Dim McAlastair Posted January 17, 2021 Share Posted January 17, 2021 (edited) В 11.08.2020 в 13:23, nurman сказал: В 11.08.2020 в 09:40, Albram сказал: "ip: RTNETLINK answers: Address family not supported by protocol" Данная ошибка только на режимах modification и combined (но обход блокировки работает некоторое время), на режиме fragmentation такой ошибки нет, но как писал выше на этом режиме обход не работает У меня эта ошибка была. После того, как я закомментировал в скрипте строчки, относящиеся к IPv6 (всё равно blockcheck мне показывает, что мой провайдер по IPv6 адресам не блокирует), скрипт запускается без ошибок. Только после перезагрузки роутера (например, после обновления прошивки) скрипт автоматом запускается некорректно: при остановке работы скрипта вручную выдаёт ошибку "iptables: No chain/target/match by that name" и ругается на то, что не запущен модуль nfqws. Приходится вручную останавливать (как раз появляется ошибка) и заново запускать скрипт, тогда он нормально запускается и работает. Может кто знает, в чём причина некорректного автозапуска скрипта в режиме combined после перезагрузки роутера и как это исправить? Edited January 17, 2021 by Dim McAlastair Quote Link to comment Share on other sites More sharing options...
OmegaTron Posted February 17, 2021 Share Posted February 17, 2021 (edited) Имеет ли на данный момент место данная проблема, связанная с фиксацией ttl ? Нынешние реалии таковы, что для обхода блокировок моего провайдера через gdpi/zapret нужны манипуляции с ttl. Можно ли как-то обойти фиксированное значение ttl ? Интересуюсь, дабы заранее знать, стоит ли обновляться , ибо фиксация ttl для меня сейчас реальная палка в колёса 😕 Edited February 17, 2021 by OmegaTron Quote Link to comment Share on other sites More sharing options...
Владимир Морозов Posted March 17, 2021 Share Posted March 17, 2021 Пытаюсь настроить по инструкции споткнулся на следующем этапе проверки При запуске /opt/etc/init.d/S99zapret start Получаю такой вывод: iptable_raw.ko is already loaded xt_string.ko is already loaded nfqws is installed tpws is installed Restoring ipset Adding iptables rule iptables: No chain/target/match by that name. как понимаю не создаются правила iptables, но в чем причина не понятно. У меня роутер Viva, версия системы 3.6.1 , что то в ней поменялось, так как нашел такую тему на форуме Quote Link to comment Share on other sites More sharing options...
OmegaTron Posted March 17, 2021 Share Posted March 17, 2021 10 часов назад, Владимир Морозов сказал: /opt/etc/init.d/S99zapret start Изучайте выхлоп sh -xv /opt/etc/init.d/S99zapret start 1 Quote Link to comment Share on other sites More sharing options...
Владимир Морозов Posted March 18, 2021 Share Posted March 18, 2021 7 часов назад, OmegaTron сказал: Изучайте выхлоп sh -xv /opt/etc/init.d/S99zapret start Ошибка выходит на строки + iptables -t raw -C PREROUTING -p tcp --sports 80,443 --tcp-flags SYN,ACK SYN,ACK -m set --match-set zapret src -j NFQUEUE --queue-num 200 --queue-bypass + iptables -t raw -I PREROUTING -m multiport -p tcp --sports 80,443 --tcp-flags SYN,ACK SYN,ACK -m set --match-set zapret src -j NFQUEUE --queue-num 200 --queue-bypass iptables: No chain/target/match by that name. Закомментировал их и запустилось, но обход блокировки не работает. Не очень понимаю что они делают, поэтому на просто проверочный запуск не решился Quote Link to comment Share on other sites More sharing options...
OmegaTron Posted March 18, 2021 Share Posted March 18, 2021 6 часов назад, Владимир Морозов сказал: Не очень понимаю что они делают, поэтому на просто проверочный запуск не решился Что в выхлопе [code]iptables -nvL -t raw[/code] ? Если пишет, что нет такой таблицы, то смотрите, что мне советовали по поводу iptables на прошлых страницах. У меня в итоге до этого руки так и не дошли т.к. пока отпала нужда в "прокачивании" iptables. Если таблица есть, "отсекайте" у правил ключи пока оно не добавится. Как добавится, смотрите, что "отсекли" и разбирайтесь с отсутствующими модулями/компонентами/etc. А вообще, вам лучше на гитхаб, задавать вопросы напрямую bolvan'у, разработчику запрета. Единственное, учтите, что "запрет" рассчитан на OpenWRT, а не на заводские прошивки. На "заводе" он работу запрета не гарантирует >_> Quote Link to comment Share on other sites More sharing options...
Владимир Морозов Posted March 19, 2021 Share Posted March 19, 2021 16 часов назад, OmegaTron сказал: Что в выхлопе [code]iptables -nvL -t raw[/code] ? root@Keenetic_Viva:/opt/etc$ iptables -nvL -t raw iptables v1.4.21: can't initialize iptables table `raw': Table does not exist (do you need to insmod?) Perhaps iptables or your kernel needs to be upgraded. У меня свежая система, видимо что то в ней поменялось, но без гуру я не осилю подправить. ~ # cat /opt/etc/entware_release release=entware arch=mipsel cpu=mips32r2 cpu_subtype=unknown float=soft gcc=8.4.0 gcc_flags=-O2 -pipe -mno-branch-likely -mips32r2 -mtune=mips32r2 -fno-caller-saves -msoft-float libc=glibc libc_version=2.27 Версия не ng как я понимаю. Спасибо за разъяснения, пока настроил по инструкции с хабра, все работает, только не понятно как чтобы автоматом запускалась обработка при входящем vpn подключении. Для pptp vpn создается интерфейс vpn0 , а для vpn ipsec не вижу нового интерфейса. И вот как на него направить обработку запрещенных сайтов не понимаю. Quote Link to comment Share on other sites More sharing options...
OmegaTron Posted March 21, 2021 Share Posted March 21, 2021 В 19.03.2021 в 14:12, Владимир Морозов сказал: Спасибо за разъяснения, пока настроил по инструкции с хабра, все работает Какой инструкции ? В 19.03.2021 в 14:12, Владимир Морозов сказал: только не понятно как чтобы автоматом запускалась обработка при входящем vpn подключении. /opt/etc/ndm/wan.d ? https://github.com/ndmsystems/packages/wiki/Opkg-Component#ndmwand 1 Quote Link to comment Share on other sites More sharing options...
Владимир Морозов Posted March 21, 2021 Share Posted March 21, 2021 (edited) 4 часа назад, OmegaTron сказал: Какой инструкции ? В 25.07.2020 в 20:50, Fader сказал: Пытаюсь разрешить доступ к onion-сайтам на keeneticOS 3.4.12. Делал по известной инструкции от Юрия с хабра. Обход блокировок заработал, все ОК. Стал настраивать доступ к доменной зоне onion. Там всего-то сделать правки в двух файлах. Сделал как было написано, но тщетно. Зона onion у меня работает, проверил пару сайтов. Давно оказывается у меня в закладках была, до недавнего времени интернет работал по ipv6 и сам обходил блокировки, но потом перешел на подключение IPoe и больше ipv6 не работает у моего провайдера 4 часа назад, OmegaTron сказал: /opt/etc/ndm/wan.d ? https://github.com/ndmsystems/packages/wiki/Opkg-Component#ndmwand вот из этого мне по сути нужно когда подымается vpn добавить скрипт сюда /opt/etc/ndm/pptp_vpn_up.d и /opt/etc/ndm/l2tp_ipsec_vpn_up.d только надо проверить имя интерфейса через переменную. Спасибо за наводки. Edited March 21, 2021 by Владимир Морозов Quote Link to comment Share on other sites More sharing options...
semco Posted March 31, 2021 Share Posted March 31, 2021 (edited) Странно, антизапрет, настроенный на кинетике, работает в ноутбуке, на плеере Dune, но не работает на андроиде (Самсунг j8, андроид 10), хотя все устройства работают через кинетик. Может, кто подскажет, в чём тут дело? Edited March 31, 2021 by semco Quote Link to comment Share on other sites More sharing options...
semco Posted March 31, 2021 Share Posted March 31, 2021 Странно, но через пол-часа заработало на андроид. Quote Link to comment Share on other sites More sharing options...
Albram Posted April 1, 2021 Share Posted April 1, 2021 Решил настроить обход на KN-1810 (v 3.6.2). До этого несколько лет он успешно работал на "чёрной" ультре, и я тогда в этой теме был часто. Сейчас настроил всё так-же, и получил пару ошибок, которые здесь уже были. При включенном ipv6 при запуске скрипта в режиме модификации: Скрытый текст ~ # /opt/zapret/init.d/keenetic/S99zapret start iptable_raw.ko is already loaded xt_string.ko is already loaded nfqws is installed tpws is installed Restoring ipset Adding iptables rule net.ipv4.conf.br0.route_localnet = 1 ip: RTNETLINK answers: File exists ip: RTNETLINK answers: Address family not supported by protocol ip6tables: No chain/target/match by that name. ~ # sh -xv /opt/zapret/init.d/keenetic/S99zapret start ..... ..... + ip -6 route add local default dev lo table 99 ip: RTNETLINK answers: File exists + ip -6 rule add from all fwmark 0x9 lookup 99 ip: RTNETLINK answers: Address family not supported by protocol + ip6tables -t mangle -C PREROUTING -p tcp --dport 80 -i br0 -m set --match-set zapret6 dst -j TPROXY --tproxy-mark 0x9/0x9 --on-port 1188 --on-ip ::1 + ip6tables -t mangle -I PREROUTING -p tcp --dport 80 -i br0 -m set --match-set zapret6 dst -j TPROXY --tproxy-mark 0x9/0x9 --on-port 1188 --on-ip ::1 ip6tables: No chain/target/match by that name. При включенном только ipv4 (pдесь же указал текущие версии entware и iptables): Скрытый текст ~ # /opt/zapret/init.d/keenetic/S99zapret start iptable_raw.ko is already loaded xt_string.ko is already loaded nfqws is installed tpws is installed Restoring ipset Adding iptables rule net.ipv4.conf.br0.route_localnet = 1 iptables: No chain/target/match by that name. ~ # sh -xv /opt/zapret/init.d/keenetic/S99zapret start ... ... + iptables -t nat -C PREROUTING -p tcp --dport 80 -i br0 -m set --match-set zapret dst -j DNAT --to 127.0.0.1:1188 + iptables -t nat -I PREROUTING -p tcp --dport 80 -i br0 -m set --match-set zapret dst -j DNAT --to 127.0.0.1:1188 + iptables -t nat -C OUTPUT -p tcp --dport 80 -m owner '!' --uid-owner nobody -m set --match-set zapret dst -j DNAT --to 127.0.0.1:1188 + iptables -t nat -I OUTPUT -p tcp --dport 80 -m owner '!' --uid-owner nobody -m set --match-set zapret dst -j DNAT --to 127.0.0.1:1188 iptables: No chain/target/match by that name. ~ # cat /opt/etc/entware_release release=entware arch=mipsel cpu=mips32r2 cpu_subtype=unknown float=soft gcc=8.4.0 gcc_flags=-O2 -pipe -mno-branch-likely -mips32r2 -mtune=mips32r2 -fno-caller-saves -msoft-float libc=glibc libc_version=2.27 ~ # busybox --help BusyBox v1.33.0 () multi-call binary. ~ # iptables -V iptables v1.4.21 Видимо что-то изменилось в 3-их версиях прошивки. Пока не трогая ipv6, только для ipv4, модули нужные для режима модификации вроде бы все загружены. Цель DNAT в таргетах есть. Ошибка выходит на последнем правиле. Пробовал убирать разные опции из него, ошибка появляется после указания -j DNAT --to (или --to-destination) 127.0.0.1:1188 Есть какие-либо варианты как это пофиксить? Quote Link to comment Share on other sites More sharing options...
Albram Posted April 2, 2021 Share Posted April 2, 2021 В 01.04.2021 в 13:20, Albram сказал: Есть какие-либо варианты как это пофиксить? Сам спросил, сам отвечу. Вариант нашёлся, благодаря уважаемому @Le ecureuil Теперь скрипт запускается: Скрытый текст ~ # /opt/zapret/init.d/keenetic/S99zapret start iptable_raw.ko is already loaded xt_string.ko is already loaded nfqws is installed tpws is installed Restoring ipset Adding iptables rule net.ipv4.conf.br0.route_localnet = 1 Starting anti-zapret: zapret. Quote Link to comment Share on other sites More sharing options...
Bounty Posted November 1, 2021 Share Posted November 1, 2021 Попробовал сделать обход на KN-1710. Как оказалось, в скрипте целый ворох проблем (IPv6, -sports без -m multiport), вроде поправил. Сейчас застрял на перманентной ошибке: /proc/24849/net # sh -xv /opt/zapret/init.d/keenetic/S99zapret start #!/bin/sh ... + sysctl -w 'net.ipv4.conf.br0.route_localnet=1' net.ipv4.conf.br0.route_localnet = 1 + iptables -t raw -C PREROUTING -p tcp -m multiport --sports 443 --tcp-flags SYN,ACK SYN,ACK -m set --match-set zapret src -j NFQUEUE --queue-num 200 --queue-bypass + iptables -t raw -I PREROUTING -p tcp -m multiport --sports 443 --tcp-flags SYN,ACK SYN,ACK -m set --match-set zapret src -j NFQUEUE --queue-num 200 --queue-bypass iptables: No chain/target/match by that name. Поигрался с параметрами, и понял, что ошибка возникает в -j NFQUEUE. Это можно пофиксить? Quote Link to comment Share on other sites More sharing options...
TheBB Posted November 1, 2021 Share Posted November 1, 2021 51 минуту назад, Bounty сказал: Поигрался с параметрами, и понял, что ошибка возникает в -j NFQUEUE. Все модули загружены `xt_multiport.ko`/`xt_NFQUEUE.ko`/... ? 1 Quote Link to comment Share on other sites More sharing options...
Bounty Posted November 2, 2021 Share Posted November 2, 2021 15 часов назад, TheBB сказал: Все модули загружены `xt_multiport.ko`/`xt_NFQUEUE.ko`/... ? Точно не знаю как проверить, поэтому... /opt/lib/iptables # ls libxt_NOTRACK.so libxt_state.so /lib/modules/4.9-ndm-5 # cat /proc/net/ip_tables_matches string state pkttype limit helper conntrack conntrack conntrack connskip connndmmark connmark ndmmark mark esp policy icmp dtls tls tcpmss length set set set set set udplite udp tcp Quote Link to comment Share on other sites More sharing options...
TheBB Posted November 2, 2021 Share Posted November 2, 2021 ~ # ~ # lsmod | grep NFQU ~ # lsmod | grep multi ~ # ~ # insmod /lib/modules/4.9-ndm-5/xt_multiport.ko ~ # lsmod | grep multi xt_multiport 1328 0 - Live 0x81a98000 ~ # ~ # insmod /lib/modules/4.9-ndm-5/xt_NFQUEUE.ko ~ # lsmod | grep NFQU xt_NFQUEUE 3472 0 - Live 0x81b22000 ~ # Quote Link to comment Share on other sites More sharing options...
Bounty Posted November 2, 2021 Share Posted November 2, 2021 1 час назад, TheBB сказал: ~ # ~ # lsmod | grep NFQU ~ # lsmod | grep multi ~ # ~ # insmod /lib/modules/4.9-ndm-5/xt_multiport.ko ~ # lsmod | grep multi xt_multiport 1328 0 - Live 0x81a98000 ~ # ~ # insmod /lib/modules/4.9-ndm-5/xt_NFQUEUE.ko ~ # lsmod | grep NFQU xt_NFQUEUE 3472 0 - Live 0x81b22000 ~ # Еще подгрузил овнера, и сработало. Спасибо! Quote Link to comment Share on other sites More sharing options...
ReeDeR Posted December 27, 2021 Share Posted December 27, 2021 Здравствуйте. Почти 3 года сидел на методе проксирования через тор. Всё работало, потом возникла проблема , оказывается пакеты kmod_ndms установить. И пользовался дальше. Но в последнее время кое как заходил на трекеры но както нестабильно заходило и медленно. Прошивку на кинетике обновлял периодически. На днях реших заняться может слетело что-то. Сейчас вообще никуда не заходит. Другие способы пока не пробовал. Я слышал что ТОР заблокировали в рф, возможно из за этого способ с тором теперь не работает? Quote Link to comment Share on other sites More sharing options...
OmegaTron Posted December 28, 2021 Share Posted December 28, 2021 (edited) 7 часов назад, ReeDeR сказал: Я слышал что ТОР заблокировали в рф, возможно из за этого способ с тором теперь не работает? Да батенька, вы явно не следите за повесткой Изучайте инфу, как получить мосты. В довесок к этому могу добавить, что по почте можно получить не обфусцированные и ipv6 мосты отправив "get bridges" и "get ipv6" соответственно. Далее, как получите мосты, прописывайте в torrc [code]UseBridges 1[/code] и [code]Bridge xxx[/code] для обычных мостов или [code]ClientTransportPlugin obfs4 exec /usr/bin/obfs4proxy Bridge obfs4 xxx[/code]для обфусцированных. Мостов может быть прописано несколько. Для обфусцированных мостов нужен бинарник obfs4proxy (не в курсе, есть ли он в entwere). После редактирования torrc нужен или полный перезапуск процесса или [code]kill -HUP <pid процесса>[/code] Edited December 28, 2021 by OmegaTron 2 Quote Link to comment Share on other sites More sharing options...
tomeeli Posted December 30, 2021 Share Posted December 30, 2021 (edited) В 28.12.2021 в 06:11, OmegaTron сказал: Далее, как получите мосты, прописывайте в torrc Если не сложно, прошу разжевать как именно прописать полученный вот такой ответ из бота телеграм obfs4 xx.xxx.xxx.xx:xxxxx 898890121DDD7E04A9B8AE499F7D13xxxxxxxxx cert=z04Pd3NJJLS9POZ+abOB2scBagnUwMmuOSwRb9dLEbg3IBOAmCjsOjacpPx580/xxxxxxx iat-mode=0 в torrc, если сейчас там это User nobody VirtualAddrNetworkIPv4 172.16.0.0/12 AutomapHostsOnResolve 1 ExcludeExitNodes {RU}, {UA}, {BY}, {KZ}, {AM} StrictNodes 1 SocksPort 127.0.0.1:9050 SocksPort 192.168.0.1:9050 TransPort 127.0.0.1:9040 TransPort 192.168.0.1:9040 DNSPort 127.0.0.1:9053 Log notice syslog ExitPolicy reject *:* ExitPolicy reject6 *:* Edited December 30, 2021 by tomeeli Quote Link to comment Share on other sites More sharing options...
OmegaTron Posted December 30, 2021 Share Posted December 30, 2021 (edited) 47 минут назад, tomeeli сказал: Если не сложно, прошу разжевать как именно прописать полученный вот такой ответ из бота телеграм obfs4 xx.xxx.xxx.xx:xxxxx 898890121DDD7E04A9B8AE499F7D13xxxxxxxxx cert=z04Pd3NJJLS9POZ+abOB2scBagnUwMmuOSwRb9dLEbg3IBOAmCjsOjacpPx580/xxxxxxx iat-mode=0 в torrc, если сейчас там это Так выше я же всё расписал. Ну да ладно ... UseBridges 1 ClientTransportPlugin obfs4 exec /usr/bin/obfs4proxy Bridge obfs4 xx.xxx.xxx.xx:xxxxx 898890121DDD7E04A9B8AE499F7D13xxxxxxxxx cert=z04Pd3NJJLS9POZ+abOB2scBagnUwMmuOSwRb9dLEbg3IBOAmCjsOjacpPx580/xxxxxxx iat-mode=0 Только без бинари obs4proxy это работать не будет. Как я уже писал выше, я не в курсе есть ли оная в entware в комплекте с tor'ом или отдельно т.к. тор оттуда я не юзаю. Есть некий simple-obfs - 0.0.5-1, но я не знаю оно ли это. Где взять armv7/arm64-v8a бинари под ведро могу подсказать, но не более. Для необфусцированных мостов бинарь не нужна. Но есть куда бОльший риск, что они не будут работать. Хотя не факт. У меня вполне себе шуршат ... Получить их можно там же где и obfs4. На сайте или по почте. Edited December 30, 2021 by OmegaTron 1 Quote Link to comment Share on other sites More sharing options...
MercuryV Posted December 30, 2021 Share Posted December 30, 2021 47 минут назад, OmegaTron сказал: не в курсе есть ли оная в entware пакет obfs4 путь к бинарнику /opt/sbin/obfs4proxy 1 Quote Link to comment Share on other sites More sharing options...
tomeeli Posted December 31, 2021 Share Posted December 31, 2021 12 часа назад, OmegaTron сказал: Так выше я же всё расписал. Я так и прописал, но не работает, не может подключиться к тору. Подумал может что то еще надо. С наступающим Новым Годом! Quote Link to comment Share on other sites More sharing options...
OmegaTron Posted January 1 Share Posted January 1 В 31.12.2021 в 07:05, MercuryV сказал: пакет obfs4 путь к бинарнику /opt/sbin/obfs4proxy У меня такого нет. Видать entwar'ь старовата. 3.x на юзаемом гаджете (смарт). Если дойдут руки - обновлю. Особой нужды пока не было ... 20 часов назад, tomeeli сказал: Я так и прописал, но не работает, не может подключиться к тору. Подумал может что то еще надо. А чёрт его разбрёт. У меня на одном устройстве всё успешно цепляется, а на втором - шиш. Конфиги идентичные. В логах стопор загрузки. Я ХЗ. Возможно проделки Фикса 😂 всмысле Роскомнадзора и провайдера. Ещё можете глянуть, стартанул ли процесс obfs4 после запуска тора ну и включить логгирование чере включение опций Log debug file /tor/debug.log Log notice file /tor/notices.log или использование ключей --Log "debug file /tor/debug.log" --Log "notice file /tor/notices.log" Quote Link to comment Share on other sites More sharing options...
Laker Posted March 29 Share Posted March 29 Что-то у меня внезапно перестал работать обход через тор, пробовал менять мосты - не помогает. В логе постоянный спам этого сообщения [info] should_delay_dir_fetches(): Delaying dir fetches (no running bridges known) Кто-нибудь знает как исправить? Quote Link to comment Share on other sites More sharing options...
Роберт Зарипов Posted April 5 Share Posted April 5 В 13.09.2018 в 04:25, Михаил Лукьянов сказал: /opt/zapret/init.d/keenetic/S99zapret start у меня выдает это iptables: No chain/target/match by that name. Quote Link to comment Share on other sites More sharing options...
Роберт Зарипов Posted April 14 Share Posted April 14 добрый день почему у меня не работает fragmentation на zapret по идее он должен работать если у меня goodbyedpi работает Quote Link to comment Share on other sites More sharing options...
Albram Posted April 14 Share Posted April 14 7 часов назад, Роберт Зарипов сказал: добрый день почему у меня не работает fragmentation на zapret по идее он должен работать если у меня goodbyedpi работает Добрый день. Телепатов тут нет. По такому описанию что-либо сказать невозможно. Quote Link to comment Share on other sites More sharing options...
Роберт Зарипов Posted April 14 Share Posted April 14 37 минут назад, Albram сказал: Добрый день. Телепатов тут нет. По такому описанию что-либо сказать невозможно. прошивка 3.7.4 все настроил zapret по инструкции провайдер таттелеком modification работает только http fragmentation нечего не работает в браузере пишет соединение сброшено хотя goodbyedpi отлично открывает https Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.