Обход блокировок на роутере!

[Dim McAlastair]

В 11.08.2020 в 13:23, nurman сказал:

В 11.08.2020 в 09:40, Albram сказал:

"ip: RTNETLINK answers: Address family not supported by protocol"

Данная ошибка только на режимах modification и combined (но обход блокировки работает некоторое время), на режиме fragmentation такой ошибки нет, но как писал выше на этом режиме обход не работает

У меня эта ошибка была. После того, как я закомментировал в скрипте строчки, относящиеся к IPv6 (всё равно blockcheck мне показывает, что мой провайдер по IPv6 адресам не блокирует), скрипт запускается без ошибок.

Только после перезагрузки роутера (например, после обновления прошивки) скрипт автоматом запускается некорректно: при остановке работы скрипта вручную выдаёт ошибку "iptables: No chain/target/match by that name" и ругается на то, что не запущен модуль nfqws. Приходится вручную останавливать (как раз появляется ошибка) и заново запускать скрипт, тогда он нормально запускается и работает.

Может кто знает, в чём причина некорректного автозапуска скрипта в режиме combined после перезагрузки роутера и как это исправить?

Edited January 17, 2021 by Dim McAlastair

[OmegaTron]

Имеет ли на данный момент место  данная проблема, связанная с фиксацией ttl ? Нынешние реалии таковы, что для обхода блокировок моего провайдера через gdpi/zapret нужны манипуляции с ttl. Можно ли как-то обойти фиксированное значение ttl ? Интересуюсь, дабы заранее знать, стоит ли обновляться , ибо фиксация ttl для меня сейчас реальная палка в колёса 😕

Edited February 17, 2021 by OmegaTron

[Владимир Морозов]

Пытаюсь настроить по инструкции

споткнулся на следующем этапе проверки

При запуске /opt/etc/init.d/S99zapret start

Получаю такой вывод:

iptable_raw.ko is already loaded
xt_string.ko is already loaded
nfqws is installed
tpws is installed
Restoring ipset
Adding iptables rule
iptables: No chain/target/match by that name.

как понимаю не создаются правила iptables, но в чем причина не понятно.

У меня роутер Viva, версия системы 3.6.1 , что то в ней поменялось, так как нашел такую тему на форуме

 

 

[OmegaTron]

10 часов назад, Владимир Морозов сказал:

/opt/etc/init.d/S99zapret start

Изучайте выхлоп sh -xv /opt/etc/init.d/S99zapret start

[Владимир Морозов]

7 часов назад, OmegaTron сказал:

Изучайте выхлоп sh -xv /opt/etc/init.d/S99zapret start

Ошибка выходит на строки

+ iptables -t raw -C PREROUTING -p tcp --sports 80,443 --tcp-flags SYN,ACK SYN,ACK -m set --match-set zapret src -j NFQUEUE --queue-num 200 --queue-bypass
+ iptables -t raw -I PREROUTING -m multiport -p tcp --sports 80,443 --tcp-flags SYN,ACK SYN,ACK -m set --match-set zapret src -j NFQUEUE --queue-num 200 --queue-bypass
iptables: No chain/target/match by that name.

 

Закомментировал их и запустилось, но обход блокировки не работает.

Не очень понимаю что они делают, поэтому на просто проверочный запуск не решился

 

[OmegaTron]

6 часов назад, Владимир Морозов сказал:

Не очень понимаю что они делают, поэтому на просто проверочный запуск не решился

Что в выхлопе [code]iptables -nvL -t raw[/code] ? Если пишет, что нет такой таблицы, то смотрите, что мне советовали по поводу iptables на прошлых страницах. У меня в итоге до этого руки так и не дошли т.к. пока отпала нужда в "прокачивании" iptables. Если таблица есть, "отсекайте" у правил ключи пока оно не добавится. Как добавится, смотрите, что "отсекли" и разбирайтесь с отсутствующими модулями/компонентами/etc.

А вообще, вам лучше на гитхаб, задавать вопросы напрямую bolvan'у, разработчику запрета. Единственное, учтите, что "запрет" рассчитан на OpenWRT, а не на заводские прошивки. На "заводе" он работу запрета не гарантирует >_>

[Владимир Морозов]

16 часов назад, OmegaTron сказал:

Что в выхлопе [code]iptables -nvL -t raw[/code] ?

root@Keenetic_Viva:/opt/etc$ iptables -nvL -t raw
iptables v1.4.21: can't initialize iptables table `raw': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.

 

У меня свежая система, видимо что то в ней поменялось, но без гуру я не осилю подправить.

~ # cat /opt/etc/entware_release
release=entware
arch=mipsel
cpu=mips32r2
cpu_subtype=unknown
float=soft
gcc=8.4.0
gcc_flags=-O2 -pipe -mno-branch-likely -mips32r2 -mtune=mips32r2 -fno-caller-saves -msoft-float
libc=glibc
libc_version=2.27

Версия не ng как я понимаю.

 

Спасибо за разъяснения, пока настроил по инструкции с хабра, все работает, только не понятно как чтобы автоматом запускалась обработка при входящем vpn подключении.

Для pptp vpn создается интерфейс vpn0 , а для vpn ipsec не вижу нового интерфейса. И вот как на него направить обработку запрещенных сайтов не понимаю.

[OmegaTron]

В 19.03.2021 в 14:12, Владимир Морозов сказал:

Спасибо за разъяснения, пока настроил по инструкции с хабра, все работает

Какой инструкции ?

В 19.03.2021 в 14:12, Владимир Морозов сказал:

только не понятно как чтобы автоматом запускалась обработка при входящем vpn подключении.

 /opt/etc/ndm/wan.d ? https://github.com/ndmsystems/packages/wiki/Opkg-Component#ndmwand

[Владимир Морозов]

 

4 часа назад, OmegaTron сказал:

Какой инструкции ?

В 25.07.2020 в 20:50, Fader сказал:

Пытаюсь разрешить доступ к onion-сайтам на keeneticOS 3.4.12.

Делал по известной инструкции от Юрия с хабра. Обход блокировок заработал, все ОК.

Стал настраивать доступ к доменной зоне onion. Там всего-то сделать правки в двух файлах. Сделал как было написано, но тщетно.

Зона onion у меня работает, проверил пару сайтов. Давно оказывается у меня в закладках была, до недавнего времени интернет работал по ipv6 и сам обходил блокировки, но потом перешел на подключение IPoe и больше ipv6 не работает у моего провайдера

 

4 часа назад, OmegaTron сказал:

/opt/etc/ndm/wan.d ? https://github.com/ndmsystems/packages/wiki/Opkg-Component#ndmwand

вот из этого мне по сути нужно когда подымается vpn

добавить скрипт сюда

/opt/etc/ndm/pptp_vpn_up.d   и  /opt/etc/ndm/l2tp_ipsec_vpn_up.d

только надо проверить имя интерфейса через переменную.

 

Спасибо за наводки.

 

 

 

Edited March 21, 2021 by Владимир Морозов

[semco]

Странно, антизапрет, настроенный на кинетике, работает в ноутбуке, на плеере Dune, но не работает на андроиде (Самсунг j8, андроид 10), хотя все устройства работают через кинетик. Может, кто подскажет, в чём тут дело?

Edited March 31, 2021 by semco

[semco]

Странно, но через пол-часа заработало на андроид.

[Albram]

Решил настроить обход на KN-1810 (v 3.6.2). До этого несколько лет он успешно работал на "чёрной" ультре, и я тогда в этой теме был часто.

Сейчас настроил всё так-же, и получил пару ошибок, которые здесь уже были.

При включенном ipv6 при запуске скрипта в режиме модификации:

Скрытый текст

~ # /opt/zapret/init.d/keenetic/S99zapret start
iptable_raw.ko is already loaded
xt_string.ko is already loaded
nfqws is installed
tpws is installed
Restoring ipset
Adding iptables rule
net.ipv4.conf.br0.route_localnet = 1
ip: RTNETLINK answers: File exists
ip: RTNETLINK answers: Address family not supported by protocol
ip6tables: No chain/target/match by that name.

~ # sh -xv /opt/zapret/init.d/keenetic/S99zapret start
.....
.....

+ ip -6 route add local default dev lo table 99
ip: RTNETLINK answers: File exists
+ ip -6 rule add from all fwmark 0x9 lookup 99
ip: RTNETLINK answers: Address family not supported by protocol
+ ip6tables -t mangle -C PREROUTING -p tcp --dport 80 -i br0 -m set --match-set zapret6 dst -j TPROXY --tproxy-mark 0x9/0x9 --on-port 1188 --on-ip ::1
+ ip6tables -t mangle -I PREROUTING -p tcp --dport 80 -i br0 -m set --match-set zapret6 dst -j TPROXY --tproxy-mark 0x9/0x9 --on-port 1188 --on-ip ::1
ip6tables: No chain/target/match by that name.

 

При включенном только ipv4 (pдесь же указал текущие версии entware и iptables):

Скрытый текст

~ # /opt/zapret/init.d/keenetic/S99zapret start
iptable_raw.ko is already loaded
xt_string.ko is already loaded
nfqws is installed
tpws is installed
Restoring ipset
Adding iptables rule
net.ipv4.conf.br0.route_localnet = 1
iptables: No chain/target/match by that name.

~ # sh -xv /opt/zapret/init.d/keenetic/S99zapret start
...
...
+ iptables -t nat -C PREROUTING -p tcp --dport 80 -i br0 -m set --match-set zapret dst -j DNAT --to 127.0.0.1:1188
+ iptables -t nat -I PREROUTING -p tcp --dport 80 -i br0 -m set --match-set zapret dst -j DNAT --to 127.0.0.1:1188
+ iptables -t nat -C OUTPUT -p tcp --dport 80 -m owner '!' --uid-owner nobody -m set --match-set zapret dst -j DNAT --to 127.0.0.1:1188
+ iptables -t nat -I OUTPUT -p tcp --dport 80 -m owner '!' --uid-owner nobody -m set --match-set zapret dst -j DNAT --to 127.0.0.1:1188
iptables: No chain/target/match by that name.


~ # cat /opt/etc/entware_release
release=entware
arch=mipsel
cpu=mips32r2
cpu_subtype=unknown
float=soft
gcc=8.4.0
gcc_flags=-O2 -pipe -mno-branch-likely -mips32r2 -mtune=mips32r2 -fno-caller-saves -msoft-float
libc=glibc
libc_version=2.27

~ # busybox --help
BusyBox v1.33.0 () multi-call binary.


~ # iptables -V
iptables v1.4.21

 

Видимо что-то изменилось в 3-их версиях прошивки.

Пока не трогая ipv6, только для ipv4, модули нужные для режима модификации вроде бы все загружены.
Цель DNAT в таргетах есть.

Ошибка выходит на последнем правиле. Пробовал убирать разные опции из него, ошибка появляется после указания -j DNAT --to (или --to-destination) 127.0.0.1:1188

Есть какие-либо варианты как это пофиксить?

[Albram]

В 01.04.2021 в 13:20, Albram сказал:

Есть какие-либо варианты как это пофиксить?

Сам спросил, сам отвечу.

Вариант нашёлся, благодаря уважаемому @Le ecureuil

Теперь скрипт запускается:

Скрытый текст

~ # /opt/zapret/init.d/keenetic/S99zapret start
iptable_raw.ko is already loaded
xt_string.ko is already loaded
nfqws is installed
tpws is installed
Restoring ipset
Adding iptables rule
net.ipv4.conf.br0.route_localnet = 1
Starting anti-zapret: zapret.

 

 

[Bounty]

Попробовал сделать обход на KN-1710. Как оказалось, в скрипте целый ворох проблем (IPv6, -sports без -m multiport), вроде поправил. Сейчас застрял на перманентной ошибке:

/proc/24849/net # sh -xv /opt/zapret/init.d/keenetic/S99zapret start
#!/bin/sh
...
+ sysctl -w 'net.ipv4.conf.br0.route_localnet=1'
net.ipv4.conf.br0.route_localnet = 1
+ iptables -t raw -C PREROUTING -p tcp -m multiport --sports 443 --tcp-flags SYN,ACK SYN,ACK -m set --match-set zapret src -j NFQUEUE --queue-num 200 --queue-bypass
+ iptables -t raw -I PREROUTING -p tcp -m multiport --sports 443 --tcp-flags SYN,ACK SYN,ACK -m set --match-set zapret src -j NFQUEUE --queue-num 200 --queue-bypass
iptables: No chain/target/match by that name.

Поигрался с параметрами, и понял, что ошибка возникает в -j NFQUEUE.

Это можно пофиксить?

[TheBB]

51 минуту назад, Bounty сказал:

Поигрался с параметрами, и понял, что ошибка возникает в -j NFQUEUE.

Все модули загружены `xt_multiport.ko`/`xt_NFQUEUE.ko`/... ?

[Bounty]

15 часов назад, TheBB сказал:

Все модули загружены `xt_multiport.ko`/`xt_NFQUEUE.ko`/... ?

Точно не знаю как проверить, поэтому...

/opt/lib/iptables # ls
libxt_NOTRACK.so  libxt_state.so

/lib/modules/4.9-ndm-5 # cat /proc/net/ip_tables_matches
string
state
pkttype
limit
helper
conntrack
conntrack
conntrack
connskip
connndmmark
connmark
ndmmark
mark
esp
policy
icmp
dtls
tls
tcpmss
length
set
set
set
set
set
udplite
udp
tcp

 

[TheBB]

~ #
~ # lsmod | grep NFQU
~ # lsmod | grep multi
~ #
~ # insmod /lib/modules/4.9-ndm-5/xt_multiport.ko 
~ # lsmod | grep multi
xt_multiport 1328 0 - Live 0x81a98000
~ #
~ # insmod /lib/modules/4.9-ndm-5/xt_NFQUEUE.ko 
~ # lsmod | grep NFQU
xt_NFQUEUE 3472 0 - Live 0x81b22000
~ #

 

[Bounty]

1 час назад, TheBB сказал:

~ #
~ # lsmod | grep NFQU
~ # lsmod | grep multi
~ #
~ # insmod /lib/modules/4.9-ndm-5/xt_multiport.ko 
~ # lsmod | grep multi
xt_multiport 1328 0 - Live 0x81a98000
~ #
~ # insmod /lib/modules/4.9-ndm-5/xt_NFQUEUE.ko 
~ # lsmod | grep NFQU
xt_NFQUEUE 3472 0 - Live 0x81b22000
~ #

 

Еще подгрузил овнера, и сработало. Спасибо!

[ReeDeR]

Здравствуйте. Почти 3 года сидел на методе проксирования через тор. Всё работало, потом возникла проблема , оказывается пакеты kmod_ndms установить. И пользовался дальше. Но в последнее время кое как заходил на трекеры но както нестабильно заходило и медленно. Прошивку на кинетике обновлял периодически. На днях реших заняться может слетело что-то. Сейчас вообще никуда не заходит. Другие способы пока не пробовал. Я слышал что ТОР заблокировали в рф, возможно из за этого способ с тором теперь не работает?

[OmegaTron]

7 часов назад, ReeDeR сказал:
Я слышал что ТОР заблокировали в рф, возможно из за этого способ с тором теперь не работает?

Да батенька, вы явно не следите за повесткой 

Изучайте инфу, как получить мосты. В довесок к этому могу добавить, что по почте можно получить не обфусцированные и ipv6 мосты отправив "get bridges" и "get ipv6" соответственно. Далее, как получите мосты, прописывайте в torrc 

[code]UseBridges 1[/code]

и

[code]Bridge xxx[/code]

для обычных мостов или

[code]ClientTransportPlugin obfs4 exec /usr/bin/obfs4proxy

Bridge obfs4 xxx[/code]для обфусцированных. 

Мостов может быть прописано несколько. Для обфусцированных мостов нужен бинарник obfs4proxy (не в курсе, есть ли он в entwere). После редактирования torrc нужен или полный перезапуск процесса или

[code]kill -HUP <pid процесса>[/code]

Edited December 28, 2021 by OmegaTron

[tomeeli]

В 28.12.2021 в 06:11, OmegaTron сказал:

Далее, как получите мосты, прописывайте в torrc 

Если не сложно, прошу разжевать как именно прописать полученный вот такой ответ из бота телеграм obfs4 xx.xxx.xxx.xx:xxxxx 898890121DDD7E04A9B8AE499F7D13xxxxxxxxx cert=z04Pd3NJJLS9POZ+abOB2scBagnUwMmuOSwRb9dLEbg3IBOAmCjsOjacpPx580/xxxxxxx iat-mode=0 в torrc,

если сейчас там это

User nobody
VirtualAddrNetworkIPv4 172.16.0.0/12
AutomapHostsOnResolve 1
ExcludeExitNodes {RU}, {UA}, {BY}, {KZ}, {AM}
StrictNodes 1
SocksPort 127.0.0.1:9050
SocksPort 192.168.0.1:9050
TransPort 127.0.0.1:9040
TransPort 192.168.0.1:9040
DNSPort 127.0.0.1:9053
Log notice syslog
ExitPolicy reject *:*
ExitPolicy reject6 *:*

 

Edited December 30, 2021 by tomeeli

[OmegaTron]

47 минут назад, tomeeli сказал:

Если не сложно, прошу разжевать как именно прописать полученный вот такой ответ из бота телеграм obfs4 xx.xxx.xxx.xx:xxxxx 898890121DDD7E04A9B8AE499F7D13xxxxxxxxx cert=z04Pd3NJJLS9POZ+abOB2scBagnUwMmuOSwRb9dLEbg3IBOAmCjsOjacpPx580/xxxxxxx iat-mode=0 в torrc,

если сейчас там это

Так выше я же всё расписал. Ну да ладно ...

UseBridges 1
ClientTransportPlugin obfs4 exec /usr/bin/obfs4proxy
Bridge obfs4 xx.xxx.xxx.xx:xxxxx 898890121DDD7E04A9B8AE499F7D13xxxxxxxxx cert=z04Pd3NJJLS9POZ+abOB2scBagnUwMmuOSwRb9dLEbg3IBOAmCjsOjacpPx580/xxxxxxx iat-mode=0 

Только без бинари obs4proxy это работать не будет. Как я уже писал выше, я не в курсе есть ли оная в entware в комплекте с tor'ом или отдельно т.к. тор оттуда я не юзаю. Есть некий simple-obfs - 0.0.5-1, но я не знаю оно ли это. Где взять armv7/arm64-v8a бинари под ведро могу подсказать, но не более. Для необфусцированных мостов бинарь не нужна. Но есть куда бОльший риск, что они не будут работать. Хотя не факт. У меня вполне себе шуршат ... Получить их можно там же где и obfs4. На сайте или по почте.

Edited December 30, 2021 by OmegaTron

[MercuryV]

47 минут назад, OmegaTron сказал:

не в курсе есть ли оная в entware

пакет obfs4

путь к бинарнику /opt/sbin/obfs4proxy

[tomeeli]

12 часа назад, OmegaTron сказал:

Так выше я же всё расписал.

Я так и прописал, но не работает, не может подключиться к тору. Подумал может что то еще надо.

С наступающим Новым Годом!

[OmegaTron]

В 31.12.2021 в 07:05, MercuryV сказал:

пакет obfs4

путь к бинарнику /opt/sbin/obfs4proxy

У меня такого нет. Видать entwar'ь старовата. 3.x на юзаемом гаджете (смарт). Если дойдут руки - обновлю. Особой нужды пока не было ...

20 часов назад, tomeeli сказал:

Я так и прописал, но не работает, не может подключиться к тору. Подумал может что то еще надо.

А чёрт его разбрёт. У меня на одном устройстве всё успешно цепляется, а на втором - шиш. Конфиги идентичные. В логах стопор загрузки. Я ХЗ. Возможно проделки Фикса 😂 всмысле Роскомнадзора и провайдера. Ещё можете глянуть, стартанул ли процесс obfs4 после запуска тора ну и включить логгирование чере включение опций

Log debug file /tor/debug.log
Log notice file /tor/notices.log

или использование ключей

--Log "debug file /tor/debug.log" 
--Log "notice file /tor/notices.log"