-
Posts
4,392 -
Joined
-
Last visited
-
Days Won
75
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by vasek00
-
-
Раз уж предусмотрена подключение к USB порту роутера носителей, то все таки не помешало бы добавить в прошивку функционал fsck.ext4 проверка на ошибки - хотя бы ручным способом, речь идет не о том чтоб проверять диск 500GB или 1000GB. Объясню в роутере стоит флэшка на 2GB чисто для Entware с одним разделом, в лог изредка появляются ошибки с просьбой проверить ее, но у пользователя под рукой нет не чего что могло бы помочь проверить ее, даже если вы установите пакет из Entware на данный раздел то это вам не поможет, так как тот раздел который проверяется нужно раз монтировать.
Пример :
/sbin# ls -l | grep fsck -rwxr-xr-x 1 root root 241096 Jul 8 2017 e2fsck -rwxr-xr-x 1 root root 41528 Jul 8 2017 fsck lrwxrwxrwx 1 root root 6 Jul 8 2017 fsck.ext2 -> e2fsck lrwxrwxrwx 1 root root 6 Jul 8 2017 fsck.ext3 -> e2fsck lrwxrwxrwx 1 root root 6 Jul 8 2017 fsck.ext4 -> e2fsck lrwxrwxrwx 1 root root 6 Jul 8 2017 fsck.ext4dev -> e2fsck /sbin#
Можно через WEB а можно и ручной метод, а кто захочет может попытаться и 1TB прогнать => это будет его дело, мне например как писал раздел 2GB.
- 5
-
31 минуту назад, Le ecureuil сказал:
... и? Нам совсем чтоли ее делать не надо?
Может усилия (человеко-часы) направить на что-то новое.
-
1 час назад, Le ecureuil сказал:
Есть огромный платежеспособный спрос на эту фичу со стороны мелкого бизнеса. И дело даже не только в соблюдении закона, а порой даже просто в ограничении скорости / времени / трафика для гостевых клиентов и легко / удобном управлении этими вещами. Мы фичу сделали, и будем развивать.
Только опять замечу, что вы с ней опоздали на N-кол-во лет.
- 1
-
О каком слете настроек может идти речь если сам конфиг его лежит в каталоге /opt/libexec/softethervpn будет файл конфигурации vpn_server.config
Скрытый текст1979 root 7776 S < /opt/libexec/softethervpn/vpnserver execsvc
/opt/etc/init.d # vpncmd
vpncmd command - SoftEther VPN Command Line Management Utility
SoftEther VPN Command Line Management Utility (vpncmd command)
Version 4.22 Build 9634 (English)
Compiled 2016/11/27 14:33:59 by yagi at pc30
Copyright (c) SoftEther VPN Project. All Rights Reserved.By using vpncmd program, the following can be achieved.
1. Management of VPN Server or VPN Bridge
2. Management of VPN Client
3. Use of VPN Tools (certificate creation and Network Traffic Speed Test Tool)Select 1, 2 or 3: 1
...
Hostname of IP Address of Destination: Enter
If connecting to the server by Virtual Hub Admin Mode, please input the Virtual Hub name.
If connecting by server admin mode, please press Enter without inputting anything.
Specify Virtual Hub Name: ИМЯ_HUB
Connection has been established with VPN Server "localhost" (port 443)....
VPN Server/ИМЯ_HUB>StatusGet <Enter>
...
VPN Server/ИМЯ_HUB>ListenerList <Enter>
LOG файлы ->
/opt/libexec/softethervpn/packet_log/ИМЯ_HUB
/opt/libexec/softethervpn/security_log/ИМЯ_HUB
/opt/libexec/softethervpn/server_log/
-
-
KII с 2.10.A.3.0-0, сохранил конфиг, обновился -> 2.10.A.3.0-1.
Роутер не загрузился, на ПК ставлю 192.168.1.1 как миленький входит, смотрим настройки их нет как будто только что "купили" чисто. Идем далее в /#tools.files размер файла startup-config равен 10,61КБ странно, смотрим его - все на месте и
! $$$ Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36
смотрим log
[I] Jan 1 03:00:18 ndm: Network::Interface::Base: "FastEthernet0/Vlan1": description saved. [I] Jan 1 03:00:18 ndm: Network::Interface::IP: "FastEthernet0/Vlan1": IP address is 192.168.1.1/24.
идем в #home.bridges правим на нужный IP и DHCP => применить ( в /#tools.files размер startup-config равен 5,74КБ).
Только правка Agent на "! $$$ Agent: http/ci" - помогла, роутер загрузился идем в /#tools.files берем файл startup-config и строка Agent которая нужна.
-
Для информации при схеме
Keenetic ( dnscrypt-proxy ) --- Провайдер --- DNS сервер (указанный в dnscrypt-proxy)
запросы от dnscrypt-proxy до сервера DNS будут иметь шифрованные данные уложенные в пакет UDP единственное что только может чуток указать на это так это порт приема DNS сервером (правда он не 53 но по виду будет понятно)
Скрытый текстData (512 bytes): 90e3ce87d09521adb9d3a4aa754aab75de6b2ba13e0b0bbb... ---- запрос
Data (354 bytes): 7236666e76576a38e64c766880644b1564cb1af8154b6480... ----- ответ
-
7 часов назад, IgaX сказал:
А какая разница? Есть, например, и такие, которые в 2.4ГГц посадят себя на 20МГц просто потому что решили за владельца (даже без юр.предписаний) чтить bss coexistence (даже если рядом никого), при том что в том же 5ГГц легко замутят 40МГц.
Тема постоянно бажная сколько я себя здесь помню. Либо мы ее сами крутим, проверяем и для нас, потребителей, ее пилят как нам надо, либо никто не заинтересован в том, чтобы нас все устраивало (чтобы постоянно баили и дебажили по кругу одну и ту же муть). Сказки нафиг.
Как бы я поступил по отдельности клиента подключать по "N" и гонять около 1часа (можно без принтера, если что то можно на него свалить потом все), если отвалов нет то потом с двумя и так до трех ( на каждом из этапов на некоторое время захват пакетов на wi-fi канале). Если на каком то этапе будет отвал, то опять же захват пакетов на wi-fi.
В виду отсутствия в коробочной версии каких либо программ для wi-fi - iwpriv, iwconfig и д.р. то пользователь тут действительно мало чем может помочь, толь констатацией факта и на чем этот факт произошел.
Цитатаи так будет продолжатся либо пока AP не "передернешь" либо пока все клиенты сами не отстрелятся, но где-то в течение минут 5-10 восстанавливается
так же захват пакетов на wi-fi если не чего не качать с интернета то думаю на это время буфера хватит или после 3минутного отвала запустить захват.
-
15 часов назад, evgn сказал:
Добрый вечер. Поискал на форуме подобные проблему, но не нашел решений.
Дано:
Zyxel Keenetic Ultra (2.10.A.2.0-0);
Buffalo WLAE-AG300N в режиме моста (к нему проводами подключен один из компьютеров и IP-TV приставка);
iPhone 5S;
И еще куча устройств, с которыми проблем не наблюдается.
Проблема с мостом Buffalo WLAE-AG300N
Есть подозрения, что проблема не в Zyxel. Но производитель забил на поддержку своего детища и новых прошивок под него нет. Вдруг, есть возможность что-то подправить в NDMS для лучшей совместимости с подобными устройствами.
Что касается iPhone 5s... Периодически телефон не подключается обратно к домашнему Wi-Fi. По какому принципу он решает, когда ему подключится, а когда "забить" я не понимаю. Проблемы не было на 2.09.A.7.0-0, но вернулась на следующих версиях.
P.S. на Zyxel отключено вещание SSID (безопасности это не прибавляет, просто привычка), но на описанные проблемы эта настройка не влияет.
Для начала у данного роутера есть dd-wrt даже от 2017года, чип Atheros 7240 + 9280 если принципиально релиз 2.10 если нет то вернуться на 2.09.A7
-
2 часа назад, ndm сказал:
По официальной бете 2.09 нет массовых обращений. Есть подозрение, что проблема возникает при включенном PPTP-сервере. Мы биндим его к IP адресу бриджа, и бридж перестает генерить SSDP. Точнее, SSDP уходят не в бридж. Выглядит как пропадание DLNA-сервера.
Чтобы решить проблему, нужно делать "распределитель" домашних IP-адресов на DHCP, VPN-клиентов и VPN-сервер. Возможность взять свободный адрес без конфликтов.
А может как то по "глобальней" чуток - есть интерес поддержки vlan в bridge, так же вопрос очень интересный про (уже писал тут на форуме) например
Клиент ---- (LAN)ExtII(LAN)------(LAN)KII(WAN)
Оказывается есть разница между "Клиентом <-> KII" и "ExtII <-> KII", например в том что для просто послать ping с "ExtII" нужно открыть проход c "Home" наружу на "KII", но не чего такого не нужно для самого "Клиент", аналогично например и с 443 портом. Склонен предположить что что-то есть ACL по интерфейсам
Chain @Home (1 references) pkts bytes target prot opt in out source destination 1 84 ACCEPT icmp -- * * IP_ExtII 0.0.0.0/0 0 0 ACCEPT tcp -- * * IP_ExtII 0.0.0.0/0 tcp dpt:123 0 0 ACCEPT udp -- * * IP_ExtII 0.0.0.0/0 udp dpt:123 0 0 ACCEPT tcp -- * * IP_ExtII 0.0.0.0/0 tcp dpt:443 Chain NDM_FORWARD_ACL (0 references) pkts bytes target prot opt in out source destination Chain _NDM_ACL_IN (2 references) pkts bytes target prot opt in out source destination 6 666 @Home all -- br0 * 0.0.0.0/0 0.0.0.0/0 0 0 @PPPoE0 all -- ppp0 * 0.0.0.0/0 0.0.0.0/0 Chain _NDM_ACL_IN_EXCEPTIONS (1 references) pkts bytes target prot opt in out source destination 117 7481 CLOUD_UDP_SERVICE_NF_CHAIN_ all -- * * 0.0.0.0/0 0.0.0.0/0 Chain _NDM_ACL_OUT (2 references) pkts bytes target prot opt in out source destination Chain _NDM_SL_PRIVATE (2 references) pkts bytes target prot opt in out source destination 0 0 ACCEPT all -- ra2 * 0.0.0.0/0 0.0.0.0/0 state NEW 0 0 ACCEPT all -- ra3 * 0.0.0.0/0 0.0.0.0/0 state NEW 5 614 ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0 state NEW Chain _NDM_SL_PROTECT (8 references) pkts bytes target prot opt in out source destination 1 52 _NDM_SL_PRIVATE all -- * * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT all -- br1 * 0.0.0.0/0 0.0.0.0/0 state NEW да он еще и перезапускается Chain @Home (1 references) pkts bytes target prot opt in out source destination 0 0 ACCEPT icmp -- * * IP_ExtII 0.0.0.0/0 ... Chain _NDM_ACL_IN (2 references) pkts bytes target prot opt in out source destination 14 1301 @Home all -- br0 * 0.0.0.0/0 0.0.0.0/0 0 0 @PPPoE0 all -- ppp0 * 0.0.0.0/0 0.0.0.0/0
Так же много чего весит на интерфейсах наверное не на тех
netstat -ltunp Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:8200 0.0.0.0:* LISTEN 802/minidlna tcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN 778/nqcs ... tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 762/nginx ... udp 0 0 0.0.0.0:54321 0.0.0.0:* 818/ndnproxy ... udp 0 0 0.0.0.0:137 0.0.0.0:* 733/nqnd udp 0 0 0.0.0.0:138 0.0.0.0:* 733/nqnd ... и т.д. но потом делать для 137-139 портов запрет Chain _NDM_NBNS_OUTPUT_FILTER (1 references) pkts bytes target prot opt in out source destination 0 0 DROP udp -- * ppp0 0.0.0.0/0 IP_инета udp spt:137 0 0 DROP udp -- * ppp0 0.0.0.0/0 IP_инета udp dpt:137 0 0 DROP udp -- * ppp0 0.0.0.0/0 IP_инета udp dpt:138 0 0 DROP udp -- * ppp0 0.0.0.0/0 IP_инета udp spt:138
зачем для DLNA слушать 0.0.0.0:8200 - сервис то локальный (и по конфу network_interface=br0), ngnix в данном случае галка не стоит на 80 порт из вне. Ну и так далее.
Я написал только то что "br0" или "Home" ведет себя как-то странно для локальных сервисов. Может я конечно и не прав.
- 1
-
Понял, другим значит нужно в данном случае "Сеть Apple" или список из всех приложений.
-
-
-
У меня в FF и Chromium все одинаково (само окно выезжает за ..IP Sec на одинаковое расстояние) , режим экрана 1920х1080 по HDMI. Оба отображение 100%.
-
5 часов назад, Mikinos сказал:
то есть просто перед addn-hosts добавлять слово list? Типа так:
list addn-hosts=/opt/tmp/AdBlock/ad_servers.txt
list addn-hosts=/opt/tmp/AdBlock/ad_servers.txt
?
т.е. https://wiki.openwrt.org/doc/uci/dhcp
Name Type Default Option Description addnhosts list of file paths (none) -H Additional host files to read for serving DNS responses
или так в конфиге
addn-hosts=/opt/tmp/hosts0 addn-hosts=/opt/tmp/malwaredom_block.host addn-hosts=/opt/tmp/mvps_block.host Jun 16 22:10:57dnsmasq[8116] using nameserver 127.0.0.1#хх053 Jun 16 22:10:57dnsmasq[8116] read /opt/etc/hosts - 2 addresses Jun 16 22:10:57root Started dnsmasq from . Jun 16 22:10:57dnsmasq[8116] read /opt/tmp/mvps_block.host - 13273 addresses Jun 16 22:10:58dnsmasq[8116] read /opt/tmp/malwaredom_block.host - 1157 addresses Jun 16 22:10:58dnsmasq[8116] read /opt/tmp/hosts0 - 13355 addresses
В догонку для проверки как уже писал ранее три строчки
##log log-queries log-facility=/opt/var/log/dnsmasq.log log-async=25
и результат для проверки на клиенте набрать адрес например из какого либо файла и посмотреть запрос, log только после перезапуска или остановки dnsmasq
Jun 16 22:45:45 dnsmasq[10775]: query[A] cms.ad2click.nl from 192.168.1.2 Jun 16 22:45:45 dnsmasq[10775]: /opt/tmp/mvps_block.host cms.ad2click.nl is 127.0.0.1
- 2
-
KII если в N стандарте и брать по отдельности устройства на какую ширину канала сажает каждое?
-
а можно узнать что за смарты, а то как то с Huaway E5832S со стандартом WiFi 802.11.b/g
сам нашел постами выше.
-
В 15.06.2017 в 05:33, sabretoothedhamster сказал:
Подскажите?
-
А кто мешает например - ожидать подъема
vpn_sether
и дать ему IP адрес самому.
ifconfig vpn_sether IP_адрес netmask MASK-MASK
такая же петрушка есть и при zerotier, например как то так
while ! ifconfig vpn_sether > /dev/null 2>&1; do echo -en '.'; sleep 1; done
-
2 часа назад, Mikinos сказал:
Подскажите нубу.
Есть ли возможность использовать несколько hots файлов? Это было бы удобно, поскольку позволило бы использовать только самые нужные списки блокировок из этого сайта https://hosts-file.net/?s=Download не заморачиваясь при этом с их объедением при каждом обновлении в единый файл.
Ну, то есть можно ли указать несколько, допустим
addn-hosts=/opt/tmp/AdBlock/ad_servers.txt
addn-hosts=/opt/tmp/AdBlock/Destroy-Windows-10-Spying.txt
?
list addnhosts '/path/to/file'
-
Просто для работы
ЦитатаПосле установки можно использовать (из Windows) программу WinSCP или плагины для Far, Total Commander и подобных
можно использовать в данных программах протокол SFTP для которых нужен был для запуска /opt/libexec/sftp-server
-
58 минут назад, Dhampir113 сказал:
Ну не знаю что дальше делать, сегодня весь день все устройства были подключены к Huawei E5832S никаких перегрузок и разрывов не было, стоило только снова включить Keenetic 2 и начать смотреть видео на ютубе Wi-Fi отвалилась, так и сидишь наблюдаешь крутящийся круг на дисплее смарта и пропадание SSID сети кажды 5-10 минут, затем ждешь когда Wi-Fi очухается, уж что там за трафик идет через android приложение я не знаю, но роутеру он явно не нравится на любых настройках с любым БП.
З.Ы. странно почему при проигрывании этого же видео в ютубе через хром сеть на падает, именно через приложение валится все
З.Ы. вот тут есть кое-что по тестированию QUIC но моих познаний в этой области недостаточно
IE - работает c youtube по TLSv1.2 -> http-over-tls (length 1425) обычный TCP (наличие подтверждения например через пакетов 10) в отличие UDP который выше (он же udp и в android по крайней мере в приложении youtube от смартфонов). Что за пропадания
ЦитатаSSID сети кажды 5-10 минут, затем ждешь когда Wi-Fi очухается
если не трогать не чего данное время в логе на роутере будет видно (сообщения) что-то с wi-fi ну про падение может не быть, но про его подъем-то должно быть что-то так как вы говорите он "очухался". Поставьте Entware3 + хотя бы приложение netdata тут на форуме есть про него, там можно посмотреть netwrok interfaces ra0, да и обычными командами хоть что-то можно получить поднят он или нет.
Молчание разработчиков возможно может говорить только о том, что не смогли повторить у себя на стенде вашу проблему или данная проблема только с вами.
-
1 час назад, Le ecureuil сказал:
Потому что это единообразно и не размазано по системе.
Вы про что, я про то что OpenVPN использует конфиг в своем запуске
Скрытый текст.... --syslog OpenVPN0 --config /tmp/....../openvpn.config ...
/tmp/.... # ls -l
...
-rw-r--r-- 1 root root 482 Jun 14 13:51 openvpn.config
...
/tmp/... #/tmp/... # cat openvpn.config
client
dev tun1
persist-key
persist-tun
nobind
proto tcp4-client
...
ca /tmp....openvpn/ca.crt
cert /tmp...openvpn/client.crt
key /tmp....openvpn/client.key
...после запуска он не нужен. О каком "единообразно" идет речь и что тут не правильного. Наверное ошибся в каталоге
Скрытый текст/tmp/run #
...
minidlna.conf
options-PPPoE0
vpnserver
....
Или мы не идем легкими путями.
-
В 13.06.2017 в 11:32, Le ecureuil сказал:
Изначальный план у нас на встраивание CA/PEM внутрь конфига. Пока встраивание нужно делать руками, возможно потом это станет делать web, но суть все равно едина.
А почему нельзя через файлы
pkcs12 /tmp...openvpn/keys/clientvpn11.p12 dh /tmp...openvpn/keys/dh1024.pem tls-auth /tmp/...openvpn/keys/ta.key 1
а уж кто там в /tmp создаст дело третье
Защита DNS
in Каталог готовых решений Opkg
Posted · Edited by vasek00
Наткнулся на проблемку маленькую (думаю прошивка не причем, так как использую схему ниже уже давно, а проблема дня 3-4), проблема с resolv при схеме
dnsmasq весит на 53 и у него в конфиге строка server=127.0.0.1#65353 далее запуск dnscrypt-proxy --local-address=127.0.0.1:65053 --daemonize -R yandex
все работает, но на короткое время (несколько минут) перестает работать resolv (сайты не открываются), но потом опять работает и так повторяется, как будто что-то блокируете udp так как данная схеме использует по умолчанию udp протокол (он так же удобен если есть два канала которые оба активны, меньше подтверждений у данного протокола перед TCP).
Хотел подключить загрузку через conf файл но не тут то было нет такой возможности. Оставлял одну запись в dnscrypt-resolvers.csv сервера
yandex,"Yandex","Yandex public DNS server","Anycast",....:14D4:07B6:AD36:01E1:AEDC:06D5:6D49:6327,
аналогичен результат. По захвату пакетов пакеты с интерфейса роутера в интернет UDP уходят, но не видно получения, может отбрасываются, а может не приходят, менял сервер на cisco получше но не настолько.
Проверю на TCP работу
dnscrypt-proxy --local-address=127.0.0.1:65353 --daemonize --tcp-only -R yandex
Есть возможность использовать конфиг от dnscrypt-proxy с хорошими настройками но проблема с запускам с конф файлом, просто с
dnscrypt-proxy /opt/etc/dnscrypt-proxy.conf
ругнулся на Support for plugins hasn't been compiled in .... .
Оригинальный конфиг есть интетесные опции по настройкам.
######################################################
# #
# Sample configuration file for dnscrypt-proxy #
# #
######################################################
############## Resolver settings ##############
## [CHANGE THIS] Short name of the resolver to use
## Usually the only thing you need to change in this configuration file.
## This corresponds to the first column in the dnscrypt-resolvers.csv file.
## Alternatively, "random" (without quotes) picks a random random resolver
## accessible over IPv4, that doesn't log and supports DNSSEC.
ResolverName random
## Full path to the list of available DNSCrypt resolvers (dnscrypt-resolvers.csv)
## An up-to-date list is available here:
## https://download.dnscrypt.org/dnscrypt-proxy/dnscrypt-resolvers.csv
## and the dnscrypt-update-resolvers.sh script can be used in order to
## automatically download and verify updates.
# ResolversList /usr/local/share/dnscrypt-proxy/dnscrypt-resolvers.csv
## Manual settings, only for a custom resolver not present in the CSV file
# ProviderName 2.dnscrypt.resolver.example
# ProviderKey E801:B84E:A606:BFB0:BAC0:CE43:445B:B15E:BA64:B02F:A3C4:AA31:AE10:636A:0790:324D
# ResolverAddress 203.0.113.1:443
############## Process options ##############
## [NOT AVAILABLE ON WINDOWS] Run the proxy as a background process.
## Unless you are using systemd, you probably want to change this to "yes"
## after having verified that the rest of the configuration works as expected.
Daemonize no
## Write the PID number to a file
# PidFile /var/run/dnscrypt-proxy.pid
## [NOT AVAILABLE ON WINDOWS] Start the process, bind the required ports, and
## run the server as a less-privileged system user.
## The value for this parameter is a user name.
# User _dnscrypt-proxy
############## Network/protocol settings ##############
## Local address and port to listen to.
## A 127.0.0.x address is recommended for local use, but 0.0.0.0 or
## a specific interface address can be used on a router, or to
## configure a single machine to act as a DNS proxy for different
## devices.
## If the socket is created by systemd, the proxy cannot change the address
## using this option. You should edit systemd's dnscrypt-proxy.socket file
## instead.
# LocalAddress 127.0.0.1:53
## Cache DNS responses to avoid outgoing traffic when the same queries
## are repeated multiple times in a row.
LocalCache on
## Creates a new key pair for every query.
## This prevents logging servers from correlating client public keys with
## IP addresses. However, this option implies extra CPU load, and is not
## very useful with trusted/non-logging servers.
EphemeralKeys off
## Maximum number of active requests waiting for a response.
## Keep it reasonable relative to the expected number of clients.
# MaxActiveRequests 250
## This is the maximum payload size allowed when using the UDP protocol.
## The default is safe, and rarely needs to be changed.
# EDNSPayloadSize 1252
## Ignore the time stamps when checking the certificates
## Do not enable this option ever, unless you know that you need it.
# IgnoreTimestamps no
## Do not send queries using UDP. Only use TCP.
## Even if some resolvers mitigate this, DNS over TCP is almost always slower
## than UDP and doesn't offer additional security.
## Only enable this option if UDP doesn't work on your network.
# TCPOnly no
############## Logging ##############
## Log the received DNS queries to a file, so you can watch in real-time what
## is happening on the network.
## The value for this parameter is a full path to the log file.
## The file name can be prefixed with ltsv: in order to store logs using the
## LTSV format (ex: ltsv:/tmp/dns-queries.log).
# QueryLogFile /tmp/dns-queries.log
## Log file to write server errors and information to.
## If you use this tool for privacy, keeping logs of any kind is usually not
## a good idea.
# LogFile /var/log/dnscrypt-proxy.log
## Don't log events with priority above this log level after the service has
## been started up. Default is 6.
## Valid values are between 0 (critical) to 7 (debug-level messages).
# LogLevel 6
## [NOT AVAILABLE ON WINDOWS] Send server logs to the syslog daemon
## Log entries can optionally be prefixed with a string.
# Syslog off
# SyslogPrefix dnscrypt
############## Local filtering ##############
## If your network doesn't support IPv6, chances are that your
## applications are still constantly trying to resolve IPv6 addresses,
## causing unnecessary slowdowns.
## This causes the proxy to immediately reply to IPv6 requests,
## without having to send a useless request to upstream resolvers, and
## having to wait for a response.
## This uses a plugin that requires dnscrypt-proxy to be compiled with
## the ldns library.
BlockIPv6 no
## Want to filter ads, malware, sensitive or inappropriate websites and
## domain names? This feature can block lists of IP addresses and names
## matching a list of patterns. The list of rules remains private, and
## the filtering process directly happens on your own network. In order
## to filter IP addresses, the list of IPs has to be put into a text
## file, with one IP address per line. Lists of domain names can also be
## blocked as well. Put the list into a text file, one domain per line.
## Domains can include wildcards (*) in order to match patterns. For
## example *sex* will match any name that contains the sex substring, and
## ads.* will match anything starting with ads. The Internet has plenty
## of free feeds of IP addresses and domain names used for malware,
## phishing and spam that you can use with this feature.
##
## This uses a plugin that requires dnscrypt-proxy to be compiled with
## the ldns library.
##
## To enable, uncomment one of the following definitions:
## Block query names matching the rules stored in that file:
# BlackList domains:"/etc/dnscrypt-blacklist-domains.txt"
## Block responses whose IP addresses match IPs stored in that file:
# BlackList ips:"/etc/dnscrypt-blacklist-ips.txt"
## Block both domain names and IP addresses:
# BlackList domains:"/etc/dnscrypt-blacklist-domains.txt" ips:"/etc/dnscrypt-blacklist-ips.txt"
## Same as the above + log the blocked queries in a file.
## The log file can be prefixed with ltsv: (ex: ltsv:/tmp/log.txt) in order to
## store logs using the LTSV format.
# BlackList domains:"/etc/dnscrypt-blacklist-domains.txt" logfile:"/var/log/dnscrypt-blocked.log"
# BlackList ips:"/etc/dnscrypt-blacklist-ips.txt" logfile:"/var/log/dnscrypt-blocked.log"
# BlackList domains:"/etc/dnscrypt-blacklist-domains.txt" ips:"/etc/dnscrypt-blacklist-ips.txt" logfile:"/var/log/dnscrypt-blocked.log"
############## Forwarding ##############
## Forward queries for specific zones to one or more non-DNSCrypt resolvers.
## For instance, this can be used to redirect queries for local domains to
## the router, or queries for an internal domain to an internal DNS server.
## Multiple whitespace-delimited zones and IP addresses can be specified.
## Do not enable this unless you absolutely know you need it.
## If you see useless queries to these zones, you'd better block them with
## the BlackList feature instead of sending them in clear text to the router.
## This uses a plugin that requires dnscrypt-proxy to be compiled with
## the ldns library.
# Forward domains:"test private localdomain lan" to:"192.168.100.254"
############## User identification ##############
## Use a client public key for identification
## By default, the client uses a randomized key pair in order to make tracking
## more difficult. This option does the opposite and uses a static key pair, so
## that DNS providers can offer premium services to queries signed with a known
## set of public keys. A client cannot decrypt the received responses without
## also knowing the secret key.
## The value for this property is the path to a file containing the secret key,
## encoded as a hexadecimal string. The corresponding public key is computed
## automatically.
# ClientKey /etc/dnscrypt-client-secret.key
############## Monitoring ##############
## Do not actually start the proxy, but check that a valid certificate can be
## retrieved from the server and that it will remain valid for the specified
## time period. The process exit code is 0 if a valid certificate can be used,
## 2 if no valid certificates can be used, 3 if a timeout occurred, and 4 if a
## currently valid certificate is going to expire before the given margin.
## Useful in a cron job to monitor your own dnscrypt-servers.
## The margin is specified in minutes.
# Test 2880
############## Recursive configuration ##############
## A configuration file can include other configuration files by inserting
## the `Include` directive anywhere (the full path required, no quotes):
# Include /etc/dnscrypt-proxy-common.conf