Albram

Да, про блокировщик прочитал сразу, но он мне как раз не нужен. У вас больше 70 на серверах с фильтром, без фильтра чуть быстрее, во всяком случае в приведённом логе.

Попробовал я эти серверы, но что-то не впечатлила скорость отклика, по сравнению с расположенными ближе. Учитывая, что в настройках у меня стратегия fasters, то дело до них доходить будет редко.

Скопировал в секцию modification скрипта правило для https из секции fragmentation. Имеет смысл, наверное, добавить параметр https = yes | no по которому будет добавляться или не добавляться это правило. P.S.: Кстати, в таком виде (с выбором действия, а не провайдера) скрипт выглядит значительно лучше.

Видимо да, не так понял. Подумал, что вопрос про то, как использовать совместно эти два решения.

Удалил ответ, т.к. он тут не по теме)

Конечно можно: используем в dnscrypt-proxy другие серверы, более быстрые, чем opennic (хоть те же яндексовские), а за доступ к нужным ресурсам отвечает указанное выше решение от Михаила, вместо доступа к их зеркалам в зоне .lib

Есть, но вариант, про который я написал, мне понравился больше, т.к. не все нужные сайты есть в .lib

Речь, в данном случае, о возможности резолвить зону .lib серверами opennic. Приведённые выше вами сервера этого не умеют.

Попользовался две недели этим решением, практически всё устраивает, кроме того, что серверы opennic иногда долго отвечают. В настройках менял стратегию dnscrypt-proxy на fastest вместо p2, но особой разницы не заметил, т.к. два самых быстрых сервера с временем отклика в районе 50ms не всегда отвечают, и вместо них начинают отзываться более дальние с временем более 300ms. Если заморочиться на "защищенности" и включить только серверы с поддержкой DNSSEC, то их количество сокращается, и в тесте dnsleaktest у меня отзывался всегда только один, что не очень хорошо. Попробовал совместно с текущим решением использовать найденное здесь (спасибо Михаилу Лукьянову за помощь в реализации): https://forum.keenetic.net/topic/3078-обход-блокировок-на-роутере/?do=findComment&comment=60919 Вот такой вариант понравился больше, т.к. в нем нет привязки только к одним dns серверам, и можно использовать любые, без потери функционала.

Ага, я в курсе этого, добавлю перехват.

Спасибо! Заработало. И без перехвата ndm.

Хорошо бы, но не взлетает. Запускается нормально: Профиль выбран rt, в файл zapret-host-user.txt добавил пару сайтов, как тут написано, но при попытке на них зайти, сначала заглушка прилетала, указал её в конфиге, прилетать перестала, но сайты всё равно не открываются: Пробовал другие профили (в том числе те, которые используют tpws, сначала выходила ошибка, т.к. adduser из Entware не поддерживает такой синтаксис, заменил ключами, пишет что неизвестная группа nogroup. С группой конечно ерунда, добавил nobody, но при запуске с профилем domru, ругается на правила: В профиле rt пробовал менять размер пакета, хотя, судя по моим результатам blockcheck, это и не должно было помочь. tcpdump по команде tcpdump -vi br0 host 195.82.146.214 | grep "HTTP, length" не ловит вообще ничего tcpdump -vi br0 host 195.82.146.214 Вот на этом пока и остановился. Нужно будет подбирать правила под свои условия, раз готовые наборы не работают.

Подскажите, каким методом лучше сделать обход, если на клиентской машине получен такой результат blockcheck, там, конечно, написано по-русски про tor и vpn, но хотелось уточнить, т.к. сейчас использую dnscrypt-proxy с набором серверов opennic для резолва зоны .lib (при запуске blockcheck всё это отключал), но в ней не все нужные сайты имеются.

Мелочь, конечно, но элемент списка съезжает в Safari (iOS 12.0.1). Было и в 2.13.0.0-1, сохранилось и в 2.13.0.0-4. Так выглядит и в горизонтальном и в вертикальном расположении. В Edge 42.17134.1.0, IE 11.0.17134.1 и Chrome 69.0.3497.100 отображается нормально.