Пробуем КВАС

[Zeleza]

ВНИМАНИЕ

Данный пакет позволяет осуществлять контроль за Вашим соединением и делать его защищенным.

Пакет представляет собой обвязку или интерфейс командной строки.

Особо выделю, возможность данного пакета, в связи с использованием в нем dbsmasq с wildcard, работать с любыми доменными именами третьего и выше уровней. Т.е. в белый список достаточно добавить *domen.com и маршрутизация трафика будет идти по выбранному vpn при обращении, как к sub1.domen.com, так и к любому другому подломанному имени subN.domen.com.

Обвязка основана на выложенных в открытом доступе скриптах других авторов.

Преимущества

Скрытый текст

1. Быстрота работы dnsmasq, даже при наличии множества доменных имен в списке, за счет его умения работать с хешем, а не с самими доменными именами.
2. Работа dnsmasq в режиме wildcard, когда можно вместо доменных имен третьего и выше уровня, просто указать звездочку. 
3. Утилита dnscrypt-proxy2 позволяет сделать DNS запросы зашифрованными. 
4. Как dnsmasq, так и dnscrypt-proxy2 позволяют организовать блокировку списков спама. В Квасе реализован вариант работы с dnsmasq.
5. Начиная с версии 1.0 beta 8 добавлена возможность подключения AdGuard Home в качестве DNS сервера.   

Возможности

Скрытый текст

1. Квас работает на всех роутерах Keenetic, в виду легковесности задействованных пакетов (начиная с версии 0.9 beta 9 работает на всех платформах: mips, mipsel, aarch64)
2. Квас использует dnsmasq, с поддержкой регулярных выражений, а это в свою очередь дает одно, но большое преимущество: можно работать с соцсетями и прочими высоко-нагруженными сайтами, добавив лишь корневые домены по этим сайтам.
3. Квас позволяет отображать статус/отключать/включать блокировку рекламы
4. Квас позволяет отображать статус/отключать/включать шифрование DNS
5. Квас позволяет тестировать и выводить отладочную информацию по всем элементам связки пакета
6. Имеется возможность подключения AdGuard Home в качестве DNS сервера.  

Установка пакета

curl -sOfL http://kvas.zeleza.ru/upgrade && sh upgrade

Ограничения

1. Данный пакет использует возможности Entware - без установленного Entware он не работает
2. В пакете используются некоторые функции API от Keenetic, потому на других роутерах он работать не будет.
3. Пакет работает пока только на IPv4.

Edited February 6 by Zeleza

[w00zle]

Инструкция для Heroku уже не актуальна, чуть менее чем полностью. Для регистрации из России нужен VPN и знать в какой стране выходной узел, что бы не ошибиться в анкете. И при использовании все равно блочат. Кого то раньше кого то позже. Там в конце статьи в комментариях про это есть. Меня блокнули через пару месяцев. И там по умолчанию используется плагин v2ray, его то же нужно ставить или он в составе кваса?

Скрытый текст

dnsmasq с регулярками я вижу прижился, но полностью он раскрываеться при работе с маркировкой пакетов (mangle)

 

Edited June 2, 2022 by w00zle

[Zeleza]

45 минут назад, w00zle сказал:

И там по умолчанию используется плагин v2ray, его то же нужно ставить или он в составе кваса?

Доброго дня 

нет, в составе Кваса лишь, то что заявлено в описании.

[Art-9]

1 час назад, Zeleza сказал:

Нет возможности использовать совместно с AdGuard Home (особенности работы dnsmasq).

Что это за особенности dnsmasq?

Что мешает направить DNS запросы так: LAN клиенты > AdGuard Home > dnsmasq

[w00zle]

23 минуты назад, Zeleza сказал:

Доброго дня 

нет, в составе Кваса лишь, то что заявлено в описании.

Тогда с Heroku не взлетит, боюсь. ИМХО ссылку на статью на хабре лучше убрать, что бы исключить вопросы - а почему не работает

[TheBB]

2 часа назад, Zeleza сказал:

Минус - используется вариант dnsmasq, с поддержкой регулярных выражений только для архитектуры mipsel (другого пока не нашел)

dnsmasq-full_2.86-9999_aarch64

dnsmasq-full_2.86-9999_mips

dnsmasq-full_2.86-9999_mipsel (до кучи)

[i81]

Вечер добрый, товарищи!

@Zeleza

Спасибо большое за Ваши труды!

Подскажите пожалуйста, в КВАСе можно сделать так, что бы трафик с самого роутера тоже шол согласно списку исключений, а не только трафик br0?

[Zeleza]

Пробуем  kvas_0.9-beta_9_all.ipk с поддержкой всех платформ.
Отдельное благодарю @TheBB 

Edited June 4, 2022 by Zeleza

[Zeleza]

1 час назад, i81 сказал:

Подскажите пожалуйста, в КВАСе можно сделать так, что бы трафик с самого роутера тоже шол согласно списка обхода, а не только трафик br0?

Доброго вечера, 

Я тружусь в основном над обвязкой (или интерфейсом командной строки) для работы с белым списком. 
Это больше вопрос к @avn и другим мудрым людям. В Квасе использованы скрипты на основе их наработок. 

[Zeleza]

3 часа назад, Art-9 сказал:

Что мешает направить DNS запросы так: LAN клиенты > AdGuard Home > dnsmasq

Доброго вечера, 
Благодарю за мысль добрую - так не пробывал еще. 
У Вас получилать подобная связка? Все работает?

[TheBB]

Т.к. пакет "entware-release" "прибит гвоздями" (см. в "opt-ndmsv2"), архитектуру мона определить так:

`grep "arch" /opt/etc/entware_release | cut -f2 -d"="`.

Или ваще ставить "dnsmasq" по прямой ссылке (пока не протухнет):

`opkg install $(grep '[[:space:]]entware' /opt/etc/opkg.conf | cut -f3 -d' ')/test/dnsmasq-full_2.86-9999_$(grep '150' /opt/etc/opkg.conf | cut -f2 -d' ').ipk`.

`/opt/tmp/*`  может быть и пустым. )))

[Zeleza]

23 часа назад, TheBB сказал:

grep "arch" /opt/etc/entware_release | cut -f2 -d"="`.

Доброго дня
Варианты dnsmasq зашил жестко без ссылок. Архитектуру определял по opkg, но Ваш вариант более эффективный.
Благодарю.

Edited June 4, 2022 by Zeleza

[Art-9]

В 03.06.2022 в 03:40, Zeleza сказал:

У Вас получилать подобная связка? Все работает?

Доброго вечера, я не пробовал подобную связку конкретно с "КВАС", но не вижу особой разницы кто будет напрямую обращаться к dnsmasq - LAN клиенты или AdGuard Home.

 

[avn]

1 час назад, Art-9 сказал:

Доброго вечера, я не пробовал подобную связку конкретно с "КВАС", но не вижу особой разницы кто будет напрямую обращаться к dnsmasq - LAN клиенты или AdGuard Home.

 

Или наоборот, Upstream DNS в dnsmasq - один единственный, и это AdGuard Home. А в ADGuard - upstream DNS - это 1.1.1.1,8.8.8.8 и т.д.

Т.е. схема такая:

Все клиенты -> DNSMasq -> AdGuard Home -> глобальные DNS
                       -> Onion -> Tor
                       -> Сайт через антизапрет -> Антизапрет
                       -> и т.д.

# Глобальный Upstream на adguard
server=myadguard.adguard.com#5678

# Tor onion
server=/onion/127.0.0.1#9153

# Сайт через антизапрет
server=/my.site/10.194.1.1#53

# Сайты через 9-ки
server=/tmdb.org/themoviedb.org/9.9.9.9

Т.е. резолв идет сначало для доменов, с индивидуальными серверами для dns-резолвинга. А если индивидуально не настроено - то на глобальный dns.

Edited June 3, 2022 by avn

[Art-9]

2 часа назад, avn сказал:

Все клиенты -> DNSMasq -> AdGuard Home -> глобальные DNS

Вариант рабочий но при такой схеме часть функционала AdGuard будет потеряна - настройка клиентов, в журнале все запросы будут от одного устройства.

Edited June 3, 2022 by Art-9

[avn]

10 часов назад, Art-9 сказал:

Вариант рабочий но при такой схеме часть функционала AdGuard будет потеряна - настройка клиентов, в журнале все запросы будут от одного устройства.

Почитал исходники. ADH поддерживает ipset. DNSMasq - можно выкинуть из цепочки вообще. Я не пробовал.

 

## ipset

AGH can add IP addresses of the specified in configuration domain names to an ipset list.

Prepare: user creates an ipset list and configures AGH for using it.

	1. User --( ipset create my_ipset hash:ip ) -> OS
	2. User --( ipset: host.com,host2.com/my_ipset )-> AGH

		Syntax:

			ipset: "DOMAIN[,DOMAIN].../IPSET1_NAME[,IPSET2_NAME]..."

		IPv4 addresses are added to an ipset list with `ipv4` family, IPv6 addresses - to `ipv6` ipset list.

Run-time: AGH adds IP addresses of a domain name to a corresponding ipset list.

	1. AGH --( resolve host.com )-> upstream
	2. AGH <-( host.com:[1.1.1.1,2.2.2.2] )-- upstream
	3. AGH --( ipset.add(my_ipset, [1.1.1.1,2.2.2.2] ))-> OS

Конфиг:

dns:
 ipset:
 - domain.com/ipset_name
 - domain1.com,domain2.com/ipset_name,ipset_name2
...

Настройка upstream:

[/pool.ntp.org/]1.1.1.1
[/pool.ntp.org/]1.0.0.1
[/pool.ntp.org/]2606:4700:4700::1111
[/pool.ntp.org/]2606:4700:4700::1001

 

 

Edited June 4, 2022 by avn

[Zeleza]

35 минут назад, avn сказал:

Почитал исходники. ADH поддерживает ipset. DNSMasq - можно выкинуть из цепочки вообще. Я не пробовал.

Дорого дня
В продолжении темы, нашел немного о связке ADH + ipset (ниже перевод робота)

Источник

 

Источник

Если кто реализует подобную связку дайте знать пожалуйста.
Был бы признателен за детали.

Edited June 4, 2022 by Zeleza

[Art-9]

4 часа назад, avn сказал:

Почитал исходники. ADH поддерживает ipset. DNSMasq - можно выкинуть из цепочки вообще. Я не пробовал.

Благодарю, проверил - работает. Жаль я раньше не прочитал их вики (https://github.com/AdguardTeam/AdGuardHome/wiki/Configuration).

Использование ipset в AdGuardHome позволит мне из цепочки убрать не только dnsmasq но и https-dns-proxy.

[avn]

1 час назад, Art-9 сказал:

Благодарю, проверил - работает. Жаль я раньше не прочитал их вики (https://github.com/AdguardTeam/AdGuardHome/wiki/Configuration).

Использование ipset в AdGuardHome позволит мне из цепочки убрать не только dnsmasq но и https-dns-proxy.

Тоже все заработало с ipset:

[Zeleza]

1 час назад, Art-9 сказал:

Благодарю, проверил - работает.

C wildcard тоже работает?

[Art-9]

12 часа назад, Zeleza сказал:

C wildcard тоже работает?

Не использую wildcard, да и проверить "КВАС" я не могу - перешел на OpenWrt.

[Zeleza]

Доброго утра всем,

13 минуты назад, Art-9 сказал:

Не использую wildcard, да и проверить "КВАС" я не могу - перешел на OpenWrt.

Тогда полагаю, что отказываться от dnsmasq пока рано.)

[avn]

3 часа назад, Zeleza сказал:

Доброго утра всем,

Тогда полагаю, что отказываться от dnsmasq пока рано.)

AGH тормоз ещё тот. Только для побаловаться. Dnsmasq в сто раз меньше и быстрее.

Edited June 5, 2022 by avn

[Игорь Александрович Кривенко]

спасибо! всё отлично работает!

можно ли прикрутить к данному пакету управление скажем через веб страничку "в локалке", а не телеграмм бота? 

[Zeleza]

4 минуты назад, Игорь Александрович Кривенко сказал:

можно ли прикрутить к данному пакету управление скажем через веб страничку "в локалке", а не телеграмм бота? 

Доброго дня
Конечно можно, все достижимо.
Надо ли?

[vasek00]

9 часов назад, avn сказал:

AGH тормоз ещё тот.

В обычном режиме не замечено.

[avn]

4 минуты назад, vasek00 сказал:

В обычном режиме не замечено.

Что за обычный режим? Я к тому, что у него много накладных расходов.

[vasek00]

1 час назад, avn сказал:

Что за обычный режим? Я к тому, что у него много накладных расходов.

Обычный это тот для которого он предназначен. Много накладных это сколько грамов или 

Цитата

AGH тормоз ещё тот. Только для побаловаться. Dnsmasq в сто раз меньше и быстрее

Что в вашем понятие накладные расходы?

[avn]

2 часа назад, vasek00 сказал:

Обычный это тот для которого он предназначен. Много накладных это сколько грамов или 

Что в вашем понятие накладные расходы?

Статистика. А без статистики он нафиг не нужен. Это чисто мое субъективное мнение, да красивое, но мне такое не нужно. 1 2 3

[vasek00]

8 часов назад, avn сказал:

Статистика. А без статистики он нафиг не нужен. Это чисто мое субъективное мнение, да красивое, но мне такое не нужно. 1 2 3

Ожидал другого, т.е. ваша фраза Я к тому, что у него много накладных расходов  имеет отношение только к набору ссылок.  Это то же самое как на форумах посты - у меня wifi плохо работает а у меня нормально или у меня 50ms в у меня 120ms страница открылась и т.д. чисто статистика.

Для статистики при использование AdguardHome или DNSmasq - НЕ ЗАМЕТИЛ разницы в открытие страниц при том что оба на строены для проверки на 8.8.8.8 только один с кучей списков и фильтров а другой не с чем.