Jump to content

Вежливый Снайпер

Forum Members
  • Posts

    44
  • Joined

  • Last visited

  • Days Won

    1

Вежливый Снайпер last won the day on October 27 2018

Вежливый Снайпер had the most liked content!

Equipment

  • Keenetic
    Keenetic II v.2

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

Вежливый Снайпер's Achievements

Member

Member (2/5)

7

Reputation

  1. Ну не хотят в кинетиках нормальную реализацию OpenVPN делать, да и смысл при скорости 30 Мбит/с максимум на топ моделях...
  2. Если появится "из коробочная" версия, это будет самым полезным нововведением за всю историю существования кинетиков, ИМХО. А то поддержку OpenVPN сделали, а полезное шифрование DNS - нет. Уже 2 раза столкнулся с подменой DNS, сначала на Yota, потом на проводном провайдере. Если бы не Александр Рыжов и ankar84 - так и страдал бы, не зная про DNScrypt. Смогли открыть людям глаза на OpenVPN, сможете и на шифрование DNS. В современных реалиях это очень нужная вещь.
  3. Удалил. Дополнительно попробовал подключиться по TCP - скорость так и осталась не выше 1 Мбайт/с.. чаще скорость бегает даже в районе 600-900 КБ/с. Можно было бы на "древний" роутер грешить, но нагрузка на проц с памятью не превышает даже 50%, и это при активном VPN с торрентами и Entware. Могу выложить для тестов в скрытом посте ссылку на профиль для подключения к моему VPN. Вдруг проблема не на моей стороне, а в реализации OpenVPN.
  4. Роутер режет скорость VPN или конфиг клиента кривой?... или роутер пора менять? ... Всем привет! Кинетик 2, драфт 2.14.A.4.0-2 Купил VPS, "настроил" OpenVPN через веб-морду Pritunl (конфиг дефолтный), сгенерированный конфиг скормил роутеру. Роутер подключается, но режет скорость до 1 МБ/с вообще на все, включая и торренты и скачивания по HTTP/S. Если подключаться к VPN с ноутбука - скорость, как и положено - 100 Мбит/с. Пробовал убирать некоторые опции конфига, на которые роутер выдавал WARNING'и в своих логах, но это не помогло. Возможно, что-то упустил. Не особо понимаю что нужно делать. self-test (с interface OpenVPN1 debug) будет ниже, в скрытом посте. Вот дефолтный конфиг клиента: Раньше пользовался именно на самом роутере платным VPN от prostovpn, но там маршруты прописывались только к заблокированным сайтам, по другому не работало, да и не нужно было. Сейчас, если капризному кинетику нужны какие-то изменения на VPN сервере - их можно сделать, хоть и нежелательно. Не знаю, правильно ли это, но чтобы VPN заработал, пришлось в приоритетах "подвинуть" провайдерское подключение на второе место, VPN на первое. По другому к VPN подключение было, но трафик шел в обход VPN (через провайдера). И отдельно вопрос по поводу этой строчки в конфиге: remote 2a02:2a02:2a02::2a02:2a02 7007 udp6 Если на роутере настроен 6to4, трафик ведь через него пойдет? По другому ведь никак по идее. Можно добавить исключение какое-то? p.s. Айпишники я конечно поменял, не смущайтесь абракадабре. Буду благодарен за любую помощь.
  5. Подскажите пожалуйста, что за странный трафик в логе: [2018-10-16 23:53:20] 191.96.249.112 aids.gov ANY FORWARD Домены каждый раз разные, IP один. Его внесение в ip-blacklist ничего не дает. Подозреваю, что это какой-то служебный трафик, но хотелось бы знать наверняка. Заранее благодарствую.
  6. 6to4 пока что убрал.. А вот как dnscrypt выбирает через какой сервер послать запрос - понять не могу.. В конфиге прописано 6 серверов. ВСЕГДА наименьшая задержка у cloudflare, но почему подобные запросы практически каждый раз проходят через разные резолверы? $ dnscrypt-proxy -resolve dnscrypt.info через раз резолвится у cloudflare (от домена не зависит) и по логам начальная задержка у CF меньше и по пингу в консоли смотрю # grep latency /opt/var/log/dnscrypt-proxy.log периодически возникает у CF ошибка но не так уж и часто. да и когда ее нет, запросы так же через раз идут к CF во время написания поста решил на место CF прописать второй самый быстрый для меня сервис "cs-fi", запросы так и продолжают гулять через разные "Resolver IP", которые принадлежат разным серисам: Resolver IP: 89.233.43.71 (unicast.censurfridns.dk.) Resolver IP: 209.250.235.170 (209.250.235.170.vultr.com.) Resolver IP: 185.117.118.20 (stadi.deepdns.cryptostorm.net.) это нормальное поведение для dnscrypt-proxy? только сильно нуба не пинайте, может быть чего не понимаю ) ___ Чтобы не плодить лишних сообщений, отвечу тут: @ankar84 О как все просто оказалось. Большое спасибо очередной раз за помощь )
  7. После сообщений @ankar84 попробовал так сделать - плодов не принесло. Вся проблема ведь в перехватывании DNS запросов IPv6, для чего нужно более новое ядро, как Вы сами и сказали. Или я что-то не так понимаю? У меня проводное подключение 100 Мбит/с, dnscrypt настраивал на прослушивание link-local интерфейса br0. Запросы вида "nslookup snippets.cdn.mozilla.net 2001:4860:4860::8888" успешно проходят, хотя при использовании любых IPv4 DNS домен блокируется правилами dnscrypt.
  8. Буду иметь ввиду. Вчера, во время переустановки Entware и сброса настроек роутера тоже так прописал. В любом случае, со скриптом спокойнее. Знаешь, что хоть ipv4 запросы будут 100% обрабатываться. Очень печальные новости. cast @Le ecureuil Как дальше жить? %)
  9. [2018-09-16 13:58:22] [NOTICE] Now listening to 192.168.1.1:53 [UDP] [2018-09-16 13:58:23] [NOTICE] Now listening to 192.168.1.1:53 [TCP] [2018-09-16 13:58:23] [NOTICE] Now listening to [::1]:53 [UDP] [2018-09-16 13:58:23] [NOTICE] Now listening to [::1]:53 [TCP] Обратился на форум сообщества своего Linux дистрибутива. Там предположили, что следующая строчка отбрасывает IPv6 запросы [ "$type" == "ip6tables" ] && exit 0 и поправили скрипт: #!/bin/sh [ "$table" != "nat" ] && exit 0 [ -z "$(iptables-save | grep " --dport 53 -j DNAT --to-destination 192.168.1.1")" ] && \ iptables -t nat -I PREROUTING -p udp --dport 53 -j DNAT --to-destination 192.168.1.1:53 && \ ip6tables -t nat -I PREROUTING -p udp --dport 53 -j DNAT --to-destination <ipv6_adress_proxy>:53 exit 0 Должно ли это работать? И <ipv6_adress_proxy> нужно заменить на [::1]:53? Пробовал, не сработало. Стали пропускаться даже запросы к сторонним IPv4 DNS серверам. Если попробовать запустить команду ip6tables вручную, то выдает следующее: ip6tables -t nat -I PREROUTING -p udp --dport 53 -j DNAT --to-destination [::1]:53 ip6tables v1.4.21: can't initialize ip6tables table `nat': Table does not exist (do you need to insmod?) Perhaps ip6tables or your kernel needs to be upgraded. Из этого мне понятно только то, что таблицы "nat" не существует и возможно нужно обновить ip6tables или ядро. Если отсутствие таблицы скорее всего поправимо, то что делать с остальным? Возможно, эта команда и не должна отдельно работать. Если бы я в этом что-то понимал.. )
  10. А это нормально, что dnscrypt не перехватывает запросы к IPv6 DNS серверам? К IPv4 серверам перехватывает.. Может быть я где-то накосячил, хотя все вроде по инструкции делал и воспользовался поправками в посте выше. nslookup snippets.cdn.mozilla.net nslookup snippets.cdn.mozilla.net 8.8.8.8 nslookup snippets.cdn.mozilla.net 2001:4860:4860::8888 Домен snippets.cdn.mozilla.net блокируется правилами черного списка. IPv6 работает через "прошивочный" 6to4. В dnscrypt-proxy.toml ipv6 servers = true и "listen_addresses = ['192.168.79.1:53', '[::1]:53']" netstat -an | grep :53 tcp 0 0 192.168.79.1:53 0.0.0.0:* LISTEN tcp 0 0 ::1:53 :::* LISTEN udp 0 0 192.168.79.1:53 0.0.0.0:* udp 0 0 77.57.75.10:50517 77.57.75.1:5351 ESTABLISHED udp 0 0 192.168.79.1:5351 0.0.0.0:* udp 0 0 0.0.0.0:5355 0.0.0.0:* udp 0 0 ::1:53 :::* 2606:4700:4700::1111 прописан в настройках подключения NetworkManager на Linux, Без подобной записи bind-tools совместно с NM ломают /etc/resolv.conf (вот тебе и rolling release). В любом случае, не важно какие NS'ки прописаны у клиентов, роутер ведь должен перехватывать запросы?!
  11. А у меня перестали резолвиться все домены после автоматического обновления прошивки йотовского модема до D07C_Yota_V040.. Помогло только: no opkg dns-override interface Yota0 ip dhcp client name-servers Разбираться не стал особо, достало.. скоро перестану переезжать из квартиры в квартиру и нормального провайдера подключу, там все с 0 настрою. p.s. Никакие настройки NDMS/Entware не трогались, а в логе было: И до github'а соответственно тоже не мог достучаться.
  12. Эмм, так Ростелеком же блочит по размеру пакетов. Потом и других операторов научат (( https://github.com/darkk/poormansmtproto https://habr.com/post/414099/ за развитием MTProxy не слежу (все и без проксей робит), может что-то и поменяют в реализации..
  13. Ууу, какие фичи просите. У меня при измененном IP с портом приложение не умеет в админку, а Вы про такое. Не осилят )
  14. Если речь идет о дополнительных правилах блокирования, то можно вставлять URL адреса списков в domains-blacklist.conf Свои правила можно вставлять в domains-blacklist-local-additions.txt. Как их составлять можно глянуть в файле dnscrypt-proxy.toml (примерно в 300 строке описывается) У меня сейчас блокируется около 130-150К доменов. в uBlock можно использовать только свои фильтры для скрытия пустых блоков ))
×
×
  • Create New...