Jump to content

Recommended Posts

Здравствуйте,

3 часа назад, drfischer сказал:

Прошу прощения за оффтопик, но вдруг...

Вам лучше спросить по этому поводу в этой теме.

 

Link to comment
Share on other sites

Всем привет! 
Подозреваю вопрос не совсем по КВАС, скорее по настройкам сети. Все же, может кто тут сталкивался с такой задачей. 

  1. Giga 1011
  2. КВАС последней версии 
  3. AG не установлен
  4. Для обхода SS (Outline server)

В стандартной связке из дома (wifi, lan) все отлично работает. Но на роутере настроен VPN-сервер IKEv2/IPsec для доступа к локальным ресурсам. При подключении к сети через IKEv2/IPsec клиент теряет доступ в интернет (как к заблокированным сайтам, так и к открытым), при этом к локальным ресурсам доступ не теряется. 

Прикладываю схему подключений

Скрытый текст

2023-01-27_17-12-22.thumb.png.e9d76752e11fbf260078940f14b6200a.png

Не хочется терять доступ к интернету, при подключении через IKEv2/IPsec. Идеальный вариант, чтобы через IKEv2/IPsec был доступ с обходом блокировок КВАСа. Но если получится сделать доступ к интернету без обхода блокировок, то тоже неплохо. 

Можете, пожалуйста, помочь с решением задачи? 

Link to comment
Share on other sites

16 минут назад, Данил Емельянов сказал:

Всем привет! 
Подозреваю вопрос не совсем по КВАС, скорее по настройкам сети. Все же, может кто тут сталкивался с такой задачей. 

  1. Giga 1011
  2. КВАС последней версии 
  3. AG не установлен
  4. Для обхода SS (Outline server)

В стандартной связке из дома (wifi, lan) все отлично работает. Но на роутере настроен VPN-сервер IKEv2/IPsec для доступа к локальным ресурсам. При подключении к сети через IKEv2/IPsec клиент теряет доступ в интернет (как к заблокированным сайтам, так и к открытым), при этом к локальным ресурсам доступ не теряется. 

Прикладываю схему подключений

  Показать содержимое

2023-01-27_17-12-22.thumb.png.e9d76752e11fbf260078940f14b6200a.png

Не хочется терять доступ к интернету, при подключении через IKEv2/IPsec. Идеальный вариант, чтобы через IKEv2/IPsec был доступ с обходом блокировок КВАСа. Но если получится сделать доступ к интернету без обхода блокировок, то тоже неплохо. 

Можете, пожалуйста, помочь с решением задачи? 

 

Какой днс стоит в настройка IKEv2 сервера на роутере?

Link to comment
Share on other sites

8 минут назад, Ramazankzn сказал:

 

Какой днс стоит в настройка IKEv2 сервера на роутере?

Похоже, что провайдерский.
Заменил его на DNS из команды kvas dns (127.0.0.1), не помогло

Link to comment
Share on other sites

Доброго вечера,

В 27.01.2023 в 16:48, Joe сказал:

прошу воздержаться от личных высказываний про лень и все такое. Вежливо написал - разобраться пытался, но это не моя область.

Очень жаль, что Вы восприняли мои слова за оскорбление. У меня не было намерения - оскорбить, задеть или обидеть Вас. И если это произошло, то прошу простить меня великодушно. 

Вопрос, в том виде, в котором Вы задали его изначально, не подразумевал иного ответа, чем тот, который я Вам привел ранее. Сейчас же, Вы дали пояснения к своему вопросу, которые представляют Ваш вопрос немного в ином свете, потому неловкой ситуации можно было бы избежать, сделай Вы эти пояснения изначально.

В 27.01.2023 в 16:48, Joe сказал:

Вопрос был больше - какую, вы логику закладывали в квасе, какие сервера прописывали (если это константа).

Логика в Квасе простая - использовать готовые инструменты, о которых я написал Вам ранее. Постараюсь пояснить еще раз: 

  1. dnsmasq (секция server) - внимательно просмотрите информацию по этой секции, Квас меняет настройки связанные с DNS-серверами только в этой секциии, в файле конфигурации dnsmasq. И меняет их тогда и только тогда, когда Вы отключаете шифрование DNS-запросов. Если же Вы используете шифрование DNS-запросов (команда kvas crypt on), то в этом случае DNS-шифрование начинает работать уже через dnscrypt-proxy2, посредством  DNS-серверов, описанные в секции sources файла конфигурации dnscrypt-proxy2.
  2.  dnscrypt-proxy2. Квас не меняет настройки связанные с DNS-серверами в секции [sources], а использует данные по умолчанию.
  3. В случае подключения AGH, связка dnsmasq+dnscrypt-proxy2 перестает работать и вместо нее начинает работать AGH (источник 1 + источник 2), тут и правда не стану даже обсуждать данный вопрос - это не мой продукт. Воспользуйтесь пожалуйста, теми ссылками, которые приведены или найдите новые. Квас не меняет настройки AGH касающиеся секции DNS-серверов .

 

Edited by Zeleza
  • Thanks 1
Link to comment
Share on other sites

5 минут назад, Данил Емельянов сказал:

Похоже, что провайдерский.
Заменил его на DNS из команды kvas dns (127.0.0.1), не помогло

Нужно перезагрузить сервер.

Либо пропишите на клиенте адрес роутера, например 192.168.1.1

Edited by Ramazankzn
  • Upvote 1
Link to comment
Share on other sites

54 минуты назад, Ramazankzn сказал:

Нужно перезагрузить сервер.

Либо пропишите на клиенте адрес роутера, например 192.168.1.1

Перезагружал роутер) 
Попробовал 127.0.0.1 в настройках VPN, клиент устанавливает его же. Пробовал и 192.168.1.1, как на клиенте, так и на сервере. Не заработало

Еще заметил, что телеграм работает через IKEv2. Сайты не открываются и пр. службы. 

Спасибо, еще попробую с DNS пошаманить

Частично рабочее решение

- На клиенте в настройках IKEv2 в качестве адреса сервера указал свой IP (белый) вместо домена ***.keenetic.pro

- На сервере в DNS IKEv2 указал 192.168.1.1

Результат – доступ в интернет есть (IKEv2 клиент -> Роутер с КВАС + IKEv2 сервер -> Интернет), но обход блокировок не работает.

Edited by Данил Емельянов
  • Upvote 1
Link to comment
Share on other sites

22 часа назад, Данил Емельянов сказал:

 

У меня все работает, в настройках сервера Ikev2 прописан DNS сервер 78.47.125.180, который является "техническим" у кинетика, и тем самым говорит о том что имена резолвит сам кинетик. Обход блокировок для клиентов работает. Пробуйте так же.

Link to comment
Share on other sites

В 27.01.2023 в 17:19, Zeleza сказал:

Здравствуйте,

Вам лучше спросить по этому поводу в этой теме.

 

Спросил(

Не сложилось с ответом. Думал,может,у кого КВАС установлен,проверяят у себя этот сценарий...

Edited by drfischer
Link to comment
Share on other sites

16 часов назад, drfischer сказал:

Не сложилось с ответом. Думал,может,у кого КВАС установлен,проверяят у себя этот сценарий...

У меня не работает перезапись в том случае, когда отключена фильтрация на клиенте либо глобально. Оформил баг-репорт в их репозитории.

Link to comment
Share on other sites

В 28.01.2023 в 17:04, Joe сказал:

У меня все работает, в настройках сервера Ikev2 прописан DNS сервер 78.47.125.180, который является "техническим" у кинетика, и тем самым говорит о том что имена резолвит сам кинетик. Обход блокировок для клиентов работает. Пробуйте так же.

Вообще перестает работать с дефолтным DNS (78.47.125.180)

  • Upvote 1
Link to comment
Share on other sites

3 часа назад, Данил Емельянов сказал:

Вообще перестает работать с дефолтным DNS (78.47.125.180)

Согласен, у меня также.
Ситуация как у вас один в один. Кто подключен к роутеру напрямую (вай-фай, провод) - всё обходится. Кто подключается по IKEv2 при ДНС 78.47.125.180 перестаю открываются сайты, но все пингуется, при установке ДНС 192.168.1.1 - обход блокировок у клиента не работает, но работаю сайты, при этом 2ip отображает провайдерский IP-адрес (к которому подключен кинетик).

Link to comment
Share on other sites

Доброго дня 

В 27.01.2023 в 17:27, Данил Емельянов сказал:

Не хочется терять доступ к интернету, при подключении через IKEv2/IPsec. Идеальный вариант, чтобы через IKEv2/IPsec был доступ с обходом блокировок КВАСа.

Пробывали ли команду kvas vpn guest <entware_net>?

Link to comment
Share on other sites

1 час назад, Zeleza сказал:

Доброго дня 

Пробывали ли команду kvas vpn guest <entware_net>?

Попробовал kvas vpn guest (без указания интерфейса), получил такой ответ:

Сейчас используется shadowsocks соединение.
Добавление гостевой сети для vpn пока не доступно.

 

  • Upvote 1
Link to comment
Share on other sites

В 30.01.2023 в 15:01, Данил Емельянов сказал:

Попробовал kvas vpn guest (без указания интерфейса), получил такой ответ:

Сейчас используется shadowsocks соединение.
Добавление гостевой сети для vpn пока не доступно.

 

Видимо с ss не работает обход блокировок по VPN. Сделал через wg - все заработало.

  • Upvote 1
Link to comment
Share on other sites

Сделал все по инструкции, спасибо все работает.

Но хочу сравнить с другими способами, устанавливал на чистую флешку, сейчас хочу ее вынуть, и на другую флешку установить другой вариант. Если не понравится, вернуть флешку с Квасом обратно. Можно просто вынуть флешку, или надо какие то команды ввести, чтоб потом опять все заработало, когда верну флешку.

Link to comment
Share on other sites

В 30.01.2023 в 15:01, Данил Емельянов сказал:

Попробовал kvas vpn guest (без указания интерфейса), получил такой ответ:

Сейчас используется shadowsocks соединение.
Добавление гостевой сети для vpn пока не доступно.

 

Добрейший вечер! Одна из причин по которой пока пришлось отказаться от кваса. Некторое время был активным пользователем. Насколько помню, в ранних версиях помогала команда kvas add bridge all

 

Link to comment
Share on other sites

День добрый.

Подскажите пожалуйста. С OpenVPN и Wireguard проблем нет. Соединение настраивается из вебморды кинетика, потом квас подключается к созданному VPN-подключению. А как настроить КВАС через ShadowSocks соединение? Если имеется в наличие только файл готовой конфигурации для клиентов ShadosSocks вида "ss://Y2uhY....."

p.s. Вопрос в том как создать это самое ShadoSocks-соединение на кинетике.

Edited by drfischer
Link to comment
Share on other sites

10 часов назад, drfischer сказал:

Если имеется в наличие только файл готовой конфигурации для клиентов ShadosSocks вида "ss://Y2uhY....."

p.s. Вопрос в том как создать это самое ShadoSocks-соединение на кинетике.

При наличие установленного на ПК - Shadowsocks-4.4.1.0 - после его запуска -> Сервера -> Импорт адреса из буфера обмена. Потом Серверы -> Редактировать серверы. Потом выбираете нужный и все параметры у вас на экране.

Link to comment
Share on other sites

1 час назад, vasek00 сказал:

При наличие установленного на ПК

Так я не на пк, а на роутер же хочу его установить и чтоб квас при поиске "подключенных vpn" мог его использовать.

Link to comment
Share on other sites

Доброго дня,

11 час назад, drfischer сказал:

файл готовой конфигурации для клиентов ShadosSocks вида "ss://Y2uhY....."

Приведите пожалуйста содержание этого файла.

Link to comment
Share on other sites

19 часов назад, drfischer сказал:

День добрый.

Подскажите пожалуйста. С OpenVPN и Wireguard проблем нет. Соединение настраивается из вебморды кинетика, потом квас подключается к созданному VPN-подключению. А как настроить КВАС через ShadowSocks соединение? Если имеется в наличие только файл готовой конфигурации для клиентов ShadosSocks вида "ss://Y2uhY....."

p.s. Вопрос в том как создать это самое ShadoSocks-соединение на кинетике.

Если нет установленного оутлайна делаем так:

В вашей ссылке:

После @ идет IP:Port для подключения

от ss:// до @ идет код в формате base64, переводим через декодер и получим строку: chacha20-ietf-poly1305:XXXXX, где XXXXX - пароль для подключения, а "chacha20-ietf-poly1305" - метод шифрования.

 

Так мы получим данные для подключения.

В кинетике я так понимаю по умолчанию нет ss подключения, используется OPKG. 

Если квас установлен думаю поможет команда kvas ssr new. Тут больше автор подскажет.

Если кваса нет, тот тут на форуме обсуждалось как сделать новое подключение: 

 

Edited by Ramazankzn
  • Thanks 1
Link to comment
Share on other sites

1 час назад, drfischer сказал:

Так я не на пк, а на роутер же хочу его установить и чтоб квас при поиске "подключенных vpn" мог его использовать.

Речь про чтение конф буфера в ПК для последующего ввода данных на роутер

Скрытый текст

-3.thumb.jpg.b1d7e9403655b4a00bf4c5185ad3c700.jpg

-2.jpg.857b8feb63ad9c3b24062696e8ca1890.jpg

 

  • Thanks 1
Link to comment
Share on other sites

2 часа назад, Zeleza сказал:

Приведите пожалуйста содержание этого файла.

ss://YWVzLTI1Ni1nY206ZTRGQ1dyZ3BramkzUVk=@ak1610.fr8678825324247b8176d59f83c30bd94d23d2e3ac5cd4a743bkwqeikvdyufr.cyou:9101#@OutlineVpnOfficial%20(france)

Link to comment
Share on other sites

9 минут назад, drfischer сказал:

ss://YWVzLTI1Ni1nY206ZTRGQ1dyZ3BramkzUVk=@ak1610.fr8678825324247b8176d59f83c30bd94d23d2e3ac5cd4a743bkwqeikvdyufr.cyou:9101#@OutlineVpnOfficial%20(france)

Вам уже выше @Ramazankzn ответил, как расшифровать ссылку и какую команду в Квасе ввести, чтобы все заработало. 

  • Upvote 2
Link to comment
Share on other sites

Друзья, выше была описана похожая проблема, но возможно у меня немного иная и я что-то упустил.

Имеется kn-1010 с серым ip, поднято wg соединение на германский сервер. Через этот wg настроен kvas. На роутере настроен sstp сервер для захода через облако keenetic. Теперь собственно проблема. На смартфоне с android поднимается sstp к роутеру. Смартфон получает доступ к локальной сети, внешней сети, кроме адресов в списке kvas. Т.е. доступа к любому ресурсу из списка kvas нет. Что я мог забыть или сделать не так?

Link to comment
Share on other sites

Свою проблему решил. Опишу, если кому-то понадобиться.

Через CLI

1. access-list vpn-sstp создал acl

2. permit ip 192.168.1.220/30 0.0.0.0/0 создал разрешающее правило для для /30 диапазона ip для клиентов по sstp

3. exit вышел из редактора

4. interface Wireguard0 ip access-group vpn-sstp out

5. interface Wireguard1 ip access-group vpn-sstp out два своих WG интерфейса навесил acl

6. system configuration save

Собственно дело не в kvas(е), как я и думал. Всем спасибо.

  • Upvote 3
Link to comment
Share on other sites

  • 2 weeks later...
27 минут назад, Виктор67 сказал:

Доброго времени суток, уважаемые специалисты.

Что я делаю не так? Не видит файл... 

Добрый день!

Попробуйте:

opkg update

 

Edited by kilia
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   1 member

×
×
  • Create New...