

Marat0Sh
Forum Members-
Content Count
10 -
Joined
-
Last visited
Community Reputation
3 NeutralAbout Marat0Sh
-
Rank
Member
Equipment
-
Keenetic
Ultra (KN-1810), Giga III rev. A
Recent Profile Visitors
The recent visitors block is disabled and is not being shown to other users.
-
В итоге поставил из репозитория entware версию 2.0.14 (просто скопировал в папку /opt/sbin с заменой) и заработало. До этого стояла версия 2.0.15 из официального репо, работала хорошо, почему вдруг перестало - не понятно, никакие настройки в роутере и в самом entware не менял. Тем не менее может кому пригодится.
- 148 replies
-
- dnscrypt-proxy2
- защита dns трафика
-
(and 1 more)
Tagged with:
-
Подскажите пожалуйста, сегодня перестал запускаться dnscrypt-proxy, в логах выдаёт: [CRITICAL] Unable to use source [public-resolvers]: [Get https://download.dnscrypt.info/resolvers-list/v2/public-resolvers.md: x509: failed to load system roots and no roots provided] Гугл говорит, что это из-за отсутствия корневых сертификатов, нужно ставить ca-certificates и ca-bundle, установив их ничего не изменилось, та же ошибка.
- 148 replies
-
- dnscrypt-proxy2
- защита dns трафика
-
(and 1 more)
Tagged with:
-
Если получится, напиши пожалуйста как настраивал.
-
Привет! Да, удалось, правда пришлось отказаться от настроенного dnscrypt (настраивал по этой инструкции), с ним у меня и не работало перенаправление заблокированных сайтов, подозреваю потому, что там все днс запросы пересылаются на 65053 порт и оттуда уже по шифрованному каналу до днс сервера. Так что если кто-то знает как настроить его вместе с тор, буду рад если напишите как правильно его настроить, вещь тоже нужная. А теперь к настройкам. Делал всё по этой статье, только вместо OpenVPN используется тор. Содержимое /opt/etc/init.d/S10iptables выглядит так: #!/bin/sh case "$1" in start|update) # add iptables custom rules echo "firewall started" [ -d '/opt/etc' ] || exit 0 # Create new rublock ipset and fill it with IPs from list if [ ! -z "$(ipset --swap rublock rublock 2>&1 | grep 'given name does not exist')" ] ; then ipset -N rublock iphash for IP in $(cat /opt/etc/rublock.ips) ; do ipset -A rublock $IP done fi ;; stop) # delete iptables custom rules echo "firewall stopped" ;; *) echo "Usage: $0 {start|stop|update}" exit 1 ;; esac Удалены правила iptables, они перемещены в /opt/etc/ndm/netfilter.d/010-intercept-dns.sh, где br0 - локалка, ppp0 - провайдер (в моём случае PPPoE) и sstp для подключения к роутеру по vpn, чтобы через него обход заблокированных сайтов тоже работал: #!/bin/sh iptables -t nat -I PREROUTING -i br0 -p tcp -m set --match-set rublock dst -j REDIRECT --to-ports 9040 iptables -t nat -I PREROUTING -i ppp0 -p tcp -m set --match-set rublock dst -j REDIRECT --to-ports 9040 iptables -t nat -I PREROUTING -i sstp0 -p tcp -m set --match-set rublock dst -j REDIRECT --to-ports 9040 Файл /opt/etc/tor/torrc выглядит так: PidFile /opt/var/run/tor.pid DataDirectory /opt/var/lib/tor ExcludeExitNodes {RU} VirtualAddrNetwork 10.254.0.0/16 AutomapHostsOnResolve 1 TransListenAddress 192.168.1.1 TransPort 192.168.1.1:9040 TransPort 127.0.0.1:9040 DNSListenAddress 192.168.1.1 DNSListenAddress 127.0.0.1 DNSPort 192.168.1.1:9053 DNSPort 127.0.0.1:9053 SOCKSPort 192.168.1.1:9050 /opt/etc/dnsmasq.conf: server=/.onion/127.0.0.1#9053 ipset=/.onion/rublock conf-file=/opt/etc/rublock.dnsmasq resolv-file=/opt/etc/resolv.conf И начальные настройки самого скрипта /opt/lib/lua/blupdate.lua: #!/opt/bin/lua local config = { blSource = "antizapret", -- antizapret или rublacklist groupBySld = 16, -- количество поддоменов после которого в список вносится весь домен второго уровня целиком neverGroupMasks = { "^%a%a%a?.%a%a$" }, -- не распространять на org.ru, net.ua и аналогичные neverGroupDomains = { ["livejournal.com"] = true, ["facebook.com"] = true , ["vk.com"] = true }, stripWww = true, convertIdn = false, altNsLookups = true, -- отправлять DNS запросы заблокированных доменов через отдельный DNS blMinimumEntries = 1000, -- костыль если список получился короче, значит что-то пошло не так и конфиги не обновляем dnsmasqConfigPath = "/opt/etc/rublock.dnsmasq", ipsetConfigPath = "/opt/etc/rublock.ips", ipsetDns = "rublock", altDNSAddr = "127.0.0.1#9053" } Вроде все. Обновляю список /opt/lib/lua/blupdate.lua изредка вручную, почему то в список заблокированных ресурсов попал youtube.com, из-за этого он стал очень тормозить, пришлось удалять.
-
То есть 80ый порт снаружи должен быть всегда открыт, чтобы сертификат успешно выдался?
-
Большое спасибо! Действительно снаружи порт 80 был закрыт, хотя из локалки через внешний IP на 80ый порт он меня пускал. Подкорректировал одно правило в межсетевом экране и доступ появился и сертификат также успешно сгенерировался. И ещё вопрос, правильно ли я понимаю, что сертификат сгенерировался только на 3 месяца? Если да, то потом нужно будет самому опять генерировать новый, или роутер сам его продлит?
-
Не подскажите как прикрутили PAC?
-
Подскажите пожалуйста, пытаюсь настроить тор по данной инструкции, хочу чтобы в локальной сети через тор открывались только заблокированные или onion сайты, но что-то не срабатывает, не могу понять что, при попытке открыть допустим рутрекер вылезает: файл /opt/etc/tor/torrc выглядит следующим образом: PidFile /opt/var/run/tor.pid DataDirectory /opt/var/lib/tor ExcludeExitNodes {RU} VirtualAddrNetwork 10.192.0.0/10 # виртуальные адреса для .onion ресурсов AutomapHostsOnResolve 1 TransPort 9040 TransListenAddress 192.168.1.1 DNSPort 9053 DNSListenAddress 192.168.1.1 Для ipset создал файл в /opt/etc/init.d/S25ipset, туда поместил: #!/bin/sh ipset -N rublack-dns iphash ipset -N rublack-ip iphash ipset -N rublack-ip-tmp iphash ipset -N onion iphash cat /opt/etc/runblock/runblock.ipset | ipset restore /opt/etc/init.d/S35tor restart Правила iptables поместил вместе со скриптом, отвечающим за dnscrypt вот сюда /opt/etc/ndm/netfilter.d/010-intercept-dns.sh: #!/bin/sh [ "$table" != "nat" ] && exit 0 lan_ip=$(ndmq -p 'show interface Bridge0' -P address) iptables -t nat -I PREROUTING -p udp -m udp --dport 53 -j DNAT --to-destination $lan_ip:65053 iptables -t nat -I PREROUTING -p tcp -m tcp --dport 53 -j DNAT --to-destination $lan_ip:65053 iptables -t nat -I PREROUTING -i br0 -p tcp -m set --match-set rublack-dns dst -j REDIRECT --to-ports 9040 iptables -t nat -I PREROUTING -i br0 -p tcp -m set --match-set rublack-ip dst -j REDIRECT --to-ports 9040 iptables -t nat -I PREROUTING -i br0 -p tcp -m set --match-set onion dst -j REDIRECT --to-ports 9040 iptables -t nat -I PREROUTING -i ppp0 -p tcp -m set --match-set rublack-dns dst -j REDIRECT --to-ports 9040 iptables -t nat -I PREROUTING -i ppp0 -p tcp -m set --match-set rublack-ip dst -j REDIRECT --to-ports 9040 iptables -t nat -I PREROUTING -i ppp0 -p tcp -m set --match-set onion dst -j REDIRECT --to-ports 9040 Соответственно первые 2 правила dnscrypt, остальные для перенаправления заблокированных сайтов в тор. После перезагрузки роутера правила командой iptables -L -n -v -t nat --line-numbers вижу в цепочке PREROUTING: Chain PREROUTING (policy ACCEPT 27422 packets, 2062K bytes) num pkts bytes target prot opt in out source destination 1 0 0 REDIRECT tcp -- ppp0 * 0.0.0.0/0 0.0.0.0/0 match-set onion dst redir ports 9040 2 0 0 REDIRECT tcp -- ppp0 * 0.0.0.0/0 0.0.0.0/0 match-set rublack-ip dst redir ports 9040 3 0 0 REDIRECT tcp -- ppp0 * 0.0.0.0/0 0.0.0.0/0 match-set rublack-dns dst redir ports 9040 4 0 0 REDIRECT tcp -- br0 * 0.0.0.0/0 0.0.0.0/0 match-set onion dst redir ports 9040 5 0 0 REDIRECT tcp -- br0 * 0.0.0.0/0 0.0.0.0/0 match-set rublack-ip dst redir ports 9040 6 0 0 REDIRECT tcp -- br0 * 0.0.0.0/0 0.0.0.0/0 match-set rublack-dns dst redir ports 9040 7 1 52 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 to:192.168.1.1:65053 8 515 32758 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53 to:192.168.1.1:65053 9 29869 2199K _NDM_DNAT all -- * * 0.0.0.0/0 0.0.0.0/0 Команда lua /opt/usr/bin/rublupdate.lua создаёт 2 файла в директории /opt/etc/runblock: runblock.dnsmasq и runblock.ipset, в которых содержатся заблокированные домены и IP адреса. Вот кстати настройки dnsmasq.conf: no-resolv conf-file=/opt/etc/runblock/runblock.dnsmasq server=/onion/127.0.0.1#9053 server=8.8.8.8 server=8.8.4.4 Системный днс сервер выключен в системе opkg dns-override system configuration save dnsmasq работает на 53 порту. Модель Keenetic Ultra II, прошивка v2.09(AAUX.3)A0, установлена Entware-3x, список установленных компонентов: ~ # opkg list-installed curl - 7.51.0-1 dnscrypt-proxy - 1.7.0-1 dnscrypt-proxy-resolvers - 1.7.0+git-20161129-f17bace-1 dnsmasq-full - 2.76-7a dropbear - 2016.74-1 ext-ui-nginx - 0.1-5a fake-hwclock - 0.11-1 findutils - 4.6.0-1 glib2 - 2.49.7-1 ipset - 6.30-1 ipset-dns - 2013-05-03-6be3afd819a86136b51c5ae722ab48266187155b iptables - 1.4.21-2 ldconfig - 2.23-7 libattr - 20160302-1 libblkid - 2.28-1b libbz2 - 1.0.6-2 libc - 2.23-7 libcap - 2.24-1 libcurl - 7.51.0-1 libevent2 - 2.0.22-1 libffi - 3.2.1-2 libfreetype - 2.5.5-2 libgcc - 5.4.0-7 libiconv-full - 1.11.1-3 libintl-full - 0.19.8.1-1 libjpeg - 9a-1 liblua - 5.1.5-1 libmnl - 1.0.4-1 libmount - 2.28-1b libndm - 1.1.0-1a libnetfilter-conntrack - 1.0.6-1 libnfnetlink - 1.0.1-1 libopenssl - 1.0.2j-1a libpcre - 8.39-1 libpng - 1.2.56-1 libpthread - 2.23-7 librt - 2.23-7 libslang2 - 2.3.1-1 libsodium - 1.0.11-2 libssh2 - 1.7.0-1 libssp - 5.4.0-7 libstdcpp - 5.4.0-7 libuuid - 2.28-1b libxml2 - 2.9.4-1 locales - 2.23-7 lua - 5.1.5-1 luasocket - 3.0-rc1-20130909-3a mc - 4.8.18-1a ndmq - 1.0.2-1a net-tools-netstat - 2016-10-06-1 nginx - 1.10.1-2 opt-ndmsv2 - 1.0-6a php5 - 5.6.29-1 php5-cgi - 5.6.29-1 php5-cli - 5.6.29-1 php5-fastcgi - 5.6.29-1 php5-mod-curl - 5.6.29-1 php5-mod-dom - 5.6.29-1 php5-mod-exif - 5.6.29-1 php5-mod-gd - 5.6.29-1 php5-mod-json - 5.6.29-1 php5-mod-mbstring - 5.6.29-1 php5-mod-session - 5.6.29-1 php5-mod-simplexml - 5.6.29-1 php5-mod-xml - 5.6.29-1 php5-mod-xmlreader - 5.6.29-1 php5-mod-xmlwriter - 5.6.29-1 php5-mod-zip - 5.6.29-1 shellinabox - 2.20-20161109-1 terminfo - 6.0-1c tor - 0.2.8.9-1 tor-geoip - 0.2.8.9-1 vnstat - 1.15-1 zlib - 1.2.8-1 zoneinfo-asia - 2016j-1 zoneinfo-europe - 2016j-1 Помогите кто знает, в чём может быть проблема?