Jump to content

UweStrich

Forum Members
  • Content Count

    20
  • Joined

  • Last visited

Community Reputation

4 Neutral

About UweStrich

  • Rank
    Member
  • Birthday October 26

Equipment

  • Keenetic
    Ultra Rev.A

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. Минимум - А (именно начиная с него пакет Entware из этой темы начнёт работать), С - более новая, её можно считать стабильной, и большая часть багов в ней прихлопнута. Шанс "окирпичить" девайс резкими движениями есть, поэтому стоит прочитать инструкции по перепрошивке; ссылки на них даны в той теме, на которую указал @Михаил Лукьянов
  2. Значит, нужно ставить из экспериментальной ветки (на files.keenopt.ru - вот здесь, последняя версия там - 2.12.A.1.0-4), либо - скачивать более новые для своей модели с неофициального хранилища в облаке (2.13.C.0.0-4 - Яндекс.диск) Предварительно советую всё, что возможно, сохранить - перепрошивка подразумевает сброс настроек.
  3. Не столько оттуда, сколько отсюда:
  4. UweStrich

    entware

    Нет, к сожалению, не работает: сейчас проверяю на телефоне через сотовое соединение, и без включенной безусловной переадресации на роутере телефон отказывается подключаться к прокси-серверу по такой ссылке. UPD: буквально только что на хабре наткнулся на статью по теме. Её пока не читал, но упоминаемый ещё в самом начале sslh имеется в списках пакетов Entware, так что завтра попытаюсь ознакомиться с материалом. UPD2: вчера решил подойти к проблеме с другого конца, и разобраться, что именно занимало порт на прослушивание. Оказалось - прошивочная служба для использования облака и ssl-подключения к роутеру. Т.к. я ими не пользуюсь - решил снести их и отключить службу через CLI (спасибо @KorDen за подтверждение в другой ветке, что нужная команда - 'no ip http ssl enable'). Внимание: непосредственно через CLI отключение через "no ip http ssl enable" может не произойти (у меня, например, происходило зависание терминала, и роутер в панике от неё начинал грузить одно из ядер), поэтому может понадобиться править startup-config прошивки (доступен в списке файлов в "Общих настройках системы" веб-интерфейса), где нужная строка примет вид "ip http ssl no enable". После этих манипуляций и смены порта mtprotoproxy на 443 всё завелось, как надо: и прокси работает с минимально возможными пингами, и роутер не жалуется на недоступность обновлений.
  5. UweStrich

    entware

    Т.е., если правильно понял, поднять поддомен tg на example.keendns.net на 443 порту, и выдавать ссылки формата "tg://proxy?server=tg.example.keendns.net&port=54321&secret=<КЛЮЧ>"? В таком виде пробовал: работало, но вплоть до подключения к "фашистскому" публичному вайфаю, на котором перекрыты все TCP-порты кроме 443-го, т.е. указанный в ссылке порт является также и портом для исходящего соединения от клиента. Наоборот (т.е. вешаем домен на порт Телеграма, а клиенту велим использовать порт 443) также не выйдет: соединения тогда не будет совсем. И сразу упреждая следующий вопрос: нет, часть "&port=<ПОРТ>" в ссылке обязательна - Телеграм ссылку без неё не распознаёт как ссылку на прокси-сервер, и задать проксик в настройках вручную, без указания порта, также не позволяет.
  6. UweStrich

    entware

    Создать внутренний интерфейс, который будет слушать mtprotoproxy на 443 порту (IP-адрес интерфейса можно задать в настройках версии master проксика), и на этот интерфейс устроить проброс по домену... Есть сомнения (формально ведь - то же перенаправление, только в профиль), но может и стоит попробовать. Впрочем, всё равно кажется что от правил фильтрации в iptables был бы больший прок - жаль, что я смыслю в них ещё меньше, чем в баше.
  7. UweStrich

    entware

    Небольшое обновление через неделю "тестирования": безусловное перенаправление с порта 443 на порт mtprotoproxy, которое я описал ранее, и правда оказалось "топорным". Конечно, в быту оно редко даёт о себе знать, но при перезагрузке роутера оно начинает конфликтовать с запуском установленного у меня dnscrypt2, плюс не даёт получить список обновления для прошивки NDM. Если кто-то сможет предложить способ фильтровать обращения на порт 443 для mtprotoproxy без проброса по NAT - буду признателен. Между делом, попытался научить mtprotoproxy запускаться автоматически, т.к. файл автозапуска из шапки темы у меня при перезагрузке не срабатывал. В баше не силён, поэтому пришёл к костыльному, но рабочему решению - запуску скрипта в терминале screen. Если он ещё не установлен - ставим: opkg install screen И вставляем приложенный файл в /opt/etc/init.d/ Код скрипта с комментариями: S98mtprotoproxy
  8. UweStrich

    entware

    Добавлю парочку дополнительных пунктов, улучшающих quality of life использования прокси. Для начала - случай с публичными вайфаями, которые блокируют нестандартные порты и, тем самым, перекрывают доступ к прокси. Поначалу пытался обойти напрямую, подняв MTProto на порту 443, и ожидаемо получил отказ от роутера по причине "место занято". После этого решил воспользоваться другим, простым как топор, решением - и оно таки сработало: провести переадресацию с порта 443 интерфейса выхода в интернет на порт, который занимает MTProto: Соответственно, ссылка для клиента меняется с tg://proxy?server=<АДРЕС-СЕРВЕРА>&port=54321&secret=<КЛЮЧ> на tg://proxy?server=<АДРЕС-СЕРВЕРА>&port=443&secret=<КЛЮЧ> Результат в "фашиствующем вай-фае": Далее - про помянутый в инструкции AAAA-hostname: для него воспользовался другим топорным решением - хостом от No-IP. Судя по наблюдению, прок от него таки есть - зачастую соединение по буквенной ссылке идёт быстрее, чем по ip-адресу, ну и для роутеров с динамическим ip использование подобного сервиса - единственный вариант. От себя добавлю пару вопросов: возможно ли как-то дополнительно прописать фильтрацию (через iptables/ip6tables и/или acl для ipv4 и ipv6 в CLI-роутера, например) для 443 порта, чтобы на MTProto шли только обращения для него, а не безусловно все конкретно для этого порта, и имеет ли смысл дополнительно прописывать хост от No-IP в настройках DNS-прокси роутера (в моём случае - dnscrypt2)?
  9. Одна из возможных причин - серьёзный рассинхрон системного времени на роутере с фактическим, т.е. скорее всего понадобится в веб-интерфейсе включить автоматическую синхронизацию, плюс через telnet заставить роутер чаще обновлять время (не раз в неделю, как по умолчанию, а допустим каждые четыре часа), введя следующие команды: ntp sync-period 240 copy running-config startup-config
  10. Хм... попробуйте установить пакет ca-certificates - может, он поможет. В ином случае - стоит спросить в топике с инструкцией.
  11. Походу, провайдер производит блокировку через подмену DNS; подтвердить подозрение можно через утилиту blockcheck (ссылка на релизы), а бороться с подменой DNS - при помощи dnscrypt-proxy:
  12. Насколько понимаю, пытаетесь настроить для работы клиентов Telegram на компьютерах и телефонах? Попробуйте прописать аналогичные правила для других подсетей телеграмма (на вскидку - 149.154.160.0/20, 149.154.164.0/22, 91.108.4.0/22, 91.108.56.0/22, и 91.108.8.0/22) - может, поможет.
  13. Ну, всё равно было полезно - что мне, что вам Жаль, правда, что так и не выяснили, что барахлило - tor или curl... *** Как и обещал на прошлой неделе - текущий конфиг; как я заметил, 3proxy почему-то не любит комментарии в той же строке, что и работающий параметр (или отбивку этих комментариев табуляцией), поэтому в этом конфиге строк будет больше: Особое внимание на строки "monitor /tmp/currentip" и "socks -4 -n -p63128 -i$/tmp/currentip -e127.0.0.1 -S8192" - в файле по пути /tmp/currentip хранится ip-адрес, принадлежащий интерфейсу для выхода в интернет. Этот файл можно создавать и модифицировать при помощи скрипта в папке /opt/etc/ndm/wan.d - Выставляем исполняемые права скрипту, введя в консоли следующую команду: chmod +x /opt/etc/ndm/wan.d/01-current-ip.sh Благодаря такой связке можно конкретно указать программе, какой интерфейс она должна прослушивать. Для постоянного же подключения к роутеру, даже при изменении его белого ip (разумеется, если динамические ip от провайдера белые), можно использовать DynDNS (статья в базе знаний). Ну, и обязательный дисклеймер о том, что способ выше вполне можно считать "стрельбой по воробьям из пушки" - с тем же успехом вместо конкретного ip интерфейса можно указать прослушивать все интерфейсы, т.е. строка конфига, поднимающая socks-прокси, примет следующий вид: socks -4 -n -p63128 -i0.0.0.0 -e127.0.0.1 -S8192
  14. Что ж, тогда продолжим выяснять. Для начала - что tor пишет в лог-файле /opt/var/log/tor/notices.log? Что пишет журнал в веб-интерфейсе роутера? Далее - время: тор может быть весьма чувствительным к серьёзным расхождениям по времени, а значит - может понадобиться синхронизация (можно настроить в веб-интерфейсе роутера). Ну, и ещё одна догадка: могут дополнительно потребоваться пакеты ca-bundle и ca-certificates. Ну, и ещё один вопрос разряда "вы пробовали выключить и потом заново включить": правки в файл конфигурации вносились через родные для роутера текстовые редакторы (vi, nano, или mcedit), не через виндовский "Блокнот"?
  15. Не удивлюсь, если дело и правда в каких-то ранее установленных пакетах, не упомянутых в шаге два из-за неочевидности, но чтобы просто удостовериться: порт тора в запросе curl такой же, как в файле конфигурации? Просто, как уже упоминал в комментариях к примеру файла torrc, мне когда-то пришлось поменять значение "SOCKSPort" со значения по умолчанию 9050 на 9055; если у вас тор работает на 9050, то и запрос к curl придётся подправить. P.S.: всё ещё пытаюсь нормализовать конфиг 3proxy, и уже внёс в него кое-какие изменения согласно документации. Возможность редактировать шапку темы потерял, поэтому добавлю его в отдельном посте.
×