Jump to content

Обход блокировок на роутере!


Recommended Posts

В 11.08.2020 в 13:23, nurman сказал:
В 11.08.2020 в 09:40, Albram сказал:

"ip: RTNETLINK answers: Address family not supported by protocol"

Данная ошибка только на режимах modification и combined (но обход блокировки работает некоторое время), на режиме fragmentation такой ошибки нет, но как писал выше на этом режиме обход не работает

У меня эта ошибка была. После того, как я закомментировал в скрипте строчки, относящиеся к IPv6 (всё равно blockcheck мне показывает, что мой провайдер по IPv6 адресам не блокирует), скрипт запускается без ошибок.

Только после перезагрузки роутера (например, после обновления прошивки) скрипт автоматом запускается некорректно: при остановке работы скрипта вручную выдаёт ошибку "iptables: No chain/target/match by that name" и ругается на то, что не запущен модуль nfqws. Приходится вручную останавливать (как раз появляется ошибка) и заново запускать скрипт, тогда он нормально запускается и работает.

Может кто знает, в чём причина некорректного автозапуска скрипта в режиме combined после перезагрузки роутера и как это исправить?

Edited by Dim McAlastair
Link to comment
Share on other sites

  • 5 weeks later...

Имеет ли на данный момент место  данная проблема, связанная с фиксацией ttl ? Нынешние реалии таковы, что для обхода блокировок моего провайдера через gdpi/zapret нужны манипуляции с ttl. Можно ли как-то обойти фиксированное значение ttl ? Интересуюсь, дабы заранее знать, стоит ли обновляться , ибо фиксация ttl для меня сейчас реальная палка в колёса 😕

Edited by OmegaTron
Link to comment
Share on other sites

  • 1 month later...

Пытаюсь настроить по инструкции

споткнулся на следующем этапе проверки

При запуске /opt/etc/init.d/S99zapret start

Получаю такой вывод:

iptable_raw.ko is already loaded
xt_string.ko is already loaded
nfqws is installed
tpws is installed
Restoring ipset
Adding iptables rule
iptables: No chain/target/match by that name.


как понимаю не создаются правила iptables, но в чем причина не понятно.

У меня роутер Viva, версия системы 3.6.1 , что то в ней поменялось, так как нашел такую тему на форуме

 

 

Link to comment
Share on other sites

7 часов назад, OmegaTron сказал:

Изучайте выхлоп sh -xv /opt/etc/init.d/S99zapret start

Ошибка выходит на строки

+ iptables -t raw -C PREROUTING -p tcp --sports 80,443 --tcp-flags SYN,ACK SYN,ACK -m set --match-set zapret src -j NFQUEUE --queue-num 200 --queue-bypass
+ iptables -t raw -I PREROUTING -m multiport -p tcp --sports 80,443 --tcp-flags SYN,ACK SYN,ACK -m set --match-set zapret src -j NFQUEUE --queue-num 200 --queue-bypass
iptables: No chain/target/match by that name.

 

Закомментировал их и запустилось, но обход блокировки не работает.

Не очень понимаю что они делают, поэтому на просто проверочный запуск не решился

 

Link to comment
Share on other sites

6 часов назад, Владимир Морозов сказал:

Не очень понимаю что они делают, поэтому на просто проверочный запуск не решился

Что в выхлопе [code]iptables -nvL -t raw[/code] ? Если пишет, что нет такой таблицы, то смотрите, что мне советовали по поводу iptables на прошлых страницах. У меня в итоге до этого руки так и не дошли т.к. пока отпала нужда в "прокачивании" iptables. Если таблица есть, "отсекайте" у правил ключи пока оно не добавится. Как добавится, смотрите, что "отсекли" и разбирайтесь с отсутствующими модулями/компонентами/etc.

А вообще, вам лучше на гитхаб, задавать вопросы напрямую bolvan'у, разработчику запрета. Единственное, учтите, что "запрет" рассчитан на OpenWRT, а не на заводские прошивки. На "заводе" он работу запрета не гарантирует >_>

Link to comment
Share on other sites

16 часов назад, OmegaTron сказал:

Что в выхлопе [code]iptables -nvL -t raw[/code] ?

root@Keenetic_Viva:/opt/etc$ iptables -nvL -t raw
iptables v1.4.21: can't initialize iptables table `raw': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.

 

У меня свежая система, видимо что то в ней поменялось, но без гуру я не осилю подправить.

~ # cat /opt/etc/entware_release
release=entware
arch=mipsel
cpu=mips32r2
cpu_subtype=unknown
float=soft
gcc=8.4.0
gcc_flags=-O2 -pipe -mno-branch-likely -mips32r2 -mtune=mips32r2 -fno-caller-saves -msoft-float
libc=glibc
libc_version=2.27

Версия не ng как я понимаю.

 

Спасибо за разъяснения, пока настроил по инструкции с хабра, все работает, только не понятно как чтобы автоматом запускалась обработка при входящем vpn подключении.

Для pptp vpn создается интерфейс vpn0 , а для vpn ipsec не вижу нового интерфейса. И вот как на него направить обработку запрещенных сайтов не понимаю.

Link to comment
Share on other sites

В 19.03.2021 в 14:12, Владимир Морозов сказал:

Спасибо за разъяснения, пока настроил по инструкции с хабра, все работает

Какой инструкции ?

В 19.03.2021 в 14:12, Владимир Морозов сказал:

только не понятно как чтобы автоматом запускалась обработка при входящем vpn подключении.

 /opt/etc/ndm/wan.d ? https://github.com/ndmsystems/packages/wiki/Opkg-Component#ndmwand

  • Thanks 1
Link to comment
Share on other sites


 

4 часа назад, OmegaTron сказал:

Какой инструкции ?

В 25.07.2020 в 20:50, Fader сказал:

Пытаюсь разрешить доступ к onion-сайтам на keeneticOS 3.4.12.

Делал по известной инструкции от Юрия с хабра. Обход блокировок заработал, все ОК.

Стал настраивать доступ к доменной зоне onion. Там всего-то сделать правки в двух файлах. Сделал как было написано, но тщетно.

Зона onion у меня работает, проверил пару сайтов. Давно оказывается у меня в закладках была, до недавнего времени интернет работал по ipv6 и сам обходил блокировки, но потом перешел на подключение IPoe и больше ipv6 не работает у моего провайдера

 

4 часа назад, OmegaTron сказал:

вот из этого мне по сути нужно когда подымается vpn

добавить скрипт сюда

/opt/etc/ndm/pptp_vpn_up.d   и  /opt/etc/ndm/l2tp_ipsec_vpn_up.d

только надо проверить имя интерфейса через переменную.

 

Спасибо за наводки.

 

 

 

Edited by Владимир Морозов
Link to comment
Share on other sites

  • 2 weeks later...

Странно, антизапрет, настроенный на кинетике, работает в ноутбуке, на плеере Dune, но не работает на андроиде (Самсунг j8, андроид 10), хотя все устройства работают через кинетик. Может, кто подскажет, в чём тут дело?

Edited by semco
Link to comment
Share on other sites

Решил настроить обход на KN-1810 (v 3.6.2). До этого несколько лет он успешно работал на "чёрной" ультре, и я тогда в этой теме был часто.

Сейчас настроил всё так-же, и получил пару ошибок, которые здесь уже были.

При включенном ipv6 при запуске скрипта в режиме модификации:

Скрытый текст

~ # /opt/zapret/init.d/keenetic/S99zapret start
iptable_raw.ko is already loaded
xt_string.ko is already loaded
nfqws is installed
tpws is installed
Restoring ipset
Adding iptables rule
net.ipv4.conf.br0.route_localnet = 1
ip: RTNETLINK answers: File exists
ip: RTNETLINK answers: Address family not supported by protocol
ip6tables: No chain/target/match by that name.

~ # sh -xv /opt/zapret/init.d/keenetic/S99zapret start
.....
.....

+ ip -6 route add local default dev lo table 99
ip: RTNETLINK answers: File exists
+ ip -6 rule add from all fwmark 0x9 lookup 99
ip: RTNETLINK answers: Address family not supported by protocol
+ ip6tables -t mangle -C PREROUTING -p tcp --dport 80 -i br0 -m set --match-set zapret6 dst -j TPROXY --tproxy-mark 0x9/0x9 --on-port 1188 --on-ip ::1
+ ip6tables -t mangle -I PREROUTING -p tcp --dport 80 -i br0 -m set --match-set zapret6 dst -j TPROXY --tproxy-mark 0x9/0x9 --on-port 1188 --on-ip ::1
ip6tables: No chain/target/match by that name.

 

При включенном только ipv4 (pдесь же указал текущие версии entware и iptables):

Скрытый текст

~ # /opt/zapret/init.d/keenetic/S99zapret start
iptable_raw.ko is already loaded
xt_string.ko is already loaded
nfqws is installed
tpws is installed
Restoring ipset
Adding iptables rule
net.ipv4.conf.br0.route_localnet = 1
iptables: No chain/target/match by that name.

~ # sh -xv /opt/zapret/init.d/keenetic/S99zapret start
...
...
+ iptables -t nat -C PREROUTING -p tcp --dport 80 -i br0 -m set --match-set zapret dst -j DNAT --to 127.0.0.1:1188
+ iptables -t nat -I PREROUTING -p tcp --dport 80 -i br0 -m set --match-set zapret dst -j DNAT --to 127.0.0.1:1188
+ iptables -t nat -C OUTPUT -p tcp --dport 80 -m owner '!' --uid-owner nobody -m set --match-set zapret dst -j DNAT --to 127.0.0.1:1188
+ iptables -t nat -I OUTPUT -p tcp --dport 80 -m owner '!' --uid-owner nobody -m set --match-set zapret dst -j DNAT --to 127.0.0.1:1188
iptables: No chain/target/match by that name.


~ # cat /opt/etc/entware_release
release=entware
arch=mipsel
cpu=mips32r2
cpu_subtype=unknown
float=soft
gcc=8.4.0
gcc_flags=-O2 -pipe -mno-branch-likely -mips32r2 -mtune=mips32r2 -fno-caller-saves -msoft-float
libc=glibc
libc_version=2.27

~ # busybox --help
BusyBox v1.33.0 () multi-call binary.


~ # iptables -V
iptables v1.4.21

 

Видимо что-то изменилось в 3-их версиях прошивки.

Пока не трогая ipv6, только для ipv4, модули нужные для режима модификации вроде бы все загружены.
Цель DNAT в таргетах есть.

Ошибка выходит на последнем правиле. Пробовал убирать разные опции из него, ошибка появляется после указания -j DNAT --to (или --to-destination) 127.0.0.1:1188

Есть какие-либо варианты как это пофиксить?

Link to comment
Share on other sites

В 01.04.2021 в 13:20, Albram сказал:

Есть какие-либо варианты как это пофиксить?

Сам спросил, сам отвечу.

Вариант нашёлся, благодаря уважаемому @Le ecureuil

Теперь скрипт запускается:

Скрытый текст

~ # /opt/zapret/init.d/keenetic/S99zapret start
iptable_raw.ko is already loaded
xt_string.ko is already loaded
nfqws is installed
tpws is installed
Restoring ipset
Adding iptables rule
net.ipv4.conf.br0.route_localnet = 1
Starting anti-zapret: zapret.

 

 

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...