Timophei

Включил у себя DoH, всё завелось. Подскажите, почему Wireshark'ом я до сих пор ловлю DNS query с WAN интерфейса?

Ооооо, да. Представляешь как я мучился не понимая, почему же это opkg dns-override не работает, а dnsmasq не выполняет своих прямых обязанностей 😂 Скинь ссылку про дочку хакера, почитаю

Я в итоге нашёл, в чём была настоящая проблема, при которой у меня выступала заплатка от МГТС. У меня есть TPLink PowerLine 2шт. которые продлевает обычный ethernet поверх 220В. Оказалось, что у моего соседа тоже такой есть и он подцеплялся к моей сети адаптеров из-за того, что шифрование у моих было выключено (сын постарался, нажал на сброс). Вследствие чего иногда мои устройства подхватывали IPv4/IPv6 от соседского GPON маршрутизатора со всеми вытекающими, поэтому у меня появлялась заплатка не смотря на жёстко прописанные в dnsmasq сервера dnscrypt. Зашёл на роутер соседей, убрал нафиг Ipv6, ибо очень приставучий он, заодно поставил шифрование между своими адаптерами. Теперь всё работает как часы. Забавно, что нашёл этот косяк случайно, когда в ifconfig'е увидел IP'шник присвоенный моему ноуту не из моей сети - это был разрыв шаблона :)) В любом случае, всем спасибо за помощь. Настроил фильтры на ipv6 для проброса в TOR, что тоже полезно.

@Ivan Maslov и, думаю, последний вопрос Заметил, что в cкрипте автоматического заполнения множества unblock при загрузке маршрутизатора, т.е. в файле /opt/etc/init.d/S99unblock дублируются записи из файлов из netfilter.d, в этом есть какой то определённый смысл?

@Ivan Maslov Спасибо за ответ выше. Поясни, плз, ещё такой момент, когда создаётся пустое множество из IP v4/v6 скриптом: #!/bin/sh [ "$1" != "start" ] && exit 0 ipset create unblock hash:net family inet -exist ipset create unblock6 hash:net family inet6 -exist exit 0 Что означает ключ family? Извини, за такую кучу вопросов.

Спасибо за сообщение, я конечно так сделал

@Ivan Maslov лажанулся на записи ip6tables -w -t nat -I PREROUTING -i br0 -p tcp --dport 53 -j DNAT --to ::1, сначала прописал ip'шник v4, спасибо большое за уточнение. Странно, что при обновлении скриптом unblock_update.sh ошибки не было. А при вводе сточки вручную, сказал, что такого адреса не существует. Про пропись на Bridge0 адреса и потом указать его в конфиге тоже думал, но всё завелось и так, ещё раз спасибо! Посмотрел твой конфиг dnsmasq, стало любопытно, можешь рассказать обо всём коротко? # DNS over TLS-HTTPS /tmp/ndnproxymain.stat server=x.x.x.x#40500 - как работает этот сервис? # Tor onion ipset=/.onion/unblock - тут всё понятно, просто не ясно откуда берутся пути /.onion/, /.exit/, /.i2p server=/.onion/x.x.x.x#9153 ipset=/.exit/unblock server=/.exit/x.x.x.x#9153 # I2P address=/.i2p/x.x.x.x # OpenNIC DNS # https://servers.opennicproject.org/ - как работает сервис? server=/.lib/x.x.x.x.x.x server=/.lib/x.x.x.x

@Ivan Maslov Попробовал сделать по твоему примеру. Ничего не получается, браузер на mac'е упорно продолжает отображать заплатку от МГТС, при запросе kinozal.tv. dig kinozal.tv с роутера показывает: ....... ....... ;; Query time: 68 msec ;; SERVER: 2a00:1370:1111:100::a401:d61#53(2a00:1370:1111:100::a401:d61) ;; WHEN: Mon Dec 02 14:50:16 MSK 2019 ;; MSG SIZE rcvd: 71 У меня на роутере крутится dnscrypt, на порту 55053, в dnsmasq прописан конфиг: listen-address=192.168.4.1 listen-address=127.0.0.1 listen-address=::1 server=192.168.4.1#55053 При отключении ipv6 на mac - всё ровно, заплатка не приходит, а сайт открывается через tor автоматом. В файле: /opt/etc/ndm/netfilter.d/100-redirect6 #!/bin/sh [ "$type" == "iptables" ] && exit 0 [ "$table" != "nat" ] && exit 0 ipset create unblock6 hash:net family inet6 -exist if [ -z "$(ip6tables-save 2>/dev/null | grep unblock6)" ]; then ip6tables -t nat -A PREROUTING -i br0 -p tcp -m set --match-set unblock6 dst -j REDIRECT --to-ports 9151 # TOR fi if [ -z "$(ip6tables-save 2>/dev/null | grep "udp \-\-dport 53 \-j DNAT")" ]; then ip6tables -w -t nat -I PREROUTING -i br0 -p udp --dport 53 -j DNAT --to 192.168.4.1:55053 fi if [ -z "$(ip6tables-save 2>/dev/null | grep "tcp \-\-dport 53 \-j DNAT")" ]; then ip6tables -w -t nat -I PREROUTING -i br0 -p tcp --dport 53 -j DNAT --to 192.168.4.1:55053 fi exit 0 Цель - чтобы запросы DNS уходили через DNSCRYPT, а не провайдеру. Подскажи, где ошибка, пожалуйста.

@@Ivan Maslov @imedvedev Привет! Я сам стал копать в этом направлении, спасибо за наглядный пример и инструкции! Попробую сделать.

Эм, мне кажется это не совсем то. По Мануалу - "ipv6 subnet Описание Доступ к группе команд для настройки сегмента локальной сети IPv6. Если сегмент не найден, команда пытается его создать.". У меня таких сегментов нет, т.к. выдаётся ошибка. Но всё равно спасибо)

Поле не активно.

Как я писал, этот компонент является обязательным. Поле в web интерфейсе не активно.

Это касается только PPP подключений. У меня же прямое соединение с провайдером.

Да, галку я конечно убрал, результата нет. ipv6 и Netfilter являются обязательными компонентам, в web interface их не удалить, так как окно не активно. И да, Netfilter нужен.

Всем привет! Должен сказать, что прежде чем написать вопрос, я испробовал массу вариантов. И так, вопрос - как полностью исключить работу протокола ipv6 на моём роутере Zyxel Keenetic Giga III? Для чего: у меня провайдер МГТС, с недавних пор он стал выдавать полный фарш - динамический Ipv4 (что меня вполне устраивает) и ipv6. У меня на роутере настроен opkg-dnsoverride, все DNS запросы уходят через DNS Crypt proxy + настроен перехват заблокированных доменов, которые пробрасываются в tor и тем самым открываются без проблем. С недавних пор заметил, что на запрос сайта одного трекера открывается провайдерская заплатка, мол, извини, иди лесом. Я подумал "КАК??". И понял, что DNS запросы каким то образом ходят через ipv6, т.к. принудительно отключив протокол ipv6 на ноуте у меня всё заработало как и было раньше. Но вот на мобильных девайсах такой фокус не сделаешь. Поэтому я стал рыть CLI в поисках отключения протокола, ибо из web интерфейса он не выпиливается, так как это обязательный компонент. Я пробовал прописать на всех интерфейсах, которые показывали наличие ipv6 ip'шников, команды - no ipv6 address auto no ipv6 prefix auto no ipv6 name-servers auto no ipv6 force-default system configuration save copy running-config startup-config system reboot Но каково же было моё удивление, когда командой show ipv6 addresses он показал мне прежний "фарш".. Уточните, гуру, что я упускаю? Заранее спасибо!