DennoN

а он и не должен заполняться. бгп не сохраняет свои таблицы в файл, все крутится в оперативке роутера схема работы тут https://github.com/DennoN-RUS/Bird4Static/wiki/Схема там видно, что при бгп файлы связанные с ним отсутствуют про диагностику расписано тут https://github.com/DennoN-RUS/Bird4Static/wiki/Диагностика#Полезные-команды можно смотреть и статус бгп и что по факту находится в таблицах маршрутизации через первый туннель, если его интерфейс не доступен или в состоянии down, то все оттуда будет идти через второй туннель. на схеме все так же это есть)

антифильтра 2 штуки. и у второго 2 варианта работы с бгп. какой именно вариант не работает?

нельзя. выше сообщение о том как это сделать для bird

однако прикольно) меняешь что-то в /tmp/hosts - оно попадет в /var/hosts. и в обратную сторону тоже работает) при этом на уровне файловой системы не вижу, что бы эти файлы друг на друга ссылались. и разделы в отдельные места подключены

Я проверял. Адгуард установлен из ентвари. Кладу в файл /opt/etc/hosts запись, после перезапуска адгуард все равно не видит ее. Когда кладу в /etc/hosts, перезапускаю адругард и запись появляется. Возможно баг в самом адгуарде... Но пока работает именно так. Меня очень смущает, что в веб интерфейсе в рантайм клиентах написано, что они из файла opt/etc/hosts, хотя по факту этот файл игнорируется Про фс ватчер, не знаю как часто он данные обновляет, у меня без рестарта не завелась. Команда reconfigure тоже не давала результата

Делюсь скриптом, который автоматически загружает зарегистрированных клиентов в runtime клиенты adguard home Описание Плюсы этого решения перед ручным добавлением клиентов в adguard - это автоматическое слежение за именами хостов, их ip адресами, и позволяет довольно просто узнать какие ipv6 адреса у устройств в сети, так как в кинетике за этим следить по умолчанию нельзя. Минусы - нельзя навесить какие-то права на устройство, тогда все равно вручную нужно будет добавлять клиента Логика работы скрипта Скачивание скрипта Заходим на ssh в entware, ставим нужные пакеты: opkg install cron curl diffutils patch Создаем папку и скачиваем в нее файл скрипта, делаем его исполняемым mkdir scripts curl https://raw.githubusercontent.com/DennoN-RUS/scripts/main/keenetic/add-instance-in-hosts.sh > scripts/add-instance-in-hosts.sh chmod +x scripts/add-instance-in-hosts.sh Настройка и запуск скрипта Перед запуском нужно внести пару изменений в сам скрипт Открываем файл на редактирование и меняем: local_iface=br0 Где br0 имя интерфейса локальной сети, узнать его можно выполнив команду: ip a | grep -B2 "192.168.1.1" Где 192.168.1.1 адрес роутера в локальной сети router_name=S-KN-1811 Сюда пишем имя роутера, любое, без пробелов, только латиница, цифры и знак - ipv6_enable=1 Если 1, то скрипт будет пытаться определить ipv6 адреса устройств. Если 0, то будет пропускать этот шаг get_old=1 Можно поставить 0 - это выключено и 1 - это включено. Если включено, будет создавать файл /opt/etc/host.old, в который будут попадать устройства, которые были разрегистрированны в кинетике или же у них пропал ipv6 адрес, если он был до этого. На функционал не влияет, но можно будет понять, что в хостах осталось что-то старое и не нужное. Можно выключть, что бы не записывать на флешку каждый раз, когда устройство пропадет из сети (актуально только для ipv6) SCRIPT_PATH="$SYSTEM_PATH/root/scripts" Скрипт должен лежать по пути /opt/root/scripts, если в каком-то другом месте, то можно поменять путь в этой переменной Запускаем скрипт: ./scripts/add-instance-in-hosts.sh Проверка Всегда актуальная инструкция лежит тут Сам скрипт размещен на гитхабе тут

Смысл в том, что в том же Адгуард хоум есть возможность настройки типа такой: 5.6.7.8:53 [//]4.3.2.1:53 [/com/]1.2.3.4:53 Пустая спецификация домена, // имеет особое значение «неквалифицированный только имена», то есть имена без точек, например myhost или router. Они будут использоваться только для разрешения запросов на неквалифицированные доменные имена, но а не их поддомены. https://github.com/AdguardTeam/AdGuardHome/wiki/Configuration#upstreams То есть если мы освободим порт 53 прошивочным дсном и перенесем его на 5353 например то можно будет его указать в // и получать возможность хождения по именам устройств. Сейчас же днс полностью отключается, и что-либо из него достать не возможно

Тут я не силен. Для bird помогало, как ты сделал, для ипсета вообще не представляю) Возможно дело в фаерволе и правила надо в самый верх вставлять, но это не точно)

Можно. Ipset это отдельная репа со своей установки и работает отдельно от bird. Как и bird работает отдельно от ипсета. При обновлении bird всего лишь спросит: хотите установить дополнение или нет. Можно отказаться

Мои коммиты там ни при чем. В ентваре после обновления пакета git его поломали. Возможно ещё от архитектуры процессора зависит

@Keerum Вместо import all; прописать что то такое import filter { if (bgp_community ~ [(65432,100)]) then accept; if (bgp_community ~ [(65432,200)]) then accept; if (bgp_community ~ [(65432,400)]) then accept; if (bgp_community ~ [(65432,500)]) then accept; reject; }; Но эти правила наоборот ограничивают что получать. В конфиге по умолчанию импортируется все.

ну вряд ли адреса станут не актуальными) пока можно так чистить /opt/etc/init.d/S03-ipset-table.sh restart оно при стопе чистит списки ипсета. Про крон подумаю, возможно сделаю. нну и при обновлении списка тоже наврено стоит очищать ипсет, а то вдруг адрес оттуда удалили. Можно пытаться выгружать текущие списки в ипсет и добавлять их в bird, но смысла в этом нет. К примеру в ипсете у тебя уже прописано гуглвидео.ком, вот зашел ты на фывфыв.гуглвидео.ком. и тот ip отправился в ипсет, мы его каким-то макаром с задержкой отправили в bird. Потом отправляем этот список другому кинетику в bird. А там внезапно хотят открыть не фывфыв.гуглвидео.ком, а абвабв.гуглвидео.ком, у которого совершенно другой ип

1) Команда должна показать в списке в том числе и ip этого домена ipset list ipset_vpn1 2) Если в bird есть конфиг, который направляет в провайдера, то проверить, что туда не затесалось ip того же сайта. ip route list table 1020 | grep (интерфейс провайдера или часть ip сайта)

Если укажешь гуглвидео.ком то и *.гуглвидео.ком туда же попадет. Дополнительно указывать не нужно. Ip попадает в маршрутизацию в момент обращения к днс серверу за резолвом домена

Итак, это свершилось! Вышел новый релиз Bird4Static 3.9 В нем изменений никаких, но добавлена возможность установить аддон IPset4Static 1.0 (да, с названиями я не заморачиваюсь😁) Как поставить аддон: запустить ./Bird4Static/update.sh оно само скачает новую версию Bird4Static, обновит конфиги, и в конце предложит установить IPset4Static. !! Без обновления Bird, ipset лучше не ставить !! После обновления BIrd можно использовать ipset-dns вместо IPset4Static Итак, теперь о IPset4Static 1) Пользовательские файлы для заполнения будут: здесь Bird4Static/IPset4Static/lists/user-ipset-*.list и здесь Bird4Static/lists/user-ipset-*.list (это ссылки на изначальные файлы, так что не везде они могут быть видны) Заполнять можно только доменами через пробел или построчно. В файлах не должно быть ничего лишнего! Поддерживаются комментарии если строка начинается со знака #, то вся строка будет проигнорирована. 2) После изменения пользовательских файлов нужно запустить скрипт ./Bird4Static/IPset4Static/scripts/update-ipset.sh или так ./Bird4Static/scripts/update-ipset.sh (это ссылка на изначальный файл) по факту соберет все в 1 конфигурационный файл и перезапустит днс 3) Пожалуй самое важное. Перед установкой нужно отдельно поставить adguardhome или dnsmasq, и естественно сделать их рабочим днс сервером, а от днс сервера кинетика нужно отказаться. Как это сделать, не готов рассказывать, можно погуглить adguardhome keenetic 4) Аддон может ставится как отдельно от Bird, так и вместе. Если bird не нужен, можно его удалить и поставить отдельно https://github.com/DennoN-RUS/IPset4Static 5) Система протестирована не полностью, возможно будет работать не так как задумывалось, возможно bird окажется главнее и если в нем есть маршруты, то будет идти по ним, игнорируя настройку ipset. Возможны и другие баги (хотя ничего критичного сломать не должно) Идеи брал отсюда и отсюда. Спасибо авторам!