ipset-dns для выборочного роутинга

[Marat100]

Возможно ли сделать прямо противоположное? Что бы VPN работал на все кроме белого списка адресов... 😁

[keenet07]

Делаете VPN шлюзом по умолчанию. А в скрипте вместо VPN указываете данные интерфейса провайдера. 

В теории можно так попробовать. Но возможно придётся что-то немного изменить в скрипте. 

Edited November 30, 2023 by keenet07

[V.A.S.t]

Что то я не пойму... Добавил rutracker.org и instagram.com. Рутрекер в браузере открывается, инстаграм - нет (нет ответа). При этом трейс идет как положено через ВПН и там и там. ЧЯДНТ?

[Сергей Грищенко]

13 минуты назад, V.A.S.t сказал:

Что то я не пойму... Добавил rutracker.org и instagram.com. Рутрекер в браузере открывается, инстаграм - нет (нет ответа). При этом трейс идет как положено через ВПН и там и там. ЧЯДНТ?

Сделайте tracert instagram.com в cmd

[V.A.S.t]

Говорю же, трейс идет в впн. Но браузер не открывает.

PS C:\WINDOWS\system32> tracert instagram.com

Трассировка маршрута к instagram.com [157.240.205.174]
с максимальным числом прыжков 30:

  1    <1 мс    <1 мс    <1 мс  ULTRA [192.168.1.1]
  2    95 ms    93 ms    92 ms  176.16.10.1
  3    94 ms    93 ms    93 ms  gw.mgnhost.com [193.0.178.1]
  4    94 ms    94 ms    97 ms  gw-nl.mgnhost.com [185.15.210.40]
  5   108 ms   115 ms    97 ms  v220.rtr1.mirhosting.net [185.15.209.25]
  6     *        *        *     Превышен интервал ожидания для запроса.
  7   140 ms   140 ms   139 ms  po202.asw02.hel3.tfbnw.net [129.134.54.20]
  8   143 ms   149 ms   142 ms  psw03.hel3.tfbnw.net [129.134.93.107]
  9   138 ms   137 ms   137 ms  173.252.67.107
 10   142 ms   144 ms   143 ms  instagram-p42-shv-01-hel3.fbcdn.net [157.240.205.174]

Трассировка завершена.

PS C:\WINDOWS\system32> tracert rutracker.org

Трассировка маршрута к rutracker.org [104.21.32.39]
с максимальным числом прыжков 30:

  1    <1 мс    <1 мс    <1 мс  ULTRA [192.168.1.1]
  2    93 ms   101 ms    93 ms  176.16.10.1
  3    93 ms    94 ms    95 ms  gw.mgnhost.com [193.0.178.1]
  4   102 ms    93 ms    98 ms  gw-nl.mgnhost.com [185.15.210.40]
  5   117 ms   117 ms    96 ms  speed-ix.cloudflare.com [185.1.222.191]
  6    98 ms   115 ms   101 ms  172.71.92.4
  7    96 ms    99 ms   110 ms  104.21.32.39

Трассировка завершена.

Edited December 4, 2023 by V.A.S.t

[keenet07]

Попробуйте обновить страницу в браузере CTRL+F5

[Сергей Грищенко]

Я бы еще в chrome глянул какой даёт ответ инстаграм при открытии в браузере 

 

Скрытый текст

[V.A.S.t]

2 минуты назад, keenet07 сказал:

Попробуйте обновить страницу в браузере CTRL+F5

И страницу обновлял, и браузер другой пробовал, даже два. И с телефона пробовал. И отключал кеширование через средства разработчика - не помогает ничего...

[V.A.S.t]

1 минуту назад, Сергей Грищенко сказал:

Я бы еще в chrome глянул какой даёт ответ инстаграм при открытии в браузере 

 

  Показать содержимое

 

Никакой...
 

[keenet07]

У меня открывается. Только что попробовал. Может проблема в вашем VPN. Попробуйте через другой, если есть возможность.

[V.A.S.t]

В другом месте через тот же самый ВПН открывается. Ну и странно, что открываются сайты выборочно: 2ip.ru не открывается, ip.me открывается. Ну так не бывает (

[keenet07]

Пробуйте переподключать VPN. Обратитесь к ресурсу с разных браузеров. Иногда чтоб что-то заработало может потребоваться сбор нескольких IP адресов для ресурса. Они как известно собираются при резовле доменного имени и добавляются в таблицу для дальнейшей маршрутизации. Не перезагружайте устройство, ведь после этого оно забывает все эти адреса. Скрипт работает налету и ничего никуда не сохраняет. 

[V.A.S.t]

Ладно, проблема была с VPN. Не стал разбираться, в чем конкретно, и почему это связано с Кинетиком... Настроил другой ВПН. Проблема теперь в том, что каким-то немыслимым образом оператор подсовывает свои ДНС. Не всегда, но проскакивают:
 

PS C:\WINDOWS\system32> tracert www.instagram.com

Трассировка маршрута к z-p42-instagram.c10r.instagram.com [157.240.205.174]
с максимальным числом прыжков 30:

  1    <1 мс    <1 мс    <1 мс  ULTRA [192.168.1.1]
  2    94 ms    94 ms    94 ms  10.8.0.1
  3    98 ms    95 ms    96 ms  gw.mgnhost.com [193.0.178.1]
  4    95 ms    97 ms    95 ms  gw-nl.mgnhost.com [185.15.210.40]
  5   100 ms    95 ms    97 ms  v220.rtr1.mirhosting.net [185.15.209.25]
  6     *        *        *     Превышен интервал ожидания для запроса.
  7   141 ms   143 ms   140 ms  po202.asw02.hel3.tfbnw.net [129.134.54.20]
  8   143 ms   143 ms   144 ms  psw03.hel3.tfbnw.net [129.134.93.107]
  9   141 ms   140 ms   141 ms  173.252.67.107
 10   144 ms   143 ms   143 ms  instagram-p42-shv-01-hel3.fbcdn.net [157.240.205.174]

Трассировка завершена.
PS C:\WINDOWS\system32> tracert www.instagram.com

Трассировка маршрута к fz139.TTK.ru [188.43.20.67]
с максимальным числом прыжков 30:

  1    <1 мс    <1 мс    <1 мс  ULTRA [192.168.1.1]
  2   140 ms   224 ms    95 ms  10.8.0.1
  3    94 ms    95 ms    94 ms  gw.mgnhost.com [193.0.178.1]
  4    96 ms    95 ms   101 ms  gw-nl.mgnhost.com [185.15.210.40]
  5    96 ms    94 ms   231 ms  et315-464.RT.SRV.DRO.NL.retn.net [87.245.211.8]
  6   128 ms   126 ms   124 ms  ae6-106.RT.SL.SPB.retn.ru [87.245.233.249]
  7   125 ms   124 ms   128 ms  GW-TransTeleCom.retn.net [87.245.228.207]
  8     *        *        *     Превышен интервал ожидания для запроса.
  9   135 ms   132 ms   132 ms  msk05.transtelecom.net [188.43.20.70]
 10   131 ms   132 ms   131 ms  dib-filtr-gw.transtelecom.net [188.43.20.67]

Трассировка завершена.

Как? Что сделать, чтобы этого не было? DOT настроил на 8.8.8.8 и 1.1.1.1, на все узлы в сети применяется AdGuard DNS Серверы по умолчанию. А нет-нет, но проскакивает этот fz139.ttk.ru...

[keenet07]

3 часа назад, V.A.S.t сказал:

Как? Что сделать, чтобы этого не было? DOT настроил на 8.8.8.8 и 1.1.1.1, на все узлы в сети применяется AdGuard DNS Серверы по умолчанию. А нет-нет, но проскакивает этот fz139.ttk.ru...

Утечку DNS можете отследить тут https://www.dnsleaktest.com

Если у вас настроен DOT, то обращений к незащищенным DNS серверам, в том числе провайдера быть не должно (за исключением некоторых служебных). Дополнительно можно поставить галочку Игнорировать DNS (провайдера) в настройках сети вашего провайдера. Если в вашем случае это возможно. Данная опция есть в старом интерфейсе. В новом что-то не нашёл.

Ну и заглушка провайдера которая у вас выскакивает срабатывает совсем не обязательно по вине DNS. Возможно просто попадается прямой IP адрес который заблокирован и вас перекидывает. Тут нужно просто найти и добавить все необходимые домены. 

[V.A.S.t]

Да в том-то и дело, что вроде все настроено, галка Игнорировать DNS стоит (есть в новом интерфейсе, в расширенных настройках PPPoE). Тест по https://www.dnsleaktest.com выдает DNS AdGuard без утечек. А один и тот-же домен трассируется по разным адресам, среди которых (видно по сообщению выше) fz139.ttk.ru.
Кстати, запрет транзита DNS тоже стоит.

Учитывая, что добавленные домены разрешаются в адреса через поднятый VPN, откуда может прилетать этот адрес?

И еще, есть ли возможность очищать список разрешенных адресов без перезагрузки роутера?

UPDATE:

Проблема решилась прописыванием в bypass.conf DNS 1.1.1.1. Не знаю как, но запросы к 8.8.8.8 каким-то образом подменял провайдер.

Edited December 8, 2023 by V.A.S.t

[Wintego]

После перезагрузки роутера все домены которые были прописаны на обход перестали открываться.

C:\Users\User>tracert rutracker.org
Unable to resolve target system name rutracker.org.

Но если в настройках роутера в политике доступа поставить ВПН подключение на 1 место, то всё работает через него. То есть с ВПН всё ок.

Подскажите пожалуйста, как поправить?

[ok5id]

Изменение списка доменов не применяется налету нужно перезагрузить роутер прошивка 4.0.7. Есть способ исправить?

Edited December 15, 2023 by ok5id

[keenet07]

Обычно применяется. Но если такое случается обычно достаточно переподключить VPN. Или попробовать открыть ссылку в другом браузере, чтоб запрос прошёл верно, а не использовался кэшированный браузером, если вы пытались зайти по ней до внесения этого домена.

[ok5id]

пробовал по разному и включал выключал vpn но все равно даже когда удалил домен он остается пока не перезагрузить роутер

[Сергей Грищенко]

12 часа назад, ok5id сказал:

Изменение списка доменов не применяется налету нужно перезагрузить роутер прошивка 4.0.7. Есть способ исправить?

Не заметил такой проблемы.

У меня работают два wg подключения, для разных стран и оба прекрасно работают.

[Сергей Грищенко]

вот скрипты для второго подключения, если вдруг кому нужно, всё точно так же, только порт для сайтов теперь 
192.168.1.1:5354

ipset-dns-keenetic.rar

Edited December 16, 2023 by Сергей Грищенко

[Сергей Грищенко]

В 26.04.2023 в 19:44, Александр Рыжов сказал:

Число записей ограничено 64. 

Какие есть решения с этим ограничением? Можно ли обойтись без изменения прошивки? 

Dns::Manager error[22544485]: server list limit exceeded, the maximum is 64 addresses.

[Александр Рыжов]

1 час назад, Сергей Грищенко сказал:

Какие есть решения с этим ограничением? Можно ли обойтись без изменения прошивки? 

Никак, это решение для точечного обхода. На первой странице темы можно найти детали обсуждения.

[keenet07]

Если только просить разрабов увеличить это число до 128. Если немного не хватает.

[Сергей Грищенко]

В 17.12.2023 в 11:04, keenet07 сказал:

Если только просить разрабов увеличить это число до 128. Если немного не хватает.

Мне бы этого хватило, запрос в поддержку отправил, но скорее всего этого не сделают)

В 17.12.2023 в 10:35, Александр Рыжов сказал:

Никак, это решение для точечного обхода. На первой странице темы можно найти детали обсуждения.

Мне и нужно для точечного обхода, просто список больше чем 64. Можно ли это решить с помощью DNSMasq?

Помогите пожалуйста, как это сделать с помощью DNSMasq, вот как я вижу:

1. Установить 

opkg install dnsmasq-full

2. Настроить конфиг

cat /dev/null > /opt/etc/dnsmasq.conf
mcedit /opt/etc/dnsmasq.conf

user=nobody
bogus-priv
no-negcache
clear-on-reload
bind-dynamic
listen-address=192.168.0.1
listen-address=127.0.0.1
min-port=4096
cache-size=1536
expand-hosts
log-async

3. Отключить штатный DNS кинетика 

opkg dns-override
system configuration save
system reboot

И если я не написал бред, то в dnsmasq.conf добавлять уже свой список:

address=/yandex.ru/192.168.1.1:5353

?

[Александр Рыжов]

4 часа назад, Сергей Грищенко сказал:

Мне и нужно для точечного обхода, просто список больше чем 64. Можно ли это решить с помощью DNSMasq?

Да. С помощью dnsmasq или adguardhome. Оба умею складывать результаты разрешения имён в ipset.

 

4 часа назад, Сергей Грищенко сказал:

3. Отключить штатный DNS кинетика 

Вот в этом всё дело. Придётся отказаться от прошивочного сервиса с его плюшками.

[Сергей Грищенко]

22 минуты назад, Александр Рыжов сказал:

Вот в этом всё дело. Придётся отказаться от прошивочного сервиса с его плюшками.

А от каких именно плюшек придётся отказаться? Для меня самый плюс вашего решения в его лёгкости и том что он "на лету" ловит новые IP адреса с сайтов) 

[keenet07]

От веб-интерфейса при вводе новых доменов и от понимания прошивкой обращения к доменам и поддоменам. 

А так же от интернет фильтров со всеми возможностями которые они дают.

Edited December 18, 2023 by keenet07

[Александр Рыжов]

1 час назад, Сергей Грищенко сказал:

А от каких именно плюшек придётся отказаться?

Плюс к названному выше — возможность обращения к локальным устройствам по тем DNS-именам, которыми они представились DHCP-серверу. 

И в целом не хочется без крайней нужды отрывать какой-то базовый функционал от роутера, поскольку прошивочная логика больше не будет им управлять. Если он отвалится, то перезапустить его будет некому.

Прошивочные фичи можно сохранить, сделав каскад из DNS-прокси служб. Прошивочный резолвер будет обращаться к dnsmasq.

[Сергей Грищенко]

Вообщем написал в поддержку, попросил увеличить количество записей (сейчас ограничено 64), дали ответ:

Цитата

 

Здравствуйте.

Принципиальных возражений против такого увеличения не возникло. Создал задачу для разработчиков NDM-3077, чтобы увеличить число записей. Пожалуйста, ожидайте.

 

Надеюсь увеличат и тогда не нужно будет ничего менять 👍

Edited December 20, 2023 by Сергей Грищенко