Jump to content

avn

Forum Members
 View Profile  See their activity

  • Posts

    452

  • Joined

  • Last visited

  • Days Won

    4

 Content Type 

Posts posted by avn

    Пробуем КВАС

    in Каталог готовых решений Opkg

    Posted

    2 минуты назад, lliax сказал:

    При установке пакета opkg install /opt/app/kvas_1.0-beta_21_all.ipk, получил ошибку pkg_init_from_file: Malformed package file /opt/app/kvas_1.0-beta_21_all.ipk. Могли бы подсказать причину этой ошибки?

    В чем замысел отключения встроенного DNS сервера? opkg dns-override

    Потому-что маршрутизация происходит по доменным именам через ipset. А шататный dns ipset заполнять не умеет.

    • Thanks 1

    2 кинетика по Wireguard

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted

    10 минут назад, Werld сказал:

    Спасибо за совет. Порекомендую вам того же, далеко, кстати говоря, ходить не надо. Вон у ТС на скринах таблицы маршрутизации как раз адреса с 0 на конце увидите. То, что этот адрес маршрутизируется наверное мне привиделось да?

    Обмен пакетами с 188.168.15.0 по с 32 байтами данных:
    Ответ от 188.168.15.0: число байт=32 время=18мс TTL=58
    Ответ от 188.168.15.0: число байт=32 время=18мс TTL=58
    Ответ от 188.168.15.0: число байт=32 время=18мс TTL=58
    Ответ от 188.168.15.0: число байт=32 время=18мс TTL=58

    Статистика Ping для 188.168.15.0:
        Пакетов: отправлено = 4, получено = 4, потеряно = 0

    Попробовал три калькулятора по ipv4, все умерли от 0-ля. Вам шашечки или ехать?

    image.png.fb4f67b640fb675d13d8be9fa697ae43.png

    Wireguard ipv6

    in Обмен опытом

    Posted

    2 минуты назад, krass сказал:

    Я запутался уже. Поясните, пожалуйста, а разве это всё  ( allow-ips в ipv6-формате и прочее) будет не в  keen os 3.10 ? 

    Я вообще рассчитываю на версии 3.8.4.5(6)/3.9, что бы задавать allow-ips в ipv6 формате через cli. Смущают фразы "уже появилась опять" и "можно задавать"

    • Upvote 1

    Wireguard ipv6

    in Обмен опытом

    Posted

    10 минут назад, avn сказал:

    Для истории и тех, кто держит wg-server. Для того, что бы избавиться от ната, надо:

    1.  Прописать sysctl 

    net.ipv4.ip_forward=1
net.ipv6.conf.all.forwarding=1

net.ipv6.conf.eth0.forwarding=1
net.ipv6.conf.eth0.proxy_ndp=1

    2. Модифицировать скрипт запуска Wireguard, добавив в него строки с "proxy", где ipv6 - адреса из Вашего диапазона у поставщика wg 

    [Unit]
Before=network.target
[Service]
Type=oneshot
ExecStart=/usr/sbin/iptables -A FORWARD -i eth0 -o wg0 -j ACCEPT
ExecStart=/usr/sbin/iptables -A FORWARD -i wg0 -j ACCEPT
ExecStart=/usr/sbin/iptables -A POSTROUTING -t nat -o eth0 -j MASQUERADE
ExecStop=/usr/sbin/iptables -D FORWARD -i eth0 -o wg0 -j ACCEPT
ExecStop=/usr/sbin/iptables -D FORWARD -i wg0 -j ACCEPT
ExecStop=/usr/sbin/iptables -D POSTROUTING -t nat -o eth0 -j MASQUERADE
ExecStart=/usr/sbin/ip6tables -A FORWARD -i wg0 -j ACCEPT
#ExecStart=/usr/sbin/ip6tables -A POSTROUTING -t nat -o eth0 -j MASQUERADE
ExecStart=/usr/sbin/ip -6 neigh add proxy 2a00:bbbb:1000:1022::97:91 dev eth0 nud permanent
ExecStop=/usr/sbin/ip6tables -D FORWARD -i wg0 -j ACCEPT
#ExecStop=/usr/sbin/ip6tables -D POSTROUTING -t nat -o eth0 -j MASQUERADE
ExecStop=/usr/sbin/ip -6 neigh del proxy 2a00:bbbb:1000:1022::97:91 dev eth0
RemainAfterExit=yes
[Install]
WantedBy=multi-user.target

    3. Модифицировать серверный и клиентский конфиги wg, прописав туда адреса, указанные выше в п.2 

    [Interface]
PrivateKey = ....
Address = 172.16.97.91/32, 2a00:bbbb:1000:1022::97:91/128
DNS = 1.1.1.1, 8.8.8.8

[Peer]
PublicKey = ....
Endpoint = aa.bb.cc.dd:993
AllowedIPs = 0.0.0.0/0, 2000::/3
PersistentKeepalive = 25

    4. Ну и поиск по proxy_ndp в google.

     

    P/S/ В принципе вариантов использования proxy_ndp море. Можно к примеру раскидать из домашней сети - кинетика адреса для клиентов wg-кинетик-сервера аналогичным способом.

    @Le ecureuil Будет ли возможность штатно раздать ipv6-адреса клиентам сети кеенетик-а?

    Wireguard ipv6

    in Обмен опытом

    Posted · Edited by avn

    Для истории и тех, кто держит wg-server. Для того, что бы избавиться от ната, надо:

    1.  Прописать sysctl 

    net.ipv4.ip_forward=1
net.ipv6.conf.all.forwarding=1

net.ipv6.conf.eth0.forwarding=1
net.ipv6.conf.eth0.proxy_ndp=1

    2. Модифицировать скрипт запуска Wireguard, добавив в него строки с "proxy", где ipv6 - адреса из Вашего диапазона у поставщика wg 

    [Unit]
Before=network.target
[Service]
Type=oneshot
ExecStart=/usr/sbin/iptables -A FORWARD -i eth0 -o wg0 -j ACCEPT
ExecStart=/usr/sbin/iptables -A FORWARD -i wg0 -j ACCEPT
ExecStart=/usr/sbin/iptables -A POSTROUTING -t nat -o eth0 -j MASQUERADE
ExecStop=/usr/sbin/iptables -D FORWARD -i eth0 -o wg0 -j ACCEPT
ExecStop=/usr/sbin/iptables -D FORWARD -i wg0 -j ACCEPT
ExecStop=/usr/sbin/iptables -D POSTROUTING -t nat -o eth0 -j MASQUERADE
ExecStart=/usr/sbin/ip6tables -A FORWARD -i wg0 -j ACCEPT
#ExecStart=/usr/sbin/ip6tables -A POSTROUTING -t nat -o eth0 -j MASQUERADE
ExecStart=/usr/sbin/ip -6 neigh add proxy 2a00:bbbb:1000:1022::97:91 dev eth0 nud permanent
ExecStop=/usr/sbin/ip6tables -D FORWARD -i wg0 -j ACCEPT
#ExecStop=/usr/sbin/ip6tables -D POSTROUTING -t nat -o eth0 -j MASQUERADE
ExecStop=/usr/sbin/ip -6 neigh del proxy 2a00:bbbb:1000:1022::97:91 dev eth0
RemainAfterExit=yes
[Install]
WantedBy=multi-user.target

    3. Модифицировать серверный и клиентский конфиги wg, прописав туда адреса, указанные выше в п.2 

    [Interface]
PrivateKey = ....
Address = 172.16.97.91/32, 2a00:bbbb:1000:1022::97:91/128
DNS = 1.1.1.1, 8.8.8.8

[Peer]
PublicKey = ....
Endpoint = aa.bb.cc.dd:993
AllowedIPs = 0.0.0.0/0, 2000::/3
PersistentKeepalive = 25

    4. Ну и поиск по proxy_ndp в google.

     

    P/S/ В принципе вариантов использования proxy_ndp море. Можно к примеру раскидать из домашней сети - кинетика адреса для клиентов wg-кинетик-сервера аналогичным способом.

    Wireguard ipv6

    in Обмен опытом

    Posted · Edited by avn

    В 09.11.2022 в 13:45, Le ecureuil сказал:

    Все будет в версии 4.0.

    interface ipv6 address уже появилась опять, и работает правильно + можно задавать allow-ips в ipv6-формате + роутинг через force-default позволяет сделать дефолтным.

    Осталось доделать NAT66, но тут больше вопросов компоновки чем технических проблем.

    Спасибо. @Le ecureuil На версии 3.8.4.5/3.9 можно задавать allow-ips в ipv6 формате? Смущают фразы "уже появилась опять" и "можно задавать"

    Wireguard ipv6

    in Обмен опытом

    Posted

    1 минуту назад, koctik-2017 сказал:

    root@Keenetic-2488 ~# wg setconf nwg0 /tmp/fix-Wireguard0.conf
    root@Keenetic-2488 ~# wg show nwg0
    interface: nwg0
      public key: z+ritbWSDJCgQ/SnR8z8fpYfGyMVNp/tqJI/toMq1jM=
      private key: (hidden)
      listening port: 59705

    peer: bmXOC+F1FxEMF9dyiK2H5/1SUtzH0JuVo51h2wPfgyo=
      endpoint: [2606:4700:d0::a29f:c001]:1701
      allowed ips: 0.0.0.0/0, ::/0
      latest handshake: 16 seconds ago
      transfer: 1.26 KiB received, 8.64 KiB sent
     

    Тоже все хорошо, появилось ::/0. Только ipv6 адрес надо свой брать, а не мой. Он присваивается на этапе генерации конфигурации wg. А так все гуд. И так далее разбирайтесь по цепочке.

    Wireguard ipv6

    in Обмен опытом

    Posted

    1 минуту назад, koctik-2017 сказал:

    root@Keenetic-2488 ~# wg setconf nwg0 /tmp/fix-Wireguard0.conf
    Line unrecognized: `Address=2606:4700:110:8bb9:3c5:e24a:5acd:42de/128'
    Configuration parsing error
     

    Адрес на интерфейсе другой строкой задаётся 

    ip -6 addr add fd01:5ca1:ab1e:891f:c4fc:4a2e:e64d:503d/128 dev nwg0

    Пробуем КВАС

    in Каталог готовых решений Opkg

    Posted · Edited by avn

    15 минут назад, Andrey Zubov сказал:

    Доброе утро

    А подскажите пожалуйста, предположим я добавил *gmail.com. Какой алгоритм попадания под разблокировку всех его поддоменов, в какой момент это происходит? Я так понимаю вряд ли сразу идет полное сканирование домена в зоне, определение всех поддоменов, их ip и прописывания их в лист разблокировки?

    Вы же запрос делаете через локальный (свой) dns сервер (adguard home, dnsmasq), который видит ваш запрос, смотрит совпадает запрос с маской или нет. И если есть совпадение с маской домена, то заполняет ipset запрошенным ип-адресом для этого домена. А маршрутизация ipset уже вторична.

     

    Поэтому в схеме с выборочной маршрутизацией важно, что бы все запросы со всех устройств шли через ваш локальный днс-сервер. Иначе работать ничего не будет, так как не будет заполняться ipset.

    Wireguard ipv6

    in Обмен опытом

    Posted

    5 часов назад, koctik-2017 сказал:

    по неизвестным мне причинам данный скрипт не работает.

    В ручную поискать свои ошибки через  

    wg setconf nwg0 /tmp/fix-${id}.conf

    Wireguard ipv6

    in Обмен опытом

    Posted

    25 минут назад, koctik-2017 сказал:

    ~ # uname -a
    Linux Keenetic-2488 4.9-ndm-5 #0 SMP Mon Oct 10 09:28:53 2022 mips GNU/Linux
    ~ # wg show nwg0
    interface: nwg0
      public key: ONWylXOVjnCnh3tqD35N0wx46sR1a/aLFCyh+CAn7RY=
      private key: (hidden)
      listening port: 48950

    peer: bmXOC+F1FxEMF9dyiK2H5/1SUtzH0JuVo51h2wPfgyo=
      endpoint: 162.159.192.1:1701
      allowed ips: 0.0.0.0/0
      latest handshake: 49 seconds ago
      transfer: 1.37 GiB received, 45.94 MiB sent
      persistent keepalive: every 1 hour
    ~ # sh /opt/etc/ndm/ifstatechanged.d/000-fix-Wireguard0.sh
    ~ # wg show nwg0
    interface: nwg0
      public key: ONWylXOVjnCnh3tqD35N0wx46sR1a/aLFCyh+CAn7RY=
      private key: (hidden)
      listening port: 48950

    peer: bmXOC+F1FxEMF9dyiK2H5/1SUtzH0JuVo51h2wPfgyo=
      endpoint: 162.159.192.1:1701
      allowed ips: 0.0.0.0/0
      latest handshake: 1 minute, 28 seconds ago
      transfer: 1.38 GiB received, 46.20 MiB sent
      persistent keepalive: every 1 hour
     

    Не вижу подсети ::/0, возможно Вы не изменили имя интерфейса Wireguard2 на Wireguard0.

    Wireguard ipv6

    in Обмен опытом

    Posted

    11 час назад, koctik-2017 сказал:

    не работает это, при вводе комманды wg show nwg2 мне выдает Unable to access interface: No such device

    Так посмотрите через ifconfig, как ваш интерфейс называется.

    AdGuardHome

    in Каталог готовых решений Opkg

    Posted

    Скрипт для автоматического обновления. Может кому пригодится 

    #!/bin/sh

agh_dir=/opt/bin
agh_fn=AdGuardHome

function get_download_url {
	curl -k -f -s -S https://api.github.com/repos/$1/$2/releases/latest 2>/dev/null | jq -r '.assets[] | select(.browser_download_url | contains("linux_mipsle_softfloat")) | .browser_download_url'
}

URL=$(get_download_url AdguardTeam AdGuardHome)
echo $URL
curl -k -f -s -S -L $URL -o /tmp/$agh_fn.tar.gz

if [ ! -z "$1" ]; then
	cp -f $agh_dir/$agh_fn $agh_dir/$agh_fn.1
fi
tar x -zf /tmp/$agh_fn.tar.gz -C /tmp
mv -f /tmp/$agh_fn/$agh_fn $agh_dir/$agh_fn
chmod +x $agh_dir/$agh_fn
ls -al $agh_dir/$agh_fn*

     

    • Upvote 2

    Ограничить доступ к определённой странице сайта

    in Обмен опытом

    Posted · Edited by avn

    16 минут назад, MDP сказал:

    Не... ну adguard home вроде как должен с таким справиться. Если конечно клиенты не будут пользоваться doh/dot

    adh маленько для другого предназначен. Он URL-ами не занимается.

    Ограничить доступ к определённой странице сайта

    in Обмен опытом

    Posted

    32 минуты назад, Артём Андреевич Мамзиков сказал:

    Есть к примеру  http://name.tv/media - местный портал провайдера: фильмы, мультики, сериалы и тд.

    Так же есть гостевая сеть открытая, хочу оставить доступ к данному порталу, но тут же есть личный кабинет сразу авторизованный без вода логин пароля.
    Следующие ссылки в ЛК. 
    https://name.net/cabinet
    https://name.net/cabinet/pay
    https://name.net/cabinet/tarif
    https://name.net/cabinet/sms
    https://name.net/cabinet/bonus
    https://name.net/cabinet/parent

    Ищу способ как закрыть или перенаправить обратно на портал после нажатия на /cabinet
    Понятно что DNS не выйдет он просто лочит весь сайт, просмотреть трафик шифрованный под https и блокировать переход в ЛК так же проблематично.
    Возможно у кого то есть какие то идеи как это можно реализовать?

    Никак. Если только через squid весь трафик проксировать. Проще заблокировать весь сайт и разрешить доступ только с одного ИП из сети.

    TorrServe

    in Развитие

    Posted

    7 часов назад, Александр Выговский сказал:

    Подскажите как изменить скорость загрузки Torrserve на OPKG? при работе на приставке через роутер скорость закачки в два раза выше чем при использовании непосредственно установленного на роутере сервера. Подозреваю что есть ограничения, где их искать?

    arm процессор? Если нет, то поменять процессор на роутере на более мощный, т.к. он тупо не тянет и качать и раздавать и маршрутизировать?

    Пробуем КВАС

    in Каталог готовых решений Opkg

    Posted · Edited by avn

    29 минут назад, Киселев Николай сказал:

    Добрый день. Хочу задать вопрос по настройке Квас для работы с AdguardHome расположенному на малинке в основной сети 192.168.2.4 на 83 порту. Проблема была в том что из подсети 192.168.3... устройства не попадают в ADH. С этой проблемой я столкнулся на бета 10, может сейчас все уже работает нормально? Да и интернет у меня заведен через sfp модуль (оптика). Сейчас у меня стоит бета 17 и все работает, но от ADH я временно отказался. Я бы рад сейчас все проверить, но слишком много пользователей которые моей инициативы не разделяет, сейчас же все работает ... не трож...)))) 

    Квас не будет работать с adguard home, установленной на малинке, потому-что ему нужно заполнять ipset локально. А это можно сделать только на головном роутере. Вот если вы воткнете провод от провайдера в малинку и поставите квас на малинку, то такая схема работать будет.

    • Thanks 2

    Пробуем КВАС

    in Каталог готовых решений Opkg

    Posted

    1 час назад, Zeleza сказал:

    Доброго всем утра,

    Пробуем новую версию Кваса - 1.0 beta 16:

    1. Доработан скрипт маркировки VPN трафика [100-vpn-mark], теперь скрипт автоматически определяет как ему маркировать трафик (с включенным или отключенным ускорением)
    2. Теперь команда kvas ssr port отображает текущий номер локального порта shadowsocks соединения
    3. Исправлена ошибка при установке локального порта по комманде kvas ssr port <port>
    4. При использовании adguard и выводе команды kvas debug, секция ipset теперь выводится полностью
    5. Удален запрос на удаленную установку AdGuard Home для избежания последующих недоразумений.
    6. Устранена ошибка при повторном удалении AdGuard Home: 'sed: /opt/etc/AdGuardHome/AdGuardHome.yaml: No such file or directory'
    7. Изменена структура и наименования исполняемых файлов по функциональному признаку для удобочитаемости файлов проекта
    8. Добавлена возможность подключать гостевую сеть к VPN подключению, отличному от shadowsocks. Команда kvas vpn guest ent_network (детали в файле README.md и в справке по команде kvas help)

    В последних беттах ADGH добавили параметр ipset_file. Теперь основной конфиг можно не трогать. 

      ipset: []
  ipset_file: /tmp/AdGuardHome-ipset.yaml

     

    Wireguard ipv6

    in Обмен опытом

    Posted

    В 29.06.2022 в 12:00, avn сказал:

    На версии 3.7.4 ipv6 адрес на интерфейсе nwg можно было задать командой: 

    interface Wireguard2 ipv6 address fd01:5ca1:ab1e:891f:c4fc:4a2e:e64d:503d

     

    3.8.5 не починили. Ждем...

    Маршрутизация мимо VPN (Instagram)

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted

    1 минуту назад, over сказал:

    Понял. Печалька. Фильтрация DNS мне нравится, и детям от взрослых материалов, и минус реклама. Было бы круто, если бы в будущем появилась юзер френдли маршрутизация по доменным именам из коробки.

    Adguard home все это умеет из коробки при правильной настройке. Dnsmasq аналогично, только сложнее на порядок.

    • Thanks 1
×
×
  • Create New...