[Вопросы по интеграции OpenVPN в NDMS]

23 часа назад, Дмитрий Воронцов сказал:

Почему не хочет работать конфиг от antizapret?

Вроде бы всё правильно,но соединение не устанавливается)))

 

Ну не хотят в кинетиках нормальную реализацию OpenVPN делать, да и смысл при скорости 30 Мбит/с максимум на топ моделях...

[Ultra II Монитор трафика не работает.]

10 часов назад, lazyt сказал:

Монитор трафика у меня всегда работал, но при включенном IPv6 не видит трафик с Ютуба (и вообще всех сервисов Гугла), Яндекса, возможно ещё откуда-то. Судя по информации об активности в аккаунтах на эти сайты я попадаю с IPv6.

Можете проверить конкретно вот тут. Потом выложить self-test, чтобы помочь разработчикам.

[Ultra II Монитор трафика не работает.]

У меня снова:

Цитата

Traffic monitor chart with the most greedy registered devices

The registered devices list is empty. Register more devices

До этого белый лист и несколько полосок. Видимо на "старичках" не тестируют.. (

[DNScrypt из коробки]

Если появится "из коробочная" версия, это будет самым полезным нововведением за всю историю существования кинетиков, ИМХО.

А то поддержку OpenVPN сделали, а полезное шифрование DNS - нет. Уже 2 раза столкнулся с подменой DNS, сначала на Yota, потом на проводном провайдере. Если бы не Александр Рыжов и ankar84 - так и страдал бы, не зная про DNScrypt.

Смогли открыть людям глаза на OpenVPN, сможете и на шифрование DNS. В современных реалиях это очень нужная вещь.

[Вопросы по интеграции OpenVPN в NDMS]

22 часа назад, Le ecureuil сказал:

Вообще удалите настройку с ipv6 - такое может заработать, но мы это не гарантируем. Оставьте только udp4.

А вообще давайте поточнее в показаниях - 1 МБ/с это у вас 1 Мбит/с или 1 Мбайт/с? 

Удалил. Дополнительно попробовал подключиться по TCP - скорость так и осталась не выше 1 Мбайт/с.. чаще скорость бегает даже в районе 600-900 КБ/с.

Можно было бы на "древний" роутер грешить, но нагрузка на проц с памятью не превышает даже 50%, и это при активном VPN с торрентами и Entware.

Могу выложить для тестов в скрытом посте ссылку на профиль для подключения к моему VPN. Вдруг проблема не на моей стороне, а в реализации OpenVPN.

[Вопросы по интеграции OpenVPN в NDMS]

Роутер режет скорость VPN или конфиг клиента кривой?... или роутер пора менять? ...

Всем привет!

Кинетик 2, драфт 2.14.A.4.0-2

Купил VPS, "настроил" OpenVPN через веб-морду Pritunl (конфиг дефолтный), сгенерированный конфиг скормил роутеру. Роутер подключается, но режет скорость до 1 МБ/с вообще на все, включая и торренты и скачивания по HTTP/S.

Если подключаться к VPN с ноутбука - скорость, как и положено - 100 Мбит/с. Пробовал убирать некоторые опции конфига, на которые роутер выдавал WARNING'и в своих логах, но это не помогло. Возможно, что-то упустил. Не особо понимаю что нужно делать. self-test (с interface OpenVPN1 debug) будет ниже, в скрытом посте. Вот дефолтный конфиг клиента:

Скрытый текст

setenv UV_ID z6dtbz6dtb7f6zstb76zsgvs
setenv UV_NAME y7szgy8z7stgs78tgf87szt
client
dev tun
dev-type tun
remote 2a02:2a02:2a02::2a02:2a02 7007 udp6
remote 185.185.185.185 7007 udp
remote-random
nobind
persist-tun
cipher AES-128-CBC
auth SHA1
verb 2
mute 3
push-peer-info
ping 10
ping-restart 60
hand-window 70
server-poll-timeout 4
reneg-sec 2592000
sndbuf 393216
rcvbuf 393216
max-routes 1000
remote-cert-tls server
comp-lzo no
ignore-unknown-option block-outside-dns
block-outside-dns
key-direction 1
<ca>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</ca>
<tls-auth>
#
# * bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
...
-----END OpenVPN Static key V1-----
</tls-auth>
<cert>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
...
-----END PRIVATE KEY-----
</key>

 

Раньше пользовался именно на самом роутере платным VPN от prostovpn, но там маршруты прописывались только к заблокированным сайтам, по другому не работало, да и не нужно было. Сейчас, если капризному кинетику нужны какие-то изменения на VPN сервере - их можно сделать, хоть и нежелательно.

Не знаю, правильно ли это, но чтобы VPN заработал, пришлось в приоритетах "подвинуть" провайдерское подключение на второе место, VPN на первое. По другому к VPN подключение было, но трафик шел в обход VPN (через провайдера).

И отдельно вопрос по поводу этой строчки в конфиге:

remote 2a02:2a02:2a02::2a02:2a02 7007 udp6

Если на роутере настроен 6to4, трафик ведь через него пойдет? По другому ведь никак по идее. Можно добавить исключение какое-то?

p.s. Айпишники я конечно поменял, не смущайтесь абракадабре.

Буду благодарен за любую помощь.

[Защищаем DNS запросы с помощью dnscrypt-proxy2. Бонусом блокировка рекламы.]

Подскажите пожалуйста, что за странный трафик в логе:

[2018-10-16 23:53:20] 191.96.249.112 aids.gov ANY FORWARD

Домены каждый раз разные, IP один. Его внесение в ip-blacklist ничего не дает. Подозреваю, что это какой-то служебный трафик, но хотелось бы знать наверняка.

Заранее благодарствую.

[Ultra II Монитор трафика не работает.]

3 минуты назад, iggo сказал:

  На 2.14.A.4.0-2 не заработало? В последнее время сижу на Stable из-за этого.

Нет. Как я понимаю, забили на эту проблему до лучших времен.

[Ultra II Монитор трафика не работает.]

Ладно бы эта фича глючила, так она вообще не работает. Верим, надеемся, ждем. Когда-нибудь, возможно, пофиксят ) Было бы это легко, то наверное уже починили бы

[Защищаем DNS запросы с помощью dnscrypt-proxy2. Бонусом блокировка рекламы.]

6to4 пока что убрал..

А вот как dnscrypt выбирает через какой сервер послать запрос - понять не могу..
В конфиге прописано 6 серверов. ВСЕГДА наименьшая задержка у cloudflare, но почему подобные запросы практически каждый раз проходят через разные резолверы?

$ dnscrypt-proxy -resolve dnscrypt.info

через раз резолвится у cloudflare (от домена не зависит)
и по логам начальная задержка у CF меньше и по пингу в консоли смотрю

# grep latency /opt/var/log/dnscrypt-proxy.log
 

Скрытый текст

[2018-09-28 04:06:23] [NOTICE] Server with the lowest initial latency: cloudflare (rtt: 53ms)
[2018-09-28 05:06:24] [NOTICE] Server with the lowest initial latency: cloudflare (rtt: 50ms)
[2018-09-28 06:06:26] [NOTICE] Server with the lowest initial latency: cloudflare (rtt: 50ms)
[2018-09-28 07:06:28] [NOTICE] Server with the lowest initial latency: cloudflare (rtt: 51ms)
[2018-09-28 08:06:30] [NOTICE] Server with the lowest initial latency: cloudflare (rtt: 49ms)
[2018-09-28 09:06:32] [NOTICE] Server with the lowest initial latency: cloudflare (rtt: 52ms)
[2018-09-28 10:06:34] [NOTICE] Server with the lowest initial latency: cloudflare (rtt: 51ms)
[2018-09-28 11:06:36] [NOTICE] Server with the lowest initial latency: cloudflare (rtt: 50ms)
[2018-09-28 12:06:38] [NOTICE] Server with the lowest initial latency: cloudflare (rtt: 54ms)

периодически возникает у CF ошибка

Цитата

[INFO] Server [cloudflare] returned temporary error code [2] -- Upstream server may be experiencing connectivity issues

но не так уж и часто. да и когда ее нет, запросы так же через раз идут к CF

во время написания поста решил на место CF прописать второй самый быстрый для меня сервис "cs-fi", запросы так и продолжают гулять через разные "Resolver IP", которые принадлежат разным серисам:

Resolver IP:    89.233.43.71 (unicast.censurfridns.dk.)
Resolver IP:    209.250.235.170 (209.250.235.170.vultr.com.)
Resolver IP:    185.117.118.20 (stadi.deepdns.cryptostorm.net.)

это нормальное поведение для dnscrypt-proxy? только сильно нуба не пинайте, может быть чего не понимаю )

___

Чтобы не плодить лишних сообщений, отвечу тут:

@ankar84

О как все просто оказалось. Большое спасибо очередной раз за помощь )

[Страшилка выскакивает]

@dexter

О как, спасибо большое за ссылку. Думал, что просто не собрали прошивку для старых кинетиков.

 

[Защищаем DNS запросы с помощью dnscrypt-proxy2. Бонусом блокировка рекламы.]

5 часов назад, r13 сказал:

настраивать на link-local адресе а не на loopback

После сообщений @ankar84 попробовал так сделать - плодов не принесло. Вся проблема ведь в перехватывании DNS запросов IPv6, для чего нужно более новое ядро, как Вы сами и сказали.

Или я что-то не так понимаю? У меня проводное подключение 100 Мбит/с, dnscrypt настраивал на прослушивание link-local интерфейса br0. Запросы вида "nslookup snippets.cdn.mozilla.net 2001:4860:4860::8888" успешно проходят, хотя при использовании любых IPv4 DNS домен блокируется правилами dnscrypt.

[SSH-сервер, как залогиниться?]

15 часов назад, zyxmon сказал:

Хотя нам не дали ни журнала кинетика, ничего....

Единственное, что там относилось к dropbear, было "already running". Остальное ПО Entware после обновления работало. Тот же dnscrypt-proxy2  с кроном успешно выполнялись.

Возможно, было необходимо включить режим отладки, что я и сделаю при повторении проблемы.

Еще можно добавить то, что Entware был установлен на ext4 раздел флешки с отключенным журналированием. Вчера у меня повредились файлы dnscrypt-proxy2. Сейчас флешку переформатировал с включенным журналированием.

12 часа назад, TheBB сказал:

и так, без доп. информации, пока, имеем два варианта: или не сохраняются внесённые правки. или цепляется прошивочный, если установлен компонент и порт одинаковый.

Правки сохранялись, до обновления, которое заменило файл dropbear на дефолт... Не заметив это, роутер был перезагружен и SSH небыло видно не на измененном 2ххх порту, не на 22, вообще нигде (проверял nmap'ом). Лог роутера без режима отладки выдавал "dropbear already running", а консоль "connection refused". Прошивочный SSH не уставновлен, от греха подальше.

На случай повторения проблемы поставлю openssh. Какая информация будет необходима, помимо selt-test с кинетика?

[Защищаем DNS запросы с помощью dnscrypt-proxy2. Бонусом блокировка рекламы.]

21 час назад, ankar84 сказал:

Я настроил dnscrypt-proxy на Link-Local IPv6 адрес роутера, так как именно к нему обращались клиенты на Windows 7-10. Это работает стабильно, хотя, вероятно, и  [::1]:53 должно работать.

Буду иметь ввиду.

20 часов назад, ankar84 сказал:

Правда, исходя из того, что рекламу на том же 2ip.ru я при такой настройке все же вижу, я могу и ошибаться и скрипт "приземления" все равно нужен.

Вчера, во время переустановки Entware и сброса настроек роутера тоже так прописал. В любом случае, со скриптом спокойнее. Знаешь, что хоть ipv4 запросы будут 100% обрабатываться.

20 часов назад, r13 сказал:

нет, отсутствие таблицы nat для ipv6 не попровимо. эта таблица существует только в более свежих версиях ядра. 

Очень печальные новости.

cast @Le ecureuil

Как дальше жить? %)

[Защищаем DNS запросы с помощью dnscrypt-proxy2. Бонусом блокировка рекламы.]

В 12.09.2018 в 12:37, vasek00 сказал:

dnscrypt-proxy --local-address='[::1]:53'....

[2018-09-16 13:58:22] [NOTICE] Now listening to 192.168.1.1:53 [UDP]
[2018-09-16 13:58:23] [NOTICE] Now listening to 192.168.1.1:53 [TCP]
[2018-09-16 13:58:23] [NOTICE] Now listening to [::1]:53 [UDP]
[2018-09-16 13:58:23] [NOTICE] Now listening to [::1]:53 [TCP]

В 12.09.2018 в 06:11, ankar84 сказал:

Когда настроен скрипт, который добавляет правило в iptables, которое "приземляет" или можно сказать перехватывает пакеты на 53 порт udp, как это описано в инструкции, то стоит учитывать, что данное правило задано именно в iptables и распространяется на ipv4 трафик. Я не уверен, но возможно, что нечто подобное нужно делать для ipv6 версии iptables. Тогда ipv6 пакеты, которые проходят через роутер будут перехватываться и обрабатываться в dnscrypt-proxy2. 

Обратился на форум сообщества своего Linux дистрибутива. Там предположили, что следующая строчка отбрасывает IPv6 запросы

[ "$type" == "ip6tables" ] && exit 0

и поправили скрипт:

#!/bin/sh
[ "$table" != "nat" ] && exit 0
[ -z "$(iptables-save | grep " --dport 53 -j DNAT --to-destination 192.168.1.1")" ] && \
    iptables -t nat -I PREROUTING -p udp --dport 53 -j DNAT --to-destination 192.168.1.1:53 && \
    ip6tables -t nat -I PREROUTING -p udp --dport 53 -j DNAT --to-destination <ipv6_adress_proxy>:53
exit 0

Должно ли это работать?
И <ipv6_adress_proxy> нужно заменить на [::1]:53? Пробовал, не сработало. Стали пропускаться даже запросы к сторонним IPv4 DNS серверам.
Если попробовать запустить команду ip6tables вручную, то выдает следующее:

ip6tables -t nat -I PREROUTING -p udp --dport 53 -j DNAT --to-destination [::1]:53

ip6tables v1.4.21: can't initialize ip6tables table `nat': Table does not exist (do you need to insmod?)
Perhaps ip6tables or your kernel needs to be upgraded.

Из этого мне понятно только то, что таблицы "nat" не существует и возможно нужно обновить ip6tables или ядро.
Если отсутствие таблицы скорее всего поправимо, то что делать с остальным?

Возможно, эта команда и не должна отдельно работать. Если бы я в этом что-то понимал.. )

[SSH-сервер, как залогиниться?]

@zyxmon

Entware ставил после очередной проблемы с доступом к SSH примерно 11 августа. Архив для установки брал тут. Про версии сказать ничего не могу.
Обновление проводилось только 1 раз 14 сентября (opkg update && opkg upgrade), тогда, с многими другими пакетами обновился и сам dropbear.

Сейчас переставил Entware по той же ссылке заново, пока все хорошо. Архив на этот раз свежее, от 11 сентября. Буду наблюдать. Если история повторится, что мне делать, чтобы помочь Вам проанализировать проблему? Может быть какое-то журналирование настроить? Смогу хоть образ флешки (dd) скинуть, если потребуется.

Вам, возможно проблема показалась странной. Но с самим dropbear я ничего кроме смены дефолтного порта не делал. Никакие другие, изначально присутствующие системные файлы никак не затрагиваются. В остальном на флешке меняется иногда только конфигурация установленного dnscrypt-proxy2. Из вручную установленных пакетов только dnscrypt-proxy2, python, ca-certificates, cron, iptables, nano, git.

[SSH-сервер, как залогиниться?]

2 минуты назад, zyxmon сказал:

Приведите полный порядок действий. У Вас что, соединение с dropbear разорвалось после редактирования скрипта запуска? Что Вы дальше делали?

 

Отредактировал, перезагрузил роутер - все работало отлично около месяца до вчерашнего обновления пакетов Entware. Среди обновляемых был dropbear. Автоматически изменился скрипт запуска, в котором был прописан 22 порт. Когда не смог подключиться - Смонтировал флешку в Linux, изменил порт (права на файл остались неизменны), подключил и перезапустил роутер.
При попытке подключения к измененному порту (2xxx) консоль выдает "ssh: connect to host 192.168.1.1 port 2xxx: Connection refused" а nmap:

Цитата

Nmap scan report for 192.168.1.1
Host is up (0.0033s latency).
Not shown: 995 closed ports
PORT     STATE SERVICE
53/tcp   open  domain
139/tcp  open  netbios-ssn
445/tcp  open  microsoft-ds
80/tcp  open  multiling-http
23/tcp open  3d-nfsd
MAC Address: ... (ZyXEL Communications)

22 порт тоже не поднимался. я ведь не сразу проверил файл dropbear в /etc/init.d, сначала по "мастдайской" привычке перезагрузил.
Извиняюсь. Опять я не там написал, какой-то невнимательный сегодня. Пост вроде скрывал, но Вы успели ответить.
Прошивка 2.13.B.0.0-2. В топике речь про другую ветку и штатный SSH. Если потребуется - удалите комментарии, напишу заново в более подходящем месте.

 

[SSH-сервер, как залогиниться?]

@zyxmon

Копипаст касательно темы Dropbear перестал запускаться после обновления 14.09.18, выдавая "Opkg::Manager: /opt/etc/init.d/rc.unslung: dropbear already running"

• Имелся ввиду файл /etc/init.d/S51dropbear. По поводу openssh, возможно придется пробовать, если не получиться исправить.
• По поводу "это" и "совсем не так". Интересные выводы.. устанавливался Entware уже не 1 раз с нуля, из-за проблем с SSH доступом.

Порядок действий:

• Установка и настройка dnscrypt-proxy2 по этому мануалу.
• Редактирование S51dropbear, делается только смена дефолтного порта на 2ххх (хотя прошивочный SSH не установлен и 22 свободен).

    Все, если не считать вчерашнего обновления.

PS Рад, что вас вечная проблема не коснулась.

[Защищаем DNS запросы с помощью dnscrypt-proxy2. Бонусом блокировка рекламы.]

А это нормально, что dnscrypt не перехватывает запросы к IPv6 DNS серверам? К IPv4 серверам перехватывает.. Может быть я где-то накосячил, хотя все вроде по инструкции делал и воспользовался поправками в посте выше.
nslookup snippets.cdn.mozilla.net

Цитата

 

;; Got recursion not available from 192.168.79.1, trying next server
Server:        2606:4700:4700::1111
Address:    2606:4700:4700::1111#53

Non-authoritative answer:
snippets.cdn.mozilla.net    canonical name = drcwo519tnci7.cloudfront.net.
Name:    drcwo519tnci7.cloudfront.net
Address: 52.85.254.202

 

nslookup snippets.cdn.mozilla.net 8.8.8.8

Цитата

 

Server:        8.8.8.8
Address:    8.8.8.8#53

** server can't find snippets.cdn.mozilla.net: REFUSED

 

nslookup snippets.cdn.mozilla.net 2001:4860:4860::8888

Цитата

 

Server:        2001:4860:4860::8888
Address:    2001:4860:4860::8888#53

Non-authoritative answer:
snippets.cdn.mozilla.net    canonical name = drcwo519tnci7.cloudfront.net.
Name:    drcwo519tnci7.cloudfront.net
Address: 13.33.47.59

 

Домен snippets.cdn.mozilla.net блокируется правилами черного списка.

IPv6 работает через "прошивочный" 6to4. В dnscrypt-proxy.toml ipv6 servers = true и "listen_addresses = ['192.168.79.1:53', '[::1]:53']"

netstat -an | grep :53
tcp        0      0 192.168.79.1:53          0.0.0.0:*               LISTEN      
tcp        0      0 ::1:53                  :::*                    LISTEN      
udp        0      0 192.168.79.1:53          0.0.0.0:*                           
udp        0      0 77.57.75.10:50517      77.57.75.1:5351        ESTABLISHED
udp        0      0 192.168.79.1:5351        0.0.0.0:*                           
udp        0      0 0.0.0.0:5355            0.0.0.0:*                           
udp        0      0 ::1:53                  :::*

2606:4700:4700::1111 прописан в настройках подключения NetworkManager на Linux, Без подобной записи bind-tools совместно с NM ломают /etc/resolv.conf (вот тебе и rolling release). В любом случае, не важно какие NS'ки прописаны у клиентов, роутер ведь должен перехватывать запросы?!

[OPKG не инициализируется во время загрузки]

А я мучался (методом тыка за отсутствием знаний) с этим SSH на разных версиях draft прошивок. В итоге нормально заработало после ребута только в kn_rb_delta_2.11.B.1.0-3, после залил файл бэкап kn_rb_draft_2.13.A.4.0-1 без компонента SSH, сменил пароль и порт dropbear на entware - ребут теперь не помеха.

[2.12.B.0.0-4 (Keenetic II): Не работают удлинители для USB]

Как и обещал - отписываюсь по результатам. Модем ведет себя отлично с активным хабом.. Как и говорил @enpa - не хватало питания.

Большое спасибо за помощь!

P.S. Так долго, ибо заказывал с Китая, не нашел у себя в городе 7-ми портовый (принтеры шминтеры теперь на роутере).

[Защищаем DNS запросы с помощью dnscrypt-proxy2. Бонусом блокировка рекламы.]

А у меня перестали резолвиться все домены после автоматического обновления прошивки йотовского модема до D07C_Yota_V040..

Помогло только:
no opkg dns-override
interface Yota0 ip dhcp client name-servers

Разбираться не стал особо, достало.. скоро перестану переезжать из квартиры в квартиру и нормального провайдера подключу, там все с 0 настрою.

p.s. Никакие настройки NDMS/Entware не трогались, а в логе было:

Цитата

[2018-07-24 10:48:02] [INFO] Loading from [https://download.dnscrypt.info/resolvers-list/v2/public-resolvers.md] failed
[2018-07-24 10:48:02] [CRITICAL] Unable to use source [public-resolvers]: [read udp 192.168.7.1:58689->192.168.7.1:53: read: connection refused]

И до github'а соответственно тоже не мог достучаться.

[MTProtoproxy для Entware.]

В 01.07.2018 в 23:36, Kirya сказал:

и теперь можно сказать определённо - привет DPI-ям, которые будет пробовать блочить на уровне пакетов mtproxy.

Эмм, так Ростелеком же блочит по размеру пакетов. Потом и других операторов научат ((

https://github.com/darkk/poormansmtproto

https://habr.com/post/414099/
за развитием MTProxy не слежу (все и без проксей робит), может что-то и поменяют в реализации..

[Доступ в CLI]

Ууу, какие фичи просите. У меня при измененном IP с портом приложение не умеет в админку, а Вы про такое. Не осилят )

[Защищаем DNS запросы с помощью dnscrypt-proxy2. Бонусом блокировка рекламы.]

В 02.07.2018 в 07:36, rotor сказал:

Подскажите, а дополнительный файл можно прикрутить? Или список только из этого файла берётся?

Если речь идет о дополнительных правилах блокирования, то можно вставлять URL адреса списков в domains-blacklist.conf

Свои правила можно вставлять в domains-blacklist-local-additions.txt. Как их составлять можно глянуть в файле dnscrypt-proxy.toml (примерно в 300 строке описывается)

У меня сейчас блокируется около 130-150К доменов. в uBlock можно использовать только свои фильтры для скрытия пустых блоков ))