hellonow

Пример оптимальной настройки, с учетом использования DoT \ DoH серверов таких компаний, как Adguard, Google, Cloudflare, Quad9 + с форматами DNS JSON & DNSM.

Настройка в Command Line Interface, CLI:
dns-proxy tls upstream 8.8.8.8 sni dns.google tls upstream 8.8.4.4 sni dns.google tls upstream 1.1.1.1 sni cloudflare-dns.com tls upstream 1.0.0.1 sni cloudflare-dns.com tls upstream 9.9.9.9 sni dns.quad9.net tls upstream 94.140.14.14 sni dns.adguard.com tls upstream 94.140.15.15 sni dns.adguard.com https upstream https://dns.google/dns-query dnsm exit system configuration save show dns-proxy # ndnproxy statistics file Total incoming requests: 133 Proxy requests sent: 134 Cache hits ratio: 0.113 (15) Memory usage: 31.29K DNS Servers Ip Port R.Sent A.Rcvd NX.Rcvd Med.Resp Avg.Resp Rank 127.0.0.1 40500 2 0 2 22ms 21ms 1 127.0.0.1 40501 2 0 2 36ms 36ms 1 127.0.0.1 40502 2 0 0 0ms 0ms 4 127.0.0.1 40503 2 0 0 0ms 0ms 2 127.0.0.1 40504 2 0 0 0ms 0ms 1 127.0.0.1 40505 2 0 0 0ms 0ms 4 127.0.0.1 40506 2 0 0 0ms 0ms 1 127.0.0.1 40508 3 1 2 350ms 310ms 3 127.0.0.1 40509 117 115 2 21ms 21ms 10

Среднее время отклика med. avg. response time конечно скачет, может достигать выше 1000 ms, но в целом отклик хороший, практически у всех адресов.

Также написана статья в базе знаний по настройке, с описанием и примерами - Протоколы DNS over TLS и DNS over HTTPS для шифрования DNS-запросов, которая дополняется информацией.

Проверка работоспособности шифрования - ТОЛЬКО для адресов от Cloudflare:

https://www.cloudflare.com/ssl/encrypted-sni/


https://1.1.1.1/help



https://adguard.com/ru/test.html




Настройка фильтрации рекламы, трекеров, вредоносных сайтов с подробной аналитикой от https://nextdns.io/ через протокол DNS over TLS.

Настройка в Command Line Interface, CLI:
! dns-proxy     tls upstream 45.90.28.0 853 sni xxx.dns1.nextdns.io     tls upstream 45.90.30.0 853 sni xxx.dns2.nextdns.io # ndnproxy statistics file Total incoming requests: 613 Proxy requests sent: 493 Cache hits ratio: 0.225 (138) Memory usage: 33.91K DNS Servers Ip Port R.Sent A.Rcvd NX.Rcvd Med.Resp Avg.Resp Rank 127.0.0.1 40516 25 12 8 119ms 449ms 3 127.0.0.1 40517 468 453 8 89ms 94ms 4 proxy-tls: server-tls: address: 45.90.28.0 port: 853 sni: xxx.dns1.nextdns.io spki: interface: server-tls: address: 45.90.30.0 port: 853 sni: xxx.dns2.nextdns.io spki: interface: proxy-tls-filters: proxy-https: proxy-https-filters:
где xxx - Ваш ID профиля nextdns.

Настройка в WebUI:



Проверка доступности https://my.nextdns.io/configuration/xxx/setup:




Корректная фильтрация контента зависит от выбранных Вами готовых профилей в https://my.nextdns.io/configuration/xxx/lists.

Мой лист:
EasyList Malware Domain Blocklist by RiskAnalytics Ransomware Tracker AdGuard Simplified Domain Names filter hpHosts (ATS / Ads & trackers) hpHosts (EMD / Malware) pornhosts Sinfonietta (Porn) RU AdList CoinBlockerLists (browser) Проверка фильтрации https://checkadblock.ru/:


 

Реализовано.

Вопросы по подключению, инструкции - https://forum.keenetic.net/topic/7502-подключение-wireguard/?sortby=date 

Подробные стать в базе знаний Keenetic:
Туннельный интерфейс Wireguard и пример настройки VPN соединения локальных сетей двух маршрутизаторов Keenetic

Доступ в Интернет через Wireguard-туннель
Подключение по протоколу Wireguard VPN из Android
Подключение по протоколу Wireguard VPN в iOS
Подключение по протоколу Wireguard VPN из Linux
Подключение по протоколу Wireguard VPN из Windows 10

Подключение компьютера с Windows 7 к удаленной сети Keenetic по туннелю WireGuard

Пример настройки WG-Server KN-1010 <> WG-Client KN-1010:

WG-Server:
! interface Wireguard2 description wg-server security-level public ip address 172.16.82.1 255.255.255.0 ip access-group _WEBADMIN_Wireguard2 in ip tcp adjust-mss pmtu wireguard listen-port 16631 wireguard peer gnp5gW8pBQK2rA9ah1hiib1+3Jl218ZM8dBIjxxxx= !wg-home-client keepalive-interval 25 allow-ips 172.16.82.2 255.255.255.255 allow-ips 192.168.11.0 255.255.255.0 ! up
где:

172.16.82.0/24 - адресация внутри туннеля, соответственно на концах туннеля будут адреса 172.168.82.1 и 172.16.82.2

ip address 172.16.82.1 255.255.255.0 - внутренний адрес туннеля сервера
wireguard listen-port 16631 - порт, который будет слушать клиент для установки соединения
wireguard peer gnp5gW8pBQK2rA9ah1hiib1+3Jl218ZM8dBIjxxxx= !wg-home-client - ключ клиента
keepalive-interval 5 - указываем интервал проверки доступности удаленной стороны

указываем разрешенные адреса, подсети, с которых будет допущен трафик, в моем примере:

allow-ips 172.16.82.2 255.255.255.255 - удаленный адрес клиента 
allow-ips 192.168.11.0 255.255.255.0 - удаленная сеть клиента



WG-Client:
! interface Wireguard2 description wg-home-client security-level public ip address 172.16.82.2 255.255.255.0 ip access-group _WEBADMIN_Wireguard2 in ip tcp adjust-mss pmtu wireguard peer 1YVx+x3C817V9YdhUtpUhzyDLVj5tnK2m//xxxxx= !wg-server endpoint 193.0.174.xxx:16631 keepalive-interval 3 allow-ips 172.16.82.1 255.255.255.255 allow-ips 192.168.2.0 255.255.255.0 ! up где:

172.16.82.0/24 - адресация внутри туннеля, соответственно на концах туннеля будут адреса 172.168.82.1 и 172.16.82.2

ip address 172.16.82.2 255.255.255.0 - внутренний адрес туннеля клиента
wireguard peer 1YVx+x3C817V9YdhUtpUhzyDLVj5tnK2m//xxxxx= !wg-server - ключ сервера
endpoint 193.0.174.xxx:16631 - публичный адрес сервера
keepalive-interval 3 -  указываем интервал проверки доступности сервера

указываем разрешенные адреса, подсети, с которых будет допущен трафик, в моем примере:

allow-ips 172.16.82.1 255.255.255.255 - удаленный адрес сервера
allow-ips 192.168.11.0 255.255.255.0 - удаленная сеть сервера



Настройка нетфильтра на стороне сервера для входящих соединений:
! access-list _WEBADMIN_Wireguard2 permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0

Аналогичную настройку делаете и на клиенте.

Настройка маршрутизации на сервере до сети клиента:
 
ip route 192.168.11.0 255.255.255.0 Wireguard2 auto



Настройка маршрутизации на клиенте до сети сервера:
 
ip route 192.168.2.0 255.255.255.0 Wireguard2 auto

Важно! После настройки не забываем заново поднять туннели.

Проверяем:

Сервер:



Клиент:



Пингуем клиента со стороны сервера 192.168.2.1:
enpa@enpa:~$ ping 192.168.11.1 -c 10 -s 100 PING 192.168.11.1 (192.168.11.1) 100(128) bytes of data. 108 bytes from 192.168.11.1: icmp_seq=1 ttl=63 time=6.49 ms 108 bytes from 192.168.11.1: icmp_seq=2 ttl=63 time=7.31 ms 108 bytes from 192.168.11.1: icmp_seq=3 ttl=63 time=9.13 ms 108 bytes from 192.168.11.1: icmp_seq=4 ttl=63 time=6.51 ms 108 bytes from 192.168.11.1: icmp_seq=5 ttl=63 time=7.71 ms 108 bytes from 192.168.11.1: icmp_seq=6 ttl=63 time=6.76 ms 108 bytes from 192.168.11.1: icmp_seq=7 ttl=63 time=7.33 ms 108 bytes from 192.168.11.1: icmp_seq=8 ttl=63 time=6.24 ms 108 bytes from 192.168.11.1: icmp_seq=9 ttl=63 time=6.67 ms 108 bytes from 192.168.11.1: icmp_seq=10 ttl=63 time=6.02 ms --- 192.168.11.1 ping statistics --- 10 packets transmitted, 10 received, 0% packet loss, time 9015ms rtt min/avg/max/mdev = 6.021/7.016/9.132/0.862 ms Внутри туннеля, со стороны сервера 192.168.2.1, проверяем доступ по протоколу SMB на накопитель, который подключен к клиенту:



 
   

@Alexander Eerie https://help.keenetic.com/hc/ru/articles/360003145220 или в cli:
 
ip http security-level public system configuration save  

Начиная с версии 3.0 была добавлена поддержка 'lockout-policy' (защита от перебора паролей, брутфорса) для протокола HTTPS. Включено по умолчанию для SSL-сервера. Спасибо @Le ecureuil

Записи попыток подбора паролей в журнале - по аналогии с nginx-сервером (http).

@I2M уже обсуждалось ранее:
 

@T@rkus сломана кнопка в предыдущем билде. Исправили в 2.13.A.1.0-2. Обновиться можно в консоли, либо файлом.

.bin файлы добавлены в Хранилище. Можно обновиться путем загрузки файла.

@Вежливый Снайпер у Вас аппаратная проблема связанная с нехваткой питания на USB порту, с некорректно работающим модемом.
Если есть записи типа:
[E] Jun 13 22:23:00 ndm: kernel: usb 1-1: unable to read config index 0 descriptor/start: -71 то рекомендуется сначала попробовать активный USB hub с дополнительным питанием. Если не заработает, тогда нужно заменить модем на новый.
Распространенная проблема у модемов.

По поводу настройки через cli - здесь.
@ndm спасибо за долгожданную фичу, работает, как часы, особенно хорошо блочится реклама.

@Le ecureuil @ndm работает, спасибо, проверил в WIndows 10 Pro 1709. ниже в скрытом дамп.
Frame 789: 84 bytes on wire (672 bits), 84 bytes captured (672 bits) on interface 0
Ethernet II, Src: ZyxelCom_3a:77:1c (60:31:97:3a:xx:xx), Dst: LiteonTe_25:b6:b0 (d0:df:9a:25:xx:xx)
Internet Protocol Version 4, Src: 192.168.230.1, Dst: 192.168.230.49
User Datagram Protocol, Src Port: 5355, Dst Port: 59154
Link-local Multicast Name Resolution (response)
    Transaction ID: 0x1231
    Flags: 0x8000 Standard query response, No error
        1... .... .... .... = Response: Message is a response
        .000 0... .... .... = Opcode: Standard query (0)
        .... .0.. .... .... = Conflict: The name is considered unique
        .... ..0. .... .... = Truncated: Message is not truncated
        .... ...0 .... .... = Tentative: Not tentative
        .... .... .... 0000 = Reply code: No error (0)
    Questions: 1
    Answer RRs: 1
    Authority RRs: 0
    Additional RRs: 0
    Queries
        ENPA: type A, class IN
    Answers
        ENPA: type A, class IN, addr 192.168.230.1
 

@ndm да, долгожданная "фича", теперь не нужно будет прибегать к помощи speedtest и iperf, а если еще добавите "кнопку" в My.Keenetic, будет замечательно, не придется заходить в интерфейс и cli.

Почистите кэш браузера. Подобное ловлю в Google Chrome - помогает чистка кэша.

Отправлено с моего ONEPLUS A5000 через Tapatalk

@ndm вышла версия 2.27.3 - проблему отображения ширины канала решили. Спасибо!

@ndm вышла новая версия My.Keenetic 2.27.1, проблему исправили, теперь заходит и можно редактировать настройки Extra II 5 GHz.

@ndm @Le ecureuil спасибо, zram и swap одновременно работают:
zram:
(config)> show system zram
             zram:
                  enabled: yes
         compression-algo: lzo
                disk-size: 134217728
          compressed-size: 87
            original-size: 4096
        total-memory-used: 12288
      compression-threads: 1
     compressed-ratio-pcs: 300
 
swap:

@ndm спасибо, в 2.09.A.5.0-2 папка watch теперь создается:
Apr 03 10:39:51transmissiondTransmission 2.84 (14307) started
Apr 03 10:39:51transmissiondRPC Server Adding address to whitelist: *.*.*.*
Apr 03 10:39:51transmissiondRPC Server Serving RPC and Web requests on port 127.0.0.1:8090/transmission/
Apr 03 10:39:51transmissiondRPC Server Whitelist enabled
Apr 03 10:39:51transmissiondRPC Server Password required
Apr 03 10:39:51transmissiondPort Forwarding Stopped
Apr 03 10:39:51transmissiondDHT Generating new id
Apr 03 10:39:51transmissiondUsing settings from "/tmp/mnt/SanDisk/transmission"
Apr 03 10:39:51transmissiondtransmissiond requiring authentication
Apr 03 10:39:51transmissiondWatching "/tmp/mnt/SanDisk/transmission/watch" for new .torrent files
Apr 03 10:39:51transmissiondUsing inotify to watch directory "/tmp/mnt/SanDisk/transmission/watch"
Apr 03 10:39:59ndmCore::Authenticator: user "admin" authenticated, realm "ZyXEL Keenetic Viva", tag "torrent".
Apr 03 10:40:01transmissiondSearching for web interface file "//.local/share/transmission/web/index.html"
Apr 03 10:40:01transmissiondSearching for web interface file "/usr/share/transmission/web/index.html"
 
 

@diqipib На посл билде не зависает - v2.09(AAFS.2)A1 и это с тем учетом, что minidlna сканить 600 Гб HDD, нагрузка на проц идет большая.
Рекомендуется поставить посл билд и настроить с нуля. Проверить.

починили, спасибо. Giga II v2.09(AAFS.3)A0