uneasy

Кстати, хотел еще добавить, что "ковровый" обход блокировок с использованием antifilter чреват еще одной проблемой: теоретически можно выхватить бан за попытку обхода региональных ограничений от сервисов, еще работающих в России. Так например, я заметил, что у меня стал медленно грузиться и выдавать странные сообщения Steam, из чего я сделал вывод, что какие-то из IP адресов, используемых Стимом, попали в список antifilter. Это меня напрягло, поскольку баны за попытку обхода домашнего региона там не редкость. Решил я проблему для себя следующим образом: модифицировал свой скрипт на использование WARP, который предоставляет пользователю российский IP. Тормоза и странные сообщения в Стиме пропали. Совпадение? Не думаю! Хотя, может и совпадение. Но, по хорошему, при использовании сервера, находящегося за границей, более гибкая настройка обхода необходима.

Да, я тоже люблю лаконичные решения, иногда даже чересчур увлекаюсь, и режу даже то, что не стоит А с инстаграмом вы замучаетесь. Я твиттер так и не смог победить - облазил весь интернет в поисках правильного списка адресов, но так и не заработало на 100% - то видео через неделю отвалится, то еще что-нибудь. Поэтому то antifilter и лупят по площадям, сразу подсетями (и добавляют даже то, что и не заблокировано). На самом деле даже c antifilter иногда сталкиваешься с проблемами, поскольку нужный адрес не успели даже в community добавить. Несколько месяцев назад у меня фейсбук перестал нормально открываться. Обновил вне расписания список community - заработало. В будущем есть у меня идея разобраться с V2Ray / XRay, там есть база geoip / geosite, которую можно использовать для выборочного обхода блокировок. В конфигурационном файле просто прописывается что-то типа "geosite:instagram", и все должно работать. Теоретически, наверно эту базу можно и к моему скрипту прикрутить, но пока лень

Команда ipset flush unblock из unblock_daily очищает список ежедневно ночью, после чего он заново пересоздается с уже новыми настройками. Если вы убрали все упоминания community.lst, то этих айпишников больше в списке не будет. Ну и перезагрузка тоже чистит ipset.

Если вы про компонент KeeneticOS "Клиент прокси", то да, он shadowsocks не поддерживает. Настроить подключение shadowsocks можно только через OPKG

Логина на серверах shadowsocks не бывает, только пароль.

Можете на роутере запустить следующие команды (вставьте в первую команду свою ссылку ss://): url="ss://..." server=$(echo $url | grep -oP "(?<=@).*?(?=:)") port=$(echo $url | cut -d ":" -f 3 | cut -d "#" -f 1) password=$(echo $url | grep -oP "(?<=ss://).*?(?=@)" | base64 -d | cut -d ":" -f 2) method=$(echo $url | grep -oP "(?<=ss://).*?(?=@)" | base64 -d | cut -d ":" -f 1) echo $server $port $password $method Последняя команда выдаст ваш сервер, порт, пароль и метод. Или декодируйте свою ссылку на сайте base64decode.org

Тоже стал замечать, что одного списка allyouneed стало не хватать (вопреки его названию 🙂). В параллельной ветке рекомендуют дополнительно использовать список с community.antifilter.download. Добавил в свой скрипт, если хотите, можете потестировать. По крайней мере Twitter у меня теперь лучше стал работать. Также убрал из скрипта shadowsocks.json, чтобы не было проблем, как у panicoil.

Александр, может вы подскажете. Какие можно добавить сюда правила iptables? Сейчас пока приходится отдельно создавать статические маршруты для всех нужных адресов: ip route add IP dev nwg0

Да, конечно, можете просто добавить в конец S52unblock что-то типа for i in `cat /opt/root/subnets`; do ipset add unblock $i; done И в subnets прописать свои подсети в формате CIDR

Подскажите, а лишняя запятая у меня в инструкции, или просто при копировании случайно добавили?

На роутере, там тоже ss-tunnel есть: opkg install shadowsocks-libev-ss-tunnel

Круто! Работает! И все одной командой, люблю такое Я кстати уже видел подобный гайд, но подумал, что такое будет работать, только если wireguard и shadowsocks крутятся на одной машине (личном VDS). Но нет, можно просто WARP'овский endpoint прописать, и все.

Да, вот это печально весьма. Я как раз пытался пустить wg-туннель WARP через shadowsocks, не работает ни фига. А так можно было бы весьма эффективно скрыть свой трафик от владельца публичного SS-сервера. Кстати, про тот же shadowsocks-rust пишут, что там появилась возможность создавать tun интерфейс (то есть встроен функционал Tun2Socks / badvpn). Не проверяли, работает на кинетике эта фишка? Тогда можно будет просто создать статический маршрут, по идее udp тоже должен работать.

В обновленном скрипте выше строку выпилил Вообще, сейчас подумал, цикл until - это я тогда слишком опасно сделал, лучше без него

Обновленный вариант настройки shadowsocks, с использованием списка заблокированных IP. Устанавливаем необходимые пакеты: opkg update; opkg upgrade; opkg install nano cron ipset iptables wget-ssl ca-bundle shadowsocks-libev-ss-redir Редактируем нужные файлы: nano /opt/etc/init.d/S52unblock #!/bin/sh ipset -exist create unblock hash:net for i in `cat /opt/root/allyouneed.lst`; do ipset -exist add unblock $i; done for i in `cat /opt/root/community.lst`; do ipset -exist add unblock $i; done for i in `grep -v ^# /opt/root/exceptions`; do ipset del unblock $i; done for i in `grep -v ^# /opt/root/sites`; do for j in `nslookup $i | grep -v 127.0.0.1 | awk '/Addr/ {print $3}' | grep -v :`; do ipset -exist add unblock $j; done done nano /opt/etc/cron.daily/unblock_daily #!/bin/sh wget -O /opt/root/allyouneed.lst https://antifilter.download/list/allyouneed.lst wget -O /opt/root/community.lst https://community.antifilter.download/list/community.lst ipset flush unblock /opt/etc/init.d/S52unblock nano /opt/etc/ndm/netfilter.d/unblock_netfilter #!/bin/sh if [ -z "$(iptables-save | grep unblock)" ]; then iptables -I PREROUTING -w -t nat -i br0 -p tcp -m set --match-set unblock dst -j REDIRECT --to-port 1080 fi if [ -z "$(ps | grep -v grep | grep ss-redir)" ]; then ss-redir -s SERVER -p PORT -k PASSWORD -m METHOD -b 0.0.0.0 -l 1080 -t 600 -f /opt/var/run/ss-redir.pid fi Тут SERVER, PORT, PASSWORD и METHOD нужно поменять на свои. Также можно добавить сайты, которых нет в списке antifilter: nano /opt/root/sites # comments spotify.com Также, в случае проблем, можно добавить какую-либо подсеть в исключения, чтобы соединение шло напрямую, минуя shadowsocks. Ниже я добавляю таким образом подсеть сайта iptvin.ru, которая попала в список antifilter, но у меня отказывается работать через мой сервер shadowsocks: nano /opt/root/exceptions # iptvin.ru 92.125.33.0/24 Даем файлам права на запуск: chmod +x /opt/etc/init.d/S52unblock chmod +x /opt/etc/cron.daily/unblock_daily chmod +x /opt/etc/ndm/netfilter.d/unblock_netfilter Один раз вручную скачиваем списки IP, чтобы они были при запуске роутера: wget -O /opt/root/allyouneed.lst https://antifilter.download/list/allyouneed.lst wget -O /opt/root/community.lst https://community.antifilter.download/list/community.lst Перезагружаем роутер. Все должно заработать через пару минут после перезагрузки (ipset строится какое-то время, в списке много IP). Дополнительно, на случай подмены провайдером IP адресов заблокированных сайтов, очень желательно настроить на роутере шифрование DNS запросов: https://help.keenetic.com/hc/ru/articles/360007687159

Нет, это точно необязательно. Можно сразу в netfilter.d кидать. Вот например, известный гайд: https://keenetic-gi.ga/2022/12/17/adguardhome-and-selective-routing.html

Хмм, странно, у меня создаются, правда у меня правила для таблицы mangle. Сейчас попробую потестировать nat. Вообще я нашел этот совет (про дубликаты) в официальном доке NDM Systems: https://github.com/ndmsystems/packages/wiki/Opkg-Component#ndmnetfilterd PS Да, загадка. Добавил в скрипт строчки echo $table echo $type и в логах вижу только такое: Opkg::Manager: /opt/etc/ndm/netfilter.d/shadow: mangle. Opkg::Manager: /opt/etc/ndm/netfilter.d/shadow: iptables. Так что эти переменные почему-то только такие значения и принимают. Значений ip6tables, filter, nat, о которых написано в документации нет. При этом правила добавляются именно в нужную таблицу. Вот тебе и RTFM 🤣

Кстати, сейчас заметил, что я в начале своего скрипта /opt/etc/ndm/netfilter.d/shadow совершенно напрасно не добавил проверку на тип таблицы: [ "$type" == "ip6tables" ] && exit 0 [ "$table" != "nat" ] && exit 0 Исправил, потому что из-за этого могут создаваться дубликаты правил.

Нет, для него самого тоже работает. Можно проверить например на адресе api.tmdb.org - сами владельцы сайта сделали блокировку для России, но на уровне DNS. При этом Quad9 к этим блокировкам не присоединился. Соответственно можете сравнить вывод команд на роутере до и после настройки DoH, при использовании URL сервера DNS - https://dns.quad9.net/dns-query nslookup api.tmdb.org 1.1.1.1 nslookup api.tmdb.org 8.8.8.8 nslookup api.tmdb.org 9.9.9.9 nslookup api.tmdb.org Первая и вторая команда выдадут неправильный IP, третья правильный, четвертая в зависимости от настройки роутера SS конечно не VPN, но тоннелем для простоты называют любую инкапсуляцию, например - SSH tunnel, который тоже VPNом не является Да, в этом случае запросы будут видны провайдеру (и товарищу майору). Плюс он может их перехватывать и подменять. И еще один момент - лично у меня нет собственного VDS, пользуюсь общедоступными "носками", поэтому падения серверов случаются регулярно. Я знаю, что вы против такой схемы, но пока речь шла буквально о десятке новостных сайтов (без фейсбуков итд), в принципе терпимо. А кардинально проблему приватности можно решить, пустив внутри SS туннеля еще и VPN туннель к общедоступному провайдеру VPN, типа Proton, им доверия больше. У меня сейчас как раз такая схема реализована, правда для Wireguard - поднят туннель с WARP, а внутри него туннель с Proton (это сделано для того, чтобы обходить западные блоки, так как WARP сам по себе предоставляет российский IP). Работает все это на удивление быстро, правда это Wireguard, известный своей скоростью, как будет с SS сложно сказать

Ну, как я и сказал, сейчас сайты блочат направо и налево, поэтому править /opt/root/sites приходится постоянно, что уже поднадоело. Плюс далеко не всегда это работает - добавляешь какой-нибудь strava.com, а у них еще сервера на AWS'е в миллионе подсетей, не работает все равно. IP списки решают проблему раз и навсегда. Отправлять весь трафик тоже не вариант, поскольку некоторые российские сайты уже ставят блок на забугорные IP. Ну и вообще гонять лишний трафик через туннель не хочется. Там и торренты и что только не. PS Кстати, в моем скрипте выше я не использовал TPROXY, просто отдельно на роутере DoH включил, чтобы не светиться запросами. В этом случае, даже если туннель упадет, DNS будет работоспособен.

Вот кстати еще по вашей ссылке хороший гайд нашел (хотя все равно заморочено): https://guide.v2fly.org/en_US/app/transparent_proxy.html Кстати, я свой скрипт переделал, надоело мучаться с DNS - сейчас новые сайты блокируют каждый день, да и часто одного domain.com для обхода недостаточно. Решил перейти на списки блокированных IP: #!/bin/sh ipset create unblock hash:net wget -O /opt/root/allyouneed.lst https://antifilter.download/list/allyouneed.lst for i in `cat /opt/root/allyouneed.lst`; do ipset add unblock $i; done Только такое пихать в /opt/etc/ndm/netfilter.d/shadow нельзя, лучше запускать вместе с роутером - /opt/etc/init.d/S52ipset или cron'ом Если туннель на момент запуска скрипта уже поднят, можно еще добавить строчку for j in `nslookup antifilter.download | grep -v 127.0.0.1 | awk '/Addr/ {print $3}' | grep -v ":"`; do ipset add unblock $j; done чтобы закачка файла allyouneed.lst тоже шла через туннель, не светиться им у провайдера.

Спасибо за гайд по плагину v2ray! Единственный минус - он не поддерживает vmess и trojan, в entware для этого есть отдельные пакеты (opkg install v2ray trojan), но гайда по ним не нашел (если не считать гайды на китайском). Если как-нибудь будете настраивать, поделитесь?

Ну я вам уже ответил. Либо SSTP VPN, он уже искаропки работает по HTTPS, дропаться не будет. В кинетике клиент встроенный, на VPS нужно будет поднять сервер (пишут, SoftEther умеет в SSTP). Либо если хотите именно wireguard, то: на VPS ставите shadowsocks, настраиваете. Далее то же самое на кинетике (через opkg), настраиваете. В конце включаете проброс wireguard через туннель shadowsocks по гайду из вашей ссылки. По shadowsocks вот тема:

Тут на форуме есть темы про Shadowsocks на кинетике, можете почитать, после этого гайд по вашей ссылке станет понятней. Но с другой стороны, если вам просто связать 2 кинетика, можете посмотреть в сторону SSTP VPN, он уже шифрованный и провайдер его не заблокирует. Соединение вообще может идти через сервера keenetic.link, в этом случае провайдер и не поймет даже кто с кем соединяется. Если же вы используете WG для выборочнго роутнига, то одного Shadowsocks для этого достаточно, а от WG можно отказаться.

У меня для вас плохие новости - инструкции не читает не только лишь не кто, мало кто это делает. Вот поэтому в интерфейсе и должно быть понятное описание