Пробуем КВАС

[x-tropic]

@marfo4ka

 

kvas_iptables_before.txt kvas_iptables_after.txt kvas_debug.txt

[seeii]

Добрый день
Как перегрузить КВАС не перегружая роутер? kvas update/reset ??


У меня тут хрень я почему-то на cloud.linode.com заходил через VPN хотя в маршрутах КВАС я не указывал, и не нахожу
 kvas export hostlist.txt в списке cloud.linode.com

но почему-то маршрут присутствует:

ipset list unblock
92.123.104.14
92.123.104.27

а на chat.openai.com захожу без VPN

Перезагрузка роутера спасла ситуацию, куда копать если повториться?
 

[marfo4ka]

@x-tropic

1. Добавьте ещё вывод ifconfig. У вас Hopper, может изменили чего и там WAN-порт на другом интерфейсе, не eth3.
2. Заранее вопрос: каких-то хитрых манипуляций с портами (типа переназначение WAN) не делали?
3. Когда устройства подключены к роутеру через IKEv2, в блоке «VPN-сервер IKEv2/IPsec» появляется «Статистика подключений». Там в таблице будут присвоенные IP. Выдаёт правильные из 192.168.2.0/24?

[x-tropic]

3 часа назад, marfo4ka сказал:

@x-tropic

1. Добавьте ещё вывод ifconfig. У вас Hopper, может изменили чего и там WAN-порт на другом интерфейсе, не eth3.
2. Заранее вопрос: каких-то хитрых манипуляций с портами (типа переназначение WAN) не делали?
3. Когда устройства подключены к роутеру через IKEv2, в блоке «VPN-сервер IKEv2/IPsec» появляется «Статистика подключений». Там в таблице будут присвоенные IP. Выдаёт правильные из 192.168.2.0/24?

1. Прикрепил

2. Нет, всё штатно.

3. Да, вот скрин:

 

Edited March 25 by x-tropic

[marfo4ka]

1 час назад, x-tropic сказал:

Прикрепил

Ох, ну вот и виновник. Попробуйте эти 2 правила для себя указывать с eth2.

Как сделать красиво выбор в коде КВАСа — ума не приложу. В API Кинетика все интерфейсы названы виртуально, указаний на подпись интерфейса в entware нет.

Чтобы Вы поняли, вот как выглядят lan'ы на Гиге

Скрытый текст

eth2 Link encap:Ethernet HWaddr 50:FF:20:**:3A:36
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:723051 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:2000
RX bytes:0 (0.0 B) TX bytes:76548437 (73.0 MiB)
Interrupt:18

eth2.1 Link encap:Ethernet HWaddr 50:FF:20:**:3A:36
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:473067 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:53054327 (50.5 MiB)

eth2.3 Link encap:Ethernet HWaddr 52:FF:20:**:3A:35
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:249984 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:10499424 (10.0 MiB)

eth3 Link encap:Ethernet HWaddr 50:FF:20:**:3A:37
inet addr:46.252.122.*** Bcast:46.252.123.*** Mask:255.255.252.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:28536985 errors:0 dropped:183044 overruns:0 frame:0
TX packets:4721947 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:2000
RX bytes:39699505609 (36.9 GiB) TX bytes:674971620 (643.7 MiB)
Interrupt:18

 

[x-tropic]

@marfo4ka, понял. Но при добавлении правил, почему то везде светится всё равно родной айпи.

вот вырезка из дебага кваса:

:SHADOWSOCKS - [0:0]
-A PREROUTING -i br0 -p tcp -m set --match-set unblock dst -j REDIRECT --to-ports 1181
-A PREROUTING -i br0 -p udp -m set --match-set unblock dst -j REDIRECT --to-ports 1181
-A PREROUTING -s 192.168.2.0/24 -i eth2 -p tcp -m set --match-set unblock dst -j REDIRECT --to-ports 1181
-A PREROUTING -s 192.168.2.0/24 -i eth2 -p udp -m set --match-set unblock dst -j REDIRECT --to-ports 1181
-A PREROUTING -s 192.168.2.0/24 -i eth3 -p tcp -m set --match-set unblock dst -j REDIRECT --to-ports 1181
-A PREROUTING -s 192.168.2.0/24 -i eth3 -p udp -m set --match-set unblock dst -j REDIRECT --to-ports 1181

Добавлял вот так:

iptables -A PREROUTING -w -t nat -s 192.168.2.0/24 -i eth2 -p tcp -m set --match-set unblock dst -j REDIRECT --to-port 1181
iptables -A PREROUTING -w -t nat -s 192.168.2.0/24 -i eth2 -p udp -m set --match-set unblock dst -j REDIRECT --to-port 1181

 

[marfo4ka]

59 минут назад, x-tropic сказал:

при добавлении правил, почему то везде светится всё равно родной айпи

Попробуйте перебором, на моём устройстве это не воспроизвести. Трафик в присланном логе есть в eth2, eth2.1, eth2.2. Один из них точно WAN, и там роутером навешаны политики обработки IKEv2/IPsec (IPsec не создаёт свои интерфейсы, как другие подключения, оттого с ним такие и проблемы — ищем вот его)). Раз eth2 (с Ваших слов) не подошёл, то предполагаю, что у Кинетиков на базе одного сетевого интерфейса eth2.2 — WAN, eth2.1 — LAN. У двуинтерфейсных WAN в eth3.

Сразу же накидана задача на будущее. Туда осталось вписать тот интерфейс из 3ёх, с которым у Вас всё заработает.

[x-tropic]

@marfo4ka нашёл, это оказался eth2.2

Теперь работает.

[marfo4ka]

В 26.02.2024 в 16:49, amatol сказал:

Если есть возможность сделать опцию «пускать вообще весь трафик через тоннель», то буду очень благодарен

Сказанное далее не проверялось!

1. Если нужно направить весь трафик всех устройств, то для команды kvas add сказано

Цитата

Eсть возможность добавлять в список разблокировали IP адреса и их диапазоны в виде XX.XX.XX.XX, XX.XX.XX.XX-XX.XX.XX.XX и в виде XX.XX.XX.XX/XX

Предположу, что закинуть 0.0.0.0/0 (что будет легко удалить обратно) поможет.

2. Если речь о конкретном устройстве (хотите только его, но не его подсеть), то в случае Shadowsocks и домашнего WiFi (подсеть br0 в правилах) надо выдать ему в правилах DHCP фиксированный IP и попробовать

iptables -A PREROUTING -w -t nat -s 192.168.1.25 -i br0 -p tcp -m set --match-set unblock dst -j REDIRECT --to-port 1181
iptables -A PREROUTING -w -t nat -s 192.168.1.25 -i br0 -p udp -m set --match-set unblock dst -j REDIRECT --to-port 1181

3. Если это конкретное устройство должно ходить без учёта списка обхода (всем трафиком), то в случае Shadowsocks попробовать без правил вхождения в список обхода

iptables -A PREROUTING -w -t nat -s 192.168.1.25 -i br0 -p tcp -j REDIRECT --to-port 1181
iptables -A PREROUTING -w -t nat -s 192.168.1.25 -i br0 -p udp -j REDIRECT --to-port 1181

 

[kilia]

Доброго дня! Marfo4ka, а вы часом не в курсе как завязать все профили доступа в интернет через kvas?

[marfo4ka]

В 22.03.2024 в 11:34, gach сказал:

В EDGE имдем Параметры > Конфиденциальность, поиск и службы > Безопасность, для Использовать безопасные DNS, чтобы указать способ просмотра сетевого адреса для веб-сайтов укажите в поле Выбрать поставщика услуг адрес DoH-сервера https://dns.controld.com/comss

Эта часть совета выглядит немного "вредной". Почему не использовать нормальный DoH или DoT для всего, зачем выборочный DNS для отдельных сервисов? В целом, рекомендую:

1. Включить шифрование DNS через _kvas crypt_.
2. В «Управление» → «Параметры системы» → «Изменить набор компонентов» добавить «Прокси-сервер DNS-over-TLS» и/или «Прокси-сервер DNS-over-HTTPS».
3. В «Сетевые правила» → «Интернет-фильтры» → «Настройка DNS» оставить только с поддержкой DoT или DoH. Никаких провайдерных DNS! Общие, например, 1.1.1.1, 1.0.0.1 (cloudflare-dns.com); 8.8.8.8, 8.8.4.4 (dns.google); 9.9.9.9 (dns.quad9.net).

[zivaka]

В 28.02.2024 в 08:44, Андрей Волосков сказал:

В cron добавьте команду и все. Как- читайте в инете 

Действительно, ведь мы тут обсуждаем как себе добавить еще больше проблем, а не сделать, например, программу капельку удобнее)

[marfo4ka]

В 26.02.2024 в 16:49, amatol сказал:

Если есть возможность сделать опцию «пускать вообще весь трафик через тоннель», то буду очень благодарен

Можно попробовать сделать это руками, и если будет работать у нескольких людей — только тогда можно задуматься о такой функции (но и то маловероятно).

1. Выдать нужному устройству фиксированный IP. «Мои сети и Wi-Fi» → «Список клиентов», клик на нужном, «Зарегистрировать», клик на нём ещё раз, «Постоянный IP-адрес», «Сохранить». Допустим, выдан 192.168.1.35.
2. Понять, в какой он сети. WiFi br0, гостевой WiFi br1, локальный eth2.1 или eth2, клиент IKEv2 eth3 или eth2.2, VPN-клиенты в своих именованных. Допустим, у вас br0.
3. Добавить правила. Тут случай, если хотите пустить трафик с одного устройства с учётом списка разблокировки

   iptables -A PREROUTING -w -t nat -s 192.168.1.35 -i br0 -p tcp -m set --match-set unblock dst -j REDIRECT --to-port 1181
   iptables -A PREROUTING -w -t nat -s 192.168.1.35 -i br0 -p udp -m set --match-set unblock dst -j REDIRECT --to-port 1181

   
   Прям весь трафик без учёта списка разблокировки — надо тестировать. Что-то типа

   ipset create localprivate hash:net -exist
   ipset add localprivate 127.0.0.0/8
   ipset add localprivate 10.0.0.0/8
   ipset add localprivate 100.64.0.0/10
   ipset add localprivate 172.16.0.0/12
   ipset add localprivate 192.168.0.0/16
   iptables -A PREROUTING -w -t nat -s 192.168.1.35 -i br0 -p tcp -m set ! --match-set localprivate dst -j REDIRECT --to-port 1181
   iptables -A PREROUTING -w -t nat -s 192.168.1.35 -i br0 -p udp -m set ! --match-set localprivate dst -j REDIRECT --to-port 1181

   
   Наверняка какие-то из локальных служебных адресов ещё забыты.
4. Если всё работает, то сообщить об этом.
5. Можете сделать это правило автоматически добавляемым (при смене настроек, ребуте роутера).

P.S. Админы/модераторы, удалите это моё сообщение, в 2 случаях из 3 там недостаточно правил.

[AsmodeusML]

Немного в тупике и буду признателен за помощь. Никак не удаётся добиться адекватной работы themoviedb.org через kvas. Через это же SS-соединение с помощью nekobox работает как нужно. Попробовал советы, которые здесь нашёл для похожих случаев: удаление в веб интерфейсе роутера родных DNS-серверов и добавление только DoT/DoH серверов, утечек DNS при тестах никаких, но именно этот домен резолвится через ж. И самое странное, что периодически на каком-то одном устройстве/браузере начинает рандомно работать нормально, но потом снова перестаёт. 

Edited March 27 by AsmodeusML

[vlallax]

19 минут назад, AsmodeusML сказал:

Никак не удаётся добиться адекватной работы themoviedb.org

Для него квас не нужен. Просто используйте днс, которые дают реальный адрес сайта. Например 4.2.2.1, 4.2.2.2, 4.2.2.3, 4.2.2.4. Эти днс точно работают.

[AsmodeusML]

12 минуты назад, vlallax сказал:

Для него квас не нужен. Просто используйте днс, которые дают реальный адрес сайта. Например 4.2.2.1, 4.2.2.2, 4.2.2.3, 4.2.2.4. Эти днс точно работают.

Хмм, а ларчик просто открывался. Благодарю, всё работает. 

[Zeleza]

Доброго всем дня

В  Wiki был добавлен раздел Защита DNS трафика.
Прошу внимательно ознакомиться и принять соответствующие меры. 

За появление данного раздела особая благодарность ALTernateF13

[marfo4ka]

В 05.07.2022 в 14:29, Teutonick сказал:

Пожелания на будущее: убрать из крона минутные и 5-ти минутные интервалы, а то весь лог в этих пустых попытках

1. В файле `/opt/etc/init.d/S10cron` заменить строку `ARGS="-s"` на `ARGS=""`
2. `/opt/etc/init.d/S10cron restart`

[marfo4ka]

В 25.03.2024 в 18:47, kilia сказал:

не в курсе как завязать все профили доступа в интернет через kvas?

`opkg dns-override` позволяет КВАС установить другой DNS. Но при использовании политик начинает работать безусловный перехват днс-запросов прошивкой Кинетика (что выглядит ошибкой, если честно). Можете увидеть их `iptables-save | grep " 53 "`, на 41100 порт улетает отобранный у AdGuardHome/Dnsmasq dns-трафик.

Навскидку, есть такой костыль (постоянно портит отбирающие правила).

[Сергей Ермолин]

Добрый день. 

Не нашел в документации, возможно ли добавить в список разблокировки (в моем случае через шадосокс)  через KVAS конкретный внешний айпи, и/или диапозон айпи адресов. 

К примеру 1.1.1.1 или 1.1.1.0/24 и соответственно, удалить его какой-то командой. планирую выкладывать листы на git. 

[Zeleza]

Доброго дня,

9 минут назад, Сергей Ермолин сказал:

Не нашел в документации

А в какой именно документации Вы смотрели?
Все вроде на видном месте.

[AsmodeusML]

Здравствуйте, подскажите какие методы шифрования поддерживает shadowsocks в kvas. В документации не нашёл этой информации.

[Zeleza]

21 минуту назад, AsmodeusML сказал:

Здравствуйте, подскажите какие методы шифрования поддерживает shadowsocks в kvas. В документации не нашёл этой информации.

Здравствуйте,
Можно посмотреть здесь.

[Kazantsev]

Как сменить таблицу кваса не на 1001 и т.д?

Edited April 5 by Kazantsev

[Сергей Ермолин]

22 часа назад, Zeleza сказал:

Доброго дня,

А в какой именно документации Вы смотрели?
Все вроде на видном месте.

Я был не прав, вспылил, замарал, искал по слову "подсеть". 🙄

Опечатка по ссылке: "Eсть возможность добавлять в список разблокировали IP адреса", думаю, имелось в виду "разблокировки".

PS Поставил на 2 кинетика во встроенную память (KN-1010, 3610) КВАС и подключение SS к серверу Outline. Знаю, что во внутреннюю не рекомендуется, но проблем не жду. Все завелось с первого раза, работает отлично, БОЛЬШОЕ СПАСИБО!!!

Edited April 5 by Сергей Ермолин

[Kazantsev]

у меня установлен квас и Bird4static, как эту ошибку пофиксить?

[Eldring]

Здравствуйте. Установил КВАС по инструкции, активировал работу с AdGuard Home. Роутинг сайтов из списка не работает. Роутер Ultra (KN-1811) EAEU. В журнале есть следующие ошибки:

Апр 6 18:36:39 ndm
Http::Manager: updated configuration.
Апр 6 18:36:39 КВАС
ОШИБКА::\033[1;31m[ip4_firewall_exclude_locals] Возникла ошибка при установке правил iptables\033[m
Апр 6 18:36:39 ndm
Core::Server: started Session /var/run/ndm.core.socket.
Апр 6 18:36:39 ndm
Core::Session: client disconnected.
Апр 6 18:36:39 КВАС
ОШИБКА::\033[1;31m[ip4_firewall_exclude_locals] Возникла ошибка при установке правил iptables\033[m
Апр 6 18:36:39 КВАС
Core::Syslog: last message repeated 6 times.
Апр 6 18:36:39 КВАС
ОШИБКА::\033[1;31m[ip4_firewall_vpn_mark] Во время маркировки трафика для VPN соединений возникли ошибки.\033[m
Апр 6 18:36:39 ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/100-vpn-mark: sh: bad number.
Апр 6 18:36:39 КВАС
Маркируем VPN подключения, когда программное и аппаратное ускорение ПОДКЛЮЧЕНО
Апр 6 18:36:39 ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/100-vpn-mark: sh: bad number.
Апр 6 18:37:11 КВАС
Запущен файл /opt/apps/kvas/bin/main/ipset

Подскажите пожалуйста, что я делаю не так?

[Zeleza]

Здравствуйте,

5 минут назад, Антон «Sleipnir» Киселев сказал:

Подскажите пожалуйста, что я делаю не так?

Как минимум, не предоставляете в личку kvas debug

[OlegOs]

16 часов назад, Антон «Sleipnir» Киселев сказал:

Здравствуйте. Установил КВАС по инструкции, активировал работу с AdGuard Home. Роутинг сайтов из списка не работает. Роутер Ultra (KN-1811) EAEU. В журнале есть следующие ошибки:

Апр 6 18:36:39 ndm
Http::Manager: updated configuration.
Апр 6 18:36:39 КВАС
ОШИБКА::\033[1;31m[ip4_firewall_exclude_locals] Возникла ошибка при установке правил iptables\033[m
Апр 6 18:36:39 ndm
Core::Server: started Session /var/run/ndm.core.socket.
Апр 6 18:36:39 ndm
Core::Session: client disconnected.
Апр 6 18:36:39 КВАС
ОШИБКА::\033[1;31m[ip4_firewall_exclude_locals] Возникла ошибка при установке правил iptables\033[m
Апр 6 18:36:39 КВАС
Core::Syslog: last message repeated 6 times.
Апр 6 18:36:39 КВАС
ОШИБКА::\033[1;31m[ip4_firewall_vpn_mark] Во время маркировки трафика для VPN соединений возникли ошибки.\033[m
Апр 6 18:36:39 ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/100-vpn-mark: sh: bad number.
Апр 6 18:36:39 КВАС
Маркируем VPN подключения, когда программное и аппаратное ускорение ПОДКЛЮЧЕНО
Апр 6 18:36:39 ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/100-vpn-mark: sh: bad number.
Апр 6 18:37:11 КВАС
Запущен файл /opt/apps/kvas/bin/main/ipset

Подскажите пожалуйста, что я делаю не так?

Похожая проблема, сайты из списка недоступны после включения AGH, часто AGH крашится, без AGH всё нормально работает.

[Kazantsev]

У меня adguard  и эта штука, после того как я установил adguard, у меня пропали картинки с ютуба, как решить? Как зарезолвить?

Edited April 8 by Kazantsev