Jump to content

Romanvs777

Forum Members
 View Profile  See their activity

  • Posts

    46

  • Joined

  • Last visited

 Content Type 

Posts posted by Romanvs777

    Пробуем КВАС

    in Каталог готовых решений Opkg

    Posted

    1 час назад, TheFinch сказал:

    Спасибо за понимание и возможный ответ.

     

    Квас установился корректно; настроено соединение через shadowsocks.

    При проверке на 2ip отражается адрес сервера shadowsocks. Но при проверке анонимности отражается реальный IP.

    Хотелось бы узнать, что можно сделать, чтобы скрыть реальный с целью просмотра того же Netflix.

    Добрый день. У меня было такое и люди подсказали, проверьте наличие адреса в таблице ipset: кроме 2ip.ru, чтобы был адрес 2ip.io

    Возможно у Вас эта же проблема.

    • Thanks 1

    Пробуем КВАС

    in Каталог готовых решений Opkg

    Posted

    3 минуты назад, Zeleza сказал:

    Ответ был указан выше:

     

    Спасибо. Про указание DNS в AdGuard мне понятно. Не нашел ответа на вопрос про указание DNS в настройках роутера интернет соединения, то ли ничего не указывать то ли указать 192.168.1.1:53. По возможности дайте конкретный ответ в формате указать это. Извините если что не так. 

    Пробуем КВАС

    in Каталог готовых решений Opkg

    Posted

    24 минуты назад, Zeleza сказал:

    Полагаю, что, как Вам правильно заметили выше, Вы открываете страницу настроек AdGuard по данному (8080) порту. Работа самого DNS сервера, скорее всего, если Вы ничего не меняли вручную, на 53 порту. Все программы которые так или иначе работают с DNS учитывают эту логику работы и потому, принимают 53 порт по умолчанию (без его явного указания), если пользователем не указано это в ручную. 
     

    У Вас не обрыв интернета происходит. Интернет, скорее всего работает, а вот так называемый резовлинг (получение адреса по имени домена) за который и отвечает DNS сервер - не работает. Потому и сайты не открываются, но сам пинг до какого либо IP скорее всего имеется.

    Так же, не ясна цель с которой Вы прописываете свои DNS адреса в настройки DNS роутера при использовании AdGuard Home?

    Если Вы его установили, при помощи команды kvas adguard и смогли зайти в настройки AdGuard Home, то в настройках  AdGuard Home и прописываете свои DNS (кроме собственно IP самого роутера - 192.168.1.1). Туда можете вписать все Ваши DNS выше.

    Все верно устанавливал AdGuard через kvas.

    Т.е. 8080 это порт webинтерфейса, AdGuard слушает 53 порт. И правильно я понимаю, что в настройках keenetic интернет соединения в поле DNS нужно прописать адрес 192.168.1.1:53?

    Пробуем КВАС

    in Каталог готовых решений Opkg

    Posted

    2 часа назад, Zeleza сказал:

    Доброго утра,

    Подскажите пожалуйста, от куда взяли такой DNS сервер, как 192.168.1.1:8080?
    Почему он у Вас "слушает" порт 8080?

    Вы самостоятельно настраивали DNS сервер?
    Если, да, то тут больше вопросов к Вам, чем ко мне)

    Доброе утро. Настраивал по инструкции: 

    Последовательность шагов, начиная с версии Квас 1.0-beta-22:

    1. После установки Квас на устройство, устанавливаем AdGuard Home командой kvas adguard on и следуем инструкциям на экране.
    2. Произойдет обновление и настройка AdGuardHome до крайней актуальной версии, после чего Вы можете проверить совместную работу Квас и AdGuardHome командой kvas test

    8080 потому как другие порты были заняты и AdGuard ругался.

    Ткните, пожалуйста, где посмотреть, какие мои ошибки и как правильно настроить поэтапно. Спасибо )

    Пробуем КВАС

    in Каталог готовых решений Opkg

    Posted

    5 часов назад, Zeleza сказал:

    Доброго дня

    Ничего не понял из Вашего вопроса.

    Прошу пояснить более подробно: опишите для начала саму проблему, затем Ваш вопрос и приложите диагностику соответствующую.  

    Если лень описать Вашу проблему подробно, то, к сожалению, не смогу Вам помочь.

    Здравствуйте. Спасибо за внимание к обращению. В настройках AdGuard указано:

    1. Найдите настройки DHCP или DNS. Найдите буквы «DNS» рядом с текстовым полем, в которое можно ввести два или три ряда цифр, разделённых на 4 группы от одной до трёх цифр.
    2. Введите туда адрес вашего AdGuard Home.

    Ввожу туда 192.168.1.1:8080 и через какое то время, всегда разное, последний раз полдня проработало без ошибок, интернет пропадает.

    Ввожу в поле DNS 77.88.8.8 и интернет поднимается.Kvas test c DNS 77.88.8.8.txt

    keenetic ultra KN-1810, 4.0.4Kvas debug с DNS 77.88.8.8.txt

    Ошибка появилась с переходом на версию прошивки 4+.

    Вопрос почему и с чем связан обрыв интернета когда в DNS прописываешь 192.168.1.1:8080.

     

    image.png

    Пробуем КВАС

    in Каталог готовых решений Opkg

    Posted · Edited by Romanvs777
    Дополнительная информация

    Здравствуйте. Проблема с разрывом сети после "обновления маршрутов" в КВАС или после kvas test осталась. Сеть появляется если на роутере поменять DNS или добавить/удалить DNS 1/2 и сохранить. В чем может быть проблема и как лечить? Спасибо.

    что-то с AdGuard, при прописывании в настройках роутера в dns адреса роутера, соединение падает. С dns Яндекса и Гугла все работает.

    Журнал загрузки AdGuard Home (20 крайних записей)
    из файла /opt/var/log/AdGuardHome.log
    -----------------------------------------------------------------------------------
    2023/08/21 09:00:21.341983 [info] Ratelimit is enabled and set to 20 rps
    2023/08/21 09:00:21.342257 [info] The server is configured to refuse ANY requests
    2023/08/21 09:00:21.342421 [info] dnsproxy: cache: enabled, size 4194304 b
    2023/08/21 09:00:21.342648 [info] dnsproxy: max goroutines is set to 300
    2023/08/21 09:00:21.343047 [info] dnsproxy: creating udp server socket 192.168.1.1:53
    2023/08/21 09:00:21.343764 [info] dnsproxy: listening to udp://192.168.1.1:53
    2023/08/21 09:00:21.343989 [info] dnsproxy: creating tcp server socket 192.168.1.1:53
    2023/08/21 09:00:21.344360 [info] dnsproxy: listening to tcp://192.168.1.1:53
    2023/08/21 09:00:21.345261 [info] dnsproxy: entering udp listener loop on 192.168.1.1:53
    2023/08/21 09:00:21.345503 [info] dnsproxy: entering tcp listener loop on 192.168.1.1:53
     

    • Confused 1

    Пробуем КВАС

    in Каталог готовых решений Opkg

    Posted

    В 04.08.2023 в 14:21, rand сказал:

    Привет. Обновился только что с 3.9.8 на 4.0.2 на mesh-контроллере и ретрансляторе: 

    ~ # kvas test
Правила маркировки трафика в iptable      Can't find library for match `ndmslin' ДОБАВЛЕНЫ
Наличие правил разблокировки в iptable      Can't find library for match `ndmslin' ЕСТЬ

    Тем не менее адреса открываются, патч iptables уже в пути 

    Добрый день. После установки прошивки 4.0.2 при перезагрузке КВАС два раза в день интернет соединение обрывается.  kvas debug > ./log Can't find library for match `ndmslin'. По форуму видел что есть патч, но не понял как его поставить. Помогите пожалуйста разобраться. Спасибо.

    debug

    Пробуем КВАС

    in Каталог готовых решений Opkg

    Posted

    1 минуту назад, demonidze сказал:

    В блокноте к каждой строке добавляешь kvas add, подключаешься через putty копируешь все, вставляешь, она по одному сама добавляет в список

    Спасибо. 😂 Вопрос не про каждый ip добавлять, а скопировать все. 

    Пробуем КВАС

    in Каталог готовых решений Opkg

    Posted

    4 часа назад, demonidze сказал:

    Вставляешь все ip в список и все будет работать 

      Показать содержимое

    108.175.32.0/20
    108.175.34.0/24
    108.175.35.0/24
    192.173.64.0/18
    198.38.100.0/24
    198.38.101.0/24
    198.38.108.0/24
    198.38.109.0/24
    198.38.110.0/24
    198.38.111.0/24
    198.38.112.0/24
    198.38.113.0/24
    198.38.114.0/24
    198.38.115.0/24
    198.38.116.0/24
    198.38.117.0/24
    198.38.118.0/24
    198.38.119.0/24
    198.38.120.0/24
    198.38.121.0/24
    198.38.124.0/24
    198.38.125.0/24
    198.38.96.0/19
    198.38.96.0/24
    198.38.97.0/24
    198.38.98.0/24
    198.38.99.0/24
    198.45.48.0/20
    198.45.48.0/24
    198.45.49.0/24
    198.45.56.0/24
    198.45.57.0/24
    23.246.0.0/18
    23.246.14.0/24
    23.246.15.0/24
    23.246.16.0/24
    23.246.17.0/24
    23.246.20.0/24
    23.246.2.0/24
    23.246.22.0/24
    23.246.23.0/24
    23.246.24.0/24
    23.246.25.0/24
    23.246.26.0/24
    23.246.27.0/24
    23.246.28.0/24
    23.246.29.0/24
    23.246.30.0/24
    23.246.3.0/24
    23.246.31.0/24
    23.246.36.0/24
    23.246.4.0/24
    23.246.42.0/24
    23.246.46.0/24
    23.246.47.0/24
    23.246.48.0/24
    23.246.49.0/24
    23.246.50.0/24
    23.246.5.0/24
    23.246.51.0/24
    23.246.52.0/24
    23.246.54.0/24
    23.246.55.0/24
    23.246.56.0/24
    23.246.57.0/24
    23.246.58.0/24
    23.246.6.0/24
    23.246.7.0/24
    37.77.184.0/21
    37.77.186.0/24
    37.77.187.0/24
    37.77.188.0/24
    37.77.189.0/24
    37.77.190.0/24
    37.77.191.0/24
    45.57.0.0/17
    45.57.1.0/24
    45.57.11.0/24
    45.57.14.0/24
    45.57.15.0/24
    45.57.16.0/24
    45.57.17.0/24
    45.57.18.0/24
    45.57.19.0/24
    45.57.20.0/24
    45.57.2.0/24
    45.57.21.0/24
    45.57.22.0/24
    45.57.23.0/24
    45.57.3.0/24
    45.57.36.0/24
    45.57.37.0/24
    45.57.4.0/24
    45.57.42.0/24
    45.57.44.0/24
    45.57.45.0/24
    45.57.48.0/24
    45.57.49.0/24
    45.57.5.0/24
    45.57.54.0/24
    45.57.55.0/24
    45.57.58.0/24
    45.57.59.0/24
    45.57.60.0/24
    69.53.225.0/24
    207.45.72.0/22
    207.45.73.0/24
    45.57.40.0/24
    45.57.8.0/23
    45.57.8.0/24
    45.57.9.0/24
    192.173.64.0/24
    192.173.65.0/24
    192.173.66.0/24
    192.173.67.0/24
    192.173.68.0/24
    208.75.76.0/24
    69.53.230.0/24
    69.53.231.0/24
    69.53.233.0/24
    69.53.235.0/24
    69.53.240.0/24
    69.53.241.0/24
    69.53.242.0/24
    69.53.245.0/24
    69.53.246.0/24
    69.53.254.0/24

     

    Не делайте через команду kvas import ./hosts.backup вешает роутер наглухо. Потом написал про DHCP, что не может раздать адреса. Пришлось все сносить и переустанавливать.

    Как и куда можно скопировать список IP адресов для работы связки КВАС+WG+WARP+ ?

    Пробуем КВАС

    in Каталог готовых решений Opkg

    Posted

    1 час назад, demonidze сказал:

    Вставляешь все ip в список и все будет работать 

      Показать содержимое

    108.175.32.0/20
    108.175.34.0/24
    108.175.35.0/24
    192.173.64.0/18
    198.38.100.0/24
    198.38.101.0/24
    198.38.108.0/24
    198.38.109.0/24
    198.38.110.0/24
    198.38.111.0/24
    198.38.112.0/24
    198.38.113.0/24
    198.38.114.0/24
    198.38.115.0/24
    198.38.116.0/24
    198.38.117.0/24
    198.38.118.0/24
    198.38.119.0/24
    198.38.120.0/24
    198.38.121.0/24
    198.38.124.0/24
    198.38.125.0/24
    198.38.96.0/19
    198.38.96.0/24
    198.38.97.0/24
    198.38.98.0/24
    198.38.99.0/24
    198.45.48.0/20
    198.45.48.0/24
    198.45.49.0/24
    198.45.56.0/24
    198.45.57.0/24
    23.246.0.0/18
    23.246.14.0/24
    23.246.15.0/24
    23.246.16.0/24
    23.246.17.0/24
    23.246.20.0/24
    23.246.2.0/24
    23.246.22.0/24
    23.246.23.0/24
    23.246.24.0/24
    23.246.25.0/24
    23.246.26.0/24
    23.246.27.0/24
    23.246.28.0/24
    23.246.29.0/24
    23.246.30.0/24
    23.246.3.0/24
    23.246.31.0/24
    23.246.36.0/24
    23.246.4.0/24
    23.246.42.0/24
    23.246.46.0/24
    23.246.47.0/24
    23.246.48.0/24
    23.246.49.0/24
    23.246.50.0/24
    23.246.5.0/24
    23.246.51.0/24
    23.246.52.0/24
    23.246.54.0/24
    23.246.55.0/24
    23.246.56.0/24
    23.246.57.0/24
    23.246.58.0/24
    23.246.6.0/24
    23.246.7.0/24
    37.77.184.0/21
    37.77.186.0/24
    37.77.187.0/24
    37.77.188.0/24
    37.77.189.0/24
    37.77.190.0/24
    37.77.191.0/24
    45.57.0.0/17
    45.57.1.0/24
    45.57.11.0/24
    45.57.14.0/24
    45.57.15.0/24
    45.57.16.0/24
    45.57.17.0/24
    45.57.18.0/24
    45.57.19.0/24
    45.57.20.0/24
    45.57.2.0/24
    45.57.21.0/24
    45.57.22.0/24
    45.57.23.0/24
    45.57.3.0/24
    45.57.36.0/24
    45.57.37.0/24
    45.57.4.0/24
    45.57.42.0/24
    45.57.44.0/24
    45.57.45.0/24
    45.57.48.0/24
    45.57.49.0/24
    45.57.5.0/24
    45.57.54.0/24
    45.57.55.0/24
    45.57.58.0/24
    45.57.59.0/24
    45.57.60.0/24
    69.53.225.0/24
    207.45.72.0/22
    207.45.73.0/24
    45.57.40.0/24
    45.57.8.0/23
    45.57.8.0/24
    45.57.9.0/24
    192.173.64.0/24
    192.173.65.0/24
    192.173.66.0/24
    192.173.67.0/24
    192.173.68.0/24
    208.75.76.0/24
    69.53.230.0/24
    69.53.231.0/24
    69.53.233.0/24
    69.53.235.0/24
    69.53.240.0/24
    69.53.241.0/24
    69.53.242.0/24
    69.53.245.0/24
    69.53.246.0/24
    69.53.254.0/24

     

    Куда вставить список вместо команды kvas import ./hosts.backup ?

    Пробуем КВАС

    in Каталог готовых решений Opkg

    Posted

    21 минуту назад, bigpu сказал:

    глядя на такие портянки IP ради одного сервиса, становится ясно, что реализация SS в Кинетике давно назрела)

    Повис роутер при добавлении. Это квас работает или перезагрузка нужна?

    Пробуем КВАС

    in Каталог готовых решений Opkg

    Posted

    1 час назад, Артем Кривицкий сказал:

    Можно ли в КВАСе поменять DNS на гугловский?

    Я из Беларуси, но после установки кваса не грузятся linkedin, instagram, facebook , которые у нас не заблокированы

    Добрый день. Вам лучше в профильную тему к разработчику обратиться. Но я думаю Вы можете в роутере указать любой dns. Также удалить хосты перечисленных Вами ресурсов из списка разблокировки. 

    shadowsocks-libev как настроить

    in Вопросы по сборке и настройке Opkg

    Posted

    1 час назад, Пихал Метрович сказал:

    Значит, трафик не идет через прокси, поднятый на роутере, а в обход прокси.

    Добрый день. Я так понял Вы как раз и боролись с заворачиванием трафика и нужно по Вашей методике делать. Утечка  может быть связана с DNS? У меня adh настроен через КВАС.

    shadowsocks-libev как настроить

    in Вопросы по сборке и настройке Opkg

    Posted

    Установил ss соединение через КВАС, отредактировал shadowsocks.json 

    "server": "X.X.X.X",
      "server_port": 443,
      "local_port": 1080,
      "password": "password",
      "method": "aes-256-gcm",
      "timeout": 86400,
      "local_address": "::",
      "dns_ipv6": false,
      "fast_open": false,
      "plugin":"/opt/root/v2ray-plugin_linux_mipsle",
      "plugin_opts": "tls;fast-open;path=/proxy;host=domen.net"

    отредактировал kvas.conf

    SSR_DNS_PORT=1181 на порт 1080

    соединение установилось

    Но такой вопрос, когда устанавливаешь соединение через КВАС SS, то проверка анонимности через 2ip определяет реальный IP. Если подключаешься через программу SS (установлено на windows) + SwitchyOmega (Protocol SOCKS5, Server 127.0.0.1, Port 1080) на 2ip проверку анонимности проходит полностью, как исправить, чтобы через КВАС тоже анонимность была?

     

     

    shadowsocks-libev как настроить

    in Вопросы по сборке и настройке Opkg

    Posted

    В 19.02.2023 в 08:42, Пихал Метрович сказал:

     Разобрался, как говориться: "сам себе не поможешь - никто не поможет".

    1. Если сервер shadowsocks-прокси "поднят" на сервере VDS и вы хотите использовать свой собственный DNS-сервер на VDS (например, AdGuard Home - в этом случае в настройках DHCP беспроводной и/или проводной сети веб-морды роутера должен быть указан "белый" IP сервера VDS) для обработки запросов DNS, исходящих как от самого роутера (например, если вы скачиваете торренты на внешний жесткий диск, подключенный к роутеру, и хотите зашифровать DNS-запросы до трекера, чтобы они были скрыты от провайдера (очень актуально для любых мобильных ОПСОСов)) - в этом случае ошибка "Could not connect to tracker" (не могу соединиться с трекером) не будет появляться - https://help.keenetic.com/hc/ru/articles/360010482519), так и от всех клиентов локальной сети роутера, необходимо на сервере VDS применить следующие правила iptables, касающиеся пропуска трафика udp, приходящего на 53 порт: 

    iptables -A INPUT -s 127.0.0.1/32 -p udp -m udp --dport 53 -j ACCEPT
iptables -A INPUT -s "белый"_IP_сервера_VDS/32 -p udp -m udp --dport 53 -j ACCEPT
iptables -A INPUT -p udp -m udp --dport 53 -j DROP

    Этими правилами мы разрешаем роутеру и всем клиентам его локальной сети доступ к DNS-серверу, "поднятому" на VDS и "слушающему" 53 udp-порт - все DNS-запросы (как отправляемые/получаемые самим роутером, так и всеми клиентами его локальной сети) будут отправляться/получаться через прокси, поднятом на роутере - соответственно, при правильной настройке правил iptables на роутере (см. п. 7), такие запросы/ответы будут зашифрованы. Несмотря на то, что сервер DNS, поднятый на VDS, "торчит" наружу глобальной сети, он не общедоступен - последнее правило iptables отбрасывает любой другой udp-трафик, приходящий на 53 udp-порт, кроме трафика, исходящего как от самого роутера, так и от клиентов его локальной сети (такой трафик все равно проходит через роутер).

    2. Если вы используете сторонний, рабочий клиентский конфиг shadowsocks-прокси на роутере, настройки которого выдернуты из ссылки вида ss:// (или свой клиентский конфиг shadowsocks-прокси, а собственного DNS-сервера на VDS у вас нет) - укажите в настройках DHCP беспроводной и/или проводной сети веб-морды роутера любой внешний, общедоступный DNS-сервер, например 8.8.8.8 или 1.1.1.1.

    3. Далее ставим opkg на роутер и при помощи opkg устанавливаем следующие пакеты: 

    opkg install nano ipset iptables shadowsocks-libev-ss-redir wget-ssl simple-obfs lscpu curl

    4. Корректируем конфиг shadowsocks-прокси (у меня на сервере VDS и на роутере установлен обфусцирующий (запутывающий) tcp-трафик плагин simple-obfs - этот плагин уже не поддерживается сообществом, но прекрасно работает): 

    nano /opt/etc/shadowsocks.json
    {
    "server":"xx.xxx.xx.xx",
    "server_port":443,
    "local_address":"0.0.0.0",
    "local_port":1080,
    "password":"пароль",
    "mode":"tcp_and_udp",
    "timeout":86400,
    "method":"chacha20-ietf-poly1305",
    "no_delay":true,
    "reuse_port":true,
    "workers":число_ядер_процессора_роутера,
    "plugin":"/opt/bin/obfs-local",
    "plugin_opts":"obfs=tls;obfs-host=yandex.ru"
}


    Вместо xx.xxx.xx.xx необходимо вписать "белый" IP сервера VDS; число ядер процессора роутера можно определить командой: 

    lscpu


    5. Если вы используете сторонний, рабочий клиентский конфиг shadowsocks-прокси (вытащив параметры сервера из ссылки вида ss:// на сайте по расшифровке кода формата base64), то в большинстве случаев плагин обфускации в таком конфиге не используется: 

    {
    "server":"xx.xxx.xx.xx",
    "server_port":PORT,
    "local_address":"0.0.0.0",
    "local_port":1080,
    "password":"пароль",
    "mode":"tcp_and_udp",
    "timeout":86400,
    "method":"METHOD",
    "no_delay":true,
    "reuse_port":true,
    "workers":число_ядер_роутера
}

    Вместо xx.xxx.xx.xx необходимо вписать IP сервера shadowsocks-прокси, выдернутый из ссылки ss://.
    6. Если вместо плагина simple-obfs вы захотите использовать к примеру, плагин v2ray (естественно, он должен быть скачан на ваш сервер VDS и в серверном конфиге shadowsocks-прокси прописаны его опции), то необходимо, предварительно определив архитектуру процессора, скачать его на роутер и отредактировать конфиг shadowsocks-прокси: 

    lscpu


    в выводе данной команды будет указана архитектура процессора, например, в моем случае - mipsle (le - сокращенно от Little Endian).
    6.1. Качаем архив под нашу архитектуру: 

    wget --no-check-certificate https://github.com/shadowsocks/v2ray-plugin/releases/download/v1.3.2/v2ray-plugin-linux-mips-v1.3.2.tar.gz


    6.2. Смотрим, какие файлы присутствуют в архиве: 

    tar -ztf v2ray-plugin-linux-mips-v1.3.2.tar.gz


    6.3. Разархивируем архив (извлекаем только нужный файл плагина): 

    tar -xvzf v2ray-plugin-linux-mips-v1.3.2.tar.gz v2ray-plugin_linux_mipsle


    6.4. Удаляем архив, чтобы он не занимал место во внутренней памяти роутера/на флешке (жестком диске): 

    rm v2ray-plugin-linux-mips-v1.3.2.tar.gz


    6.5. Корректируем конфиг shadowsocks-прокси: 

    {
    "server":"xx.xxx.xx.xx",
    "server_port":443,
    "local_address":"0.0.0.0",
    "local_port":1080,
    "password":"пароль",
    "mode":"tcp_and_udp",
    "timeout":86400,
    "method":"chacha20-ietf-poly1305",
    "no_delay":true,
    "reuse_port":true,
    "workers":число_ядер_процессора_роутера,
    "plugin":"/opt/root/v2ray-plugin_linux_mipsle"
}


    7. Далее создаем файл /opt/etc/ndm/netfilter.d/shadow в одном из 4-х вариантов:
    7.1. Заворот всего tcp-трафика на порт локального прокси (поможет при скачивании торрентов встроенной в прошивку роутера торрентокачалкой transmission на внешний жесткий диск/флешку (если ваш провайдер блокирует трафик по протоколу BitTorrent); особенно актуально, если вы используете модем (с сим-картой), вставленный в USB-порт роутера для выхода в интернет), поднятого на роутере, а также DNS-запросов (udp-трафик), исходящих как от клиентов локальной сети роутера, так и от него самого (данный вариант использования приемлем в случае личного сервера shadowsocks-прокси, поднятого на своем VDS; я категорически не рекомендую использовать его для подключения к стороннему серверу по ссылке ss://, ибо неизвестно, что владелец сервера будет делать с вашим трафиком): 

    nano /opt/etc/ndm/netfilter.d/shadow
    #!/bin/sh
if [ -z "$(iptables-save 2>/dev/null | grep SS-REDIR_TCP-CLIENT)" ]; then
iptables -w -t nat -N SS-REDIR_TCP-CLIENT
iptables -w -t nat -A SS-REDIR_TCP-CLIENT -d xx.xxx.xx.xx -j RETURN
iptables -w -t nat -A SS-REDIR_TCP-CLIENT -d 192.168.1.0/24 -j RETURN
iptables -w -t nat -A SS-REDIR_TCP-CLIENT -d 192.168.8.0/24 -j RETURN
iptables -w -t nat -A SS-REDIR_TCP-CLIENT -p tcp -s 192.168.1.0/24 -j REDIRECT --to-ports 1080
iptables -w -t nat -A PREROUTING -p tcp -j SS-REDIR_TCP-CLIENT
iptables -w -t nat -N SS-REDIR_TCP-ROUTER
iptables -w -t nat -A SS-REDIR_TCP-ROUTER -d xx.xxx.xx.xx -j RETURN
iptables -w -t nat -A SS-REDIR_TCP-ROUTER -d 127.0.0.1 -j RETURN
iptables -w -t nat -A SS-REDIR_TCP-ROUTER -p tcp -j REDIRECT --to-ports 1080
iptables -w -t nat -A OUTPUT -p tcp -j SS-REDIR_TCP-ROUTER
fi
if [ -z "$(ip route list table 100)" ]; then
ip route add local default dev lo table 100
ip rule add fwmark 1 lookup 100
fi
if [ -z "$(iptables-save 2>/dev/null | grep SS-REDIR_UDP)" ]; then
insmod /lib/modules/$(uname -r)/xt_TPROXY.ko
iptables -w -t mangle -N SS-REDIR_UDP
iptables -w -t mangle -A SS-REDIR_UDP -p udp --dport 53 -j TPROXY --on-port 1080 --tproxy-mark 0x01/0x01
iptables -w -t mangle -A PREROUTING -p udp -j SS-REDIR_UDP
fi
if [ -z "$(ps | grep -v grep | grep ss-redir)" ]; then
ss-redir -u -c /opt/etc/shadowsocks.json -f /opt/var/run/ss-redir.pid
fi
exit 0

    Внимание, очень важно! Если ваша локальная сеть роутера не 192.168.1.0/24 (а сеть модема, если вы его используете - не 192.168.8.0/24), исправьте адресацию в соответствующих правилах iptables, в противном случае вы потеряете доступ к роутеру/модему! Перезагружаем роутер (возможно, после перезагрузки придется немного подождать, т.к. механизм TPROXY роутера не сразу срабатывает) и проверяем себя на http://2ip.ru - ваш внешний IP должен измениться. Удостовериться, что IP сменился на самом роутере можно командой: 

    curl ifconfig.me

    Проверить, что DNS-запросы шифруются можно на сервере VDS, открыв веб-морду AdGuard Home - DNS-запросы в журнале (в столбце "Клиент") должны исходить только от 127.0.0.1 (сам роутер и его сервисы) и от "белого" IP VDS (клиенты локальной сети роутера).
    Если при данном варианте использования у вас не открываются (или открываются, но не дают просматривать контент) некоторые российские ресурсы (типа кинопоиска, авито, десктопные версии сайтов банков и т.п., которые блокируют доступ с подсетей зарубежных (и многих российских) IP VDS), необходимо определить, на какие IP обращается клиент роутера, вводя в строке браузера доменное имя сайта (это можно сделать, например, установив на роутер DNS-сервер AdGuard Home и в журнале просмотреть DNS-запросы конкретного клиента роутера - CIDR, вводя IP ресурса, можно определить, например, здесь - https://2ip.ru/whois/ или посмотреть в журнал AdGuard Home, поднятом на VDS) и пустить трафик до таких подсетей в обход прокси. В этом случае файл shadow будет выглядеть так (пример для кинопоиска и авито): 

    #!/bin/sh
if [ -z "$(iptables-save 2>/dev/null | grep SS-REDIR_TCP-CLIENT)" ]; then
iptables -w -t nat -N SS-REDIR_TCP-CLIENT
iptables -w -t nat -A SS-REDIR_TCP-CLIENT -d xx.xxx.xx.xx -j RETURN
iptables -w -t nat -A SS-REDIR_TCP-CLIENT -d 192.168.1.0/24 -j RETURN
iptables -w -t nat -A SS-REDIR_TCP-CLIENT -d 192.168.8.0/24 -j RETURN
#kinopoisk
iptables -w -t nat -A SS-REDIR_TCP-CLIENT -d 213.180.199.0/24 -j RETURN
iptables -w -t nat -A SS-REDIR_TCP-CLIENT -d 77.88.21.0/24 -j RETURN
iptables -w -t nat -A SS-REDIR_TCP-CLIENT -d 87.250.250.0/24 -j RETURN
iptables -w -t nat -A SS-REDIR_TCP-CLIENT -d 87.250.247.0/24 -j RETURN
iptables -w -t nat -A SS-REDIR_TCP-CLIENT -d 213.180.204.0/24 -j RETURN
iptables -w -t nat -A SS-REDIR_TCP-CLIENT -d 93.158.134.0/24 -j RETURN
iptables -w -t nat -A SS-REDIR_TCP-CLIENT -d 87.250.251.0/24 -j RETURN
iptables -w -t nat -A SS-REDIR_TCP-CLIENT -d 178.154.131.0/24 -j RETURN
#avito
iptables -w -t nat -A SS-REDIR_TCP-CLIENT -d 185.89.12.0/23 -j RETURN
iptables -w -t nat -A SS-REDIR_TCP-CLIENT -d 146.158.48.0/21 -j RETURN
#
iptables -w -t nat -A SS-REDIR_TCP-CLIENT -p tcp -s 192.168.1.0/24 -j REDIRECT --to-ports 1080
iptables -w -t nat -A PREROUTING -p tcp -j SS-REDIR_TCP-CLIENT
iptables -w -t nat -N SS-REDIR_TCP-ROUTER
iptables -w -t nat -A SS-REDIR_TCP-ROUTER -d xx.xxx.xx.xx -j RETURN
iptables -w -t nat -A SS-REDIR_TCP-ROUTER -d 127.0.0.1 -j RETURN
iptables -w -t nat -A SS-REDIR_TCP-ROUTER -p tcp -j REDIRECT --to-ports 1080
iptables -w -t nat -A OUTPUT -p tcp -j SS-REDIR_TCP-ROUTER
fi
if [ -z "$(ip route list table 100)" ]; then
ip route add local default dev lo table 100
ip rule add fwmark 1 lookup 100
fi
if [ -z "$(iptables-save 2>/dev/null | grep SS-REDIR_UDP)" ]; then
insmod /lib/modules/$(uname -r)/xt_TPROXY.ko
iptables -w -t mangle -N SS-REDIR_UDP
iptables -w -t mangle -A SS-REDIR_UDP -p udp --dport 53 -j TPROXY --on-port 1080 --tproxy-mark 0x01/0x01
iptables -w -t mangle -A PREROUTING -p udp -j SS-REDIR_UDP
fi
if [ -z "$(ps | grep -v grep | grep ss-redir)" ]; then
ss-redir -u -c /opt/etc/shadowsocks.json -f /opt/var/run/ss-redir.pid
fi
exit 0


    7.2. Вариант по п. 7.1, но tcp-трафик самого роутера будет идти напрямую, минуя прокси: 

    nano /opt/etc/ndm/netfilter.d/shadow
    #!/bin/sh
if [ -z "$(iptables-save 2>/dev/null | grep SS-REDIR_TCP-CLIENT)" ]; then
iptables -w -t nat -N SS-REDIR_TCP-CLIENT
iptables -w -t nat -A SS-REDIR_TCP-CLIENT -d xx.xxx.xx.xx -j RETURN
iptables -w -t nat -A SS-REDIR_TCP-CLIENT -d 192.168.1.0/24 -j RETURN
iptables -w -t nat -A SS-REDIR_TCP-CLIENT -d 192.168.8.0/24 -j RETURN
iptables -w -t nat -A SS-REDIR_TCP-CLIENT -p tcp -s 192.168.1.0/24 -j REDIRECT --to-ports 1080
iptables -w -t nat -A PREROUTING -p tcp -j SS-REDIR_TCP-CLIENT
fi
if [ -z "$(ip route list table 100)" ]; then
ip route add local default dev lo table 100
ip rule add fwmark 1 lookup 100
fi
if [ -z "$(iptables-save 2>/dev/null | grep SS-REDIR_UDP)" ]; then
insmod /lib/modules/$(uname -r)/xt_TPROXY.ko
iptables -w -t mangle -N SS-REDIR_UDP
iptables -w -t mangle -A SS-REDIR_UDP -p udp --dport 53 -j TPROXY --on-port 1080 --tproxy-mark 0x01/0x01
iptables -w -t mangle -A PREROUTING -p udp -j SS-REDIR_UDP
fi
if [ -z "$(ps | grep -v grep | grep ss-redir)" ]; then
ss-redir -u -c /opt/etc/shadowsocks.json -f /opt/var/run/ss-redir.pid
fi
exit 0


    7.3. Направляем tcp-трафик клиентов локальной сети роутера на порт локального прокси только до заблокированных роскомнадзором сайтов (сами сайты прописываем в файле /opt/root/sites) - остальной tcp-трафик идет напрямую, минуя прокси; шифруем запросы DNS, отправляя их на порт локального прокси: 

    nano /opt/root/sites

    rutracker.org
flibusta.is
    nano /opt/etc/ndm/netfilter.d/shadow
    #!/bin/sh
if [ -z "$(iptables-save 2>/dev/null | grep unblock)" ]; then
ipset create unblock hash:net -exist
iptables -I PREROUTING -w -t nat -i br0 -p tcp -m set --match-set unblock dst -j REDIRECT --to-port 1080
fi
if [ -z "$(ip route list table 100)" ]; then
ip route add local default dev lo table 100
ip rule add fwmark 1 lookup 100
fi
if [ -z "$(iptables-save 2>/dev/null | grep SS-REDIR_UDP)" ]; then
insmod /lib/modules/$(uname -r)/xt_TPROXY.ko
iptables -w -t mangle -N SS-REDIR_UDP
iptables -w -t mangle -A SS-REDIR_UDP -p udp --dport 53 -j TPROXY --on-port 1080 --tproxy-mark 0x01/0x01
iptables -w -t mangle -A PREROUTING -p udp -j SS-REDIR_UDP
until ping -c1 dns.google >/dev/null 2>&1; do :; done
for i in `cat /opt/root/sites`; do
for j in `nslookup $i | grep -v 127.0.0.1 | awk '/Addr/ {print $3}' | grep -v ":"`; do
ipset -exist add unblock $j
done
done
fi
if [ -z "$(ps | grep -v grep | grep ss-redir)" ]; then
ss-redir -u -c /opt/etc/shadowsocks.json -f /opt/var/run/ss-redir.pid
fi
exit 0


    7.4. Вариант по п. 7.3, но tcp-трафик самого роутера будет направлен на порт локльного прокси (к примеру, для скачивания торрентов встроенной в прошивку роутера торрентокачалкой transmission): 

    nano /opt/root/sites
    rutracker.org
flibusta.is
    nano /opt/etc/ndm/netfilter.d/shadow
    #!/bin/sh
if [ -z "$(iptables-save 2>/dev/null | grep unblock)" ]; then
ipset create unblock hash:net -exist
iptables -I PREROUTING -w -t nat -i br0 -p tcp -m set --match-set unblock dst -j REDIRECT --to-port 1080
iptables -w -t nat -N SS-REDIR_TCP-ROUTER
iptables -w -t nat -A SS-REDIR_TCP-ROUTER -d xx.xxx.xx.xx -j RETURN
iptables -w -t nat -A SS-REDIR_TCP-ROUTER -d 127.0.0.1 -j RETURN
iptables -w -t nat -A SS-REDIR_TCP-ROUTER -p tcp -j REDIRECT --to-ports 1080
iptables -w -t nat -I OUTPUT -p tcp -j SS-REDIR_TCP-ROUTER
fi
if [ -z "$(ip route list table 100)" ]; then
ip route add local default dev lo table 100
ip rule add fwmark 1 lookup 100
fi
if [ -z "$(iptables-save 2>/dev/null | grep SS-REDIR_UDP)" ]; then
insmod /lib/modules/$(uname -r)/xt_TPROXY.ko
iptables -w -t mangle -N SS-REDIR_UDP
iptables -w -t mangle -A SS-REDIR_UDP -p udp --dport 53 -j TPROXY --on-port 1080 --tproxy-mark 0x01/0x01
iptables -w -t mangle -A PREROUTING -p udp -j SS-REDIR_UDP
until ping -c1 dns.google >/dev/null 2>&1; do :; done
for i in `cat /opt/root/sites`; do
for j in `nslookup $i | grep -v 127.0.0.1 | awk '/Addr/ {print $3}' | grep -v ":"`; do
ipset -exist add unblock $j
done
done
fi
if [ -z "$(ps | grep -v grep | grep ss-redir)" ]; then
ss-redir -u -c /opt/etc/shadowsocks.json -f /opt/var/run/ss-redir.pid
fi
exit 0

    P.S. Отключать FastNAT (hwnat) не нужно, правила iptables для заворота DNS-трафика на порт локального прокси роутера через механизм TPROXY ядра работают без отключения. 

    Подскажите пожалуйста "iptables -w -t nat -A SS-REDIR_TCP-ROUTER -d xx.xxx.xx.xx -j RETURN" xx.xxx.xx.xx  это адрес роутера 192.168.1.1 и нужно его приписывать в формате 192.168.1.1/24

    shadowsocks-libev как настроить

    in Вопросы по сборке и настройке Opkg

    Posted

    В 11.03.2023 в 16:02, Romanvs777 сказал:

    Настройка серверной части как присылал. Настройка клиентской части в приложении Shadowsocks, установлено на windows: 

    как присылал. 

    Настройка в SwitchyOmega:

    Protocol SOCKS5 

    Server 127.0.0.1

    Port 1080.

    Все работает, на 2ip проверку анонимности проходит полностью.

    долгий процесс настройки тут.

    Буду признателен энтузиастам за помощь. Спасибо.

     

     

    shadowsocks_prezentacia.pdf

×
×
  • Create New...