[Защита DNS]

2 часа назад, Le ecureuil сказал:

dnscrypt-proxy 2.0 написан на go, потому можно закапывать этот механизм (пока не появится реализация на c, по крайней мере).

в таком случае что порекомендуете в качестве альтернативы?

Я в данный момент как раз использую dnscrypt-proxy.

Нужно:

1. Блокировка рекламы

2. Защита от перехвата DNS провайдером (хотя это опционально)

[Защита DNS]

В 17.09.2017 в 20:11, Dorik1972 сказал:

dnscrypt-proxy.conf можно взять родной с гита и поправить пути /opt/ и т.д. 

Сборка в текущем виде стала сбоить. Я так понимаю, это  связано с тем, что автор переходил на версию dnscrypt-proxy 2.0.0

Починить скрипт обновления резолверов можно вот так:

#!/opt/bin/bash
prefix="/opt"
PATH=${prefix}/bin:${prefix}/sbin:/sbin:/bin:/usr/sbin:/usr/bin

PKG_DATA_DIR="/opt/share/dnscrypt-proxy"
RESOLVERS_FILE="${PKG_DATA_DIR}/dnscrypt-resolvers.csv"
RESOLVERS_FILE_TMP="${RESOLVERS_FILE}.tmp"

#RESOLVERS_URL="https://download.dnscrypt.org/dnscrypt-proxy/dnscrypt-resolvers.csv"
RESOLVERS_URL="https://raw.githubusercontent.com/DNSCrypt/dnscrypt-resolvers/master/v1/dnscrypt-resolvers.csv"
#Взято отсюда https://github.com/jedisct1/dnscrypt-proxy/blob/master/dnscrypt-proxy/dnscrypt-proxy.toml
RESOLVERS_SIG_URL="${RESOLVERS_URL}.minisig"
RESOLVERS_SIG_PUBKEY="RWQf6LRCGA9i53mlYecO4IzT51TGPpvWucNSCh1CBM0QTaLn73Y7GFO3"

echo "Updating the list of public DNSCrypt resolvers..."
curl -L -# "$RESOLVERS_URL" -o "$RESOLVERS_FILE_TMP" || exit 1
if $(which minisign > /dev/null 2>&1); then
  curl -L -# -o "$RESOLVERS_FILE_TMP.minisig" "$RESOLVERS_SIG_URL" || exit 1
  minisign -V -P "$RESOLVERS_SIG_PUBKEY" -m "$RESOLVERS_FILE_TMP" || exit 1
  mv -f "${RESOLVERS_FILE_TMP}.minisig" "${RESOLVERS_FILE}.minisig"
fi
mv -f "$RESOLVERS_FILE_TMP" "$RESOLVERS_FILE"
echo "Done"

Просто на адресе https://download.dnscrypt.org/dnscrypt-proxy/dnscrypt-resolvers.csv теперь весит левый сертификат, поэтому скрипт выдает ошибку:

Цитата

curl: (35) OpenSSL SSL_connect: SSL_ERROR_SYSCALL in connection to download.dnscrypt.org:443

 

Ну, и собственно вопрос:

когда появится стальная версия dnscrypt-proxy 2.0, будет ли она обновлена в OPKG?

[Клиент ACME для получения бесплатного сертификата Let's Encrypt]

В 01.10.2017 в 15:19, ndm сказал:

production environment,

Подскажите, когда планируете переход на продуктовое окружение? Хотя бы примерные сроки?

[Блокировка рекламы Adblock с помощью Privoxy]

Да и, кажется, не решена проблема.

Сейчас не ставится пакет криптографии:

 # pip3 install pyOpenSSL
Collecting pyOpenSSL
  Using cached pyOpenSSL-17.3.0-py2.py3-none-any.whl
Collecting cryptography>=1.9 (from pyOpenSSL)
  Using cached cryptography-2.0.3.tar.gz
    Complete output from command python setup.py egg_info:
    /opt/lib/python3.6/distutils/dist.py:261: UserWarning: Unknown distribution option: 'include_package_data'
    /opt/lib/python3.6/distutils/dist.py:261: UserWarning: Unknown distribution option: 'install_requires'
    /opt/lib/python3.6/distutils/dist.py:261: UserWarning: Unknown distribution option: 'tests_require'
    /opt/lib/python3.6/distutils/dist.py:261: UserWarning: Unknown distribution option: 'extras_require'
    /opt/lib/python3.6/distutils/dist.py:261: UserWarning: Unknown distribution option: 'zip_safe'
    usage: -c [global_opts] cmd1 [cmd1_opts] [cmd2 [cmd2_opts] ...]
       or: -c --help [cmd1 cmd2 ...]
       or: -c --help-commands
       or: -c cmd --help

    error: invalid command 'egg_info'

    ----------------------------------------
Command "python setup.py egg_info" failed with error code 1 in /opt/tmp/pip-build-41l7no4u/cryptography/

А ваше предложение обязательно изучу.

Спасибо!

[Блокировка рекламы Adblock с помощью Privoxy]

# opkg install python-pyopenssl
Installing python-pyopenssl (17.2.0-1) to root...
Downloading http://entware-3x.zyxmon.org/binaries/mipsel/python-pyopenssl_17.2.0-1_mipsel-3x.ipk.
Installing python-cryptography (2.0.3-1) to root...
Downloading http://entware-3x.zyxmon.org/binaries/mipsel/python-cryptography_2.0.3-1_mipsel-3x.ipk.
Installing python-cffi (1.10.0-1) to root...
Downloading http://entware-3x.zyxmon.org/binaries/mipsel/python-cffi_1.10.0-1_mipsel-3x.ipk.
Installing python-pycparser (2.17-1) to root...
Downloading http://entware-3x.zyxmon.org/binaries/mipsel/python-pycparser_2.17-1_mipsel-3x.ipk.
Installing python-ply (3.10-1) to root...
Downloading http://entware-3x.zyxmon.org/binaries/mipsel/python-ply_3.10-1_mipsel-3x.ipk.
Installing python-enum34 (1.1.6-2) to root...
Downloading http://entware-3x.zyxmon.org/binaries/mipsel/python-enum34_1.1.6-2_mipsel-3x.ipk.
Installing python-idna (2.5-1) to root...
Downloading http://entware-3x.zyxmon.org/binaries/mipsel/python-idna_2.5-1_mipsel-3x.ipk.
Installing python-ipaddress (1.0.17-1) to root...
Downloading http://entware-3x.zyxmon.org/binaries/mipsel/python-ipaddress_1.0.17-1_mipsel-3x.ipk.
Installing python-asn1crypto (0.22.0-1) to root...
Downloading http://entware-3x.zyxmon.org/binaries/mipsel/python-asn1crypto_0.22.0-1_mipsel-3x.ipk.
Installing python-six (1.10.0-4) to root...
Downloading http://entware-3x.zyxmon.org/binaries/mipsel/python-six_1.10.0-4_mipsel-3x.ipk.
Configuring python-idna.
Configuring python-ply.
Configuring python-six.
Configuring python-pycparser.
Configuring python-cffi.
Configuring python-enum34.
Configuring python-ipaddress.
Configuring python-asn1crypto.
Configuring python-cryptography.
Configuring python-pyopenssl.
~ #

Вроде бы уже  python-pyopenssl ставится штатными средствами opkg, поэтому хочется задать вопрос уважаемому @Dorik1972 удалось ли прикрутить фильтрация HTTPS к Privoxy?

Спасибо!

[Инверсия списка доступа точки 5Ггц]

Исправлено также в версии 2.09.A.3.0-6.

Поставил, проверил, подтверждаю, теперь белый список работает как положено. Большое спасибо за исправление!

[Инверсия списка доступа точки 5Ггц]

12 минуты назад, Le ecureuil сказал:

Для 6856 2.08 пока еще не собран в delta.

Понял, спасибо, тогда жду.

[Инверсия списка доступа точки 5Ггц]

1 минуту назад, AndreBA сказал:

В http://192.168.1.1/#tools.components выбрать "реализ" и обновится.

Вот что я вижу при выборе Релиз:

[Инверсия списка доступа точки 5Ггц]

@ndm вижу эту багу поправили в официальном релизе 2.08, но как его поставить? Где скачать? Я сейчас на 2.09.

[Инверсия списка доступа точки 5Ггц]

@ndm

Там где <skipped> это я заменил, то что могло быть важно. Хотя повторюсь, на точке 5Ггц пароля нет, хотя WPAPSK1= было не пусто.

Скрытый текст

 

(config)> cat temp:RT2860APi.dat

             file, name = temp:RT2860APi.dat:


# The word of "Default" must not be removed
Default
BssidNum=4
FastStartup=0
CountryRegionABand=36
CountryCode=RU
SSID1=matrix
SSID2=
SSID3=
SSID4=
WirelessMode=8;8;8;8
Channel=0
TxRate=0
BasicRate=336
BeaconPeriod=100
DtimPeriod=1
TxPower=75
DisableOLBC=0
BGProtection=0
TxAntennaSel=0
RxAntennaSel=0
TxPreamble=0
RTSThreshold=2347
FragThreshold=2346
TxBurst=0
PktAggregate=0
TurboRate=0
WmmCapable=1;0;0;0
APSDCapable=1;0;0;0
APAifsn=3;7;1;1
APCwmin=4;4;3;2
APCwmax=10;10;4;3
APTxop=0;0;94;47
APACM=0;0;0;0
BSSAifsn=3;7;2;2
BSSCwmin=4;4;3;2
BSSCwmax=10;10;4;3
BSSTxop=0;0;94;47
BSSACM=0;0;0;0
AckPolicy=0;0;0;0
NoForwarding=0;0;0;0
NoForwardingBTNBSSID=1
HideSSID=1;1;1;1
ShortSlot=1
AutoChannelSelect=2
AutoChannelSkipList=132;136;140;149;153;157;161;165
IEEE8021X=0
IEEE80211H=1;1;1;1
RDRegion=CE
CSPeriod=10
WirelessEvent=1
PreAuth=0
AuthMode=OPEN;OPEN;OPEN;OPEN
EncrypType=NONE;NONE;NONE;NONE
RekeyInterval=0;0;0;0
RekeyMethod=DISABLE;DISABLE;DISABLE;DISABLE
PMKCachePeriod=10
WPAPSK1=<skipped>
WPAPSK2=
WPAPSK3=
WPAPSK4=
DefaultKeyID=1;1;1;1
Key1Type=0;0;0;0
Key1Str1=0000000000
Key1Str2=0000000000
Key1Str3=0000000000
Key1Str4=0000000000
Key2Type=0;0;0;0
Key2Str1=0000000000
Key2Str2=0000000000
Key2Str3=0000000000
Key2Str4=0000000000
Key3Type=0;0;0;0
Key3Str1=0000000000
Key3Str2=0000000000
Key3Str3=0000000000
Key3Str4=0000000000
Key4Type=0;0;0;0
Key4Str1=0000000000
Key4Str2=0000000000
Key4Str3=0000000000
Key4Str4=0000000000
HSCounter=0
AccessPolicy0=1
AccessPolicy1=0
AccessPolicy2=0
AccessPolicy3=0
AccessControlList0=10:08:c1:50:b9:62
AccessControlList1=
AccessControlList2=
AccessControlList3=
ApCliEnable=0
ApCliWirelessMode=14
ApCliSsid=
ApCliBssid=
ApCliWPAPSK=
ApCliAuthMode=OPEN
ApCliEncrypType=NONE
ApCliDefaultKeyID=1
ApCliKey1Type=0
ApCliKey1Str=0000000000
ApCliKey2Type=0
ApCliKey2Str=0000000000
ApCliKey3Type=0
ApCliKey3Str=0000000000
ApCliKey4Type=0
ApCliKey4Str=0000000000
WscManufacturer=ZyXEL
WscModelName=Keenetic
WscDeviceName=Keenetic Ultra
WscVendorPinCode=<skipped>
WdsEnable=0
EAPifname=
PreAuthifname=
HT_HTC=0
HT_RDG=0
HT_EXTCHA=0
HT_LinkAdapt=0
HT_OpMode=0
HT_MpduDensity=5
HT_BW=1
HT_AutoBA=1
HT_AMSDU=0
HT_BAWinSize=64
HT_GI=1
HT_STBC=1
HT_MCS=33;33;33;33
VHT_BW=0
VHT_SGI=1
VHT_STBC=0
VHT_BW_SIGNAL=0
VHT_DisallowNonVHT=0
VHT_LDPC=1
EDCCA_AP_STA_TH=1
EDCCA_AP_AP_TH=1
EDCCA_AP_RSSI_TH=-80
EDCCA_ED_TH=90
EDCCA_FALSE_CCA_TH=180
EDCCA_BLOCK_CHECK_TH=2
IgmpSnEnable=1
E2pAccessMode=2
EfuseBufferMode=0
SKUenable=0


(config)>

 

[Core::Server: client disconnected.]

Ну вот собсвенно вызовы из скрипта 010-intercept-dns и bachup cron`a и дают этот результат.
Раз скрипт лежит в папке с хуками то он вызывается и используется причем достаточно часто, уберите его из папки с хуками если не нужен и таких строк в логе станет значительно меньше, только от бекапа.

Большое спасибо! Вроде больше не сыпит эти сообщения в журнал. Я просто тому скрипту ставил chmod 0, думал этого будет достаточно, чтобы он перестал использоваться. Видимо этого было недостаточно.

[Core::Server: client disconnected.]

Посмотреть в исполняемых скриптах на предмет вызова ndmq, можно просто поиск по диску по подстроке запустить и посмотреть в каких скриптах используется. 

Вот результат:

То есть всего по сути в двух местах. Это скрипт перехвата dns, который у меня по сути не используется, так как работает dns-override, и скрипт резервного копирования opkg и конфигурации. Но он ежедневный с запуском в 2 часа ночи. А логи полны записями круглосуточно.

[Core::Server: client disconnected.]

Entware есть? Что то в ней работает?
Такие записи в логе есть при использовании утилиты ndmq из под opkg

Да, Entware есть. Но, развернуто и настроено довольно давно и ранее таких записей не наблюдалось.
Подскажите, куда глянуть за подробностями возникновения этих записей? Конфиги, еще какие-то логи?

[Core::Server: client disconnected.]

На  v2.09(AAGJ.3)A3 и на двух или трех предыдущих заметил обилие записей в журнале типа:

ndm Core::Server: started Session /var/run/ndm.core.socket.
ndm Core::Server: client disconnected.

Нормально ли это?

[Инверсия списка доступа точки 5Ггц]

Нашел следующую закономерность:

удаляем Xiaomi Redmi Note 3 Pro с MAC b0:e2:35:99:fc:92 из белого списка или вообще из устройств домашней сети (удалением регистрации) и Белый лист работает корректно - телевизор (который остался там один) подключается к точке доступа.

Но стоит добавить в Белый список смартфон, как и ТВ оказывается "blacklisted in MAC filter list"

Пробовал перерегистрировать смартфон в домашней сети - не помогло.

[Инверсия списка доступа точки 5Ггц]

В общем при:

interface WifiMaster1/AccessPoint0
    rename AccessPoint_5G
    description "5Ghz Wi-Fi access point"
    mac access-list type permit
    mac access-list address b0:e2:35:99:fc:92
    mac access-list address 10:08:c1:50:b9:62
    security-level private
    encryption disable
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ssid matrix
    hide-ssid
    wmm
    up
    schedule schedule1

В логах при подключении телефона вот это:

Feb 12 22:15:09wmondWifiMaster1/AccessPoint0: (RT3593) STA(b0:e2:35:99:fc:92) blacklisted in MAC filter list.
Feb 12 22:15:09wmondWifiMaster1/AccessPoint0: (RT3593) STA(b0:e2:35:99:fc:92) blacklisted in MAC filter list.
Feb 12 22:15:18ndmCore::Server: started Session /var/run/ndm.core.socket.
Feb 12 22:15:18ndmCore::Server: client disconnected.
Feb 12 22:15:22wmondWifiMaster1/AccessPoint0: (RT3593) STA(b0:e2:35:99:fc:92) blacklisted in MAC filter list.
Feb 12 22:15:22wmondWifiMaster1/AccessPoint0: (RT3593) STA(b0:e2:35:99:fc:92) blacklisted in MAC filter list.
Feb 12 22:15:25wmondWifiMaster0/AccessPoint0: (RT2860) STA(b0:e2:35:99:fc:92) had associated successfully.
Feb 12 22:15:25wmondWifiMaster0/AccessPoint0: (RT2860) STA(b0:e2:35:99:fc:92) set key done in WPA2/WPA2PSK.
Feb 12 22:15:25ndhcpsDHCPDISCOVER received  from b0:e2:35:99:fc:92.
Feb 12 22:15:25ndhcpsmaking OFFER of 192.168.1.111 to b0:e2:35:99:fc:92.
Feb 12 22:15:25ndhcpsDHCPREQUEST received (STATE_SELECTING) for 192.168.1.111 from b0:e2:35:99:fc:92.
Feb 12 22:15:25ndmCore::Server: started Session /var/run/ndm.core.socket.
Feb 12 22:15:25ndmCore::Server: client disconnected.
Feb 12 22:15:25ndhcpssending ACK of 192.168.1.111 to b0:e2:35:99:fc:92.

А при черном списке телефон подключается.

interface WifiMaster1/AccessPoint0
    rename AccessPoint_5G
    description "5Ghz Wi-Fi access point"
    mac access-list type deny
    mac access-list address b0:e2:35:99:fc:92
    mac access-list address 10:08:c1:50:b9:62
    security-level private
    encryption disable
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ssid matrix
    hide-ssid
    wmm
    up
    schedule schedule1

Лог:

Feb 12 22:19:43wmondWifiMaster1/AccessPoint0: (RT3593) STA(b0:e2:35:99:fc:92) had associated successfully.
Feb 12 22:19:43ndhcpsDHCPDISCOVER received  from b0:e2:35:99:fc:92.
Feb 12 22:19:43ndhcpsmaking OFFER of 192.168.1.111 to b0:e2:35:99:fc:92.
Feb 12 22:19:43ndhcpsDHCPREQUEST received (STATE_SELECTING) for 192.168.1.111 from b0:e2:35:99:fc:92.
Feb 12 22:19:43ndmCore::Server: started Session /var/run/ndm.core.socket.
Feb 12 22:19:43ndmCore::Server: client disconnected.
Feb 12 22:19:43ndhcpssending ACK of 192.168.1.111 to b0:e2:35:99:fc:92.
Feb 12 22:20:05ndmCore::Server: started Session /var/run/ndm.core.socket.
Feb 12 22:20:05ndmCore::Server: client disconnected.

То есть, имхо, инверсия на лицо.

 

[IPsec Virtual IP сервер (частично) сломался]

Я уменьшил до 1350, заработало на андройд. И это проблема думаю не связана с андройдом, а с особенностями подключения. У каждого подключения свой предельный mtu, поэтому надо подкручивать.

Да, мне помогло 1360 ранее с проблемой с данным форумом. Тема есть в Курилке.

[IPsec Virtual IP сервер (частично) сломался]

Поддержка Android очень ограничена, можно сказать, что если не работает, то и не будет (по крайней мере пока). Это связано с тем, что каждая версия (и даже сборка) Android ведет себя по-разному, в том числе многие ведут себя "криво".
Эта фича сделана в первую очередь для владельцев iOS / OS X, у которых удалили PPTP.

Ушёл со стабильного релиза практически только из-за IPSec VirtualIP для Android и оно работало еще на каком-то драфте 2.08. Так что очень хотелось бы, чтобы данная и очень нужная многим функция экспериментальных прошивок работала стабильно. Очень надеюсь, что она не будет заброшена со стороны разработчиков. А PPTP в Android считается очень не надежным и с ним не сделаешь Always-On VPN.

[Нет доступа к интернету при подключении к IPsec Virtual IP серверу]

@Le ecureuil спасибо, на v2.09(AAGJ.3)A3 все работает.

[Инверсия списка доступа точки 5Ггц]

 

У меня два устройства работают на 5Ггц - ТВ и мой смартфон. Из-за особенностей ТВ пришлось точку 5Ггц сделать без защиты, но скрытой. Поэтому дополнительно хотел бы защитить белым списком из двух указанных устройств. Ставлю галочки напротив них, выбираю Белый список и тут же на телефоне и ТВ пропадает сеть и устройства более не подключаются. Выбираю Черный список, жму применить и сеть появляется. Хотя из описания следует совершенно обратное.

Скрытый текст

Вот так работает:

@Le ecureuil @ndm Селф тест в третьем скрытом посте

[Нет доступа к интернету при подключении к IPsec Virtual IP серверу]

@r13 а как в cli настроить на Internet?

[Нет доступа к интернету при подключении к IPsec Virtual IP серверу]

Подтверждаю!
Притом в настройках IPSec VirtualIP Internet 0.0.0.0/0.0.0.0 все время сбрасывается на Home 192.168.1.0/255.255.255.0
Видимо поэтому интернет для IPSec клиентов и не работает.

[Высокая загрузки процессора сервисом ndhcps]

А сброс настроек после перепрошивки делали?

Настраивал с нуля роутер всего два раза, при покупке и при переезде. Даже с официальной 2.06 на отладочные ничего не сбрасывал, проблем до сих пор не имел.

[Высокая загрузки процессора сервисом ndhcps]

Хе-хе. У нас, видимо,  разное понятие о "решать самостоятельно". Как вы уже наверное заметили, тему создали вы с вопросом. А коли задали, значит уже, не сами её решаете, обращаясь к сообществу. Хорошо, что мы с вами разобрались, не прибегая к помощи разработчиков. В противном же случае, без selft-test, им с вами было бы говорить особо не о чем... [emoji6]

Да, не совсем корректно выразился в плане самостоятельно. Здесь благодаря вашим подсказкам все получилось. Но не прибегая к помощи разработчиков, что хорошо, у них и без того дел много.

[Высокая загрузки процессора сервисом ndhcps]

Жаль, конечно, что поезд ушел уже. На будущее. Почитайте шапку форума, там есть топ как делать self test. Ваша бага с GuestWiFi у меня не воспроизводится...

Шапку читал, но считаю, что нужно все проблемы максимально стараться решиться самостоятельно. И только если это уже не дает результата, обращаться к разработчикам со всеми нужными им данными. Хотя, если, считаете, что была серьезная бага, то да, видимо, поспешил.