Jump to content

UweStrich

Forum Members
  • Content count

    11
  • Joined

  • Last visited

Community Reputation

2 Neutral

About UweStrich

  • Rank
    Member
  • Birthday October 26

Equipment

  • Keenetic
    Ultra Rev.A
  1. Хм... попробуйте установить пакет ca-certificates - может, он поможет. В ином случае - стоит спросить в топике с инструкцией.
  2. Походу, провайдер производит блокировку через подмену DNS; подтвердить подозрение можно через утилиту blockcheck (ссылка на релизы), а бороться с подменой DNS - при помощи dnscrypt-proxy:
  3. Насколько понимаю, пытаетесь настроить для работы клиентов Telegram на компьютерах и телефонах? Попробуйте прописать аналогичные правила для других подсетей телеграмма (на вскидку - 149.154.160.0/20, 149.154.164.0/22, 91.108.4.0/22, 91.108.56.0/22, и 91.108.8.0/22) - может, поможет.
  4. Ну, всё равно было полезно - что мне, что вам Жаль, правда, что так и не выяснили, что барахлило - tor или curl... *** Как и обещал на прошлой неделе - текущий конфиг; как я заметил, 3proxy почему-то не любит комментарии в той же строке, что и работающий параметр (или отбивку этих комментариев табуляцией), поэтому в этом конфиге строк будет больше: Особое внимание на строки "monitor /tmp/currentip" и "socks -4 -n -p63128 -i$/tmp/currentip -e127.0.0.1 -S8192" - в файле по пути /tmp/currentip хранится ip-адрес, принадлежащий интерфейсу для выхода в интернет. Этот файл можно создавать и модифицировать при помощи скрипта в папке /opt/etc/ndm/wan.d - Выставляем исполняемые права скрипту, введя в консоли следующую команду: chmod +x /opt/etc/ndm/wan.d/01-current-ip.sh Благодаря такой связке можно конкретно указать программе, какой интерфейс она должна прослушивать. Для постоянного же подключения к роутеру, даже при изменении его белого ip (разумеется, если динамические ip от провайдера белые), можно использовать DynDNS (статья в базе знаний). Ну, и обязательный дисклеймер о том, что способ выше вполне можно считать "стрельбой по воробьям из пушки" - с тем же успехом вместо конкретного ip интерфейса можно указать прослушивать все интерфейсы, т.е. строка конфига, поднимающая socks-прокси, примет следующий вид: socks -4 -n -p63128 -i0.0.0.0 -e127.0.0.1 -S8192
  5. Что ж, тогда продолжим выяснять. Для начала - что tor пишет в лог-файле /opt/var/log/tor/notices.log? Что пишет журнал в веб-интерфейсе роутера? Далее - время: тор может быть весьма чувствительным к серьёзным расхождениям по времени, а значит - может понадобиться синхронизация (можно настроить в веб-интерфейсе роутера). Ну, и ещё одна догадка: могут дополнительно потребоваться пакеты ca-bundle и ca-certificates. Ну, и ещё один вопрос разряда "вы пробовали выключить и потом заново включить": правки в файл конфигурации вносились через родные для роутера текстовые редакторы (vi, nano, или mcedit), не через виндовский "Блокнот"?
  6. Не удивлюсь, если дело и правда в каких-то ранее установленных пакетах, не упомянутых в шаге два из-за неочевидности, но чтобы просто удостовериться: порт тора в запросе curl такой же, как в файле конфигурации? Просто, как уже упоминал в комментариях к примеру файла torrc, мне когда-то пришлось поменять значение "SOCKSPort" со значения по умолчанию 9050 на 9055; если у вас тор работает на 9050, то и запрос к curl придётся подправить. P.S.: всё ещё пытаюсь нормализовать конфиг 3proxy, и уже внёс в него кое-какие изменения согласно документации. Возможность редактировать шапку темы потерял, поэтому добавлю его в отдельном посте.
  7. Подводка простая: для обхода блокировок понадобился выход через Tor в приложении на мобильном, причём не только в домашней локалке через Socks5 от самого тора, но и через подключение от сотового оператора. VPN отпал, т.к. телефон требует включать его вручную, подключение сбрасывается через пять минут простоя, и оно очень быстро расходует батарейку. Проброс портов в NAT – тоже: открывать полный доступ к Tor из внешней сети без какой-либо авторизации мне показалось неразумным. Оставался один вариант: установить прокси-привратник и настроить его на проверку логина с паролем, с дальнейшей переадресацией соединения на Tor. Выбор пал на 3proxy. (Убью интригу сразу: после упорных вкуриваний мануалов вместе с выдачей гугла у меня всё завелось, и дальнейший текст больше похож на ещё один мануал, нежели на просьбу о помощи. Однако ж, для темы в "Каталоге готовых решений" материал годится слабо, и в лучшем случае скорее является наброском: конфигурация наверняка неидеальная, работает она менее недели, кейсы вроде "серого провайдерского ip" или "упаковки логов в архив" она не предусматривает, да и объяснений где-то будет слишком мало, а где-то – слишком много.) Подготовительный шаг: создаём правило в файерволе роутера, открывающее порт в интерфейсе для доступа в интернет (PPPoE в моём случае) – именно его прокси-привратник и будет слушать. Для себя я открыл порт 63128 на ip-адресе назначения, который роутер получает при подключению к провайдеру: Устанавливаем нужные пакеты: opkg install 3proxy tor tor-geoip curl Если с 3proxy и tor всё ясно, то tor-geoip нужен для ограничения выходных нод в файле конфигурации по пути "/opt/etc/tor/torrc". Собственно, выглядит он примерно таким образом: Проверить же, что Tor работает как надо, можно при помощи команды curl: curl --socks5 localhost:9055 --socks5-hostname localhost:9055 -s https://check.torproject.org/ | cat | grep -m 1 Congratulations | xargs Если в ответ мы получим "Congratulations. This browser is configured to use Tor." – значит, всё окей; curl потом можно удалить, т.к. для работы прокси он нам не понадобится: opkg remove curl Теперь настраиваем файл конфигурации 3proxy – "/opt/etc/3proxy/3proxy.cfg". Важно помнить, что доступ к нашему "привратнику" будет идти из внешнего интернета, а значит "внутренний интерфейс" будет на ip-адресе от провайдера, а "внешний" – локалхостом, на котором работает Tor. Минимальная рабочая конфигурация выглядит примерно так: Запускаем прокси /opt/etc/init.d/S23proxy start Указываем в настройках прокси приложения на телефоне адрес, порт, логин, и пароль: После этого телефон подключается к роутеру по сотовому интернету и отправляет данные по Tor. При настройке в основном оглядывался на инструкции с официального сайта проекта, и в частности – .rtf-документ "Настройка 3proxy для чайников" (копию дополнительно добавлю в приложения к посту на случай недоступности по ссылке). Также довольно сильно выручил небольшой топик на linux.org.ru – пускай объяснения для конфига оттуда и пришлось искать той же документации. Как уже упоминал, текст выше может содержать ошибки – любые исправления и уточнения приветствуются. 3proxy_for_dummies.rtf
  8. Радикально, но сработало. Благодарю.
  9. Попробовал настроить блокировку рекламы через Privoxy (топик), настраивал по инструкциям в шапке с использованием конфигов и скриптов из этого поста. Хочу сразу сказать большое спасибо пользователям @Sunix и @Dorik1972 за инструкции по настройке, и @zyxmon - за советы по отладке правил маршрутизации: фильтр поднялся, и в текущем состоянии блокирует большую часть рекламы (в т.ч в некоторых приложениях на iOS после указания прокси в настройках WiFi). Теперь - к проблеме, с которой я столкнулся: скрипт от @Dorik1972 для обновления фильтров отказывается выполняться, жалуясь на отсутствующий модуль: ~ # ../etc/privoxy/privoxy-bl-upd.pl Can't locate strict.pm in @INC (you may need to install the strict module) (@INC contains: /opt/lib/perl5/5.24 .) at ../etc/privoxy/privoxy-bl-upd.pl line 28. BEGIN failed--compilation aborted at ../etc/privoxy/privoxy-bl-upd.pl line 28. Были подозрения, что где-то напортачил при установке/распаковке архива или не задал нужные права на исполнение, но поиск "strict.pm" по системе результатов не дал, т.е. нужный файл, похоже, и правда отсутствует. Пожалуйста, помогите. Пациент - Keenetic Ultra rev.A v2.08(AAGJ.0)C2, система - Entware-3x, список установленных пакетов - под катом. Если потребуется ещё какая-то информация - буду готов предоставить. privoxy_conf_v.2.tar.gz
  10. Эх, появись эта тема на пару месяцев раньше - мне, как опытному ламеру и сертифицированному гуманитарию, было бы куда легче настраивать ntpd: в сети слишком много инструкций и советов по решению проблем для очень разных систем и версий программы. С другой стороны, какая-то информация пригодилась и осела в голове и конфигах - может, смогу помочь обтесать инструкцию. Для начала оговорюсь, что ставил и настраивал "голый" ntpd (без ntp-utils, ntp-keygen, и ntpdate) для Keenetic Ultra Rev.А (NDMS v2.08(AAGJ.0)C2, Entware-3x), т.е. возможно те проблемы, с которыми сталкивался я, у автора не возникали из-за разницы в оборудовании, версиях прошивок, и установленных пакетов. Теперь - к странностям, которые заметил в конфиге (опять же, крайне вероятно что это я ничего не понял) и решения тех проблем, с которыми я столкнулся: путь в параметре "driftfile" к файлу "ntp.drift" оставлен по умолчанию, хотя в скрипте запуска "S77ntpd" вместо пути "/opt/var/lib/ntp/ntp.drift" указан "/opt/var/spool/ntp/ntp.drift". Из-за этого расхождения демон ожидаемо ругался в логах на отсутствие нужной папки и не мог записать файл на постоянную основу: 6 Jul 17:11:50 ntpd[13546]: frequency file /opt/var/lib/ntp/ntp.drift.TEMP: No such file or directory Файл является критичным, т.к. именно в нём ntpd сохраняет вычисляемую им погрешность часов, и без неё работа демона не имеет смысла. Свою неполадку я решил редактированием пути в конфиге на путь из скрипта запуска. Помимо этого, стоит убедиться что ntpd имеет права производить запись по указанным путям и что файлы в указанных папках не стираются при перезагрузке роутера (в случае с путём из скрипта вышесказанное является верным - возможно, именно поэтому он и отличается от конфигурационного). Советую перепроверить оба пути на наличие файла погрешности, при его отсутствии - исправить конфиг. Во-вторых: возможны неполадки при одновременной работе разных процессов обновления времени. Мне, например, пришлось отключить обновление времени в веб-интерфейсе NDMS. В-третьих: при серьёзном расхождении времени системы с полученным временем от серверов (1000 секунд и более) ntpd "паникует" и отключается, с чем я по незнанию и столкнулся после перезагрузки роутера. Чтобы привести его в чувство, необходимо вручную задать дату со временем по любым достаточно точным часам и произвести перезапуск скрипта: date -s ГГГГ-ММ-ДД чч:мм /opt/etc/init.d/S77ntpd restart Чтобы каждый раз после перезагрузки роутера не заниматься вводом этих команд, дополнительно был установлен пакет "fake-hwclock", сохраняющий показания времени при выключении роутера в отдельный файл и выставляющий их при его включении (хотя, как понимаю, с этим так же может справиться и ntpdate, который себе я не ставил - призываю более компетентных людей на помощь). Допытывание у Гугла также показало, что аргумент "-g" при запуске ntpd заставляет его перестать паниковать и таки произвести сверку часов; я посчитал, что имеет смысл дополнительно его прописать в строке ARGS= скрипта автозапуска. Возвращаясь к конфигу, хочу обратить внимание на пункт "server 127.127.1.0 iburst". Cудя по документации для сравнительно недавней версии 4.2.8p8, этот адрес - указание для ntpd использовать драйвер, позволяющий использовать собственные часы системы (в нашем случае - роутера) как источник точного времени при отсутствии более надёжных, т.е. если я правильно понимаю, параметр iburst для него не нужен. При этом на других сайтах в официальной вики ntp.org (версия из кэша Google, на случай если страница не только у меня недоступна) из-за неточности этого драйвера рекомендуют обязательно настроить этот сервер как сервер Stratum-10, цитирую: Благо, для этого надо лишь дописать в "ntp.conf" всего одну строчку: fudge 127.127.1.0 stratum 10 Были у меня и ещё вопросы к предложенной конфигурации, но ввиду собственного ламерства будет гораздо честнее выложить инструкцию, на которую сам оглядывался при настройке, приложить собственный конфиг, и дождаться замечаний от более опытных пользователей.
×