Jump to content

Обход блокировок с использованием bird4


Recommended Posts

Важное дополнение - если на роутере включены ПРИОРИТЕТЫ ПОДКЛЮЧЕНИЙ и настроена ПРИВЯЗКА УСТРОЙСТВ К ПРОФИЛЯМ, то устройство, с которого производится проверка, должно находиться в ОСНОВНОМ ПРОФИЛЕ. Убил на это кучу времени, пока понял. Возможно, что если поиграть настройками дополнительных профилей, то заработает и с ними, но я не стал экспериментировать.

Link to comment
Share on other sites

  • 1 month later...

Вероятно мой сервер попал в список "заблокированных", как ранее писали ложные срабатывания возможны за счёт того, что список формируется не по 1 IP в строке, а как бы масками.

Перезагружаю роутер с выключенным VPN. Подключаюсь по SSH к своему VPN-серверу, всё ок, В "Другие подключения" включаю VPN. После этого больше не могу подключиться по SSH к своему серверу.

Добавил в белый список IP и домен своего сервера. Не помогает.

Spoiler
Фев 21 01:50:47
 
ndm
Network::Interface::Base: "L2TP0": interface is up.
Фев 21 01:50:47
 
ndm
IpSec::Manager: service enabled.
Фев 21 01:50:47
 
ndm
Core::ConfigurationSaver: saving configuration...
Фев 21 01:50:47
 
ndm
Network::Interface::PppTunnel: "L2TP0": interface state is changed, reconnecting.
Фев 21 01:50:47
 
ndm
Network::Interface::PppTunnel: "L2TP0": remote endpoint is resolved to "95.182.123.183".
Фев 21 01:50:47
 
ndm
Network::Interface::PppTunnel: "L2TP0": connecting via ISP (GigabitEthernet1).
Фев 21 01:50:47
 
ndm
Network::Interface::PppTunnel: "L2TP0": local endpoint is resolved to "95.31.196.5".
Фев 21 01:50:47
 
ndm
Network::Interface::PppTunnel: "L2TP0": added host route to 95.182.123.183 via 95.31.196.6 (GigabitEthernet1).
Фев 21 01:50:47
 
ndm
Network::Interface::L2tp: "L2TP0": using port 41271 as local.
Фев 21 01:50:47
 
ndm
Network::Interface::L2tp: "L2TP0": updating IP secure configuration.
Фев 21 01:50:47
 
ndm
IpSec::Manager: "L2TP0": IP secure connection was added.
Фев 21 01:50:47
 
ndm
IpSec::IpSecNetfilter: start reloading netfilter configuration...
Фев 21 01:50:47
 
ndm
IpSec::IpSecNetfilter: netfilter configuration reloading is done.
Фев 21 01:50:49
 
ndm
IpSec::Manager: create IPsec reconfiguration transaction...
Фев 21 01:50:49
 
ndm
IpSec::Manager: add config for crypto map "VPNL2TPServer".
Фев 21 01:50:49
 
ndm
IpSec::Manager: add config for crypto map "L2TP0".
Фев 21 01:50:49
 
ndm
IpSec::Manager: IPsec reconfiguration transaction was created.
Фев 21 01:50:49
 
ndm
IpSec::Configurator: start applying IPsec configuration.
Фев 21 01:50:49
 
ndm
IpSec::Configurator: IPsec configuration applying is done.
Фев 21 01:50:49
 
ndm
IpSec::Configurator: start reloading IKE keys task.
Фев 21 01:50:49
 
ipsec
11[CFG] rereading secrets
Фев 21 01:50:49
 
ipsec
11[CFG] loading secrets
Фев 21 01:50:49
 
ipsec
11[CFG] loaded IKE secret for %any
Фев 21 01:50:49
 
ipsec
11[CFG] loaded IKE secret for cmap:L2TP0
Фев 21 01:50:49
 
ipsec
11[CFG] rereading ca certificates from '/tmp/ipsec/ipsec.d/cacerts'
Фев 21 01:50:49
 
ndm
IpSec::Configurator: reloading IKE keys task done.
Фев 21 01:50:49
 
ndm
IpSec::Configurator: start reloading IPsec config task.
Фев 21 01:50:49
 
ipsec
14[CFG] received stroke: delete connection 'VPNL2TPServer'
Фев 21 01:50:49
 
ipsec
14[CFG] deleted connection 'VPNL2TPServer'
Фев 21 01:50:49
 
ipsec
00[DMN] signal of type SIGHUP received. Reloading configuration
Фев 21 01:50:49
 
ipsec
08[CFG] received stroke: add connection 'VPNL2TPServer'
Фев 21 01:50:49
 
ipsec
00[CFG] loaded 0 entries for attr plugin configuration
Фев 21 01:50:49
 
ipsec
00[CFG] loaded 1 RADIUS server configuration
Фев 21 01:50:49
 
ipsec
08[CFG] added configuration 'VPNL2TPServer'
Фев 21 01:50:49
 
ipsec
16[CFG] received stroke: add connection 'L2TP0'
Фев 21 01:50:49
 
ipsec
16[CFG] added configuration 'L2TP0'
Фев 21 01:50:49
 
ndm
IpSec::IpSecNetfilter: start reloading netfilter configuration...
Фев 21 01:50:49
 
ndm
IpSec::IpSecNetfilter: netfilter configuration reloading is done.
Фев 21 01:50:49
 
ndm
IpSec::Configurator: reloading IPsec config task done.
Фев 21 01:50:49
 
ipsec
06[CFG] received stroke: initiate 'L2TP0'
Фев 21 01:50:49
 
ipsec
10[IKE] sending DPD vendor ID
Фев 21 01:50:49
 
ipsec
10[IKE] sending FRAGMENTATION vendor ID
Фев 21 01:50:49
 
ndm
IpSec::Configurator: "L2TP0": crypto map initialized.
Фев 21 01:50:49
 
ipsec
10[IKE] sending NAT-T (RFC 3947) vendor ID
Фев 21 01:50:49
 
ipsec
10[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID
Фев 21 01:50:49
 
ipsec
10[IKE] initiating Main Mode IKE_SA L2TP0[1] to 95.182.123.183
Фев 21 01:50:50
 
ipsec
13[IKE] received NAT-T (RFC 3947) vendor ID
Фев 21 01:50:50
 
ipsec
13[IKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID
Фев 21 01:50:50
 
ipsec
13[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
Фев 21 01:50:50
 
ipsec
13[IKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID
Фев 21 01:50:50
 
ipsec
13[IKE] received draft-ietf-ipsec-nat-t-ike-00 vendor ID
Фев 21 01:50:50
 
ipsec
13[IKE] received DPD vendor ID
Фев 21 01:50:50
 
ipsec
13[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536
Фев 21 01:50:50
 
ipsec
13[CFG] configured proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024
Фев 21 01:50:50
 
ipsec
13[CFG] selected proposal: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536
Фев 21 01:50:50
 
ipsec
15[IKE] found linked key for crypto map 'L2TP0'
Фев 21 01:50:50
 
ipsec
15[IKE] local host is behind NAT, sending keep alives
Фев 21 01:50:50
 
ipsec
07[IKE] IKE_SA L2TP0[1] established between 95.31.196.5[95.31.196.5]...95.182.123.183[95.182.123.183]
Фев 21 01:50:50
 
ipsec
07[IKE] scheduling reauthentication in 28780s
Фев 21 01:50:50
 
ipsec
07[IKE] maximum IKE_SA lifetime 28800s
Фев 21 01:50:50
 
ndm
IpSec::CryptoMapInfo: "L2TP0": crypto map active IKE SA: 1, active CHILD SA: 0.
Фев 21 01:50:50
 
ipsec
09[CFG] received proposals: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ
Фев 21 01:50:50
 
ipsec
09[CFG] configured proposals: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_SHA1_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA2_256_128/NO_EXT_SEQ
Фев 21 01:50:50
 
ipsec
09[CFG] selected proposal: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ
Фев 21 01:50:50
 
ipsec
09[IKE] CHILD_SA L2TP0{1} established with SPIs cee91684_i a5716a43_o and TS 95.31.196.5/32[udp/41271] === 95.182.123.183/32[udp/l2tp]
Фев 21 01:50:50
 
ndm
IpSec::Configurator: crypto map "L2TP0" is up.
Фев 21 01:50:50
 
ndm
IpSec::CryptoMapInfo: "L2TP0": crypto map active IKE SA: 1, active CHILD SA: 1.
Фев 21 01:50:50
 
ndm
Network::Interface::L2tp: "L2TP0": IPsec layer is up, do start L2TP layer.
Фев 21 01:50:50
 
ndm
Network::Interface::Ppp: "L2TP0": enabled connection via any interface.
Фев 21 01:50:50
 
ndm
IpSec::IpSecNetfilter: start reloading netfilter configuration...
Фев 21 01:50:50
 
ndm
IpSec::IpSecNetfilter: netfilter configuration reloading is done.
Фев 21 01:50:51
 
ndm
Core::ConfigurationSaver: configuration saved.
Фев 21 01:50:51
 
ipsec
11[CFG] rereading aa certificates from '/tmp/ipsec/ipsec.d/aacerts'
Фев 21 01:50:51
 
ipsec
11[CFG] rereading ocsp signer certificates from '/tmp/ipsec/ipsec.d/ocspcerts'
Фев 21 01:50:51
 
ipsec
11[CFG] rereading attribute certificates from '/tmp/ipsec/ipsec.d/acerts'
Фев 21 01:50:51
 
ipsec
11[CFG] rereading crls from '/tmp/ipsec/ipsec.d/crls'
Фев 21 01:50:52
 
l2tp[1371]
Plugin pppol2tp.so loaded.
Фев 21 01:50:52
 
l2tp[1371]
pppd 2.4.4-4 started by root, uid 0
Фев 21 01:50:52
 
ndm
Network::Interface::PppTunnel: "L2TP0": added host route to 95.182.123.183 via 95.31.196.6 (GigabitEthernet1).
Фев 21 01:50:52
 
pppd_L2TP0
l2tp_control v2.02
Фев 21 01:50:52
 
pppd_L2TP0
remote host: 95.182.123.183:1701
Фев 21 01:50:52
 
pppd_L2TP0
local bind: 95.31.196.5:41271
Фев 21 01:50:53
 
pppd_L2TP0
creating in-kernel L2TP tunnel (R/L 1/57658)
Фев 21 01:50:53
 
pppd_L2TP0
creating in-kernel L2TP session (R/L 1/30906)
Фев 21 01:50:53
 
pppd_L2TP0
L2TP tunnel/session created
Фев 21 01:50:53
 
pppd_L2TP0
PPP channel connected
Фев 21 01:50:53
 
pppd_L2TP0
using channel 1
Фев 21 01:50:53
 
pppd_L2TP0
Using interface ppp0
Фев 21 01:50:53
 
pppd_L2TP0
Connect: ppp0 <--> l2tp[0]
Фев 21 01:50:53
 
pppd_L2TP0
PAP authentication succeeded
Фев 21 01:50:53
 
pppd_L2TP0
local IP address 192.168.30.10
Фев 21 01:50:53
 
pppd_L2TP0
remote IP address 1.0.0.1
Фев 21 01:50:53
 
pppd_L2TP0
primary DNS address 192.168.30.1
Фев 21 01:50:53
 
ipsec
10[KNL] unable to receive from RT event socket No buffer space available (132)
Фев 21 01:50:53
 
ndm
Network::Interface::Base: "L2TP0": interface is up.
Фев 21 01:50:53
 
ndm
Network::Interface::Base: "L2TP0": interface is up.
Фев 21 01:50:53
 
ndm
Network::Interface::Ppp: "L2TP0": interface "L2TP0" is global, priority 65502.
Фев 21 01:50:53
 
ndm
Network::Interface::Ppp: "L2TP0": adding default route via L2TP0.
Фев 21 01:50:53
 
ndm
Network::Interface::Ppp: "L2TP0": adding nameserver 192.168.30.1.
Фев 21 01:50:53
 
ndm
Dns::Manager: name server 192.168.30.1 added, domain (default).
Фев 21 01:50:53
 
ndm
Network::Interface::Ip: "L2TP0": IP address is 192.168.30.10/32.
Фев 21 01:50:54
 
coalagent
updating configuration...
Фев 21 01:50:54
 
ndm
Http::Nginx: loaded SSL certificate for "3fff06087455fb639118b3ac.keenetic.io".
Фев 21 01:50:54
 
ndm
Http::Nginx: loaded SSL certificate for "dsolo.keenetic.name".
Фев 21 01:50:54
 
ndm
Core::Server: started Session /var/run/ndm.core.socket.
Фев 21 01:50:55
 
ipsec
14[KNL] unable to receive from RT event socket No buffer space available (132)
Фев 21 01:50:55
 
ndm
Core::Session: client disconnected.
Фев 21 01:50:55
 
ndm
Http::Manager: updated configuration.
Фев 21 01:50:55
 
ndm
Core::Server: started Session /var/run/ndm.core.socket.
Фев 21 01:50:55
 
ndm
Core::Session: client disconnected.
Фев 21 01:50:56
 
ipsec
12[KNL] unable to receive from RT event socket No buffer space available (132)
Фев 21 01:50:57
 
ipsec
15[KNL] unable to receive from RT event socket No buffer space available (132)
Фев 21 01:50:57
 
bird4
Kernel dropped some netlink messages, will resync on next scan.

 

Инструкция по переводу в ручной режим не работает, если закомментировать строку, как написано на github, то затем просто не запускается скрипт.

Spoiler

~ # /opt/etc/cron.daily/add-bird4_routes.sh
curl: no URL specified!
curl: try 'curl --help' for more information

На данный момент считаю что система с BGP вообще не состоятельна, просматриваю статистику в админке кинетика, через VPN огромное количество трафика идёт, хотя по факту надо фильтровать 3-5 сайтов, на которые я хожу раз в пару дней. Также не раз сталкиваюсь со сбоями, что непосредственно сайты мне говорят, что во время работы у вас сменился IP, а должен оставаться постоянным.

Подскажите что мне сделать, чтобы просто обходить несколько сайтов, без всяких там BGP.

Link to comment
Share on other sites

В файле add-bird4_routes.sh закомментировал ещё строку "curl -sf $URL0 | sed 's/^/route /' | sed  's/$/ via "'$VPN'";/' >> $ROUTE"б, теперь скрипт запускается. Но всё равно после первого подключения к VPN всё ломается.
Перестаёт подключаться к VPN. Я даже не могу объяснить это. Переключаю ползунок рядом с VPN в "Другие подключения", всё ок, написано "Готов". Потом спустя время вижу "Ошибка подключения" и в журнале циклично пытается подключиться. Привожу копипаст одного цикла.
 

Spoiler
Фев 21 02:18:34
 
ndm
Core::Syslog: the system log has been cleared.
Фев 21 02:18:35
 
bndstrg
band steering: send BTM request to 32:a3:28:83:e8:e4 for roam to 2.4GHz band (Low RSSI: -78)
Фев 21 02:18:35
 
bndstrg
band steering: WNM client 32:a3:28:83:e8:e4 rejected 2.4GHz band (code: 6)
Фев 21 02:18:38
 
pppd_L2TP0
control init failed
Фев 21 02:18:38
 
pppd_L2TP0
Couldn't get channel number: Bad file descriptor
Фев 21 02:18:38
 
pppd_L2TP0
Exit.
Фев 21 02:18:38
 
ndm
Service: "L2TP0": unexpectedly stopped.
Фев 21 02:18:38
 
ndm
Network::Interface::Base: "L2TP0": interface is up.
Фев 21 02:18:38
 
ndm
Network::Interface::Ppp: "L2TP0": disabled connection.
Фев 21 02:18:38
 
ndm
IpSec::Manager: "L2TP0": IP secure connection and keys was deleted.
Фев 21 02:18:38
 
ndm
Network::Interface::PppTunnel: "L2TP0": remote endpoint is resolved to "95.182.123.183".
Фев 21 02:18:38
 
ndm
Network::Interface::PppTunnel: "L2TP0": connecting via ISP (GigabitEthernet1).
Фев 21 02:18:38
 
ndm
Network::Interface::PppTunnel: "L2TP0": local endpoint is resolved to "95.31.196.5".
Фев 21 02:18:38
 
ndm
Network::Interface::PppTunnel: "L2TP0": added host route to 95.182.123.183 via 95.31.196.6 (GigabitEthernet1).
Фев 21 02:18:38
 
ndm
Network::Interface::L2tp: "L2TP0": using port 41286 as local.
Фев 21 02:18:38
 
ndm
Network::Interface::L2tp: "L2TP0": updating IP secure configuration.
Фев 21 02:18:38
 
ndm
IpSec::Manager: "L2TP0": IP secure connection was added.
Фев 21 02:18:40
 
ndm
IpSec::Manager: create IPsec reconfiguration transaction...
Фев 21 02:18:40
 
ndm
IpSec::Manager: add config for crypto map "VPNL2TPServer".
Фев 21 02:18:40
 
ndm
IpSec::Manager: add config for crypto map "L2TP0".
Фев 21 02:18:40
 
ndm
IpSec::Manager: IPsec reconfiguration transaction was created.
Фев 21 02:18:41
 
ndm
IpSec::Configurator: start applying IPsec configuration.
Фев 21 02:18:41
 
ndm
IpSec::Configurator: IPsec configuration applying is done.
Фев 21 02:18:41
 
ndm
IpSec::Configurator: start reloading IKE keys task.
Фев 21 02:18:41
 
ndm
Network::Interface::L2tp: "L2TP0": IPsec layer is down, shutdown L2TP layer.
Фев 21 02:18:41
 
ndm
Network::Interface::Ppp: "L2TP0": disabled connection.
Фев 21 02:18:41
 
ipsec
03[CFG] rereading secrets
Фев 21 02:18:41
 
ipsec
03[CFG] loading secrets
Фев 21 02:18:41
 
ipsec
03[CFG] loaded IKE secret for %any
Фев 21 02:18:41
 
ipsec
03[CFG] loaded IKE secret for cmap:L2TP0
Фев 21 02:18:41
 
ipsec
03[CFG] rereading ca certificates from '/tmp/ipsec/ipsec.d/cacerts'
Фев 21 02:18:41
 
ndm
IpSec::Configurator: reloading IKE keys task done.
Фев 21 02:18:41
 
ndm
Network::Interface::PppTunnel: "L2TP0": remote endpoint is resolved to "95.182.123.183".
Фев 21 02:18:41
 
ndm
Network::Interface::PppTunnel: "L2TP0": connecting via ISP (GigabitEthernet1).
Фев 21 02:18:41
 
ndm
Network::Interface::PppTunnel: "L2TP0": local endpoint is resolved to "95.31.196.5".
Фев 21 02:18:41
 
ndm
Network::Interface::PppTunnel: "L2TP0": added host route to 95.182.123.183 via 95.31.196.6 (GigabitEthernet1).
Фев 21 02:18:41
 
ndm
Network::Interface::L2tp: "L2TP0": using port 41216 as local.
Фев 21 02:18:41
 
ndm
Network::Interface::L2tp: "L2TP0": updating IP secure configuration.
Фев 21 02:18:41
 
ndm
IpSec::Manager: "L2TP0": IP secure connection and keys was deleted.
Фев 21 02:18:41
 
ndm
IpSec::Manager: "L2TP0": IP secure connection was added.
Фев 21 02:18:41
 
ndm
IpSec::Configurator: start reloading IPsec config task.
Фев 21 02:18:41
 
ipsec
13[CFG] received stroke: delete connection 'VPNL2TPServer'
Фев 21 02:18:41
 
ipsec
13[CFG] deleted connection 'VPNL2TPServer'
Фев 21 02:18:41
 
ipsec
05[CFG] received stroke: delete connection 'L2TP0'
Фев 21 02:18:41
 
ipsec
05[CFG] deleted connection 'L2TP0'
Фев 21 02:18:41
 
ipsec
00[DMN] signal of type SIGHUP received. Reloading configuration
Фев 21 02:18:41
 
ipsec
06[CFG] received stroke: add connection 'VPNL2TPServer'
Фев 21 02:18:41
 
ipsec
00[CFG] loaded 0 entries for attr plugin configuration
Фев 21 02:18:41
 
ipsec
06[CFG] added configuration 'VPNL2TPServer'
Фев 21 02:18:41
 
ipsec
11[CFG] received stroke: add connection 'L2TP0'
Фев 21 02:18:41
 
ipsec
00[CFG] loaded 1 RADIUS server configuration
Фев 21 02:18:41
 
ipsec
11[CFG] added configuration 'L2TP0'
Фев 21 02:18:41
 
ndm
IpSec::IpSecNetfilter: start reloading netfilter configuration...
Фев 21 02:18:41
 
ndm
IpSec::IpSecNetfilter: netfilter configuration reloading is done.
Фев 21 02:18:41
 
ndm
IpSec::Configurator: reloading IPsec config task done.
Фев 21 02:18:43
 
ndm
IpSec::Configurator: "L2TP0": crypto map shutdown started.
Фев 21 02:18:43
 
ipsec
12[CFG] received stroke: unroute 'L2TP0'
Фев 21 02:18:43
 
ipsec
03[CFG] rereading aa certificates from '/tmp/ipsec/ipsec.d/aacerts'
Фев 21 02:18:43
 
ipsec
03[CFG] rereading ocsp signer certificates from '/tmp/ipsec/ipsec.d/ocspcerts'
Фев 21 02:18:43
 
ipsec
03[CFG] rereading attribute certificates from '/tmp/ipsec/ipsec.d/acerts'
Фев 21 02:18:43
 
ipsec
03[CFG] rereading crls from '/tmp/ipsec/ipsec.d/crls'
Фев 21 02:18:43
 
ndm
IpSec::Manager: create IPsec reconfiguration transaction...
Фев 21 02:18:43
 
ipsec
13[CFG] received stroke: terminate 'L2TP0{*}'
Фев 21 02:18:43
 
ipsec
16[IKE] closing CHILD_SA L2TP0{2} with SPIs c21801e1_i (0 bytes) 5af2ad6f_o (435 bytes) and TS 95.31.196.5/32[udp/41289] === 95.182.123.183/32[udp/l2tp]
Фев 21 02:18:43
 
ipsec
07[CFG] received stroke: terminate 'L2TP0[*]'
Фев 21 02:18:43
 
ndm
IpSec::Configurator: "L2TP0": crypto map shutdown complete.
Фев 21 02:18:43
 
ndm
IpSec::CryptoMapInfo: "L2TP0": crypto map active IKE SA: 0, active CHILD SA: 0.
Фев 21 02:18:43
 
ndm
IpSec::Manager: add config for crypto map "VPNL2TPServer".
Фев 21 02:18:43
 
ndm
IpSec::Manager: add config for crypto map "L2TP0".
Фев 21 02:18:43
 
ndm
IpSec::Manager: IPsec reconfiguration transaction was created.
Фев 21 02:18:43
 
ndm
IpSec::CryptoMapInfo: "L2TP0": crypto map active IKE SA: 0, active CHILD SA: 0.
Фев 21 02:18:43
 
ndm
IpSec::Configurator: start applying IPsec configuration.
Фев 21 02:18:43
 
ndm
IpSec::Configurator: IPsec configuration applying is done.
Фев 21 02:18:43
 
ndm
IpSec::Configurator: start reloading IKE keys task.
Фев 21 02:18:43
 
ipsec
08[CFG] rereading secrets
Фев 21 02:18:43
 
ipsec
08[CFG] loading secrets
Фев 21 02:18:43
 
ipsec
08[CFG] loaded IKE secret for %any
Фев 21 02:18:43
 
ipsec
08[CFG] loaded IKE secret for cmap:L2TP0
Фев 21 02:18:43
 
ipsec
08[CFG] rereading ca certificates from '/tmp/ipsec/ipsec.d/cacerts'
Фев 21 02:18:43
 
ndm
IpSec::Configurator: reloading IKE keys task done.
Фев 21 02:18:43
 
ndm
IpSec::CryptoMapInfo: "L2TP0": crypto map active IKE SA: 0, active CHILD SA: 0.
Фев 21 02:18:43
 
ipsec
16[IKE] sending DELETE for ESP CHILD_SA with SPI c21801e1
Фев 21 02:18:43
 
ipsec
11[IKE] deleting IKE_SA L2TP0[2] between 95.31.196.5[95.31.196.5]...95.182.123.183[95.182.123.183]
Фев 21 02:18:43
 
ipsec
11[IKE] sending DELETE for IKE_SA L2TP0[2]
Фев 21 02:18:43
 
ndm
IpSec::Configurator: start reloading IPsec config task.
Фев 21 02:18:43
 
ipsec
12[CFG] received stroke: delete connection 'VPNL2TPServer'
Фев 21 02:18:43
 
ipsec
12[CFG] deleted connection 'VPNL2TPServer'
Фев 21 02:18:43
 
ipsec
10[CFG] received stroke: delete connection 'L2TP0'
Фев 21 02:18:43
 
ipsec
10[CFG] deleted connection 'L2TP0'
Фев 21 02:18:43
 
ipsec
00[DMN] signal of type SIGHUP received. Reloading configuration
Фев 21 02:18:43
 
ipsec
13[CFG] received stroke: add connection 'VPNL2TPServer'
Фев 21 02:18:43
 
ipsec
00[CFG] loaded 0 entries for attr plugin configuration
Фев 21 02:18:43
 
ipsec
00[CFG] loaded 1 RADIUS server configuration
Фев 21 02:18:43
 
ipsec
13[CFG] added configuration 'VPNL2TPServer'
Фев 21 02:18:43
 
ipsec
03[CFG] received stroke: add connection 'L2TP0'
Фев 21 02:18:43
 
ndm
IpSec::IpSecNetfilter: start reloading netfilter configuration...
Фев 21 02:18:43
 
ipsec
03[CFG] added configuration 'L2TP0'
Фев 21 02:18:43
 
ndm
IpSec::IpSecNetfilter: netfilter configuration reloading is done.
Фев 21 02:18:43
 
ndm
IpSec::Configurator: reloading IPsec config task done.
Фев 21 02:18:43
 
ndm
IpSec::CryptoMapInfo: "L2TP0": crypto map active IKE SA: 0, active CHILD SA: 0.
Фев 21 02:18:45
 
ndm
IpSec::Configurator: "L2TP0": crypto map shutdown started.
Фев 21 02:18:45
 
ipsec
08[CFG] rereading aa certificates from '/tmp/ipsec/ipsec.d/aacerts'
Фев 21 02:18:45
 
ipsec
08[CFG] rereading ocsp signer certificates from '/tmp/ipsec/ipsec.d/ocspcerts'
Фев 21 02:18:45
 
ipsec
08[CFG] rereading attribute certificates from '/tmp/ipsec/ipsec.d/acerts'
Фев 21 02:18:45
 
ipsec
08[CFG] rereading crls from '/tmp/ipsec/ipsec.d/crls'
Фев 21 02:18:45
 
ipsec
16[CFG] received stroke: unroute 'L2TP0'
Фев 21 02:18:45
 
ipsec
14[CFG] received stroke: terminate 'L2TP0{*}'
Фев 21 02:18:45
 
ipsec
14[CFG] no CHILD_SA named 'L2TP0' found
Фев 21 02:18:45
 
ipsec
07[CFG] received stroke: terminate 'L2TP0[*]'
Фев 21 02:18:45
 
ipsec
07[CFG] no IKE_SA named 'L2TP0' found
Фев 21 02:18:45
 
ndm
IpSec::Configurator: "L2TP0": crypto map shutdown complete.
Фев 21 02:18:46
 
ipsec
10[CFG] received stroke: initiate 'L2TP0'
Фев 21 02:18:46
 
ipsec
05[IKE] sending DPD vendor ID
Фев 21 02:18:46
 
ndm
IpSec::Configurator: "L2TP0": crypto map initialized.
Фев 21 02:18:46
 
ipsec
05[IKE] sending FRAGMENTATION vendor ID
Фев 21 02:18:46
 
ipsec
05[IKE] sending NAT-T (RFC 3947) vendor ID
Фев 21 02:18:46
 
ipsec
05[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID
Фев 21 02:18:46
 
ipsec
05[IKE] initiating Main Mode IKE_SA L2TP0[3] to 95.182.123.183
Фев 21 02:18:46
 
ipsec
06[IKE] received NAT-T (RFC 3947) vendor ID
Фев 21 02:18:46
 
ipsec
06[IKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID
Фев 21 02:18:46
 
ipsec
06[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
Фев 21 02:18:46
 
ipsec
06[IKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID
Фев 21 02:18:46
 
ipsec
06[IKE] received draft-ietf-ipsec-nat-t-ike-00 vendor ID
Фев 21 02:18:46
 
ipsec
06[IKE] received DPD vendor ID
Фев 21 02:18:46
 
ipsec
06[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536
Фев 21 02:18:46
 
ipsec
06[CFG] configured proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024
Фев 21 02:18:46
 
ipsec
06[CFG] selected proposal: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536
Фев 21 02:18:46
 
ipsec
13[IKE] found linked key for crypto map 'L2TP0'
Фев 21 02:18:46
 
ipsec
13[IKE] local host is behind NAT, sending keep alives
Фев 21 02:18:46
 
ipsec
16[IKE] IKE_SA L2TP0[3] established between 95.31.196.5[95.31.196.5]...95.182.123.183[95.182.123.183]
Фев 21 02:18:46
 
ipsec
16[IKE] scheduling reauthentication in 28770s
Фев 21 02:18:46
 
ipsec
16[IKE] maximum IKE_SA lifetime 28790s
Фев 21 02:18:47
 
ndm
IpSec::CryptoMapInfo: "L2TP0": crypto map active IKE SA: 1, active CHILD SA: 0.
Фев 21 02:18:47
 
ipsec
08[IKE] no matching CHILD_SA config found for 95.182.123.183/32[udp/l2tp] === 95.31.196.5/32[udp/41289]
Фев 21 02:18:47
 
ipsec
03[CFG] received proposals: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ
Фев 21 02:18:47
 
ipsec
03[CFG] configured proposals: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_SHA1_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA2_256_128/NO_EXT_SEQ
Фев 21 02:18:47
 
ipsec
03[CFG] selected proposal: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ
Фев 21 02:18:47
 
ipsec
03[IKE] CHILD_SA L2TP0{3} established with SPIs cac9ac1a_i 0bddf96a_o and TS 95.31.196.5/32[udp/41216] === 95.182.123.183/32[udp/l2tp]
Фев 21 02:18:47
 
ndm
IpSec::Configurator: crypto map "L2TP0" is up.
Фев 21 02:18:47
 
ndm
IpSec::CryptoMapInfo: "L2TP0": crypto map active IKE SA: 1, active CHILD SA: 1.
Фев 21 02:18:47
 
ndm
Network::Interface::L2tp: "L2TP0": IPsec layer is up, do start L2TP layer.
Фев 21 02:18:47
 
ndm
Network::Interface::Ppp: "L2TP0": enabled connection via any interface.
Фев 21 02:18:47
 
ndm
IpSec::IpSecNetfilter: start reloading netfilter configuration...
Фев 21 02:18:47
 
ndm
IpSec::IpSecNetfilter: netfilter configuration reloading is done.
Фев 21 02:18:48
 
ipsec
09[IKE] received retransmit of request with ID 2474906703, but no response to retransmit
Фев 21 02:18:49
 
l2tp[2031]
Plugin pppol2tp.so loaded.
Фев 21 02:18:49
 
l2tp[2031]
pppd 2.4.4-4 started by root, uid 0
Фев 21 02:18:49
 
ndm
Network::Interface::PppTunnel: "L2TP0": added host route to 95.182.123.183 via 95.31.196.6 (GigabitEthernet1).
Фев 21 02:18:49
 
pppd_L2TP0
l2tp_control v2.02
Фев 21 02:18:49
 
pppd_L2TP0
remote host: 95.182.123.183:1701
Фев 21 02:18:49
 
pppd_L2TP0
local bind: 95.31.196.5:41216
Фев 21 02:18:50
 
ipsec
09[IKE] received retransmit of request with ID 2474906703, but no response to retransmit
Фев 21 02:18:51
 
pppd_L2TP0
l2tp: timeout of sccrp, retry sccrq, try: 1
Фев 21 02:18:52
 
ipsec
07[IKE] received retransmit of request with ID 2474906703, but no response to retransmit
Фев 21 02:18:53
 
pppd_L2TP0
l2tp: timeout of sccrp, retry sccrq, try: 2
Фев 21 02:18:55
 
pppd_L2TP0
l2tp: timeout of sccrp, retry sccrq, try: 3
Фев 21 02:18:57
 
pppd_L2TP0
l2tp: timeout of sccrp, retry sccrq, try: 4
Фев 21 02:18:57
 
ipsec
14[IKE] received DELETE for ESP CHILD_SA with SPI b9da6b32
Фев 21 02:18:57
 
ipsec
14[IKE] CHILD_SA not found, ignored
Фев 21 02:18:59
 
pppd_L2TP0
l2tp: timeout of sccrp, retry sccrq, try: 5
Фев 21 02:18:59
 
pppd_L2TP0
l2tp: sccrq failed, fatal
Фев 21 02:18:59
 
pppd_L2TP0
l2tp: shutting down control connection
Фев 21 02:19:01
 
pppd_L2TP0
l2tp: shutdown completed

 

Edited by dsolo
Link to comment
Share on other sites

@dsolo

https://github.com/DennoN-RUS/Bird4Static/blob/master/etc/cron.daily/add-bird4_routes.sh
вот в этом файле закоментируй пятую и пятнадцатую строку вот так:

Скрытый текст

#!/bin/sh

ISP=eth3
VPN=ppp0
#URL0=https://antifilter.download/list/allyouneed.lst - вот в эту строку в начале поставить #

ROUTE=/opt/etc/bird4-routes.list
VPNTXT=/opt/etc/bird4-vpn.txt
ISPTXT=/opt/etc/bird4-isp.txt

[ -f "$ROUTE" ] && cat /dev/null > $ROUTE

/opt/root/addip.sh $VPNTXT $VPN $ROUTE
/opt/root/addip.sh $ISPTXT $ISP $ROUTE
#curl -sf $URL0 | sed 's/^/route /' | sed  's/$/ via "'$VPN'";/' >> $ROUTE - вот тут тоже можно закрмментировать

killall -s SIGHUP bird4

 

все остальные файлы верни в изначальное состояние.

Так же надо заполнить файл

https://github.com/DennoN-RUS/Bird4Static/blob/master/etc/bird4-vpn.txt

списком адресов или доменов, которые тебе надо пустить через впн.

После этого запускай скрипт

/opt/etc/cron.daily/add-bird4_routes.sh

Edited by DennoN
Link to comment
Share on other sites

  • 1 month later...
On 2/21/2021 at 2:04 AM, dsolo said:

Подскажите что мне сделать, чтобы просто обходить несколько сайтов, без всяких там BGP.

Удалить все скрипты, настроить VPN, в админке кинетика "Сетевые правила/Маршрутизация" добавить вручную нужные маршруты по типу:

35.184.0.0/13
 
vpn-интерфейс
Да
Google LLC (Spotify)
208.85.40.0/21
 
vpn-интерфейс
Да
www.pandora.com
  • Thanks 1
Link to comment
Share on other sites

  • 9 months later...

Форумчане, подскажите, а у вас работает данный метод обхода блокировки в комплексе с работающим. Adguard home? Именно с AGHome

У меня таблица строится, маршруты списком наполняются а ничего не открывается из списка.

Link to comment
Share on other sites

Работает. На роутере и adg home и bird с таблицами. Связи между ними не должно быть. Скорее всего дело в чем то другом.

Может шлюз не тот указан или доступ в сеть для этого интерфейса запрещён

Edited by DennoN
Link to comment
Share on other sites

  • 2 months later...
В 14.01.2022 в 01:08, DennoN сказал:

Работает. На роутере и adg home и bird с таблицами. Связи между ними не должно быть. Скорее всего дело в чем то другом.

Может шлюз не тот указан или доступ в сеть для этого интерфейса запрещён

@DennoN здравствуйте, пытаюсь настроить обход по вашему скрипту с гитхаба. Я настроил wireguard подключение, в Приоритетах установил это подключение вторым после подключения к провайдеру, но в таком случае появляется ошибка

wireguard: Wireguard0: handshake for peer "key" (3) (IP:51820) did not complete after 5 seconds, retrying (try 3)

Если указать wg подключение первым, то соответственно весь трафик пойдет через впн.

Как решить проблему?

Link to comment
Share on other sites

Posted (edited)

Правильно понимаю, что если зайти в вэб интерфейс кинетика где настраиваются впны, то в статусе Вг подключения пир будет серым? то есть подключения не произошло?

Вообще скрипт никак не влияет на работу впнов. он влияет только на маршрутизацию по умолчанию. Возможно просто адрес пира попал в листы которые надо пускать через впн и из-за этого происходит накладки?

в консоли opkg выполнить

ip route list table 1000 | grep  Тут указать ip адрес пира.
если ничего не вывело, то удалить последние цифры и попробовать снова. пример:

ip route list table 1000 | grep 31.13.71.36 - не находит
ip route list table 1000 | grep 31.13.71.3 - не находит
ip route list table 1000 | grep 31.13.71. - не находит
ip route list table 1000 | grep 31.13.7 - находит 31.13.70.0/22 dev nwg0 scope link

так как маска 22 , то она включает в себя сети 31.13.70.0/24 и 31.13.71.0/24

если адрес пира действительно направлен в туннель, то надо добавить в исключения. это делается в файле Bird4Static/lists/bird4-isp.list

ну и небольшое дополнение: маршруты работают только для Основного профиля
 

Скрытый текст

image.png.1dced387225d4639986ba50d9fcb0718.png

любые другие профили будут игнорировать то, что сделал скрипт и отрабатывать как расставлены приоритеты

Edited by DennoN
Link to comment
Share on other sites

22 минуты назад, DennoN сказал:

Правильно понимаю, что если зайти в вэб интерфейс кинетика где настраиваются впны, то в статусе Вг подключения пир будет серым? то есть подключения не произошло?

Вообще скрипт никак не влияет на работу впнов. он влияет только на маршрутизацию по умолчанию. Возможно просто адрес пира попал в листы которые надо пускать через впн и из-за этого происходит накладки?

в консоли opkg выполнить

ip route list table 1000 | grep  Тут указать ip адрес пира.
если ничего не вывело, то удалить последние цифры и попробовать снова. пример:

ip route list table 1000 | grep 31.13.71.36 - не находит
ip route list table 1000 | grep 31.13.71.3 - не находит
ip route list table 1000 | grep 31.13.71. - не находит
ip route list table 1000 | grep 31.13.7 - находит 31.13.70.0/22 dev nwg0 scope link

так как маска 22 , то она включает в себя сети 31.13.70.0/24 и 31.13.71.0/24

если адрес пира дейстительно направлен в тунель, то надо добавить в исключения. это делается в файле Bird4Static/lists/bird4-isp.list

Да, действительно, апик впски попал в эти листы, щас вроде все работает, спасибо большое))

 

Еще вопрос, насколько вообще стабильно у вас сейчас работает эта система? Нужно ли со временем что то подкручивать кроме того что antifilter может выдавать не правильные апики для обхода? Я просто настраиваю сейчас кинетик для родителей, и хотелось бы заранее знать о каких то нюансах, чтоб быть готовым

И еще, я изначально делал обход через bgp по статье на которую ссылается сам этот сервис antifilter, там нужно было авторизовывать свой апик в их сервисе, я это сделал, и сейчас хотел бы уточнить, для работы вашего скрипта есть ли необходимость в этой авторизации?

Link to comment
Share on other sites

Posted (edited)

У меня работает стабильно. Проблемы могут быть:

1) если антифильтер вообще ляжет, то не будет маршрутов через впн, кроме тех, что жестко прописаны в файле bird4-vpn.list. ничего не сломается, просто впн не будет задействован. А адреса он всегда выдавал правильные, и проблем ни разу не было

2) С вг есть проблемы. его рабочее состояние сложно отслеживать. если ляжет пир, то соединение все равно будет, будет интерфейс, и все сайты из списка будут пытаться идти по впн, которого нет (вот с этим сам сталкивался пару раз, и тут все зависит от надежности впски + на сколько будут потом блочить.) Собственно будет та же ситуация, что и у тебя сейчас, что сайты перестали открываться

В остальном проблем не было, за исключением тех случаев, когда я сам что-то улучшал, переделывал и это стреляло) На проект в гите я подзабил немного, сейчас использую чуток другую логику с возможностью работать сразу через 2 впн и ежечасным обновлением. Но автоинсталяцию для всего этого делать леньь))

Ну а рега нужна только для бгп. тут же просто скачиватеся файл, и все, авторизаций никаких не нужно.

Edited by DennoN
  • Upvote 1
Link to comment
Share on other sites

В 27.03.2020 в 23:57, DennoN сказал:

То решил настроить обход через статические маршруты, через тот же самый bird4

1. В том варинте bgp в конфиге старый ip адрес) У сервиса он поменялся.

2. Поставил вчера ваши труды https://github.com/DennoN-RUS/Bird4Static (ОГРОМНОЕ СПАСИБО), и столкнулся со следующим:

единственно добавленный по умолчанию keenetic.com в список сайтов которые должны идти через ISP - не работал вовсе))) когда удалил его из списка и обновил, всё заработало. На пробу добавил туда прочие сайты - переставали открываться.

Где-то закралась ошибка в скриптах у Вас)

 

трасировка по таким ресурсам чрезвычайно короткая:

1. локальный ip роутера

2. внешний ip роутера - УЗЕЛ НЕ НАЙДЕН.

Всё.

Edited by mystique_man
Link to comment
Share on other sites

В 22.03.2022 в 13:13, DennoN сказал:

Правильно понимаю, что если зайти в вэб интерфейс кинетика где настраиваются впны, то в статусе Вг подключения пир будет серым? то есть подключения не произошло?

Вообще скрипт никак не влияет на работу впнов. он влияет только на маршрутизацию по умолчанию. Возможно просто адрес пира попал в листы которые надо пускать через впн и из-за этого происходит накладки?

в консоли opkg выполнить

ip route list table 1000 | grep  Тут указать ip адрес пира.
если ничего не вывело, то удалить последние цифры и попробовать снова. пример:

ip route list table 1000 | grep 31.13.71.36 - не находит
ip route list table 1000 | grep 31.13.71.3 - не находит
ip route list table 1000 | grep 31.13.71. - не находит
ip route list table 1000 | grep 31.13.7 - находит 31.13.70.0/22 dev nwg0 scope link

так как маска 22 , то она включает в себя сети 31.13.70.0/24 и 31.13.71.0/24

если адрес пира действительно направлен в туннель, то надо добавить в исключения. это делается в файле Bird4Static/lists/bird4-isp.list

ну и небольшое дополнение: маршруты работают только для Основного профиля
 

  Показать содержимое

image.png.1dced387225d4639986ba50d9fcb0718.png

любые другие профили будут игнорировать то, что сделал скрипт и отрабатывать как расставлены приоритеты

Привет, чет не могу разобраться:

Во первых, я так понял что скрипт проверяет исключения роутов файлам ./Bird4Static/lists/user-isp.list и *.user-vpn.list, а не ./Bird4Static/lists/bird4-isp.list, потому что в /opt/etc/bird4-routes.list попадают те роуты которые я указываю в *user-isp.list. Во вторых, эти роуты попадают в конец списка, и получается так, что айпи моего впс сначала попадает в начало списка, т. е. роутит через интерфейс впна, потом попадет еще и в конец, т. е. роут через isp, в итоге выполняется ток первый роут, и соответственно ничего не работает. Работает ток при условии если вручную поменять в файле /opt/etc/bird4-routes.list, но соответственно при скачивании нового листа, это всё бесполезно.
Как решить проблему?

Edited by timur1337
Link to comment
Share on other sites

И еще заметил вот такое:

~ # cat /opt/etc/bird4-routes.list | grep eth
route 167.233.6.242/32 via "eth2.2";
route 167.233.7.36/32 via "eth2.2";
route 88.198.177.100/32 via "eth2.2";
route VPN_IP.0/24 via "eth2.2";
~ # ip route list table 1000 | grep eth
88.198.177.100 dev eth2.2 scope link
167.233.6.242 dev eth2.2 scope link
167.233.7.36 dev eth2.2 scope link   

Я так понял что в list table должны попадать адреса из bird4-routes.list, но айпи впски не попадает)

Link to comment
Share on other sites

8 часов назад, timur1337 сказал:

Как решить проблему?

решили проблему. указали адрес без маски и все сработало

21 час назад, Максим_ сказал:

получаю -sh: ndmc: not found

странно. у меня эта команда в entware на кинетике есть отрабатывает нормально

23 часа назад, mystique_man сказал:

Где-то закралась ошибка в скриптах у Вас)

возможно все-таки не тот интерфейс для isp выбран. или как-то хитро работает. у меня провайдер выдает сразу внешний адрес без ppoe или каких-либо других туннелей. Просто указываю интерфейс для отправки через eth3 и все. остальные протоколы не тестил из-за их отсутствия. тут нужно смотреть таблицу роутинга по умолчанию и то, что скрипт внес в 1000 таблицу

Link to comment
Share on other sites

Posted (edited)

Обновление!

v3.0

https://github.com/DennoN-RUS/Bird4Static/

1) Добавлена возможность работы с двумя впн

2) Переделана логика маршрутизации, теперь в таблицу по более высокому приоритету попадают пользовательские маршруты, а во вторую таблицу маршруты с антифильтра

3) Теперь сам bird следит за тем, поднят впн или нет, если впн отключен, то маршрты для этого интерфейса удаляются из таблиц. При включении они сами добавляются

4) Переделано внесение изменений в файлы, теперь старые файлы с маршрутами не перезатираются, а просто изменяются до текущей версии (добавление/удаление строк происходит через патчи)

5) Ну и запилена автоустановка, теперь возможно 2 варианта- для одного впн и для двух, о чем она будет спрашивать при установке

Может еще что-то изменилось, мог забыть. С текущими скриптами в 2 впн я сижу уже полгода, проблем не возникает. Систему с один впн протестировали с @timur1337 (у него заработало)

Если кто-то будет ставить поверх старой, то лучше ознакомьтесь с описанием https://github.com/DennoN-RUS/Bird4Static/releases/tag/v3.0

@Максим_ тут уже не используются команды ndmc, так что можешь попробовать

 

 

 

Edited by DennoN
  • Thanks 2
Link to comment
Share on other sites

Тянется из предыдущей версии красное. Всё работает, просто красное. И удалять пробовал строки и комментить, ругается на строку в листе ip как понимаю.

KN-1010, 2 впн, перед установкой скрипта: entware установлен начисто, стоит filebrowser

Из правок: адрес списков https://antifilter.download/list/ip.lst, пользовательские адреса в списке, в crontab закомменчены строки с папками где нет скрипта, чтобы в журнал не писал лишнего - может тут проблема? upd нет, раскоментил тоже самое(

Ругается только при ручном обновлении после редактирования пользовательского списка. На месте красного должна быть надпись об обновлении списков.

А так всё работает спасибо))

upd: после любого перезапуска роутера, через ssh reboot, через веб морду, через отключение питания. бёрд не запускается, даже если ручками скрипт стартануть ругается и не хочет...

Failed to start bird4 from .
/opt/etc/bird4-base-vpn1.list:1:20 syntax error
 
upd: вся проблема из за https://antifilter.download/list/ip.lst, проблемы нет, вернул allyouneed как было всё стартует запускается)

InkedСнимок экрана 2022-03-25 061424_LI.jpg

Edited by Toporbl
Link to comment
Share on other sites

9 часов назад, DennoN сказал:

тут уже не используются команды ndmc, так что можешь попробовать

да, большинство ресурсов теперь работает. единственный момент.. на проводном подключении и без bird4 инстаграм работает, сторис грузит. А на мегафоне инста заблокирована и даже используя ваш скрипт с bird4, сторис не грузятся. В остальном, вроде, порядок, Спасибо!

Link to comment
Share on other sites

13 часа назад, DennoN сказал:

решили проблему. указали адрес без маски и все сработало

странно. у меня эта команда в entware на кинетике есть отрабатывает нормально

возможно все-таки не тот интерфейс для isp выбран. или как-то хитро работает. у меня провайдер выдает сразу внешний адрес без ppoe или каких-либо других туннелей. Просто указываю интерфейс для отправки через eth3 и все. остальные протоколы не тестил из-за их отсутствия. тут нужно смотреть таблицу роутинга по умолчанию и то, что скрипт внес в 1000 таблицу

аналогично. у меня билайн ipoe без дополнительных костылей. интерфейс выбран правильный (после сообщения дважды на двух роутерах ставил повторно). результат аналогичный к сожалению.

попробую v3

Всё по прежнему.

Какую информацию надо мне предоставить для поиска ошибки?

 

p.s. провёл серию тестов. сложилось впечатление, что строки в файле user-vpn.list вообще игнорируются, а user-isp.list заворачиваются "вникуда".

Edited by mystique_man
Link to comment
Share on other sites

Posted (edited)

@mystique_man

вывод команды ip route list

и вывод команды ip route list table 1000 (если новая версия скриптов, то там будет только то, что в ручную направлено из конфигов)

@Максим_

скорее всего нужно в впн перенаправить все сети истаграма. надо их список в инете найти

Edited by DennoN
Link to comment
Share on other sites

11 минуту назад, DennoN сказал:

@mystique_man

вывод команды ip route list

и вывод команды ip route list table 1000 (если новая версия скриптов, то там будет только то, что в ручную направлено из конфигов)

@Максим_

скорее всего нужно в впн перенаправить все сети истаграма. надо их список в инете найти

в личку отправил

Link to comment
Share on other sites

1 час назад, DennoN сказал:

@mystique_man

вывод команды ip route list

и вывод команды ip route list table 1000 (если новая версия скриптов, то там будет только то, что в ручную направлено из конфигов)

@Максим_

скорее всего нужно в впн перенаправить все сети истаграма. надо их список в инете найти

https://pastebin.com/BEL8CkjN

Для ленивых:
маршруты телеграмма и facebook/meta/instagram согласно данным hurricane electric
1. Wireguard1 заменить на своё соединение
2. в конфиг роутера вставлять перед строкой ip dhcp pool _WEBADMIN

 

p.s. от себя замечу, что у меня в данных маршрутах надобность отпала полностью, всё прекрасно работает через bird4

Link to comment
Share on other sites

12 часа назад, Toporbl сказал:

upd: вся проблема из за https://antifilter.download/list/ip.lst, проблемы нет, вернул allyouneed как было всё стартует запускается)

да, там скрипт нацелен на формат, что в этом листе адреса вида *.*.*.*/* а в ip.list формат *.*.*.* просто. в принципе что бы работало надо заменить строки в файле add-bird4_routes.sh

cat $BLACKLIST | sed 's/^/route /' | sed 's/$/ via "'$VPN1'";/' | diff -u $ROUTE_BASE_VPN1 - | patch $ROUTE_BASE_VPN1 -
cat $BLACKLIST | sed 's/^/route /' | sed 's/$/ via "'$VPN2'";/' | diff -u $ROUTE_BASE_VPN2 - | patch $ROUTE_BASE_VPN2 - 

на

cat $BLACKLIST | sed 's/^/route /' | sed 's/$/\/32 via "'$VPN1'";/' | diff -u $ROUTE_BASE_VPN1 - | patch $ROUTE_BASE_VPN1 -
cat $BLACKLIST | sed 's/^/route /' | sed 's/$/\/32 via "'$VPN2'";/' | diff -u $ROUTE_BASE_VPN2 - | patch $ROUTE_BASE_VPN2 -

то есть добавить \/32

только когда я так пробовал у меня роутеру становилось плохо из-за количества маршрутов. слишком долго загружалась таблица.

Link to comment
Share on other sites

Можно воспользоваться утилитой iprange. Она позволит задать префиксы, суффиксы, объединить диапазоны и т.д. Даже может отрезолвить домены.

  • Thanks 1
Link to comment
Share on other sites

Posted (edited)

Обновление!

v3.1

https://github.com/DennoN-RUS/Bird4Static/commit/6fa949c2b9d7b4fdd880bee4fb2b50d178be56cc

алгоритмы добавления пользовательских адресов переделаны на утилиту iprange. удален теперь уже не нужный скрипт addip.sh, подчищены пробелы из файлов

теперь можно заполнять файлы со своими доменами/адресами в таких вариантах:

  • комментарии начинаются с решётки (#) или точки с запятой (;);
  • один IP на строку (без маски);
  • CIDR на строку (A.A.A.A/B);
  • диапазон IP-адресов на строку (A.A.A.A - B.B.B.B);
  • диапазон CIDR на строку (A.A.A.A/B - C.C.C.C/D); диапазон рассчитывается как сетевой адрес A.A.A.A/B до широковещательного адреса C.C.C.C/D;
  • CIDR могут быть заданы либо в формате префикса, либо в формате сетевой маски во всех случаях (включая диапазоны);
  • одно имя хоста в строке, разрешаемое с помощью DNS (если IP-адрес разрешается в несколько IP-адресов, все они будут добавлены) имена хостов не могут быть указаны в виде диапазонов;
  • пробелы и пустые строки игнорируются.

@avn спасибо за подсказку про iprange. удобная утилита)

Edited by DennoN
  • Thanks 5
  • Upvote 2
Link to comment
Share on other sites

В 26.03.2022 в 01:52, DennoN сказал:

одно имя хоста в строке, разрешаемое с помощью DNS (если IP-адрес разрешается в несколько IP-адресов, все они будут добавлены) имена хостов не могут быть указаны в виде диапазонов;

*.fbcdn.net - так нельзя?

Link to comment
Share on other sites

5 часов назад, Aftalik сказал:

*.fbcdn.net - так нельзя?

к сожалению нет:( по идее утилита сможет срезолвить адрес, но получится узнать адрес только fbcdn.net. а какое-нибудь test.fbcdn.net если висит на другом адресе, то в лист перенаправления не попадет

Link to comment
Share on other sites

7 часов назад, Aftalik сказал:

*.fbcdn.net - так нельзя?

Для этой цели придётся использовать dnsmasq, который умеет наполнять определённый ipset результатами разрешения заранее перечисленных DNS-имён. Как это подружить с bird4 я не знаю.

 

Link to comment
Share on other sites

В 22.03.2022 в 15:13, DennoN сказал:

в консоли opkg выполнить

ip route list table 1000 | grep  Тут указать ip адрес пира.

У меня также был ip пира был в antifilter.list, правда эта команда не помогла, нашел через текстовый поиск в файле. Сейчас все работает, @DennoN спасибо!

При добавлении некоторых доменов в кастомные user-isp.list и user-vpn.list появляются ошибки при запуске скрипта обновления:

Для доступа через VPN - то, что было в файлах по умолчанию:

~ # ./Bird4Static/scripts/add-bird4_routes.sh
patching file /opt/root/Bird4Static/lists/antifilter.list
patching file /opt/etc/bird4-base-vpn1.list
patching file /opt/etc/bird4-force-isp.list
iprange: DNS: 'lostfilm.tv' will be retried: Temporary failure in name resolution
iprange: DNS: 'rezka.ag' will be retried: Temporary failure in name resolution

Добавленные домены:

~ # ./Bird4Static/scripts/add-bird4_routes.sh
iprange: DNS: 'neberitrubku.ru' failed permanently: No address associated with hostname

Какие-то домены добавились - например, leroymerlin.ru в user-isp.list и ip VPS-сервера с VPN.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...