-
Posts
452 -
Joined
-
Last visited
-
Days Won
4
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by avn
-
-
10 минут назад, Werld сказал:
Спасибо за совет. Порекомендую вам того же, далеко, кстати говоря, ходить не надо. Вон у ТС на скринах таблицы маршрутизации как раз адреса с 0 на конце увидите. То, что этот адрес маршрутизируется наверное мне привиделось да?
Обмен пакетами с 188.168.15.0 по с 32 байтами данных:
Ответ от 188.168.15.0: число байт=32 время=18мс TTL=58
Ответ от 188.168.15.0: число байт=32 время=18мс TTL=58
Ответ от 188.168.15.0: число байт=32 время=18мс TTL=58
Ответ от 188.168.15.0: число байт=32 время=18мс TTL=58Статистика Ping для 188.168.15.0:
Пакетов: отправлено = 4, получено = 4, потеряно = 0Попробовал три калькулятора по ipv4, все умерли от 0-ля. Вам шашечки или ехать?
-
2 минуты назад, krass сказал:
Я запутался уже. Поясните, пожалуйста, а разве это всё ( allow-ips в ipv6-формате и прочее) будет не в keen os 3.10 ?
Я вообще рассчитываю на версии 3.8.4.5(6)/3.9, что бы задавать allow-ips в ipv6 формате через cli. Смущают фразы "уже появилась опять" и "можно задавать"
- 1
-
10 минут назад, avn сказал:
Для истории и тех, кто держит wg-server. Для того, что бы избавиться от ната, надо:
1. Прописать sysctl
net.ipv4.ip_forward=1 net.ipv6.conf.all.forwarding=1 net.ipv6.conf.eth0.forwarding=1 net.ipv6.conf.eth0.proxy_ndp=1
2. Модифицировать скрипт запуска Wireguard, добавив в него строки с "proxy", где ipv6 - адреса из Вашего диапазона у поставщика wg
[Unit] Before=network.target [Service] Type=oneshot ExecStart=/usr/sbin/iptables -A FORWARD -i eth0 -o wg0 -j ACCEPT ExecStart=/usr/sbin/iptables -A FORWARD -i wg0 -j ACCEPT ExecStart=/usr/sbin/iptables -A POSTROUTING -t nat -o eth0 -j MASQUERADE ExecStop=/usr/sbin/iptables -D FORWARD -i eth0 -o wg0 -j ACCEPT ExecStop=/usr/sbin/iptables -D FORWARD -i wg0 -j ACCEPT ExecStop=/usr/sbin/iptables -D POSTROUTING -t nat -o eth0 -j MASQUERADE ExecStart=/usr/sbin/ip6tables -A FORWARD -i wg0 -j ACCEPT #ExecStart=/usr/sbin/ip6tables -A POSTROUTING -t nat -o eth0 -j MASQUERADE ExecStart=/usr/sbin/ip -6 neigh add proxy 2a00:bbbb:1000:1022::97:91 dev eth0 nud permanent ExecStop=/usr/sbin/ip6tables -D FORWARD -i wg0 -j ACCEPT #ExecStop=/usr/sbin/ip6tables -D POSTROUTING -t nat -o eth0 -j MASQUERADE ExecStop=/usr/sbin/ip -6 neigh del proxy 2a00:bbbb:1000:1022::97:91 dev eth0 RemainAfterExit=yes [Install] WantedBy=multi-user.target
3. Модифицировать серверный и клиентский конфиги wg, прописав туда адреса, указанные выше в п.2
[Interface] PrivateKey = .... Address = 172.16.97.91/32, 2a00:bbbb:1000:1022::97:91/128 DNS = 1.1.1.1, 8.8.8.8 [Peer] PublicKey = .... Endpoint = aa.bb.cc.dd:993 AllowedIPs = 0.0.0.0/0, 2000::/3 PersistentKeepalive = 25
4. Ну и поиск по proxy_ndp в google.
P/S/ В принципе вариантов использования proxy_ndp море. Можно к примеру раскидать из домашней сети - кинетика адреса для клиентов wg-кинетик-сервера аналогичным способом.
@Le ecureuil Будет ли возможность штатно раздать ipv6-адреса клиентам сети кеенетик-а?
-
Для истории и тех, кто держит wg-server. Для того, что бы избавиться от ната, надо:
1. Прописать sysctl
net.ipv4.ip_forward=1 net.ipv6.conf.all.forwarding=1 net.ipv6.conf.eth0.forwarding=1 net.ipv6.conf.eth0.proxy_ndp=1
2. Модифицировать скрипт запуска Wireguard, добавив в него строки с "proxy", где ipv6 - адреса из Вашего диапазона у поставщика wg
[Unit] Before=network.target [Service] Type=oneshot ExecStart=/usr/sbin/iptables -A FORWARD -i eth0 -o wg0 -j ACCEPT ExecStart=/usr/sbin/iptables -A FORWARD -i wg0 -j ACCEPT ExecStart=/usr/sbin/iptables -A POSTROUTING -t nat -o eth0 -j MASQUERADE ExecStop=/usr/sbin/iptables -D FORWARD -i eth0 -o wg0 -j ACCEPT ExecStop=/usr/sbin/iptables -D FORWARD -i wg0 -j ACCEPT ExecStop=/usr/sbin/iptables -D POSTROUTING -t nat -o eth0 -j MASQUERADE ExecStart=/usr/sbin/ip6tables -A FORWARD -i wg0 -j ACCEPT #ExecStart=/usr/sbin/ip6tables -A POSTROUTING -t nat -o eth0 -j MASQUERADE ExecStart=/usr/sbin/ip -6 neigh add proxy 2a00:bbbb:1000:1022::97:91 dev eth0 nud permanent ExecStop=/usr/sbin/ip6tables -D FORWARD -i wg0 -j ACCEPT #ExecStop=/usr/sbin/ip6tables -D POSTROUTING -t nat -o eth0 -j MASQUERADE ExecStop=/usr/sbin/ip -6 neigh del proxy 2a00:bbbb:1000:1022::97:91 dev eth0 RemainAfterExit=yes [Install] WantedBy=multi-user.target
3. Модифицировать серверный и клиентский конфиги wg, прописав туда адреса, указанные выше в п.2
[Interface] PrivateKey = .... Address = 172.16.97.91/32, 2a00:bbbb:1000:1022::97:91/128 DNS = 1.1.1.1, 8.8.8.8 [Peer] PublicKey = .... Endpoint = aa.bb.cc.dd:993 AllowedIPs = 0.0.0.0/0, 2000::/3 PersistentKeepalive = 25
4. Ну и поиск по proxy_ndp в google.
P/S/ В принципе вариантов использования proxy_ndp море. Можно к примеру раскидать из домашней сети - кинетика адреса для клиентов wg-кинетик-сервера аналогичным способом.
-
В 09.11.2022 в 13:45, Le ecureuil сказал:
Все будет в версии 4.0.
interface ipv6 address уже появилась опять, и работает правильно + можно задавать allow-ips в ipv6-формате + роутинг через force-default позволяет сделать дефолтным.
Осталось доделать NAT66, но тут больше вопросов компоновки чем технических проблем.
Спасибо. @Le ecureuil На версии 3.8.4.5/3.9 можно задавать allow-ips в ipv6 формате? Смущают фразы "уже появилась опять" и "можно задавать"
-
1 минуту назад, koctik-2017 сказал:
root@Keenetic-2488 ~# wg setconf nwg0 /tmp/fix-Wireguard0.conf
root@Keenetic-2488 ~# wg show nwg0
interface: nwg0
public key: z+ritbWSDJCgQ/SnR8z8fpYfGyMVNp/tqJI/toMq1jM=
private key: (hidden)
listening port: 59705peer: bmXOC+F1FxEMF9dyiK2H5/1SUtzH0JuVo51h2wPfgyo=
endpoint: [2606:4700:d0::a29f:c001]:1701
allowed ips: 0.0.0.0/0, ::/0
latest handshake: 16 seconds ago
transfer: 1.26 KiB received, 8.64 KiB sent
Тоже все хорошо, появилось ::/0. Только ipv6 адрес надо свой брать, а не мой. Он присваивается на этапе генерации конфигурации wg. А так все гуд. И так далее разбирайтесь по цепочке.
-
ИП адрес вижу. Теперь wg setconf nwg0 /tmp/fix-Wireguard0.conf
Wg show nwg0
-
1 минуту назад, koctik-2017 сказал:
вроде все правильно а почему-то не работает
Начните с простого показа ifconfig nwg0
-
1 минуту назад, koctik-2017 сказал:
root@Keenetic-2488 ~# wg setconf nwg0 /tmp/fix-Wireguard0.conf
Line unrecognized: `Address=2606:4700:110:8bb9:3c5:e24a:5acd:42de/128'
Configuration parsing error
Адрес на интерфейсе другой строкой задаётся
ip -6 addr add fd01:5ca1:ab1e:891f:c4fc:4a2e:e64d:503d/128 dev nwg0
-
15 минут назад, Andrey Zubov сказал:
Доброе утро
А подскажите пожалуйста, предположим я добавил *gmail.com. Какой алгоритм попадания под разблокировку всех его поддоменов, в какой момент это происходит? Я так понимаю вряд ли сразу идет полное сканирование домена в зоне, определение всех поддоменов, их ip и прописывания их в лист разблокировки?
Вы же запрос делаете через локальный (свой) dns сервер (adguard home, dnsmasq), который видит ваш запрос, смотрит совпадает запрос с маской или нет. И если есть совпадение с маской домена, то заполняет ipset запрошенным ип-адресом для этого домена. А маршрутизация ipset уже вторична.
Поэтому в схеме с выборочной маршрутизацией важно, что бы все запросы со всех устройств шли через ваш локальный днс-сервер. Иначе работать ничего не будет, так как не будет заполняться ipset.
-
5 часов назад, koctik-2017 сказал:
по неизвестным мне причинам данный скрипт не работает.
В ручную поискать свои ошибки через
wg setconf nwg0 /tmp/fix-${id}.conf
-
25 минут назад, koctik-2017 сказал:
~ # uname -a
Linux Keenetic-2488 4.9-ndm-5 #0 SMP Mon Oct 10 09:28:53 2022 mips GNU/Linux
~ # wg show nwg0
interface: nwg0
public key: ONWylXOVjnCnh3tqD35N0wx46sR1a/aLFCyh+CAn7RY=
private key: (hidden)
listening port: 48950peer: bmXOC+F1FxEMF9dyiK2H5/1SUtzH0JuVo51h2wPfgyo=
endpoint: 162.159.192.1:1701
allowed ips: 0.0.0.0/0
latest handshake: 49 seconds ago
transfer: 1.37 GiB received, 45.94 MiB sent
persistent keepalive: every 1 hour
~ # sh /opt/etc/ndm/ifstatechanged.d/000-fix-Wireguard0.sh
~ # wg show nwg0
interface: nwg0
public key: ONWylXOVjnCnh3tqD35N0wx46sR1a/aLFCyh+CAn7RY=
private key: (hidden)
listening port: 48950peer: bmXOC+F1FxEMF9dyiK2H5/1SUtzH0JuVo51h2wPfgyo=
endpoint: 162.159.192.1:1701
allowed ips: 0.0.0.0/0
latest handshake: 1 minute, 28 seconds ago
transfer: 1.38 GiB received, 46.20 MiB sent
persistent keepalive: every 1 hour
Не вижу подсети ::/0, возможно Вы не изменили имя интерфейса Wireguard2 на Wireguard0.
-
11 час назад, koctik-2017 сказал:
не работает это, при вводе комманды wg show nwg2 мне выдает Unable to access interface: No such device
Так посмотрите через ifconfig, как ваш интерфейс называется.
-
14 минуты назад, Zeleza сказал:
Доброго дня,
А что за аргументы используются?Первый параметр - любое значение, делает копию предыдущей версии
-
Скрипт для автоматического обновления. Может кому пригодится
#!/bin/sh agh_dir=/opt/bin agh_fn=AdGuardHome function get_download_url { curl -k -f -s -S https://api.github.com/repos/$1/$2/releases/latest 2>/dev/null | jq -r '.assets[] | select(.browser_download_url | contains("linux_mipsle_softfloat")) | .browser_download_url' } URL=$(get_download_url AdguardTeam AdGuardHome) echo $URL curl -k -f -s -S -L $URL -o /tmp/$agh_fn.tar.gz if [ ! -z "$1" ]; then cp -f $agh_dir/$agh_fn $agh_dir/$agh_fn.1 fi tar x -zf /tmp/$agh_fn.tar.gz -C /tmp mv -f /tmp/$agh_fn/$agh_fn $agh_dir/$agh_fn chmod +x $agh_dir/$agh_fn ls -al $agh_dir/$agh_fn*
- 2
-
-
16 минут назад, MDP сказал:
Не... ну adguard home вроде как должен с таким справиться. Если конечно клиенты не будут пользоваться doh/dot
adh маленько для другого предназначен. Он URL-ами не занимается.
-
32 минуты назад, Артём Андреевич Мамзиков сказал:
Есть к примеру http://name.tv/media - местный портал провайдера: фильмы, мультики, сериалы и тд.
Так же есть гостевая сеть открытая, хочу оставить доступ к данному порталу, но тут же есть личный кабинет сразу авторизованный без вода логин пароля.
Следующие ссылки в ЛК.
https://name.net/cabinet
https://name.net/cabinet/pay
https://name.net/cabinet/tarif
https://name.net/cabinet/sms
https://name.net/cabinet/bonus
https://name.net/cabinet/parent
Ищу способ как закрыть или перенаправить обратно на портал после нажатия на /cabinet
Понятно что DNS не выйдет он просто лочит весь сайт, просмотреть трафик шифрованный под https и блокировать переход в ЛК так же проблематично.
Возможно у кого то есть какие то идеи как это можно реализовать?Никак. Если только через squid весь трафик проксировать. Проще заблокировать весь сайт и разрешить доступ только с одного ИП из сети.
-
В 18.10.2022 в 22:30, alex911kz сказал:
блокировка *.ru, *.com - всех сайтов так возможно ограничить? таким префикс
Штатно нельзя. Через entware+ iptables можно. Но придется хорошо разобраться с iptables.
-
7 часов назад, Александр Выговский сказал:
Подскажите как изменить скорость загрузки Torrserve на OPKG? при работе на приставке через роутер скорость закачки в два раза выше чем при использовании непосредственно установленного на роутере сервера. Подозреваю что есть ограничения, где их искать?
arm процессор? Если нет, то поменять процессор на роутере на более мощный, т.к. он тупо не тянет и качать и раздавать и маршрутизировать?
-
29 минут назад, Киселев Николай сказал:
Добрый день. Хочу задать вопрос по настройке Квас для работы с AdguardHome расположенному на малинке в основной сети 192.168.2.4 на 83 порту. Проблема была в том что из подсети 192.168.3... устройства не попадают в ADH. С этой проблемой я столкнулся на бета 10, может сейчас все уже работает нормально? Да и интернет у меня заведен через sfp модуль (оптика). Сейчас у меня стоит бета 17 и все работает, но от ADH я временно отказался. Я бы рад сейчас все проверить, но слишком много пользователей которые моей инициативы не разделяет, сейчас же все работает ... не трож...))))
Квас не будет работать с adguard home, установленной на малинке, потому-что ему нужно заполнять ipset локально. А это можно сделать только на головном роутере. Вот если вы воткнете провод от провайдера в малинку и поставите квас на малинку, то такая схема работать будет.
- 2
-
1 час назад, Zeleza сказал:
Доброго всем утра,
Пробуем новую версию Кваса - 1.0 beta 16:
- Доработан скрипт маркировки VPN трафика [100-vpn-mark], теперь скрипт автоматически определяет как ему маркировать трафик (с включенным или отключенным ускорением)
- Теперь команда kvas ssr port отображает текущий номер локального порта shadowsocks соединения
- Исправлена ошибка при установке локального порта по комманде kvas ssr port <port>
- При использовании adguard и выводе команды kvas debug, секция ipset теперь выводится полностью
- Удален запрос на удаленную установку AdGuard Home для избежания последующих недоразумений.
- Устранена ошибка при повторном удалении AdGuard Home: 'sed: /opt/etc/AdGuardHome/AdGuardHome.yaml: No such file or directory'
- Изменена структура и наименования исполняемых файлов по функциональному признаку для удобочитаемости файлов проекта
- Добавлена возможность подключать гостевую сеть к VPN подключению, отличному от shadowsocks. Команда kvas vpn guest ent_network (детали в файле README.md и в справке по команде kvas help)
В последних беттах ADGH добавили параметр ipset_file. Теперь основной конфиг можно не трогать.
ipset: [] ipset_file: /tmp/AdGuardHome-ipset.yaml
-
В 29.06.2022 в 12:00, avn сказал:
На версии 3.7.4 ipv6 адрес на интерфейсе nwg можно было задать командой:
interface Wireguard2 ipv6 address fd01:5ca1:ab1e:891f:c4fc:4a2e:e64d:503d
3.8.5 не починили. Ждем...
-
1 минуту назад, over сказал:
Понял. Печалька. Фильтрация DNS мне нравится, и детям от взрослых материалов, и минус реклама. Было бы круто, если бы в будущем появилась юзер френдли маршрутизация по доменным именам из коробки.
Adguard home все это умеет из коробки при правильной настройке. Dnsmasq аналогично, только сложнее на порядок.
- 1
Пробуем КВАС
in Каталог готовых решений Opkg
Posted
Потому-что маршрутизация происходит по доменным именам через ipset. А шататный dns ipset заполнять не умеет.