Обход блокировок на роутере!

[Dim McAlastair]

В 11.08.2020 в 13:23, nurman сказал:

В 11.08.2020 в 09:40, Albram сказал:

"ip: RTNETLINK answers: Address family not supported by protocol"

Данная ошибка только на режимах modification и combined (но обход блокировки работает некоторое время), на режиме fragmentation такой ошибки нет, но как писал выше на этом режиме обход не работает

У меня эта ошибка была. После того, как я закомментировал в скрипте строчки, относящиеся к IPv6 (всё равно blockcheck мне показывает, что мой провайдер по IPv6 адресам не блокирует), скрипт запускается без ошибок.

Только после перезагрузки роутера (например, после обновления прошивки) скрипт автоматом запускается некорректно: при остановке работы скрипта вручную выдаёт ошибку "iptables: No chain/target/match by that name" и ругается на то, что не запущен модуль nfqws. Приходится вручную останавливать (как раз появляется ошибка) и заново запускать скрипт, тогда он нормально запускается и работает.

Может кто знает, в чём причина некорректного автозапуска скрипта в режиме combined после перезагрузки роутера и как это исправить?

Edited January 17 by Dim McAlastair

[OmegaTron]

Имеет ли на данный момент место  данная проблема, связанная с фиксацией ttl ? Нынешние реалии таковы, что для обхода блокировок моего провайдера через gdpi/zapret нужны манипуляции с ttl. Можно ли как-то обойти фиксированное значение ttl ? Интересуюсь, дабы заранее знать, стоит ли обновляться , ибо фиксация ttl для меня сейчас реальная палка в колёса 😕

Edited February 17 by OmegaTron

[Владимир Морозов]

Пытаюсь настроить по инструкции

споткнулся на следующем этапе проверки

При запуске /opt/etc/init.d/S99zapret start

Получаю такой вывод:

iptable_raw.ko is already loaded
xt_string.ko is already loaded
nfqws is installed
tpws is installed
Restoring ipset
Adding iptables rule
iptables: No chain/target/match by that name.

как понимаю не создаются правила iptables, но в чем причина не понятно.

У меня роутер Viva, версия системы 3.6.1 , что то в ней поменялось, так как нашел такую тему на форуме

 

 

[OmegaTron]

10 часов назад, Владимир Морозов сказал:

/opt/etc/init.d/S99zapret start

Изучайте выхлоп sh -xv /opt/etc/init.d/S99zapret start

[Владимир Морозов]

7 часов назад, OmegaTron сказал:

Изучайте выхлоп sh -xv /opt/etc/init.d/S99zapret start

Ошибка выходит на строки

+ iptables -t raw -C PREROUTING -p tcp --sports 80,443 --tcp-flags SYN,ACK SYN,ACK -m set --match-set zapret src -j NFQUEUE --queue-num 200 --queue-bypass
+ iptables -t raw -I PREROUTING -m multiport -p tcp --sports 80,443 --tcp-flags SYN,ACK SYN,ACK -m set --match-set zapret src -j NFQUEUE --queue-num 200 --queue-bypass
iptables: No chain/target/match by that name.

 

Закомментировал их и запустилось, но обход блокировки не работает.

Не очень понимаю что они делают, поэтому на просто проверочный запуск не решился

 

[OmegaTron]

6 часов назад, Владимир Морозов сказал:

Не очень понимаю что они делают, поэтому на просто проверочный запуск не решился

Что в выхлопе [code]iptables -nvL -t raw[/code] ? Если пишет, что нет такой таблицы, то смотрите, что мне советовали по поводу iptables на прошлых страницах. У меня в итоге до этого руки так и не дошли т.к. пока отпала нужда в "прокачивании" iptables. Если таблица есть, "отсекайте" у правил ключи пока оно не добавится. Как добавится, смотрите, что "отсекли" и разбирайтесь с отсутствующими модулями/компонентами/etc.

А вообще, вам лучше на гитхаб, задавать вопросы напрямую bolvan'у, разработчику запрета. Единственное, учтите, что "запрет" рассчитан на OpenWRT, а не на заводские прошивки. На "заводе" он работу запрета не гарантирует >_>

[Владимир Морозов]

16 часов назад, OmegaTron сказал:

Что в выхлопе [code]iptables -nvL -t raw[/code] ?

root@Keenetic_Viva:/opt/etc$ iptables -nvL -t raw
iptables v1.4.21: can't initialize iptables table `raw': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.

 

У меня свежая система, видимо что то в ней поменялось, но без гуру я не осилю подправить.

~ # cat /opt/etc/entware_release
release=entware
arch=mipsel
cpu=mips32r2
cpu_subtype=unknown
float=soft
gcc=8.4.0
gcc_flags=-O2 -pipe -mno-branch-likely -mips32r2 -mtune=mips32r2 -fno-caller-saves -msoft-float
libc=glibc
libc_version=2.27

Версия не ng как я понимаю.

 

Спасибо за разъяснения, пока настроил по инструкции с хабра, все работает, только не понятно как чтобы автоматом запускалась обработка при входящем vpn подключении.

Для pptp vpn создается интерфейс vpn0 , а для vpn ipsec не вижу нового интерфейса. И вот как на него направить обработку запрещенных сайтов не понимаю.

[OmegaTron]

В 19.03.2021 в 14:12, Владимир Морозов сказал:

Спасибо за разъяснения, пока настроил по инструкции с хабра, все работает

Какой инструкции ?

В 19.03.2021 в 14:12, Владимир Морозов сказал:

только не понятно как чтобы автоматом запускалась обработка при входящем vpn подключении.

 /opt/etc/ndm/wan.d ? https://github.com/ndmsystems/packages/wiki/Opkg-Component#ndmwand

[Владимир Морозов]

 

4 часа назад, OmegaTron сказал:

Какой инструкции ?

В 25.07.2020 в 20:50, Fader сказал:

Пытаюсь разрешить доступ к onion-сайтам на keeneticOS 3.4.12.

Делал по известной инструкции от Юрия с хабра. Обход блокировок заработал, все ОК.

Стал настраивать доступ к доменной зоне onion. Там всего-то сделать правки в двух файлах. Сделал как было написано, но тщетно.

Зона onion у меня работает, проверил пару сайтов. Давно оказывается у меня в закладках была, до недавнего времени интернет работал по ipv6 и сам обходил блокировки, но потом перешел на подключение IPoe и больше ipv6 не работает у моего провайдера

 

4 часа назад, OmegaTron сказал:

/opt/etc/ndm/wan.d ? https://github.com/ndmsystems/packages/wiki/Opkg-Component#ndmwand

вот из этого мне по сути нужно когда подымается vpn

добавить скрипт сюда

/opt/etc/ndm/pptp_vpn_up.d   и  /opt/etc/ndm/l2tp_ipsec_vpn_up.d

только надо проверить имя интерфейса через переменную.

 

Спасибо за наводки.

 

 

 

Edited March 21 by Владимир Морозов

[semco]

Странно, антизапрет, настроенный на кинетике, работает в ноутбуке, на плеере Dune, но не работает на андроиде (Самсунг j8, андроид 10), хотя все устройства работают через кинетик. Может, кто подскажет, в чём тут дело?

Edited March 31 by semco

[semco]

Странно, но через пол-часа заработало на андроид.

[Albram]

Решил настроить обход на KN-1810 (v 3.6.2). До этого несколько лет он успешно работал на "чёрной" ультре, и я тогда в этой теме был часто.

Сейчас настроил всё так-же, и получил пару ошибок, которые здесь уже были.

При включенном ipv6 при запуске скрипта в режиме модификации:

Скрытый текст

~ # /opt/zapret/init.d/keenetic/S99zapret start
iptable_raw.ko is already loaded
xt_string.ko is already loaded
nfqws is installed
tpws is installed
Restoring ipset
Adding iptables rule
net.ipv4.conf.br0.route_localnet = 1
ip: RTNETLINK answers: File exists
ip: RTNETLINK answers: Address family not supported by protocol
ip6tables: No chain/target/match by that name.

~ # sh -xv /opt/zapret/init.d/keenetic/S99zapret start
.....
.....

+ ip -6 route add local default dev lo table 99
ip: RTNETLINK answers: File exists
+ ip -6 rule add from all fwmark 0x9 lookup 99
ip: RTNETLINK answers: Address family not supported by protocol
+ ip6tables -t mangle -C PREROUTING -p tcp --dport 80 -i br0 -m set --match-set zapret6 dst -j TPROXY --tproxy-mark 0x9/0x9 --on-port 1188 --on-ip ::1
+ ip6tables -t mangle -I PREROUTING -p tcp --dport 80 -i br0 -m set --match-set zapret6 dst -j TPROXY --tproxy-mark 0x9/0x9 --on-port 1188 --on-ip ::1
ip6tables: No chain/target/match by that name.

 

При включенном только ipv4 (pдесь же указал текущие версии entware и iptables):

Скрытый текст

~ # /opt/zapret/init.d/keenetic/S99zapret start
iptable_raw.ko is already loaded
xt_string.ko is already loaded
nfqws is installed
tpws is installed
Restoring ipset
Adding iptables rule
net.ipv4.conf.br0.route_localnet = 1
iptables: No chain/target/match by that name.

~ # sh -xv /opt/zapret/init.d/keenetic/S99zapret start
...
...
+ iptables -t nat -C PREROUTING -p tcp --dport 80 -i br0 -m set --match-set zapret dst -j DNAT --to 127.0.0.1:1188
+ iptables -t nat -I PREROUTING -p tcp --dport 80 -i br0 -m set --match-set zapret dst -j DNAT --to 127.0.0.1:1188
+ iptables -t nat -C OUTPUT -p tcp --dport 80 -m owner '!' --uid-owner nobody -m set --match-set zapret dst -j DNAT --to 127.0.0.1:1188
+ iptables -t nat -I OUTPUT -p tcp --dport 80 -m owner '!' --uid-owner nobody -m set --match-set zapret dst -j DNAT --to 127.0.0.1:1188
iptables: No chain/target/match by that name.


~ # cat /opt/etc/entware_release
release=entware
arch=mipsel
cpu=mips32r2
cpu_subtype=unknown
float=soft
gcc=8.4.0
gcc_flags=-O2 -pipe -mno-branch-likely -mips32r2 -mtune=mips32r2 -fno-caller-saves -msoft-float
libc=glibc
libc_version=2.27

~ # busybox --help
BusyBox v1.33.0 () multi-call binary.


~ # iptables -V
iptables v1.4.21

 

Видимо что-то изменилось в 3-их версиях прошивки.

Пока не трогая ipv6, только для ipv4, модули нужные для режима модификации вроде бы все загружены.
Цель DNAT в таргетах есть.

Ошибка выходит на последнем правиле. Пробовал убирать разные опции из него, ошибка появляется после указания -j DNAT --to (или --to-destination) 127.0.0.1:1188

Есть какие-либо варианты как это пофиксить?

[Albram]

В 01.04.2021 в 13:20, Albram сказал:

Есть какие-либо варианты как это пофиксить?

Сам спросил, сам отвечу.

Вариант нашёлся, благодаря уважаемому @Le ecureuil

Теперь скрипт запускается:

Скрытый текст

~ # /opt/zapret/init.d/keenetic/S99zapret start
iptable_raw.ko is already loaded
xt_string.ko is already loaded
nfqws is installed
tpws is installed
Restoring ipset
Adding iptables rule
net.ipv4.conf.br0.route_localnet = 1
Starting anti-zapret: zapret.