uneasy

Кстати, хотел еще добавить, что "ковровый" обход блокировок с использованием antifilter чреват еще одной проблемой: теоретически можно выхватить бан за попытку обхода региональных ограничений от сервисов, еще работающих в России. Так например, я заметил, что у меня стал медленно грузиться и выдавать странные сообщения Steam, из чего я сделал вывод, что какие-то из IP адресов, используемых Стимом, попали в список antifilter. Это меня напрягло, поскольку баны за попытку обхода домашнего региона там не редкость. Решил я проблему для себя следующим образом: модифицировал свой скрипт на использование WARP, который предоставляет пользователю российский IP. Тормоза и странные сообщения в Стиме пропали. Совпадение? Не думаю! Хотя, может и совпадение. Но, по хорошему, при использовании сервера, находящегося за границей, более гибкая настройка обхода необходима.

Да, я тоже люблю лаконичные решения, иногда даже чересчур увлекаюсь, и режу даже то, что не стоит А с инстаграмом вы замучаетесь. Я твиттер так и не смог победить - облазил весь интернет в поисках правильного списка адресов, но так и не заработало на 100% - то видео через неделю отвалится, то еще что-нибудь. Поэтому то antifilter и лупят по площадям, сразу подсетями (и добавляют даже то, что и не заблокировано). На самом деле даже c antifilter иногда сталкиваешься с проблемами, поскольку нужный адрес не успели даже в community добавить. Несколько месяцев назад у меня фейсбук перестал нормально открываться. Обновил вне расписания список community - заработало. В будущем есть у меня идея разобраться с V2Ray / XRay, там есть база geoip / geosite, которую можно использовать для выборочного обхода блокировок. В конфигурационном файле просто прописывается что-то типа "geosite:instagram", и все должно работать. Теоретически, наверно эту базу можно и к моему скрипту прикрутить, но пока лень

Команда ipset flush unblock из unblock_daily очищает список ежедневно ночью, после чего он заново пересоздается с уже новыми настройками. Если вы убрали все упоминания community.lst, то этих айпишников больше в списке не будет. Ну и перезагрузка тоже чистит ipset.

Если вы про компонент KeeneticOS "Клиент прокси", то да, он shadowsocks не поддерживает. Настроить подключение shadowsocks можно только через OPKG

Логина на серверах shadowsocks не бывает, только пароль.

Можете на роутере запустить следующие команды (вставьте в первую команду свою ссылку ss://): url="ss://..." server=$(echo $url | grep -oP "(?<=@).*?(?=:)") port=$(echo $url | cut -d ":" -f 3 | cut -d "#" -f 1) password=$(echo $url | grep -oP "(?<=ss://).*?(?=@)" | base64 -d | cut -d ":" -f 2) method=$(echo $url | grep -oP "(?<=ss://).*?(?=@)" | base64 -d | cut -d ":" -f 1) echo $server $port $password $method Последняя команда выдаст ваш сервер, порт, пароль и метод. Или декодируйте свою ссылку на сайте base64decode.org

Тоже стал замечать, что одного списка allyouneed стало не хватать (вопреки его названию 🙂). В параллельной ветке рекомендуют дополнительно использовать список с community.antifilter.download. Добавил в свой скрипт, если хотите, можете потестировать. По крайней мере Twitter у меня теперь лучше стал работать. Также убрал из скрипта shadowsocks.json, чтобы не было проблем, как у panicoil.

Александр, может вы подскажете. Какие можно добавить сюда правила iptables? Сейчас пока приходится отдельно создавать статические маршруты для всех нужных адресов: ip route add IP dev nwg0

Да, конечно, можете просто добавить в конец S52unblock что-то типа for i in `cat /opt/root/subnets`; do ipset add unblock $i; done И в subnets прописать свои подсети в формате CIDR

Подскажите, а лишняя запятая у меня в инструкции, или просто при копировании случайно добавили?

На роутере, там тоже ss-tunnel есть: opkg install shadowsocks-libev-ss-tunnel

Круто! Работает! И все одной командой, люблю такое Я кстати уже видел подобный гайд, но подумал, что такое будет работать, только если wireguard и shadowsocks крутятся на одной машине (личном VDS). Но нет, можно просто WARP'овский endpoint прописать, и все.

Да, вот это печально весьма. Я как раз пытался пустить wg-туннель WARP через shadowsocks, не работает ни фига. А так можно было бы весьма эффективно скрыть свой трафик от владельца публичного SS-сервера. Кстати, про тот же shadowsocks-rust пишут, что там появилась возможность создавать tun интерфейс (то есть встроен функционал Tun2Socks / badvpn). Не проверяли, работает на кинетике эта фишка? Тогда можно будет просто создать статический маршрут, по идее udp тоже должен работать.

В обновленном скрипте выше строку выпилил Вообще, сейчас подумал, цикл until - это я тогда слишком опасно сделал, лучше без него

Обновленный вариант настройки shadowsocks, с использованием списка заблокированных IP. Устанавливаем необходимые пакеты: opkg update; opkg upgrade; opkg install nano cron ipset iptables wget-ssl ca-bundle shadowsocks-libev-ss-redir Редактируем нужные файлы: nano /opt/etc/init.d/S52unblock #!/bin/sh ipset -exist create unblock hash:net for i in `cat /opt/root/allyouneed.lst`; do ipset -exist add unblock $i; done for i in `cat /opt/root/community.lst`; do ipset -exist add unblock $i; done for i in `grep -v ^# /opt/root/exceptions`; do ipset del unblock $i; done for i in `grep -v ^# /opt/root/sites`; do for j in `nslookup $i | grep -v 127.0.0.1 | awk '/Addr/ {print $3}' | grep -v :`; do ipset -exist add unblock $j; done done nano /opt/etc/cron.daily/unblock_daily #!/bin/sh wget -O /opt/root/allyouneed.lst https://antifilter.download/list/allyouneed.lst wget -O /opt/root/community.lst https://community.antifilter.download/list/community.lst ipset flush unblock /opt/etc/init.d/S52unblock nano /opt/etc/ndm/netfilter.d/unblock_netfilter #!/bin/sh if [ -z "$(iptables-save | grep unblock)" ]; then iptables -I PREROUTING -w -t nat -i br0 -p tcp -m set --match-set unblock dst -j REDIRECT --to-port 1080 fi if [ -z "$(ps | grep -v grep | grep ss-redir)" ]; then ss-redir -s SERVER -p PORT -k PASSWORD -m METHOD -b 0.0.0.0 -l 1080 -t 600 -f /opt/var/run/ss-redir.pid fi Тут SERVER, PORT, PASSWORD и METHOD нужно поменять на свои. Также можно добавить сайты, которых нет в списке antifilter: nano /opt/root/sites # comments spotify.com Также, в случае проблем, можно добавить какую-либо подсеть в исключения, чтобы соединение шло напрямую, минуя shadowsocks. Ниже я добавляю таким образом подсеть сайта iptvin.ru, которая попала в список antifilter, но у меня отказывается работать через мой сервер shadowsocks: nano /opt/root/exceptions # iptvin.ru 92.125.33.0/24 Даем файлам права на запуск: chmod +x /opt/etc/init.d/S52unblock chmod +x /opt/etc/cron.daily/unblock_daily chmod +x /opt/etc/ndm/netfilter.d/unblock_netfilter Один раз вручную скачиваем списки IP, чтобы они были при запуске роутера: wget -O /opt/root/allyouneed.lst https://antifilter.download/list/allyouneed.lst wget -O /opt/root/community.lst https://community.antifilter.download/list/community.lst Перезагружаем роутер. Все должно заработать через пару минут после перезагрузки (ipset строится какое-то время, в списке много IP). Дополнительно, на случай подмены провайдером IP адресов заблокированных сайтов, очень желательно настроить на роутере шифрование DNS запросов: https://help.keenetic.com/hc/ru/articles/360007687159