Jump to content

Timophei

Forum Members
  • Content Count

    16
  • Joined

  • Last visited

Community Reputation

0 Neutral

About Timophei

  • Rank
    Member

Equipment

  • Keenetic
    Giga III Версия ОС 3.1.10
  1. Включил у себя DoH, всё завелось. Подскажите, почему Wireshark'ом я до сих пор ловлю DNS query с WAN интерфейса?
  2. Ооооо, да. Представляешь как я мучился не понимая, почему же это opkg dns-override не работает, а dnsmasq не выполняет своих прямых обязанностей 😂 Скинь ссылку про дочку хакера, почитаю
  3. Я в итоге нашёл, в чём была настоящая проблема, при которой у меня выступала заплатка от МГТС. У меня есть TPLink PowerLine 2шт. которые продлевает обычный ethernet поверх 220В. Оказалось, что у моего соседа тоже такой есть и он подцеплялся к моей сети адаптеров из-за того, что шифрование у моих было выключено (сын постарался, нажал на сброс). Вследствие чего иногда мои устройства подхватывали IPv4/IPv6 от соседского GPON маршрутизатора со всеми вытекающими, поэтому у меня появлялась заплатка не смотря на жёстко прописанные в dnsmasq сервера dnscrypt. Зашёл на роутер соседей, убрал нафиг Ipv6, ибо очень приставучий он, заодно поставил шифрование между своими адаптерами. Теперь всё работает как часы. Забавно, что нашёл этот косяк случайно, когда в ifconfig'е увидел IP'шник присвоенный моему ноуту не из моей сети - это был разрыв шаблона :)) В любом случае, всем спасибо за помощь. Настроил фильтры на ipv6 для проброса в TOR, что тоже полезно.
  4. @Ivan Maslov и, думаю, последний вопрос Заметил, что в cкрипте автоматического заполнения множества unblock при загрузке маршрутизатора, т.е. в файле /opt/etc/init.d/S99unblock дублируются записи из файлов из netfilter.d, в этом есть какой то определённый смысл?
  5. @Ivan Maslov Спасибо за ответ выше. Поясни, плз, ещё такой момент, когда создаётся пустое множество из IP v4/v6 скриптом: #!/bin/sh [ "$1" != "start" ] && exit 0 ipset create unblock hash:net family inet -exist ipset create unblock6 hash:net family inet6 -exist exit 0 Что означает ключ family? Извини, за такую кучу вопросов.
  6. @Ivan Maslov лажанулся на записи ip6tables -w -t nat -I PREROUTING -i br0 -p tcp --dport 53 -j DNAT --to ::1, сначала прописал ip'шник v4, спасибо большое за уточнение. Странно, что при обновлении скриптом unblock_update.sh ошибки не было. А при вводе сточки вручную, сказал, что такого адреса не существует. Про пропись на Bridge0 адреса и потом указать его в конфиге тоже думал, но всё завелось и так, ещё раз спасибо! Посмотрел твой конфиг dnsmasq, стало любопытно, можешь рассказать обо всём коротко? # DNS over TLS-HTTPS /tmp/ndnproxymain.stat server=x.x.x.x#40500 - как работает этот сервис? # Tor onion ipset=/.onion/unblock - тут всё понятно, просто не ясно откуда берутся пути /.onion/, /.exit/, /.i2p server=/.onion/x.x.x.x#9153 ipset=/.exit/unblock server=/.exit/x.x.x.x#9153 # I2P address=/.i2p/x.x.x.x # OpenNIC DNS # https://servers.opennicproject.org/ - как работает сервис? server=/.lib/x.x.x.x.x.x server=/.lib/x.x.x.x
  7. @Ivan Maslov Попробовал сделать по твоему примеру. Ничего не получается, браузер на mac'е упорно продолжает отображать заплатку от МГТС, при запросе kinozal.tv. dig kinozal.tv с роутера показывает: ....... ....... ;; Query time: 68 msec ;; SERVER: 2a00:1370:1111:100::a401:d61#53(2a00:1370:1111:100::a401:d61) ;; WHEN: Mon Dec 02 14:50:16 MSK 2019 ;; MSG SIZE rcvd: 71 У меня на роутере крутится dnscrypt, на порту 55053, в dnsmasq прописан конфиг: listen-address=192.168.4.1 listen-address=127.0.0.1 listen-address=::1 server=192.168.4.1#55053 При отключении ipv6 на mac - всё ровно, заплатка не приходит, а сайт открывается через tor автоматом. В файле: /opt/etc/ndm/netfilter.d/100-redirect6 #!/bin/sh [ "$type" == "iptables" ] && exit 0 [ "$table" != "nat" ] && exit 0 ipset create unblock6 hash:net family inet6 -exist if [ -z "$(ip6tables-save 2>/dev/null | grep unblock6)" ]; then ip6tables -t nat -A PREROUTING -i br0 -p tcp -m set --match-set unblock6 dst -j REDIRECT --to-ports 9151 # TOR fi if [ -z "$(ip6tables-save 2>/dev/null | grep "udp \-\-dport 53 \-j DNAT")" ]; then ip6tables -w -t nat -I PREROUTING -i br0 -p udp --dport 53 -j DNAT --to 192.168.4.1:55053 fi if [ -z "$(ip6tables-save 2>/dev/null | grep "tcp \-\-dport 53 \-j DNAT")" ]; then ip6tables -w -t nat -I PREROUTING -i br0 -p tcp --dport 53 -j DNAT --to 192.168.4.1:55053 fi exit 0 Цель - чтобы запросы DNS уходили через DNSCRYPT, а не провайдеру. Подскажи, где ошибка, пожалуйста.
  8. @@Ivan Maslov @imedvedev Привет! Я сам стал копать в этом направлении, спасибо за наглядный пример и инструкции! Попробую сделать.
  9. Эм, мне кажется это не совсем то. По Мануалу - "ipv6 subnet Описание Доступ к группе команд для настройки сегмента локальной сети IPv6. Если сегмент не найден, команда пытается его создать.". У меня таких сегментов нет, т.к. выдаётся ошибка. Но всё равно спасибо)
  10. Как выше этот модуль Netfilter мне всё же нужен. Выборочный обход блокировок я делал по этому мануалу: https://habr.com/ru/post/428992/
  11. Как я писал, этот компонент является обязательным. Поле в web интерфейсе не активно.
  12. Это касается только PPP подключений. У меня же прямое соединение с провайдером.
  13. Да, галку я конечно убрал, результата нет. ipv6 и Netfilter являются обязательными компонентам, в web interface их не удалить, так как окно не активно. И да, Netfilter нужен.
×
×
  • Create New...