avn

Почитал исходники. ADH поддерживает ipset. DNSMasq - можно выкинуть из цепочки вообще. Я не пробовал. ## ipset AGH can add IP addresses of the specified in configuration domain names to an ipset list. Prepare: user creates an ipset list and configures AGH for using it. 1. User --( ipset create my_ipset hash:ip ) -> OS 2. User --( ipset: host.com,host2.com/my_ipset )-> AGH Syntax: ipset: "DOMAIN[,DOMAIN].../IPSET1_NAME[,IPSET2_NAME]..." IPv4 addresses are added to an ipset list with `ipv4` family, IPv6 addresses - to `ipv6` ipset list. Run-time: AGH adds IP addresses of a domain name to a corresponding ipset list. 1. AGH --( resolve host.com )-> upstream 2. AGH <-( host.com:[1.1.1.1,2.2.2.2] )-- upstream 3. AGH --( ipset.add(my_ipset, [1.1.1.1,2.2.2.2] ))-> OS Конфиг: dns: ipset: - domain.com/ipset_name - domain1.com,domain2.com/ipset_name,ipset_name2 ... Настройка upstream: [/pool.ntp.org/]1.1.1.1 [/pool.ntp.org/]1.0.0.1 [/pool.ntp.org/]2606:4700:4700::1111 [/pool.ntp.org/]2606:4700:4700::1001

Я только в сторону wg трафик направлял. Пробуйте, я не пробовал.

Или наоборот, Upstream DNS в dnsmasq - один единственный, и это AdGuard Home. А в ADGuard - upstream DNS - это 1.1.1.1,8.8.8.8 и т.д. Т.е. схема такая: Все клиенты -> DNSMasq -> AdGuard Home -> глобальные DNS -> Onion -> Tor -> Сайт через антизапрет -> Антизапрет -> и т.д. # Глобальный Upstream на adguard server=myadguard.adguard.com#5678 # Tor onion server=/onion/127.0.0.1#9153 # Сайт через антизапрет server=/my.site/10.194.1.1#53 # Сайты через 9-ки server=/tmdb.org/themoviedb.org/9.9.9.9 Т.е. резолв идет сначало для доменов, с индивидуальными серверами для dns-резолвинга. А если индивидуально не настроено - то на глобальный dns.

Я выше все написал. Тренируйтесь, на здоровье.

Кто сказал, если маршрут по умолчанию то завернуть трафик можно. ip -6 rule не работает. interface Wireguard2 ipv6 address 2000::0 Правила Fw ::/0 - прописывайте чтением конфига в entware. wg setconf nwg2 /opt/home/wg2-profile.conf P/S/ Короче, пока без вариантов, только маршрут по умолчанию. ipv6 - таблицы не поддерживает.

Галочку поставьте, использовать для выхода в интернет.

Так, а зачем no-pool отключили? Пусть один раз и читает?

Анонс фич?

Выборочный роутинг + redsocks или что-то аналогичное

По форуму поиск - Выборочный роутинг. Ну и нужно найти утилиту, которая будет работать с трафиком на интерфейсе и отправлять его в сокет прокси сервера. Для Sock5, например, можно взять redsock.

И в догонку: root@RPi4:~# whois -h whois.radb.net '!6AS201012' A15 2a05:cf80::/29 C

А Вы же выше писали, что будет. Что-то не срослось?

Когда ожидать функционал doh на версии 2.16?

Ошибка в документации или исправят в ближайшее время?

Ну да, у метода есть недостатки. Как Вам сказали выше, нужен еще один скрипт, который нужно положить сюда /opt/etc/ndm/neighbour.d/, например /opt/etc/ndm/neighbour.d/100_update-dhcp.sh: #!/bin/sh [ "$type" != "update_dhcp" ] && exit 0 /opt/bin/update-dhcp.sh & exit 0

Так я выше скрипт выкладывал. Вы попробуйте его запустить и посмотрите файл /tmp/dnsmasq-dhcp.dnsmasq

А чем хук не устраивает для локальных адресов, приведенный выше? Для сети домена - разрешают адрес вышестоящий днс сервер.

Ошиблись? Нет update_dhcp в документации https://github.com/ndmsystems/packages/wiki/Opkg-Component

Можно воспользоваться решением, которое Вам предложили выше. Примерно это повесить на событие neighbour.d с action == update_dhcp получать из ndmq список dhcp-лизов. Соответственно читать дополнительно конфиг dns_dhcp=/tmp/dnsmasq-dhcp.dnsmasq из основного конфига dnsmasq (include) #!/bin/sh dns_dhcp=/tmp/dnsmasq-dhcp.dnsmasq dns_dhcp_tmp=/tmp/dnsmasq-dhcp.dnsmasq.tmp curl -s http://localhost:79/rci/show/ip/dhcp/bindings 2>/dev/null | jq -r '.lease[] | "server=/" + .name + ".lan/" + .ip' > $dns_dhcp_tmp /opt/sbin/dnsmasq --test --conf-file=$dns_dhcp_tmp if [ "$?" == "0" ]; then mv -f $dns_dhcp_tmp $dns_dhcp /opt/etc/init.d/S56dnsmasq restart logger "$(wc -l < $dns_dhcp) domains added to $dns_dhcp" fi 10053 - У меня так же не слушается.

ip name-server 8.8.8.8 "" on Wireguard1 ip name-server 1.0.0.1 "" on Wireguard2

@Le ecureuilА почему после "dns-override", запросы на резолв хоста (myhost.lan) от wireguard не идут через мой dns-сервис? №запроса в ТП - 578667 wireguard peer CLbTMUyIQHk= !Zy endpoint myhost.lan keepalive-interval 30 allow-ips 0.0.0.0 0.0.0.0 ! Да и вообще странно работает: ~ # dig warp-1.lan ;; SERVER: 1.0.0.1#53(1.0.0.1) (UDP) ~ # dig warp-1.lan @127.0.0.1 ;; ANSWER SECTION: warp-1.lan. 0 IN A 162.159.192.1 ;; SERVER: 127.0.0.1#53(127.0.0.1) (UDP) ~ # dig warp-1.lan @192.168.97.97 ;; ANSWER SECTION: warp-1.lan. 0 IN A 162.159.192.1 ;; SERVER: 192.168.97.97#53(192.168.97.97) (UDP) Весь лог:

Почитайте по форуму

Точно, есть. Этого достаточно. По поводу hwnat - да, только отключать.

Штатно на роутере правила работать не будут из-за hwnat iptables -w -t mangle -A SSREDIR -p udp -j MARK --set-mark 1 iptables -w -t mangle -A SSREDIR -p udp -j TPROXY --on-port "${SSREDIR_LOCAL_PORT}" --tproxy-mark 0x01/0x01 И так же, нужно у приложения ss-redir включить режим tproxy.

У меня все работает без каких либо проблем. Из всего установлено только tftpd-hpa. Его запуск /opt/etc/init.d/S59tftpd происходит следующим образом: #!/bin/sh ENABLED=yes PROCS=tftpd-hpa ARGS="--listen --secure /tmp/mnt/Data1/Firmwares/PXEBoot -m /opt/etc/tftpd.remap" PREARGS="" DESC=$PROCS PATH=/opt/sbin:/opt/bin:/opt/usr/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin . /opt/etc/init.d/rc.func /opt/etc/tftpd.remap rg \\ / В конфиге dhcp keenetic (192.168.97.97 - ip роутера) option 66 hex 3139322e3136382e39372e393700 #192.168.97.97nil option 67 hex 7078656c696e75782e3000 #pxelinux.0nil ls -al /tmp/mnt/Data1/Firmwares/PXEBoot drwxr-xr-x 7 root root 4096 Jul 12 2020 . drwxr-xr-x 5 root root 4096 Nov 14 2020 .. drwxr-xr-x 4 root root 4096 Jul 12 2020 Boot drwxr-xr-x 4 root root 4096 Jul 11 2020 Linux drwxr-xr-x 4 root root 4096 Jul 15 2020 Windows -rwxrwxrwx 1 root root 666936 Dec 5 2019 bootmgr.exe -rw-rwxrwx 1 root root 24560 Oct 6 2014 chain.c32 drwxr-xr-x 2 root root 4096 Jul 11 2020 efi64 -rw-rwxrwx 1 root root 122308 Oct 6 2014 ldlinux.c32 -rw-rwxrwx 1 root root 186500 Oct 6 2014 libcom32.c32 -rw-rwxrwx 1 root root 24148 Oct 6 2014 libutil.c32 -rw-rw-rw- 1 root root 26140 Oct 6 2014 memdisk -rw-rwxrwx 1 root root 26596 Oct 6 2014 menu.c32 -rwxrwxrwx 1 root root 25358 Mar 19 2019 pxeboot.0 -rwxrwxrwx 1 root root 25358 Mar 19 2019 pxeboot.n12 -rw-rwxrwx 1 root root 12644 Oct 6 2014 pxechn.c32 -rwxr-xr-x 1 root root 46909 Oct 6 2014 pxelinux.0 drwxr-xr-x 2 root root 4096 Jul 10 2020 pxelinux.cfg -rw-rwxrwx 1 root root 1376 Oct 6 2014 reboot.c32 -rw-rwxrwx 1 root root 27104 Oct 6 2014 vesamenu.c32 /tmp/mnt/Data1/Firmwares/PXEBoot/pxelinux.cfg/default Для загрузки образов винды подготовлен специальный файл /tmp/mnt/Data1/Firmwares/PXEBoot/Boot/BCD. В нем расписана вся загрузка с образов винды. ls -alR /tmp/mnt/Data1/Firmwares/PXEBoot/Boot