[ipset-dns для выборочного роутинга]

@Александр Рыжов У меня публичный OpenVPN. Раньше внутренний адрес мне выдавал по-моему всегда один и тот же в сети 10.*.*.*/32. Его и прописал в конфиг вашей утилиты в соответствии с инструкцией. А сейчас заметил что адрес, его последние цифры стал меняться. Не знаю совпадение или нет. Подключаясь с другим адресом утилита всё-равно работает, направляет то что нужно на VPN. Настройки не менял. Получается это не такой важный параметр?

Не удерживают/занимают ли какие-то элементы утилиты или entware изначальный адрес VPN не давая потом снова подключиться с ним же? 

А несколько раз при переподключении VPN вообще оказывался в ситуации, что трафик через него не шёл. Причем не только через утилиту, но и через настройки прошивки Маршрутизация. 

Поправленный вами недавно файлик мониторинга статуса VPN закинул в ентварь вручную.

[ipset-dns для выборочного роутинга]

8 минут назад, Александр Рыжов сказал:

netfilter c доменами не работает, после того как ipset-dns разрешила очередное доменное имя в IP-адрес(а), способа сопоставить назад эти адреса с исходным доменом нет. Reverse DNS resolving будет не всегда показательным и я бы на него не стал ориентироваться вовсе.

Конечно. Я имел в виду было бы здорово, так изменить стандартные средства, чтоб на этапе добавления маршрута туда передавался бы и сам домен (чисто для информации), ну и соответственно так же в таблице хранился бы и выводился стандартными средствами. Сам я такую модификацию не потяну, а просить кого-то без личной заинтересованности и смысла наверное нет.

8 минут назад, Александр Рыжов сказал:

Он первым делом добавится в ipset, следственно, обращения к нему будут идти тем же путём, что и к выбранным для обхода блокировок ресурсам.

Понял, ну отлично.

[ipset-dns для выборочного роутинга]

В 27.04.2023 в 21:08, Александр Рыжов сказал:

Нет. Прошивка не отображает роутинг по таблицам/сетам.

1. Если не затруднит подскажите какой командой в entware можно увидеть весь список ip адресов направленных через VPN этой утилитой.

ps: тут вроде разобрался. ip route show dev ovpn_br1 но не уверен лучший ли это способ. Вот если бы ещё в этих строках с маршрутами и домен отображался бы....

pss: как оказалось это маршруты прошивки, а не утилиты.

2. Я так понял утилита резолвит адреса через обычный DNS 8.8.8.8. Никак нельзя эти запросы так же через системный безопасный DoH или DoT проводить? Если в конфиге вместо 8.8.8.8 указать 192.168.1.1, то зациклится запрос?

В целом всё установил, настроил, работает.

[ipset-dns для выборочного роутинга]

@Александр Рыжов Подскажите пожалуйста. Это решение может быть развернуто полностью без подключения внешних носителей для OPKG?

Знаю, что можно в память роутера разместить. Есть только один вопрос, при таком варианте работы OPKG и скрипта происходит ли какая-либо дополнительная запись/перезапись в память роутера? Не хочется растрачивать ресурс памяти.

[ipset-dns для выборочного роутинга]

4 часа назад, Александр Рыжов сказал:

Решение основано на немного допиленной мелкой утилите ipset-dns. Прошивка будет обращаться к ней для разрешения определённого доменного имени из пользовательского перечня, а та, в свою очередь, будет складывать результаты работы в отдельный набор ip-адресов. Далее этот набор используется для выборочного роутинга в VPN-соединение ровно так же, как в аналогичных решениях по соседству. Тем самым сохраняются все возможности прошивочного сервиса.

Тут немножко проясните механизм. В реальном времени происходит обращение к этой утилите по домену прописанному через форму добавления DNS серверов в Интернет фильтрах. Утилита резолвит домен и хранит в оперативной памяти список полученных IP адресов и создает пользовательские маршруты к ним через настроенный в конфиге VPN. Каждое новое обращение к этому домену может добавлять в этот список новые IP адреса, если у домена их множество.

1) Я правильно понимаю, что этот список адресов  и маршруты не сохраняется на флэш память устройства не расходуя её ресурс, а при перезагрузке теряются и пополняются заново по мере обращения?

2) Что происходит если VPN не подключен? Маршрут по умолчанию?

3) Адреса субдоменов автоматом также добавляются при обращении к ним. Это уже прошивка сама перенаправляет DNS запросы к субдоменам на резолвер утилиты? Какова глубина субдоменов?

4) Очистка списка IP адресов от устаревших происходит только путем перезагрузки устройства?

5) Будет ли видно эти маршруты в веб-интерфейсе роутера?

6) будет ли это работать, если в качестве DNS на роутере прописаны DOT или DOH? Обычные запросы ведь при этом отсекаются или перенаправляются. Сработает ли направление по домену на DNS утилиты? Это проверил, работает по домену.

[3.9.0-4.2 Alpha 2: не вкл/выкл Транзит запросов на системном профиле без ручной перезагрузки интерфейса]

Версия 3.9.7

Без изменений.

Может с запуском нового web-интерфейса это поправят? Я так понимаю, раз уж о нем начали говорить, значит не так долго уже его ждать осталось.

 

[Роутер Keenetic Giga II. Почему иногда пропадает связь по Wi-Fi?]

И пароль теперь сменить не помешало бы.

[3.9.0-4.2 Alpha 2: не вкл/выкл Транзит запросов на системном профиле без ручной перезагрузки интерфейса]

Версия 3.9.6

Без изменений.

Было бы интересно узнать, что вообще по этому вопросу решается или возможно решено. Может уже и не стоит дальше отслеживать? Жить конечно эта проблема особо не мешает, но и исправление всё же не помешало бы.

[Настройка DoT/DoH]

Вот вам сайт для проверки утечки DNS запросов.

https://www.dnsleaktest.com

Если не увидите там других серверов отличных от CloudFlare, значит всё идёт правильно.

Для проверки DOT можете отключить фильтр. И даже временно убрать DOH.

 

[Настройка DoT/DoH]

Только что, Milk97 сказал:

получается можно не обращать внимание на NO? и так работает? а сам используешь это?

Можно. Да, у меня чисто DOT и без включенных фильтров. Работает как нужно.

[Настройка DoT/DoH]

6 минут назад, Milk97 сказал:

так? а в 1.1.1.1 тоже порт 853?

Да. Но всё это возможно и не обязательно. Наверняка и автоматом подставляется где нужно.

А на счёт скрина с проверкой я вам уже написал.

DOH норм.

[Настройка DoT/DoH]

3 часа назад, Milk97 сказал:

Это норм? Или я неправильно настроил, также включён интернет фильтр на cloudflare

Здесь не видно указан ли порт для DoT. Зайдите в него, адрес должен быть указан в формате 1.1.1.1:853, т.е. с портом. У меня так и точно работает. Хотя в инструкции вижу, что и без указания можно. 

По поводу скрина с сайта 1.1.1.1 там может и не показать DOT, если запрос прошёл по DOH.

[3.9.0-4.2 Alpha 2: не вкл/выкл Транзит запросов на системном профиле без ручной перезагрузки интерфейса]

8 минут назад, snark сказал:

4.0 Alpha 16 - создается ощущение что установка или снятие галки "Транзит запросов" в системном профиле ни на что не влияет, все запросы проходят

Об этом и тема. Ни на что не влияет, пока не перезапустишь интерфейс интернета или локальной сети провайдера, либо пока не перезагрузишь устройство. 

После этого происходит блокировка/пропуск  в зависимости от того стоит или снята галочка.

Выходит, что и на 4.0 ничего не исправлено или не сделано описания о том что для активации опции требуются дополнительные действия.

[Аналог "etc/hosts" в Keenetic Giga.]

1 час назад, who сказал:

а что на счет Пункт 3 это мы создаем статический маршрут? Кто у нас должен быть узел назначения, Шлюз, Интерфейс? 

Да, обычный статический маршрут. Адрес узла назначения это IP адрес сайта который закрепили за доменным именем во втором пункте.

В интерфейсе выбираете свой предварительно настроенный VPN. Шлюз заполнять не нужно. Галочки по необходимости.

[Аналог "etc/hosts" в Keenetic Giga.]

1 час назад, who сказал:

Не сбросится ли хост ассоциация после отключения от telnet?

Не забыть ввести system configuration save.

Иначе сбросится после перезагрузки устройства.

[Не могу настроить статические маршруты к VPN]

18 минут назад, Igra18 сказал:

Вы оказались абсолютно правы. После того как разрешил выход в интернет через туннель и настроил приоритеты - все заработало. Спасибо огромное!

Что может заработать таким образом? Только прогон всего трафика через VPN. Это галочка по сути только для настройки приоритетов. Если она снята, то этот VPN вообще отсутствует в приоритетах подключений. Если поставлена, то система определяет этот VPN, как ещё один выход в интернет. Однако, наличие или отсутствие этой галочки вообще никак не влияет на работу маршрутов через этот VPN заданных вручную.

[Прокси-сервер на роутере (Help)]

1 час назад, gooorooo сказал:

Господа, а как бы заставить 3proxy ходить в интернет через WireGuard, настроенный на этом же роутере?

Чувствую, надо роуты прописать, но я не достаточно сетевик, чтобы придумать какие именно)

Подскажите плиз.

А если в конфиге 3proxy параметром external указать шлюз WireGuard. 

external 192.168.22.1

Вместо этого IP укажите свой шлюз WG.

Или вот так:

Цитата

external 0.0.0.0

route wg0

где wg0 - это имя вашего WG интерфейса на устройстве.

[Многоканальний SMB3?]

17 минут назад, Keenetic сказал:

Поддержка многоканального SMB3 есть в последних прошивках?

https://help.keenetic.com/hc/ru/articles/360000799559-Подключение-USB-накопителя

Цитата

Операционная система интернет-центра поддерживает протоколы CIFS/SMB (SMB v1/2/3).

 

[3.9.0-4.2 Alpha 2: не вкл/выкл Транзит запросов на системном профиле без ручной перезагрузки интерфейса]

Версия 3.9.5

Без изменений.

Кто на 4.0 там всё так же?

[Информация по работе с FireWall]

25 минут назад, newpad сказал:

К сожалению в стате указан способ защиты извне, а мне необходима фильтрация исходящего трафика.

И ещё. Из ваших скриншотов видно, что вы запретили пинг на ya.ru из домашней сети. А проверяете его с роутера, а он сидит на интерфейсе интернета, а не в домашней сети. На него это правило не действует. Проверьте пинг ya.ru с компьютера в домашней сети. 

В общем, если нужно запреты сделать для всего устройства, то делайте по моему способу. Если только для домашней сети, то так как вы и пытались, только исправьте ошибки и проверяйте правильно.

[Информация по работе с FireWall]

16 минут назад, newpad сказал:

К сожалению в стате указан способ защиты извне, а мне необходима фильтрация исходящего трафика.

Я делал так. 

 

Но можно и просто командами CLI. Там можно выбирать направление для любого интерфейса.

 

 

[Пробуем КВАС]

Только что, Romanvs777 сказал:

Просто они есть.

Зависит от того как они подключены друг к другу. Если второй подключен как свитч, то вполне вероятно. Но на нем нужно DHCP заглушить.

[possible DNS-rebind attack detected: "googlecm.hit.gemius.pl."]

10 минут назад, SergSLT сказал:

Здравствуйте.
А есть возможность добавить такого плана адреса в белый список или что ни будь подобное, что всегда такие запросы пропускались?

Конкретные домены разрешать нельзя. Но есть три режима настройки этой защиты. 

Цитата

DNS: реализована блокировка DNS Rebinding
[no] dns-proxy rebind-protect (strict | auto)
auto — блокировка адресов, входящих в текущие private-подсети (включено по умолчанию)
strict — блокировка всех адресов из списка IANA IPv4 Special-Purpose Address Registry

Т.е. auto, strict и выключено.

[статический маршрут по доменному имени]

Вот ещё есть. Основная идея та же.

 

[Нестабильная работа L2TP/IPSec]

А почему вы зависли на 3.9.2?

Вижу, к примеру, что на версии 3.9.3 была исправлена следующая ошибка:

• Исправлена причина самопроизвольного отключения удаленных подключений к VPN-серверу L2TP/IPsec. [NDM-2555]

А вообще уже 3.9.4 вышла и более актуальна.

https://docs.keenetic.com/eaeu/peak/kn-2710/?lang=ru

В качестве быстрого и надежного протокола связи между двумя кинетиками и не только можно выбрать Wireguard.