Alex M. Jake
-
Posts
14 -
Joined
-
Last visited
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by Alex M. Jake
-
-
У провайдера есть внутренние ресурсы, которые доступны даже при неоплаченном интернете. Как это сделано, путём перехвата и подмены DNS или форвардинга внешнего ip-адреса ресурса во внутренний, я не знаю.
Проблема: если включён DoH/DoT, то внутренние ресурсы при неоплаченном интернете не работают.
Решение: использовать DoH/DoT только при работающем интернете, который проверят с помощью ping check/
- 1
-
Техподдержка предположила, что DoH фильтруется провайдером (Дом.ру, будь он неладен, их уже не раз ловили на играх с DNS серверами и запросами).
Оставил только DoT, тестирую....
-
57 minutes ago, keenet07 said:
А в дох/дот у вас какие сервера прописаны?
dns-proxy tls upstream 8.8.8.8 sni dns.google.com tls upstream 8.8.4.4 sni dns.google.com tls upstream 1.1.1.1 sni cloudflare-dns.com tls upstream 1.0.0.1 sni cloudflare-dns.com tls upstream 9.9.9.9 sni dns.quad9.net https upstream https://cloudflare-dns.com/dns-query json https upstream https://dns.google/dns-query dnsm https upstream https://dns.google/resolve json
58 minutes ago, keenet07 said:У меня к примеру при использовании только серверов cloudflare периодически возникают подтупливания при открытии страниц.
У меня не подтупливает, а сразу отлуп о неразрезолвенном имени.
-
Да и не в этом вопрос. Вопрос почему при DoH/DoT и AdGuard "Без фильтрации" перестали резолвится имена?
-
5 hours ago, keenet07 said:
К сожалению это так не работает. Если выбрано "Без фильтрации" применяются установленные вами DoH/DoT сервера, но никакие транзитные при этом не ловятся. Они ловятся только в случае когда выбран какой-то из режимов фильтрации для того чтоб никто мимо не убежал.
-
Пару дней "чудил" интернет, не резолвились домены и, как результат, Chrome не отображал, Steam ругался на оффлайн режим и тд. Проблема проявлялась через минут 5 после загрузки роутера (половина программ на телефонах переставала работать, на компьютере Стим), при этом nslookup на удивление работал. Стоит DoH и DoT, для блокировки транзитного трафика стоял AdGuard DNS с профилем по умолчанию "Без фильтрации". Прошивка 3.3.16, пробовал ещё 3.4 Alpha 15.
Проблема оказалась в AdGuard, сначала убрал интернет фильтр, потом поставил Яндекс "Без фильтрации" - проблема пропала.
-
Не понял:
1) зачем указывать "interface Wireguard2 ip address" у сервера? Вроде параметр по спецификации wireguard не является обязательным? По крайней мере, у меня в OpenWrt работало без явного указания внутренних адресов пиров, таблица маршрутизации строилась с указанием название интерфейса.
2) "Порт прослушивания" надо на внешнем интерфейсе открывать, или он самостоятельно откроется?
3) что за "Разделяемый ключ", нужен ли он и как его генерировать?
4) совсем непонятки с явным указанием маршрутов между подсетями, wireguard вроде самостоятельно должен делать соответствующие маршруты на основании параметров "wireguard peer <xxx> allow-ips"
5) и совсем непонятно что делает "Использовать для входа в Интернет".
Вообще, в области wireguard стоит вообще отойти от разделения "сервер" и "клиент". Даже в самой спецификации говорится, что все пиры являются равнозначными, поэтому и называются просто "пиры". Просто некоторые пиры могут просто пассивно ждать подключения, а некоторые инициируют подключение. Пиры даже оба могут инициировать соединение, достаточно на обоих сторонах указать "Адрес и порт пира". Но всё равно с точки зрения wireguard это равноправные пиры, нет явного "сервера" и "клиента".
- 2
-
1 hour ago, Илдар said:
~ # nslookup ya.ru
Server: 127.0.0.1
Address 1: 127.0.0.1 localhostnslookup: can't resolve 'ya.ru': Temporary failure in name resolution
Это Ubuntu? Добавьте "nameserver 8.8.8.8" в /etc/resolv.conf, хоть будет понятно, это только у меня проблема с Ubuntu или проблема в Кинетиках.
-
Попутный вопрос. Если включён DoT/DoH, что происходит с "проходящими" DNS запросами? Если пропускаются, то можно ли завернуть из на DoT/DoH резолвер Кинетика?
-
2 hours ago, Mamay said:
В ветке 3.3 wireguard идёт "из коробки" без opkg...
Осталось дождатья когда 3.3 в релиз уйдёт. В январе, судя по ченджлогу 3.1
-
23 minutes ago, ndm said:
Нет. Wireguard попробуйте, он по скорости гораздо приятнее.
Wireguard у меня работал, когда на обоих концах стоял OpenWrt. Сейчас решил основной роутер заменить на Гигу, отчасти из-за того, что приличный роутер, на который можно поставить OpenWrt, стоит столько же (!).
С wireguard заметил такую "фичу", он ресолвит ddns имя при старте и в дальнейшем при потере соединения пытается соединится с уже полученным ip. Получается, при динамическом IP, соединение может не восстановится при перезагрузке роутера. Это не проблема, на удалённом роутере можно тоже поднять ddns и основной роутер при перезагрузке будет сам восстанавливать соединение с удалённым роутером. Но у меня удалённому роутеру провайдер иногда выдаёт серый ip, поэтому в идеале я бы хотел, чтобы инициатором соединения был удалённый роутер, а основной (Гига) пассивно ждал входящего соединения.
Ещё смущает реализация wireguard в Гиге, он opkg тянет. Хотелось бы обойтись без них. Может дадите инструкцию как L2TP/IPsec в OpenWrt поднять?
-
Задача, надо объединить сегменты сетей. На Giga поднимаю VPN сервер:
1. PPTP не хочу, не секьюрно. Но потыкавшись с остальными, попробовал и его. На OpenWrt создал интерфейс, в котором снял галку default gateway (что-то типа этого). Но не соединяется, выдаёт invalid proto.
2. IPsec IKE2 тоже не хочу, пакеты для OpenWrt очень тяжёлые. Все в память роутера не влазят, а какие минимально необходимый комплект пакетов поставить - пока не знаю.
3. L2TP/IPsec нативно в OpenWrt не поддерживается, только L2TP. Как настроить L2TP/IPsec в OpenWrt - инструкции найти не могу.
4. SSTP, пока главный кандидат. Поставил sstp-client пакет. Как я понял, в uci он не поддерживается. На роутере в ssh запустил команду "sstpc --cert-warn --save-server-route --user <login> --password <pass> <gate>.keenetic.link" - соединение поднялось, ура! Теперь вопрос, как прописать это в конфиги на OpenWrt, чтобы поднималось само при старте. Ещё вопрос, SSTP в Гиге акселирируется хардварно или нет?
L2TP/IPsec сервер
in Обсуждение IPsec, OpenVPN и других туннелей
Posted
А L2TP/IPSec клиент на Air KN-1611 аппаратно ускоряется? Объединил 3 сети по инструкции, используя L2TP/IPSec в качестве транспорта, "сервер" Giga KN-1010, "клиенты" Air. "ppe" и "crypto engine" нигде не отключал. Тариф везде 100 Мбит/с, Speedtest приблизительно так и показывает. Однако iperf3 с хоста из сети "клиента" до хоста в сети "сервера" показывает приблизительно 30 Мбит/с, при этом вёбморда Air не открывается и интернет не работает, вообще. Налицо 100% загрузка процессора на Air и отсутствие аппаратной акселерации, хотя статья "Типы VPN-соединений в Keenetic" утверждает обратное.
Переходить на WireGuard?