Jump to content

Обход блокировок на роутере!


Recommended Posts

  • 3 weeks later...
  • Replies 527
  • Created
  • Last Reply

Top Posters In This Topic

On 10/5/2019 at 5:31 PM, Alex caswell said:

А если руками добавить правила в iptables? 

Это предложение так поступить или вопрос, возможно ли так?

Если предложение, ткните дурака как именно надо вставить ) 

Link to comment
Share on other sites

  • 3 weeks later...

Здравствуйте.

Я пытаюсь выполнить прикреплённую инструкцию по шагам. И как некоторые люди в этой ветке тоже получаю ошибку

Quote

iptables: No chain/target/match by that name

при попытке 

/opt/zapret/init.d/keenetic/S99zapret start

Я прочитал всю ветку, но не увидел где было бы в явном виде приводилось решение данной проблемы. Компоненты системы пп. 1-3 установлены.

Не могли бы гуру данного форума указать, что и где дописать/поправить в максимально доступной форме? Идеально было бы подредактировать прикреплённый пост, чтоб другие не наступали на те же грабли.

Спасибо.

UPD. Я использую KeeneticOS: 3.1.10 на Keenetic Giga III

 

Edited by Konst
firmware version added
Link to comment
Share on other sites

Волею судеб роутер залагал и пришлось обновиться на последнюю прошивку. Эта штука заработала в режиме перенаправления HTTPS через тор. Собственно говоря для меня этого достаточно т.к. https без тора у моего провайдера не работает.

Что сделал: Обновил, выключил OPKG, удалил с флешки всё, создал папку install и наживил entware, дальше поставил всё по инструкции отсюда. Ругани не было, https работает. Список сайтов у меня ограниченный потому каких-то особых сбоев возможно не заметил.

Link to comment
Share on other sites

On 11/13/2019 at 1:07 PM, Konst said:

Здравствуйте.

Я пытаюсь выполнить прикреплённую инструкцию по шагам. И как некоторые люди в этой ветке тоже получаю ошибку

при попытке 


/opt/zapret/init.d/keenetic/S99zapret start

Я прочитал всю ветку, но не увидел где было бы в явном виде приводилось решение данной проблемы. Компоненты системы пп. 1-3 установлены.

Не могли бы гуру данного форума указать, что и где дописать/поправить в максимально доступной форме? Идеально было бы подредактировать прикреплённый пост, чтоб другие не наступали на те же грабли.

Спасибо.

UPD. Я использую KeeneticOS: 3.1.10 на Keenetic Giga III

 

В течении недели пытаюсь настроить обход через tor пробовал кучу инструкций (после одной в итоге пришлось сбросить настройки до заводских) и с этой темы  варианты не получались и с 4pda в итоге получилось идеально по инструкции https://habr.com/ru/post/428992/

 

P.S. Модули ядра подсистемы Netfilter получилось включить только после поддержки ipv6 и только в мобильном приложении

Link to comment
Share on other sites

В общем я зря написал что удалось запустить, работает всё очень странно. HTTPS отваливается.

Решил проблему так: эту штуку временно выключить пока автор не вернётся, на последней прошивке включить встроенное шифрование DNS, а нужные адреса пустить через встроенный OpenVPN. Работает такая связка стабильно. Пробуйте.

Link to comment
Share on other sites

On 11/25/2019 at 11:03 AM, Alex caswell said:

нужные адреса пустить через встроенный OpenVPN. Работает такая связка стабильно

Не могли бы вы объяснить поподробнее, как это сделать. Модуль OpenVPN клиента у меня установлен, но я им пока не пользовался.

Link to comment
Share on other sites

On 11/27/2019 at 4:24 PM, Dim McAlastair said:

Не могли бы вы объяснить поподробнее, как это сделать. Модуль OpenVPN клиента у меня установлен, но я им пока не пользовался.

Нужен OpenVPN сервер. Как сделать свой можно поискать в интернете. Либо есть конторы которые продают VPN. В конфиге на клиенте вы прописываете пути к ресурсам которые должны работать через OpenVPN. Возможно это можно как-то автоматизировать, но я не знаю как.

Пример:

pull-filter ignore "block-outside-dns"

client

nobind

dev tun

remote-cert-tls server

remote тут адрес сервера 1194 udp

<key>

</key>

<cert>

</cert>

<ca>

</ca>

key-direction 1

<tls-auth>

</tls-auth>

route адрес сайта 255.255.255.255

Link to comment
Share on other sites

On 12/4/2019 at 11:20 AM, Alex caswell said:

route адрес сайта 255.255.255.255

Как я понимаю это и есть строчка для сайта который должен работать через OpenVPN? В каком формате прописывать адрес сайта, IP-адрес или доменное имя?

Link to comment
Share on other sites

On 12/5/2019 at 8:04 PM, Dim McAlastair said:

Как я понимаю это и есть строчка для сайта который должен работать через OpenVPN? В каком формате прописывать адрес сайта, IP-адрес или доменное имя?

Как хотите. Главное прикрыть DNS (смотрите тему про встроенное шифрование DNS). 

Link to comment
Share on other sites

Спасибо, я, кажется, разобрался. Включил шифрование днс, подключился к бесплатному openvpn серверу, а потом добавил статический маршрут до нужного сайта с пропуском трафика через openvpn подключение. 

Link to comment
Share on other sites

  • 2 weeks later...

Оффтопик. 😏

Возможно ли использовать функциональность ENTWARE и настройки описанные в данной ветке в роутерах MikroTic?

Вроде бы не менее (если не более) навороченный Роутер.

На IXBT не нашёл сообщений по строке "MikroTic DPI"

Link to comment
Share on other sites

  • 3 weeks later...
  • 1 month later...

Путем проб и ошибок выяснил, ошибка

iptables: No chain/target/match by that name 

появляется из-за строки

iptables -t raw -I PREROUTING -m multiport -p tcp --sports 80,443 --tcp-flags SYN,ACK SYN,ACK -m set --match-set zapret src -j NFQUEUE --queue-num $QNUM --queue-bypass

С ней что-то не так?

и еще вопрос,

в строке

#FILL THE ADRESS OF BLACKHOLE PAGE
BLACKHOLE=safe.ooonet.ru

Как-то можно две страницы-заглушки прописать? А то у меня иногда заглушка "Зеленая точка", а иногда "Билайн"

Link to comment
Share on other sites

  • 2 weeks later...
NFQUEUE 
On 3/3/2020 at 12:06 AM, Boomer said:

Путем проб и ошибок выяснил, ошибка


iptables: No chain/target/match by that name 

появляется из-за строки


iptables -t raw -I PREROUTING -m multiport -p tcp --sports 80,443 --tcp-flags SYN,ACK SYN,ACK -m set --match-set zapret src -j NFQUEUE --queue-num $QNUM --queue-bypass

С ней что-то не так?

 

А в... /proc/net/ip_tables_targets - NFQUEUE есть?

У меня в Linux Keenetic_Giga 4.9-ndm-4 (KeeneticOS 3.3.12) отсутствует.

Netfilter в админкe установлен

Link to comment
Share on other sites

9 часов назад, Boomer сказал:

А как это проверить?

~ # grep NFQUEUE /proc/net/ip_tables_targets 
NFQUEUE
NFQUEUE
NFQUEUE
NFQUEUE
~ #

 

Link to comment
Share on other sites

Спасибо.

В 15.03.2020 в 00:09, shammy сказал:

А в... /proc/net/ip_tables_targets - NFQUEUE есть?

Нет, нету ничего.

Роутер Keenetic GIGA III, версия прошивки 3.3.15

Link to comment
Share on other sites

А сами модули ядра загружены? Некоторые надо руками (скриптом) подгружать, т.к. не все они нужны для работы устройства.

Link to comment
Share on other sites

В 18.03.2020 в 07:57, TheBB сказал:

А сами модули ядра загружены? Некоторые надо руками (скриптом) подгружать, т.к. не все они нужны для работы устройства.

А как их подгрузить? Столкнулся с такой же проблемой, что и человек постом выше.

Link to comment
Share on other sites

insmod /lib/modules/*/$нужный_модуль напр.,

~ # insmod /lib/modules/*/xt_NFQUEUE.ko
~ # lsmod | grep NFQU
xt_NFQUEUE 3504 0 - Live 0x8fd9b000
~ # 

 

  • Thanks 2
Link to comment
Share on other sites

8 минут назад, TheBB сказал:

insmod /lib/modules/*/$нужный_модуль напр.,


~ # insmod /lib/modules/*/xt_NFQUEUE.ko
~ # lsmod | grep NFQU
xt_NFQUEUE 3504 0 - Live 0x8fd9b000
~ # 

 

Добавил, но ошибка все равно сохраняется.

~ # /opt/zapret/init.d/keenetic/S99zapret start
iptable_raw.ko is already loaded
xt_string.ko is already loaded
nfqws is installed
tpws is installed
Restoring ipset
Adding iptables rule
iptables: No chain/target/match by that name.

 

Link to comment
Share on other sites

Данным способом не пользуюсь, откуда мне знать, каких модулей не хватает для работы. Терзайте тех, кто пользуется этим методом.

Link to comment
Share on other sites

2 часа назад, Федор сказал:

Добавил, но ошибка все равно сохраняется.


iptables: No chain/target/match by that name.

 

Данная ошибка при вводе команды

iptables -t raw -I PREROUTING -m multiport -p tcp --sports 80,443 --tcp-flags SYN,ACK SYN,ACK -m set --match-set zapret src -j NFQUEUE --queue-num $QNUM --queue-bypass

ошибка может быть из-за "-m set --match-set zapret" отсутствия "zapret", так же $QNUM должно быть значение

Скрытый текст

Раздел match задает критерии проверки, по которым определяется подпадает ли пакет под действие этого правила или нет. Здесь мы можем указать самые разные критерии -- IP-адрес источника пакета или сети, IP-адрес места назначения,порт, протокол, сетевой интерфейс и т.д. Существует множество разнообразных критериев.

https://www.opennet.ru/docs/RUS/iptables/

В итоге например

ipset create zapret hash:net
iptables -t raw -I PREROUTING -m multiport -p tcp --sports 443 --tcp-flags SYN,ACK SYN,ACK -m set --match-set zapret src -j NFQUEUE --queue-num 200 --queue-bypass

Все в порядке.

 

Чтоб меньше думать о модулях можно использовать "S00kmod_config" есть в репозитарии

Скрытый текст

/opt/etc/init.d #
/opt/etc/init.d # opkg list | grep kmod
kmod - 20-2 - Linux kernel module handling kmod is a set of tools to handle common tasks with Linux kernel modules like insert, remove, list, check properties, resolve dependencies and aliases.
kmod_ndms - 24-5 - Linux kernel module handling kmod is a set of tools to handle common tasks with Linux kernel modules like insert, remove, list, check properties, resolve dependencies and aliases.
/opt/etc/init.d #

Будет скрипт запуска в /opt/etc/init.d c номером S00...... т.е. запуск самого первого, который поможет решить проблему в ручном запуске модулей (если только они есть в системе).

  • Thanks 1
Link to comment
Share on other sites

15 минут назад, vasek00 сказал:

ошибка может быть из-за "-m set --match-set zapret" отсутствия "zapret"


/opt/zapret/ipset/zapret.ipset присутствует, в нем какие-то адреса прописаны. Или речь не об этом?

Link to comment
Share on other sites

ipset zapret создался:

/opt/zapret/ipset # ipset list zapret
Name: zapret
Type: hash:ip
Revision: 4
Header: family inet hashsize 131072 maxelem 524288
Size in memory: 260
References: 0
Members:
104.27.140.68
195.82.146.214
195.82.146.120
104.27.141.68
81.17.30.22

Но ошибка все равно присутствует. Куда дальше копать?

Link to comment
Share on other sites

1 час назад, vasek00 сказал:

В итоге например


ipset create zapret hash:net
iptables -t raw -I PREROUTING -m multiport -p tcp --sports 443 --tcp-flags SYN,ACK SYN,ACK -m set --match-set zapret src -j NFQUEUE --queue-num 200 --queue-bypass

Все в порядке.

Удалил zapret и попробовал - та же самая ошибка iptables: No chain/target/match by that name.

Быть может модулей каких не хватает? Где взять S00kmod_config?


/opt/etc/init.d # opkg list | grep kmod
kmod - 20-2 - Linux kernel module handling kmod is a set of tools to handle common tasks with Linux kernel modules like insert, remove, list, check properties, resolve dependencies and aliases.
kmod_ndms - 24-5 - Linux kernel module handling kmod is a set of tools to handle common tasks with Linux kernel modules like insert, remove, list, check properties, resolve dependencies and aliases.
libkmod - 20-2 - Linux kernel module handling (library)
shairport-sync-mini - 3.3.5-1 - Shairport Sync plays audio from iTunes and AirPlay sources, including iOS devices, Quicktime Player and third party sources such as forkedDaapd. Audio played by a Shairport Sync-powered device stays synchronised with the source and hence with similar devices playing the same source.  Shairport Sync does not support AirPlay video or photo streaming. Ensure Kernel Modules > Sound Support > kmod-sound-core is selected. Also select kmod-usb-audio if you want to use USB-connected sound cards.  Minimal version uses mbed TLS and does not include libsoxr and avahi support.
shairport-sync-openssl - 3.3.5-1 - Shairport Sync plays audio from iTunes and AirPlay sources, including iOS devices, Quicktime Player and third party sources such as forkedDaapd. Audio played by a Shairport Sync-powered device stays synchronised with the source and hence with similar devices playing the same source.  Shairport Sync does not support AirPlay video or photo streaming. Ensure Kernel Modules > Sound Support > kmod-sound-core is selected. Also select kmod-usb-audio if you want to use USB-connected sound cards.

 

Link to comment
Share on other sites

46 минут назад, Федор сказал:

Удалил zapret и попробовал - та же самая ошибка iptables: No chain/target/match by that name.

Быть может модулей каких не хватает? Где взять S00kmod_config?=

Выполнить

opkg install kmod_ndms 

И в догонку доставьте еще пакетик

opkg install xtables-addons_legacy

 

Edited by vasek00
  • Thanks 2
Link to comment
Share on other sites

8 минут назад, vasek00 сказал:

Выполнить


opkg install kmod_ndms 

И в догонку доставьте еще пакетик


opkg install xtables-addons_legacy

 

Заработало!

 

Только ни один из сайтов /opt/zapret/ipset/zapret-hosts-user.txt не открывается...

Edited by Федор
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...