-
Posts
321 -
Joined
-
Days Won
3
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by Denis P
-
-
-
30 минут назад, MmoAdvert сказал:
У меня домашняя сеть, а не гостевая
Это не имеет значения.
Размера dhcp пула какой?
- 1
-
4 часа назад, Le ecureuil сказал:
Поддержка DoH HTTP/3 появится на устройствах с >= 256 Мбайт ОЗУ в следующей версии 4.02.
Жирно. Неужели quiche от cloudflare такой требовательный?
-
7 минут назад, SySOPik сказал:
Смотря какое шифрование впихнуть
это даже на стильномодномолодежной ChaCha20-Poly1305. 40 прям никак не буде
-
2 часа назад, SySOPik сказал:
Speedster имеет порты 1 гб. Но OpenVPN будет около 50 реальных мб.
Если бы, рассчитывать где-то на ~20 стоит
-
1 час назад, Le ecureuil сказал:
А как вы прописываете DNS в "не основную" политику?
Точно так же как и описано в первом посте темы, указанием dns сервер'а в wg подключении
-
2 часа назад, Le ecureuil сказал:
Это, скажем так, известная особенность. Альтернативой ей может быть просто блокировка всего DNS в политике.
Предложите ваше видение, как dns-override должен сосуществовать с политиками.
предполагалось что dns-override полностью отключает прокси для клиентов и запросы должны ходить напрямую к тем днс, которые указаны в подключении из "не основной" политики
собственно как и чекбокс "транзит запросов"
-
6 минут назад, eralde сказал:
Фичу "WireGuard-сервер" (генерация и экспорт конфига для этого нужны, правильно?) мы обсуждали, но в ближайшие планы она не попадает. После релиза нового веб-интерфейса можно будет вернуться к этому вопросу.
По факту wireguard сервер у нас и так есть, просто настройка ручная. Генерация конфигов или хотя-бы экспорт очень упростил бы этот момент
7 минут назад, eralde сказал:А в каком сценарии нужно включение NAT? Расскажите, пожалуйста, подробнее.
И тут тоже если кинетик "сервер". Необходимо включить nat на интерфейсе wg из cli, что не особо сложно конечно, но у других VPN такой чекбокс есть:
- 1
-
2 часа назад, ValdikSS сказал:
Не работает! Применил opkg dns-override, сохранил конфигурацию, перезагрузился, на всякий случай дважды, убедился, что в выводе show run есть строка opkg dns-override, и всё равно перехватывающие правила есть.
да, действительно воспроизводится, если в дополнительном сегменте назначить политику не по умолчанию.
Если же политику назначать отдельным клиентам, подобного поведения нет
-
14 минуты назад, ValdikSS сказал:
Перехват есть, 4.1.2. Вероятно, у вас иная конфигурация, для которой перехват не применяется. См. https://forum.keenetic.com/topic/16431-неотключаемый-перехват-dns-запросов-в-отдельном-сегменте/?do=findComment&comment=167233
# iptables-save | grep _NDM_HOTSPOT_DNSREDIR :_NDM_HOTSPOT_DNSREDIR - [0:0] -A _NDM_DNS_REDIRECT -j _NDM_HOTSPOT_DNSREDIR -A _NDM_HOTSPOT_DNSREDIR -i br0 -p udp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m udp --dport 53 -j REDIRECT --to-ports 41100 -A _NDM_HOTSPOT_DNSREDIR -i br0 -p tcp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m tcp --dport 53 -j REDIRECT --to-ports 41100 -A _NDM_HOTSPOT_DNSREDIR -i br0 -p udp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m udp --dport 1900 -j REDIRECT --to-ports 41300 -A _NDM_HOTSPOT_DNSREDIR -i br0 -p udp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m udp --dport 5351 -j REDIRECT --to-ports 41301 -A _NDM_HOTSPOT_DNSREDIR -i br0 -p tcp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m tcp --dport 1900 -j REDIRECT --to-ports 41300 -A _NDM_HOTSPOT_DNSREDIR -i br1 -p udp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m udp --dport 53 -j REDIRECT --to-ports 41100 -A _NDM_HOTSPOT_DNSREDIR -i br1 -p tcp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m tcp --dport 53 -j REDIRECT --to-ports 41100 -A _NDM_HOTSPOT_DNSREDIR -i br1 -p udp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m udp --dport 1900 -j REDIRECT --to-ports 41300 -A _NDM_HOTSPOT_DNSREDIR -i br1 -p udp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m udp --dport 5351 -j REDIRECT --to-ports 41301 -A _NDM_HOTSPOT_DNSREDIR -i br1 -p tcp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m tcp --dport 1900 -j REDIRECT --to-ports 41300 -A _NDM_HOTSPOT_DNSREDIR -i br2 -p udp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m udp --dport 53 -j REDIRECT --to-ports 41100 -A _NDM_HOTSPOT_DNSREDIR -i br2 -p tcp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m tcp --dport 53 -j REDIRECT --to-ports 41100 -A _NDM_HOTSPOT_DNSREDIR -i br2 -p udp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m udp --dport 1900 -j REDIRECT --to-ports 41300 -A _NDM_HOTSPOT_DNSREDIR -i br2 -p udp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m udp --dport 5351 -j REDIRECT --to-ports 41301 -A _NDM_HOTSPOT_DNSREDIR -i br2 -p tcp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m tcp --dport 1900 -j REDIRECT --to-ports 41300 -A _NDM_HOTSPOT_DNSREDIR -i ovpn_br1 -p udp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m udp --dport 53 -j REDIRECT --to-ports 41100 -A _NDM_HOTSPOT_DNSREDIR -i ovpn_br1 -p tcp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m tcp --dport 53 -j REDIRECT --to-ports 41100 -A _NDM_HOTSPOT_DNSREDIR -i ovpn_br1 -p udp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m udp --dport 1900 -j REDIRECT --to-ports 41300 -A _NDM_HOTSPOT_DNSREDIR -i ovpn_br1 -p udp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m udp --dport 5351 -j REDIRECT --to-ports 41301 -A _NDM_HOTSPOT_DNSREDIR -i ovpn_br1 -p tcp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m tcp --dport 1900 -j REDIRECT --to-ports 41300
Конкретно в моем случае речь про
opkg dns-override
проверил на нескольких локациях, в дополнительных профилях перехвата нет
-
44 минуты назад, marfo4ka сказал:
Вы уверены в корректности своего высказывания?
У меня:
- Применён `opkg dns-override`.
- Один системный профиль DNS с DoT серверами.
- В котором разрешён транзит запросов.
- Контентный фильтр выключен.
- Компоненты «NextDNS» и «SkyDNS» отключены.
Как только я создаю тестовую политику доступа, закидываю туда одного клиента, то в `iptables-save | grep " 53 "` появляется:
-A _NDM_HOTSPOT_DNSREDIR -i br0 -p udp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m udp --dport 53 -j REDIRECT --to-ports 41100 -A _NDM_HOTSPOT_DNSREDIR -i br0 -p tcp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m tcp --dport 53 -j REDIRECT --to-ports 41100 -A _NDM_HOTSPOT_DNSREDIR -i br1 -p udp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m udp --dport 53 -j REDIRECT --to-ports 41100 -A _NDM_HOTSPOT_DNSREDIR -i br1 -p tcp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m tcp --dport 53 -j REDIRECT --to-ports 41100
`dns-proxy no intercept enable` сообщает `disable intercept for system profile`, при этом в `show dns-proxy` кроме системного виден ещё один профиль Policy0, у которого:
dns_tcp_port = 41100 dns_udp_port = 41100
Навскидку, есть такой костыль (постоянно портит отбирающие правила), но хотелось бы адекватного поведения из коробки.
утверждение было актуально на момент его публикации.
но таки проверил на актуальной 4.1.2 - никакого перехвата нет:
~ # iptables-save |grep _NDM_HOTSPOT_DNSREDIR
:_NDM_HOTSPOT_DNSREDIR - [0:0]
-A _NDM_DNS_REDIRECT -j _NDM_HOTSPOT_DNSREDIR
~ #
-
@eraldeподскажите, стоит ли ждать в новом интерфейсе данные функции?
-
1 час назад, Le ecureuil сказал:
клиентам VPN-серверов неплохо бы политики приделать
Это было бы здорово
-
@Le ecureuil можно услышать ваше мнение по этому поводу?
-
15 часов назад, Isolated сказал:
да я вообще непонятно куда смотрел.
спасибо. вот только почему-то подключаться не хочет. завтра уже буду разбираться.
да, действительно, есть проблема с подключением конкретно к qbittorent из entware, с официальным клиентом 4.6.3 всё ок
3 часа назад, alexhom сказал:О! Отличная прога, большое спасибо! А есть ли что нить такое, что бы как то удалённо через мобилу подключаться?
https://play.google.com/store/apps/details?id=me.fengmlo.qbRemoteFree&hl=en_US
это приложение работает корректно
- 1
-
22 минуты назад, Isolated сказал:
Всем приветы!
торрент-клиент, конечно, замечательный, но меня смущает отсутствия GUI-клиента под винду. или можно ли как-то виндовсовский клиент прикрутить к роутеровскому?
Плохо искали
- 1
-
1 час назад, Buba сказал:
Не лечится, про ip http proxy в посте я упоминул в чем его проблема
Нет никакой проблемы, 443 порт можно освободить, у вас не актуальная информация двухлетней давности.
-
5 часов назад, Buba сказал:
Аналогично такая же ситуация с Synology была, что все IP отображались как от роутера
А лечится это буквально одной командой в cli, вы чего-то там где-то читали, но не там где нужно.
ip http proxy <name> x-real-ip
- 1
-
2 часа назад, Dmitry Vasilyev сказал:
где и как - загадка
Вот таки прям загадка
https://github.com/ndmsystems/packages/wiki/Opkg-Component#ndmnetfilterd
Но учитывая, что ваши эксперименты происходят на устройствах, которые не имеют никакого отношения к кинетику, хоть и пытаются казаться таковыми, никакой ответственности за ковыряния "не в туды" никто не несет.
-
3 часа назад, exeigor сказал:
Да дело в том, что при каждой настройки конфигурации с веб-интерфейса цп упирается в полотом и DNS сервер ломается. Может сутки поработать и сломаться. Поэтому я хотел понизить версию как это ранее писали. Только вот что-то не запускается
Стоит начать с изучения журнала, лежит в /opt/var/log/AdGuardHome.log
Есть предположение что у вас просто заканчивается озу, agh в этом плане довольно прожорлив. Выключайте zram, включайте swap и проверяйте
-
2 часа назад, exeigor сказал:
Пробовал ставить данную версию на Keenetic Viva (KN-1910), но Adguard Home не стартует. Эта версия вообще рабочая 0.106.3-1 ?
https://bin.entware.net/mipselsf-k3.4/keenetic/archive/adguardhome-go_v0.106.3-1_mipsel-3.4.ipk
А к чему эта некрофилия? 107.37 уже давным давно доступна для установки, 107.44 на подходе
-
1 час назад, Dmitry Vasilyev сказал:
Это просто не работает на Keenetic.
просто работает.
1 час назад, Dmitry Vasilyev сказал:У меня есть 3 разных роутера Xiaomi для экспериментов. Я пробовал много разных версий OpenWrt и X-Wrt
каким боком тут openwrt?
- 1
-
3 часа назад, atam сказал:
исключительно по HTTPS
Кто ж вам сертификат выпишет на ipv6 адрес, без домена, le, используемый в кинетике, так не умеет (для v4 тоже)
- 1
-
В 09.02.2024 в 11:47, Foton сказал:
Надеемся и ждём.
Чего ждете то?
Пользуйтесь:
https://bin.entware.net/mipselsf-k3.4/openconnect_9.01-1_mipsel-3.4.ipk
- 1
- 1
Поддержка IPv6 адресов в WireGuard
in Веб-интерфейс
Posted
Пока что всё в cli