Albram Posted April 14, 2022 Share Posted April 14, 2022 8 минут назад, Роберт Зарипов сказал: fragmentation нечего не работает При запуске ошибок никаких нет? Quote Link to comment Share on other sites More sharing options...
Роберт Зарипов Posted April 14, 2022 Share Posted April 14, 2022 10 минут назад, Albram сказал: При запуске ошибок никаких нет? ~ # /opt/etc/init.d/S99zapret start iptable_raw.ko is already loaded xt_string.ko is already loaded nfqws is installed tpws is installed Restoring ipset Adding iptables rule Starting anti-zapret: ~ # Quote Link to comment Share on other sites More sharing options...
Albram Posted April 14, 2022 Share Posted April 14, 2022 4 минуты назад, Роберт Зарипов сказал: ~ # /opt/etc/init.d/S99zapret start Содержимое /opt/etc/init.d/S99zapret покажите. А goodbaydpi работает на компе? С какими параметрами запуска? Quote Link to comment Share on other sites More sharing options...
Роберт Зарипов Posted April 14, 2022 Share Posted April 14, 2022 (edited) 1 час назад, Albram сказал: Содержимое /opt/etc/init.d/S99zapret покажите. А goodbaydpi работает на компе? С какими параметрами запуска? по этому пути /opt/etc/init.d/S99zapret файл не открывается блокнотом только по этому пути открывается /opt/zapret/init.d/keenetic/S99zapret goodbyedpi на компе вот его параметры @ECHO OFF PUSHD "%~dp0" set _arch=x86 IF "%PROCESSOR_ARCHITECTURE%"=="AMD64" (set _arch=x86_64) IF DEFINED PROCESSOR_ARCHITEW6432 (set _arch=x86_64) PUSHD "%_arch%" start "" goodbyedpi.exe -5 --blacklist ..\russia-blacklist.txt POPD POPD Edited April 14, 2022 by Роберт Зарипов Quote Link to comment Share on other sites More sharing options...
Роберт Зарипов Posted April 14, 2022 Share Posted April 14, 2022 2 часа назад, Albram сказал: Содержимое /opt/etc/init.d/S99zapret покажите. А goodbaydpi работает на компе? С какими параметрами запуска? #!/bin/sh # For systemd : # install : /usr/lib/lsb/install_initd zapret # remove : /usr/lib/lsb/remove_initd zapret ### BEGIN INIT INFO # Provides: zapret # Required-Start: $local_fs $network # Required-Stop: $local_fs $network # Default-Start: 2 3 4 5 # Default-Stop: 0 1 6 ### END INIT INFO # CHOOSE ACTION PERFORMED ON PACKETS: FRAGMENTATION (NFQWS) OR MODIFICATION (TPWS). ACTION=fragmentation #ACTION=modification #ACTION=combined # CHOSE NETWORK INTERFACE BEHIND NAT SLAVE_ETH=br0 IPSET_CR=/opt/zapret/ipset/create_ipset.sh NAME=zapret DESC=anti-zapret QNUM=200 TPPORT=1188 ROUTE_TABLE_NUM=100 NFQWS=/opt/zapret/binaries/mips32r1-lsb/nfqws TPWS=/opt/zapret/binaries/mips32r1-lsb/tpws TPWS_USER=nobody #FILL THE ADRESS OF BLACKHOLE PAGE BLACKHOLE=blocklist.rkn.gov.ru BLACKHOLE_REG="|0D0A|Location: http://$BLACKHOLE" PIDFILE=/var/run/$NAME.pid set -e case "$1" in start) if lsmod | grep "iptable_raw " &> /dev/null ; then echo "iptable_raw.ko is already loaded" else if insmod /lib/modules/$(uname -r)/iptable_raw.ko &> /dev/null; then echo "iptable_raw.ko loaded" else echo "Cannot find iptable_raw.ko kernel module, aborting" exit 1 fi fi if lsmod | grep "xt_string " &> /dev/null ; then echo "xt_string.ko is already loaded" else if insmod /lib/modules/$(uname -r)/xt_string.ko &> /dev/null; then echo "xt_string.ko loaded" else echo "Cannot find xt_string.ko kernel module, aborting" exit 1 fi fi if ($NFQWS 2> /dev/null| grep "wsize") &> /dev/null ; then echo "nfqws is installed" else echo "nfqws is not installed, aborting" exit 1 fi if ($TPWS --test 2> /dev/null| grep "maxconn") &> /dev/null ; then echo "tpws is installed" else echo "tpws is not installed, aborting" exit 1 fi echo "Restoring ipset" #($IPSET_CR) if !(ipset list -n zapret > /dev/null) ; then ipset restore -f /opt/zapret/ipset/zapret.ipset fi if !(ipset list -n zapret6 > /dev/null) ; then ipset restore -f /opt/zapret/ipset/zapret6.ipset fi echo "Adding iptables rule" case "${ACTION}" in fragmentation) iptables -t raw -C PREROUTING -p tcp --sport 80 -m string --hex-string "$BLACKHOLE_REG" --algo bm -j DROP --from 40 --to 200 2>/dev/null || iptables -t raw -I PREROUTING -p tcp --sport 80 -m string --hex-string "$BLACKHOLE_REG" --algo bm -j DROP --from 40 --to 200 iptables -t raw -C PREROUTING -p tcp --sports 80,443 --tcp-flags SYN,ACK SYN,ACK -m set --match-set zapret src -j NFQUEUE --queue-num $QNUM --queue-bypass 2>/dev/null || iptables -t raw -I PREROUTING -m multiport -p tcp --sports 80,443 --tcp-flags SYN,ACK SYN,ACK -m set --match-set zapret src -j NFQUEUE --queue-num $QNUM --queue-bypass #iptables -t nat -C PREROUTING -p tcp --dport 443 -m set --match-set zapret dst -j REDIRECT --to-port 8888 2>/dev/null || # iptables -t nat -I PREROUTING -p tcp --dport 443 -m set --match-set zapret dst -j REDIRECT --to-port 8888 DAEMON=$NFQWS DAEMON_OPTS="--qnum=$QNUM --wsize=5" ;; modification) sysctl -w net.ipv4.conf.$SLAVE_ETH.route_localnet=1 if [ -e /proc/net/if_inet6 ] ; then ! ip -6 route add local default dev lo table 99 ! ip -6 rule add from all fwmark 0x9 lookup 99 ip6tables -t mangle -C PREROUTING -p tcp --dport 80 -i $SLAVE_ETH -m set --match-set zapret6 dst -j TPROXY --tproxy-mark 0x9/0x9 --on-port $TPPORT --on-ip ::1 2>/dev/null || ip6tables -t mangle -I PREROUTING -p tcp --dport 80 -i $SLAVE_ETH -m set --match-set zapret6 dst -j TPROXY --tproxy-mark 0x9/0x9 --on-port $TPPORT --on-ip ::1 ip6tables -t mangle -N DIVERT ip6tables -t mangle -C DIVERT -j MARK --set-mark 9 2>/dev/null || ip6tables -t mangle -A DIVERT -j MARK --set-mark 9 ip6tables -t mangle -C DIVERT -j ACCEPT 2>/dev/null || ip6tables -t mangle -I DIVERT -j ACCEPT ip6tables -t mangle -C PREROUTING -p tcp -m socket -j DIVERT 2>/dev/null || ip6tables -t mangle -I PREROUTING -p tcp -m socket -j DIVERT fi iptables -t nat -C PREROUTING -p tcp --dport 80 -i $SLAVE_ETH -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT 2>/dev/null || iptables -t nat -I PREROUTING -p tcp --dport 80 -i $SLAVE_ETH -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT iptables -t nat -C OUTPUT -p tcp --dport 80 -m owner ! --uid-owner $TPWS_USER -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT 2>/dev/null || iptables -t nat -I OUTPUT -p tcp --dport 80 -m owner ! --uid-owner $TPWS_USER -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT DAEMON=$TPWS DAEMON_OPTS="--port=$TPPORT --user=$TPWS_USER --methodeol" ;; combined) sysctl -w net.ipv4.conf.$SLAVE_ETH.route_localnet=1 if [ -e /proc/net/if_inet6 ] ; then ! ip -6 route add local default dev lo table 99 ! ip -6 rule add from all fwmark 0x9 lookup 99 ip6tables -t mangle -C PREROUTING -p tcp --dport 80 -i $SLAVE_ETH -m set --match-set zapret6 dst -j TPROXY --tproxy-mark 0x9/0x9 --on-port $TPPORT --on-ip ::1 2>/dev/null || ip6tables -t mangle -I PREROUTING -p tcp --dport 80 -i $SLAVE_ETH -m set --match-set zapret6 dst -j TPROXY --tproxy-mark 0x9/0x9 --on-port $TPPORT --on-ip ::1 ip6tables -t mangle -N DIVERT ip6tables -t mangle -C DIVERT -j MARK --set-mark 9 2>/dev/null || ip6tables -t mangle -A DIVERT -j MARK --set-mark 9 ip6tables -t mangle -C DIVERT -j ACCEPT 2>/dev/null || ip6tables -t mangle -I DIVERT -j ACCEPT ip6tables -t mangle -C PREROUTING -p tcp -m socket -j DIVERT 2>/dev/null || ip6tables -t mangle -I PREROUTING -p tcp -m socket -j DIVERT fi iptables -t raw -C PREROUTING -p tcp --sports 443 --tcp-flags SYN,ACK SYN,ACK -m set --match-set zapret src -j NFQUEUE --queue-num $QNUM --queue-bypass 2>/dev/null || iptables -t raw -I PREROUTING -m multiport -p tcp --sports 443 --tcp-flags SYN,ACK SYN,ACK -m set --match-set zapret src -j NFQUEUE --queue-num $QNUM --queue-bypass iptables -t nat -C PREROUTING -p tcp --dport 80 -i $SLAVE_ETH -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT 2>/dev/null || iptables -t nat -I PREROUTING -p tcp --dport 80 -i $SLAVE_ETH -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT iptables -t nat -C OUTPUT -p tcp --dport 80 -m owner ! --uid-owner $TPWS_USER -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT 2>/dev/null || iptables -t nat -I OUTPUT -p tcp --dport 80 -m owner ! --uid-owner $TPWS_USER -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT $NFQWS --daemon --qnum=$QNUM --wsize=1200 DAEMON=$TPWS DAEMON_OPTS="--port=$TPPORT --user=$TPWS_USER --methodeol" ;; esac echo -n "Starting $DESC: " start-stop-daemon -S -q -p $PIDFILE -b -m -x $DAEMON -- $DAEMON_OPTS echo "$NAME." ;; stop) echo "Saving ipset" ipset save zapret -f /opt/zapret/ipset/zapret.ipset if [ -e /proc/net/if_inet6 ] ; then ipset save zapret6 -f /opt/zapret/ipset/zapret6.ipset fi echo "Deleting iptables rule" case "${ACTION}" in fragmentation) iptables -t raw -D PREROUTING -p tcp --sport 80 -m string --hex-string "$BLACKHOLE_REG" --algo bm -j DROP --from 40 --to 200 iptables -t raw -D PREROUTING -m multiport -p tcp --sports 80,443 --tcp-flags SYN,ACK SYN,ACK -m set --match-set zapret src -j NFQUEUE --queue-num $QNUM --queue-bypass #iptables -t nat -D PREROUTING -p tcp --dport 443 -m set --match-set zapret dst -j REDIRECT --to-port 8888 DAEMON=$NFQWS ;; modification) sysctl -w net.ipv4.conf.$SLAVE_ETH.route_localnet=0 ! iptables -t nat -D PREROUTING -p tcp --dport 80 -i $SLAVE_ETH -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT 2>/dev/null ! iptables -t nat -D OUTPUT -p tcp --dport 80 -m owner ! --uid-owner $TPWS_USER -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT 2>/dev/null if [ -e /proc/net/if_inet6 ] ; then ! ip6tables -t mangle -D PREROUTING -p tcp -m socket -j DIVERT 2>/dev/null ! ip6tables -t mangle -F DIVERT 2>/dev/null ! ip6tables -t mangle -X DIVERT 2>/dev/null ! ip6tables -t mangle -D PREROUTING -p tcp --dport 80 -i $SLAVE_ETH -m set --match-set zapret6 dst -j TPROXY --tproxy-mark 0x9/0x9 --on-port $TPPORT --on-ip ::1 2>/dev/null ! ip -6 rule del from all fwmark 0x9 2>/dev/null ! ip -6 route del local default dev lo table 99 2>/dev/null fi DAEMON=$TPWS ;; combined) sysctl -w net.ipv4.conf.$SLAVE_ETH.route_localnet=0 ! iptables -t raw -D PREROUTING -m multiport -p tcp --sports 443 --tcp-flags SYN,ACK SYN,ACK -m set --match-set zapret src -j NFQUEUE --queue-num $QNUM --queue-bypass ! iptables -t nat -D PREROUTING -p tcp --dport 80 -i $SLAVE_ETH -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT 2>/dev/null ! iptables -t nat -D OUTPUT -p tcp --dport 80 -m owner ! --uid-owner $TPWS_USER -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT 2>/dev/null if [ -e /proc/net/if_inet6 ] ; then ! ip6tables -t mangle -D PREROUTING -p tcp -m socket -j DIVERT 2>/dev/null ! ip6tables -t mangle -F DIVERT 2>/dev/null ! ip6tables -t mangle -X DIVERT 2>/dev/null ! ip6tables -t mangle -D PREROUTING -p tcp --dport 80 -i $SLAVE_ETH -m set --match-set zapret6 dst -j TPROXY --tproxy-mark 0x9/0x9 --on-port $TPPORT --on-ip ::1 2>/dev/null ! ip -6 rule del from all fwmark 0x9 2>/dev/null ! ip -6 route del local default dev lo table 99 2>/dev/null fi #ip -6 route flush table 99 killall nfqws DAEMON=$TPWS ;; esac echo -n "Stopping $DESC: " start-stop-daemon -K -q -p $PIDFILE -x $DAEMON echo "$NAME." ;; *) N=/etc/init.d/$NAME echo "Usage: $N {start|stop}" >&2 exit 1 ;; esac exit 0 Quote Link to comment Share on other sites More sharing options...
Albram Posted April 15, 2022 Share Posted April 15, 2022 13 часа назад, Роберт Зарипов сказал: по этому пути /opt/etc/init.d/S99zapret файл не открывается блокнотом только по этому пути открывается /opt/zapret/init.d/keenetic/S99zapret goodbyedpi на компе вот его параметры start "" goodbyedpi.exe -5 --blacklist ..\russia-blacklist.txt Как минимум не совпадает размер tcp window size, при запуске с параметром -5 это значение 2: -5: -f 2 -e 2 --auto-ttl --reverse-frag --max-payload а в скрипте S99zapret у вас 5: --wsize=5 Т.е. сначала установите в скрипте значение 2 для --wsize= Quote Link to comment Share on other sites More sharing options...
Роберт Зарипов Posted April 15, 2022 Share Posted April 15, 2022 11 час назад, Albram сказал: Как минимум не совпадает размер tcp window size, при запуске с параметром -5 это значение 2: -5: -f 2 -e 2 --auto-ttl --reverse-frag --max-payload а в скрипте S99zapret у вас 5: --wsize=5 Т.е. сначала установите в скрипте значение 2 для --wsize= установил DAEMON_OPTS="--qnum=$QNUM --wsize=2" вот так да Quote Link to comment Share on other sites More sharing options...
Роберт Зарипов Posted April 16, 2022 Share Posted April 16, 2022 работает только https http не работает Quote Link to comment Share on other sites More sharing options...
Albram Posted April 16, 2022 Share Posted April 16, 2022 1 час назад, Роберт Зарипов сказал: работает только https http не работает А вот для этого параметра где данные взяли? Скрытый текст BLACKHOLE=blocklist.rkn.gov.ru Quote Link to comment Share on other sites More sharing options...
Роберт Зарипов Posted April 16, 2022 Share Posted April 16, 2022 2 часа назад, Albram сказал: А вот для этого параметра где данные взяли? Скрыть содержимое BLACKHOLE=blocklist.rkn.gov.ru это моя местная заглушка она выходит Quote Link to comment Share on other sites More sharing options...
Роберт Зарипов Posted April 16, 2022 Share Posted April 16, 2022 6 минут назад, Роберт Зарипов сказал: это моя местная заглушка она выходит 2 часа назад, Albram сказал: А вот для этого параметра где данные взяли? Показать содержимое BLACKHOLE=blocklist.rkn.gov.ru спасибо за подсказку все сделал все работает Quote Link to comment Share on other sites More sharing options...
Роберт Зарипов Posted April 16, 2022 Share Posted April 16, 2022 все равно не которые https не открывает Quote Link to comment Share on other sites More sharing options...
007dimka Posted April 21, 2022 Share Posted April 21, 2022 a есть пошаговый минуал как чайникам поставить на роутер кенетик ультра? Quote Link to comment Share on other sites More sharing options...
Роберт Зарипов Posted April 26, 2022 Share Posted April 26, 2022 добрый день настроил выборочный обход блокировки от https://habr.com/ru/post/428992/ все работает кроме union ссылок и только на компьютере не открывает не один браузер а на телевизоре samsung по wifi открывает union ссылки не знаю у кого спросит автор уже неделю не активен на habr Quote Link to comment Share on other sites More sharing options...
Роберт Зарипов Posted May 6, 2022 Share Posted May 6, 2022 добрый день у меня вот такая ошибка начала вылезать Restoring ipset ipset v7.15: The set with the given name does not exist ipset v7.15: The set with the given name does not exist Adding iptables rule iptables v1.4.21: Set zapret doesn't exist. Try `iptables -h' or 'iptables --help' for more information. как решит Quote Link to comment Share on other sites More sharing options...
Popular Post AlexBl Posted May 14, 2022 Popular Post Share Posted May 14, 2022 (edited) Инструкция делалась для роутеров с версии KeeneticOS 3.7 1. Устанавливаем компоненты системы KeeneticOS ( через веб интерфейс ) : Компоненты зависимы друг от друга пока не поставить галочку на установку "Протокол IPv6" не появятся "Модули ядра подсистемы Netfilter" и т.д. [Сетевые функции] Сенсор NetFlow Не устанавливать (Если установлен необходимо удалить) Протокол IPv6 Установить [Утилиты и сервисы] Прокси-сервер DNS-over-HTTPS Установить [Пакеты OPKG] Поддержка открытых пакетов Установить Модули ядра для поддержки файловых систем Установить (для установки Entware на встроенную память) Модули ядра подсистемы Netfilter Установить Модули ядра подсистемы Traffic Control Установить Пакет расширения Xtables-addons для Netfilter Установить 2. Настроить DNS-over-HTTPS по инструкции. 3. Устанавливаем в роутер систему Entware, её можно установить на отдельную флешку или на встроенную память в зависимости от модели роутера: Установка OPKG Entware на встроенную память роутера Установка системы пакетов репозитория Entware на USB-накопитель 4. Далее подключаемся по SSH к установленной системе Entware: Если на роутере был установлен ssh то порт для подключения будет 222 ssh root@192.168.1.1 5. Ставим необходимые пакеты Entware: opkg install ipset curl unzip bind-tools iptables cron nano kmod_ndms xtables-addons_legacy 6. В файле /opt/etc/init.d/S10cron вместо ARGS="-s" оставляем просто ARGS="" иначе в логах будет мусор каждую минуту. sed -i 's/ARGS="-s"/ARGS=""/gi' /opt/etc/init.d/S10cron 7. Скачиваем репозиторий и запускаем скрипт install_bin.sh : curl -L -o /tmp/zapret.zip https://github.com/bol-van/zapret/archive/refs/heads/master.zip && \ unzip /tmp/zapret.zip -d /opt && rm /tmp/zapret.zip && \ mv /opt/zapret-master /opt/zapret && \ /opt/zapret/install_bin.sh 7. Запустите blockcheck.sh. blockcheck позволяет выявить рабочую стратегию обхода блокировок По результатам blockcheck нужно понять какой вариант будете использовать : nfqws или tpws И запомнить найденные стратегии. /opt/zapret/blockcheck.sh 8. Запустите install_easy.sh, для настройки конфигураций: Подробнее по параметрам настройки почитать тут. /opt/zapret/install_easy.sh Запускаем скрипт и проверяем, что недоступные сайты открываются, если это так, значит все настроено правильно и можно продолжать. /opt/zapret/init.d/sysv/zapret start 9. Добавляем симлинк на автозапуск скрипта: ln -fs /opt/zapret/init.d/sysv/zapret /opt/etc/init.d/S99zapret 10. На некоторых устройствах таблица mangle периодически сбрасывается ndm. Исправим это добавив файл /opt/etc/ndm/netfilter.d/zapret.sh со скриптом: nano /opt/etc/ndm/netfilter.d/zapret.sh Вставим скрипт: #!/opt/bin/sh [ "$type" == "ip6tables" ] && exit 0 [ "$table" != "mangle" ] && exit 0 # check the table name /opt/etc/init.d/S99zapret start-fw >/dev/null Добавим права для запуска скрипту: chmod +x /opt/etc/ndm/netfilter.d/zapret.sh P.S. Если все сделали правильно скрипт должен заработать. Edited May 14, 2022 by AlexBl 8 2 Quote Link to comment Share on other sites More sharing options...
Hcimor Posted June 1, 2022 Share Posted June 1, 2022 (edited) Делал по инструкции. Нашлись вот такие стратегии: ipv4 rutracker.org curl_test_http : tpws --methodeol ipv4 rutracker.org curl_test_http : nfqws --dpi-desync=split --dpi-desync-ttl=2 ipv4 rutracker.org curl_test_https_tls12 : tpws not working ipv4 rutracker.org curl_test_https_tls12 : nfqws --dpi-desync=fake --dpi-desync-ttl=4 ipv6 rutracker.org curl_test_http : tpws --methodeol ipv6 rutracker.org curl_test_http : nfqws --dpi-desync=split --dpi-desync-ttl=2 ipv6 rutracker.org curl_test_https_tls12 : tpws not working ipv6 rutracker.org curl_test_https_tls12 : nfqws --dpi-desync=fake --dpi-desync-ttl=5 Запустил install_easy.sh, выбрал nfqws, отредактировал конфигурацию вот так: NFQWS_OPT_DESYNC="--dpi-desync=fake --dpi-desync-ttl=4 --dpi-desync-ttl6=5" NFQWS_OPT_DESYNC_HTTP="--dpi-desync=split --dpi-desync-ttl=2" NFQWS_OPT_DESYNC_HTTPS="--dpi-desync=fake --dpi-desync-ttl=4" NFQWS_OPT_DESYNC_HTTP6="--dpi-desync=split --dpi-desync-ttl=2" NFQWS_OPT_DESYNC_HTTPS6="--dpi-desync=fake --dpi-desync-ttl=5" Запускаю /opt/zapret/init.d/sysv/zapret start делаю проверку на том же rutracker и ничего не работает. Где я мог допустить ошибку? UPD. Как только отключаю IPv6 на роутере - начинает работать. В итоге пока остановился на таком конфиге: NFQWS_OPT_DESYNC="" NFQWS_OPT_DESYNC_HTTP="--dpi-desync=split --dpi-desync-ttl=2" NFQWS_OPT_DESYNC_HTTPS="--dpi-desync=fake --dpi-desync-ttl=4" NFQWS_OPT_DESYNC_HTTP6="" NFQWS_OPT_DESYNC_HTTPS6="" Плюс IPv6 от провайдера выключил и настроил его через тенельброкера буржуйского, где нет блокировок. HTTPv4 - нестабильно работает, иногда прилетает заглушка от провайдера. Поставил keep alive для http - стало значительно стабильней. Edited June 1, 2022 by Hcimor Quote Link to comment Share on other sites More sharing options...
R0cky Posted June 3, 2022 Share Posted June 3, 2022 (edited) Приветствую всех участников темы! Я совсем недавний пользователь Keenetic OS, но некоторый опыт в линукс имею. Недавно приобрел Hopper и настроил перенаправление сайтов по списку по этой инструкции https://github.com/DontBeAPadavan/rublock-via-vpn/wiki Только вместо списка сайтов (конфига dnsmasq), формируемого с сайта antizapret, использую свой небольшой список. Раньше этим методом пользовался на машине с полноценным дистрибутивом линукс и на роутерах с прошивкой Столкнулся с нестандартной проблемой из разряда "подземных стуков", поэтому прошу совета. Итак по порядку. 1. На роутерe Hopper установил opkg затем Entware по мануалу https://help.keenetic.com/hc/ru/articles/360021214160-Установка-системы-пакетов-репозитория-Entware-на-USB-накопитель (выбрал архив mipsel в правильности выбора не уверен, если не прав поправьте) 2. Настоил wireguard подключение 3. Далее по инструкции выше настроил dnsmasq, маркировку пакетов из списка ipset и их заруливание в отдельную таблицу маршрутизации, где основным шлюзом назначил интерфейс wireguard подключения. Ну и SNAT понятное дело сделал для хождения пакетов между локальной сетью и интерфейсом wireguard В итоге список ipset создается, маршрутизация работает, сайты из списка открываются через подключение wireguard, то есть. Но при этом наблюдаются жуткие тормоза, нередко открытие страниц завершается ошибкой таймаута, при обновлении сайт может открыться, а может опять зависнуть. Первое подозрение было на несоответствие размеров пакета, но пингование разным размером пакета показало, что дело не в этом. Менял подключение wireguard на подключение OpenVPN к другому серверу - картина та же. При этом если подключение wireguard назначить основным скажем для гостевой сети wi-fi то скорость и стабильность вполне себе хорошие. Повторюсь, настраиваю обход по инструкции выше далеко не первый раз, на других системах с подобным поведением ни разу не сталкивался. Кстати на других системах использовал подключения впн к тем же серверам, что так же подтверждает, что дело точно не в них. На этом мои идеи исчерпаны посему очень нуждаюсь в совете людей, хорошо знающих Keenetic OS и ее особенности. З.Ы. В системном логе тишина, на интерфейсе wireguard быстро растет счетчик дропнутых пакетов, что на мой взгляд тоже не есть норма. Если не прав, поправьте. Edited June 3, 2022 by R0cky Quote Link to comment Share on other sites More sharing options...
dartraiden Posted June 21, 2022 Share Posted June 21, 2022 (edited) Разработчик zapret попросил донести до владельцев кинетиков (актуально для тех, кто пытается обойти блокировку протокола QUIC (HTTP/3)) Edited June 21, 2022 by dartraiden 1 Quote Link to comment Share on other sites More sharing options...
maprod Posted August 29, 2022 Share Posted August 29, 2022 keenetic giant Выдает iptables: No chain/target/match by that name. Quote Link to comment Share on other sites More sharing options...
D@nge1 Posted September 17, 2022 Share Posted September 17, 2022 (edited) В 14.05.2022 в 18:52, AlexBl сказал: Инструкция делалась для роутеров с версии KeeneticOS 3.7 P.S. Если все сделали правильно скрипт должен заработать. Всё пучком на GIGA KN-1011, спасибо. Edited September 17, 2022 by D@nge1 Quote Link to comment Share on other sites More sharing options...
Анзор Хуако Posted October 10, 2022 Share Posted October 10, 2022 Делаю по инструкции. При поиске стратегий выдает: !!!!! curl_test_https_tls12: working strategy found for ipv4 rutracker.org : nfqws --dpi-desync=fake,split2 --dpi-desync-ttl=2 !!!!! NFQWS_OPT_DESYNC правил в соответствии с тем, что нашлось, но rutracker.org все равно не открывается. Можете подсказать, как правильно нужно настроить install_easy.sh ? Нужно ли оставлять включенным IP6? Может нужно что-то еще изменить при запуске install_easy.sh ? все оставляю "по умолчанию", кроме стратегии (выбираю nfqws) Quote Link to comment Share on other sites More sharing options...
D@nge1 Posted October 12, 2022 Share Posted October 12, 2022 (edited) del Edited October 12, 2022 by D@nge1 Quote Link to comment Share on other sites More sharing options...
Роберт Зарипов Posted July 7 Share Posted July 7 Добрый день У меня такая проблема Я ставлю режим tpws lan br0 Заблокированные сайты работает только по lan Интерфейсу По wi-fi не открывает сайты На телевизоре У меня keenetic ulra kn-1810 Не подскажите Где копать Quote Link to comment Share on other sites More sharing options...
kiselnik Posted July 20 Share Posted July 20 Приветствую гуру никс систем. Подскажите новичку, вроде все по инструкции для KN-2310 (прошивка 3.9), а не выходит каменный цветок x86_64 is NOT OK x86 is NOT OK aarch64 is NOT OK arm is NOT OK mips64r2-msb is NOT OK mips32r1-lsb is OK installing binaries ... linking : ../binaries/mips32r1-lsb/ip2net => /opt/zapret/ip2net linking : ../binaries/mips32r1-lsb/mdig => /opt/zapret/mdig linking : ../binaries/mips32r1-lsb/nfqws => /opt/zapret/nfq linking : ../binaries/mips32r1-lsb/tpws => /opt/zapret/tpws ~ # /opt/zapret/blockcheck.sh * checking system Linux detected firewall type is iptables * checking privileges * checking prerequisites NFQUEUE iptables or ip6tables target is missing. pls install modules. Quote Link to comment Share on other sites More sharing options...
Роберт Зарипов Posted September 28 Share Posted September 28 В 20.07.2023 в 23:41, kiselnik сказал: x86_64 is NOT OK x86 is NOT OK aarch64 is NOT OK arm is NOT OK mips64r2-msb is NOT OK mips32r1-lsb is OK installing binaries ... linking : ../binaries/mips32r1-lsb/ip2net => /opt/zapret/ip2net linking : ../binaries/mips32r1-lsb/mdig => /opt/zapret/mdig linking : ../binaries/mips32r1-lsb/nfqws => /opt/zapret/nfq linking : ../binaries/mips32r1-lsb/tpws => /opt/zapret/tpws ~ # /opt/zapret/blockcheck.sh * checking system Linux detected firewall type is iptables * checking privileges * checking prerequisites NFQUEUE iptables or ip6tables target is missing. pls install modules. iptables не установлен Quote Link to comment Share on other sites More sharing options...
bokov333 Posted October 13 Share Posted October 13 В 20.07.2023 в 23:41, kiselnik сказал: Приветствую гуру никс систем. Подскажите новичку, вроде все по инструкции для KN-2310 (прошивка 3.9), а не выходит каменный цветок x86_64 is NOT OK x86 is NOT OK aarch64 is NOT OK arm is NOT OK mips64r2-msb is NOT OK mips32r1-lsb is OK installing binaries ... linking : ../binaries/mips32r1-lsb/ip2net => /opt/zapret/ip2net linking : ../binaries/mips32r1-lsb/mdig => /opt/zapret/mdig linking : ../binaries/mips32r1-lsb/nfqws => /opt/zapret/nfq linking : ../binaries/mips32r1-lsb/tpws => /opt/zapret/tpws ~ # /opt/zapret/blockcheck.sh * checking system Linux detected firewall type is iptables * checking privileges * checking prerequisites NFQUEUE iptables or ip6tables target is missing. pls install modules. мне перезагрузка роутера помогла Quote Link to comment Share on other sites More sharing options...
ops244 Posted November 24 Share Posted November 24 (edited) del Edited 4 hours ago by ops244 Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.