Обход блокировок на роутере!

[Boomer]

1 час назад, vasek00 сказал:

Выполнить

opkg install kmod_ndms 

И в догонку доставьте еще пакетик

opkg install xtables-addons_legacy

 

Подтверждаю, после данных манипуляций все заработало.

[Федор]

3 минуты назад, Boomer сказал:

Подтверждаю, после данных манипуляций все заработало.

Как у вас с работой заблокированных сайтов?

[Boomer]

36 минут назад, Федор сказал:

Как у вас с работой заблокированных сайтов?

открываются, только HTTP, как и описано. IP адресов в списке zapret много, может у вас не создался список?

[Dim McAlastair]

On 3/19/2020 at 6:38 PM, Boomer said:

Подтверждаю, после данных манипуляций все заработало.

у меня тоже

[Serge Kolomiets]

Вот такая проблема с iptables при запуске скрипта:

BusyBox v1.31.1 () built-in shell (ash)
~ # /opt/zapret/init.d/keenetic/S99zapret start
/opt/zapret/init.d/keenetic/S99zapret: line 42: lsmod: not found
Cannot find iptable_raw.ko kernel module, aborting
~ # /opt/zapret/init.d/keenetic/S99zapret start

На старом Keenetic II с 2.06 работало, а на новом ни в какую не ставится. Что делать, откатывать OS?

Edited April 7, 2020 by Serge Kolomiets
formatting

[TheBB]

слетели симлинки?  включен "opkg chroot"? не все нужные компоненты прошивки установлены?

[Serge Kolomiets]

Пока не понял. Снос Entware и установка с 0 на отформатированный диск, похоже. не помогают:

~ # /opt/zapret/init.d/keenetic/S99zapret start
iptable_raw.ko loaded
xt_string.ko loaded
nfqws is installed
tpws is installed
Restoring ipset
Adding iptables rule
iptables: No chain/target/match by that name.

Теперь проблема в ошибке при установке kmod_ndms

~ # opkg install kmod_ndms
Installing kmod_ndms (24-5) to root...
Downloading http://bin.entware.net/mipselsf-k3.4/keenetic/kmod_ndms_24-5_mipsel-3.4_kn.ipk
Installing libusb-1.0 (1.0.22-2) to root...
Downloading http://bin.entware.net/mipselsf-k3.4/libusb-1.0_1.0.22-2_mipsel-3.4.ipk
Installing libusb-compat (0.1.5-2) to root...
Downloading http://bin.entware.net/mipselsf-k3.4/libusb-compat_0.1.5-2_mipsel-3.4.ipk
Installing dvb-firmware (1.0-5) to root...
Downloading http://bin.entware.net/mipselsf-k3.4/keenetic/dvb-firmware_1.0-5_mipsel-3.4_kn.ipk
Configuring libusb-1.0.
Configuring libusb-compat.
Configuring dvb-firmware.
Configuring kmod_ndms.
modinfo: ERROR: Module alias /opt/lib/modules/4.9-ndm-4/kernel/compat.ko not found.
~ #

 

[TheBB]

8 минут назад, Serge Kolomiets сказал:

Теперь проблема в ошибке при установке kmod_ndms

compat.ko  в компоненте прошивки DVB, можно смело забить, если остальное работает.

[Serge Kolomiets]

7 minutes ago, TheBB said:

compat.ko  в компоненте прошивки DVB, можно смело забить, если остальное работает.

Да. спасибо. Как ни странно, после удаления kmod_ndms, безуспешной попытки использовать kmod, сноса kmod и снова установки kmod_ndms правила iptables наконец применились. Несмотря на ту же ошибку всё работает

~ # opkg install kmod
Installing kmod (20-2) to root...
Downloading http://bin.entware.net/mipselsf-k3.4/kmod_20-2_mipsel-3.4.ipk
Configuring kmod.
~ # find /lib/modules -iname '*.ko' | grep oompat
~ # /opt/zapret/init.d/keenetic/S99zapret start
iptable_raw.ko is already loaded
xt_string.ko is already loaded
nfqws is installed
tpws is installed
Restoring ipset
Adding iptables rule
iptables: No chain/target/match by that name.
~ # opkg remove kmod
Removing package kmod from root...
~ # opkg install kmod_ndms
Installing kmod_ndms (24-5) to root...
Downloading http://bin.entware.net/mipselsf-k3.4/keenetic/kmod_ndms_24-5_mipsel-3.4_kn.ipk
Configuring kmod_ndms.
modinfo: ERROR: Module /opt/lib/modules/4.9-ndm-4/kernel/compat.ko not found.
~ # /opt/zapret/init.d/keenetic/S99zapret start
iptable_raw.ko is already loaded
xt_string.ko is already loaded
nfqws is installed
tpws is installed
Restoring ipset
Adding iptables rule
Starting anti-zapret: zapret.
~ #

Если "компонент прошивки DVB" это Модули ядра для поддержки USB DVB-тюнеров, то он установлен.

[TheBB]

установите ещё компонент "Xtables-addons для Netfilter" и пакет, если не установлен "xtables-addons_legacy"

[Serge Kolomiets]

Спасибо. Пакет, конечно, уже был, а после добавления компоненты наконец сконфигурился kmod_ndms

BusyBox v1.31.1 () built-in shell (ash)

~ # opkg configure kmod_ndms
~ # 

что странно, учитывая

~ # /opt/etc/init.d/S00kmod_config
modinfo: ERROR: Module /opt/lib/modules/4.9-ndm-4/kernel/compat.ko not found.
~ #

 

[TheBB]

может `compat.ko` уже и вырезан из прошивки

[Albram]

Сервис hosts-file.net (hpHosts) поддерживавший список https://hosts-file.net/ad_servers.txt прекратил его поддержку.

Если кто использует его в своих списках, то имеет смысл удалить, т.к. его поддержка более не планируется.

Первоисточник здесь.

 

[Boomer]

Вернусь к своему второму вопросу, подскажите можно ли как-то в этой строке:

#FILL THE ADRESS OF BLACKHOLE PAGE
BLACKHOLE=safe.ooonet.ru

Внести 2 адреса заглушки? через & может?

Edited April 25, 2020 by Boomer

[vasek00]

В 07.04.2020 в 21:41, Serge Kolomiets сказал:

что странно, учитывая

~ # /opt/etc/init.d/S00kmod_config
modinfo: ERROR: Module /opt/lib/modules/4.9-ndm-4/kernel/compat.ko not found.
~ #

 

Не обращайте внимание как говориться на скорость не влияет.

[vasek00]

1 час назад, Boomer сказал:

Вернусь к своему второму вопросу, подскажите можно ли как-то в этой строке:

#FILL THE ADRESS OF BLACKHOLE PAGE
BLACKHOLE=safe.ooonet.ru

Внести 2 адреса заглушки? через & может?

В чем проблема, BLACKHOLE переменная, которая просто подставляется в нужное место

...
#FILL THE ADRESS OF BLACKHOLE PAGE
BLACKHOLE=blackhole.beeline.ru
BLACKHOLE_REG="|0D0A|Location: http://$BLACKHOLE"
...


		iptables -t raw -C PREROUTING -p tcp --sport 80 -m string --hex-string "$BLACKHOLE_REG" --algo bm -j DROP --from 40 --to 200 2>/dev/null ||
		 iptables -t raw -I PREROUTING -p tcp --sport 80 -m string --hex-string "$BLACKHOLE_REG" --algo bm -j DROP --from 40 --to 200

...
		iptables -t raw -D PREROUTING -p tcp --sport 80 -m string --hex-string "$BLACKHOLE_REG" --algo bm -j DROP --from 40 --to 200
		iptables -t raw -D PREROUTING -p tcp --sport 80 --tcp-flags SYN,ACK SYN,ACK -m set --match-set zapret src -j NFQUEUE --queue-num $QNUM --queue-bypass

...

 

[Boomer]

35 минут назад, vasek00 сказал:

В чем проблема, BLACKHOLE переменная, которая просто подставляется в нужное место

Но по ней определяется когда должны отрабатывать условия iptables, так ведь? У меня просто 2 заглушки у провайдера и иногда одна показывается, иногда другая.

[vasek00]

13 часа назад, Boomer сказал:

Но по ней определяется когда должны отрабатывать условия iptables, так ведь? У меня просто 2 заглушки у провайдера и иногда одна показывается, иногда другая.

BLACKHOLE_REG="|0D0A|Location: http://blackhole.beeline.ru"
BLACKHOLE1_REG="|0D0A|Location: http://1111111111111.ru"

iptables -t raw .... --hex-string "$BLACKHOLE_REG" --algo .....
iptables -t raw .... --hex-string "$BLACKHOLE1_REG" --algo .....

 

[bkbn]

Всем привет!
Поскольку мой вопрос касается роутера Keenetic и программы GoodbyeDPI не стал создавать новую тему, спрошу здесь.
На моем роутере Zyxel Keenetic Giga 2 была установлена последняя официальная прошивка 2.06.С.1.0
На ПК была установлена GoodbyeDPI версии 0.1.6 в качестве сервиса. Работала пол-года исправно.
Обновил прошивку роутера до версии 2.16.D.3.0-4 и GoodbyeDPI работать перестала, то есть сразу после перезагрузки роутера. Настройки ПК не изменялись, изменилась только прошивка роутера.
Прошу совет по настройке роутера чтобы вновь заработала goodbyedpi.
Спасибо.

[ndm]

11 hours ago, bkbn said:

Всем привет!
Поскольку мой вопрос касается роутера Keenetic и программы GoodbyeDPI не стал создавать новую тему, спрошу здесь.
На моем роутере Zyxel Keenetic Giga 2 была установлена последняя официальная прошивка 2.06.С.1.0
На ПК была установлена GoodbyeDPI версии 0.1.6 в качестве сервиса. Работала пол-года исправно.
Обновил прошивку роутера до версии 2.16.D.3.0-4 и GoodbyeDPI работать перестала, то есть сразу после перезагрузки роутера. Настройки ПК не изменялись, изменилась только прошивка роутера.
Прошу совет по настройке роутера чтобы вновь заработала goodbyedpi.
Спасибо.

Данная тема про установку доп. модулей на сам роутер. Ваша история, очевидно, другое. Поставьте официальную обратно, если не хотите разбираться в экспериментальных сборках.

[bkbn]

7 часов назад, ndm сказал:

Поставьте официальную обратно, если не хотите разбираться в экспериментальных сборках.

Спасибо за ответ. Я бы хотел разобраться в экспериментальной сборке, если бы мне подсказали направление действий.
Официальную поставить обратно не могу, к сожалению в ней не отключается устаревший протокол wifi 802.11b. В веб-интерфейсе отключается, на самом деле нет и мой телефон периодически подключается по этому протоколу. С неофициальной сборкой старый протокол wifi отключается.
В общем, прошу помочь с направлением, куда копать настройки Giga 2.

[Boomer]

В 26.04.2020 в 07:52, vasek00 сказал:

BLACKHOLE_REG="|0D0A|Location: http://blackhole.beeline.ru"
BLACKHOLE1_REG="|0D0A|Location: http://1111111111111.ru"

iptables -t raw .... --hex-string "$BLACKHOLE_REG" --algo .....
iptables -t raw .... --hex-string "$BLACKHOLE1_REG" --algo .....

 

спасибо вроде помогло, но стало работать дольше и менее стабильно, чем с одним условием. Хотя может дело в другом, просто совпало так.

Edited May 6, 2020 by Boomer

[Albram]

18 часов назад, bkbn сказал:

Я бы хотел разобраться в экспериментальной сборке, если бы мне подсказали направление действий.

Для определения направления нужно понять что вообще происходит.

Попробуйте удалить с компа сервис (это обязательно!), а затем скачайте отсюда и запустите на компе программу с ключом --no-report дождитесь окончания её работы и сохраните лог работы. Затем установите обратно ваш сервис и запустите ещё раз скачанную программу с тем же ключом --no-report ( если проверка не начнется, то добавьте ещё ключ --force-dpi-check ). Лог тоже сохраните, возможно сравнение логов натолкнет на нужное направление.

[bkbn]

9 часов назад, Albram сказал:

Для определения направления нужно понять что вообще происходит.

Выполнил рекомендованные действия. Результат такой: логи программы одинаковы.
Кажется, что роутер каким-то образом модифицирует пакеты исправляя изменения, которые вносит в них goodbyedpi. На старой прошивке использовались параметры -1 --wrong-chksum --set-ttl 5
Может ли прошивка 2.16 исправлять CRC проходящих пакетов? То, что роутер по-умолчанию уменьшает TTL на 1 я в курсе. Корректировка параметра программы не помогла.

[Albram]

15 минут назад, bkbn сказал:

логи программы одинаковы

Раз уж вы решили попробовать докопаться до причины, то неплохо бы было приложить эти логи, и рассказать подробнее, как проявляется проблема. Т.е. вы на компе набираете адрес нужного сайта, но на него не попадаете из-за .....<- вот тут нужно от вас описание того, что происходит далее (ошибка в браузере, заглушка провайдера и т.д.).

Edited May 7, 2020 by Albram

[bkbn]

1 час назад, Albram сказал:

неплохо бы было приложить эти логи

Скрытый текст

BlockCheck v0.0.9.8
Для получения корректных результатов используйте DNS-сервер провайдера и отключите средства обхода блокировок.

Проверка работоспособности IPv6: IPv6 недоступен.
IP: хх.ххх.ххх.xxx, провайдер: ХХХХХ

[O] Тестируем IPv4 DNS
    Через системный DNS:     ['104.18.182.1', '104.18.183.1', '104.26.10.39', '104.26.11.39', '104.26.4.231', '104.26.5.231', '195.8.215.136', '195.82.146.214', '208.100.28.56', '67.202.114.141']
    Через Google DNS:     ['104.18.182.1', '104.18.183.1', '104.26.10.39', '104.26.11.39', '104.26.4.231', '104.26.5.231', '195.8.215.136', '195.82.146.214', '208.100.28.56', '67.202.114.141']
    Через Google API:     ['104.18.182.1', '104.18.183.1', '104.26.10.39', '104.26.11.39', '104.26.4.231', '104.26.5.231', '195.8.215.136', '195.82.146.214', '208.100.28.56', '67.202.114.141']
    Несуществующий DNS не вернул адресов (это не ошибка)
[✓] DNS-записи не подменяются
[✓] DNS не перенаправляется

[O] Тестируем HTTP
    Открываем  http://a.putinhuylo.com/
[✓] Сайт открывается
    Открываем  http://furry.booru.org/
[✓] Сайт открывается
    Открываем  http://furry.booru.org/index.php?page=post&s=view&id=111173
[☠] Получен неожиданный ответ, скорее всего, страница-заглушка провайдера. Пробуем через прокси.
[☠] Сайт не открывается через прокси
    Проверяем доступность через isup.me
[⁇] Неожиданный ответ от isup.me, код 403
    Открываем  http://pbooru.com/
[☠] Получен неожиданный ответ, скорее всего, страница-заглушка провайдера. Пробуем через прокси.
[☠] Сайт не открывается через прокси
    Проверяем доступность через isup.me
[⁇] Неожиданный ответ от isup.me, код 403
    Открываем  http://pbooru.com/index.php?page=post&s=view&id=303026
[☠] Получен неожиданный ответ, скорее всего, страница-заглушка провайдера. Пробуем через прокси.
[☠] Сайт не открывается через прокси
    Проверяем доступность через isup.me
[⁇] Неожиданный ответ от isup.me, код 403
    Открываем  http://rutracker.org/forum/index.php
[☠] Получен неожиданный ответ, скорее всего, страница-заглушка провайдера. Пробуем через прокси.
[☠] Сайт не открывается через прокси
    Проверяем доступность через isup.me
[⁇] Неожиданный ответ от isup.me, код 403

[O] Тестируем HTTPS
    Открываем  https://e621.net/
[☠] Сайт не открывается
    Открываем  https://lolibooru.moe/
[☠] Сайт не открывается
    Открываем  https://rutracker.org/forum/index.php
[☠] Сайт не открывается
    Открываем  https://www.dailymotion.com/
[☠] Сайт не открывается

[O] Тестируем обход DPI
    Пробуем способ «дополнительный пробел после GET» на pbooru.com
[☠] Сайт не открывается
    Пробуем способ «заголовок hOSt вместо Host» на pbooru.com
[☠] Сайт не открывается
    Пробуем способ «заголовок hoSt вместо Host» на pbooru.com
[☠] Сайт не открывается
    Пробуем способ «значение Host БОЛЬШИМИ БУКВАМИ» на pbooru.com
[☠] Сайт не открывается
    Пробуем способ «необычный порядок заголовков» на pbooru.com
[☠] Сайт не открывается
    Пробуем способ «отсутствие пробела между двоеточием и значением заголовка Host» на pbooru.com
[☠] Сайт не открывается
    Пробуем способ «перенос строки в заголовках в UNIX-стиле» на pbooru.com
[☠] Сайт не открывается
    Пробуем способ «перенос строки перед GET» на pbooru.com
[☠] Сайт не открывается
    Пробуем способ «табуляция в конце домена» на pbooru.com
[☠] Сайт не открывается
    Пробуем способ «точка в конце домена» на pbooru.com
[☠] Сайт не открывается
    Пробуем способ «фрагментирование заголовка» на pbooru.com
[☠] Сайт не открывается
    Пробуем способ «фрагментирование заголовка, hoSt и отсутствие пробела одновременно» на pbooru.com
[☠] Сайт не открывается
    Пробуем способ «дополнительный пробел после GET» на rutracker.org
[☠] Сайт не открывается
    Пробуем способ «заголовок hOSt вместо Host» на rutracker.org
[☠] Сайт не открывается
    Пробуем способ «заголовок hoSt вместо Host» на rutracker.org
[☠] Сайт не открывается
    Пробуем способ «значение Host БОЛЬШИМИ БУКВАМИ» на rutracker.org
[☠] Сайт не открывается
    Пробуем способ «необычный порядок заголовков» на rutracker.org
[☠] Сайт не открывается
    Пробуем способ «отсутствие пробела между двоеточием и значением заголовка Host» на rutracker.org
[☠] Сайт не открывается
    Пробуем способ «перенос строки в заголовках в UNIX-стиле» на rutracker.org
[✓] Сайт открывается
    Пробуем способ «перенос строки перед GET» на rutracker.org
[☠] Сайт не открывается
    Пробуем способ «табуляция в конце домена» на rutracker.org
[☠] Сайт не открывается
    Пробуем способ «точка в конце домена» на rutracker.org
[☠] Сайт не открывается
    Пробуем способ «фрагментирование заголовка» на rutracker.org
[☠] Сайт не открывается
    Пробуем способ «фрагментирование заголовка, hoSt и отсутствие пробела одновременно» на rutracker.org
[☠] Сайт не открывается

[!] Результат:
[⚠] Ваш провайдер полностью блокирует доступ к HTTPS-сайтам из реестра.
[⚠] isup.me даёт неожиданные ответы или недоступен. Рекомендуем повторить тест, когда он начнёт работать. Возможно, эта версия программы устарела. Возможно (но маловероятно), что сам isup.me уже занесён в чёрный список.
[⚠] Если проигнорировать isup.me, то у вашего провайдера "полный" DPI. Он отслеживает ссылки даже внутри прокси, поэтому вам следует использовать любое шифрованное соединение, например, VPN или Tor.

Проблема в том, что после замены прошивки роутера Giga 2 с последней официальной 2.06 на неофициальную 2.16 любой сайт из списка перестал открываться с ошибкой PR_CONNECT_RESET_ERROR (Страница, которую вы пытаетесь просмотреть, не может быть отображена, так как достоверность полученных данных не может быть проверена.) Такую ошибку отображает Файрфокс вместо заглушки РКН при подключении по https. Откат на прошивку 2.06 решает эту проблему, сайты открываются снова...

[Albram]

11 час назад, bkbn сказал:

Такую ошибку отображает Файрфокс

В firefox расширения/плагины какие-нибудь установлены? Антивирус какой используете? Попробуйте их отключить.

По ошибке получается, что сайт доступен, но не удалось согласовать с ним безопасное соединение. В FAQ Firefox есть записи, что чаще всего такая ошибка происходит из-за сторонних плагинов, вмешивающихся в работу соединений или из-за антивируса. Пока "забудем" о версии прошивки, просто проверьте это направление, отключив плагины, а если не поможет, то и антивирус.

[bkbn]

9 часов назад, Albram сказал:

В firefox расширения/плагины какие-нибудь установлены?

проверил без плагинов, с отключенным антивирусом (kis) - то же самое. Internet explorer старой версии вместо сообщения об ошибке показывает заглушку РКН про заблокированный ресурс.

[bkbn]

В 08.05.2020 в 07:46, Albram сказал:

Попробуйте их отключить.

Спасибо за желание помочь мне.
После суток ковыряния браузеров разных версий и прошивки 2.16, смог победить только пропадание wifi сигнала на каналах 1-12, из-за которых перешел на 2.16.
Почему-то при включении опции "Скрывать SSID" сигнал wifi превращается в пилу с зубцами шириной примерно 1 сек. из-за чего клиенты тормозят и плохо работает беспроводная сеть.
В общем, откатился на 2.06. Теперь wifi сеть отлично работает на любом канале и GoodbyeDPI снова в деле. Не знаю, как изменили работу роутера в 2.16, но проходящие ip-пакеты она исправляет мешая обходу dpi.

[Albram]

43 минуты назад, bkbn сказал:

Не знаю, как изменили работу роутера в 2.16, но проходящие ip-пакеты она исправляет мешая обходу dpi.

Это можно выяснить только захватом пакетов на выходе сетевого интерфейса компьютера и на выходе внешнего интерфейса роутера, и затем сравнив их.

Трудность в том, что проблема у вас только с https трафиком, и в захваченных пакетах будут в основном зашифрованные tls пакеты, в них искать различия не так наглядно, как в http.

Но если есть желание, то можете попробовать. Алгоритм примерно такой: ставите на компьютер программу для захвата и анализа пакетов, например Wireshark, включаете в ней захват трафика исходящего с интерфейса компьютера на порт 443, и в браузере заходите на нужный вам сайт по https. На роутере в это время тоже нужно захватывать пакеты, для чего установите компонент "Захват пакетов" (или, если установлен Entware, то можно в терминале командой tcpdump -i ppp0 port  443 -w dump.pcap ) и захватывать исходящий трафик с Wan интерфейса роутера на 443 порт.