Пробуем КВАС

[Andrey Zubov]

15 часов назад, Кирилл СП сказал:

Конечно, при установке кваса появляется выбор какое из имеющихся VPN использовать, или добавить shadowsocks. Можно выбрать уже настроенный Wireguard.

Кирилл, супер, спасибо за ответ.

[Andrey Zubov]

Добрый день, установил КВАС на последней стабильной прошивке. В процессе установки никаких проблем небыло, ну разве что у меня wg, а не ss. Но скрипт нормально увидел wg соединение и использовал его.

Попробовал открыть 2ip.ru, но ип к сожалению показался неправильный, не через vpn. Запустил kvas test

---------------------------------------------------------------------------------
root@Keenetic-7653:~$ kvas vpn
---------------------------------------------------------------------------------
Текущее VPN соединение: Европа (Wireguard1)                       ПОДКЛЮЧЕНО
---------------------------------------------------------------------------------
root@Keenetic-7653:~$ kvas test
---------------------------------------------------------------------------------
Состояние службы dnsmasq                                          ОСТАНОВЛЕНА
Перезапускаем еще раз dnsmasq                                     ОШИБКА
Запустите диагностику командой kvas debug
root@Keenetic-7653:~$ kvas debug > ./kvas.debug

dnsmasq: bad address at line 24 of /opt/etc/dnsmasq.conf
root@Keenetic-7653:~$

Содержимое kvas debug

---------------------------------------------------------------------------------
[1;32mСостояние службы dnsmasq по команде [m                              
/opt/etc/init.d/S56dnsmasq status                                 [1;31mОСТАНОВЛЕНА[m
---------------------------------------------------------------------------------
[1;31m[] Проблемы при выделении адресов для аренды DHCP [m                

Прошивка 3.8.4. Квас 1.0 beta15

Подскажите пожалуйста, в какую сторону копать

kvas.debug

[Zeleza]

Доброго дня,
Уважаемые пользователи Кваса, в очередной раз прошу Вас, пожалуйста не захламляйте ветку сообщениями об ошибках - пишите в личку. 

[Teutonick]

@Zeleza день добрый, по определенным обстоятельствам не могу писать вам в личку. Так что выкладываю здесь, так как надеюсь принесет благо не только мне. 

Роутер не трогал, в нем ошибок нет, конфиги в нем не менял. Раз в неделю примерно спонтанно КВАС перестает выполнять свою работу. Инстаграм не открывается ни с каких устройств, подключенных к роутеру. Помогает вызов команды KVAS UPDATE или KVAS DEBUG. После чего все восстанавливается и работает как часы еще 7-10 дней. Дебаг в момент неработающего КВАС прикладываю.

kvas.debug

Edited September 1, 2022 by Teutonick

[Zeleza]

13 минуты назад, Teutonick сказал:

Помогает вызов команды KVAS UPDATE или KVAS DEBUG. После чего все восстанавливается и работает как часы еще 7-10 дней. Дебаг в момент неработающего КВАС прикладываю.

Доброго дня,
Данное сообщение читали? Внесли соотвествующие изменения?

[Teutonick]

В 01.09.2022 в 15:48, Zeleza сказал:

Доброго дня,
Данное сообщение читали? Внесли соотвествующие изменения?

там написано что только для беты15, у меня бета14, для нее тоже справедливо? 

[Zeleza]

Здравствуйте, 

7 часов назад, Teutonick сказал:

там написано что только для беты15, у меня бета14, для нее тоже справедливо? 

Насколько я помню, нет, но проверить, мне кажется, не трудно?
Затем, не уверен, что это на 100% может оказывать воздействие на работу, но все же, проверьте дублирование адресов в своей сети. Ошибка в системном журнале:  "someone has same IP 192.168.2.8. ".

 

[Zeleza]

Друзья, доброго всем дня

Немного освоился с github, потому предлагаю обсуждение проблем и ошибок перенести именно туда, в раздел Issues.
Здесь же, в этой ветке, будут выкладываться обновления и обсуждение по функционалу. 

P.S.
Большая благодарность моя за помощь в оформлении документации README для GitHub нашему форумчанину @wildrun0.

Отличная работа!
Еще раз, спасибо.

Edited September 3, 2022 by Zeleza

[Teutonick]

Гитхаб это круто! Поздравляю! Пожелание - выкладывать туда IPK-ашки. 

Правда у меня вот в одночасье вообще всё развалилось на 14 бете ((( перестал открываться инста и все тут... Решил обновить квас до 15 беты, убрал префикс -А PREROUTING. Никаких ошибок. Все сервисы работают. Но ни один сайт не открывается из списка маршрутизации... Ребутал роутер, делал апдейт, тест, в итоге снес вообще все. Почистил флешку, установил все с нуля - заработало... Что это было - непонятно... Оч надеемся на скорый релиз финалочки без багов ) 

 

[Артем Головачев]

Спасибо Вам большое за труд, уважаемый топикстарер и КО, которые помогают допиливать проект!

 

В общем, не цепляется ADH с иных устройств локальной сети =( стоит ADH на малине как аддон HomeAssistant. при указании айпишника малины (kvas adguard on) ничего не происходит, днс не меняется (как был dnsmasq, так и остается, только теперь с прописанным адресом малины) Более того, не проходит adguard test потому как по указанным путям нет яма и конфа. И, как вишенка на торте: kvas adguard говорит, что adh еще не настроен. Плюнул, в общем, и воткнул на роутер (надеюсь, пока на роутер)

[Zeleza]

Доброго дня,

15 часов назад, Артем Головачев сказал:

В общем, не цепляется ADH с иных устройств локальной сети =( стоит ADH на малине как аддон HomeAssistant. при указании айпишника малины (kvas adguard on) ничего не происходит, днс не меняется (как был dnsmasq, так и остается, только теперь с прописанным адресом малины) Более того, не проходит adguard test потому как по указанным путям нет яма и конфа. И, как вишенка на торте: kvas adguard говорит, что adh еще не настроен. Плюнул, в общем, и воткнул на роутер (надеюсь, пока на роутер)

Не удивлен подобному поведению пакета, так как нигде ранее мною не было заявлено о реализации удаленной поддержки DNS серверов (типа AGH или PiHole ), писал лишь о своем желании реализовать данную возможность.

Но возможно Вам известно чуть больше, чем мне? От куда такие сведения, мил человек? 
 

Edited September 7, 2022 by Zeleza

[Артем Головачев]

2 часа назад, Zeleza сказал:

Доброго дня,

Не удивлен подобному поведению пакета, так как нигде ранее мною не было заявлено о реализации об удаленной поддержки DNS серверов (типа AGH или PiHole ), писал лишь о своем желании реализовать данную возможность.

Но возможно Вам известно чуть больше, чем мне? От куда такие сведения, мил человек? 
 

Да я ж без претензий, мил человек 😃

 

Просто при добавлении agh как dns сервера квас спрашивает, а не хотите ли Вы ввести удаленный адрес и порт AGH? 😃 Вот я и подумал, а вдруг. Ну а потом глянул собственно код, все стало понятно. Мне не хватит знаний и компетенций в этой области, чтоб решить этот вопрос, поэтому буду ждать реализации, планы на которую Вы и обозначили! Может быть чутка прошарюсь за пару ближайший вечеров и попробую даже как-то помочь, но это не точно (что смогу как-то помочь)

[drfischer]

Настроил по инструкции. Работает! ))

Но подскажите такой момент. Ранее пользовался OVPN от антизапрета, настроенном на роутере. Удобство было в том, что удаленно подключившись к своему роутеру с мобильника (по Ipsec), т.е. попадая в локальную свою домашнюю сеть - получалось и на мобильном обходить все блокировки.

В случае с КВАСом у меня VPN-соединение настроено тоже при помощи OpenVPN и все устройства подключенные к роутеру по wifi соответственно имеют обход блокировок, но вот как настроить, чтоб КВАС работал для мобильного, подключенного не по wifi к роутеру, а по ipsec через мобильную сеть?

А то получается все фэйсбуки и инстаграммы могу смотреть только дома, подключившись по wifi.

Edited September 7, 2022 by drfischer

[Вячеслав _]

4 часа назад, drfischer сказал:

Настроил по инструкции. Работает! ))

Но подскажите такой момент. Ранее пользовался OVPN от антизапрета, настроенном на роутере. Удобство было в том, что удаленно подключившись к своему роутеру с мобильника (по Ipsec), т.е. попадая в локальную свою домашнюю сеть - получалось и на мобильном обходить все блокировки.

В случае с КВАСом у меня VPN-соединение настроено тоже при помощи OpenVPN и все устройства подключенные к роутеру по wifi соответственно имеют обход блокировок, но вот как настроить, чтоб КВАС работал для мобильного, подключенного не по wifi к роутеру, а по ipsec через мобильную сеть?

А то получается все фэйсбуки и инстаграммы могу смотреть только дома, подключившись по wifi.

Я этот вопрос решил немного костыльно в ожидании релиза КВАСа. Просто создал в настройках роутера отдельный профиль all-to-vpn, указал для него ВПН как приоритетный канал и указал, что IP-адрес, который получает телефон когда он клиент роутера использует этот профиль

[drfischer]

18 часов назад, Вячеслав _ сказал:

указал, что IP-адрес, который получает телефон когда он клиент роутера использует этот профиль

Но в этом случае просто трафик идет через впн же получается. Квас тут не задействован же?

[mrzzzio]

Всем доброго времени суток! 

Заметил такую штуку - через какое то время перестают открываться некоторые ресурсы из списка разблокировки. Команды update, test или debug не помогают. Только рестарт роутера. После все работает отлично. В выводе kvas test есть записи, что некоторые хосты отсутствуют.

lh6.googleusercontent.com (googlehosted.l.googleusercontent.com.|142.250.186.193)sh: %--15s%b: invalid format
ОТСУСТВУЕТ
news.google.com (216.58.208.206)                                  ОТСУСТВУЕТ
openwrt.org (139.59.209.225)                                      В ТАБЛИЦЕ
photos.google.com (216.58.208.206)                                ОТСУСТВУЕТ
play.google.com (142.250.203.142)                                 ОТСУСТВУЕТ

А что это обозначает и почему некоторые ресурсы продолжают работать, даже если в выводе написано что они отсутствуют?

[Вячеслав _]

В 08.09.2022 в 16:57, drfischer сказал:

Но в этом случае просто трафик идет через впн же получается. Квас тут не задействован же?

Да, весь трафик через ВПН, по-другому никак (ну или я не знаю как)

[Dack64]

Добрый день. Кто-нибудь пробовал ставить КВАС с нуля на новых прошивках? Переставил Entware, КВАС при установке перестал видеть wireguard vpn (Галка стоит Использовать для выхода в интернет), поднято несколько l2tp vpn, из них видит только один, по какому принципу не понятно и то маршрутизация не работает если выбрать тот что видно, трафик в него не идёт...

[Andrey Zubov]

я ставил на 3.8.4, видело wg без проблем

правда проксирование днс не завелось

[Dack64]

Очень интересно, у меня 3.8.5. Ради эксперимента сбросил всё в ноль, настроил только впн и квас. Интерфейс увидел, но 2IP показывает адрес провайдера, все добавленные в таблицу сайты так же идут через провайдера.

[drfischer]

10 часов назад, Dack64 сказал:

Добрый день. Кто-нибудь пробовал ставить КВАС с нуля на новых прошивках? Переставил Entware, КВАС при установке перестал видеть wireguard vpn

У меня и на 3.8.4 и 3.8.5 (сегодня как раз обновил) тоже не видит wireguard. Использую openvpn

[R0cky]

Всем доброго дня! Где можно посмотреть алгоритм работы квас? то есть его исходники. В шапке ответ на этот вопрос не нашел, а всю тему лопатить лень если честно. Спасибо.

[Zeleza]

10 минут назад, R0cky сказал:

Где можно посмотреть алгоритм работы квас? то есть его исходники.

Доброго утра,
Посмотреть исходники можно здесь. 

[R0cky]

2 часа назад, Zeleza сказал:

Доброго утра,
Посмотреть исходники можно здесь. 

Спасибо, вижу вы включили в проект некоторые мои наработки, это льстит) Только вот смущает этот коммент:

Цитата

 

# Маркируем трафик для гостевой (в том числе) сети и прохождение пакетов через VPN подключение

ip4tables PREROUTING -t mangle ! -s "${INFACE_GUEST_GW4}" -m conntrack --ctstate NEW -m set --match-set ${table_name} dst -j CONNMARK --set-mark 0xd1000

ip4tables PREROUTING -t mangle ! -s "${INFACE_GUEST_GW4}" -m set --match-set ${table_name} dst -j CONNMARK --restore-mark

 

Думается Вы не совсем правильно поняли смысл условия  ! -s "${INFACE_GUEST_GW4}"

Оно наоборот, исключает маркировку всех соединений (а второе правило пакетов), где адресом источника выступает гостевая подсеть. С тем, чтобы не вмешиваться в их работу.

Если стоит задача организавать выборочный роутинг в гостевой сети или клиентов впн подключения, развернутого на роутере, то для этого в первую очередь необходимо организовать перенаправление (с помощью DNAT) всех днс запрсов от клиентов этих подсетей в dnsmasq, для пополнения списков ipset. Дальше нужно разрешить хождение пакетов между гостевой подсетью (или подсетью vpn сервера на роутере, в которую попадают клиенты при подключении извне) и vpn подключением, которое используется для обхода блокировок. Делается через раздел "межсетевой экран" веб морды. Или можно попробовать с помощью iptables (SNAT или MASQUERADE). И конечно для гостевой сети из правил выше надо убрать условие -s "${INFACE_GUEST_GW4}" иначе маркировка исходящего из гостевой сети траффика производиться не будет. Гарантии, что подобная конструкция окажется совместима с сетевыми ускорителями нет, надо пробовать....

 

Edited September 15, 2022 by R0cky

[Zeleza]

Доброго дня

16 минут назад, R0cky сказал:

Оно наоборот, исключает маркировку всех соединений (а второе правило пакетов), где адресом источника выступает гостевая подсеть. С тем, чтобы не вмешиваться в их работу.

Да, Вы правы, мое упущение, значит не в ту сторону "копаем" ), но рад что Вы обратили внимание. 

Цитата

Если стоит задача организавать выборочный роутинг в гостевой сети или клиентов впн подключения, развернутого на роутере

Данный момент не касается непосредственной работы Кваса, но некоторым пользователям очень хотелось бы иметь подобную возможность. Все знать нет возможности, потому буду Вам признателен за помощь в решении данного вопроса. Если есть возможность, то подскажите пожалуйста, как решить данный вопрос при помощи iptables правил.  

[CJMAXiK]

Хорошие новости - AdGuard Home в версии 0.107.13 добавил возможность вынести правила ipset в отдельный файл.

Edited September 15, 2022 by CJMAXiK

[R0cky]

2 часа назад, Zeleza сказал:

. Если есть возможность, то подскажите пожалуйста, как решить данный вопрос при помощи iptables правил.  

Перенаправление днс запрсов с подсетей впн сервера или гостевой сети:

iptables -w -t nat -A PREROUTING -p udp -d 10.8.3.1 --dport 53 -j DNAT --to 192.168.1.1:53

Где 10.8.3.1 - шлюз (обычно и днс сервер) гостевой сети (или впн сервера, к которому подключаются клиенты извне). 192.168.1.1 - шлюз интерефейса br0 на котором висит dnsmasq. Если dnsmasq слушает порт, отличный от стандартного 53, в адресе после DNAT порт тоже надо скорректировать.

Далее разрешаем хождение пакетов из гостевой сети в впн сеть, используемую для обхода (в нашем примере это будет nwg0)

iptables -w -t nat -A POSTROUTING -s 10.8.3.0/24 -o nwg0 -j MASQUERADE

10.8.3.0/24 - это как можно догадаться гостевая подсеть или подсеть впн сервера, используемого клиентскими устройствами.

Ну и не забыть из правил маркировки траффика убрать условие ! -s "${INFACE_GUEST_GW4}"

Пробуйте.

 

 

Edited September 15, 2022 by R0cky

[Zeleza]

41 минуту назад, CJMAXiK сказал:

Хорошие новости - AdGuard Home в версии 0.107.13 добавил возможность вынести правила ipset в отдельный файл.

Да, но для совместимости пока остаемся на прежнем варианте.

[Zeleza]

1 час назад, R0cky сказал:

Перенаправление днс запрсов с подсетей впн сервера или гостевой сети:

Данный механизм применяется в обоих случаях, как отключённым, так и с включенным программным и аппаратном ускорении? Все верно?

[R0cky]

10 минут назад, Zeleza сказал:

Данный механизм применяется в обоих случаях, как отключённым, так и с включенным программным и аппаратном ускорении? Все верно?

Безусловно