Jump to content

Вежливый Снайпер

Forum Members
  • Content Count

    31
  • Joined

  • Last visited

Community Reputation

2 Neutral

About Вежливый Снайпер

  • Rank
    Member

Equipment

  • Keenetic
    Keenetic II v.2

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. После сообщений @ankar84 попробовал так сделать - плодов не принесло. Вся проблема ведь в перехватывании DNS запросов IPv6, для чего нужно более новое ядро, как Вы сами и сказали. Или я что-то не так понимаю? У меня проводное подключение 100 Мбит/с, dnscrypt настраивал на прослушивание link-local интерфейса br0. Запросы вида "nslookup snippets.cdn.mozilla.net 2001:4860:4860::8888" успешно проходят, хотя при использовании любых IPv4 DNS домен блокируется правилами dnscrypt.
  2. Вежливый Снайпер

    исправлено

    Единственное, что там относилось к dropbear, было "already running". Остальное ПО Entware после обновления работало. Тот же dnscrypt-proxy2 с кроном успешно выполнялись. Возможно, было необходимо включить режим отладки, что я и сделаю при повторении проблемы. Еще можно добавить то, что Entware был установлен на ext4 раздел флешки с отключенным журналированием. Вчера у меня повредились файлы dnscrypt-proxy2. Сейчас флешку переформатировал с включенным журналированием. Правки сохранялись, до обновления, которое заменило файл dropbear на дефолт... Не заметив это, роутер был перезагружен и SSH небыло видно не на измененном 2ххх порту, не на 22, вообще нигде (проверял nmap'ом). Лог роутера без режима отладки выдавал "dropbear already running", а консоль "connection refused". Прошивочный SSH не уставновлен, от греха подальше. На случай повторения проблемы поставлю openssh. Какая информация будет необходима, помимо selt-test с кинетика?
  3. Буду иметь ввиду. Вчера, во время переустановки Entware и сброса настроек роутера тоже так прописал. В любом случае, со скриптом спокойнее. Знаешь, что хоть ipv4 запросы будут 100% обрабатываться. Очень печальные новости. cast @Le ecureuil Как дальше жить? %)
  4. [2018-09-16 13:58:22] [NOTICE] Now listening to 192.168.1.1:53 [UDP] [2018-09-16 13:58:23] [NOTICE] Now listening to 192.168.1.1:53 [TCP] [2018-09-16 13:58:23] [NOTICE] Now listening to [::1]:53 [UDP] [2018-09-16 13:58:23] [NOTICE] Now listening to [::1]:53 [TCP] Обратился на форум сообщества своего Linux дистрибутива. Там предположили, что следующая строчка отбрасывает IPv6 запросы [ "$type" == "ip6tables" ] && exit 0 и поправили скрипт: #!/bin/sh [ "$table" != "nat" ] && exit 0 [ -z "$(iptables-save | grep " --dport 53 -j DNAT --to-destination 192.168.1.1")" ] && \ iptables -t nat -I PREROUTING -p udp --dport 53 -j DNAT --to-destination 192.168.1.1:53 && \ ip6tables -t nat -I PREROUTING -p udp --dport 53 -j DNAT --to-destination <ipv6_adress_proxy>:53 exit 0 Должно ли это работать? И <ipv6_adress_proxy> нужно заменить на [::1]:53? Пробовал, не сработало. Стали пропускаться даже запросы к сторонним IPv4 DNS серверам. Если попробовать запустить команду ip6tables вручную, то выдает следующее: ip6tables -t nat -I PREROUTING -p udp --dport 53 -j DNAT --to-destination [::1]:53 ip6tables v1.4.21: can't initialize ip6tables table `nat': Table does not exist (do you need to insmod?) Perhaps ip6tables or your kernel needs to be upgraded. Из этого мне понятно только то, что таблицы "nat" не существует и возможно нужно обновить ip6tables или ядро. Если отсутствие таблицы скорее всего поправимо, то что делать с остальным? Возможно, эта команда и не должна отдельно работать. Если бы я в этом что-то понимал.. )
  5. Вежливый Снайпер

    исправлено

    @zyxmon Entware ставил после очередной проблемы с доступом к SSH примерно 11 августа. Архив для установки брал тут. Про версии сказать ничего не могу. Обновление проводилось только 1 раз 14 сентября (opkg update && opkg upgrade), тогда, с многими другими пакетами обновился и сам dropbear. Сейчас переставил Entware по той же ссылке заново, пока все хорошо. Архив на этот раз свежее, от 11 сентября. Буду наблюдать. Если история повторится, что мне делать, чтобы помочь Вам проанализировать проблему? Может быть какое-то журналирование настроить? Смогу хоть образ флешки (dd) скинуть, если потребуется. Вам, возможно проблема показалась странной. Но с самим dropbear я ничего кроме смены дефолтного порта не делал. Никакие другие, изначально присутствующие системные файлы никак не затрагиваются. В остальном на флешке меняется иногда только конфигурация установленного dnscrypt-proxy2. Из вручную установленных пакетов только dnscrypt-proxy2, python, ca-certificates, cron, iptables, nano, git.
  6. Вежливый Снайпер

    исправлено

    Отредактировал, перезагрузил роутер - все работало отлично около месяца до вчерашнего обновления пакетов Entware. Среди обновляемых был dropbear. Автоматически изменился скрипт запуска, в котором был прописан 22 порт. Когда не смог подключиться - Смонтировал флешку в Linux, изменил порт (права на файл остались неизменны), подключил и перезапустил роутер. При попытке подключения к измененному порту (2xxx) консоль выдает "ssh: connect to host 192.168.1.1 port 2xxx: Connection refused" а nmap: 22 порт тоже не поднимался. я ведь не сразу проверил файл dropbear в /etc/init.d, сначала по "мастдайской" привычке перезагрузил. Извиняюсь. Опять я не там написал, какой-то невнимательный сегодня. Пост вроде скрывал, но Вы успели ответить. Прошивка 2.13.B.0.0-2. В топике речь про другую ветку и штатный SSH. Если потребуется - удалите комментарии, напишу заново в более подходящем месте.
  7. Вежливый Снайпер

    исправлено

    @zyxmon Копипаст касательно темы Dropbear перестал запускаться после обновления 14.09.18, выдавая "Opkg::Manager: /opt/etc/init.d/rc.unslung: dropbear already running" Имелся ввиду файл /etc/init.d/S51dropbear. По поводу openssh, возможно придется пробовать, если не получиться исправить. По поводу "это" и "совсем не так". Интересные выводы.. устанавливался Entware уже не 1 раз с нуля, из-за проблем с SSH доступом. Порядок действий: Установка и настройка dnscrypt-proxy2 по этому мануалу. Редактирование S51dropbear, делается только смена дефолтного порта на 2ххх (хотя прошивочный SSH не установлен и 22 свободен). Все, если не считать вчерашнего обновления. PS Рад, что вас вечная проблема не коснулась.
  8. А это нормально, что dnscrypt не перехватывает запросы к IPv6 DNS серверам? К IPv4 серверам перехватывает.. Может быть я где-то накосячил, хотя все вроде по инструкции делал и воспользовался поправками в посте выше. nslookup snippets.cdn.mozilla.net nslookup snippets.cdn.mozilla.net 8.8.8.8 nslookup snippets.cdn.mozilla.net 2001:4860:4860::8888 Домен snippets.cdn.mozilla.net блокируется правилами черного списка. IPv6 работает через "прошивочный" 6to4. В dnscrypt-proxy.toml ipv6 servers = true и "listen_addresses = ['192.168.79.1:53', '[::1]:53']" netstat -an | grep :53 tcp 0 0 192.168.79.1:53 0.0.0.0:* LISTEN tcp 0 0 ::1:53 :::* LISTEN udp 0 0 192.168.79.1:53 0.0.0.0:* udp 0 0 77.57.75.10:50517 77.57.75.1:5351 ESTABLISHED udp 0 0 192.168.79.1:5351 0.0.0.0:* udp 0 0 0.0.0.0:5355 0.0.0.0:* udp 0 0 ::1:53 :::* 2606:4700:4700::1111 прописан в настройках подключения NetworkManager на Linux, Без подобной записи bind-tools совместно с NM ломают /etc/resolv.conf (вот тебе и rolling release). В любом случае, не важно какие NS'ки прописаны у клиентов, роутер ведь должен перехватывать запросы?!
  9. Вежливый Снайпер

    исправлено

    А я мучался (методом тыка за отсутствием знаний) с этим SSH на разных версиях draft прошивок. В итоге нормально заработало после ребута только в kn_rb_delta_2.11.B.1.0-3, после залил файл бэкап kn_rb_draft_2.13.A.4.0-1 без компонента SSH, сменил пароль и порт dropbear на entware - ребут теперь не помеха.
  10. Вежливый Снайпер

    Как и обещал - отписываюсь по результатам. Модем ведет себя отлично с активным хабом.. Как и говорил @enpa - не хватало питания. Большое спасибо за помощь! P.S. Так долго, ибо заказывал с Китая, не нашел у себя в городе 7-ми портовый (принтеры шминтеры теперь на роутере).
  11. А у меня перестали резолвиться все домены после автоматического обновления прошивки йотовского модема до D07C_Yota_V040.. Помогло только: no opkg dns-override interface Yota0 ip dhcp client name-servers Разбираться не стал особо, достало.. скоро перестану переезжать из квартиры в квартиру и нормального провайдера подключу, там все с 0 настрою. p.s. Никакие настройки NDMS/Entware не трогались, а в логе было: И до github'а соответственно тоже не мог достучаться.
  12. Вежливый Снайпер

    entware

    Эмм, так Ростелеком же блочит по размеру пакетов. Потом и других операторов научат (( https://github.com/darkk/poormansmtproto https://habr.com/post/414099/ за развитием MTProxy не слежу (все и без проксей робит), может что-то и поменяют в реализации..
  13. Вежливый Снайпер

    Ууу, какие фичи просите. У меня при измененном IP с портом приложение не умеет в админку, а Вы про такое. Не осилят )
  14. Если речь идет о дополнительных правилах блокирования, то можно вставлять URL адреса списков в domains-blacklist.conf Свои правила можно вставлять в domains-blacklist-local-additions.txt. Как их составлять можно глянуть в файле dnscrypt-proxy.toml (примерно в 300 строке описывается) У меня сейчас блокируется около 130-150К доменов. в uBlock можно использовать только свои фильтры для скрытия пустых блоков ))
  15. Подскажите пожалуйста, как это сделать в новом интерфейсе или через CLI?
×