Пробуем КВАС

[Андрей Волосков]

А зачем adguard ставить после kvas, вроде ж можно и до, сменить на /opt/etc/dnsmasq.conf порт на какой то другой, свободный, а в настройках адгуарда указать 127.0.0.1:новый порт. И адгуард выполняет свои обязанности, и вроде как маршруты идут нормально... поправьте, может я где то неправ? 

[avn]

4 минуты назад, Андрей Волосков сказал:

А зачем adguard ставить после kvas, вроде ж можно и до, сменить на /opt/etc/dnsmasq.conf порт на какой то другой, свободный, а в настройках адгуарда указать 127.0.0.1:новый порт. И адгуард выполняет свои обязанности, и вроде как маршруты идут нормально... поправьте, может я где то неправ? 

AGH полностью может заменить dnsmasq. dnsmasq при использовании agh не нужен. Лишнее звено.

[Zeleza]

3 минуты назад, Андрей Волосков сказал:

А зачем adguard ставить после kvas, вроде ж можно и до, сменить на /opt/etc/dnsmasq.conf порт на какой то другой, свободный, а в настройках адгуарда указать 127.0.0.1:новый порт. И адгуард выполняет свои обязанности, и вроде как маршруты идут нормально... поправьте, может я где то неправ? 

Именно эту процедуру и делает команда kvas dns adguard

[Андрей Волосков]

5 минут назад, avn сказал:

AGH полностью может заменить dnsmasq. dnsmasq при использовании agh не нужен. Лишнее звено.

Ну тут я не настолько умный.. если подскажите что делать и куда копать... тогда буду благодарен... я так понимаю что и dns-crypt можно заменить, т.к. в адгуарде есть встроенный... 

[Андрей Волосков]

2 минуты назад, Zeleza сказал:

Именно эту процедуру и делает команда kvas dns adguard

Хм, у меня с первой попытки Адгуард показывал только 127.0.0.1 запросы, причем от всех пользователей сети.. я подумал, что это ставит его после dnsmasq 

Изменено 27 июня, 2022 пользователем Андрей Волосков

[Zeleza]

22 часа назад, avn сказал:

AGH полностью может заменить dnsmasq. dnsmasq при использовании agh не нужен. Лишнее звено.

Если вносить вручную изменения маршрутов ipset в конфигурацию AGH, то согласен. Тогда в принципе КВАС, как таковой не нужен, как ранее и обсуждалось в параллельной теме - самый лучший "разблокировщик", это тот, что настроен и создан собственными руками и головой.

И в тоже время, есть множество тем, требующих внимания и изучения в нашем огромном и разностороннем мире. Во всем нет необходимости разбираться, достаточно использовать наработки других.
Например, уверен, что Вы не собираете opkg под свои нужды каждый раз, а используете готовый вариант.

Так и здесь, есть пакет - установил и забыл, просто используй. 

Изменено 28 июня, 2022 пользователем Zeleza

[avn]

9 минут назад, Zeleza сказал:

Если вносить вручную изменения маршрутов ipset в конфигурацию AGH, то согласен. Тогда в принципе КВАС, как таковой не нужен, как ранее и обсуждалось в параллельной теме - самый лучший разлокировщик, это тот, что настроен собственными руками и головой.

И в тоже время, есть множество тем, требующих внимания и изучения в нашем огромном и разностороннем мире. Во всем нет необходимости разбираться, достаточно использовать наработки других.
Например, уверен, что Вы не собираете opkg под свои нужды каждый раз, а используете готовый вариант.

Так и здесь, есть пакет - установил и забыл, просто используй. 

Я сделал так

 

backup-Tor-202205-25.tar

[Zeleza]

3 минуты назад, avn сказал:

Я сделал так

Идея понятна, спасибо.
Подумаю, на счет реализации, но пока не уверен, в необходимости.

Прошу проголосовать за данное сообщение, в случае необходимости данного функционала.

[Zeleza]

Update
Всем владельцем прошивки >=3.8 обязательно к обновлению.

• Исправлена ошибка опроса состояния интерфейсов.

[Zeleza]

Доброго всем дня,

10 часов назад, kilia сказал:

• Добавить бы в справку новые команды
• А еще бы может не сильно запарно добавить: kvas bridge add/del all

Сделал, в новом релизе появится.

21 час назад, Zeleza сказал:

Прошу проголосовать за данное сообщение, в случае необходимости данного функционала.

Все, те кто проголосовал, подскажите пожалуйста, правильно ли я Вас всех понял, что голосовали за установку AGH вместо dnsmasq, который находится в одном месте с КВАСом или у кого-то есть потребность, чтобы иметь возможность запускать AGH в связке с КВАСом на удаленном устройстве в локальной сети?

Изменено 28 июня, 2022 пользователем Zeleza

[i81]

37 минут назад, Zeleza сказал:

чтобы иметь возможность запускать AGH в связке с КВАСом на удаленном устройстве в локальной сети?

Мне вот так нужно

[Andrey Che]

Цитата

голосовали за установку AGH вместо dnsmasq

Cейчас, при использовании КВАС в AGH есть только один клиент: 127.0.0.1. И получается, что запросы идут вначале на dnsmasq, а том уже в AGH.

 

А в идеале, что бы запросы шли напрямую в AGH, что бы видно было кто и что спрашивает и работала фильтрация и т.п.

[Андрей Волосков]

6 минут назад, Andrey Che сказал:

Cейчас, при использовании КВАС в AGH есть только один клиент: 127.0.0.1. И получается, что запросы идут вначале на dnsmasq, а том уже в AGH.

 

А в идеале, что бы запросы шли напрямую в AGH, что бы видно было кто и что спрашивает и работала фильтрация и т.п.

Автор, видимо, неверно понял концепцию, что нужно AGH ставить до dnsmasq. а не после. Я отредактировал /opt/etc/dnsmasq.conf - вместо 53 порта поставил другой и в настройках апстрим в AGH поставил его.. вроде работает.

Изменено 28 июня, 2022 пользователем Андрей Волосков

[Zeleza]

Доброго дня

4 часа назад, Teutonick сказал:

Это форум, а не страничка в гитхабе. Обычно на гитхаб выкладывают свои творения и инструкции, а в форумах ведут беседы, собирают косяки и общественность помогает автору дополнять список частозадаваемых вопросов. Впервые вижу, подход как здесь, где это порицается. 

Возможно обычно так и делается, тогда Вам лучше перейти именно на те форумы, где это так. В тоже время, позволю себе повториться:

• Мусор из головы переносить сюда не нужно. Пишите в личку. Не было случая, чтобы я не выразил готовности помочь человеку, даже если человек не обрел понимания в том, как себя вести при обращении с просьбой о помощи.
• Всегда стараюсь отвечать оперативно и помочь всем страждущим, причем, при обращении в "личку", все исправления сразу появляются здесь с описанием решенных проблем.
• В данной теме, приветствуются пожелания 
  • по текущему функционалу
  • обновления 
  • комментарии по теме vpn,
  • то, чего автору понять не под силу)
  • плюс сообщения об ошибках и проблемах функционала КВАСа (без подробностей), все детали в "личку" с kvas debug.  

Изменено 28 июня, 2022 пользователем Zeleza

[Zeleza]

37 минут назад, Андрей Волосков сказал:

Автор, видимо, неверно понял концепцию, что нужно AGH ставить до dnsmasq. а не после. Я отредактировал /opt/etc/dnsmasq.conf - вместо 53 порта поставил другой и в настройках апстрим в AGH поставил его.. вроде работает.

Да, видимо я неверно понял. Скоро исправлю.)
Спасибо за комментарий.

Изменено 28 июня, 2022 пользователем Zeleza

[Андрей Волосков]

4 минуты назад, Zeleza сказал:

Доброго дня
 

Возможно обычно так и делается, тогда Вам лучше перейти именно на те форумы, где это так. В тоже время, позволю себе повториться:

• Мусор из головы переносить сюда не нужно. Пишите в личку. Не было случая, чтобы я не выразил готовности помочь человеку, даже если человек не обрел понимания о том, как себя вести при обращении с просьбой о помощи.
• Всегда стараюсь отвечать оперативно и помочь всем страждущим, причем, при обращении в личку все исправления сразу появляются здесь с описанием решенных проблем.
• Сообщения в данной теме, приветствуются пожелания по текущему функционалу и обновления, комментарии по теме vpn, чего автор не смог понять и пр. и плюс сообщения по теме самих фактов не работы функционала (без подробностей), все порочности в личку с kvas debug.  

НА самом деле мне кажется верным писать об ошибках сюда, посмотрите. я сидел и ломал голову, почему у меня не работает днс крипт, никто ж не пишет на фореме, значит у всех работает.. и сижу и думаю, что сам дурак... а тут раз - один, второй написал, и всё, понятно, что не во мне дело.. так же и с обсуждениями всякими.. а вот новые версии лучше выносить в первый пост, и список команд и т.п. А то поиск по форуму новой версии затруднен, особенно когда ветка большая... Это не именно в этом после, тут по всему форуму, что бы найти последнюю версию чего то нужно закопаться в ветку.

И Автор, обратите внимание, что какая то беда с ДНС крипт.. он перехватывает 53 порт, даже если его не включать.

Изменено 28 июня, 2022 пользователем Андрей Волосков

[Zeleza]

2 минуты назад, Андрей Волосков сказал:

НА самом деле мне кажется верным писать об ошибках сюда

Прочите пожалуйста внимательно текст ниже.

6 минут назад, Zeleza сказал:

В данной теме, приветствуются пожелания по текущему функционалу и обновления, комментарии по теме vpn, чего автор не смог понять и пр. и плюс сообщения по теме самих фактов не работы функционала (без подробностей), все подробности в личку с kvas debug.  

 

Изменено 28 июня, 2022 пользователем Zeleza

[Игорь Александрович Кривенко]

день добрый! как можно быстро сменить настройки ss сервера на другой ss сервер? Или проще заменить файл shadowsocks.json в ентваре? 

[Zeleza]

26 минут назад, Андрей Волосков сказал:

И Автор, обратите внимание, что какая то беда с ДНС крипт.. он перехватывает 53 порт, даже если его не включать.

Хорошо, посмотрю. Как Вы это определили?

[Zeleza]

7 минут назад, Игорь Александрович Кривенко сказал:

день добрый! как можно быстро сменить настройки ss сервера на другой ss сервер? Или проще заменить файл shadowsocks.json в ентваре? 

Доброго дня,

Благодарю за идею - появится в следующем релизе.

[kilia]

Zeleza, добрый день! 

А еще бы сохранять список сайтов для разблокировки при обновлении/переустановке kvas=)

[Zeleza]

1 минуту назад, kilia сказал:

А еще бы сохранять список сайтов для разблокировки при обновлении/переустановке kvas=)

Доброго дня, 
Так же, благодарю за идею. Появится в следующем релизе.

[Kolyk]

3 часа назад, Zeleza сказал:

Доброго всем дня,

Сделал, в новом релизе появится.

Все, те кто проголосовал, подскажите пожалуйста, правильно ли я Вас всех понял, что голосовали за установку AGH вместо dnsmasq, который находится в одном месте с КВАСом или у кого-то есть потребность, чтобы иметь возможность запускать AGH в связке с КВАСом на удаленном устройстве в локальной сети?

Огромное вам спасибо за то что вы делаете ! У меня есть потребность, чтобы иметь возможность запускать AGH в связке с КВАСом на удаленном устройстве в локальной сети.

[Teutonick]

Кажется я разобрался со своей невнимательностью. Вся проблема заключалась во включенной галочке "включить IPv6" в настройках "проводного подключения". 

 

 

 

 

Есть и еще один момент, у меня рабочий VPN стоит на компе и он отвалился теперь.

dnsmasq[705]

possible DNS-rebind attack detected: wiki.<workdomain>.ru

Недолго гуглив нарыл такой параметр в dnsmasq.conf

stop-dns-rebind     # Отклоняем адреса с вышестоящих DNS серверов, которые находятся в частных диапазонах.

Зачем он? Если я его комментирую у меня начинает работать рабочий VPN. Так ли важно этот параметр оставить включенным?

 

 

В результате моих исследований полезно будет в первый пост добавить более явно проверку на отключение ipv6 в настройках проводного подключения + указать, что stop-dns-rebind может блочить иные VPN клиенты, установленные на компьютерах в сети. 

Планируется ли поддержка ipv6 @Zeleza ? 

 

Изменено 28 июня, 2022 пользователем Teutonick

[Zeleza]

Доброго вечера,

1 час назад, Teutonick сказал:

Зачем он? Если я его комментирую у меня начинает работать рабочий VPN. Так ли важно этот параметр оставить включенным?

Данный параметр был взят из первоисточников. 

Update:  из документации по dnsmasq:

--stop-dns-rebind

Отклонить (и зарегистрировать) адреса с вышестоящих серверов имен, которые находятся в частных диапазонах. Это блокирует атаку, когда браузер за брандмауэром используется для зондирования машин в локальной сети. Для IPv6 частный диапазон охватывает IPv4-сопоставленные адреса в частном пространстве, а также все локальные (LL) и локальные адреса сайта (ULA).
 

1 час назад, Teutonick сказал:

добавить более явно проверку на отключение ipv6 в настройках проводного подключения + указать, что stop-dns-rebind может блочить иные VPN клиенты, установленные на компьютерах в сети. 

Планируется ли поддержка ipv6 @Zeleza ? 

Благодарю за конструктив. 

О планах: 

• Поддержка IPv6 планируется 
• Точно НЕ планируется поддержка tor
• Поддержка работы каждым vpn соединением своего списка разблокировки.
• Полная (локальная + удаленная) поддержка связки ipset + adguardhome + vpn|shadowsocks
• Поддержка WUI для КВАСа

Изменено 28 июня, 2022 пользователем Zeleza

[Сергей «Solaris» Сидоров]

18 часов назад, Zeleza сказал:

Точно НЕ планируется поддержка tor

Добрый день, а почему, если не секрет?

[Zeleza]

Доброго дня

8 минут назад, Сергей «Solaris» Сидоров сказал:

Добрый день, а почему, если не секрет?

Это больше вопрос внутренних убеждений, не технический.
Данной темы он не касается, потому предлагаю оставить его в покое.

Изменено 29 июня, 2022 пользователем Zeleza

[Zeleza]

Доброго всем дня,

Пробуем КВАС 1.0 beta 12

• реализованы новые команды
  • bridge add all - разрешаем доступ к VPN всем существующим гостевым сетям
  • bridge del all - запрещаем доступ к VPN для всех гостевых сетей.
  • ssr new - меняет настройки учетной записи shadowsocks сервера на другие настройки, в случае смены сервера или иных данных учетной записи (по просьбе @Игорь Александрович Кривенко)
  • adguard on - подключает использование AdGuard Home к КВАСу
  • adguard off - отключает использование AdGuard Home в КВАСе
  • adguard test - тестирует правила создания ipset для AdGuard Home
• упразднены следующие команды
  • ssr set, вместо нее используйте vpn set
  • dns adguard, вместо нее используйте adguard on
  • ssr flush за ненадобностью, вместо нее используйте ssr reset
  • vpn flush за ненадобностью, вместо нее используйте vpn reset
• обновлена справка по новым командам
• возможность сохранения списка разблокировки при обновлении/переустановке пакета (по просьбе @kilia)
• команда смены DNS сервера на AdGuard Home теперь работает как положено. AdGuard Home слушает 53 порт, а записи ipset формируются для него скриптом.
  При этом отключаются службы dnsmasq и dnscrypt_proxy2, так как AdGuard Home имеет полную замену всему их функционалу полюс к этому еще и WUI интерфейс.
• в случае отсутствия AdGuard Home на роутере, теперь скрипт может его автоматически скачать и установить.
• внесены правки в код для проверки работоспособности пакета AdGuard Home в связке с КВАСом.
• добавлена проверка, при установке пакета, на включение IPv6 на интерфейсе для интернета и в случае ее наличия автоматически отключает (по просьбе @Teutonick).
• оптимизирован код отвечающий за тесты и отладку пакета
• в целях отладки ведется сбор данных при установке пакета в файл /opt/tmp/kvas.install.log
• при удалении пакета, теперь очищаются все правила и таблицы, которые были созданы пакетом для своей работы.
• упразднено большинство вопросов при установке, все делается по умолчанию и в случае необходимости может быть отключено вручную соответствующими командами
• полностью переписан скрипт сборки проекта с учетом нововведений выше.
• исправлены синтаксические ошибки.
• теперь, исходный код пакета Вы сможете посмотреть по этой ссылке на GitHub. 

 

Изменено 4 июля, 2022 пользователем Zeleza

[Zeleza]

Поэкспериментировав с различными вариантами связок (ipset+vpn+dnsmasq+dnscrypt_proxy2 и ipset+vpn+adguardhome) могу сказать, что самый стабильный вариант получается при использовании связки ipset+vpn+adguardhome. Подозреваю, что проблема в связке ipset+vpn+dnsmasq+dnscrypt_proxy2 скорее всего связана с тем, что "хромает" wildcard на dnsmasq.

Потому рекомендую устанавливать КВАС именно в связке с  ipset+vpn+adguardhome и именно на локальной машине, а не на удаленной, так как удалено нет возможности (по крайней мере, пока не нашел) работать с ipset + adguardhome.

Для этого есть два варианта:

1. Установить самостоятельно пакет adguardhome командой opkg Install adguardhome-go и затем его настроить и только после чего установить КВАС
2. Установить КВАС и затем после его полной установки - набрать команду kvas adguard on

Изменено 4 июля, 2022 пользователем Zeleza

[i81]

10 минут назад, Zeleza сказал:

Установить КВАС и затем после его полной установки - набрать команду kvas adguard on

Т. Е. Эта команда установить локальный adh на роутер?