-
Posts
40 -
Joined
-
Last visited
Equipment
-
Keenetic
1811
Recent Profile Visitors
The recent visitors block is disabled and is not being shown to other users.
Сергей Грищенко's Achievements
Member (2/5)
4
Reputation
-
ipset-dns для выборочного роутинга
Сергей Грищенко replied to Александр Рыжов's topic in Каталог готовых решений Opkg
Тут вот ошибка мелкая, нужно /opt/etc/ndm/netfilter.d/010-bypass-table.sh А так огромное вам спасибо, ошибок в журнале больше нет, установил тоже на внутрянку памяти. По скорости работы разницы не заметил, возможно потому что роутер другой. Но однозначно рекомендую ваше решение 👍 -
ipset-dns для выборочного роутинга
Сергей Грищенко replied to Александр Рыжов's topic in Каталог готовых решений Opkg
-
ipset-dns для выборочного роутинга
Сергей Грищенко replied to Александр Рыжов's topic in Каталог готовых решений Opkg
-
ipset-dns для выборочного роутинга
Сергей Грищенко replied to Александр Рыжов's topic in Каталог готовых решений Opkg
@Александр Рыжов здравствуйте! Подскажите пожалуйста, как можно сделать, что бы можно было указывать диапазон IP адресов? Я предположил, что раз не выходит в штатный-интернет фильтр, то нужно создать свой txt файл, с указанием диапазонов IP адресов, а дальше добавлять проверку в [ "$type" == "ip6tables" ] && exit [ "$table" != "mangle" ] && exit [ -z "$(ip link list | grep $VPN_NAME)" ] && exit [ -z "$(ipset --quiet list bypass)" ] && exit Верно ли я мыслю? Если подскажете как доработать, буду очень благодарен) P.S. нужно для приложений, которые редко используют домены и чаще IP адреса, например тот же телеграм -
ipset-dns для выборочного роутинга
Сергей Грищенко replied to Александр Рыжов's topic in Каталог готовых решений Opkg
Да, у меня в логах точно так же. -
ipset-dns для выборочного роутинга
Сергей Грищенко replied to Александр Рыжов's topic in Каталог готовых решений Opkg
Видимо да, во всяком случае могу точно подтвердить, что мой метод сработал и помог решить проблему. -
ipset-dns для выборочного роутинга
Сергей Грищенко replied to Александр Рыжов's topic in Каталог готовых решений Opkg
Запрос ДНС идёт в ipset-dns. DNS прописан в /opt/etc/bypass.conf. Если делать обычный прямой конфиг wireguard клиент телефон -> wireguard сервер, то тогда да, ДНС будет внутри VPN. В случае с решением от ТС это так не работает, иначе роутеру не будут видны адреса и он не будет понимать какие нужно гнать под ВПН, а какие нет. -
ipset-dns для выборочного роутинга
Сергей Грищенко replied to Александр Рыжов's topic in Каталог готовых решений Opkg
С сегодняшнего дня у меня начали перехватывать DNS (информация выше) и перестал работать VPN. Если вы столкнулись с этим, проверить можно очень легко, добавляем в обход 2ip.ru и смотрим, если его обойти удалось, а остальные сайт нет, значит вероятнее всего вы столкнулись с этим тоже или сделайте трассеровку, как я постом выше. Как обойти перехват DNS для данного решения, чтобы VPN вновь работал: 1. Устанавливаем и настраиваем по инструкции DOH и DOT. Список доступных DOH и DOT тут. 2. Заходим в консоль порт 222, смотрим под какими портами у нас DOH и DOT, вводим команду ~ # cat /tmp/ndnproxymain.stat Total incoming requests: 19 Proxy requests sent: 19 Cache hits ratio: 0.000 (0) Memory usage: 20.75K DNS Servers Ip Port R.Sent A.Rcvd NX.Rcvd Med.Resp Avg.Resp Rank 192.168.1.1 5354 0 0 0 0ms 0ms 2 192.168.1.1 5353 0 0 0 0ms 0ms 4 127.0.0.1 40500 0 0 0 0ms 0ms 5 127.0.0.1 40501 1 1 0 78ms 78ms 4 127.0.0.1 40502 0 0 0 0ms 0ms 3 127.0.0.1 40503 0 0 0 0ms 0ms 2 127.0.0.1 40508 0 0 0 0ms 0ms 3 127.0.0.1 40509 18 18 0 10ms 20ms 10 Всё что с портами 40500-405++ как раз doh или dot. Запоминаем любой порт. 3. Меняем DNS в ipset-dns ~ # nano /opt/etc/bypass.conf DNS=127.0.0.1:40509 Перезагружаем роутер и проверяем, у меня всё вновь работает. Дополнительно, как выбрать наиболее быстрый DOH и DOT. Меняем только порт, проверяем какой будет быстрее. while true; do dig google.com @127.0.0.1 -p 40509 | grep time; sleep 1; done P.S. DOH и DOT можно настроить на весь трафик, я так делать не стал, сделал только для обхода. Смотрите скрин. -
ipset-dns для выборочного роутинга
Сергей Грищенко replied to Александр Рыжов's topic in Каталог готовых решений Opkg
Тоже столкнулся с этим, простая проверка через трассировку показывает следующее: думал может днс как то перехватывают, подключение dot и doh не помогло. Странно что не работает именно на роутере, напрямую подключение телефона и сервера через wg всё ок. -
ipset-dns для выборочного роутинга
Сергей Грищенко replied to Александр Рыжов's topic in Каталог готовых решений Opkg
Помогите советом), пытаюсь настроить следующую цепочку: устройства -> роутер -> выход в интернет с обходом заблокированных сайтов. Белый IP есть; Локальный доступ сделать получилось, есть доступ к админке; «ipset-dns для выборочного роутинга» уже успешно работает на роутере. Но не выходит сделать выход в интернет. Делал всё как в статье «Доступ в Интернет через WireGuard-туннель», однако после команды interface Wireguard0 security-level private перестает работать обход заблокированных сайтов. А после того как я меняю приоритет подключений как в инструкции вовсе пропадает интернет везде. Тут я предполагаю я не верно настраиваю маршрутизацию, хотя делал как в инструкции -
ipset-dns для выборочного роутинга
Сергей Грищенко replied to Александр Рыжов's topic in Каталог готовых решений Opkg
Вообщем написал в поддержку, попросил увеличить количество записей (сейчас ограничено 64), дали ответ: Надеюсь увеличат и тогда не нужно будет ничего менять 👍 -
ipset-dns для выборочного роутинга
Сергей Грищенко replied to Александр Рыжов's topic in Каталог готовых решений Opkg
А от каких именно плюшек придётся отказаться? Для меня самый плюс вашего решения в его лёгкости и том что он "на лету" ловит новые IP адреса с сайтов) -
ipset-dns для выборочного роутинга
Сергей Грищенко replied to Александр Рыжов's topic in Каталог готовых решений Opkg
Мне бы этого хватило, запрос в поддержку отправил, но скорее всего этого не сделают) Мне и нужно для точечного обхода, просто список больше чем 64. Можно ли это решить с помощью DNSMasq? Помогите пожалуйста, как это сделать с помощью DNSMasq, вот как я вижу: 1. Установить opkg install dnsmasq-full 2. Настроить конфиг cat /dev/null > /opt/etc/dnsmasq.conf mcedit /opt/etc/dnsmasq.conf user=nobody bogus-priv no-negcache clear-on-reload bind-dynamic listen-address=192.168.0.1 listen-address=127.0.0.1 min-port=4096 cache-size=1536 expand-hosts log-async 3. Отключить штатный DNS кинетика opkg dns-override system configuration save system reboot И если я не написал бред, то в dnsmasq.conf добавлять уже свой список: address=/yandex.ru/192.168.1.1:5353 ? -
ipset-dns для выборочного роутинга
Сергей Грищенко replied to Александр Рыжов's topic in Каталог готовых решений Opkg
Какие есть решения с этим ограничением? Можно ли обойтись без изменения прошивки? Dns::Manager error[22544485]: server list limit exceeded, the maximum is 64 addresses. -
ipset-dns для выборочного роутинга
Сергей Грищенко replied to Александр Рыжов's topic in Каталог готовых решений Opkg
вот скрипты для второго подключения, если вдруг кому нужно, всё точно так же, только порт для сайтов теперь 192.168.1.1:5354 ipset-dns-keenetic.rar