Сергей Грищенко

Тут вот ошибка мелкая, нужно /opt/etc/ndm/netfilter.d/010-bypass-table.sh А так огромное вам спасибо, ошибок в журнале больше нет, установил тоже на внутрянку памяти. По скорости работы разницы не заметил, возможно потому что роутер другой. Но однозначно рекомендую ваше решение 👍

Спасибо! Если кто будет тупить так же как и я, то вот пример рабочих настроек

Не выходит :(, по какой логике добавлять?

@Александр Рыжов здравствуйте! Подскажите пожалуйста, как можно сделать, что бы можно было указывать диапазон IP адресов? Я предположил, что раз не выходит в штатный-интернет фильтр, то нужно создать свой txt файл, с указанием диапазонов IP адресов, а дальше добавлять проверку в [ "$type" == "ip6tables" ] && exit [ "$table" != "mangle" ] && exit [ -z "$(ip link list | grep $VPN_NAME)" ] && exit [ -z "$(ipset --quiet list bypass)" ] && exit Верно ли я мыслю? Если подскажете как доработать, буду очень благодарен) P.S. нужно для приложений, которые редко используют домены и чаще IP адреса, например тот же телеграм

Да, у меня в логах точно так же.

Видимо да, во всяком случае могу точно подтвердить, что мой метод сработал и помог решить проблему.

Запрос ДНС идёт в ipset-dns. DNS прописан в /opt/etc/bypass.conf. Если делать обычный прямой конфиг wireguard клиент телефон -> wireguard сервер, то тогда да, ДНС будет внутри VPN. В случае с решением от ТС это так не работает, иначе роутеру не будут видны адреса и он не будет понимать какие нужно гнать под ВПН, а какие нет.

С сегодняшнего дня у меня начали перехватывать DNS (информация выше) и перестал работать VPN. Если вы столкнулись с этим, проверить можно очень легко, добавляем в обход 2ip.ru и смотрим, если его обойти удалось, а остальные сайт нет, значит вероятнее всего вы столкнулись с этим тоже или сделайте трассеровку, как я постом выше. Как обойти перехват DNS для данного решения, чтобы VPN вновь работал: 1. Устанавливаем и настраиваем по инструкции DOH и DOT. Список доступных DOH и DOT тут. 2. Заходим в консоль порт 222, смотрим под какими портами у нас DOH и DOT, вводим команду ~ # cat /tmp/ndnproxymain.stat Total incoming requests: 19 Proxy requests sent: 19 Cache hits ratio: 0.000 (0) Memory usage: 20.75K DNS Servers Ip Port R.Sent A.Rcvd NX.Rcvd Med.Resp Avg.Resp Rank 192.168.1.1 5354 0 0 0 0ms 0ms 2 192.168.1.1 5353 0 0 0 0ms 0ms 4 127.0.0.1 40500 0 0 0 0ms 0ms 5 127.0.0.1 40501 1 1 0 78ms 78ms 4 127.0.0.1 40502 0 0 0 0ms 0ms 3 127.0.0.1 40503 0 0 0 0ms 0ms 2 127.0.0.1 40508 0 0 0 0ms 0ms 3 127.0.0.1 40509 18 18 0 10ms 20ms 10 Всё что с портами 40500-405++ как раз doh или dot. Запоминаем любой порт. 3. Меняем DNS в ipset-dns ~ # nano /opt/etc/bypass.conf DNS=127.0.0.1:40509 Перезагружаем роутер и проверяем, у меня всё вновь работает. Дополнительно, как выбрать наиболее быстрый DOH и DOT. Меняем только порт, проверяем какой будет быстрее. while true; do dig google.com @127.0.0.1 -p 40509 | grep time; sleep 1; done P.S. DOH и DOT можно настроить на весь трафик, я так делать не стал, сделал только для обхода. Смотрите скрин.

Тоже столкнулся с этим, простая проверка через трассировку показывает следующее: думал может днс как то перехватывают, подключение dot и doh не помогло. Странно что не работает именно на роутере, напрямую подключение телефона и сервера через wg всё ок.

Помогите советом), пытаюсь настроить следующую цепочку: устройства -> роутер -> выход в интернет с обходом заблокированных сайтов. Белый IP есть; Локальный доступ сделать получилось, есть доступ к админке; «ipset-dns для выборочного роутинга» уже успешно работает на роутере. Но не выходит сделать выход в интернет. Делал всё как в статье «Доступ в Интернет через WireGuard-туннель», однако после команды interface Wireguard0 security-level private перестает работать обход заблокированных сайтов. А после того как я меняю приоритет подключений как в инструкции вовсе пропадает интернет везде. Тут я предполагаю я не верно настраиваю маршрутизацию, хотя делал как в инструкции

Вообщем написал в поддержку, попросил увеличить количество записей (сейчас ограничено 64), дали ответ: Надеюсь увеличат и тогда не нужно будет ничего менять 👍

А от каких именно плюшек придётся отказаться? Для меня самый плюс вашего решения в его лёгкости и том что он "на лету" ловит новые IP адреса с сайтов)

Мне бы этого хватило, запрос в поддержку отправил, но скорее всего этого не сделают) Мне и нужно для точечного обхода, просто список больше чем 64. Можно ли это решить с помощью DNSMasq? Помогите пожалуйста, как это сделать с помощью DNSMasq, вот как я вижу: 1. Установить opkg install dnsmasq-full 2. Настроить конфиг cat /dev/null > /opt/etc/dnsmasq.conf mcedit /opt/etc/dnsmasq.conf user=nobody bogus-priv no-negcache clear-on-reload bind-dynamic listen-address=192.168.0.1 listen-address=127.0.0.1 min-port=4096 cache-size=1536 expand-hosts log-async 3. Отключить штатный DNS кинетика opkg dns-override system configuration save system reboot И если я не написал бред, то в dnsmasq.conf добавлять уже свой список: address=/yandex.ru/192.168.1.1:5353 ?

Какие есть решения с этим ограничением? Можно ли обойтись без изменения прошивки? Dns::Manager error[22544485]: server list limit exceeded, the maximum is 64 addresses.

вот скрипты для второго подключения, если вдруг кому нужно, всё точно так же, только порт для сайтов теперь 192.168.1.1:5354 ipset-dns-keenetic.rar