Jump to content

vasek00

Forum Members
  • Content count

    832
  • Joined

  • Last visited

  • Days Won

    5

vasek00 last won the day on June 11

vasek00 had the most liked content!

Community Reputation

100 Excellent

1 Follower

About vasek00

  • Rank
    Honored Flooder

Equipment

  • Keenetic
    keenetic II, extra II
  1. Не большой тест на примере двух resolv и двух каналах при применении dnscrypt при сравнении работы на одном канале и с одним resolv на cisco и близко не было к такому результату. Скрины с клиента в локальной сети роутера и с установленном на нем IP DNS -роутера.
  2. При первом приближение все работает на два канала при В итоге, запрос от клиента локальной сети попадает на роутер c него уходят запросы сразу же на два resolv - cisco и dnscrypt.eu-dk и два есть прихода ответов на эти запросы, очередность запросов всегда одна а вот очередность прихода ответов на эти запросы бывают разные (т.е. то с одного канала первым приходит, то со второго канала приходит)
  3. На релизе dnscrypt-proxy 1.9.5 есть возможность использовать списки блокировки используя plugins например строка запуска ARGS="--local-address=127.0.0.2:65053 --daemonize –edns-payload-size=1252 -R cisco -l /opt/tmp/dnscrypt-proxy.65053.log -m 7 \ --plugin=libdcplugin_example_ldns_blocking.so,--ips=/opt/tmp/blk-ips,--domains=/opt/tmp/blk-names" где в файлах /opt/tmp/blk-names и /opt/tmp/blk-ips естественно лежат имена и адреса нужных для блокировки в формате - адреса IPv4 и IPv6, а для имен групповые символы (*) пример *xxx*, *.example.com, ads.* простой пример блокировки youtube.com -> в файле /opt/tmp/blk-names прописать youtube.com Можно использовать как альтернативу в место dnsmasq addn-hosts=/opt/tmp/hosts0 addn-hosts=/opt/tmp/malwaredom_block.host addn-hosts=/opt/tmp/mvps_block.host Другие примеры: # dnscrypt-proxy --plugin=libdcplugin_example_ldns_opendns_set_client_ip.so,192.30.252.130 # dnscrypt-proxy --plugin=libdcplugin_example_ldns_opendns_deviceid.so,/opt/etc/umbrella-password.txt так же возможен вариант например использовать не один а два резолва: ARGS1="--local-address=127.0.0.2:65053 --daemonize .... -R cisco -l /opt/tmp/dnscrypt-proxy.65053.log -m 7 ...." ARGS2="--local-address=127.0.0.2:65153 --daemonize .... -R ns0.dnscrypt.is -l /opt/tmp/dnscrypt-proxy.65153.log -m 7 ...." тогда в dnsmasq конфиге server=127.0.0.2#65053 server=127.0.0.2#65153 А если добавить в конфиг строчку all-servers то можно получить одновременно запрос на все сервера которые имеются в строчках server (порождает чуток избыточный трайик, но по моему у кого безлим не принципиально). А если еще и два канала то запросы можно развернуть один на один канал, другой на другой (хоть он например и в резерве весит) информация по IP для маршрута можно взять из файла dnscrypt-resolvers-conf ищется нужная запись и на против нее поиск Ip адреса или любым приложением которое есть в opkg или в системе.
  4. Релиз 2.10 Проверьте еще раз настройку (можно конфиг посмотреть для достоверности, а то может WEB что-то начудил, при не однократной настройке), отключите pingchek. Должно все работать. Для системы по барабану основной или резервный - только default маршрут, а вот переключение его и что считать основным и резервным это уже доп.функция основанная на приоритете интерфейса и доступности другой стороны на нем.
  5. С 15.08 с того что выше по логам Tue Aug 15 11:50:21 2017 [DEBUG] resolver timeout (UDP) Tue Aug 15 11:51:21 2017 [DEBUG] resolver timeout (UDP) по 17.08 13:23 тишина - все ОК, 15.08 после этой ошибки в 12:00 вернулся на cisco resolv, до этого был cypherpunks.ru
  6. Словил ошибку, все больше склоняюсь что все таки на роутере что-то забывает соединения, после продолжительного времени без действия клиента (не пользованием браузером минут 40) вчера сменил cisco на dnscrypt-proxy --local-address=127.0.0.2:65053 --daemonize dns-payload-size=1252 -R cypherpunks.ru dnscrypt-proxy Tue Aug 15 10:23:57 2017 [INFO] Server key fingerprint is CC02:411D:EA4B:F44D:0E5F:7A18:957B:E8DD:F059:C259:B504:473E:4453:F3BB:CB95:8203 Tue Aug 15 11:23:59 2017 [INFO] Refetching server certificates Tue Aug 15 11:23:59 2017 [INFO] Server certificate with serial #1493333335 received Tue Aug 15 11:23:59 2017 [INFO] This certificate is valid Tue Aug 15 11:23:59 2017 [INFO] Chosen certificate #14933333335 is valid from [2017-05-26] to [2018-05-26] Tue Aug 15 11:23:59 2017 [INFO] The key rotation period for this server may exceed the recommended value. This is bad for forward secrecy. Tue Aug 15 11:23:59 2017 [INFO] Server key fingerprint is CC02:411D:EA4B:F44D:0E5F:7A18:957B:E8DD:F059:C259:B504:473E:4453:F3BB:CB95:8203 Tue Aug 15 11:50:20 2017 [DEBUG] resolver timeout (UDP) Tue Aug 15 11:50:20 2017 [DEBUG] resolver timeout (UDP) Tue Aug 15 11:50:20 2017 [DEBUG] resolver timeout (UDP) Tue Aug 15 11:50:21 2017 [DEBUG] resolver timeout (UDP) Tue Aug 15 11:50:21 2017 [DEBUG] resolver timeout (UDP) Tue Aug 15 11:50:21 2017 [DEBUG] resolver timeout (UDP) Tue Aug 15 11:51:21 2017 [DEBUG] resolver timeout (UDP) По Dnsmasq Aug 15 11:50:24 dnsmasq[789]: query[A] dns.msftncsi.com from 192.168.130.2 Aug 15 11:50:24 dnsmasq[789]: forwarded dns.msftncsi.com to 127.0.0.2 ... Aug 15 11:50:26 dnsmasq[789]: query[A] avatars.mds.yandex.net from 192.168.130.2 Aug 15 11:50:26 dnsmasq[789]: forwarded avatars.mds.yandex.net to 127.0.0.2 Aug 15 11:50:26 dnsmasq[789]: query[A] yastatic.net from 192.168.130.2 Aug 15 11:50:26 dnsmasq[789]: forwarded yastatic.net to 127.0.0.2 ... Aug 15 11:50:30 dnsmasq[789]: query[A] forum.keenetic.net from 192.168.130.2 Aug 15 11:50:30 dnsmasq[789]: forwarded forum.keenetic.net to 127.0.0.2 Aug 15 11:50:30 dnsmasq[789]: query[A] forum.keenetic.net from 192.168.130.2 Aug 15 11:50:30 dnsmasq[789]: forwarded forum.keenetic.net to 127.0.0.2 сегодня в 11:50 попытка просмотреть страницу которая открылась спустя наверное 1-1,5минуту после повторного нажатия открытия. Дерганье netfilter.d Tue Aug 15 11:14:46 MSK 2017 track --- tables = filter Tue Aug 15 11:57:07 MSK 2017 track --- tables = filter Log роутера Aug 15 11:14:46ndm kernel: IPv4 conntrack lan: flushed 1 entries with address 192.168.130.19 Aug 15 11:14:46ndm kernel: SWNAT bind table cleared Aug 15 11:57:07ndm kernel: SWNAT bind table cleared
  7. Проверьте конфиг в ручную, на какие строчки обратить внимание у вас было раньше в WEB - /#security.acl (или он же Межсетевой экран) правила разрешающие проход из "Home" куда угодно для 80/443 или их результат можно найти iptables -nvL в "Chain @Home" при запрете через WEB - /#home.hosts для данного клиента в конфиге получите запись или по iptables получите в "Chain _NDM_HOTSPOT_FWD" правило на DROP для данного клиента. Но если у вас в конфиге есть правила из security.acl то запрет в home.hosts не поможет из-за того что написано выше про 80/443 порты. В данном случае просто посмотрите свой конфиг.
  8. За Aug 11 всего один раз, за Aug 12 не разу.
  9. Вы уверены что все должно работать из коробки, далеко ходить не надо берем пример с Windows у которой каждый месяц выходят дополнения и обновления, второе не мало важное где вы виделе чтоб в коробке стояло 2.10.х.х.х-х? По поводу - желания нет: разобраться время сейчас такое, что даже для настройки цифрового ТВ нужны кой какие знания, а уж про смарт телефон молчу.
  10. Первое вы уверены что сделали - сброс настроек, не на словах что нажали кнопку сброс к заводским или через WEB? Второе можно было проверить - конфиг что в нем и как.
  11. Есть несколько типов роутеров - на всех стоят полные компоненты, того что у вас не замечал, конфиг файл нужно было проверить на наличие переменных те про которые написаны выше.
  12. При настройках через "ip hotspot" и "ip dhcp host клиент" (через WEB роутера так же) получаем и так же созданные правила, так как клиент локальный то "Chain FORWARD"->"Chain _NDM_FORWARD"->"Chain _NDM_HOTSPOT_FWD" в итоге пакетики для данного клиента который выше описан в "hotspot" пападут в "Chain _NDM_HOTSPOT_FWD" под критерий DROP другие же клиенты попадут в "Chain _NDM_HOTSPOT_FWD" под критерий RETURN (выход без обработки или "разрешен" выход в интернет). pkts - кол-во пакетов, target - цель, prot - протокол, in - вход, out - выход, source - источник, destination - получатель. Чем больше клиент пытается как бы выйти в интернет тем больше растет число "заблокированных" пакетов, если данному клиенту дать "разрешение" выхода в интернет то данное правило для него измениться Почему два - по тому что в обе стороны "src -> dst", br0 - основной интерфейс роутера, он же в понимание Zyxel конфига :
  13. easy-to-use

    Улучшена работа DNSCrypt-proxy тестовое обновление http://entware-3x.zyxmon.org/binaries/mipsel/test/dnscrypt-proxy_1.9.5-4a_mipsel-3x.ipk и http://entware-3x.zyxmon.org/binaries/mipsel/test/libsodium_1.0.13-1_mipsel-3x.ipk
  14. Сеть работает, потом перестает работать и в делает вход клиентом на ПК с одновременным анализом wi-fi (тогда будет видно что и кто пытается из них БС или клиент ПК зарегистрироваться)
  15. Смотрю дальше, проблем пока не видно, если не смотреть данный лог от dnscrypt-proxy то все ОК. Сервер пока один cisco протокл UDP.
×