keenet07
Forum Members-
Posts
2,672 -
Joined
-
Days Won
23
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Everything posted by keenet07
-
ipset-dns для выборочного роутинга
keenet07 replied to Александр Рыжов's topic in Каталог готовых решений Opkg
Конечно. Я имел в виду было бы здорово, так изменить стандартные средства, чтоб на этапе добавления маршрута туда передавался бы и сам домен (чисто для информации), ну и соответственно так же в таблице хранился бы и выводился стандартными средствами. Сам я такую модификацию не потяну, а просить кого-то без личной заинтересованности и смысла наверное нет. Понял, ну отлично. -
ipset-dns для выборочного роутинга
keenet07 replied to Александр Рыжов's topic in Каталог готовых решений Opkg
1. Если не затруднит подскажите какой командой в entware можно увидеть весь список ip адресов направленных через VPN этой утилитой. ps: тут вроде разобрался. ip route show dev ovpn_br1 но не уверен лучший ли это способ. Вот если бы ещё в этих строках с маршрутами и домен отображался бы.... pss: как оказалось это маршруты прошивки, а не утилиты. 2. Я так понял утилита резолвит адреса через обычный DNS 8.8.8.8. Никак нельзя эти запросы так же через системный безопасный DoH или DoT проводить? Если в конфиге вместо 8.8.8.8 указать 192.168.1.1, то зациклится запрос? В целом всё установил, настроил, работает. -
ipset-dns для выборочного роутинга
keenet07 replied to Александр Рыжов's topic in Каталог готовых решений Opkg
@Александр Рыжов Подскажите пожалуйста. Это решение может быть развернуто полностью без подключения внешних носителей для OPKG? Знаю, что можно в память роутера разместить. Есть только один вопрос, при таком варианте работы OPKG и скрипта происходит ли какая-либо дополнительная запись/перезапись в память роутера? Не хочется растрачивать ресурс памяти. -
ipset-dns для выборочного роутинга
keenet07 replied to Александр Рыжов's topic in Каталог готовых решений Opkg
Тут немножко проясните механизм. В реальном времени происходит обращение к этой утилите по домену прописанному через форму добавления DNS серверов в Интернет фильтрах. Утилита резолвит домен и хранит в оперативной памяти список полученных IP адресов и создает пользовательские маршруты к ним через настроенный в конфиге VPN. Каждое новое обращение к этому домену может добавлять в этот список новые IP адреса, если у домена их множество. 1) Я правильно понимаю, что этот список адресов и маршруты не сохраняется на флэш память устройства не расходуя её ресурс, а при перезагрузке теряются и пополняются заново по мере обращения? 2) Что происходит если VPN не подключен? Маршрут по умолчанию? 3) Адреса субдоменов автоматом также добавляются при обращении к ним. Это уже прошивка сама перенаправляет DNS запросы к субдоменам на резолвер утилиты? Какова глубина субдоменов? 4) Очистка списка IP адресов от устаревших происходит только путем перезагрузки устройства? 5) Будет ли видно эти маршруты в веб-интерфейсе роутера? 6) будет ли это работать, если в качестве DNS на роутере прописаны DOT или DOH? Обычные запросы ведь при этом отсекаются или перенаправляются. Сработает ли направление по домену на DNS утилиты? Это проверил, работает по домену. -
Роутер Keenetic Giga II. Почему иногда пропадает связь по Wi-Fi?
keenet07 replied to vladikpapa's question in Обмен опытом
И пароль теперь сменить не помешало бы. -
Вот вам сайт для проверки утечки DNS запросов. https://www.dnsleaktest.com Если не увидите там других серверов отличных от CloudFlare, значит всё идёт правильно. Для проверки DOT можете отключить фильтр. И даже временно убрать DOH.
-
Можно. Да, у меня чисто DOT и без включенных фильтров. Работает как нужно.
-
Да. Но всё это возможно и не обязательно. Наверняка и автоматом подставляется где нужно. А на счёт скрина с проверкой я вам уже написал. DOH норм.
-
Здесь не видно указан ли порт для DoT. Зайдите в него, адрес должен быть указан в формате 1.1.1.1:853, т.е. с портом. У меня так и точно работает. Хотя в инструкции вижу, что и без указания можно. По поводу скрина с сайта 1.1.1.1 там может и не показать DOT, если запрос прошёл по DOH.
-
Об этом и тема. Ни на что не влияет, пока не перезапустишь интерфейс интернета или локальной сети провайдера, либо пока не перезагрузишь устройство. После этого происходит блокировка/пропуск в зависимости от того стоит или снята галочка. Выходит, что и на 4.0 ничего не исправлено или не сделано описания о том что для активации опции требуются дополнительные действия.
-
Да, обычный статический маршрут. Адрес узла назначения это IP адрес сайта который закрепили за доменным именем во втором пункте. В интерфейсе выбираете свой предварительно настроенный VPN. Шлюз заполнять не нужно. Галочки по необходимости.
-
Не забыть ввести system configuration save. Иначе сбросится после перезагрузки устройства.
-
Что может заработать таким образом? Только прогон всего трафика через VPN. Это галочка по сути только для настройки приоритетов. Если она снята, то этот VPN вообще отсутствует в приоритетах подключений. Если поставлена, то система определяет этот VPN, как ещё один выход в интернет. Однако, наличие или отсутствие этой галочки вообще никак не влияет на работу маршрутов через этот VPN заданных вручную.
-
Прокси-сервер на роутере (Help)
keenet07 replied to Максим Бодров's topic in Вопросы по сборке и настройке Opkg
А если в конфиге 3proxy параметром external указать шлюз WireGuard. external 192.168.22.1 Вместо этого IP укажите свой шлюз WG. Или вот так: где wg0 - это имя вашего WG интерфейса на устройстве. -
https://help.keenetic.com/hc/ru/articles/360000799559-Подключение-USB-накопителя
-
И ещё. Из ваших скриншотов видно, что вы запретили пинг на ya.ru из домашней сети. А проверяете его с роутера, а он сидит на интерфейсе интернета, а не в домашней сети. На него это правило не действует. Проверьте пинг ya.ru с компьютера в домашней сети. В общем, если нужно запреты сделать для всего устройства, то делайте по моему способу. Если только для домашней сети, то так как вы и пытались, только исправьте ошибки и проверяйте правильно.
-
Я делал так. Но можно и просто командами CLI. Там можно выбирать направление для любого интерфейса.
-
Зависит от того как они подключены друг к другу. Если второй подключен как свитч, то вполне вероятно. Но на нем нужно DHCP заглушить.
- 1,666 replies
-
possible DNS-rebind attack detected: "googlecm.hit.gemius.pl."
keenet07 replied to SACRED's question in Обмен опытом
Конкретные домены разрешать нельзя. Но есть три режима настройки этой защиты. Т.е. auto, strict и выключено. -
Вот ещё есть. Основная идея та же.
-
А почему вы зависли на 3.9.2? Вижу, к примеру, что на версии 3.9.3 была исправлена следующая ошибка: Исправлена причина самопроизвольного отключения удаленных подключений к VPN-серверу L2TP/IPsec. [NDM-2555] А вообще уже 3.9.4 вышла и более актуальна. https://docs.keenetic.com/eaeu/peak/kn-2710/?lang=ru В качестве быстрого и надежного протокола связи между двумя кинетиками и не только можно выбрать Wireguard.
-
На домене 5 серверов обновления висит. Возможно часть в какой-то момент не работала и вы на них попали.