[Пробуем КВАС]

В 16.04.2024 в 21:26, Eldring сказал:

с shadowsocks прокси. Появился такой вопрос: можно ли завернуть трафик с самого роутера в квас?

В случае shadowsocks мы можем попытаться, если Вам не лень поэкспериментировать. Но задайте себе вопрос — Вы точно хотите весь трафик всех служб подвергать проверкам на вхождение в whitelist?

Финальные правила для SS выглядят: если обращение к IP из списка КВАСа, то трафик отправляется в порт SS клиента:

iptables -A PREROUTING -w -t nat -i br0 -p tcp -m set --match-set unblock dst -j REDIRECT --to-ports 1181
iptables -A PREROUTING -w -t nat -i br0 -p udp -m set --match-set unblock dst -j REDIRECT --to-ports 1181

Здесь есть фильтр -i br0 — в домашней сети.
Если добавите через kvas vpn net add обход для гостевой, то появятся ещё правила с -i br1.
Если хотите прокидку для SSTP-сервера, то нужны -i sstp+.
Для WireGuard аналогично.
Если добавите через kvas vpn net add обход для IKEv2/IPSec, то у IPSec своего отдельного интерфейса нет, там фильтр по IP клиентов и WAN-порту -s 192.168.2.0/24 -i eth3 (интерфейс может быть eth2.2).

Дык вот, по аналогии с IKEv2/IPSec можете навеситься на весь WAN-порт без ограничения по IP. Это, скорее всего, отфильтрует весь трафик. И даже можете сделать эти правила самовосстанавливаемыми.

[Неотключаемый перехват DNS-запросов в отдельном сегменте]

В 17.06.2023 в 14:31, Denis P сказал:

почему-то все успешно забыли про

opkg dns-override

который отключает встроенный dns-proxy и оставляет его только для собственных нужд.

С ним в доп. политиках никакого перехвата нет, такие дела.

Вы уверены в корректности своего высказывания?

У меня:

1. Применён `opkg dns-override`.
2. Один системный профиль DNS с DoT серверами.
3. В котором разрешён транзит запросов.
4. Контентный фильтр выключен.
5. Компоненты «NextDNS» и «SkyDNS» отключены.

Как только я создаю тестовую политику доступа, закидываю туда одного клиента, то в `iptables-save | grep " 53 "` появляется:

-A _NDM_HOTSPOT_DNSREDIR -i br0 -p udp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m udp --dport 53 -j REDIRECT --to-ports 41100
-A _NDM_HOTSPOT_DNSREDIR -i br0 -p tcp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m tcp --dport 53 -j REDIRECT --to-ports 41100
-A _NDM_HOTSPOT_DNSREDIR -i br1 -p udp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m udp --dport 53 -j REDIRECT --to-ports 41100
-A _NDM_HOTSPOT_DNSREDIR -i br1 -p tcp -m mark --mark 0xffffaaa -m pkttype --pkt-type unicast -m tcp --dport 53 -j REDIRECT --to-ports 41100

`dns-proxy no intercept enable` сообщает `disable intercept for system profile`, при этом в `show dns-proxy` кроме системного виден ещё один профиль Policy0, у которого:

dns_tcp_port = 41100
dns_udp_port = 41100

Навскидку, есть такой костыль (постоянно портит отбирающие правила), но хотелось бы адекватного поведения из коробки.

[Пробуем КВАС]

В 25.03.2024 в 18:47, kilia сказал:

не в курсе как завязать все профили доступа в интернет через kvas?

`opkg dns-override` позволяет КВАС установить другой DNS. Но при использовании политик начинает работать безусловный перехват днс-запросов прошивкой Кинетика (что выглядит ошибкой, если честно). Можете увидеть их `iptables-save | grep " 53 "`, на 41100 порт улетает отобранный у AdGuardHome/Dnsmasq dns-трафик.

Навскидку, есть такой костыль (постоянно портит отбирающие правила).

[Пробуем КВАС]

В 05.07.2022 в 14:29, Teutonick сказал:

Пожелания на будущее: убрать из крона минутные и 5-ти минутные интервалы, а то весь лог в этих пустых попытках

1. В файле `/opt/etc/init.d/S10cron` заменить строку `ARGS="-s"` на `ARGS=""`
2. `/opt/etc/init.d/S10cron restart`

[Пробуем КВАС]

В 26.02.2024 в 16:49, amatol сказал:

Если есть возможность сделать опцию «пускать вообще весь трафик через тоннель», то буду очень благодарен

Можно попробовать сделать это руками, и если будет работать у нескольких людей — только тогда можно задуматься о такой функции (но и то маловероятно).

1. Выдать нужному устройству фиксированный IP. «Мои сети и Wi-Fi» → «Список клиентов», клик на нужном, «Зарегистрировать», клик на нём ещё раз, «Постоянный IP-адрес», «Сохранить». Допустим, выдан 192.168.1.35.
2. Понять, в какой он сети. WiFi br0, гостевой WiFi br1, локальный eth2.1 или eth2, клиент IKEv2 eth3 или eth2.2, VPN-клиенты в своих именованных. Допустим, у вас br0.
3. Добавить правила. Тут случай, если хотите пустить трафик с одного устройства с учётом списка разблокировки

   iptables -A PREROUTING -w -t nat -s 192.168.1.35 -i br0 -p tcp -m set --match-set unblock dst -j REDIRECT --to-port 1181
   iptables -A PREROUTING -w -t nat -s 192.168.1.35 -i br0 -p udp -m set --match-set unblock dst -j REDIRECT --to-port 1181

   
   Прям весь трафик без учёта списка разблокировки — надо тестировать. Что-то типа

   ipset create localprivate hash:net -exist
   ipset add localprivate 127.0.0.0/8
   ipset add localprivate 10.0.0.0/8
   ipset add localprivate 100.64.0.0/10
   ipset add localprivate 172.16.0.0/12
   ipset add localprivate 192.168.0.0/16
   iptables -A PREROUTING -w -t nat -s 192.168.1.35 -i br0 -p tcp -m set ! --match-set localprivate dst -j REDIRECT --to-port 1181
   iptables -A PREROUTING -w -t nat -s 192.168.1.35 -i br0 -p udp -m set ! --match-set localprivate dst -j REDIRECT --to-port 1181

   
   Наверняка какие-то из локальных служебных адресов ещё забыты.
4. Если всё работает, то сообщить об этом.
5. Можете сделать это правило автоматически добавляемым (при смене настроек, ребуте роутера).

P.S. Админы/модераторы, удалите это моё сообщение, в 2 случаях из 3 там недостаточно правил.

[Пробуем КВАС]

В 22.03.2024 в 11:34, gach сказал:

В EDGE имдем Параметры > Конфиденциальность, поиск и службы > Безопасность, для Использовать безопасные DNS, чтобы указать способ просмотра сетевого адреса для веб-сайтов укажите в поле Выбрать поставщика услуг адрес DoH-сервера https://dns.controld.com/comss

Эта часть совета выглядит немного "вредной". Почему не использовать нормальный DoH или DoT для всего, зачем выборочный DNS для отдельных сервисов? В целом, рекомендую:

1. Включить шифрование DNS через _kvas crypt_.
2. В «Управление» → «Параметры системы» → «Изменить набор компонентов» добавить «Прокси-сервер DNS-over-TLS» и/или «Прокси-сервер DNS-over-HTTPS».
3. В «Сетевые правила» → «Интернет-фильтры» → «Настройка DNS» оставить только с поддержкой DoT или DoH. Никаких провайдерных DNS! Общие, например, 1.1.1.1, 1.0.0.1 (cloudflare-dns.com); 8.8.8.8, 8.8.4.4 (dns.google); 9.9.9.9 (dns.quad9.net).

[Пробуем КВАС]

В 26.02.2024 в 16:49, amatol сказал:

Если есть возможность сделать опцию «пускать вообще весь трафик через тоннель», то буду очень благодарен

Сказанное далее не проверялось!

1. Если нужно направить весь трафик всех устройств, то для команды kvas add сказано

Цитата

Eсть возможность добавлять в список разблокировали IP адреса и их диапазоны в виде XX.XX.XX.XX, XX.XX.XX.XX-XX.XX.XX.XX и в виде XX.XX.XX.XX/XX

Предположу, что закинуть 0.0.0.0/0 (что будет легко удалить обратно) поможет.

2. Если речь о конкретном устройстве (хотите только его, но не его подсеть), то в случае Shadowsocks и домашнего WiFi (подсеть br0 в правилах) надо выдать ему в правилах DHCP фиксированный IP и попробовать

iptables -A PREROUTING -w -t nat -s 192.168.1.25 -i br0 -p tcp -m set --match-set unblock dst -j REDIRECT --to-port 1181
iptables -A PREROUTING -w -t nat -s 192.168.1.25 -i br0 -p udp -m set --match-set unblock dst -j REDIRECT --to-port 1181

3. Если это конкретное устройство должно ходить без учёта списка обхода (всем трафиком), то в случае Shadowsocks попробовать без правил вхождения в список обхода

iptables -A PREROUTING -w -t nat -s 192.168.1.25 -i br0 -p tcp -j REDIRECT --to-port 1181
iptables -A PREROUTING -w -t nat -s 192.168.1.25 -i br0 -p udp -j REDIRECT --to-port 1181

 

[Пробуем КВАС]

59 минут назад, x-tropic сказал:

при добавлении правил, почему то везде светится всё равно родной айпи

Попробуйте перебором, на моём устройстве это не воспроизвести. Трафик в присланном логе есть в eth2, eth2.1, eth2.2. Один из них точно WAN, и там роутером навешаны политики обработки IKEv2/IPsec (IPsec не создаёт свои интерфейсы, как другие подключения, оттого с ним такие и проблемы — ищем вот его)). Раз eth2 (с Ваших слов) не подошёл, то предполагаю, что у Кинетиков на базе одного сетевого интерфейса eth2.2 — WAN, eth2.1 — LAN. У двуинтерфейсных WAN в eth3.

Сразу же накидана задача на будущее. Туда осталось вписать тот интерфейс из 3ёх, с которым у Вас всё заработает.

[Пробуем КВАС]

1 час назад, x-tropic сказал:

Прикрепил

Ох, ну вот и виновник. Попробуйте эти 2 правила для себя указывать с eth2.

Как сделать красиво выбор в коде КВАСа — ума не приложу. В API Кинетика все интерфейсы названы виртуально, указаний на подпись интерфейса в entware нет.

Чтобы Вы поняли, вот как выглядят lan'ы на Гиге

Скрытый текст

eth2 Link encap:Ethernet HWaddr 50:FF:20:**:3A:36
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:723051 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:2000
RX bytes:0 (0.0 B) TX bytes:76548437 (73.0 MiB)
Interrupt:18

eth2.1 Link encap:Ethernet HWaddr 50:FF:20:**:3A:36
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:473067 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:53054327 (50.5 MiB)

eth2.3 Link encap:Ethernet HWaddr 52:FF:20:**:3A:35
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:249984 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:10499424 (10.0 MiB)

eth3 Link encap:Ethernet HWaddr 50:FF:20:**:3A:37
inet addr:46.252.122.*** Bcast:46.252.123.*** Mask:255.255.252.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:28536985 errors:0 dropped:183044 overruns:0 frame:0
TX packets:4721947 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:2000
RX bytes:39699505609 (36.9 GiB) TX bytes:674971620 (643.7 MiB)
Interrupt:18

 

[Пробуем КВАС]

@x-tropic

1. Добавьте ещё вывод ifconfig. У вас Hopper, может изменили чего и там WAN-порт на другом интерфейсе, не eth3.
2. Заранее вопрос: каких-то хитрых манипуляций с портами (типа переназначение WAN) не делали?
3. Когда устройства подключены к роутеру через IKEv2, в блоке «VPN-сервер IKEv2/IPsec» появляется «Статистика подключений». Там в таблице будут присвоенные IP. Выдаёт правильные из 192.168.2.0/24?

[Пробуем КВАС]

17 часов назад, x-tropic сказал:

Есть ли у Вас возможность помочь мне в этом вопросе?

Можем попробовать.

 

Для начала перейдите на последнюю версию (или хотя бы этого года, фиксы зашли в декабре). Возможно, лучшей стратегией будет полная переустановка (в свете того, что манипуляции разные Вы пытались повторить).

kvas export /opt/tmp/hosts.backup
kvas rm full
cd /opt/tmp
curl -sOfL http://kvas.zeleza.ru/upgrade
sh ./upgrade

После переустановки или хотя бы апгрейда с kvas vpn net del сети IKEv2 снять логи и прислать сюда.

iptables-save | grep -E 'PREROUTING|nat' | grep -vE '_NDM|^\*|^\:' &> /opt/tmp/kvas_iptables_before.txt
kvas vpn net add
# в команде выше выберите сеть IKEv2
iptables-save | grep -E 'PREROUTING|nat' | grep -vE '_NDM|^\*|^\:' &> /opt/tmp/kvas_iptables_after.txt
kvas debug &> /opt/tmp/kvas_debug.txt

И скрин настроек IKEv2 после этого всего («Управление» → «Приложения» → «VPN-сервер IKEv2/IPsec»). А то вспоминается, что на одной из первых версий 4ки была проблема с DNS именно у прошивки.

[Пробуем КВАС]

В 04.02.2024 в 23:17, pavelts сказал:

Штука в том что для его использования нужен белый IP адрес. А у меня его нет

Не совсем понятно, почему Вы уверены, что для использования IKEv2 необходим белый IP. Со смартфона вне дома нормально подключаюсь к роутеру, используя DDNS (в админке роутера «Сетевые правила» → «Доменное имя» → «KeenDNS»). Прелесть IKEv2 как раз в том, что он из коробки есть в Android, Windows и на яблоках. Или у Вашего провайдера какой-то хитрый NAT?

Цитата

Что бы подключившись со своего мобильного телефона, я мог использовать ***** на роутере

Ровно так это и работает из коробки. У меня IKEv2 до роутера + Shadowsocks соединение к серверу.

Как раз сегодня были обновлены прошивка роутера и КВАС, полёт нормальный.

[Пробуем КВАС]

7 часов назад, surfuser сказал:

Может есть кто настраивал инсту на квасе с shadowsocks? Какие-то еще хосты не учитываю?

У Инсты глубокая интеграция с ФБ (один владелец же), так что сложно отделить одно от другого. У меня работает с:

*cdnfacebook.com
*cdninstagram.com
*facebook.com
*fbcdn.net
*fbsbx.com
*fburl.com
*instagram.com

Под вопросом ещё *fb.com и *ig.me

[Пробуем КВАС]

В 02.12.2023 в 01:24, xLamoSx сказал:

квас по умолчанию раз в 12 часов передобавляет правила и все перестает работать

Это было пофикшено в #57 очень давно.

В 02.12.2023 в 01:24, xLamoSx сказал:

на основе данной инструкции я добавил в созданный файл
- 100-shadowsocks-vpn-server

Еще две строки правил

С 33 релиза связка Shadowsocks + гостевая IKEv2 отлажена идеально.

 

Было бы хорошо, если кто-нибудь проверил бы связку VPN + гостевая IKEv2 по такому списку.

Единственный нюанс обновления, лучше перед kvas upgrade full почистить обход гостевых через kvas vpn net del, а после обновления перезагрузить роутер, и только тогда делать kvas vpn net add. Потому что правила iptables немного изменялись, новая версия может не до конца зачистить правила старой.

[Пробуем КВАС]

В 14.05.2023 в 17:43, Zeleza сказал:

Потому у Вас есть три возможных варианта решения проблемы:

1. Либо, вместо ssr использовать vpn
2. Либо, обратиться напрямую к авторам исходных скриптов
3. Либо, написать в тему "Выборочный роутинг через VPN туннель", с которой и получил начало данный проект и в которой обсуждаются различные методы обхода и приводятся исходные, "голые" их варианты. 

Или путь 4 — сделать всё самостоятельно. И снова здравствуйте) 

По сути, вся маршрутизация ssr держится на 4 правилах для br0 (интерфейса домашней сети): 

# DNS
iptables -A PREROUTING -w -t nat -i br0 -p tcp --dport 53 -j DNAT --to 192.168.1.1
iptables -A PREROUTING -w -t nat -i br0 -p udp --dport 53 -j DNAT --to 192.168.1.1
# Выборочные IP в Shadowsocks
iptables -A PREROUTING -w -t nat -i br0 -p tcp -m set --match-set unblock dst -j REDIRECT --to-port 1181
iptables -A PREROUTING -w -t nat -i br0 -p udp -m set --match-set unblock dst -j REDIRECT --to-port 1181

При разворачивании VPN-сервера на роутере появляется соответствующий ему сетевой интерфейс, для которого эти правила нужно просто размножить. Был проведён эксперимент, связка SS и WireGuard-сервера на роутере прекрасно работают. В подтверждение моих слов — на Хабре поступали ровно также. 

У вас даже удобный механизм для расшаривания на новый интерфейс реализован (тот самый kvas vpn guest), имеет смысл добавить туда поддержку Shadowsocks вместо заглушки-отписки. 

 

Но мне-то требовался в связку VPN-сервер IKEv2/IPsec. IPSec, в отличии от привычных VPN-решений, не создаёт сетевые интерфейсы, только политики обработки. На него КВАС не может расшарить трафик даже в случае отказа от SS, как я понимаю. 

И просто так заменить br0 на нужное имя, как поступали выше, не получится. Но при создании IKEv2 сервера указываешь диапазон IP для DHCP. Можно фильтровать по нему с учётом знания, что сам трафик сервера обитает в интерфейсе WAN — eth3. -i br0 превращается в -s 172.20.8.0/24 -i eth3. IKEv2-сервер на Кинетике обязательно указывает клиенту DNS-сервер, поэтому в его настройках указываем IP роутера (192.168.1.1), дополнительный роутинг DNS (первые 2 правила) тогда не требуется. 

Сухое итого, как заставить работать на роутере обход у клиентов IKEv2 через Shadowsocks: 

1. nano /opt/etc/ndm/netfilter.d/100-shadowsocks-vpn-server

2. #!/bin/sh
   if [ "${type}" = "iptables" ] && [ "${table}" = "nat" ] && [ -z "$(iptables-save 2>/dev/null | grep '192.168.2.0/24 -i eth3')" ] ; then
       iptables -A PREROUTING -w -t nat -s 192.168.2.0/24 -i eth3 -p tcp -m set --match-set unblock dst -j REDIRECT --to-port 1181
       iptables -A PREROUTING -w -t nat -s 192.168.2.0/24 -i eth3 -p udp -m set --match-set unblock dst -j REDIRECT --to-port 1181
   fi

    

3. chmod +x /opt/etc/ndm/netfilter.d/100-shadowsocks-vpn-server
4. reboot
5. iptables -vL PREROUTING -t nat (для финальной проверки, что есть 4 правила от КВАСа и 2 ваших)

 

В альтернативу моему подходу, некоторые добавляют в конце что-то типа 

iptables -A OUTPUT -t nat -p tcp -m set --match-set unblock dst -j REDIRECT --to-port 1181

Но мне кажется, проверка всего трафика немного кощунственна и не оптимальна. 

P.S. В настройках IKEv2-сервера на Keenetic не убирать чекбокс «Множественный вход». Без него на прошивке 3.9.8 прекращает отдаваться настройка «DNS-сервер». По крайней мере, встроенному в Android по умолчанию VPN-клиенту.

P.P.S. КВАС периодически передобавляет правила iptables. Но т.к. сверка «есть ли это правило уже» не полная, то он принимает наши правила за свои, и обход в домашней сети не возвращает! Нужно в файле /opt/apps/kvas/etc/ndm/ndm в строчке 247 расширить проверку до

prouting_rules=$(ip4save | grep PREROUTING | grep "${interface}" | grep "${table_name}" | grep REDIRECT | grep "${proxy_port}")

и её же в /opt/etc/ndm/netfilter.d/100-proxy-redirect:25

	proxy_port=$(get_config_value SSR_DNS_PORT)
	interface=$(get_local_inface)
	if ! ip4save | grep "${SSR_IPTABLES_CHAIN}" | grep -qv '\[0:0\]' && \
   	   ! ip4save | grep PREROUTING | grep "${interface}" | grep "${table_name}" | grep REDIRECT | grep -q "${proxy_port}" ; then

 

[Пробуем КВАС]

4 часа назад, Zeleza сказал:

Не совсем понимаю с какой целью Вы вводите kvas vpn guest?

Здравствуйте и спасибо за ответ) 

На роутере включен (в веб-морде роутера) VPN-сервер IKEv2/IPsec, к которому подключается смарт/ноут, когда не дома. После установки КВАСа (что прошло вообще без заминок, отличная работа проделана) в таком режиме подключения (только в нём, не на домашнем Wi-Fi) на устройствах пропал интернет. Виновник сразу был найден — по умолчанию у ВПН-серверов DNS 78.47.125.180, который ndhcps подменял на адрес роутера (это описано в доке); но после opkg dns-override в качестве DNS-прокси начинает выступать Dnsmasq, который о таком финте ушами не знает. Смена DNS в настройках сервера IKEv2 на 192.168.1.1 (прикреплённый скриншот) решает проблему, на подключенных по VPN устройствах появляется возможность заходить на сайты в интернете. Но заблокированные ресурсы по-прежнему блокированы, трафик не перенаправляется КВАСом (у VPN-клиентов, на домашнем Wi-Fi всё по-прежнему в порядке). 

Теперь к вашему вопросу. В доке на GitHub указано: 

vpn guest <brN> - добавляем правила iptable для гостевой сети или VPN сети,
                  по которой подключаются клиенты к роутеру, чтобы клиенты могли
                  ходить на сайты находящиеся в списочном файле.
                  Здесь brN - это идентификатор гостевой сети или VPN подключения
                  в терминах entware, например br1 или open_vpn0 или nwg2.

Вроде бы это ровно то, что мне необходимо. Добавить правила iptable для VPN сети, по которой смартфон и ноутбук подключаются к роутеру, чтобы те тоже могли ходить на заблокированные сайты. Но т.к. в качестве соединения для обхода блокировок используется Shadowsocks, то этой командой воспользоваться невозможно, kvas отвечает: 

Сейчас используется shadowsocks соединение.
Добавление гостевой сети для vpn пока не доступно.

В этой теме люди несколько раз отписывались об этой проблеме. Указав, что смена основного соединения для обхода с Shadowsocks на WireGuard вкупе с этой командой решает указанную проблему, но попахивает костылём. Хотелось бы разобраться, что нужно добавить в iptable вместо ухода от shadowsocks. 

P.S. Мне кажется, что нюанс, когда после установки требуется перенастроить VPN-сервер IKEv2/IPsec при переходе DNS-прокси с ndhcps на dnsmasq, стоит отразить в доке. Ещё отвалятся все домашние домены, заведённые до этого командой ip host; потребуется их перенос в конфиг dnsmasq (директива address) и /opt/etc/init.d/S56dnsmasq restart после этого.

[Пробуем КВАС]

В 30.01.2023 в 13:35, Ramazankzn сказал:

Кто подключен к роутеру напрямую (вай-фай, провод) - всё обходится. Кто подключается по IKEv2 при ДНС 78.47.125.180 перестают открываются сайты, но все пингуется; при установке ДНС 192.168.1.1 - обход блокировок у клиента не работает, но работаю сайты

Аналогичная ситуация. kvas vpn guest выдаёт

Цитата

Сейчас используется shadowsocks соединение.
Добавление гостевой сети для vpn пока не доступно.

Связка Shadowsocks на VDS + VPN-сервер на роутере по-прежнему не позволяет обходить блокировки? Может подскажите хотя бы куда копать?