Пробуем КВАС

[Zeleza]

Здравствуйте,

3 часа назад, drfischer сказал:

Прошу прощения за оффтопик, но вдруг...

Вам лучше спросить по этому поводу в этой теме.

 

[Данил Емельянов]

Всем привет! 
Подозреваю вопрос не совсем по КВАС, скорее по настройкам сети. Все же, может кто тут сталкивался с такой задачей. 

1. Giga 1011
2. КВАС последней версии 
3. AG не установлен
4. Для обхода SS (Outline server)

В стандартной связке из дома (wifi, lan) все отлично работает. Но на роутере настроен VPN-сервер IKEv2/IPsec для доступа к локальным ресурсам. При подключении к сети через IKEv2/IPsec клиент теряет доступ в интернет (как к заблокированным сайтам, так и к открытым), при этом к локальным ресурсам доступ не теряется. 

Прикладываю схему подключений

Скрытый текст

Не хочется терять доступ к интернету, при подключении через IKEv2/IPsec. Идеальный вариант, чтобы через IKEv2/IPsec был доступ с обходом блокировок КВАСа. Но если получится сделать доступ к интернету без обхода блокировок, то тоже неплохо. 

Можете, пожалуйста, помочь с решением задачи? 

[Ramazankzn]

16 минут назад, Данил Емельянов сказал:

Всем привет! 
Подозреваю вопрос не совсем по КВАС, скорее по настройкам сети. Все же, может кто тут сталкивался с такой задачей. 

1. Giga 1011
2. КВАС последней версии 
3. AG не установлен
4. Для обхода SS (Outline server)

В стандартной связке из дома (wifi, lan) все отлично работает. Но на роутере настроен VPN-сервер IKEv2/IPsec для доступа к локальным ресурсам. При подключении к сети через IKEv2/IPsec клиент теряет доступ в интернет (как к заблокированным сайтам, так и к открытым), при этом к локальным ресурсам доступ не теряется. 

Прикладываю схему подключений

  Показать содержимое

Не хочется терять доступ к интернету, при подключении через IKEv2/IPsec. Идеальный вариант, чтобы через IKEv2/IPsec был доступ с обходом блокировок КВАСа. Но если получится сделать доступ к интернету без обхода блокировок, то тоже неплохо. 

Можете, пожалуйста, помочь с решением задачи? 

 

Какой днс стоит в настройка IKEv2 сервера на роутере?

[Данил Емельянов]

8 минут назад, Ramazankzn сказал:

 

Какой днс стоит в настройка IKEv2 сервера на роутере?

Похоже, что провайдерский.
Заменил его на DNS из команды kvas dns (127.0.0.1), не помогло

[Zeleza]

Доброго вечера,

В 27.01.2023 в 16:48, Joe сказал:

прошу воздержаться от личных высказываний про лень и все такое. Вежливо написал - разобраться пытался, но это не моя область.

Очень жаль, что Вы восприняли мои слова за оскорбление. У меня не было намерения - оскорбить, задеть или обидеть Вас. И если это произошло, то прошу простить меня великодушно. 

Вопрос, в том виде, в котором Вы задали его изначально, не подразумевал иного ответа, чем тот, который я Вам привел ранее. Сейчас же, Вы дали пояснения к своему вопросу, которые представляют Ваш вопрос немного в ином свете, потому неловкой ситуации можно было бы избежать, сделай Вы эти пояснения изначально.

В 27.01.2023 в 16:48, Joe сказал:

Вопрос был больше - какую, вы логику закладывали в квасе, какие сервера прописывали (если это константа).

Логика в Квасе простая - использовать готовые инструменты, о которых я написал Вам ранее. Постараюсь пояснить еще раз: 

1. dnsmasq (секция server) - внимательно просмотрите информацию по этой секции, Квас меняет настройки связанные с DNS-серверами только в этой секциии, в файле конфигурации dnsmasq. И меняет их тогда и только тогда, когда Вы отключаете шифрование DNS-запросов. Если же Вы используете шифрование DNS-запросов (команда kvas crypt on), то в этом случае DNS-шифрование начинает работать уже через dnscrypt-proxy2, посредством  DNS-серверов, описанные в секции sources файла конфигурации dnscrypt-proxy2.
2.  dnscrypt-proxy2. Квас не меняет настройки связанные с DNS-серверами в секции [sources], а использует данные по умолчанию.
3. В случае подключения AGH, связка dnsmasq+dnscrypt-proxy2 перестает работать и вместо нее начинает работать AGH (источник 1 + источник 2), тут и правда не стану даже обсуждать данный вопрос - это не мой продукт. Воспользуйтесь пожалуйста, теми ссылками, которые приведены или найдите новые. Квас не меняет настройки AGH касающиеся секции DNS-серверов .

 

Edited January 29, 2023 by Zeleza

[Ramazankzn]

5 минут назад, Данил Емельянов сказал:

Похоже, что провайдерский.
Заменил его на DNS из команды kvas dns (127.0.0.1), не помогло

Нужно перезагрузить сервер.

Либо пропишите на клиенте адрес роутера, например 192.168.1.1

Edited January 27, 2023 by Ramazankzn

[Данил Емельянов]

54 минуты назад, Ramazankzn сказал:

Нужно перезагрузить сервер.

Либо пропишите на клиенте адрес роутера, например 192.168.1.1

Перезагружал роутер) 
Попробовал 127.0.0.1 в настройках VPN, клиент устанавливает его же. Пробовал и 192.168.1.1, как на клиенте, так и на сервере. Не заработало

Еще заметил, что телеграм работает через IKEv2. Сайты не открываются и пр. службы. 

Спасибо, еще попробую с DNS пошаманить

Частично рабочее решение

- На клиенте в настройках IKEv2 в качестве адреса сервера указал свой IP (белый) вместо домена ***.keenetic.pro

- На сервере в DNS IKEv2 указал 192.168.1.1

Результат – доступ в интернет есть (IKEv2 клиент -> Роутер с КВАС + IKEv2 сервер -> Интернет), но обход блокировок не работает.

Edited January 27, 2023 by Данил Емельянов

[Joe]

22 часа назад, Данил Емельянов сказал:

 

У меня все работает, в настройках сервера Ikev2 прописан DNS сервер 78.47.125.180, который является "техническим" у кинетика, и тем самым говорит о том что имена резолвит сам кинетик. Обход блокировок для клиентов работает. Пробуйте так же.

[drfischer]

В 27.01.2023 в 17:19, Zeleza сказал:

Здравствуйте,

Вам лучше спросить по этому поводу в этой теме.

 

Спросил(

Не сложилось с ответом. Думал,может,у кого КВАС установлен,проверяят у себя этот сценарий...

Edited January 28, 2023 by drfischer

[CJMAXiK]

16 часов назад, drfischer сказал:

Не сложилось с ответом. Думал,может,у кого КВАС установлен,проверяят у себя этот сценарий...

У меня не работает перезапись в том случае, когда отключена фильтрация на клиенте либо глобально. Оформил баг-репорт в их репозитории.

[Данил Емельянов]

В 28.01.2023 в 17:04, Joe сказал:

У меня все работает, в настройках сервера Ikev2 прописан DNS сервер 78.47.125.180, который является "техническим" у кинетика, и тем самым говорит о том что имена резолвит сам кинетик. Обход блокировок для клиентов работает. Пробуйте так же.

Вообще перестает работать с дефолтным DNS (78.47.125.180)

[Ramazankzn]

3 часа назад, Данил Емельянов сказал:

Вообще перестает работать с дефолтным DNS (78.47.125.180)

Согласен, у меня также.
Ситуация как у вас один в один. Кто подключен к роутеру напрямую (вай-фай, провод) - всё обходится. Кто подключается по IKEv2 при ДНС 78.47.125.180 перестаю открываются сайты, но все пингуется, при установке ДНС 192.168.1.1 - обход блокировок у клиента не работает, но работаю сайты, при этом 2ip отображает провайдерский IP-адрес (к которому подключен кинетик).

[Zeleza]

Доброго дня 

В 27.01.2023 в 17:27, Данил Емельянов сказал:

Не хочется терять доступ к интернету, при подключении через IKEv2/IPsec. Идеальный вариант, чтобы через IKEv2/IPsec был доступ с обходом блокировок КВАСа.

Пробывали ли команду kvas vpn guest <entware_net>?

[Данил Емельянов]

1 час назад, Zeleza сказал:

Доброго дня 

Пробывали ли команду kvas vpn guest <entware_net>?

Попробовал kvas vpn guest (без указания интерфейса), получил такой ответ:

Сейчас используется shadowsocks соединение.
Добавление гостевой сети для vpn пока не доступно.

 

[Ramazankzn]

В 30.01.2023 в 15:01, Данил Емельянов сказал:

Попробовал kvas vpn guest (без указания интерфейса), получил такой ответ:

Сейчас используется shadowsocks соединение.
Добавление гостевой сети для vpn пока не доступно.

 

Видимо с ss не работает обход блокировок по VPN. Сделал через wg - все заработало.

[Ronin777]

Сделал все по инструкции, спасибо все работает.

Но хочу сравнить с другими способами, устанавливал на чистую флешку, сейчас хочу ее вынуть, и на другую флешку установить другой вариант. Если не понравится, вернуть флешку с Квасом обратно. Можно просто вынуть флешку, или надо какие то команды ввести, чтоб потом опять все заработало, когда верну флешку.

[Zeleza]

Всем доброго дня

Как многие наверно заметили, сейчас, после выхода стабильной версии Кваса, наступило небольшое затишье в развитии проекта, но позвольте Вас заверить оно лишь видимое. Как я и анонсировал ранее, сейчас ведутся работы над WUI под Квас и другие плагины - проект называется "Самовар".

Пишется неспеша Rest API на С++ и сам WUI на JS + HTML5 (bootstrap 5) и потому процесс не быстрый. Тем более, что приходится изучать много для себя нового, несмотря на использование таких современных технологий как AI (ChatGPT) и им подобные.

О сроках пока говорить ничего не стану - как появится результат, так сразу опубликую новую тему с Самоваром или на аглицкий манер - CAMOBAP, с его описанием и открою для обзора репозиторий на GitHub.

Не прощаюсь, всем удачи.

Edited February 8, 2023 by Zeleza

[Butyc]

В 30.01.2023 в 15:01, Данил Емельянов сказал:

Попробовал kvas vpn guest (без указания интерфейса), получил такой ответ:

Сейчас используется shadowsocks соединение.
Добавление гостевой сети для vpn пока не доступно.

 

Добрейший вечер! Одна из причин по которой пока пришлось отказаться от кваса. Некторое время был активным пользователем. Насколько помню, в ранних версиях помогала команда kvas add bridge all

 

[drfischer]

День добрый.

Подскажите пожалуйста. С OpenVPN и Wireguard проблем нет. Соединение настраивается из вебморды кинетика, потом квас подключается к созданному VPN-подключению. А как настроить КВАС через ShadowSocks соединение? Если имеется в наличие только файл готовой конфигурации для клиентов ShadosSocks вида "ss://Y2uhY....."

p.s. Вопрос в том как создать это самое ShadoSocks-соединение на кинетике.

Edited February 13, 2023 by drfischer

[vasek00]

10 часов назад, drfischer сказал:

Если имеется в наличие только файл готовой конфигурации для клиентов ShadosSocks вида "ss://Y2uhY....."

p.s. Вопрос в том как создать это самое ShadoSocks-соединение на кинетике.

При наличие установленного на ПК - Shadowsocks-4.4.1.0 - после его запуска -> Сервера -> Импорт адреса из буфера обмена. Потом Серверы -> Редактировать серверы. Потом выбираете нужный и все параметры у вас на экране.

[drfischer]

1 час назад, vasek00 сказал:

При наличие установленного на ПК

Так я не на пк, а на роутер же хочу его установить и чтоб квас при поиске "подключенных vpn" мог его использовать.

[Zeleza]

Доброго дня,

11 час назад, drfischer сказал:

файл готовой конфигурации для клиентов ShadosSocks вида "ss://Y2uhY....."

Приведите пожалуйста содержание этого файла.

[Ramazankzn]

19 часов назад, drfischer сказал:

День добрый.

Подскажите пожалуйста. С OpenVPN и Wireguard проблем нет. Соединение настраивается из вебморды кинетика, потом квас подключается к созданному VPN-подключению. А как настроить КВАС через ShadowSocks соединение? Если имеется в наличие только файл готовой конфигурации для клиентов ShadosSocks вида "ss://Y2uhY....."

p.s. Вопрос в том как создать это самое ShadoSocks-соединение на кинетике.

Если нет установленного оутлайна делаем так:

В вашей ссылке:

После @ идет IP:Port для подключения

от ss:// до @ идет код в формате base64, переводим через декодер и получим строку: chacha20-ietf-poly1305:XXXXX, где XXXXX - пароль для подключения, а "chacha20-ietf-poly1305" - метод шифрования.

 

Так мы получим данные для подключения.

В кинетике я так понимаю по умолчанию нет ss подключения, используется OPKG. 

Если квас установлен думаю поможет команда kvas ssr new. Тут больше автор подскажет.

Если кваса нет, тот тут на форуме обсуждалось как сделать новое подключение: 

 

Edited February 14, 2023 by Ramazankzn

[vasek00]

1 час назад, drfischer сказал:

Так я не на пк, а на роутер же хочу его установить и чтоб квас при поиске "подключенных vpn" мог его использовать.

Речь про чтение конф буфера в ПК для последующего ввода данных на роутер

Скрытый текст

 

[drfischer]

2 часа назад, Zeleza сказал:

Приведите пожалуйста содержание этого файла.

ss://YWVzLTI1Ni1nY206ZTRGQ1dyZ3BramkzUVk=@ak1610.fr8678825324247b8176d59f83c30bd94d23d2e3ac5cd4a743bkwqeikvdyufr.cyou:9101#@OutlineVpnOfficial%20(france)

[Zeleza]

9 минут назад, drfischer сказал:

ss://YWVzLTI1Ni1nY206ZTRGQ1dyZ3BramkzUVk=@ak1610.fr8678825324247b8176d59f83c30bd94d23d2e3ac5cd4a743bkwqeikvdyufr.cyou:9101#@OutlineVpnOfficial%20(france)

Вам уже выше @Ramazankzn ответил, как расшифровать ссылку и какую команду в Квасе ввести, чтобы все заработало. 

[vleonv]

Друзья, выше была описана похожая проблема, но возможно у меня немного иная и я что-то упустил.

Имеется kn-1010 с серым ip, поднято wg соединение на германский сервер. Через этот wg настроен kvas. На роутере настроен sstp сервер для захода через облако keenetic. Теперь собственно проблема. На смартфоне с android поднимается sstp к роутеру. Смартфон получает доступ к локальной сети, внешней сети, кроме адресов в списке kvas. Т.е. доступа к любому ресурсу из списка kvas нет. Что я мог забыть или сделать не так?

[vleonv]

Свою проблему решил. Опишу, если кому-то понадобиться.

Через CLI

1. access-list vpn-sstp создал acl

2. permit ip 192.168.1.220/30 0.0.0.0/0 создал разрешающее правило для для /30 диапазона ip для клиентов по sstp

3. exit вышел из редактора

4. interface Wireguard0 ip access-group vpn-sstp out

5. interface Wireguard1 ip access-group vpn-sstp out два своих WG интерфейса навесил acl

6. system configuration save

Собственно дело не в kvas(е), как я и думал. Всем спасибо.

[Виктор67]

Доброго времени суток, уважаемые специалисты.

Что я делаю не так? Не видит файл... 

 

Edited March 1, 2023 by Виктор67

[kilia]

27 минут назад, Виктор67 сказал:

Доброго времени суток, уважаемые специалисты.

Что я делаю не так? Не видит файл... 

Добрый день!

Попробуйте:

opkg update

 

Edited March 1, 2023 by kilia