[Поддержка IPv6 адресов в WireGuard]

31 минуту назад, Maxpain сказал:

В веб-интерфейсе при создании WireGuard соединения нет возможности назначить IPv6 адрес на wg интерфейс. Также нет возможности в Allowed IPs указать IPv6 подсети и IPv6 адрес DNS сервера. Более того, веб-интерфейс не позволяет создать IPv6 static route.

Пока что всё в cli

[Ошибка подключения по Wi-FI: 85+ устройств]

Только что, MmoAdvert сказал:

Суть понял. Установлено 120, попробую увеличить. Возможно действительно в лимит упиралось.

 

Еще посмотрите на количество соединений на главной странице, это тоже довольно хороший показатель. Если упретесь в лимит, то производительность сильно упадет

[Ошибка подключения по Wi-FI: 85+ устройств]

30 минут назад, MmoAdvert сказал:

У меня домашняя сеть, а не гостевая

Это не имеет значения.

Размера dhcp пула какой?

[QUIC DNS]

4 часа назад, Le ecureuil сказал:

Поддержка DoH HTTP/3 появится на устройствах с >= 256 Мбайт ОЗУ в следующей версии 4.02.

Жирно. Неужели quiche от cloudflare такой требовательный?

[Бюджетная модель wifi роутера с поддержкой OpenVPN Client]

7 минут назад, SySOPik сказал:

Смотря какое шифрование впихнуть

это даже на стильномодномолодежной ChaCha20-Poly1305. 40 прям никак не буде

[Бюджетная модель wifi роутера с поддержкой OpenVPN Client]

2 часа назад, SySOPik сказал:

Speedster имеет порты 1 гб. Но OpenVPN будет около 50 реальных мб. 

Если бы, рассчитывать где-то на ~20 стоит

[Неотключаемый перехват DNS-запросов в отдельном сегменте]

1 час назад, Le ecureuil сказал:

А как вы прописываете DNS в "не основную" политику?

Точно так же как и описано в первом посте темы, указанием dns сервер'а в wg подключении

[Неотключаемый перехват DNS-запросов в отдельном сегменте]

2 часа назад, Le ecureuil сказал:

Это, скажем так, известная особенность. Альтернативой ей может быть просто блокировка всего DNS в политике.

Предложите ваше видение, как dns-override должен сосуществовать с политиками.

предполагалось что dns-override полностью отключает прокси для клиентов и запросы должны ходить напрямую к тем днс, которые указаны в подключении из "не основной" политики

собственно как и чекбокс "транзит запросов"

[Улучшения веб интерфейса - Wireguard]

6 минут назад, eralde сказал:

Фичу "WireGuard-сервер" (генерация и экспорт конфига для этого нужны, правильно?) мы обсуждали, но в ближайшие планы она не попадает. После релиза нового веб-интерфейса можно будет вернуться к этому вопросу.

По факту wireguard сервер у нас и так есть, просто настройка ручная. Генерация конфигов или хотя-бы экспорт очень упростил бы этот момент

 

7 минут назад, eralde сказал:

А в каком сценарии нужно включение NAT? Расскажите, пожалуйста, подробнее.

И тут тоже если кинетик "сервер". Необходимо включить nat на интерфейсе wg из cli, что не особо сложно конечно, но у других VPN такой чекбокс есть:

[Неотключаемый перехват DNS-запросов в отдельном сегменте]

2 часа назад, ValdikSS сказал:

Не работает! Применил opkg dns-override, сохранил конфигурацию, перезагрузился, на всякий случай дважды, убедился, что в выводе show run есть строка opkg dns-override, и всё равно перехватывающие правила есть.

да, действительно воспроизводится, если в дополнительном сегменте назначить политику не по умолчанию.

Если же политику назначать отдельным клиентам, подобного поведения нет

[Неотключаемый перехват DNS-запросов в отдельном сегменте]

14 минуты назад, ValdikSS сказал:

Перехват есть, 4.1.2. Вероятно, у вас иная конфигурация, для которой перехват не применяется. См. https://forum.keenetic.com/topic/16431-неотключаемый-перехват-dns-запросов-в-отдельном-сегменте/?do=findComment&comment=167233

# iptables-save | grep _NDM_HOTSPOT_DNSREDIR
:_NDM_HOTSPOT_DNSREDIR - [0:0]
-A _NDM_DNS_REDIRECT -j _NDM_HOTSPOT_DNSREDIR
-A _NDM_HOTSPOT_DNSREDIR -i br0 -p udp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m udp --dport 53 -j REDIRECT --to-ports 41100
-A _NDM_HOTSPOT_DNSREDIR -i br0 -p tcp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m tcp --dport 53 -j REDIRECT --to-ports 41100
-A _NDM_HOTSPOT_DNSREDIR -i br0 -p udp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m udp --dport 1900 -j REDIRECT --to-ports 41300
-A _NDM_HOTSPOT_DNSREDIR -i br0 -p udp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m udp --dport 5351 -j REDIRECT --to-ports 41301
-A _NDM_HOTSPOT_DNSREDIR -i br0 -p tcp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m tcp --dport 1900 -j REDIRECT --to-ports 41300
-A _NDM_HOTSPOT_DNSREDIR -i br1 -p udp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m udp --dport 53 -j REDIRECT --to-ports 41100
-A _NDM_HOTSPOT_DNSREDIR -i br1 -p tcp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m tcp --dport 53 -j REDIRECT --to-ports 41100
-A _NDM_HOTSPOT_DNSREDIR -i br1 -p udp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m udp --dport 1900 -j REDIRECT --to-ports 41300
-A _NDM_HOTSPOT_DNSREDIR -i br1 -p udp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m udp --dport 5351 -j REDIRECT --to-ports 41301
-A _NDM_HOTSPOT_DNSREDIR -i br1 -p tcp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m tcp --dport 1900 -j REDIRECT --to-ports 41300
-A _NDM_HOTSPOT_DNSREDIR -i br2 -p udp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m udp --dport 53 -j REDIRECT --to-ports 41100
-A _NDM_HOTSPOT_DNSREDIR -i br2 -p tcp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m tcp --dport 53 -j REDIRECT --to-ports 41100
-A _NDM_HOTSPOT_DNSREDIR -i br2 -p udp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m udp --dport 1900 -j REDIRECT --to-ports 41300
-A _NDM_HOTSPOT_DNSREDIR -i br2 -p udp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m udp --dport 5351 -j REDIRECT --to-ports 41301
-A _NDM_HOTSPOT_DNSREDIR -i br2 -p tcp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m tcp --dport 1900 -j REDIRECT --to-ports 41300
-A _NDM_HOTSPOT_DNSREDIR -i ovpn_br1 -p udp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m udp --dport 53 -j REDIRECT --to-ports 41100
-A _NDM_HOTSPOT_DNSREDIR -i ovpn_br1 -p tcp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m tcp --dport 53 -j REDIRECT --to-ports 41100
-A _NDM_HOTSPOT_DNSREDIR -i ovpn_br1 -p udp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m udp --dport 1900 -j REDIRECT --to-ports 41300
-A _NDM_HOTSPOT_DNSREDIR -i ovpn_br1 -p udp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m udp --dport 5351 -j REDIRECT --to-ports 41301
-A _NDM_HOTSPOT_DNSREDIR -i ovpn_br1 -p tcp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m tcp --dport 1900 -j REDIRECT --to-ports 41300

 

Конкретно в моем случае речь про

opkg dns-override

проверил на нескольких локациях, в дополнительных профилях перехвата нет

[Неотключаемый перехват DNS-запросов в отдельном сегменте]

44 минуты назад, marfo4ka сказал:

Вы уверены в корректности своего высказывания?

У меня:

1. Применён `opkg dns-override`.
2. Один системный профиль DNS с DoT серверами.
3. В котором разрешён транзит запросов.
4. Контентный фильтр выключен.
5. Компоненты «NextDNS» и «SkyDNS» отключены.

Как только я создаю тестовую политику доступа, закидываю туда одного клиента, то в `iptables-save | grep " 53 "` появляется:

-A _NDM_HOTSPOT_DNSREDIR -i br0 -p udp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m udp --dport 53 -j REDIRECT --to-ports 41100
-A _NDM_HOTSPOT_DNSREDIR -i br0 -p tcp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m tcp --dport 53 -j REDIRECT --to-ports 41100
-A _NDM_HOTSPOT_DNSREDIR -i br1 -p udp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m udp --dport 53 -j REDIRECT --to-ports 41100
-A _NDM_HOTSPOT_DNSREDIR -i br1 -p tcp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m tcp --dport 53 -j REDIRECT --to-ports 41100

`dns-proxy no intercept enable` сообщает `disable intercept for system profile`, при этом в `show dns-proxy` кроме системного виден ещё один профиль Policy0, у которого:

dns_tcp_port = 41100
dns_udp_port = 41100

Навскидку, есть такой костыль (постоянно портит отбирающие правила), но хотелось бы адекватного поведения из коробки.

утверждение было актуально на момент его публикации.

но таки проверил на актуальной 4.1.2 - никакого перехвата нет:

~ # iptables-save |grep _NDM_HOTSPOT_DNSREDIR
:_NDM_HOTSPOT_DNSREDIR - [0:0]
-A _NDM_DNS_REDIRECT -j _NDM_HOTSPOT_DNSREDIR
~ #
 

[Улучшения веб интерфейса - Wireguard]

@eraldeподскажите, стоит ли ждать в новом интерфейсе данные функции?

[ip rule add в cli]

1 час назад, Le ecureuil сказал:

клиентам VPN-серверов неплохо бы политики приделать

Это было бы здорово

[ip rule add в cli]

@Le ecureuil можно услышать ваше мнение по этому поводу?

[qBittorrent - встерчаем новый продвинутый торрент клиент]

15 часов назад, Isolated сказал:

да я вообще непонятно куда смотрел.

спасибо. вот только почему-то подключаться не хочет. завтра уже  буду разбираться.

да, действительно, есть проблема с подключением конкретно к qbittorent из entware, с официальным клиентом 4.6.3 всё ок

 

3 часа назад, alexhom сказал:

О! Отличная прога, большое спасибо! А есть ли что нить такое, что бы как то удалённо через мобилу подключаться?

https://play.google.com/store/apps/details?id=me.fengmlo.qbRemoteFree&hl=en_US

это приложение работает корректно

[qBittorrent - встерчаем новый продвинутый торрент клиент]

22 минуты назад, Isolated сказал:

Всем приветы!

торрент-клиент, конечно, замечательный, но меня смущает отсутствия GUI-клиента под винду. или можно ли как-то виндовсовский клиент прикрутить к роутеровскому?

Плохо искали

https://github.com/tympanix/Electorrent

[Переадресация TCP/443 в KeeneticOS]

1 час назад, Buba сказал:

Не лечится, про ip http proxy в посте я упоминул в чем его проблема

Нет никакой проблемы, 443 порт можно освободить, у вас не актуальная информация двухлетней давности.

[Переадресация TCP/443 в KeeneticOS]

5 часов назад, Buba сказал:

Аналогично такая же ситуация с Synology была, что все IP отображались как от роутера

А лечится это буквально одной командой в cli, вы чего-то там где-то читали, но не там где нужно.

ip http proxy <name> x-real-ip

[openconnect]

2 часа назад, Dmitry Vasilyev сказал:

где и как - загадка

Вот таки прям загадка 

https://github.com/ndmsystems/packages/wiki/Opkg-Component#ndmnetfilterd

Но учитывая, что ваши эксперименты происходят на устройствах, которые не имеют никакого отношения к кинетику, хоть и пытаются казаться таковыми, никакой ответственности за ковыряния "не в туды" никто не несет.

[AdGuardHome]

3 часа назад, exeigor сказал:

Да дело в том, что при каждой настройки конфигурации с веб-интерфейса цп упирается в полотом и DNS сервер ломается. Может сутки поработать и сломаться. Поэтому я хотел понизить версию как это ранее писали. Только вот что-то не запускается 

Стоит начать с изучения журнала, лежит в /opt/var/log/AdGuardHome.log

Есть предположение что у вас просто заканчивается озу, agh в этом плане довольно прожорлив. Выключайте zram, включайте swap и проверяйте

[AdGuardHome]

2 часа назад, exeigor сказал:

Пробовал ставить данную версию на Keenetic Viva (KN-1910), но Adguard Home не стартует. Эта версия вообще рабочая 0.106.3-1 ? 

 

https://bin.entware.net/mipselsf-k3.4/keenetic/archive/adguardhome-go_v0.106.3-1_mipsel-3.4.ipk

 

 

А к чему эта некрофилия? 107.37 уже давным давно доступна для установки, 107.44 на подходе

[openconnect]

1 час назад, Dmitry Vasilyev сказал:

Это просто не работает на Keenetic.

просто работает.

 

1 час назад, Dmitry Vasilyev сказал:

У меня есть 3 разных роутера Xiaomi для экспериментов. Я пробовал много разных версий OpenWrt и X-Wrt

каким боком тут openwrt?

[HTTP 403 при доступе через IPv6]

3 часа назад, atam сказал:

исключительно по HTTPS

Кто ж вам сертификат выпишет на ipv6 адрес, без домена, le, используемый в кинетике, так не умеет (для v4 тоже)

[openconnect]

В 09.02.2024 в 11:47, Foton сказал:

Надеемся и ждём.

Чего ждете то?

Пользуйтесь:

 https://bin.entware.net/mipselsf-k3.4/openconnect_9.01-1_mipsel-3.4.ipk