Пробуем КВАС

[Zeleza]

Доброго утра, всем

Для всех тех, у кого возникает проблема с подключением к КВАСу через отдельное VPN подключение, как-то Wireguard или OpenVPN и пр., где схема подключения выглядит следующим образом:
Клиент -> VPN -> роутер -> Квас (VPN/Shadowsocks) -> Интернет или  
Клиент -> WIFI -> роутер -> Квас (VPN/Shadowsocks) -> Интернет, другими словами если Ваши клиенты подключены через какое-либо иное подключение, кроме как напрямую по кабелю, то в этом случае ОБЯЗАТЕЛЬНО ПРОВЕРЬТЕ:

Цитата

ЧТО В НАСТРОЙКАХ ЭТОГО ПОДКЛЮЧЕНИЯ,  В СТРОКЕ АДРЕСА ВАШЕГО DNS, УКАЗАН АДРЕС ВАШЕГО РОУТЕРА, А НЕ DNS ВАШЕГО ПРОВАЙДЕРА ИЛИ ИЗ СПИСКА СТАНДАРТНЫХ АДРЕСОВ ТИПА 8.8.8.8, 1.1.1.1, 9.9.9.9 ИЛИ ИМ ПОДОБНЫЕ. 

Это поможет лишить Ваших клиентов (телефонов, планшетов или иных устройств) и Вас, в том числе, оснований для недоумений, при обнаружении того факта, что доступ к доменам из "Белого списка" отсутствует. 

Edited September 16, 2022 by Zeleza

[R0cky]

Добавлю, что современные браузеры (в том числе их мобильные версии) все чаще обзаводятся своими днс сервисами якобы для пущей конфиденциальности (по типу dnscrypt). Для корректной работы алгоритма обхода эти сервисы в используемых вами браузерах необходимо отключать.

Edited September 16, 2022 by R0cky

[Butyc]

В 15.09.2022 в 12:54, R0cky сказал:

Перенаправление днс запрсов с подсетей впн сервера или гостевой сети:

iptables -w -t nat -A PREROUTING -p udp -d 10.8.3.1 --dport 53 -j DNAT --to 192.168.1.1:53

Где 10.8.3.1 - шлюз (обычно и днс сервер) гостевой сети (или впн сервера, к которому подключаются клиенты извне). 192.168.1.1 - шлюз интерефейса br0 на котором висит dnsmasq. Если dnsmasq слушает порт, отличный от стандартного 53, в адресе после DNAT порт тоже надо скорректировать.

Далее разрешаем хождение пакетов из гостевой сети в впн сеть, используемую для обхода (в нашем примере это будет nwg0)

iptables -w -t nat -A POSTROUTING -s 10.8.3.0/24 -o nwg0 -j MASQUERADE

10.8.3.0/24 - это как можно догадаться гостевая подсеть или подсеть впн сервера, используемого клиентскими устройствами.

Ну и не забыть из правил маркировки траффика убрать условие ! -s "${INFACE_GUEST_GW4}"

Пробуйте.

 

 

Уважаемый, может быть Вы поясните для простых обывателей, какой файл открыть, и что куда написать на обычном квасе, чтобы клиенты подключенные к роутеру как к впн серверу тоже ходили бы через обход блокировок? Нас уже некоторое количество собралось и все в личке общаемся, но все без толку

[drfischer]

На своем примере покажу. Никакого роутинга прописывать не понадобилось. Мобильник подключается к роутеру через мобильную сеть по ipsec. Настройки в мобильном (андроид в моем случае) выглядят так:

При этом все прекрасно разблокируется на телефоне ну и доступ к инстаграмму, fb и прочим Intel и спотифаям работает!

Цитата

 

 

Edited September 17, 2022 by drfischer

[Zeleza]

18 часов назад, Butyc сказал:

может быть Вы поясните для простых обывателей

Друзья, доброго дня

Чуть выше я для всех "простых обывателей", простым языком написал о мерах, которые необходимо принять для решения проблемы с подключением клиентов из других сетей. Затем дополнил запись на первой странице в пункте "УСТАНОВКА ПАКЕТА"

В 16.09.2022 в 07:30, Zeleza сказал:

ВАЖНО!
 
 ПЕРЕД ПОДКЛЮЧЕНИИ КЛИЕНТОВ К РОУТЕРУ ОБЯЗАТЕЛЬНО ПРОВЕРЬТЕ:
 
 1. ЧТО В НАСТРОЙКАХ ВАШИХ КЛИЕНТОВ, КОТОРЫЕ ПОДКЛЮЧАЮТСЯ
     К НЕМУ ПО WIFI ИЛИ ПО VPN, В СТРОКЕ АДРЕСА ВАШЕГО DNS, УКАЗАН
    АДРЕС ВАШЕГО РОУТЕРА, А НЕ DNS ВАШЕГО ПРОВАЙДЕРА ИЛИ ИЗ СПИСКА
     СТАНДАРТНЫХ АДРЕСОВ ТИПА 8.8.8.8, 1.1.1.1, 9.9.9.9 ИЛИ ИМ ПОДОБНЫЕ. 
 
 2. ЧТО ВАШ БРАУЗЕР НЕ ИСПОЛЬЗУЕТ СОБСТВЕННЫЕ DNS, ТАК КАК ОНИ ИМЕЮТ
      БОЛЬШИЙ ПРИОРИТЕТ, ЧЕМ НАСТРОЙКИ, УКАЗАННЫЕ В ПУНКТЕ ВЫШЕ.

Прошу Вас подтвердить или опровергнуть данное решение, помогло ли?
Все, выше указанные правила iptable, указывать пока нет необходимости, если Вам помог вариант смены DNS на адрес роутера.
Если не помог, дайте знать, я выпущу бету с правилами, указанными выше.  
 

Edited September 18, 2022 by Zeleza

[Butyc]

22 часа назад, Zeleza сказал:

Друзья, доброго дня

Чуть выше я для всех "простых обывателей", простым языком написал о мерах, которые необходимо принять для решения проблемы с подключением клиентов из других сетей. Затем дополнил запись на первой странице в пункте "УСТАНОВКА ПАКЕТА"

Прошу Вас подтвердить или опровергнуть данное решение, помогло ли?
Все, выше указанные правила iptable, указывать пока нет необходимости, если Вам помог вариант смены DNS на адрес роутера.
Если не помог, дайте знать, я выпущу бету с правилами, указанными выше.  
 

добрый день, прошу прощения, не увидел обновления шапки! Изучу, на скорую руку провел тест со сменой днс, не помогло - не идет обход, скрин настроек прилагаю

[Ramazankzn]

В 17.09.2022 в 16:01, Zeleza сказал:

Друзья, доброго дня

Чуть выше я для всех "простых обывателей", простым языком написал о мерах, которые необходимо принять для решения проблемы с подключением клиентов из других сетей. Затем дополнил запись на первой странице в пункте "УСТАНОВКА ПАКЕТА"

Прошу Вас подтвердить или опровергнуть данное решение, помогло ли?
Все, выше указанные правила iptable, указывать пока нет необходимости, если Вам помог вариант смены DNS на адрес роутера.
Если не помог, дайте знать, я выпущу бету с правилами, указанными выше.  
 

Добрый день! С вами в личке переписывались как раз по этому поводу.

Пробовал устанавливать в качестве DNS ip-роутера - все равно не помогает/не работает

[Zeleza]

5 минут назад, Ramazankzn сказал:

Пробовал устанавливать в качестве DNS ip-роутера - все равно не помогает/не работает

Доброго вечера,
Хорошо, на днях выпущу версию с правилами iptable, указанными выше.
Поработаем и этот вариант.  

[R0cky]

5 часов назад, Butyc сказал:

добрый день, прошу прощения, не увидел обновления шапки! Изучу, на скорую руку провел тест со сменой днс, не помогло - не идет обход, скрин настроек прилагаю

Убедитесь, что ип адрес вашего роутера в локальной сети именно 192.168.1.1

[drfischer]

Видимо дело не только в ip роутера)

Значит именно специальная бета версия решает вопрос)

[Butyc]

3 часа назад, R0cky сказал:

Убедитесь, что ип адрес вашего роутера в локальной сети именно 192.168.1.1

он и есть  и адгард на этом же адресе

[Dack64]

В 14.09.2022 в 20:01, Dack64 сказал:

Очень интересно, у меня 3.8.5. Ради эксперимента сбросил всё в ноль, настроил только впн и квас. Интерфейс увидел, но 2IP показывает адрес провайдера, все добавленные в таблицу сайты так же идут через провайдера.

Я не знаю как это должно работать, но после отключения ipv6 в личном кабинете провайдера - всё заработало как надо. При всём при этом на самом роутере, в интернет подключении была убрана галка "Использовать ipv6", но как показывает практика этого почему-то не достаточно.

Не долго музыка играла. Через пару минут квас перестает работать, все сайты опять ломятся в провайдера. На пару минут помогает тест, который говорит что всё хорошо.

Edited September 20, 2022 by Dack64

[Zeleza]

Доброго всем утра,

В 18.09.2022 в 18:37, Zeleza сказал:

Хорошо, на днях выпущу версию с правилами iptable, указанными выше.
Поработаем и этот вариант.

Пробуем новую версию Кваса - 1.0 beta 16:

1. Доработан скрипт маркировки VPN трафика [100-vpn-mark], теперь скрипт автоматически определяет как ему маркировать трафик (с включенным или отключенным ускорением)
2. Теперь команда kvas ssr port отображает текущий номер локального порта shadowsocks соединения
3. Исправлена ошибка при установке локального порта по комманде kvas ssr port <port>
4. При использовании adguard и выводе команды kvas debug, секция ipset теперь выводится полностью
5. Удален запрос на удаленную установку AdGuard Home для избежания последующих недоразумений.
6. Устранена ошибка при повторном удалении AdGuard Home: 'sed: /opt/etc/AdGuardHome/AdGuardHome.yaml: No such file or directory'
7. Изменена структура и наименования исполняемых файлов по функциональному признаку для удобочитаемости файлов проекта
8. Добавлена возможность подключать гостевую сеть к VPN подключению, отличному от shadowsocks. Команда kvas vpn guest ent_network (детали в файле README.md и в справке по команде kvas help)

Edited September 20, 2022 by Zeleza

[avn]

1 час назад, Zeleza сказал:

Доброго всем утра,

Пробуем новую версию Кваса - 1.0 beta 16:

1. Доработан скрипт маркировки VPN трафика [100-vpn-mark], теперь скрипт автоматически определяет как ему маркировать трафик (с включенным или отключенным ускорением)
2. Теперь команда kvas ssr port отображает текущий номер локального порта shadowsocks соединения
3. Исправлена ошибка при установке локального порта по комманде kvas ssr port <port>
4. При использовании adguard и выводе команды kvas debug, секция ipset теперь выводится полностью
5. Удален запрос на удаленную установку AdGuard Home для избежания последующих недоразумений.
6. Устранена ошибка при повторном удалении AdGuard Home: 'sed: /opt/etc/AdGuardHome/AdGuardHome.yaml: No such file or directory'
7. Изменена структура и наименования исполняемых файлов по функциональному признаку для удобочитаемости файлов проекта
8. Добавлена возможность подключать гостевую сеть к VPN подключению, отличному от shadowsocks. Команда kvas vpn guest ent_network (детали в файле README.md и в справке по команде kvas help)

В последних беттах ADGH добавили параметр ipset_file. Теперь основной конфиг можно не трогать.

  ipset: []
  ipset_file: /tmp/AdGuardHome-ipset.yaml

 

[Zeleza]

В 20.09.2022 в 09:11, avn сказал:

В последних беттах ADGH добавили параметр ipset_file. Теперь основной конфиг можно не трогать.

Доброго дня
Спасибо, ранее уже писал по этому поводу - так как есть, те кто пользуется старой версией ADGH, то для совместимости пока оставлю как есть.
Полагаю, что к релизу версии 1.1 - уже будет учтено это обновление. 

Edited September 21, 2022 by Zeleza

[Zeleza]

ВНИМАНИЕ !

Цитата

У кого возникли сложности с установкой 16 беты - скачайте пожалуйста и переустановите пакет - исправил и пересобрал заново.

 

Edited September 20, 2022 by Zeleza

[Zeleza]

Пробуем Квас 1.0 бета 17

1. Удалены строки с комментариями и пустые строки при выводе отладочной и тестовой информации из файлов конфигурации.
2. Исправленные ошибки при выборе shadowsocks подключения во время установки
3. Изменилось поведение при исполнени команды kvas без аргументов - вместо вывода справки, сейчас выводит БС (исполняет свое предназначение)
4. Внесены изменения в работу команды adguard off - сейчас Adguard отключается в принудительном порядке (ранее сначала проверялся по статусу)
5. Добавлена дополнительная проверка на наличие /opt/etc/kvas.dnsmasq при проверке работы dnsmasq 
6. Добавлена возможность архивировать и восстанавливать настройки для dnscrypt-proxy2
7. Изменен принцип проверки работы службы AdGuardHome - ориентация на наличие запущенной службы и соотествующей записи в файле настроек Кваса
    

ОБНОВЛЕНИЕ:
Во избежание ошибок при установке, сначала полностью удалите пакет следующей командой: opkg remove kvas --autoremove 

Edited September 21, 2022 by Zeleza

[Вячеслав _]

Попробовал установить бету17, ошибка

 

Установка пакета КВАС™ версия 1.0-beta-17]
-----------------------------------------------------------------------------------
Настройка файлов конфигурации пакета                                ГОТОВО
Копируем файл со списком разблокировки по умолчанию                 УСПЕШНО
Останавливаем сервис dnsmasq...                                     ГОТОВО
Заменяем файл конфигурации dnsmasq...                               ГОТОВО
Меняем dnsmasq на версию с поддержкой wildcard                      ГОТОВО
Настройка файлов конфигурации dnsmasq                               ГОТОВО
Обнуление таблицы ipset                                             ГОТОВО
Обновление таблицы ipset                                            ГОТОВО
Обновление списка dnsmasq                                           ГОТОВО
Перезапуск службы dnsmasq                                           ГОТОВО
-----------------------------------------------------------------------------------
Системное время обновлено с основного сервера:                      11:44:46
Устанавливаем пакет dnscrypt-proxy2...                              ОШИБКА
Ошибка при установке пакета dnsmasq
Collected errors:
 * pkg_run_script: package "kvas" postinst script returned status 1.
 * opkg_configure: kvas.postinst returned 1.

Роутер Ultra (KN-1810), log скинул @Zeleza в ЛС

Предыдущую версию удалял не просто с --autoremove но и конфиг dnsmasq из /opt/etc удалил, ошибка остается. 

[Zeleza]

15 минут назад, Вячеслав _ сказал:

Предыдущую версию удалял не просто с --autoremove но и конфиг dnsmasq из /opt/etc удалил, ошибка остается. 

Доброго дня, 
обсуждение ошибок на гитхабе или в личку.

[Butyc]

В 18.09.2022 в 22:26, drfischer сказал:

Видимо дело не только в ip роутера)

Значит именно специальная бета версия решает вопрос)

поставил 17 бету, по прежнему без изменений, подключение с телефона к роутеру по впн (ikev1/ipsec) с прописанными днс не дает обходить блокировки, 2ip показывет адрес сети. Команда kvas vpn guest - не рабоает, т.к. я использую ss

[R0cky]

Butyc

ipv6 у провайдера, к которому подключен роутер включен? если да, то выключите его

[Kolyk]

Хочу сказать спасибо за то что пересобрали 17 бету от 24.09.22, теперь другое дело.

[Zeleza]

Доброго всем дня

7 часов назад, Киселев Николай сказал:

Хочу сказать спасибо за то что пересобрали 17 бету от 24.09.22, теперь другое дело.

Всем тем, кто встречает при установке эту ошибку пожалуйста переустановите бету 17, она пересобрана. 

Edited September 25, 2022 by Zeleza

[drfischer]

В 24.09.2022 в 16:08, Butyc сказал:

поставил 17 бету, по прежнему без изменений, подключение с телефона к роутеру по впн (ikev1/ipsec) с прописанными днс не дает обходить блокировки, 2ip показывет адрес сети. Команда kvas vpn guest - не рабоает, т.к. я использую ss

А при этом по wifi подключенный телефон обходит блокировки? И,да, как выше писали,может у вас ipv6 включен? Я его и на роутере отключил и в самом телефоне (протокол APN сделал только ipv4, по умолчанию было ipv4/ipv6).

Edited September 26, 2022 by drfischer

[Butyc]

В 25.09.2022 в 11:04, drfischer сказал:

А при этом по wifi подключенный телефон обходит блокировки? И,да, как выше писали,может у вас ipv6 включен? Я его и на роутере отключил и в самом телефоне (протокол APN сделал только ipv4, по умолчанию было ipv4/ipv6).

на роутеры выключен ipv6. При подключении по wifi все работало. Проверяю настройки смартфона. Пробовал ставить на смарте ipv4 only, все по прежнему

Edited September 26, 2022 by Butyc
дополнение

[mf41]

Доброго времени суток,

Столкнулся с такой проблемой - после обновления KeeneticOS с 3.8.4 до 3.8.5 КВАС перестал работать - сайты из белого списка не открываются. При этом kvas test показывает что все ок. Что пытался сделать:

- обновился вчера до 17 беты

- отключил IPv6 в настройках роутера + в настройках проводного подключения на компьютере

- менял SOCKS сервера

- включал в настройках проводного подключения в роутере "Игнорировать DNS"

Ничего не помогло. Даже 2ip.ru не открывается ни по проводу ни по WiFi.

kvas debug заканчивается так:

-----------------------------------------------------------------------------------
Установка пакета КВАС™ версия 1.0-beta-17
-----------------------------------------------------------------------------------
Начало установки: 27/09/2022 23:30:20
-----------------------------------------------------------------------------------
ОШИБКА: Не отключено использование DNS провайдера.
-----------------------------------------------------------------------------------

Видимо, проблема из-за ошибки, но как ее починить - не понимаю.

Edited September 28, 2022 by mf41

[Артем Головачев]

5 часов назад, mf41 сказал:

Доброго времени суток,

Столкнулся с такой проблемой - после обновления KeeneticOS с 3.8.4 до 3.8.5 КВАС перестал работать - сайты из белого списка не открываются. При этом kvas test показывает что все ок. Что пытался сделать:

- обновился вчера до 17 беты

- отключил IPv6 в настройках роутера + в настройках проводного подключения на компьютере

- менял SOCKS сервера

- включал в настройках проводного подключения в роутере "Игнорировать DNS"

Ничего не помогло. Даже 2ip.ru не открывается ни по проводу ни по WiFi.

kvas debug заканчивается так:

-----------------------------------------------------------------------------------
Установка пакета КВАС™ версия 1.0-beta-17
-----------------------------------------------------------------------------------
Начало установки: 27/09/2022 23:30:20
-----------------------------------------------------------------------------------
ОШИБКА: Не отключено использование DNS провайдера.
-----------------------------------------------------------------------------------

Видимо, проблема из-за ошибки, но как ее починить - не понимаю.

Похоже, в настройках проводного подключения (ISP) вы не поставили галочку в пункте "Игнорировать DNS" 

[Артем Головачев]

Ребят, столкнулся с проблемой: квас работает уже достаточно давно и все хорошо (связка wg+adh), купил новый впс, добавил конфиг на роутере, хочу перейти на новый интерфейс, а kvas vpn set не выводит его в списке, тупо 3 первых по порядку добавленные интерфейса (действующий wg 3й, до этого ss и ovpn, которым не пользуюсь уже очень давно и он удален с роутера), мой новый интерфейс не видится. Как быть? 

Edited September 28, 2022 by Артем Головачев

[drfischer]

1 час назад, Артем Головачев сказал:

Как быть? 

попробуйте удалить файл etc\inface_equals, потом удалить квас, включить новый интерфейс, перезагрузить роутер,   установить 17бету кваса. У меня после этого появился и нормально заработал wireguard, например.

[Zeleza]

18 часов назад, drfischer сказал:

rm /opt/etc/inface_equals

Доброго дня,
Этого достаточно. После чего необходимо сново запустить:

kvas vpn set

 

Edited September 29, 2022 by Zeleza