # Added by amtm

/jffs/addons/wireguard/wg_manager.sh init "" & # WireGuard Manager
/jffs/scripts/wireguard.sh &  # Автоматический запуск скрипта WireGuard

3. Сохраните изменения и выйдите из редактора.

4. Убедитесь, что файл post-mount и wireguard.sh имеет право на исполнение:

chmod +x /jffs/scripts/post-mount
chmod +x /jffs/scripts/wireguard.sh

---

Чтобы ваш скрипт wireguard.sh запускался каждые 5 минут для проверки соединения, вы можете использовать встроенную в роутер систему планирования задач, которая называется cron. AsusWRT-Merlin прошивка поддерживает эту систему через утилиту cru. Вот как можно добавить эту задачу:

1. Откройте или создайте файл /jffs/scripts/init-start, который используется для конфигурации задач, выполняющихся при запуске роутера:

nano /jffs/scripts/init-start

2. Добавление задачи в планировщик cron: Вставьте следующее содержимое в файл, чтобы конфигурировать автоматический запуск скрипта:

#!/bin/sh
# /jffs/scripts/init-start

# Добавляем задачу в cron с помощью cru
# Задача будет запускать скрипт каждую 5 минут
cru a wireguard_script "*/5 * * * * /jffs/scripts/wireguard.sh"

Шаг 6: Динамическое получение списка заблокированных доменов из внешнего источника и маршрутизация по VPN

Раздел в разработке.