entware Защищаем DNS запросы с помощью dnscrypt-proxy2. Бонусом блокировка рекламы.

[TheBB]

58 минут назад, ankar84 сказал:

Что-то не пойму, куда именно добавлен патч. Установил самый свежий драфт 2.15.A.3.0-1, в Entware сделал update&&upgrade, а ошибка осталась.

Ещё рано для `opkg update`. Но можете затестить предварительную версию пакета )))

iptables_1.4.21-2b_mipsel-3.4.ipk

[ankar84]

1 час назад, TheBB сказал:

Ещё рано для `opkg update`. Но можете затестить предварительную версию пакета )))

iptables_1.4.21-2b_mipsel-3.4.ipk

Теперь понял где и что поправлено.

Подожду штатного обновления, так как проблема не слишком критичная.

[rotor]

В 09.12.2018 в 08:19, TheBB сказал:

Ещё рано для `opkg update`. Но можете затестить предварительную версию пакета )))

iptables_1.4.21-2b_mipsel-3.4.ipk

после ввода команды

iptables-save | grep " --dport 53 -j DNAT --to-destination 192.168.1.1"

дает адекватный ответ без ругани. И в журнале пропала запись.

Цитата

-A PREROUTING -p udp -m udp --dport 53 -j DNAT --to-destination 192.168.1.1:53

 

[ankar84]

3 часа назад, rotor сказал:

дает адекватный ответ без ругани. И в журнале пропала запись.

А у меня всё по прежнему, вывод с ошибкой. Пока вроде нечего не обновилось.

[zyxmon]

2 часа назад, ankar84 сказал:

А у меня всё по прежнему, вывод с ошибкой.

Ошибку выдает iptables-save. Это не мешает работоспособности скрипта из этой темы. Я помню, мы обсуждали - нужно ли включать патчи, о которых писал @Le ecureuil в entware или нет. Entware это же универсальный репозиторий, а не только для кинетиков.

Если не включили, можно включить только для mips* по схеме https://github.com/Entware/Entware/commit/846502743e2335cbec1634cc612cb31e5f4ee688

[zyxmon]

Мне кажется следует в скрипте заменить iptables-save на выдачу правил только из PREROUTING - и быстрее чуть работать будет.

[keenet07]

Всё это конечно классно. Но долго разбираться нужно. Есть способ для ленивых. Никаких OPKG, телнетов и установки сторонних пакетов не требуется.

Всё настраивается в web-интерфейсе роутера. Если у вас используется какое-нибудь PPPOE или VPN соединение для входа в инет, перенастраиваем его чтоб подключалось по IP. Провайдерские DNS везде убираем. В клиенте роутера настраиваем любой бесплатный VPN по IP адресу с шифрованием. (выбирайте стабильный, чтоб соединение не разрывалось часто). Прописываем на вкладке Интернет-Фильтр гугловские или клаудовские DNS сервера в роутере и там же выбираем "Подключение" через вашу бесплатную VPN. Тем самым заворачиваем работу DNS на этот VPN тунель. И всё. Весь DNS трафик спрятан. У данного решения есть rконечно и свои минусы. За то предельно просто.

Edited December 12, 2018 by keenet07

[ankar84]

11 час назад, zyxmon сказал:

Мне кажется следует в скрипте заменить iptables-save на выдачу правил только из PREROUTING - и быстрее чуть работать будет

А может быть уже есть готовая реализация? А то я далек от баша и iptables.

[zyxmon]

58 минут назад, ankar84 сказал:

А может быть уже есть готовая реализация? А то я далек от баша и iptables.

Все от этого далеки. Что-нибудь в духе

`

.... iptables -nvL PREROUTING | grep "udp dpt:53" .....

Допилить предлагаю самостоятельно. Я dnscrypt-proxy2 не юзаю.

 

[ankar84]

В 12.12.2018 в 23:46, zyxmon сказал:

Допилить предлагаю самостоятельно. Я dnscrypt-proxy2 не юзаю.

В итоге получилось почти так как вы указали, только добавил вывод таблицы nat, так как без этого наше правило не выводилось.

#!/bin/sh
[ "$type" == "ip6tables" ] && exit 0
[ "$table" != "nat" ] && exit 0
[ -z "$(iptables -nvL -t nat | grep "to:192.168.1.1:53")" ] && iptables -t nat -I PREROUTING -p udp --dport 53 -j DNAT --to-destination 192.168.1.1:53
exit 0

После перезагрузки проверил - правило на месте, ошибки разумеется нет.

Edited December 18, 2018 by ankar84

[Andrey Che]

При запуске

python generate-domains-blacklist.py

Ругается:

  File "generate-domains-blacklist.py", line 7
    <!DOCTYPE HTML>
    ^
SyntaxError: invalid syntax

В чём может быть проблема?

[ankar84]

17 часов назад, Andrey Che сказал:

В чём может быть проблема?

Очень странно.

Прикладываю свой скрипт (там в самом начале и строка запуска показана)generate-domains-blacklist.py

 

 

[Andrey Che]

Вот что выдало:

/opt/etc/dnscrypt # python generate-domains-blacklist.py > list.txt.tmp && mv -f
 list.txt.tmp list
Loading data from [<!DOCTYPE html>]
unknown url type: !DOCTYPE html/opt/etc/dnscrypt #

PS: система стоит свежая. Установлен tor, dnsmasq, dnscrypt2, python, ca и зависимые библиотеки.

Скрытый текст

bind-dig - 9.11.5-2
bind-libs - 9.11.5-2
busybox - 1.29.2-1
ca-bundle - 20180409-3
ca-certificates - 20180409-3
cron - 4.1-3
curl - 7.62.0-1
dnscrypt-proxy2 - 2.0.19-1
dnsmasq-full - 2.80-1
dropbear - 2017.75-8
entware-release - 1.0-2
findutils - 4.6.0-1
glib2 - 2.58.1-2
grep - 3.1-1
ipset - 6.38-1
iptables - 1.4.21-2a
ldconfig - 2.27-8
libattr - 2.4.48-1
libblkid - 2.32.1-1
libbz2 - 1.0.6-4
libc - 2.27-8
libcap - 2.25-2
libcurl - 7.62.0-1
libdb47 - 4.7.25.4.NC-5
libevent2 - 2.1.8-2
libexpat - 2.2.6-1
libffi - 3.2.1-3
libgcc - 7.3.0-8
libgdbm - 1.11-1
libiconv-full - 1.11.1-3
libintl-full - 0.19.8.1-1
libipset - 6.38-1
libmbedtls - 2.13.0-1
libmnl - 1.0.4-1
libmount - 2.32.1-1
libncurses - 6.1-1
libncursesw - 6.1-1
libndm - 1.1.9-1
libnetfilter-conntrack - 2017-07-25-e8704326-1
libnfnetlink - 1.0.1-1
libopenssl - 1.0.2p-1a
libpcre - 8.42-1
libpthread - 2.27-8
librt - 2.27-8
libslang2 - 2.3.2-1
libsqlite3 - 3250300-1
libssh2 - 1.8.0-3
libssp - 7.3.0-8
libstdcpp - 7.3.0-8
libtirpc - 1.1.4-1
libuuid - 2.32.1-1
libxml2 - 2.9.8-3
locales - 2.27-8
mc - 4.8.21-4
ndmq - 1.0.2-4a
openssh-sftp-server - 7.9p1-2
opkg - 2011-04-08-9c97d5ec-17c
opt-ndmsv2 - 1.0-10a
polipo - 1.1.1-2
privoxy - 3.0.26-4
python - 2.7.15-2
python-base - 2.7.15-2
python-codecs - 2.7.15-2
python-compiler - 2.7.15-2
python-ctypes - 2.7.15-2
python-db - 2.7.15-2
python-decimal - 2.7.15-2
python-distutils - 2.7.15-2
python-email - 2.7.15-2
python-gdbm - 2.7.15-2
python-light - 2.7.15-2
python-logging - 2.7.15-2
python-multiprocessing - 2.7.15-2
python-ncurses - 2.7.15-2
python-openssl - 2.7.15-2
python-pydoc - 2.7.15-2
python-sqlite3 - 2.7.15-2
python-unittest - 2.7.15-2
python-xml - 2.7.15-2
terminfo - 6.1-1
tor - 0.3.4.9-1
tor-geoip - 0.3.4.9-1
zlib - 1.2.11-2
zoneinfo-asia - 2018g-1
zoneinfo-europe - 2018g-1

 

 

Edited January 7, 2019 by Andrey Che

[ankar84]

8 часов назад, Andrey Che сказал:

Вот что выдало:

У меня выдача вот такая:

 # /opt/etc/cron.weekly/1-generate-blacklist
Loading data from [file:domains-blacklist-local-additions.txt]
.....

Значит проблема где-то в районе загружаемых источников для генерации итогового файла блокировки. Первым источником стоит локальный файл domains-blacklist-local-additions.txt

Посмотрите что у вас в этом файле. Может ошибка именно оттуда.

Так же в качестве конфигурационного файла по умолчанию для скрипта является файл domains-blacklist.conf, который должен находиться рядом со скриптом. 

Вот содержимое моего файла. Посмотрите внимательно, что в вашем.

##################################################################################
#                                                                                #
#   Generate a black list of domains using public data sources, and the local    #
#   domains-blacklist-local-additions.txt file.                                  #
#                                                                                #
#   The default configuration is just indicative, and corresponds to the one     #
#   used to produce the public "mybase" set.                                     #
#                                                                                #
#   Comment out the URLs of the sources you wish to disable, leave the ones      #
#   you would like enabled uncommented.  Then run the script to build the        #
#   dnscrypt-blacklist-domains.txt file:                                         #
#                                                                                #
#   $  generate-domains-blacklist.py > dnscrypt-blacklist-domains.txt            #
#                                                                                #
#   Domains that should never be blocked can be put into a file named            #
#   domains-whitelist.txt.                                                       #
#                                                                                #
#   That blacklist file can then be used in the dnscrypt-proxy.toml file:        #
#                                                                                #
#   [blacklist]                                                                  #
#                                                                                #
#   blacklist_file = 'dnscrypt-blacklist-domains.txt'                            #
#                                                                                #
##################################################################################

# Local additions
file:domains-blacklist-local-additions.txt

#StevenBlack
https://raw.githubusercontent.com/StevenBlack/hosts/master/hosts

# Bambenek malware C2s
https://osint.bambenekconsulting.com/feeds/c2-dommasterlist.txt

# hpHosts’ Ad and tracking servers
https://hosts-file.net/.%5Cad_servers.txt

# Malware domains
https://mirror1.malwaredomains.com/files/justdomains

# Abuse.ch Ransomware Tracker
https://ransomwaretracker.abuse.ch/downloads/RW_DOMBL.txt

# Malware Domain List
http://www.malwaredomainlist.com/mdlcsv.php?inactive=off

# Adblock Warning Removal List
https://easylist-downloads.adblockplus.org/antiadblockfilters.txt

# EasyList
https://easylist-downloads.adblockplus.org/easylist_noelemhide.txt

# EasyList China
https://easylist-downloads.adblockplus.org/easylistchina.txt

# RU AdList
https://easylist-downloads.adblockplus.org/advblock.txt

# Fanboy’s Social Blocking List
https://easylist-downloads.adblockplus.org/fanboy-social.txt

# Peter Lowe’s Ad and tracking server list
https://pgl.yoyo.org/adservers/serverlist.php

# Spam404
https://raw.githubusercontent.com/Dawsey21/Lists/master/adblock-list.txt

# CJX Annoyance List
https://raw.githubusercontent.com/cjx82630/cjxlist/master/cjxlist.txt

# EU: Prebake - Filter Obtrusive Cookie Notices
https://raw.githubusercontent.com/liamja/Prebake/master/obtrusive.txt

# Malvertising filter list by Disconnect
https://s3.amazonaws.com/lists.disconnect.me/simple_malvertising.txt

# Malware filter list by Disconnect
https://s3.amazonaws.com/lists.disconnect.me/simple_malware.txt

# Basic tracking list by Disconnect
https://s3.amazonaws.com/lists.disconnect.me/simple_tracking.txt

# Sysctl list (ads)
http://sysctl.org/cameleon/hosts

# KAD host file (fraud/adware) - https://github.com/azet12/KADhosts
https://raw.githubusercontent.com/azet12/KADhosts/master/KADhosts.txt

# BarbBlock list (spurious and invalid DMCA takedowns)
https://ssl.bblck.me/blacklists/domain-list.txt

# Dan Pollock's hosts list
http://someonewhocares.org/hosts/hosts

# NoTracking's list - blocking ads, trackers and other online garbage
https://raw.githubusercontent.com/notracking/hosts-blocklists/master/domains.txt

# CoinBlockerLists: blocks websites serving cryptocurrency miners - https://zerodot1.github.io/CoinBlockerLists/ - Contains false positives
# https://raw.githubusercontent.com/ZeroDot1/CoinBlockerLists/master/list_browser.txt

# Websites potentially publishing fake news
# https://raw.githubusercontent.com/marktron/fakenews/master/fakenews

# Quidsup NoTrack - Contains too many false positives to be enabled by default
# https://raw.githubusercontent.com/quidsup/notrack/master/trackers.txt

# Dynamic DNS services, sadly often used by malware
# https://mirror1.malwaredomains.com/files/dynamic_dns.txt

# Block pornography
# https://raw.githubusercontent.com/Clefspeare13/pornhosts/master/0.0.0.0/hosts
# https://raw.githubusercontent.com/Sinfonietta/hostfiles/master/pornography-hosts
# http://securemecca.com/Downloads/hosts.txt

# Block gambling sites
# https://raw.githubusercontent.com/Sinfonietta/hostfiles/master/gambling-hosts

# Block social media sites
# https://raw.githubusercontent.com/Sinfonietta/hostfiles/master/social-hosts

 

[TheBB]

~ # cat get-dnscrypt-files.sh 
#!/opt/bin/sh

DIR="/opt/etc/dnscrypt"
FILE="generate-domains-blacklist.py"
URL="https://raw.githubusercontent.com/jedisct1/dnscrypt-proxy/master/utils/generate-domains-blacklists"

# check curl
if [ ! -f "/opt/bin/curl" ]; then
	opkg install curl --force-reinstall
fi

# check dir
if [ ! -d "$DIR" ]; then
	mkdir -p $DIR
fi

cd $DIR

# download files
curl -O $URL/domains-blacklist-all.conf \
	-O $URL/domains-blacklist-local-additions.txt \
	-O $URL/domains-blacklist.conf \
	-O $URL/domains-time-restricted.txt \
	-O $URL/domains-whitelist.txt \
	-O $URL/$FILE

# fix shebang & make executable
sed -i -e 's,#!.*,#!/opt/bin/python,' $FILE && chmod +x $FILE

# create blacklist
./$FILE -i > domains-blacklist.txt

для "облегчения страданий" в получении контента... )))

[ankar84]

36 минут назад, TheBB сказал:

для "облегчения страданий" в получении контента

Добавил ссылку на ваше сообщение в "шапку" темы.

Спасибо за скрипт!

[TheBB]

В 05.06.2018 в 19:33, ankar84 сказал:

... конструктивная критика крайне приветствуется...

"Заметьте, не я это предложил!" (х/ф "Покровские ворота")

 

Не совсем очевидно, что файлы для генерации списка должны быть в наличии.

Как имена файлов, так и пути различаются.

В 05.06.2018 в 19:33, ankar84 сказал:

blacklist_file = '/opt/etc/dnscrypt/blacklist-domains.txt'

 

В 05.06.2018 в 19:33, ankar84 сказал:

blacklist_file = '/opt/etc/dnscrypt/dnscrypt-blacklist-domains.txt'

 

В 05.06.2018 в 19:33, ankar84 сказал:

whitelist_file = '/opt/etc/dnscrypt/domains-whitelist.txt'

 

В 05.06.2018 в 19:33, ankar84 сказал:

 whitelist_file = '/opt/etc/dnscrypt-proxy/generate-domains-blacklists/domains-whitelist.txt'

При генерации списка с ключом "-i" можно обойтись без промежуточного файла. В случае ошибки, файл с неполным списком всё равно будет создан.

костыль нумер два (расположить в любом удобном месте и сделать исполняемым) ))):

/opt/etc # cat ./generate.sh 
#!/opt/bin/sh

DIR="/opt/etc/dnscrypt"
SCRIPT="/opt/etc/init.d/S09dnscrypt-proxy2"
num=5

#cd /opt/etc/dnscrypt
cd $DIR

while [ $num -gt 0 ]; do
    ./generate-domains-blacklist.py > blacklist.txt;
    if [ $? -eq 0 ]; then
        mv blacklist.txt domains-blacklist.txt
	logger -t dnscrypt-proxy "blacklist  updated successfully"
#	echo "OK!"
	$SCRIPT restart
        exit 0;
    fi
    logger -t dnscrypt-proxy "try again"
#    echo "Failed! Try again..."
    sleep 10
    let num=$num-1
done
exit 1;

до 5 попыток (меняем на нужное самостоятельно) генерации списка, с интервалом перезапуска в 10 сек (взято "с потолка", можно выставить своё значение); после первой удачной попытки генерации, промежуточный файл переносится взамен старого и dnscrypt-proxy перезапускается; если все попытки окажутся неудачными, скрипт завершается до следующего запуска (вручную или по заданию cron`a), файл списка остаётся нетронутым.

Скрытый текст

запуск вручную с моделированием падения

/opt/etc # ./generate.sh 
Loading data from [file:domains-blacklist-local-additions.txt]
Loading data from [https://osint.bambenekconsulting.com/feeds/c2-dommasterlist.txt]
Loading data from [https://hosts-file.net/.%5Cad_servers.txt]
Loading data from [https://mirror1.malwaredomains.com/files/justdomains]
Loading data from [https://ransomwaretracker.abuse.ch/downloads/RW_DOMBL.txt]
Loading data from [http://www.malwaredomainlist.com/mdlcsv.php?inactive=off]
Loading data from [https://easylist-downloads.adblockplus.org/antiadblockfilters.txt]
Loading data from [https://easylist-downloads.adblockplus.org/easylist_noelemhide.txt]
Loading data from [https://easylist-downloads.adblockplus.org/easylistchina.txt]
Loading data from [https://easylist-downloads.adblockplus.org/fanboy-social.txt]
Loading data from [https://pgl.yoyo.org/adservers/serverlist.php]
[https://pgl.yoyo.org/adservers/serverlist.php] could not be loaded: <urlopen error ('_ssl.c:710: The handshake operation timed out',)>
Failed. Try againe
Loading data from [file:domains-blacklist-local-additions.txt]
Loading data from [https://osint.bambenekconsulting.com/feeds/c2-dommasterlist.txt]
Loading data from [https://hosts-file.net/.%5Cad_servers.txt]
Loading data from [https://mirror1.malwaredomains.com/files/justdomains]
Loading data from [https://ransomwaretracker.abuse.ch/downloads/RW_DOMBL.txt]
Loading data from [http://www.malwaredomainlist.com/mdlcsv.php?inactive=off]
Loading data from [https://easylist-downloads.adblockplus.org/antiadblockfilters.txt]
Loading data from [https://easylist-downloads.adblockplus.org/easylist_noelemhide.txt]
Loading data from [https://easylist-downloads.adblockplus.org/easylistchina.txt]
Loading data from [https://easylist-downloads.adblockplus.org/fanboy-social.txt]
Loading data from [https://pgl.yoyo.org/adservers/serverlist.php]
Loading data from [https://raw.githubusercontent.com/Dawsey21/Lists/master/adblock-list.txt]
Loading data from [https://raw.githubusercontent.com/cjx82630/cjxlist/master/cjxlist.txt]
Loading data from [https://raw.githubusercontent.com/liamja/Prebake/master/obtrusive.txt]
Loading data from [https://s3.amazonaws.com/lists.disconnect.me/simple_malvertising.txt]
Loading data from [https://s3.amazonaws.com/lists.disconnect.me/simple_malware.txt]
Loading data from [https://s3.amazonaws.com/lists.disconnect.me/simple_tracking.txt]
Loading data from [http://sysctl.org/cameleon/hosts]
Loading data from [https://raw.githubusercontent.com/azet12/KADhosts/master/KADhosts.txt]
Loading data from [https://ssl.bblck.me/blacklists/domain-list.txt]
Loading data from [https://someonewhocares.org/hosts/hosts]
Loading data from [https://raw.githubusercontent.com/notracking/hosts-blocklists/master/domains.txt]
Loading data from [file:domains-time-restricted.txt]
Loading data from [file:domains-whitelist.txt]
OK
 Shutting down dnscrypt-proxy...              done. 
 Starting dnscrypt-proxy...              done. 
/opt/etc # 

вид из журнала

...
[I] Jan  8 17:00:00 crond[2801]: USER root pid 11442 cmd /opt/etc/generate.sh 2>&1 
[I] Jan  8 17:04:28 dnscrypt-proxy: blacklist  updated successfully
[I] Jan  8 17:04:30 root: Started dnscrypt-proxy from .
[I] Jan  8 17:05:00 crond[2801]: USER root pid 11969 cmd /opt/etc/generate.sh 2>&1 
[I] Jan  8 17:10:00 crond[2801]: user root: process already running: /opt/etc/generate.sh 2>&1 
[I] Jan  8 17:10:18 dnscrypt-proxy: blacklist  updated successfully
[I] Jan  8 17:10:19 root: Started dnscrypt-proxy from .
[I] Jan  8 17:15:00 crond[2801]: USER root pid 13053 cmd /opt/etc/generate.sh 2>&1 
[I] Jan  8 17:15:21 dnscrypt-proxy: try again
[I] Jan  8 17:19:25 dnscrypt-proxy: blacklist  updated successfully
[I] Jan  8 17:19:27 root: Started dnscrypt-proxy from .
...

 

 

[ankar84]

15 часов назад, TheBB сказал:

Заметьте, не я это предложил!

я от своих слов не отказываюсь, инструкция далека от идеала, и конструктивная критика безусловно необходима и приветствуется!

15 часов назад, TheBB сказал:

Как имена файлов, так и пути различаются.

Здесь да. Инструкция создавалась и позже редактировалась в течении определенного времени, где я для своего удобства менял имена файлов и их расположение. Имена менял в основном для того, чтобы они начинались не одинаково, чтобы можно было с помощью табуляции удобно ими оперировать. Именно поэтому удалил у большинства файлов начало в виде "dnscrypt-". Так же перестал собирать файлы, необходимые для генерации блеклиста в отдельной папке, а разместил их рядом с файлом конфигурации dnscrypt в /opt/etc/dnscrypt/

15 часов назад, TheBB сказал:

При генерации списка с ключом "-i" можно обойтись без промежуточного файла. В случае ошибки, файл с неполным списком всё равно будет создан.

Вот этого не знал, спасибо!

Итого - постараюсь привести первый пост темы в порядок, может что-то оптимизировать.

[rotor]

у меня одного все буржуйские днс не работают, а яндекс сразу подхватывает? (ростелеком)

[Александр Рыжов]

@rotor, да.

[HuduGuru]

Восстанавливаю Entware, пара копеек про установку dnscypt-proxy2 на "чистую" систему:

Для того, чтобы блэклисты нормально скачивались, сначала нужно установить пакет ca_certificates:
opkg update && opkg install ca_certificates

[ankar84]

7 минут назад, HuduGuru сказал:

Восстанавливаю Entware, пара копеек про установку dnscypt-proxy2 на "чистую" систему:

Для того, чтобы блэклисты нормально скачивались, сначала нужно установить пакет ca_certificates:
opkg update && opkg install ca_certificates

Всё верно. И это есть в инструкции. Ещё и python нужен для генерации списка заблокированных ресурсов.

[Popov]

Добрый день.

Пытаюсь ставить dnscypt-proxy2 по инструкции, даже файл конфигурации делал такой же, как и автор,  после запуска пропадает интернет на компьюетере и по сети вифи, ТВ приставка работает нормально. Дело в ДНСах , в ipconfig /all вижу свой роутер в  качестве основного днс. При отключении флешки entware интернет сразу начинает работать нормально (то есть днс сбрасываются) Куда копать?

И еще пару вопросов: что должно быть в папке /opt/etc/dnscrypt/ - у меня там лежит только файл конфигурации dnscrypt-proxy.toml и больше там ничего нет. Вроде сам dnscrypt-proxy2 запускается , должен ли сам скрипт S09dnscrypt-proxy2 лежать там же? Пробовал уже флешку форматировать , проделывал все шаги еще раз - результат тот же.

Спасибо заранее.

 

Edited February 7, 2019 by Popov
лень

[vasek00]

4 часа назад, Popov сказал:

Добрый день.

Пытаюсь ставить dnscypt-proxy2 по инструкции, даже файл конфигурации делал такой же, как и автор,  после запуска пропадает интернет на компьюетере и по сети вифи, ТВ приставка работает нормально. Дело в ДНСах , в ipconfig /all вижу свой роутер в  качестве основного днс. При отключении флешки entware интернет сразу начинает работать нормально (то есть днс сбрасываются) Куда копать?

И еще пару вопросов: что должно быть в папке /opt/etc/dnscrypt/ - у меня там лежит только файл конфигурации dnscrypt-proxy.toml и больше там ничего нет. Вроде сам dnscrypt-proxy2 запускается , должен ли сам скрипт S09dnscrypt-proxy2 лежать там же? Пробовал уже флешку форматировать , проделывал все шаги еще раз - результат тот же.

Спасибо заранее.

 

Конечно трудно понять что вы делали и что у вас настроено (получилось), но начните с того, что посмотрите что и как у вас в текущем состоянии - "netstat -ntulp | grep dns" и "netstat -ntulp | grep 53"

[Popov]

Мои действия: кинул install с entware на флешку, установил dns-crypt2, подправил файл конфигурации, сделал в CLI opkg dns-override  system configuration save ; запустил скрипт  /opt/etc/init.d/S09dnscrypt-proxy2, все. Во вложении скрины netstat и ipconfig с компа.  

 

Edited February 8, 2019 by Popov

[ankar84]

39 минут назад, Popov сказал:

Мои действия: кинул install с entware на флешку, установил dns-crypt2, подправил файл конфигурации, сделал в CLI opkg dns-override  system configuration save ; запустил скрипт  /opt/etc/init.d/S09dnscrypt-proxy2, все. Во вложении скрины netstat и ipconfig с компа

Все таки давайте начнем диагностику с того, что рекомендовал чуть выше уважаемый @vasek00 и что указано в инструкции в разделе Диагностика проблем с запуском\работой.

По умолчанию после установки dnscrypt-proxy2 в Entware запускается с конфигурационным файлов, который расположен по следующему пути /opt/etc/dnscrypt-proxy.toml  (в этом можно убедиться посмотрев файл /opt/etc/init.d/S09dnscrypt-proxy2)

После каждого обновления я правлю скрипт запуска указывая свой файл конфигурации, который у меня расположен по пути /opt/etc/dnscrypt/dnscrypt-proxy.toml так как у меня достаточно много различных файлов для работы dnscrypt-proxy2, мне удобно их держать в одной отдельной папке.

Если вы в запускающем файле не правили путь до файла конфигурации, то он у вас остался по умолчанию /opt/etc/dnscrypt-proxy.toml и править нужно именно его (если хотите что-то изменить).

Для начала, чтобы разобраться в проблеме я бы не стал его сильно изменять, нужно, чтобы просто заработало и не падало.

После команды /opt/etc/init.d/S09dnscrypt-proxy2 start необходимо посмотреть слушает ли dnscrypt-proxy2 на порту 53, запущен ли он

~ # ps | grep dnscrypt
~ # netstat -tulnp | grep dnscrypt

Так же рекомендую попробовать просто запустить dnscrypt из командной строки следующей командой и посмотреть, что произойдет.

~ # dnscrypt-proxy -config /opt/etc/dnscrypt/dnscrypt-proxy.toml

Ну, и ждем результаты сюда, можно скриншотами, можно текстом.

[ankar84]

Блокировщикам рекламы (и не только) на заметку

Выбирать для dnscrypt-proxy2 нужно Hosts File Editor в качестве Software

[Rbuha]

Сделал всё как описано здесь.

Интернет есть на всех устройствах сети, но в вебе нет доступа в Интернет и Обновления    Отсутствует подключение, лампочка тоже не горит. В журнале: Core::Ndss: [10305] cannot connect to the server.

Как исправить?

Скрытый текст

 

 

 

Edited February 20, 2019 by Buha

[ankar84]

14 часа назад, Buha сказал:

Как исправить?

Попробуйте прописать адрес 192.168.1.1 согласно статье Использование публичных DNS-серверов в интернет-центре

Лично у меня так и сделано. DNS указан только в этом месте и все работает как описано в инструкции.

 

[Rbuha]

А почему бы вместо

 #[sources.'public-resolvers']
  #urls = ['https://raw.githubusercontent.com/DNSCrypt/dnscrypt-resolvers/master/v2/public-resolvers.md', 'https://download.dnscrypt.info/resolvers-list/v2/public-resolvers.md']
  #cache_file = '/opt/etc/dnscrypt/public-resolvers.md'
  #minisign_key = 'RWQf6LRCGA9i53mlYecO4IzT51TGPpvWucNSCh1CBM0QTaLn73Y7GFO3'
  #refresh_delay = 72
  #prefix = ''

  [sources.'opennic']
  urls = ['https://raw.githubusercontent.com/DNSCrypt/dnscrypt-resolvers/master/v2/opennic.md', 'https://download.dnscrypt.info/resolvers-list/v2/opennic.md']
  minisign_key = 'RWQf6LRCGA9i53mlYecO4IzT51TGPpvWucNSCh1CBM0QTaLn73Y7GFO3'
  cache_file = '/opt/etc/dnscrypt/opennic.md'
  refresh_delay = 72
  prefix = ''

не задать

 [sources.'public-resolvers']
  urls = ['https://download.dnscrypt.info/dnscrypt-resolvers/v2/public-resolvers.md']
  cache_file = '/opt/etc/dnscrypt/public-resolvers.md'
  minisign_key = 'RWQf6LRCGA9i53mlYecO4IzT51TGPpvWucNSCh1CBM0QTaLn73Y7GFO3'
  refresh_delay = 72
  prefix = ''

и указывать нужный резолвер так:

server_names = ['opennic-bongobow', 'opennic-R4SAS']

opennic-bongobow - Германия.

opennic-R4SAS - Франция.

Или adguard dns для блокировки рекламы. Весь список: public-servers и в файле /opt/etc/dnscrypt/public-resolvers.md

Если закомментировать server_names , то будет выбираться из всего списка по наименьшему пингу.