Jump to content

enpa

Forum Members
  • Posts

    1,605
  • Joined

  • Last visited

  • Days Won

    22

Community Answers

  1. enpa's post in Настройка DoT/DoH was marked as the answer   
    Пример оптимальной настройки, с учетом использования DoT \ DoH серверов таких компаний, как Adguard, Google, Cloudflare, Quad9 + с форматами DNS JSON & DNSM.

    Настройка в Command Line Interface, CLI:
    dns-proxy tls upstream 8.8.8.8 sni dns.google tls upstream 8.8.4.4 sni dns.google tls upstream 1.1.1.1 sni cloudflare-dns.com tls upstream 1.0.0.1 sni cloudflare-dns.com tls upstream 9.9.9.9 sni dns.quad9.net tls upstream 94.140.14.14 sni dns.adguard.com tls upstream 94.140.15.15 sni dns.adguard.com https upstream https://dns.google/dns-query dnsm exit system configuration save show dns-proxy # ndnproxy statistics file Total incoming requests: 133 Proxy requests sent: 134 Cache hits ratio: 0.113 (15) Memory usage: 31.29K DNS Servers Ip Port R.Sent A.Rcvd NX.Rcvd Med.Resp Avg.Resp Rank 127.0.0.1 40500 2 0 2 22ms 21ms 1 127.0.0.1 40501 2 0 2 36ms 36ms 1 127.0.0.1 40502 2 0 0 0ms 0ms 4 127.0.0.1 40503 2 0 0 0ms 0ms 2 127.0.0.1 40504 2 0 0 0ms 0ms 1 127.0.0.1 40505 2 0 0 0ms 0ms 4 127.0.0.1 40506 2 0 0 0ms 0ms 1 127.0.0.1 40508 3 1 2 350ms 310ms 3 127.0.0.1 40509 117 115 2 21ms 21ms 10

    Среднее время отклика med. avg. response time конечно скачет, может достигать выше 1000 ms, но в целом отклик хороший, практически у всех адресов.

    Также написана статья в базе знаний по настройке, с описанием и примерами - Протоколы DNS over TLS и DNS over HTTPS для шифрования DNS-запросов, которая дополняется информацией.

    Проверка работоспособности шифрования - ТОЛЬКО для адресов от Cloudflare:

    https://www.cloudflare.com/ssl/encrypted-sni/


    https://1.1.1.1/help



    https://adguard.com/ru/test.html




    Настройка фильтрации рекламы, трекеров, вредоносных сайтов с подробной аналитикой от https://nextdns.io/ через протокол DNS over TLS.

    Настройка в Command Line Interface, CLI:
    ! dns-proxy     tls upstream 45.90.28.0 853 sni xxx.dns1.nextdns.io     tls upstream 45.90.30.0 853 sni xxx.dns2.nextdns.io # ndnproxy statistics file Total incoming requests: 613 Proxy requests sent: 493 Cache hits ratio: 0.225 (138) Memory usage: 33.91K DNS Servers Ip Port R.Sent A.Rcvd NX.Rcvd Med.Resp Avg.Resp Rank 127.0.0.1 40516 25 12 8 119ms 449ms 3 127.0.0.1 40517 468 453 8 89ms 94ms 4 proxy-tls: server-tls: address: 45.90.28.0 port: 853 sni: xxx.dns1.nextdns.io spki: interface: server-tls: address: 45.90.30.0 port: 853 sni: xxx.dns2.nextdns.io spki: interface: proxy-tls-filters: proxy-https: proxy-https-filters:
    где xxx - Ваш ID профиля nextdns.

    Настройка в WebUI:



    Проверка доступности https://my.nextdns.io/configuration/xxx/setup:




    Корректная фильтрация контента зависит от выбранных Вами готовых профилей в https://my.nextdns.io/configuration/xxx/lists.

    Мой лист:
    EasyList Malware Domain Blocklist by RiskAnalytics Ransomware Tracker AdGuard Simplified Domain Names filter hpHosts (ATS / Ads & trackers) hpHosts (EMD / Malware) pornhosts Sinfonietta (Porn) RU AdList CoinBlockerLists (browser) Проверка фильтрации https://checkadblock.ru/:


     
  2. enpa's post in Wireguard Server & Client was marked as the answer   
    Реализовано.

    Вопросы по подключению, инструкции - https://forum.keenetic.net/topic/7502-подключение-wireguard/?sortby=date 
  3. enpa's post in Подключение Wireguard was marked as the answer   
    Подробные стать в базе знаний Keenetic:
    Туннельный интерфейс Wireguard и пример настройки VPN соединения локальных сетей двух маршрутизаторов Keenetic

    Доступ в Интернет через Wireguard-туннель
    Подключение по протоколу Wireguard VPN из Android
    Подключение по протоколу Wireguard VPN в iOS
    Подключение по протоколу Wireguard VPN из Linux
    Подключение по протоколу Wireguard VPN из Windows 10

    Подключение компьютера с Windows 7 к удаленной сети Keenetic по туннелю WireGuard

    Пример настройки WG-Server KN-1010 <> WG-Client KN-1010:

    WG-Server:
    ! interface Wireguard2 description wg-server security-level public ip address 172.16.82.1 255.255.255.0 ip access-group _WEBADMIN_Wireguard2 in ip tcp adjust-mss pmtu wireguard listen-port 16631 wireguard peer gnp5gW8pBQK2rA9ah1hiib1+3Jl218ZM8dBIjxxxx= !wg-home-client keepalive-interval 25 allow-ips 172.16.82.2 255.255.255.255 allow-ips 192.168.11.0 255.255.255.0 ! up
    где:

    172.16.82.0/24 - адресация внутри туннеля, соответственно на концах туннеля будут адреса 172.168.82.1 и 172.16.82.2

    ip address 172.16.82.1 255.255.255.0 - внутренний адрес туннеля сервера
    wireguard listen-port 16631 - порт, который будет слушать клиент для установки соединения
    wireguard peer gnp5gW8pBQK2rA9ah1hiib1+3Jl218ZM8dBIjxxxx= !wg-home-client - ключ клиента
    keepalive-interval 5 - указываем интервал проверки доступности удаленной стороны

    указываем разрешенные адреса, подсети, с которых будет допущен трафик, в моем примере:

    allow-ips 172.16.82.2 255.255.255.255 - удаленный адрес клиента 
    allow-ips 192.168.11.0 255.255.255.0 - удаленная сеть клиента



    WG-Client:
    ! interface Wireguard2 description wg-home-client security-level public ip address 172.16.82.2 255.255.255.0 ip access-group _WEBADMIN_Wireguard2 in ip tcp adjust-mss pmtu wireguard peer 1YVx+x3C817V9YdhUtpUhzyDLVj5tnK2m//xxxxx= !wg-server endpoint 193.0.174.xxx:16631 keepalive-interval 3 allow-ips 172.16.82.1 255.255.255.255 allow-ips 192.168.2.0 255.255.255.0 ! up где:

    172.16.82.0/24 - адресация внутри туннеля, соответственно на концах туннеля будут адреса 172.168.82.1 и 172.16.82.2

    ip address 172.16.82.2 255.255.255.0 - внутренний адрес туннеля клиента
    wireguard peer 1YVx+x3C817V9YdhUtpUhzyDLVj5tnK2m//xxxxx= !wg-server - ключ сервера
    endpoint 193.0.174.xxx:16631 - публичный адрес сервера
    keepalive-interval 3 -  указываем интервал проверки доступности сервера

    указываем разрешенные адреса, подсети, с которых будет допущен трафик, в моем примере:

    allow-ips 172.16.82.1 255.255.255.255 - удаленный адрес сервера
    allow-ips 192.168.11.0 255.255.255.0 - удаленная сеть сервера



    Настройка нетфильтра на стороне сервера для входящих соединений:
    ! access-list _WEBADMIN_Wireguard2 permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0

    Аналогичную настройку делаете и на клиенте.

    Настройка маршрутизации на сервере до сети клиента:
     
    ip route 192.168.11.0 255.255.255.0 Wireguard2 auto



    Настройка маршрутизации на клиенте до сети сервера:
     
    ip route 192.168.2.0 255.255.255.0 Wireguard2 auto

    Важно! После настройки не забываем заново поднять туннели.

    Проверяем:

    Сервер:



    Клиент:



    Пингуем клиента со стороны сервера 192.168.2.1:
    enpa@enpa:~$ ping 192.168.11.1 -c 10 -s 100 PING 192.168.11.1 (192.168.11.1) 100(128) bytes of data. 108 bytes from 192.168.11.1: icmp_seq=1 ttl=63 time=6.49 ms 108 bytes from 192.168.11.1: icmp_seq=2 ttl=63 time=7.31 ms 108 bytes from 192.168.11.1: icmp_seq=3 ttl=63 time=9.13 ms 108 bytes from 192.168.11.1: icmp_seq=4 ttl=63 time=6.51 ms 108 bytes from 192.168.11.1: icmp_seq=5 ttl=63 time=7.71 ms 108 bytes from 192.168.11.1: icmp_seq=6 ttl=63 time=6.76 ms 108 bytes from 192.168.11.1: icmp_seq=7 ttl=63 time=7.33 ms 108 bytes from 192.168.11.1: icmp_seq=8 ttl=63 time=6.24 ms 108 bytes from 192.168.11.1: icmp_seq=9 ttl=63 time=6.67 ms 108 bytes from 192.168.11.1: icmp_seq=10 ttl=63 time=6.02 ms --- 192.168.11.1 ping statistics --- 10 packets transmitted, 10 received, 0% packet loss, time 9015ms rtt min/avg/max/mdev = 6.021/7.016/9.132/0.862 ms Внутри туннеля, со стороны сервера 192.168.2.1, проверяем доступ по протоколу SMB на накопитель, который подключен к клиенту:



     
       



  4. enpa's post in Удаленный доступ по VPN was marked as the answer   
    @Alexander Eerie https://help.keenetic.com/hc/ru/articles/360003145220 или в cli:
     
    ip http security-level public system configuration save  
  5. enpa's post in Документация по командной строке was marked as the answer   
    Начиная с 29.07.19 .pdf файлы Command Reference Guide Keenetic более не публикуются в репозитории http://files.keenopt.ru/
    Обновление для CLI DOC выходят каждую неделю, в пятницу. Файлы в облачном хранилище docs.help.keenetic.com будут перезаписываться, линки постоянные.
    Новые линки на актуальные версии Command Reference Guide CLI DOC Keenetic:
    Model | Part Number | NDM HW ID | Link:
    4G KN-1210-01RU KN-1210 Air KN-1610-01RU KN-1610 City KN-1510-01RU KN-1510 Extra KN-1710-01RU KN-1710 Giga KN-1010-01RU KN-1010 Lite KN-1310-01RU KN-1310 Omni KN-1410-01RU KN-1410 Start KN-1110-01RU KN-1110 Ultra KN-1810-01RU KN-1810 Viva KN-1910-01RU KN-1910 DSL KN-2010-01RU KN-2010 Duo KN-2110-01RU KN-2110 Keenetic 4G III (Rev.B) EMG1301-T10A-RU01V1F kg_rh Keenetic Air EMG1800-T10A ki_ra Keenetic Extra II EMG1812-T10A ki_rb Keenetic Giga III EMG2880-T10A kng_re Keenetic Lite III Rev.B EMG1311-T10A-RU01V1F kl_rh Keenetic Start II EMG1300-T10A-RU01V1F kl_rg Keenetic Ultra II EMG2885-T20A ku_rd При этом резервные копии старых и новых версий документации доступны в Хранилище:
    cloud.mail
    yandex.disk
    И с официального сайта Keenetic:
    Центр загрузки Keenetic
  6. enpa's post in Защита от брутфорса веб-интерфейса по протоколу HTTPS was marked as the answer   
    Начиная с версии 3.0 была добавлена поддержка 'lockout-policy' (защита от перебора паролей, брутфорса) для протокола HTTPS. Включено по умолчанию для SSL-сервера. Спасибо @Le ecureuil

    Записи попыток подбора паролей в журнале - по аналогии с nginx-сервером (http).
  7. enpa's post in Неправильно отображается версия ПО в startup-config was marked as the answer   
    @I2M уже обсуждалось ранее:
     
  8. enpa's post in Не обновляется прошивка на Extra II was marked as the answer   
    @T@rkus сломана кнопка в предыдущем билде. Исправили в 2.13.A.1.0-2. Обновиться можно в консоли, либо файлом.
  9. enpa's post in Обновление до 2.13.A.1.0-2 was marked as the answer   
    .bin файлы добавлены в Хранилище. Можно обновиться путем загрузки файла.
  10. enpa's post in 2.12.B.0.0-4 (Keenetic II): Не работают удлинители для USB was marked as the answer   
    @Вежливый Снайпер у Вас аппаратная проблема связанная с нехваткой питания на USB порту, с некорректно работающим модемом.
    Если есть записи типа:
    [E] Jun 13 22:23:00 ndm: kernel: usb 1-1: unable to read config index 0 descriptor/start: -71 то рекомендуется сначала попробовать активный USB hub с дополнительным питанием. Если не заработает, тогда нужно заменить модем на новый.
    Распространенная проблема у модемов.
  11. enpa's post in AdGuard DNS was marked as the answer   
    По поводу настройки через cli - здесь.
    @ndm спасибо за долгожданную фичу, работает, как часы, особенно хорошо блочится реклама.
  12. enpa's post in Реализация LLMNR в прошивке роутера was marked as the answer   
    @Le ecureuil @ndm работает, спасибо, проверил в WIndows 10 Pro 1709. ниже в скрытом дамп.
    Frame 789: 84 bytes on wire (672 bits), 84 bytes captured (672 bits) on interface 0
    Ethernet II, Src: ZyxelCom_3a:77:1c (60:31:97:3a:xx:xx), Dst: LiteonTe_25:b6:b0 (d0:df:9a:25:xx:xx)
    Internet Protocol Version 4, Src: 192.168.230.1, Dst: 192.168.230.49
    User Datagram Protocol, Src Port: 5355, Dst Port: 59154
    Link-local Multicast Name Resolution (response)
        Transaction ID: 0x1231
        Flags: 0x8000 Standard query response, No error
            1... .... .... .... = Response: Message is a response
            .000 0... .... .... = Opcode: Standard query (0)
            .... .0.. .... .... = Conflict: The name is considered unique
            .... ..0. .... .... = Truncated: Message is not truncated
            .... ...0 .... .... = Tentative: Not tentative
            .... .... .... 0000 = Reply code: No error (0)
        Questions: 1
        Answer RRs: 1
        Authority RRs: 0
        Additional RRs: 0
        Queries
            ENPA: type A, class IN
        Answers
            ENPA: type A, class IN, addr 192.168.230.1
     
  13. enpa's post in IntelliQoS кнопка "Тест скорости" в My.Keenetic was marked as the answer   
    @ndm да, долгожданная "фича", теперь не нужно будет прибегать к помощи speedtest и iperf, а если еще добавите "кнопку" в My.Keenetic, будет замечательно, не придется заходить в интерфейс и cli.
  14. enpa's post in Бесконечные обновления страниц WEB интерфейса was marked as the answer   
    Почистите кэш браузера. Подобное ловлю в Google Chrome - помогает чистка кэша.

    Отправлено с моего ONEPLUS A5000 через Tapatalk


  15. enpa's post in My.Keenetic 2.27.2 и ширина канала 5 GHz was marked as the answer   
    @ndm вышла версия 2.27.3 - проблему отображения ширины канала решили. Спасибо!

  16. enpa's post in My.Keenetic 2.25.1 и Wi-Fi 5 ГГц was marked as the answer   
    @ndm вышла новая версия My.Keenetic 2.27.1, проблему исправили, теперь заходит и можно редактировать настройки Extra II 5 GHz.
  17. enpa's post in zram size: operation not permitted was marked as the answer   
    @ndm @Le ecureuil спасибо, zram и swap одновременно работают:
    zram:
    (config)> show system zram
                 zram:
                      enabled: yes
             compression-algo: lzo
                    disk-size: 134217728
              compressed-size: 87
                original-size: 4096
            total-memory-used: 12288
          compression-threads: 1
         compressed-ratio-pcs: 300
     
    swap:


  18. enpa's post in Transmission - Не создается директория watch was marked as the answer   
    @ndm спасибо, в 2.09.A.5.0-2 папка watch теперь создается:
    Apr 03 10:39:51transmissiondTransmission 2.84 (14307) started
    Apr 03 10:39:51transmissiondRPC Server Adding address to whitelist: *.*.*.*
    Apr 03 10:39:51transmissiondRPC Server Serving RPC and Web requests on port 127.0.0.1:8090/transmission/
    Apr 03 10:39:51transmissiondRPC Server Whitelist enabled
    Apr 03 10:39:51transmissiondRPC Server Password required
    Apr 03 10:39:51transmissiondPort Forwarding Stopped
    Apr 03 10:39:51transmissiondDHT Generating new id
    Apr 03 10:39:51transmissiondUsing settings from "/tmp/mnt/SanDisk/transmission"
    Apr 03 10:39:51transmissiondtransmissiond requiring authentication
    Apr 03 10:39:51transmissiondWatching "/tmp/mnt/SanDisk/transmission/watch" for new .torrent files
    Apr 03 10:39:51transmissiondUsing inotify to watch directory "/tmp/mnt/SanDisk/transmission/watch"
    Apr 03 10:39:59ndmCore::Authenticator: user "admin" authenticated, realm "ZyXEL Keenetic Viva", tag "torrent".
    Apr 03 10:40:01transmissiondSearching for web interface file "//.local/share/transmission/web/index.html"
    Apr 03 10:40:01transmissiondSearching for web interface file "/usr/share/transmission/web/index.html"
     
     

  19. enpa's post in Зависает открытие вкладок разделов was marked as the answer   
    @diqipib На посл билде не зависает - v2.09(AAFS.2)A1 и это с тем учетом, что minidlna сканить 600 Гб HDD, нагрузка на проц идет большая.
    Рекомендуется поставить посл билд и настроить с нуля. Проверить.

  20. enpa's post in WISP - не видит сетей was marked as the answer   
    починили, спасибо. Giga II v2.09(AAFS.3)A0


×
×
  • Create New...