Обход блокировок с использованием bird4

[dsolo]

В связи с новыми событиями возможно ли добавить поддержку ASN в файл с исключениями? Чтобы не вводить все IP.

Например список для FB + Instagram выглядел бы просто так:

AS32934
AS54115
AS63293
AS149642

Вместо двух сотен подсетей.

[-Veter-]

Не могу победить, есть своя впн на ikev2, если настраивать отдельно кинетик с приоритетами подключений устройств работает нормально. Но после применения скрипта в консоль сыпятся

nikecli0: Local routing loop detected! 

и естественно не работает.. Где кольцо возникает - не понимаю...

UPD. заработало! Я собрал наверное все ошибки )) И подсеть  была забанена, где у меня впн, и интерфейс провайдера не принимал, нужно было айпи шлюза провайдера указывать...

Edited June 23 by -Veter-

[drfischer]

я правильно понимаю, что в "свой впн лист" добавить не достаточно, к примеру, "netflix.com". Надо еще и faq.netflix.com или help.netflix.com отдельной строкой и все остальное, чтоб полноценно сайт работал?

А нет в этом случает какого-то решения? А то все поддомены замучаешься же добавлять!

[dsolo]

Июн 23 19:49:55

ndm

Io::File: unable to open "/opt/etc/ndm/ifstatechanged.d/010-add_antizapret_route.sh": no such file or directory.

Июн 23 19:49:55

ndm

Opkg::Manager: unable to open file: /opt/etc/ndm/ifstatechanged.d/010-add_antizapret_route.sh.

В консоль постоянно сыпется вот это. Явно артефакт от прошлых версий. Как можно починить это?
Что интересно, если сделать grep -r "010-add_antizapret_route.sh", то он нигде не находит упоминание этого файла.

[DennoN]

@dsolo а разве по пути /opt/etc/ndm/ifstatechanged.d/ этого файла нет? Это файл был в версиях до 3

В первой он просто копировался в эту папку,  во второй это был симлинк с файла addtable.sh который в папке Bird4Static/scripts

Можно там его ещё поискать

 

В 17.06.2022 в 20:46, drfischer сказал:

Надо еще и faq.netflix.com или help.netflix.com отдельной строкой и все остальное, чтоб полноценно сайт работал?

Если эти сайты выдают разные ip адреса, то да. Надо добавлять все. Если же они выдают одни и те же адреса, то нет достаточно добавить один.

Решения через bird нет, нужно смотреть в сторону ipset и тд. Там через днс можно направлять трафик в тунель

[dsolo]

2 минуты назад, DennoN сказал:

а разве по пути /opt/etc/ndm/ifstatechanged.d/ этого файла нет? Это файл был в версиях до 3

В первой он просто копировался в эту папку,  во второй это был симлинк с файла addtable.sh который в папке Bird4Static/scripts

Можно там его ещё поискать

Везде поискал. Нет ни файла, ни упоминания его где-либо. Что за магия, не понимаю.

[Flint]

@DennoNПривет!

Дано: 3.8.2, инетик на eth3 и впн на nwg2 с 0.0.0.0/0, свежеустановленный энтваре, контентный фильтр отключен, в системном профиле днс прописаны единички, все устройства привязаны к системному профилю, в котором оба коннекта с галками присутствуют.

Ставлю скрипт, во время установки ошибка:

iprange: DNS: 'rezka.ag' will be retried: Temporary failure in name resolution

После установки правлю для теста user-isp и user-vpn, запускаю обновление - все проходит, таблички 1000 и 1001 заполняются, в ip rule list есть:
 

30001:  from all lookup 1000
30002:  from all lookup 1001

Но трафик в впн не маршрутизируется, при этом пользовательские маршруты добавленные через гуи работают.

Нужны какие-то доп приседания чтобы маршруты из ентваре заработали? Что я делаю не так?

 

Похоже магия какая-то, но после написания сообщения сюда, сделал установку в очередной раз - и заработало...

Edited July 31 by Flint

[drfischer]

В чем может быть проблема? Пытаюсь зайти на https://www.anextour.com/. При включенном VPN - срабатывает заглушка (доступ как  я понял не из России почему-то блокируется). Прописал исключение в user-isp.list - безрезультатно. Но почему-то как только выключаю соединение VPN - сайт открывается. С другими - таких проблем не замечал.

[vasek00]

2 часа назад, drfischer сказал:

В чем может быть проблема? Пытаюсь зайти на https://www.anextour.com/. При включенном VPN - срабатывает заглушка (доступ как  я понял не из России почему-то блокируется). Прописал исключение в user-isp.list - безрезультатно. Но почему-то как только выключаю соединение VPN - сайт открывается. С другими - таких проблем не замечал.

Проверил - вы правы по поводу страны, Россия работает, не Россия нет.

Попробуйте прописать два маршрута на адреса 188.114.98.160 и 188.114.99.160 на провайдера (т.е. чтоб шли не через vpn)

[drfischer]

1 час назад, vasek00 сказал:

Проверил - вы правы по поводу страны, Россия работает, не Россия нет.

Попробуйте прописать два маршрута на адреса 188.114.98.160 и 188.114.99.160 на провайдера (т.е. чтоб шли не через vpn)

Попробовал. Внес в user-isp.list. не помогло. (

Edited August 1 by drfischer

[vasek00]

5 минут назад, drfischer сказал:

Попробовал. Внес в user-isp.list. не помогло. (

Проверил, клиент на Proton не Россия ->  anextour = не работает

Добавил правда 4 маршрута (в сплыли еще два адреса)

default dev nwg4  scope link 
...
188.114.98.160 dev ppp0  scope link 
188.114.98.171 dev ppp0  scope link 
188.114.99.160 dev ppp0  scope link 
188.114.99.171 dev ppp0  scope link 
...

Все работает.

anextour.com
Трассировка маршрута к anextour.com [188.114.98.171]
с максимальным числом прыжков 30:

  1     4 ms    <1 мс    <1 мс  P-KN [192.168.130.101] 
  2     5 ms     4 ms     4 ms  1_Провайдер_1 
  3     5 ms     4 ms     6 ms  1_Провайдер_1 
  4     5 ms     5 ms     5 ms  ..... 
  5    26 ms    28 ms    25 ms  185.140.151.249 
  6     *        *        *     Превышен интервал ожидания для запроса.
  7    34 ms    26 ms    26 ms  95.71.2.226 
  8    26 ms    26 ms    26 ms  188.114.98.171 

Скрытый текст

 

[drfischer]

19 минут назад, vasek00 сказал:

Проверил, клиент на Proton не Россия ->  anextour = не работает

Добавил правда 4 маршрута (в сплыли еще два адреса)

default dev nwg4  scope link 
...
188.114.98.160 dev ppp0  scope link 
188.114.98.171 dev ppp0  scope link 
188.114.99.160 dev ppp0  scope link 
188.114.99.171 dev ppp0  scope link 
...

Все работает.

anextour.com
Трассировка маршрута к anextour.com [188.114.98.171]
с максимальным числом прыжков 30:

  1     4 ms    <1 мс    <1 мс  P-KN [192.168.130.101] 
  2     5 ms     4 ms     4 ms  1_Провайдер_1 
  3     5 ms     4 ms     6 ms  1_Провайдер_1 
  4     5 ms     5 ms     5 ms  ..... 
  5    26 ms    28 ms    25 ms  185.140.151.249 
  6     *        *        *     Превышен интервал ожидания для запроса.
  7    34 ms    26 ms    26 ms  95.71.2.226 
  8    26 ms    26 ms    26 ms  188.114.98.171 

  Показать содержимое

 

Заработало! Спасибо!

А как вы вычислили эти ip адреса? На будущее, если с подобным столкнусь...

[Mamay]

39 минут назад, vasek00 сказал:

Все работает.

Завидую вашему терпению и выдержке белой завистью!

[vasek00]

52 минуты назад, drfischer сказал:

Заработало! Спасибо!

А как вы вычислили эти ip адреса? На будущее, если с подобным столкнусь...

На данном форуме есть примеры использования ipset, в моем случае AdGuardHome

по конф файлу было 
  ipset: []
  
и стало 
...  
  handle_ddr: true
  ipset:
  - anextour.com/anextour
  filtering_enabled: true
...

далее

# ipset create anextour hash:ip hashsize 4096

# ./S101AdGuardHome restart

и в итоге имеем

# ipset list anextour
Name: anextour
Type: hash:ip
Revision: 4
Header: family inet hashsize 4096 maxelem 65536
Size in memory: 288
References: 0
Members:
188.114.98.160
188.114.99.160
188.114.98.171
188.114.99.171

а WG на warp и proton всегда под рукой.

[drfischer]

2 часа назад, vasek00 сказал:

На данном форуме есть примеры использования ipset, в моем случае AdGuardHome

по конф файлу было 
  ipset: []
  
и стало 
...  
  handle_ddr: true
  ipset:
  - anextour.com/anextour
  filtering_enabled: true
...

далее

# ipset create anextour hash:ip hashsize 4096

# ./S101AdGuardHome restart

и в итоге имеем

# ipset list anextour
Name: anextour
Type: hash:ip
Revision: 4
Header: family inet hashsize 4096 maxelem 65536
Size in memory: 288
References: 0
Members:
188.114.98.160
188.114.99.160
188.114.98.171
188.114.99.171

а WG на warp и proton всегда под рукой.

Эх, это, к сожалению, уже за гранью моего понимания(

Оч.сложно.

Прошу прощения, а проще нет способа вычислять ip-шники,принадлежащие конкретному сайту?

[Flint]

Господа, а ни у кого нет уже набитого списка широкоиспользуемых сайтов, которые с антифильтром конфликтуют и их надо через провайдера вручную пустить?

А то начались спецэффекты: с цианом, сбером...

[drfischer]

7 часов назад, Flint сказал:

Господа, а ни у кого нет уже набитого списка широкоиспользуемых сайтов, которые с антифильтром конфликтуют и их надо через провайдера вручную пустить?

А то начались спецэффекты: с цианом, сбером...

проверил и циан и сбер специально. С ними нет проблем. Нигде их не прописывал

[Flint]

17 часов назад, drfischer сказал:

проверил и циан и сбер специально. С ними нет проблем. Нигде их не прописывал

На телефоне вылезала антикапча, в которой мой впн ип значился и не работали апкшки - ошибки сыпали, на пк по вифи при этом трассу показывало через впн, но антикапчи не было. Прописал вручную - все пошло нормально...

 

 

[Alexander Churbanov]

Подскажите, а с серым IP будет работать схема? 

[drfischer]

Сегодня сдохло все. Стал копаться - оказалось,что к протону по wireguard перестал коннектится роутер. Ни к одному из бесплатных серверов (штук 5 перепробовал).

Как у вас?

[vasek00]

44 минуты назад, drfischer сказал:

Сегодня сдохло все. Стал копаться - оказалось,что к протону по wireguard перестал коннектится роутер. Ни к одному из бесплатных серверов (штук 5 перепробовал).

Как у вас?

А у нас все ОК, мало наверное перепробовали.

Скрытый текст

 

[drfischer]

33 минуты назад, vasek00 сказал:

А у нас все ОК, мало наверное перепробовали.

  Скрыть содержимое

 

Странно. К этому же серверу(185.177.124.ххх) у меня не подключается. Москва. Ростелеком.

[vasek00]

4 часа назад, drfischer сказал:

Странно. К этому же серверу(185.177.124.ххх) у меня не подключается. Москва. Ростелеком

Было такое как то, перегенерация и так же выбор может из 5-7-8 нашел подходящий и поднялся.

[alexandr-ad]

В 02.08.2022 в 10:27, Flint сказал:

Господа, а ни у кого нет уже набитого списка широкоиспользуемых сайтов, которые с антифильтром конфликтуют и их надо через провайдера вручную пустить?

А то начались спецэффекты: с цианом, сбером...

Такая же беда. Циан и ситилинк не открываются.

----------

Белый список - это который user-isp.list ?

Просто добавленные туда домены вообще перестают работать

UPD. Все, разобрался. В инструкции все написано было. ISP нужно было поменять.

Edited 18 hours ago by alexandr-ad
solved