Jump to content

Recommended Posts

При подключении к роутеру по VPN (кинетик - впн-сервер), весь трафик клиента все равно идет через провайдерское подключение.

Подскажите, пожалуйста, как сделать, чтобы на клиентов тоже действовал квас)

 

Edited by Ramazankzn
Link to comment
Share on other sites

Доброго вечера,

В 01.08.2022 в 09:55, Ramazankzn сказал:

Подскажите, пожалуйста, как сделать, чтобы на клиентов тоже действовал квас)

Мне Вам позвонить по спутниковой связи для выяснения деталей? Если так, то диктуйте номер.)

  • Thanks 1
  • Upvote 1
Link to comment
Share on other sites

Доброго дня 

Цитата

Добрый день, а проект с телеграм ботом остановили или в планах есть его развитие?

Проект Жезл продолжу после завершения кваса (когда выйдем из беты).

Edited by Zeleza
  • Upvote 1
Link to comment
Share on other sites

@Zeleza Добрый день! Насколько я понял, то использовать КВАС с интренет-фильтрами не выйдет, только Adguard Home. Adguard Home мне не подошел, так как использует общие списки фильтрации для всех клиентов и нет возможности создать отдельные черные/белые списки для отдельных клиентов, максимум что можно сделать это включить/отключить родительский контроль на отдельных клиентов и отключить предопределенные сервисы. 
А вот в NextDNS все отлично настраивается, да и функционал значительно богаче. Есть ли возможность реализовать использование стандартных интернет-фильтров, настраиваемых на роутере?

Link to comment
Share on other sites

Доброго утра,

9 часов назад, iQwaz сказал:

А вот в NextDNS все отлично настраивается, да и функционал значительно богаче. Есть ли возможность реализовать использование стандартных интернет-фильтров, настраиваемых на роутере?

Не понял вопроса. Поясните пожалуйста более подробно.

В моем понимании, после настройки Кваса, Вы же можете указать любые DNS, как в AGH, так и в dnsmasq, какие Вы захотите. Просто первичным DNS идет один из обозначенных выше сервисов, в вторичными Вы можете указать любые, на Ваш вкус (настраивается в файле конфигурации каждого из сервисов).

Link to comment
Share on other sites

10 часов назад, iQwaz сказал:

только Adguard Home. Adguard Home мне не подошел, так как использует общие списки фильтрации для всех клиентов и нет возможности создать отдельные черные/белые списки для отдельных клиентов, максимум что можно сделать это включить/отключить родительский контроль на отдельных клиентов и отключить предопределенные сервисы. 
А вот в NextDNS все отлично настраивается, да и функционал значительно богаче. Есть ли возможность реализовать использование стандартных интернет-фильтров, настраиваемых на роутере?

Для вас так же подойдет adguard-dns.io (только не в курсе открыли на нем регистрацию или нет, ранее была открыта для beta тестирования).

Скрытый текст

664487236_-5.thumb.jpg.fefbb19e5802c354e20c88e9f1f91dfa.jpg39189233_-6.thumb.jpg.30aad308ba0044d6fbf70965832c3ceb.jpg

 

Link to comment
Share on other sites

14 часа назад, Zeleza сказал:

Доброго утра,

Не понял вопроса. Поясните пожалуйста более подробно.

В моем понимании, после настройки Кваса, Вы же можете указать любые DNS, как в AGH, так и в dnsmasq, какие Вы захотите. Просто первичным DNS идет один из обозначенных выше сервисов, в вторичными Вы можете указать любые, на Ваш вкус (настраивается в файле конфигурации каждого из сервисов).

Опишу поподробнее хотелки:
Сейчас в настройках интернет-фильтров это выглядит вот так:
image.thumb.png.72573f995129d84e83c71e2e9ab4a197.png

На  стороне NextDNS две конфигурации и в зависимости от устройства я могу применять одну или другую. Каждая конфигурация — это, по сути, отдельный DNS-сервер. Т.е. в зависимости от устройства keenetic подсовывает им разные DNS-сервера.
А после того ввода команды opkg dns-override  и установки КВАСа функцию DNS-сервера выполняет dnsmasq и тот вторичный dns, который я укажу в настройках, а не то, что настроено в интернет-фильтрах.

Вот мне и хотелось, чтобы любые другие DNS брались из настроек-интернет фильтров в зависимости от устройства в сети.

З.Ы. Заранее извиняюсь если, что-то неправильно излагаю, т.к. не очень силен в тонкостях работы dns-серверов и прочих vpn-ов..

 

Link to comment
Share on other sites

Буду благодарен за уточнения "для чайников", возможно нужны корректировки инструкции.

Устанавливал по первому посту, качал бету 15.

1. Если следовать мануалу то после opkg dns-override - system configuration save - system reboot пропадает доступ к провайдерским DNS, интернет не открывается, инструкцию прочитать невозможно)). Даже сам кинетик перестает резолвиться через http://my.keenetic.net/ и KeeDNS. Иначе скрипт просто не сможет ничего скачать в entware.

2. Не устанавливается квас потому, что нужны зависимости, и они сами они не устанавливаются.. Видимо нужно добавить в мануал

Скрытый текст

Installing kvas (1.0-beta_15) to root...
Collected errors:
 * satisfy_dependencies_for: Cannot satisfy the following dependencies for kvas:
 *      knot-dig
 *      nano-full
 * opkg_install_cmd: Cannot install package kvas.
 

3. После установки написано

Collected errors:
 * pkg_run_script: package "kvas" postinst script returned status 1.
 * opkg_configure: kvas.postinst returned 1.

С этим нужно что нибудь предпринимать?

 

4. Запустил установку повторно - на шаге Перезапуска dnsmasq - Ошибка, где посмотреть детальнее в чем ошибка? Интересно что в ходе установки интернет заработал, видимо opkg DNS заработал  

image.png.26e17f19112b3865a0c3cc4813dc0c75.png

Edited by Joe
Link to comment
Share on other sites

Доброго утра,

В 09.08.2022 в 21:14, iQwaz сказал:

Вот мне и хотелось, чтобы любые другие DNS брались из настроек-интернет фильтров в зависимости от устройства в сети.

Нет, реализовывать подобный функционал в планах не стоит. 

Link to comment
Share on other sites

Доброго утра,

4 часа назад, Joe сказал:

С этим нужно что нибудь предпринимать?

kvas debug "в личку".

Link to comment
Share on other sites

Доброго всем вечера.

Ниже информация о текущем состоянии дел и об одном решении известной проблемы.

Итак, на текущий момент занимаюсь рабочими внутренними задачами, потому работа над проектом отложена на две-три недели. Прошу прощения за это, но есть, как есть. 
Тогда же планирую выпустить новый релиз.

До выпуска релиза, всем тем, кто установил Квас бета 15 и кто использует любое иное vpn соединение вместо shadowsocks рекомендуется сделать небольшое изменение в файле /opt/etc/ndm/netfilter.d/100-vpn-mark, дабы исключить ошибки в системном журнале (см. рисунок) и сбои при обновлении правил. 

image.png.5df8e3b8543e4cd707051ba0d8ec83a8.png

Необходимо вручную отредактировать указанный в логе файл и в строках
ip4tables -A PREROUTING... и убрать флаг "" должно получиться
ip4tables PREROUTING...
Затем сделать kvas update.

Edited by Zeleza
  • Thanks 2
  • Upvote 2
Link to comment
Share on other sites

В 05.07.2022 в 00:03, Zeleza сказал:

Поэкспериментировав с различными вариантами связок (ipset+vpn+dnsmasq+dnscrypt_proxy2 и ipset+vpn+adguardhome) могу сказать, что самый стабильный вариант получается при использовании связки ipset+vpn+adguardhome. Подозреваю, что проблема в связке ipset+vpn+dnsmasq+dnscrypt_proxy2 скорее всего связана с тем, что "хромает" wildcard на dnsmasq.

А в чем конкретно нестабильность dnscrypt_proxy2? Насколько это критично?

Я озаботился обходом заблокированных сайтов, но так же хотел бы не светить DNS-траффик свой.

Несколько, наверное, очень глупых вопросов сейчас задам, но всё же.
1. В Keenetic OS уже есть поддержка DoH/DoT. Можно ли как-то использовать встроенный DNS-сервер? Т.е. указать в dnsmasq в качестве апстрим-сервера вместо dnscrypt_proxy2 встроенный?
2. Пока я не понимаю в какой именно момент происходит определение того траффик до каких IP-адресов надо закидывать в тоннель. Поддержка wildcard-адресов говорит о том, что это должно происходить как-то динамически в момент резолвинга адреса в dnsmasq, но как именно?

Link to comment
Share on other sites

Молодые люди, доброго Вам дня

Вас папа с мамой не учили здороваться? )) Ну даже Бог с этой элементарной вежливостью. Пусть. Но при всех других возникающих вопросах к людям вопрошающих о какой-либо помощи, как-то: воспитания и добропорядочности, для меня наиболее важным является факт отсутствия осознанности, когда человек даже не может понять, что простое приветствие - является возможностью стать немного осознаннее в своих действиях. 

Предпочитаю общаться с людьми осознанными, воспитанными и добропорядочными. 

Относительно Ваших вопросов:

В 19.08.2022 в 00:15, Cobby сказал:

А в чем конкретно нестабильность dnscrypt_proxy2? Насколько это критично?

Писал ранее, что предоставленные варианты реализации dnscrypt_proxy2 сборки возможно некорректно работают с wildcard. Но это лишь мое предположение. 

 

23 часа назад, wildrun0 сказал:

КВАС подружится с Pi-hole?

Нет, пока не задавался этой целью. Но механизм работы такой же, как и при работе с AGH.

Edited by Zeleza
Link to comment
Share on other sites

Добрый день! Прошу прощения за крайнюю бестактность. 
На прошивке 3.8.4 отсутствуют Netfilter и ему сопутствующие компоненты - мне кажется стоит уточнить этот момент в документации

Link to comment
Share on other sites

32 минуты назад, wildrun0 сказал:

На прошивке 3.8.4 отсутствуют Netfilter и ему сопутствующие компоненты - мне кажется стоит уточнить этот момент в документации

Благодарю Вас за замечание по существу.

  • Upvote 1
Link to comment
Share on other sites

2 часа назад, wildrun0 сказал:

На прошивке 3.8.4 отсутствуют Netfilter и ему сопутствующие компоненты

Если это так на Вашем устройстве - сообщите разработчикам. Netfilter на 3.8.4 это обязательный компонент  (KN-1010). 

Link to comment
Share on other sites

14 минуты назад, zyxmon сказал:

Если это так на Вашем устройстве - сообщите разработчикам. Netfilter на 3.8.4 это обязательный компонент  (KN-1010). 

Значит @wildrun0 ввел в заблуждение. 

@wildrun0, скажите на чем оно основано?

Link to comment
Share on other sites

33 минуты назад, Zeleza сказал:

Значит @wildrun0 ввел в заблуждение. 

@wildrun0, скажите на чем оно основано?

Не так давно в сообществе кинетиков, но я так понимаю что с новых версий данные компоненты просто идут вместе с OPKG.

Судя по всему, я просто неверно выразил мысль. Прощу прощения за зря наведенную панику image.png.1ce581b94e4d0ec33b1d6053a692e774.png

Edited by wildrun0
Link to comment
Share on other sites

Всем привет - буду благодарен за совет по вопросам: 

1. При конфигурации квас+adh куда, в каком месте можно прописать свои собственные записи DNS? Например у меня дома есть сервер server.home, раньше он резолвился через сам кинетик и был там добавлен командой host,  теперь это в недрах КВАС-adh, но моих знаний не хватает чтобы понять где именно.

2. Подскажите, а в веб интерфейсе adh нигде не видно список доменов, которые настроены на работу через vpn? Я просто искал там во вкладке Фильтры какой то намек на внеший конфиг файл, который ему передает kvas, и не понял как работает эта взаимосвязь.

 

Link to comment
Share on other sites

Доброго дня,

2 часа назад, Joe сказал:

1. При конфигурации квас+adh куда, в каком месте можно прописать свои собственные записи DNS? Например у меня дома есть сервер server.home, раньше он резолвился через сам кинетик и был там добавлен командой host,  теперь это в недрах КВАС-adh, но моих знаний не хватает чтобы понять где именно.

1326097376_2022-08-2214_05_26.thumb.png.53f42881762c70fec9a30784995f2d19.png

Отмечено красным

2 часа назад, Joe сказал:

2. Подскажите, а в веб интерфейсе adh нигде не видно список доменов, которые настроены на работу через vpn? Я просто искал там во вкладке Фильтры какой то намек на внеший конфиг файл, который ему передает kvas, и не понял как работает эта взаимосвязь.

Файл /opt/etc/AdGuardHome/AdGuardHome.yaml блок данных ipset:

  • Thanks 1
Link to comment
Share on other sites

Приветствую, Пытаюсь перенаправить трафик с vpn соединения (ppp1) на квас, но нигде файла 100-redirect.sh нет, и команда mcedit /opt/etc/ndm/netfilter.d/100-redirect.sh не даёт результата, я бы взял готовый файл с форума, но у меня сомнения что он подойдёт. Решил тут задать вопрос, т.к. выше уже интесовались и я поудмаля что ответ будет многим полезен.

Link to comment
Share on other sites

Доброго утра,

5 часов назад, Butyc сказал:

Пытаюсь перенаправить трафик с vpn соединения (ppp1) на квас, но нигде файла 100-redirect.sh нет, и команда mcedit /opt/etc/ndm/netfilter.d/100-redirect.sh не даёт результата, я бы взял готовый файл с форума, но у меня сомнения что он подойдёт.

Да, этого файла действительно нет, так как я разделил его на три логические части, на три файла:

  1. Первый файл 100-dns-local, в указанной папке /opt/etc/ndm/netfilter.d/, создает правила для работы для работы DNS на 53 порту. Он общий и всегда присутствует при любом типе VPN соединения.
  2. Второй 100-proxy-redirect, создает правила работы для shadowsocks соединений и соотвественно создается и присутствует только тогда, когда выбрано и используется это соединение командой kvas vpn set.
  3. Третий 100-vpn-mark, маркирует трафик VPN во всех остальных случаях соединений, отличных от shadowsocks

Вот собственно и все. Логика осталась вся та же, что и была в первоисточнике.
А что именно Вы хотели бы изменить в этих файлах?

Link to comment
Share on other sites

1 час назад, Zeleza сказал:

А что именно Вы хотели бы изменить в этих файлах?

Я подключаюсь к роутеру по впн со смартфона, и хотел бы, чтобы тобход блокировок тоже работал. Я так понял, надо добавить прероутинг для соединения впн, вопрос в том, в какой файл.

P.s. команда kvas ssr port не отображает текущий порт, а удаляет его,.заменяя на пустое значение. Приходится вручную вписывать

Link to comment
Share on other sites

13 минуты назад, Butyc сказал:

Я так понял, надо добавить прероутинг для соединения впн, вопрос в том, в какой файл.

Выше описал подробно.

14 минуты назад, Butyc сказал:

P.s. команда kvas ssr port не отображает текущий порт, а удаляет его,.заменяя на пустое значение. Приходится вручную вписывать

Да, тут действительно ошибка. Исправлю в следующем релизе.
Благодарю за помощь и внимательное отношение. 

  • Thanks 1
  • Upvote 1
Link to comment
Share on other sites

Пока не ставил, но очень хочется :)

У меня личный vps в Нидерландах и на нем установлен WireGuard. Я его подключил в vpn соединениях через импорт конфига, соединение вроде нормально создалось. В документации сказано что мне необходимы логины, пароли и все такое, а можно как-то указать Квасу при установке чтобы он просто использовал вот этот уже настроенный в роутере vpn? 

Link to comment
Share on other sites

5 часов назад, Andrey Zubov сказал:

Пока не ставил, но очень хочется :)

У меня личный vps в Нидерландах и на нем установлен WireGuard. Я его подключил в vpn соединениях через импорт конфига, соединение вроде нормально создалось. В документации сказано что мне необходимы логины, пароли и все такое, а можно как-то указать Квасу при установке чтобы он просто использовал вот этот уже настроенный в роутере vpn? 

можете на тот сервер (предполагаю, что через вдсину) поставить shadowsocks , будет попроще)

Link to comment
Share on other sites

23 минуты назад, Butyc сказал:

можете на тот сервер (предполагаю, что через вдсину) поставить shadowsocks , будет попроще)

она самая, родная :)

просто у меня уже на домашнем компе wg, у родственников тоже он и сейчас менять коня на переправе откровенно не хочется. Вот и подумал получится ли малой кровью установить КВАС на wg, ведь судя по первому сообщению кому-то это явно удалось :)

Link to comment
Share on other sites

В 28.08.2022 в 14:55, Andrey Zubov сказал:

В документации сказано что мне необходимы логины, пароли и все такое, а можно как-то указать Квасу при установке чтобы он просто использовал вот этот уже настроенный в роутере vpn? 

Конечно, при установке кваса появляется выбор какое из имеющихся VPN использовать, или добавить shadowsocks. Можно выбрать уже настроенный Wireguard.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...