Marat0Sh

Если получится, напиши пожалуйста как настраивал.

Привет! Да, удалось, правда пришлось отказаться от настроенного dnscrypt (настраивал по этой инструкции), с ним у меня и не работало перенаправление заблокированных сайтов, подозреваю потому, что там все днс запросы пересылаются на 65053 порт и оттуда уже по шифрованному каналу до днс сервера. Так что если кто-то знает как настроить его вместе с тор, буду рад если напишите как правильно его настроить, вещь тоже нужная. А теперь к настройкам. Делал всё по этой статье, только вместо OpenVPN используется тор. Содержимое /opt/etc/init.d/S10iptables выглядит так: #!/bin/sh case "$1" in start|update) # add iptables custom rules echo "firewall started" [ -d '/opt/etc' ] || exit 0 # Create new rublock ipset and fill it with IPs from list if [ ! -z "$(ipset --swap rublock rublock 2>&1 | grep 'given name does not exist')" ] ; then ipset -N rublock iphash for IP in $(cat /opt/etc/rublock.ips) ; do ipset -A rublock $IP done fi ;; stop) # delete iptables custom rules echo "firewall stopped" ;; *) echo "Usage: $0 {start|stop|update}" exit 1 ;; esac Удалены правила iptables, они перемещены в /opt/etc/ndm/netfilter.d/010-intercept-dns.sh, где br0 - локалка, ppp0 - провайдер (в моём случае PPPoE) и sstp для подключения к роутеру по vpn, чтобы через него обход заблокированных сайтов тоже работал: #!/bin/sh iptables -t nat -I PREROUTING -i br0 -p tcp -m set --match-set rublock dst -j REDIRECT --to-ports 9040 iptables -t nat -I PREROUTING -i ppp0 -p tcp -m set --match-set rublock dst -j REDIRECT --to-ports 9040 iptables -t nat -I PREROUTING -i sstp0 -p tcp -m set --match-set rublock dst -j REDIRECT --to-ports 9040 Файл /opt/etc/tor/torrc выглядит так: PidFile /opt/var/run/tor.pid DataDirectory /opt/var/lib/tor ExcludeExitNodes {RU} VirtualAddrNetwork 10.254.0.0/16 AutomapHostsOnResolve 1 TransListenAddress 192.168.1.1 TransPort 192.168.1.1:9040 TransPort 127.0.0.1:9040 DNSListenAddress 192.168.1.1 DNSListenAddress 127.0.0.1 DNSPort 192.168.1.1:9053 DNSPort 127.0.0.1:9053 SOCKSPort 192.168.1.1:9050 /opt/etc/dnsmasq.conf: server=/.onion/127.0.0.1#9053 ipset=/.onion/rublock conf-file=/opt/etc/rublock.dnsmasq resolv-file=/opt/etc/resolv.conf И начальные настройки самого скрипта /opt/lib/lua/blupdate.lua: #!/opt/bin/lua local config = { blSource = "antizapret", -- antizapret или rublacklist groupBySld = 16, -- количество поддоменов после которого в список вносится весь домен второго уровня целиком neverGroupMasks = { "^%a%a%a?.%a%a$" }, -- не распространять на org.ru, net.ua и аналогичные neverGroupDomains = { ["livejournal.com"] = true, ["facebook.com"] = true , ["vk.com"] = true }, stripWww = true, convertIdn = false, altNsLookups = true, -- отправлять DNS запросы заблокированных доменов через отдельный DNS blMinimumEntries = 1000, -- костыль если список получился короче, значит что-то пошло не так и конфиги не обновляем dnsmasqConfigPath = "/opt/etc/rublock.dnsmasq", ipsetConfigPath = "/opt/etc/rublock.ips", ipsetDns = "rublock", altDNSAddr = "127.0.0.1#9053" } Вроде все. Обновляю список /opt/lib/lua/blupdate.lua изредка вручную, почему то в список заблокированных ресурсов попал youtube.com, из-за этого он стал очень тормозить, пришлось удалять.

То есть 80ый порт снаружи должен быть всегда открыт, чтобы сертификат успешно выдался?

Большое спасибо! Действительно снаружи порт 80 был закрыт, хотя из локалки через внешний IP на 80ый порт он меня пускал. Подкорректировал одно правило в межсетевом экране и доступ появился и сертификат также успешно сгенерировался. И ещё вопрос, правильно ли я понимаю, что сертификат сгенерировался только на 3 месяца? Если да, то потом нужно будет самому опять генерировать новый, или роутер сам его продлит?

Добрый вечер! Не получается сгенерировать сертификат командой ip http ssl acme get, в журнале появляется вот такая ошибка: Sep 30 20:08:19ndm Acme::Client: system failed [0xcffd019a]. Sep 30 20:08:19ndm Acme::Client: system failed [0xcffd05f2]. Домен в KeenDns создал, доступ снаружи на 80ый порт есть, список сертификатов командой ip http ssl acme list пуст. Self-test прилагаю self-test.txt

Не подскажите как прикрутили PAC?

Подскажите пожалуйста, пытаюсь настроить тор по данной инструкции, хочу чтобы в локальной сети через тор открывались только заблокированные или onion сайты, но что-то не срабатывает, не могу понять что, при попытке открыть допустим рутрекер вылезает: файл /opt/etc/tor/torrc выглядит следующим образом: PidFile /opt/var/run/tor.pid DataDirectory /opt/var/lib/tor ExcludeExitNodes {RU} VirtualAddrNetwork 10.192.0.0/10 # виртуальные адреса для .onion ресурсов AutomapHostsOnResolve 1 TransPort 9040 TransListenAddress 192.168.1.1 DNSPort 9053 DNSListenAddress 192.168.1.1 Для ipset создал файл в /opt/etc/init.d/S25ipset, туда поместил: #!/bin/sh ipset -N rublack-dns iphash ipset -N rublack-ip iphash ipset -N rublack-ip-tmp iphash ipset -N onion iphash cat /opt/etc/runblock/runblock.ipset | ipset restore /opt/etc/init.d/S35tor restart Правила iptables поместил вместе со скриптом, отвечающим за dnscrypt вот сюда /opt/etc/ndm/netfilter.d/010-intercept-dns.sh: #!/bin/sh [ "$table" != "nat" ] && exit 0 lan_ip=$(ndmq -p 'show interface Bridge0' -P address) iptables -t nat -I PREROUTING -p udp -m udp --dport 53 -j DNAT --to-destination $lan_ip:65053 iptables -t nat -I PREROUTING -p tcp -m tcp --dport 53 -j DNAT --to-destination $lan_ip:65053 iptables -t nat -I PREROUTING -i br0 -p tcp -m set --match-set rublack-dns dst -j REDIRECT --to-ports 9040 iptables -t nat -I PREROUTING -i br0 -p tcp -m set --match-set rublack-ip dst -j REDIRECT --to-ports 9040 iptables -t nat -I PREROUTING -i br0 -p tcp -m set --match-set onion dst -j REDIRECT --to-ports 9040 iptables -t nat -I PREROUTING -i ppp0 -p tcp -m set --match-set rublack-dns dst -j REDIRECT --to-ports 9040 iptables -t nat -I PREROUTING -i ppp0 -p tcp -m set --match-set rublack-ip dst -j REDIRECT --to-ports 9040 iptables -t nat -I PREROUTING -i ppp0 -p tcp -m set --match-set onion dst -j REDIRECT --to-ports 9040 Соответственно первые 2 правила dnscrypt, остальные для перенаправления заблокированных сайтов в тор. После перезагрузки роутера правила командой iptables -L -n -v -t nat --line-numbers вижу в цепочке PREROUTING: Chain PREROUTING (policy ACCEPT 27422 packets, 2062K bytes) num pkts bytes target prot opt in out source destination 1 0 0 REDIRECT tcp -- ppp0 * 0.0.0.0/0 0.0.0.0/0 match-set onion dst redir ports 9040 2 0 0 REDIRECT tcp -- ppp0 * 0.0.0.0/0 0.0.0.0/0 match-set rublack-ip dst redir ports 9040 3 0 0 REDIRECT tcp -- ppp0 * 0.0.0.0/0 0.0.0.0/0 match-set rublack-dns dst redir ports 9040 4 0 0 REDIRECT tcp -- br0 * 0.0.0.0/0 0.0.0.0/0 match-set onion dst redir ports 9040 5 0 0 REDIRECT tcp -- br0 * 0.0.0.0/0 0.0.0.0/0 match-set rublack-ip dst redir ports 9040 6 0 0 REDIRECT tcp -- br0 * 0.0.0.0/0 0.0.0.0/0 match-set rublack-dns dst redir ports 9040 7 1 52 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 to:192.168.1.1:65053 8 515 32758 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53 to:192.168.1.1:65053 9 29869 2199K _NDM_DNAT all -- * * 0.0.0.0/0 0.0.0.0/0 Команда lua /opt/usr/bin/rublupdate.lua создаёт 2 файла в директории /opt/etc/runblock: runblock.dnsmasq и runblock.ipset, в которых содержатся заблокированные домены и IP адреса. Вот кстати настройки dnsmasq.conf: no-resolv conf-file=/opt/etc/runblock/runblock.dnsmasq server=/onion/127.0.0.1#9053 server=8.8.8.8 server=8.8.4.4 Системный днс сервер выключен в системе opkg dns-override system configuration save dnsmasq работает на 53 порту. Модель Keenetic Ultra II, прошивка v2.09(AAUX.3)A0, установлена Entware-3x, список установленных компонентов: ~ # opkg list-installed curl - 7.51.0-1 dnscrypt-proxy - 1.7.0-1 dnscrypt-proxy-resolvers - 1.7.0+git-20161129-f17bace-1 dnsmasq-full - 2.76-7a dropbear - 2016.74-1 ext-ui-nginx - 0.1-5a fake-hwclock - 0.11-1 findutils - 4.6.0-1 glib2 - 2.49.7-1 ipset - 6.30-1 ipset-dns - 2013-05-03-6be3afd819a86136b51c5ae722ab48266187155b iptables - 1.4.21-2 ldconfig - 2.23-7 libattr - 20160302-1 libblkid - 2.28-1b libbz2 - 1.0.6-2 libc - 2.23-7 libcap - 2.24-1 libcurl - 7.51.0-1 libevent2 - 2.0.22-1 libffi - 3.2.1-2 libfreetype - 2.5.5-2 libgcc - 5.4.0-7 libiconv-full - 1.11.1-3 libintl-full - 0.19.8.1-1 libjpeg - 9a-1 liblua - 5.1.5-1 libmnl - 1.0.4-1 libmount - 2.28-1b libndm - 1.1.0-1a libnetfilter-conntrack - 1.0.6-1 libnfnetlink - 1.0.1-1 libopenssl - 1.0.2j-1a libpcre - 8.39-1 libpng - 1.2.56-1 libpthread - 2.23-7 librt - 2.23-7 libslang2 - 2.3.1-1 libsodium - 1.0.11-2 libssh2 - 1.7.0-1 libssp - 5.4.0-7 libstdcpp - 5.4.0-7 libuuid - 2.28-1b libxml2 - 2.9.4-1 locales - 2.23-7 lua - 5.1.5-1 luasocket - 3.0-rc1-20130909-3a mc - 4.8.18-1a ndmq - 1.0.2-1a net-tools-netstat - 2016-10-06-1 nginx - 1.10.1-2 opt-ndmsv2 - 1.0-6a php5 - 5.6.29-1 php5-cgi - 5.6.29-1 php5-cli - 5.6.29-1 php5-fastcgi - 5.6.29-1 php5-mod-curl - 5.6.29-1 php5-mod-dom - 5.6.29-1 php5-mod-exif - 5.6.29-1 php5-mod-gd - 5.6.29-1 php5-mod-json - 5.6.29-1 php5-mod-mbstring - 5.6.29-1 php5-mod-session - 5.6.29-1 php5-mod-simplexml - 5.6.29-1 php5-mod-xml - 5.6.29-1 php5-mod-xmlreader - 5.6.29-1 php5-mod-xmlwriter - 5.6.29-1 php5-mod-zip - 5.6.29-1 shellinabox - 2.20-20161109-1 terminfo - 6.0-1c tor - 0.2.8.9-1 tor-geoip - 0.2.8.9-1 vnstat - 1.15-1 zlib - 1.2.8-1 zoneinfo-asia - 2016j-1 zoneinfo-europe - 2016j-1 Помогите кто знает, в чём может быть проблема?