Пробуем КВАС

[demonidze]

Уважаемый Zeleza и другие участники данного форума

Помогите разобраться с стриминговым сервисом Netflix. Суть какая, dns подхватывает основные ip адреса добавляет их в ip лист, сайт и оболочка приложений работает без вопросов, дальше когда хочешь открыть какой ниубдь сериал или фильм, то как я понимаю, фильмы и сериалы находящиеся на основном серваке открываются без проблем, но те фильмы или сериалы которые находятся на других серваках а ip у них зарегестрировано 160768, то на приложении выходит ошибка подключения ввиду того, что подключения до данных ip адресов идет через провайдера, соответственно данное подключение блокируется. Как быть, что делать? Прописывать все 160768 адресов, мне кажется это дичь, может быть есть иное решение? По ветке форума ответ искал, не нашел. Может быть ответ уже есть и ткнете пальцем, заранее спасибо!

Edited January 18, 2023 by demonidze

[Zeleza]

Доброго дня

44 минуты назад, demonidze сказал:

Как быть, что делать? Прописывать все 160768 адресов, мне кажется это дичь, может быть есть иное решение?

Попробуйте следующие варианты:

1. Добавьте доменное имя со звездочкой kvas add *netflix.com, в случае, если задействованы поддоменные имена второго и выше уровня, как например film1.netflix.com. 
2. Добавьте сетевые диапазоны, которые принадлежат этой компании
   1. Первый способ, добавьте все по одному ip интервалы, командой  kvas add 108.175.32.0/20 и так далее, все по порядку (согласно приведенным Вами картинкам)
   2. Второй способ, добавьте необходимые ip интервалы в файл (один интервал - одна строка), например netflix.ips и затем импортируйте их все сразу kvas import netflix.ips

Edited January 18, 2023 by Zeleza

[vasek00]

1 час назад, demonidze сказал:

...сервисом Netflix. .....Как быть, что делать? Прописывать все 160768 адресов, мне кажется это дичь, может быть есть иное решение? По ветке форума ответ искал, не нашел.

1. Wireguard Proton (через Нидерланды) для сервиса Netflix - работает, но проверьте.

2. на основание п.1  можно завернуть в WG, можно совестно с профилем где будет данный WG (хотя бы резервным каналом т.е. не default)

AdGuardHome

ipset:
  - flxvpn.net,netflix.ca,netflix.com,netflix.com.au,netflixdnstest10.com,netflixdnstest1.com,netflixdnstest2.com,netflixdnstest3.com,netflixdnstest4.com,netflixdnstest5.com,netflixdnstest6.com,netflixdnstest7.com,netflixdnstest8.com,netflixdnstest9.com,netflixinvestor.com,netflix.net,netflixstudios.com,netflixtechblog.com,nflxext.com,nflximg.com,nflximg.net,nflxso.net,nflxvideo.net/netflix

плюс маркировка пакетов, примеры есть на форуме, пара-тройка строк 

ipset create netflix hash:ip hashsize 4096
iptables ..... -m set --match-set netflix dst -j MARK --set-mark ХХХХХХХХХХ
...
ip route add default dev ИМЯ_WG_nwg2 table АААААА
ip rule add fwmark ХХХХХХХХХХ table АААААА

 

 

 

Edited January 18, 2023 by vasek00

[Andrey Zubov]

What are Netflix's IP Addresses and Port Ranges? – Netflix | Partner Help Center (netflixstudios.com)

[kilia]

Zeleza, добрый вечер!

На вкладке политика доступа в интернет (http://192.168.1.1/controlPanel/policies) есть возможность создавать отдельные политики для выхода в интернет пользователей.
Если назначить пользователю любой из профилей кроме как по умолчанию, то сайты из списка разблокировали не открываются.

В прошивке 3.9 добавили возможность создать профиль с "Многопутевой передачей": 

В режиме многопутевой маршрутизации, все включенные в политику подключения автоматически передают трафик. Этот режим можно использовать для суммирования пропускной способности каналов ваших провайдеров.

Можно ли сделать, чтобы для иных профилей доступа в интернет Квас тоже работал? 

[Zeleza]

Доброго дня

В 21.01.2023 в 22:34, kilia сказал:

Можно ли сделать, чтобы для иных профилей доступа в интернет Квас тоже работал? 

Прошу прощения за задержку с ответом. Был немного занят.

Если я верно понимаю, то данная задача под стать задаче "на каждое соединение свой список хостов", только тут будет "под свой профиль будет свой список хостов". Все верно понял?
Если так, то в принципе интересная задача. Вместо списков подключения сделать списки профилей.
Займусь ей после WUI.

Edited January 25, 2023 by Zeleza

[kilia]

Добрый день!

Чуть не так, но то что вы предложили даже лучше=)

Я имел ввиду, что сейчас квас работает только для системного профиля. Если создать иной профиль, то сайты из списка разблокировки просто не открываются, но если пользователя добавить в системный профиль, сайты из списка разблокировали начинаю открываться.

Вот хотелось бы чтобы в других профилях доступа квас также работал как и для системного профиля. 

[drfischer]

День добрый.

Обнаружил сегодня, что перестал работать нормальным образом квас (не попадаю на заблокированные сайты). Запустил KVAS DEBUG и получил:

Скрытый текст

~ # kvas debug
-----------------------------------------------------------------------------------
Версия пакета КВАС 1.1.3-
-----------------------------------------------------------------------------------
Текущая дата и время Wed Jan 25 11:04:21 MSK 2023

-----------------------------------------------------------------------------------
Информация о роутере
-----------------------------------------------------------------------------------
Страна: RU
Модель: KN-1011
Продукт: Giga
Тип архитектуры: mipsel

Текущее VPN соединение: ProstoVPN UDP (Bulgary) (OpenVPN3)          ПОДКЛЮЧЕНО
УСТАНОВЛЕН список разблокировки ПО УМОЛЧАНИЮ.
Шифрование DNS трафика (dnscrypt-proxy2) ВКЛЮЧЕНО.
Блокировка рекламы НЕ УСТАНОВЛЕНА..
-----------------------------------------------------------------------------------
Установка завершена: 25/01/2023 10:50:19
-----------------------------------------------------------------------------------
Список ошибок из системного журнала
-----------------------------------------------------------------------------------

Состояние службы dnsmasq по команде
/opt/etc/init.d/S56dnsmasq status                                   ОСТАНОВЛЕНА
-----------------------------------------------------------------------------------

И дальше запустив dnsmasq получил:

dnsmasq: failed to create listening socket for port 53: Address already in use

 

С чего вдруг это произошло - не поняно. Но, очевидно, в этом проблема работы с КВАСом?

Пытался переустановить КВАС, предварительно его удалив командой "KVAS remove full", но ситуация не изменилась (

 

Подскажите пожалуйста как все исправить?

[CJMAXiK]

12 минуты назад, drfischer сказал:

dnsmasq: failed to create listening socket for port 53: Address already in use

Введите команду netstat -lpn | grep :53. Какой процесс занимает порт 53?

[drfischer]

8 минут назад, CJMAXiK сказал:

Какой процесс занимает порт 53?

~ # netstat -lpn | grep :53
tcp        0      0 0.0.0.0:53              0.0.0.0:*               LISTEN      13723/dnsmasq
tcp        0      0 :::53                   :::*                    LISTEN      13723/dnsmasq
udp        0      0 192.168.1.1:5351        0.0.0.0:*                           778/miniupnpd
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           629/avahi-daemon
udp        0      0 0.0.0.0:5355            0.0.0.0:*                           630/tsmb-server
udp        0      0 109.173.89.201:53788    0.0.0.0:*                           269/ndm
udp        0      0 0.0.0.0:53296           0.0.0.0:*                           940/ndnproxy
udp        0      0 0.0.0.0:53              0.0.0.0:*                           13723/dnsmasq
udp        0      0 :::53680                :::*                                940/ndnproxy
udp        0      0 :::5353                 :::*                                629/avahi-daemon
udp        0      0 :::53                   :::*                                13723/dnsmasq
 

[Zeleza]

14 минуты назад, drfischer сказал:

tcp        0      0 0.0.0.0:53              0.0.0.0:*               LISTEN      13723/dnsmasq

Доброго дня
В данном случае попробуйте перегрузить dnsmasq. Команда kvas test сделает это автоматически.

[drfischer]

25 минут назад, Zeleza сказал:

kvas test сделает это автоматически

Пробовал квас тест:

~ # kvas test
-----------------------------------------------------------------------------------
Состояние службы dnsmasq                                            /opt/bin/kvas: line 80: /opt/etc/init.d/S56dnsmasq: not found
ОСТАНОВЛЕНА
Перезапускаем еще раз dnsmasq                                       ОШИБКА

Запустите диагностику командой kvas debug
~ #
 

и так по кругу... запустив kvas debug получаю 
 

Скрытый текст

~ # kvas debug
-----------------------------------------------------------------------------------
Версия пакета КВАС 1.1.3-
-----------------------------------------------------------------------------------
Текущая дата и время Wed Jan 25 12:23:59 MSK 2023

-----------------------------------------------------------------------------------
Информация о роутере
-----------------------------------------------------------------------------------
Страна: RU
Модель: KN-1011
Продукт: Giga
Тип архитектуры: mipsel

Текущее VPN соединение: ProstoVPN UDP (Bulgary) (OpenVPN3)          ПОДКЛЮЧЕНО
УСТАНОВЛЕН список разблокировки ПО УМОЛЧАНИЮ.
Шифрование DNS трафика (dnscrypt-proxy2) ВКЛЮЧЕНО.
Блокировка рекламы НЕ УСТАНОВЛЕНА..
-----------------------------------------------------------------------------------
Установка завершена: 25/01/2023 10:50:19
-----------------------------------------------------------------------------------
Список ошибок из системного журнала
-----------------------------------------------------------------------------------
 Opkg::Manager: /opt/etc/ndm/netfilter.d/100-vpn-mark: exit code 2.
 Jan 25 12:18:46

Состояние службы dnsmasq по команде
/opt/etc/init.d/S56dnsmasq status                                   ОСТАНОВЛЕНА
-----------------------------------------------------------------------------------

dnsmasq: failed to create listening socket for port 53: Address already in use

[] Проблемы при выделении адресов для аренды DHCP
~ #

 

[Zeleza]

19 минут назад, drfischer сказал:

/opt/etc/init.d/S56dnsmasq: not found

Вы удаляли dnsmasq самостоятельно?
Пришлите пожалуйста вывод:

ls -lai /opt/init.d

 

[drfischer]

12 минуты назад, Zeleza сказал:

Вы удаляли dnsmasq самостоятельно?

Нет, не удалял. Чудеса какие-то(

~ # ls -lai /opt/init.d
ls: /opt/init.d: No such file or directory
~ #
 

UPD

Чуть изменил запрос:

 

~ # ls -lai /opt/etc/init.d
 692226 drwxr-xr-x    2 root     root          1024 Jan 25 12:53 .
 692225 drwxr-xr-x   18 root     root          2048 Jan 25 12:53 ..
 692357 -rwxr-xr-x    1 root     root           236 Jan 25 10:22 K09dnscrypt-proxy2
 692324 -rwxr-xr-x    1 root     root           236 Jan 25 12:53 S09dnscrypt-proxy2
 692308 -rwxr-xr-x    1 root     root           232 Aug  7 15:18 S10cron
 692316 -rwxr-xr-x    1 root     root           258 Dec  1 14:23 S22shadowsocks
 692278 -rwxr-xr-x    1 root     root           736 Aug 10 09:02 S51dropbear
 692305 -rwxr-xr-x    1 root     root           980 Jan 25 12:53 S96kvas
 692304 -rwxr-xr-x    1 root     root          1947 Jan 25 11:49 S99adguardhome
 692356 -rwxr-xr-x    1 root     root           193 Dec  9 12:13 eK56dnsmasq
 692236 -rw-r--r--    1 root     root          2833 Oct  4  2021 rc.func
 692237 -rwxr-xr-x    1 root     root           950 Oct  4  2021 rc.unslung
~ #
 

Edited January 25, 2023 by drfischer

[Zeleza]

2 минуты назад, drfischer сказал:

~ # ls -lai /opt/init.d
ls: /opt/init.d: No such file or directory

Ошибся, прошу прощения - правильно  ls -lai /opt/etc/init.d

[drfischer]

1 минуту назад, Zeleza сказал:

Ошибся, прошу прощения - правильно  ls -lai /opt/etc/init.d

да, я выше поправил

[Zeleza]

9 минут назад, drfischer сказал:

 692304 -rwxr-xr-x    1 root     root          1947 Jan 25 11:49 S99adguardhome
 692356 -rwxr-xr-x    1 root     root           193 Dec  9 12:13 eK56dnsmasq

Ответ по моему очевиден.

[drfischer]

2 минуты назад, Zeleza сказал:

Ответ по моему очевиден.

Пардон. Разъясните пожалуйста. 👶

[Zeleza]

7 минут назад, drfischer сказал:

Пардон. Разъясните пожалуйста. 👶

Вы или тот, кто имеет доступ к Вашему устройству установил AGH, который отключил сервис dnsmasq и подключил AGH. И если Вы уже настроили под себя AGH и есть желание его и дальше использовать вместо dnsmasq, то просто запустите команду kvas adguard on. 

В целом Вам необходимо определиться какой из двух вариантов DNS сервисов Вы хотели бы использовать. Если dnsmasq вместо AGH, то команда kvas adguard off исправит положение. Только ее необходимо использовать после переименования файла /opt/etc/init.d/eK56dnsmasq в /opt/etc/init.d/S56dnsmasq. Если же хотите использовать AGH, то команда для его запуска описана выше.

[drfischer]

Пытаясь разобраться в чем дело я неоднократно выполнял "kvas adguard off" и "kvas adguard on" не переименовывая файл, о котором вы выше написали (не знал, что нужно это сделать было). И теперь, выполнив "kvas adguard off" получаю:
 

Скрытый текст

AdGuard Home в качестве DNS сервера удален                          УСПЕШНО
Обнаружен архив файла S09dnscrypt-proxy2.
Восстанавливаем S09dnscrypt-proxy2 из архива...                     ГОТОВО
Файл конфигурации dnscrypt-proxy2 сохраняем
под именем /opt/etc/.kvas/backup/dnscrypt-proxy.toml
Настраиваем dnscrypt-proxy2...                                                     ГОТОВО

 

~ # dnsmasq

dnsmasq: failed to create listening socket for port 53: Address already in use
~ #

Подскажите пожалуйста, как правильно очистить все хвосты от adguard и квас? Попробую заново все переустановить. Видимо подтягиваются от одного из-них бэкапы при переустановке и ничего не получается в результате настроить.

[drfischer]

Обнаружил при установке КВАСа (в очередной раз) ошибку:

Устанавливаем пакет dnsmasq...                                      /opt/bin/kvas: line 742: /opt/etc/init.d/S56dnsmasq: not found

Это можно проигнорировать?

 

К сожалению, после переустановки опять получаю эту ошибку:

Скрытый текст

~ # kvas test
-----------------------------------------------------------------------------------
Состояние службы dnsmasq                                            /opt/bin/kvas: line 80: /opt/etc/init.d/S56dnsmasq: not found
ОСТАНОВЛЕНА
Перезапускаем еще раз dnsmasq                                       ОШИБКА

Запустите диагностику командой kvas debug
~ # kvas debug
-----------------------------------------------------------------------------------
Версия пакета КВАС 1.1.3-
-----------------------------------------------------------------------------------
Текущая дата и время Wed Jan 25 14:45:53 MSK 2023

-----------------------------------------------------------------------------------
Информация о роутере
-----------------------------------------------------------------------------------
Страна: RU
Модель: KN-1011
Продукт: Giga
Тип архитектуры: mipsel

Текущее VPN соединение: ProstoVPN UDP (Bulgary) (OpenVPN3)          ПОДКЛЮЧЕНО
УСТАНОВЛЕН список разблокировки ПО УМОЛЧАНИЮ.
Шифрование DNS трафика (dnscrypt-proxy2) ВКЛЮЧЕНО.
Блокировка рекламы НЕ УСТАНОВЛЕНА..
-----------------------------------------------------------------------------------
Установка завершена: 25/01/2023 14:41:00
-----------------------------------------------------------------------------------
Список ошибок из системного журнала
-----------------------------------------------------------------------------------

Состояние службы dnsmasq по команде
/opt/etc/init.d/S56dnsmasq status                                   ОСТАНОВЛЕНА
-----------------------------------------------------------------------------------

dnsmasq: failed to create listening socket for port 53: Address already in use

[] Проблемы при выделении адресов для аренды DHCP
~ #

 

 

UPD После переименования файла, как Вы, Zeleza, писали выше и выполнения KVAS Adguard OFF - ошибок от dnsmasq не поступает)

Edited January 25, 2023 by drfischer

[Zeleza]

Если Вы решили использовать AGH в качестве основного DNS сервера, то попробуйте сделать полное удаление Кваса и его установку с выбором AGH при установке Кваса. Его Квас должен обнаружить автоматически и задать Вам вопрос об его использовании.

 

18 минут назад, drfischer сказал:

К сожалению, после переустановки опять получаю эту ошибку:

Если же Вы выбрали dnsmasq - то удалите AGH с роутера и перегрузите устройство.
DNS сервер на устройстве может быть только один!

opkg remove adguardhome-go
mv /opt/etc/init.d/eK56dnsmasq /opt/etc/init.d/S56dnsmasq
reboot
# После перезагрузки 
kvas adguard off

 

Edited January 25, 2023 by Zeleza

[drfischer]

2 минуты назад, Zeleza сказал:

Если же Вы выбрали dmsmasq - то удалите AGH с роутера и перегрузите устройство.

Спасибо. Именно это переименование файла и спасло. Теперь буду пытаться обратно настроить Adguard... 

[Zeleza]

2 минуты назад, drfischer сказал:

Теперь буду пытаться обратно настроить Adguard... 

Не понял, так что Вы выбрали в конечном счете? AGH или dnsmasq?

[drfischer]

36 минут назад, Zeleza сказал:

Не понял, так что Вы выбрали в конечном счете? AGH или dnsmasq?

Я изначально хотел чтоб заработал обход блокировок. Теперь попытаюсь заново установить AGH и, соответственно AGH использовать в качестве ДНС, ведь по-другому рекламу он резать не будет, как я понимаю.

[Zeleza]

4 минуты назад, drfischer сказал:

Я изначально хотел чтоб заработал обход блокировок. Теперь попытаюсь заново установить AGH и, соответственно AGH использовать в качестве ДНС, ведь по-другому рекламу он резать не будет, как я понимаю.

AGH просто более удобный вариант т.к. имеет встроенный WUI.
С обрезкой рекламы хорошо справляется и встроенный в Квас - dnscrypt-proxy2, который работает в связке с dnsmasq.

Это базовые вопросы - пожалуйста внимательно читайте справку по Квас.

[Joe]

Доброго дня, честно пытался разобраться сам, но не понял.. Так что прошу подсказать:

1. При настроенном kvas без AGH.
а) какие DNS сервера используются для резолвинга тех имен которые добавлены в список обхода 

б) какие DNS используются  для доменов, которые не добавлены в список обхода

в) если включен dnscrypt-proxy2 то список DNS отличается? Они ж наверное другие, должны поддерживать шифрование.

И в каких конфиг-файлах можно настраивать эти DNS'ы?

2. Те же вопросы, но если включен AGH..

Спасибо!

[Zeleza]

Доброго дня

21 минуту назад, Joe сказал:

честно пытался разобраться сам, но не понял

Откровенно говоря, данный пакет предназначен для тех, кто как раз таки не хочет разбирать себя и пытать)) Поставил и забыл.

Если же Вы действительно хотите разобрать себя, пытая, то Вам скорее всего нужно проштудировать, как минимум документацию по dnsmasq (секция server) + dnscrypt-proxy2 (+ тема на форуме + см. файл настроек самого пакета, секцию [sources]) и доку по AGH (источник 1 + источник 2).

Ну, а если серьезно, то Ваша лень не делает Вам чести. Все ссылки выше я нашел в поисковике за одну минуту.
 

[drfischer]

День добрый. Прошу прощения за оффтопик, но вдруг...

КВАС последней версии. Установлен, настроен AGH (клиенты подключенные к роутеру обходят блокировки согласно правилам КВАСа и в журнале AGH видно, что реклама режется.

Нашел в AGH "Перезапись DNS-запросов". Настроил так:

Скрытый текст

Но в результате это не работает. При переходе по yandex.ru - на ya.ru не попадаю. Ну и с рутрекером также.

Edited January 27, 2023 by drfischer

[Joe]

В 26.01.2023 в 16:21, Zeleza сказал:

Доброго дня

Откровенно говоря, данный пакет предназначен для тех, кто как раз таки не хочет разбирать себя и пытать)) Поставил и забыл.

Если же Вы действительно хотите разобрать себя, пытая, то Вам скорее всего нужно проштудировать, как минимум документацию по dnsmasq (секция server) + dnscrypt-proxy2 (+ тема на форуме + см. файл настроек самого пакета, секцию [sources]) и доку по AGH (источник 1 + источник 2).

Ну, а если серьезно, то Ваша лень не делает Вам чести. Все ссылки выше я нашел в поисковике за одну минуту.
 

Настройка DNS серверов - это настройка в юзер-спейсе, и вопрос довольно "бытовой" и пытать себя не нужно.

Отсылку к докам используемых пакетов не понял.. Да можно в чем угодно разобраться имея n времени. И интернет заново изобрести и булеву алгебру.

Вопрос был больше - какую, вы логику закладывали в квасе, какие сервера прописывали (если это константа). Поиск по форуму или даже гуглу - дает десятки результатов, но я не знаю насколько они релевантны, грубо говоря "также оно в квасе работает и или по-другому"?  Храните вы настройки серверов там-же или в другом месте?

Можно же просто спросить?

Я очень благодарен, как разработчику продукта, но прошу воздержаться от личных высказываний про лень и все такое. Вежливо написал - разобраться пытался, но это не моя область. C каких пор обмен информацией и экономия времени друг-друга стало синонимом лени?

Если не хотели отвечать - могли также вежливо написать "Как работает знаю, но лень писать, разбирайтесь сами)" или не писать ничего.. и не переходить на личности