Jump to content

Recommended Posts

А зачем adguard ставить после kvas, вроде ж можно и до, сменить на /opt/etc/dnsmasq.conf порт на какой то другой, свободный, а в настройках адгуарда указать 127.0.0.1:новый порт. И адгуард выполняет свои обязанности, и вроде как маршруты идут нормально... поправьте, может я где то неправ? 

Link to comment
Share on other sites

4 минуты назад, Андрей Волосков сказал:

А зачем adguard ставить после kvas, вроде ж можно и до, сменить на /opt/etc/dnsmasq.conf порт на какой то другой, свободный, а в настройках адгуарда указать 127.0.0.1:новый порт. И адгуард выполняет свои обязанности, и вроде как маршруты идут нормально... поправьте, может я где то неправ? 

AGH полностью может заменить dnsmasq. dnsmasq при использовании agh не нужен. Лишнее звено.

Link to comment
Share on other sites

3 минуты назад, Андрей Волосков сказал:

А зачем adguard ставить после kvas, вроде ж можно и до, сменить на /opt/etc/dnsmasq.conf порт на какой то другой, свободный, а в настройках адгуарда указать 127.0.0.1:новый порт. И адгуард выполняет свои обязанности, и вроде как маршруты идут нормально... поправьте, может я где то неправ? 

Именно эту процедуру и делает команда kvas dns adguard

Link to comment
Share on other sites

5 минут назад, avn сказал:

AGH полностью может заменить dnsmasq. dnsmasq при использовании agh не нужен. Лишнее звено.

Ну тут я не настолько умный.. если подскажите что делать и куда копать... тогда буду благодарен... я так понимаю что и dns-crypt можно заменить, т.к. в адгуарде есть встроенный... 

Link to comment
Share on other sites

2 минуты назад, Zeleza сказал:

Именно эту процедуру и делает команда kvas dns adguard

Хм, у меня с первой попытки Адгуард показывал только 127.0.0.1 запросы, причем от всех пользователей сети.. я подумал, что это ставит его после dnsmasq 

Edited by Андрей Волосков
Link to comment
Share on other sites

22 часа назад, avn сказал:

AGH полностью может заменить dnsmasq. dnsmasq при использовании agh не нужен. Лишнее звено.

Если вносить вручную изменения маршрутов ipset в конфигурацию AGH, то согласен. Тогда в принципе КВАС, как таковой не нужен, как ранее и обсуждалось в параллельной теме - самый лучший "разблокировщик", это тот, что настроен и создан собственными руками и головой.

И в тоже время, есть множество тем, требующих внимания и изучения в нашем огромном и разностороннем мире. Во всем нет необходимости разбираться, достаточно использовать наработки других.
Например, уверен, что Вы не собираете opkg под свои нужды каждый раз, а используете готовый вариант.

Так и здесь, есть пакет - установил и забыл, просто используй. 

Edited by Zeleza
  • Upvote 1
Link to comment
Share on other sites

9 минут назад, Zeleza сказал:

Если вносить вручную изменения маршрутов ipset в конфигурацию AGH, то согласен. Тогда в принципе КВАС, как таковой не нужен, как ранее и обсуждалось в параллельной теме - самый лучший разлокировщик, это тот, что настроен собственными руками и головой.

И в тоже время, есть множество тем, требующих внимания и изучения в нашем огромном и разностороннем мире. Во всем нет необходимости разбираться, достаточно использовать наработки других.
Например, уверен, что Вы не собираете opkg под свои нужды каждый раз, а используете готовый вариант.

Так и здесь, есть пакет - установил и забыл, просто используй. 

Я сделал так

 

backup-Tor-202205-25.tar

Link to comment
Share on other sites

3 минуты назад, avn сказал:

Я сделал так

Идея понятна, спасибо.
Подумаю, на счет реализации, но пока не уверен, в необходимости.

Прошу проголосовать за данное сообщение, в случае необходимости данного функционала.

  • Upvote 6
Link to comment
Share on other sites

Доброго всем дня,

10 часов назад, kilia сказал:
  • Добавить бы в справку новые команды
  • А еще бы может не сильно запарно добавить: kvas bridge add/del all

Сделал, в новом релизе появится.

21 час назад, Zeleza сказал:

Прошу проголосовать за данное сообщение, в случае необходимости данного функционала.

Все, те кто проголосовал, подскажите пожалуйста, правильно ли я Вас всех понял, что голосовали за установку AGH вместо dnsmasq, который находится в одном месте с КВАСом или у кого-то есть потребность, чтобы иметь возможность запускать AGH в связке с КВАСом на удаленном устройстве в локальной сети?

Edited by Zeleza
Link to comment
Share on other sites

37 минут назад, Zeleza сказал:

чтобы иметь возможность запускать AGH в связке с КВАСом на удаленном устройстве в локальной сети?

Мне вот так нужно

  • Thanks 1
Link to comment
Share on other sites

Цитата

голосовали за установку AGH вместо dnsmasq

Cейчас, при использовании КВАС в AGH есть только один клиент: 127.0.0.1. И получается, что запросы идут вначале на dnsmasq, а том уже в AGH.

 

А в идеале, что бы запросы шли напрямую в AGH, что бы видно было кто и что спрашивает и работала фильтрация и т.п.

Link to comment
Share on other sites

6 минут назад, Andrey Che сказал:

Cейчас, при использовании КВАС в AGH есть только один клиент: 127.0.0.1. И получается, что запросы идут вначале на dnsmasq, а том уже в AGH.

 

А в идеале, что бы запросы шли напрямую в AGH, что бы видно было кто и что спрашивает и работала фильтрация и т.п.

Автор, видимо, неверно понял концепцию, что нужно AGH ставить до dnsmasq. а не после. Я отредактировал /opt/etc/dnsmasq.conf - вместо 53 порта поставил другой и в настройках апстрим в AGH поставил его.. вроде работает.

Edited by Андрей Волосков
Link to comment
Share on other sites

Доброго дня

4 часа назад, Teutonick сказал:

Это форум, а не страничка в гитхабе. Обычно на гитхаб выкладывают свои творения и инструкции, а в форумах ведут беседы, собирают косяки и общественность помогает автору дополнять список частозадаваемых вопросов. Впервые вижу, подход как здесь, где это порицается. 

Возможно обычно так и делается, тогда Вам лучше перейти именно на те форумы, где это так. В тоже время, позволю себе повториться:

  • Мусор из головы переносить сюда не нужно. Пишите в личку. Не было случая, чтобы я не выразил готовности помочь человеку, даже если человек не обрел понимания в том, как себя вести при обращении с просьбой о помощи.
  • Всегда стараюсь отвечать оперативно и помочь всем страждущим, причем, при обращении в "личку", все исправления сразу появляются здесь с описанием решенных проблем.
  • В данной теме, приветствуются пожелания 
    • по текущему функционалу
    • обновления 
    • комментарии по теме vpn,
    • то, чего автору понять не под силу)
    • плюс сообщения об ошибках и проблемах функционала КВАСа (без подробностей), все детали в "личку" с kvas debug.  
Edited by Zeleza
  • Upvote 5
  • Y'r wrong 1
Link to comment
Share on other sites

37 минут назад, Андрей Волосков сказал:

Автор, видимо, неверно понял концепцию, что нужно AGH ставить до dnsmasq. а не после. Я отредактировал /opt/etc/dnsmasq.conf - вместо 53 порта поставил другой и в настройках апстрим в AGH поставил его.. вроде работает.

Да, видимо я неверно понял. Скоро исправлю.)
Спасибо за комментарий.

Edited by Zeleza
Link to comment
Share on other sites

4 минуты назад, Zeleza сказал:

Доброго дня
 

Возможно обычно так и делается, тогда Вам лучше перейти именно на те форумы, где это так. В тоже время, позволю себе повториться:

  • Мусор из головы переносить сюда не нужно. Пишите в личку. Не было случая, чтобы я не выразил готовности помочь человеку, даже если человек не обрел понимания о том, как себя вести при обращении с просьбой о помощи.
  • Всегда стараюсь отвечать оперативно и помочь всем страждущим, причем, при обращении в личку все исправления сразу появляются здесь с описанием решенных проблем.
  • Сообщения в данной теме, приветствуются пожелания по текущему функционалу и обновления, комментарии по теме vpn, чего автор не смог понять и пр. и плюс сообщения по теме самих фактов не работы функционала (без подробностей), все порочности в личку с kvas debug.  

НА самом деле мне кажется верным писать об ошибках сюда, посмотрите. я сидел и ломал голову, почему у меня не работает днс крипт, никто ж не пишет на фореме, значит у всех работает.. и сижу и думаю, что сам дурак... а тут раз - один, второй написал, и всё, понятно, что не во мне дело.. так же и с обсуждениями всякими.. а вот новые версии лучше выносить в первый пост, и список команд и т.п. А то поиск по форуму новой версии затруднен, особенно когда ветка большая... Это не именно в этом после, тут по всему форуму, что бы найти последнюю версию чего то нужно закопаться в ветку.

И Автор, обратите внимание, что какая то беда с ДНС крипт.. он перехватывает 53 порт, даже если его не включать.

Edited by Андрей Волосков
  • Upvote 2
Link to comment
Share on other sites

2 минуты назад, Андрей Волосков сказал:

НА самом деле мне кажется верным писать об ошибках сюда

Прочите пожалуйста внимательно текст ниже.

6 минут назад, Zeleza сказал:

В данной теме, приветствуются пожелания по текущему функционалу и обновления, комментарии по теме vpn, чего автор не смог понять и пр. и плюс сообщения по теме самих фактов не работы функционала (без подробностей), все подробности в личку с kvas debug.  

 

Edited by Zeleza
Link to comment
Share on other sites

день добрый! как можно быстро сменить настройки ss сервера на другой ss сервер? Или проще заменить файл shadowsocks.json в ентваре? 

  • Thanks 1
Link to comment
Share on other sites

26 минут назад, Андрей Волосков сказал:

И Автор, обратите внимание, что какая то беда с ДНС крипт.. он перехватывает 53 порт, даже если его не включать.

Хорошо, посмотрю. Как Вы это определили?

Link to comment
Share on other sites

7 минут назад, Игорь Александрович Кривенко сказал:

день добрый! как можно быстро сменить настройки ss сервера на другой ss сервер? Или проще заменить файл shadowsocks.json в ентваре? 

Доброго дня,

Благодарю за идею - появится в следующем релизе.

  • Upvote 3
Link to comment
Share on other sites

1 минуту назад, kilia сказал:

А еще бы сохранять список сайтов для разблокировки при обновлении/переустановке kvas=)

Доброго дня, 
Так же, благодарю за идею. Появится в следующем релизе.

  • Thanks 1
Link to comment
Share on other sites

3 часа назад, Zeleza сказал:

Доброго всем дня,

Сделал, в новом релизе появится.

Все, те кто проголосовал, подскажите пожалуйста, правильно ли я Вас всех понял, что голосовали за установку AGH вместо dnsmasq, который находится в одном месте с КВАСом или у кого-то есть потребность, чтобы иметь возможность запускать AGH в связке с КВАСом на удаленном устройстве в локальной сети?

Огромное вам спасибо за то что вы делаете ! У меня есть потребность, чтобы иметь возможность запускать AGH в связке с КВАСом на удаленном устройстве в локальной сети.

  • Thanks 1
Link to comment
Share on other sites

Кажется я разобрался со своей невнимательностью. Вся проблема заключалась во включенной галочке "включить IPv6" в настройках "проводного подключения". 

 image.png.8e6f5a40f18b3df278654bca6d817c71.png

 

 

 

Есть и еще один момент, у меня рабочий VPN стоит на компе и он отвалился теперь.

dnsmasq[705]
possible DNS-rebind attack detected: wiki.<workdomain>.ru

Недолго гуглив нарыл такой параметр в dnsmasq.conf

stop-dns-rebind     # Отклоняем адреса с вышестоящих DNS серверов, которые находятся в частных диапазонах.

Зачем он? Если я его комментирую у меня начинает работать рабочий VPN. Так ли важно этот параметр оставить включенным?

 

 

В результате моих исследований полезно будет в первый пост добавить более явно проверку на отключение ipv6 в настройках проводного подключения + указать, что stop-dns-rebind может блочить иные VPN клиенты, установленные на компьютерах в сети. 

Планируется ли поддержка ipv6 @Zeleza ? 

 

Edited by Teutonick
  • Thanks 1
Link to comment
Share on other sites

Доброго вечера,

1 час назад, Teutonick сказал:

Зачем он? Если я его комментирую у меня начинает работать рабочий VPN. Так ли важно этот параметр оставить включенным?

Данный параметр был взят из первоисточников. 

Update:  из документации по dnsmasq:

--stop-dns-rebind
Отклонить (и зарегистрировать) адреса с вышестоящих серверов имен, которые находятся в частных диапазонах. Это блокирует атаку, когда браузер за брандмауэром используется для зондирования машин в локальной сети. Для IPv6 частный диапазон охватывает IPv4-сопоставленные адреса в частном пространстве, а также все локальные (LL) и локальные адреса сайта (ULA).
 
1 час назад, Teutonick сказал:

добавить более явно проверку на отключение ipv6 в настройках проводного подключения + указать, что stop-dns-rebind может блочить иные VPN клиенты, установленные на компьютерах в сети. 

Планируется ли поддержка ipv6 @Zeleza ? 

Благодарю за конструктив. 

О планах: 

  • Поддержка IPv6 планируется 
  • Точно НЕ планируется поддержка tor
  • Поддержка работы каждым vpn соединением своего списка разблокировки.
  • Полная (локальная + удаленная) поддержка связки ipset + adguardhome + vpn|shadowsocks
  • Поддержка WUI для КВАСа
Edited by Zeleza
  • Thanks 4
  • Upvote 3
Link to comment
Share on other sites

Доброго дня

8 минут назад, Сергей «Solaris» Сидоров сказал:

Добрый день, а почему, если не секрет?

Это больше вопрос внутренних убеждений, не технический.
Данной темы он не касается, потому предлагаю оставить его в покое.

Edited by Zeleza
Link to comment
Share on other sites

Доброго всем дня,

Пробуем КВАС 1.0 beta 12

  • реализованы новые команды
    • bridge add all - разрешаем доступ к VPN всем существующим гостевым сетям
    • bridge del all - запрещаем доступ к VPN для всех гостевых сетей.
    • ssr new - меняет настройки учетной записи shadowsocks сервера на другие настройки, в случае смены сервера или иных данных учетной записи (по просьбе @Игорь Александрович Кривенко)
    • adguard on - подключает использование AdGuard Home к КВАСу
    • adguard off - отключает использование AdGuard Home в КВАСе
    • adguard test - тестирует правила создания ipset для AdGuard Home
  • упразднены следующие команды
    • ssr set, вместо нее используйте vpn set
    • dns adguard, вместо нее используйте adguard on
    • ssr flush за ненадобностью, вместо нее используйте ssr reset
    • vpn flush за ненадобностью, вместо нее используйте vpn reset
  • обновлена справка по новым командам
  • возможность сохранения списка разблокировки при обновлении/переустановке пакета (по просьбе @kilia)
  • команда смены DNS сервера на AdGuard Home теперь работает как положено. AdGuard Home слушает 53 порт, а записи ipset формируются для него скриптом.
    При этом отключаются службы dnsmasq и dnscrypt_proxy2, так как AdGuard Home имеет полную замену всему их функционалу полюс к этому еще и WUI интерфейс.
  • в случае отсутствия AdGuard Home на роутере, теперь скрипт может его автоматически скачать и установить.
  • внесены правки в код для проверки работоспособности пакета AdGuard Home в связке с КВАСом.
  • добавлена проверка, при установке пакета, на включение IPv6 на интерфейсе для интернета и в случае ее наличия автоматически отключает (по просьбе @Teutonick).
  • оптимизирован код отвечающий за тесты и отладку пакета
  • в целях отладки ведется сбор данных при установке пакета в файл /opt/tmp/kvas.install.log
  • при удалении пакета, теперь очищаются все правила и таблицы, которые были созданы пакетом для своей работы.
  • упразднено большинство вопросов при установке, все делается по умолчанию и в случае необходимости может быть отключено вручную соответствующими командами
  • полностью переписан скрипт сборки проекта с учетом нововведений выше.
  • исправлены синтаксические ошибки.
  • теперь, исходный код пакета Вы сможете посмотреть по этой ссылке на GitHub

 

Edited by Zeleza
  • Thanks 4
Link to comment
Share on other sites

Поэкспериментировав с различными вариантами связок (ipset+vpn+dnsmasq+dnscrypt_proxy2 и ipset+vpn+adguardhome) могу сказать, что самый стабильный вариант получается при использовании связки ipset+vpn+adguardhome. Подозреваю, что проблема в связке ipset+vpn+dnsmasq+dnscrypt_proxy2 скорее всего связана с тем, что "хромает" wildcard на dnsmasq.

Потому рекомендую устанавливать КВАС именно в связке с  ipset+vpn+adguardhome и именно на локальной машине, а не на удаленной, так как удалено нет возможности (по крайней мере, пока не нашел) работать с ipset + adguardhome.

Для этого есть два варианта:

  1. Установить самостоятельно пакет adguardhome командой opkg Install adguardhome-go и затем его настроить и только после чего установить КВАС
  2. Установить КВАС и затем после его полной установки - набрать команду kvas adguard on
Edited by Zeleza
Link to comment
Share on other sites

10 минут назад, Zeleza сказал:

Установить КВАС и затем после его полной установки - набрать команду kvas adguard on

Т. Е. Эта команда установить локальный adh на роутер?

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   1 member

×
×
  • Create New...