Jump to content

Обход блокировок на роутере!


Recommended Posts

В 11.08.2020 в 13:23, nurman сказал:
В 11.08.2020 в 09:40, Albram сказал:

"ip: RTNETLINK answers: Address family not supported by protocol"

Данная ошибка только на режимах modification и combined (но обход блокировки работает некоторое время), на режиме fragmentation такой ошибки нет, но как писал выше на этом режиме обход не работает

У меня эта ошибка была. После того, как я закомментировал в скрипте строчки, относящиеся к IPv6 (всё равно blockcheck мне показывает, что мой провайдер по IPv6 адресам не блокирует), скрипт запускается без ошибок.

Только после перезагрузки роутера (например, после обновления прошивки) скрипт автоматом запускается некорректно: при остановке работы скрипта вручную выдаёт ошибку "iptables: No chain/target/match by that name" и ругается на то, что не запущен модуль nfqws. Приходится вручную останавливать (как раз появляется ошибка) и заново запускать скрипт, тогда он нормально запускается и работает.

Может кто знает, в чём причина некорректного автозапуска скрипта в режиме combined после перезагрузки роутера и как это исправить?

Edited by Dim McAlastair
Link to comment
Share on other sites

  • 5 weeks later...
  • Replies 558
  • Created
  • Last Reply

Top Posters In This Topic

Имеет ли на данный момент место  данная проблема, связанная с фиксацией ttl ? Нынешние реалии таковы, что для обхода блокировок моего провайдера через gdpi/zapret нужны манипуляции с ttl. Можно ли как-то обойти фиксированное значение ttl ? Интересуюсь, дабы заранее знать, стоит ли обновляться , ибо фиксация ttl для меня сейчас реальная палка в колёса 😕

Edited by OmegaTron
Link to comment
Share on other sites

  • 1 month later...

Пытаюсь настроить по инструкции

споткнулся на следующем этапе проверки

При запуске /opt/etc/init.d/S99zapret start

Получаю такой вывод:

iptable_raw.ko is already loaded
xt_string.ko is already loaded
nfqws is installed
tpws is installed
Restoring ipset
Adding iptables rule
iptables: No chain/target/match by that name.


как понимаю не создаются правила iptables, но в чем причина не понятно.

У меня роутер Viva, версия системы 3.6.1 , что то в ней поменялось, так как нашел такую тему на форуме

 

 

Link to comment
Share on other sites

7 часов назад, OmegaTron сказал:

Изучайте выхлоп sh -xv /opt/etc/init.d/S99zapret start

Ошибка выходит на строки

+ iptables -t raw -C PREROUTING -p tcp --sports 80,443 --tcp-flags SYN,ACK SYN,ACK -m set --match-set zapret src -j NFQUEUE --queue-num 200 --queue-bypass
+ iptables -t raw -I PREROUTING -m multiport -p tcp --sports 80,443 --tcp-flags SYN,ACK SYN,ACK -m set --match-set zapret src -j NFQUEUE --queue-num 200 --queue-bypass
iptables: No chain/target/match by that name.

 

Закомментировал их и запустилось, но обход блокировки не работает.

Не очень понимаю что они делают, поэтому на просто проверочный запуск не решился

 

Link to comment
Share on other sites

6 часов назад, Владимир Морозов сказал:

Не очень понимаю что они делают, поэтому на просто проверочный запуск не решился

Что в выхлопе [code]iptables -nvL -t raw[/code] ? Если пишет, что нет такой таблицы, то смотрите, что мне советовали по поводу iptables на прошлых страницах. У меня в итоге до этого руки так и не дошли т.к. пока отпала нужда в "прокачивании" iptables. Если таблица есть, "отсекайте" у правил ключи пока оно не добавится. Как добавится, смотрите, что "отсекли" и разбирайтесь с отсутствующими модулями/компонентами/etc.

А вообще, вам лучше на гитхаб, задавать вопросы напрямую bolvan'у, разработчику запрета. Единственное, учтите, что "запрет" рассчитан на OpenWRT, а не на заводские прошивки. На "заводе" он работу запрета не гарантирует >_>

Link to comment
Share on other sites

16 часов назад, OmegaTron сказал:

Что в выхлопе [code]iptables -nvL -t raw[/code] ?

root@Keenetic_Viva:/opt/etc$ iptables -nvL -t raw
iptables v1.4.21: can't initialize iptables table `raw': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.

 

У меня свежая система, видимо что то в ней поменялось, но без гуру я не осилю подправить.

~ # cat /opt/etc/entware_release
release=entware
arch=mipsel
cpu=mips32r2
cpu_subtype=unknown
float=soft
gcc=8.4.0
gcc_flags=-O2 -pipe -mno-branch-likely -mips32r2 -mtune=mips32r2 -fno-caller-saves -msoft-float
libc=glibc
libc_version=2.27

Версия не ng как я понимаю.

 

Спасибо за разъяснения, пока настроил по инструкции с хабра, все работает, только не понятно как чтобы автоматом запускалась обработка при входящем vpn подключении.

Для pptp vpn создается интерфейс vpn0 , а для vpn ipsec не вижу нового интерфейса. И вот как на него направить обработку запрещенных сайтов не понимаю.

Link to comment
Share on other sites

В 19.03.2021 в 14:12, Владимир Морозов сказал:

Спасибо за разъяснения, пока настроил по инструкции с хабра, все работает

Какой инструкции ?

В 19.03.2021 в 14:12, Владимир Морозов сказал:

только не понятно как чтобы автоматом запускалась обработка при входящем vpn подключении.

 /opt/etc/ndm/wan.d ? https://github.com/ndmsystems/packages/wiki/Opkg-Component#ndmwand

  • Thanks 1
Link to comment
Share on other sites


 

4 часа назад, OmegaTron сказал:

Какой инструкции ?

В 25.07.2020 в 20:50, Fader сказал:

Пытаюсь разрешить доступ к onion-сайтам на keeneticOS 3.4.12.

Делал по известной инструкции от Юрия с хабра. Обход блокировок заработал, все ОК.

Стал настраивать доступ к доменной зоне onion. Там всего-то сделать правки в двух файлах. Сделал как было написано, но тщетно.

Зона onion у меня работает, проверил пару сайтов. Давно оказывается у меня в закладках была, до недавнего времени интернет работал по ipv6 и сам обходил блокировки, но потом перешел на подключение IPoe и больше ipv6 не работает у моего провайдера

 

4 часа назад, OmegaTron сказал:

вот из этого мне по сути нужно когда подымается vpn

добавить скрипт сюда

/opt/etc/ndm/pptp_vpn_up.d   и  /opt/etc/ndm/l2tp_ipsec_vpn_up.d

только надо проверить имя интерфейса через переменную.

 

Спасибо за наводки.

 

 

 

Edited by Владимир Морозов
Link to comment
Share on other sites

  • 2 weeks later...

Странно, антизапрет, настроенный на кинетике, работает в ноутбуке, на плеере Dune, но не работает на андроиде (Самсунг j8, андроид 10), хотя все устройства работают через кинетик. Может, кто подскажет, в чём тут дело?

Edited by semco
Link to comment
Share on other sites

Решил настроить обход на KN-1810 (v 3.6.2). До этого несколько лет он успешно работал на "чёрной" ультре, и я тогда в этой теме был часто.

Сейчас настроил всё так-же, и получил пару ошибок, которые здесь уже были.

При включенном ipv6 при запуске скрипта в режиме модификации:

Скрытый текст

~ # /opt/zapret/init.d/keenetic/S99zapret start
iptable_raw.ko is already loaded
xt_string.ko is already loaded
nfqws is installed
tpws is installed
Restoring ipset
Adding iptables rule
net.ipv4.conf.br0.route_localnet = 1
ip: RTNETLINK answers: File exists
ip: RTNETLINK answers: Address family not supported by protocol
ip6tables: No chain/target/match by that name.

~ # sh -xv /opt/zapret/init.d/keenetic/S99zapret start
.....
.....

+ ip -6 route add local default dev lo table 99
ip: RTNETLINK answers: File exists
+ ip -6 rule add from all fwmark 0x9 lookup 99
ip: RTNETLINK answers: Address family not supported by protocol
+ ip6tables -t mangle -C PREROUTING -p tcp --dport 80 -i br0 -m set --match-set zapret6 dst -j TPROXY --tproxy-mark 0x9/0x9 --on-port 1188 --on-ip ::1
+ ip6tables -t mangle -I PREROUTING -p tcp --dport 80 -i br0 -m set --match-set zapret6 dst -j TPROXY --tproxy-mark 0x9/0x9 --on-port 1188 --on-ip ::1
ip6tables: No chain/target/match by that name.

 

При включенном только ipv4 (pдесь же указал текущие версии entware и iptables):

Скрытый текст

~ # /opt/zapret/init.d/keenetic/S99zapret start
iptable_raw.ko is already loaded
xt_string.ko is already loaded
nfqws is installed
tpws is installed
Restoring ipset
Adding iptables rule
net.ipv4.conf.br0.route_localnet = 1
iptables: No chain/target/match by that name.

~ # sh -xv /opt/zapret/init.d/keenetic/S99zapret start
...
...
+ iptables -t nat -C PREROUTING -p tcp --dport 80 -i br0 -m set --match-set zapret dst -j DNAT --to 127.0.0.1:1188
+ iptables -t nat -I PREROUTING -p tcp --dport 80 -i br0 -m set --match-set zapret dst -j DNAT --to 127.0.0.1:1188
+ iptables -t nat -C OUTPUT -p tcp --dport 80 -m owner '!' --uid-owner nobody -m set --match-set zapret dst -j DNAT --to 127.0.0.1:1188
+ iptables -t nat -I OUTPUT -p tcp --dport 80 -m owner '!' --uid-owner nobody -m set --match-set zapret dst -j DNAT --to 127.0.0.1:1188
iptables: No chain/target/match by that name.


~ # cat /opt/etc/entware_release
release=entware
arch=mipsel
cpu=mips32r2
cpu_subtype=unknown
float=soft
gcc=8.4.0
gcc_flags=-O2 -pipe -mno-branch-likely -mips32r2 -mtune=mips32r2 -fno-caller-saves -msoft-float
libc=glibc
libc_version=2.27

~ # busybox --help
BusyBox v1.33.0 () multi-call binary.


~ # iptables -V
iptables v1.4.21

 

Видимо что-то изменилось в 3-их версиях прошивки.

Пока не трогая ipv6, только для ipv4, модули нужные для режима модификации вроде бы все загружены.
Цель DNAT в таргетах есть.

Ошибка выходит на последнем правиле. Пробовал убирать разные опции из него, ошибка появляется после указания -j DNAT --to (или --to-destination) 127.0.0.1:1188

Есть какие-либо варианты как это пофиксить?

Link to comment
Share on other sites

В 01.04.2021 в 13:20, Albram сказал:

Есть какие-либо варианты как это пофиксить?

Сам спросил, сам отвечу.

Вариант нашёлся, благодаря уважаемому @Le ecureuil

Теперь скрипт запускается:

Скрытый текст

~ # /opt/zapret/init.d/keenetic/S99zapret start
iptable_raw.ko is already loaded
xt_string.ko is already loaded
nfqws is installed
tpws is installed
Restoring ipset
Adding iptables rule
net.ipv4.conf.br0.route_localnet = 1
Starting anti-zapret: zapret.

 

 

Link to comment
Share on other sites

  • 6 months later...

Попробовал сделать обход на KN-1710. Как оказалось, в скрипте целый ворох проблем (IPv6, -sports без -m multiport), вроде поправил. Сейчас застрял на перманентной ошибке:

/proc/24849/net # sh -xv /opt/zapret/init.d/keenetic/S99zapret start
#!/bin/sh
...
+ sysctl -w 'net.ipv4.conf.br0.route_localnet=1'
net.ipv4.conf.br0.route_localnet = 1
+ iptables -t raw -C PREROUTING -p tcp -m multiport --sports 443 --tcp-flags SYN,ACK SYN,ACK -m set --match-set zapret src -j NFQUEUE --queue-num 200 --queue-bypass
+ iptables -t raw -I PREROUTING -p tcp -m multiport --sports 443 --tcp-flags SYN,ACK SYN,ACK -m set --match-set zapret src -j NFQUEUE --queue-num 200 --queue-bypass
iptables: No chain/target/match by that name.

Поигрался с параметрами, и понял, что ошибка возникает в -j NFQUEUE.

Это можно пофиксить?

Link to comment
Share on other sites

51 минуту назад, Bounty сказал:

Поигрался с параметрами, и понял, что ошибка возникает в -j NFQUEUE.

Все модули загружены `xt_multiport.ko`/`xt_NFQUEUE.ko`/... ?

  • Confused 1
Link to comment
Share on other sites

15 часов назад, TheBB сказал:

Все модули загружены `xt_multiport.ko`/`xt_NFQUEUE.ko`/... ?

Точно не знаю как проверить, поэтому...

/opt/lib/iptables # ls
libxt_NOTRACK.so  libxt_state.so
/lib/modules/4.9-ndm-5 # cat /proc/net/ip_tables_matches
string
state
pkttype
limit
helper
conntrack
conntrack
conntrack
connskip
connndmmark
connmark
ndmmark
mark
esp
policy
icmp
dtls
tls
tcpmss
length
set
set
set
set
set
udplite
udp
tcp

 

Link to comment
Share on other sites

~ #
~ # lsmod | grep NFQU
~ # lsmod | grep multi
~ #
~ # insmod /lib/modules/4.9-ndm-5/xt_multiport.ko 
~ # lsmod | grep multi
xt_multiport 1328 0 - Live 0x81a98000
~ #
~ # insmod /lib/modules/4.9-ndm-5/xt_NFQUEUE.ko 
~ # lsmod | grep NFQU
xt_NFQUEUE 3472 0 - Live 0x81b22000
~ #

 

Link to comment
Share on other sites

1 час назад, TheBB сказал:
~ #
~ # lsmod | grep NFQU
~ # lsmod | grep multi
~ #
~ # insmod /lib/modules/4.9-ndm-5/xt_multiport.ko 
~ # lsmod | grep multi
xt_multiport 1328 0 - Live 0x81a98000
~ #
~ # insmod /lib/modules/4.9-ndm-5/xt_NFQUEUE.ko 
~ # lsmod | grep NFQU
xt_NFQUEUE 3472 0 - Live 0x81b22000
~ #

 

Еще подгрузил овнера, и сработало. Спасибо!

Link to comment
Share on other sites

  • 1 month later...

Здравствуйте. Почти 3 года сидел на методе проксирования через тор. Всё работало, потом возникла проблема , оказывается пакеты kmod_ndms установить. И пользовался дальше. Но в последнее время кое как заходил на трекеры но както нестабильно заходило и медленно. Прошивку на кинетике обновлял периодически. На днях реших заняться может слетело что-то. Сейчас вообще никуда не заходит. Другие способы пока не пробовал. Я слышал что ТОР заблокировали в рф, возможно из за этого способ с тором теперь не работает?

Link to comment
Share on other sites

7 часов назад, ReeDeR сказал:
Я слышал что ТОР заблокировали в рф, возможно из за этого способ с тором теперь не работает?

Да батенька, вы явно не следите за повесткой 

Изучайте инфу, как получить мосты. В довесок к этому могу добавить, что по почте можно получить не обфусцированные и ipv6 мосты отправив "get bridges" и "get ipv6" соответственно. Далее, как получите мосты, прописывайте в torrc 

[code]UseBridges 1[/code]

и

[code]Bridge xxx[/code]

для обычных мостов или

[code]ClientTransportPlugin obfs4 exec /usr/bin/obfs4proxy

Bridge obfs4 xxx[/code]для обфусцированных. 

Мостов может быть прописано несколько. Для обфусцированных мостов нужен бинарник obfs4proxy (не в курсе, есть ли он в entwere). После редактирования torrc нужен или полный перезапуск процесса или

[code]kill -HUP <pid процесса>[/code]

Edited by OmegaTron
  • Upvote 2
Link to comment
Share on other sites

В 28.12.2021 в 06:11, OmegaTron сказал:

Далее, как получите мосты, прописывайте в torrc 

Если не сложно, прошу разжевать как именно прописать полученный вот такой ответ из бота телеграм obfs4 xx.xxx.xxx.xx:xxxxx 898890121DDD7E04A9B8AE499F7D13xxxxxxxxx cert=z04Pd3NJJLS9POZ+abOB2scBagnUwMmuOSwRb9dLEbg3IBOAmCjsOjacpPx580/xxxxxxx iat-mode=0 в torrc,

если сейчас там это

User nobody
VirtualAddrNetworkIPv4 172.16.0.0/12
AutomapHostsOnResolve 1
ExcludeExitNodes {RU}, {UA}, {BY}, {KZ}, {AM}
StrictNodes 1
SocksPort 127.0.0.1:9050
SocksPort 192.168.0.1:9050
TransPort 127.0.0.1:9040
TransPort 192.168.0.1:9040
DNSPort 127.0.0.1:9053
Log notice syslog
ExitPolicy reject *:*
ExitPolicy reject6 *:*

 

Edited by tomeeli
Link to comment
Share on other sites

47 минут назад, tomeeli сказал:

Если не сложно, прошу разжевать как именно прописать полученный вот такой ответ из бота телеграм obfs4 xx.xxx.xxx.xx:xxxxx 898890121DDD7E04A9B8AE499F7D13xxxxxxxxx cert=z04Pd3NJJLS9POZ+abOB2scBagnUwMmuOSwRb9dLEbg3IBOAmCjsOjacpPx580/xxxxxxx iat-mode=0 в torrc,

если сейчас там это

Так выше я же всё расписал. Ну да ладно ...

UseBridges 1
ClientTransportPlugin obfs4 exec /usr/bin/obfs4proxy
Bridge obfs4 xx.xxx.xxx.xx:xxxxx 898890121DDD7E04A9B8AE499F7D13xxxxxxxxx cert=z04Pd3NJJLS9POZ+abOB2scBagnUwMmuOSwRb9dLEbg3IBOAmCjsOjacpPx580/xxxxxxx iat-mode=0 

Только без бинари obs4proxy это работать не будет. Как я уже писал выше, я не в курсе есть ли оная в entware в комплекте с tor'ом или отдельно т.к. тор оттуда я не юзаю. Есть некий simple-obfs - 0.0.5-1, но я не знаю оно ли это. Где взять armv7/arm64-v8a бинари под ведро могу подсказать, но не более. Для необфусцированных мостов бинарь не нужна. Но есть куда бОльший риск, что они не будут работать. Хотя не факт. У меня вполне себе шуршат ... Получить их можно там же где и obfs4. На сайте или по почте.

Edited by OmegaTron
  • Upvote 1
Link to comment
Share on other sites

12 часа назад, OmegaTron сказал:

Так выше я же всё расписал.

Я так и прописал, но не работает, не может подключиться к тору. Подумал может что то еще надо.

С наступающим Новым Годом!

Link to comment
Share on other sites

В 31.12.2021 в 07:05, MercuryV сказал:

пакет obfs4

путь к бинарнику /opt/sbin/obfs4proxy

У меня такого нет. Видать entwar'ь старовата. 3.x на юзаемом гаджете (смарт). Если дойдут руки - обновлю. Особой нужды пока не было ...

20 часов назад, tomeeli сказал:

Я так и прописал, но не работает, не может подключиться к тору. Подумал может что то еще надо.

А чёрт его разбрёт. У меня на одном устройстве всё успешно цепляется, а на втором - шиш. Конфиги идентичные. В логах стопор загрузки. Я ХЗ. Возможно проделки Фикса 😂 всмысле Роскомнадзора и провайдера. Ещё можете глянуть, стартанул ли процесс obfs4 после запуска тора ну и включить логгирование чере включение опций

Log debug file /tor/debug.log
Log notice file /tor/notices.log

или использование ключей

--Log "debug file /tor/debug.log" 
--Log "notice file /tor/notices.log"

 

Link to comment
Share on other sites

  • 2 months later...

Что-то у меня внезапно перестал работать обход через тор, пробовал менять мосты - не помогает.

В логе постоянный спам этого сообщения

[info] should_delay_dir_fetches(): Delaying dir fetches (no running bridges known)

Кто-нибудь знает как исправить?

Link to comment
Share on other sites

  • 2 weeks later...
7 часов назад, Роберт Зарипов сказал:

добрый день почему у меня не работает fragmentation на zapret  по идее он должен работать если у меня goodbyedpi работает

Добрый день.
Телепатов тут нет.
По такому описанию что-либо сказать невозможно.

Link to comment
Share on other sites

37 минут назад, Albram сказал:

Добрый день.
Телепатов тут нет.
По такому описанию что-либо сказать невозможно.

прошивка 3.7.4 все настроил zapret по инструкции провайдер таттелеком modification работает только http fragmentation нечего не работает в браузере пишет соединение сброшено хотя  goodbyedpi отлично открывает https

 
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...