dsolo Posted February 20, 2021 Share Posted February 20, 2021 Вероятно мой сервер попал в список "заблокированных", как ранее писали ложные срабатывания возможны за счёт того, что список формируется не по 1 IP в строке, а как бы масками. Перезагружаю роутер с выключенным VPN. Подключаюсь по SSH к своему VPN-серверу, всё ок, В "Другие подключения" включаю VPN. После этого больше не могу подключиться по SSH к своему серверу. Добавил в белый список IP и домен своего сервера. Не помогает. Spoiler Фев 21 01:50:47 ndm Network::Interface::Base: "L2TP0": interface is up. Фев 21 01:50:47 ndm IpSec::Manager: service enabled. Фев 21 01:50:47 ndm Core::ConfigurationSaver: saving configuration... Фев 21 01:50:47 ndm Network::Interface::PppTunnel: "L2TP0": interface state is changed, reconnecting. Фев 21 01:50:47 ndm Network::Interface::PppTunnel: "L2TP0": remote endpoint is resolved to "95.182.123.183". Фев 21 01:50:47 ndm Network::Interface::PppTunnel: "L2TP0": connecting via ISP (GigabitEthernet1). Фев 21 01:50:47 ndm Network::Interface::PppTunnel: "L2TP0": local endpoint is resolved to "95.31.196.5". Фев 21 01:50:47 ndm Network::Interface::PppTunnel: "L2TP0": added host route to 95.182.123.183 via 95.31.196.6 (GigabitEthernet1). Фев 21 01:50:47 ndm Network::Interface::L2tp: "L2TP0": using port 41271 as local. Фев 21 01:50:47 ndm Network::Interface::L2tp: "L2TP0": updating IP secure configuration. Фев 21 01:50:47 ndm IpSec::Manager: "L2TP0": IP secure connection was added. Фев 21 01:50:47 ndm IpSec::IpSecNetfilter: start reloading netfilter configuration... Фев 21 01:50:47 ndm IpSec::IpSecNetfilter: netfilter configuration reloading is done. Фев 21 01:50:49 ndm IpSec::Manager: create IPsec reconfiguration transaction... Фев 21 01:50:49 ndm IpSec::Manager: add config for crypto map "VPNL2TPServer". Фев 21 01:50:49 ndm IpSec::Manager: add config for crypto map "L2TP0". Фев 21 01:50:49 ndm IpSec::Manager: IPsec reconfiguration transaction was created. Фев 21 01:50:49 ndm IpSec::Configurator: start applying IPsec configuration. Фев 21 01:50:49 ndm IpSec::Configurator: IPsec configuration applying is done. Фев 21 01:50:49 ndm IpSec::Configurator: start reloading IKE keys task. Фев 21 01:50:49 ipsec 11[CFG] rereading secrets Фев 21 01:50:49 ipsec 11[CFG] loading secrets Фев 21 01:50:49 ipsec 11[CFG] loaded IKE secret for %any Фев 21 01:50:49 ipsec 11[CFG] loaded IKE secret for cmap:L2TP0 Фев 21 01:50:49 ipsec 11[CFG] rereading ca certificates from '/tmp/ipsec/ipsec.d/cacerts' Фев 21 01:50:49 ndm IpSec::Configurator: reloading IKE keys task done. Фев 21 01:50:49 ndm IpSec::Configurator: start reloading IPsec config task. Фев 21 01:50:49 ipsec 14[CFG] received stroke: delete connection 'VPNL2TPServer' Фев 21 01:50:49 ipsec 14[CFG] deleted connection 'VPNL2TPServer' Фев 21 01:50:49 ipsec 00[DMN] signal of type SIGHUP received. Reloading configuration Фев 21 01:50:49 ipsec 08[CFG] received stroke: add connection 'VPNL2TPServer' Фев 21 01:50:49 ipsec 00[CFG] loaded 0 entries for attr plugin configuration Фев 21 01:50:49 ipsec 00[CFG] loaded 1 RADIUS server configuration Фев 21 01:50:49 ipsec 08[CFG] added configuration 'VPNL2TPServer' Фев 21 01:50:49 ipsec 16[CFG] received stroke: add connection 'L2TP0' Фев 21 01:50:49 ipsec 16[CFG] added configuration 'L2TP0' Фев 21 01:50:49 ndm IpSec::IpSecNetfilter: start reloading netfilter configuration... Фев 21 01:50:49 ndm IpSec::IpSecNetfilter: netfilter configuration reloading is done. Фев 21 01:50:49 ndm IpSec::Configurator: reloading IPsec config task done. Фев 21 01:50:49 ipsec 06[CFG] received stroke: initiate 'L2TP0' Фев 21 01:50:49 ipsec 10[IKE] sending DPD vendor ID Фев 21 01:50:49 ipsec 10[IKE] sending FRAGMENTATION vendor ID Фев 21 01:50:49 ndm IpSec::Configurator: "L2TP0": crypto map initialized. Фев 21 01:50:49 ipsec 10[IKE] sending NAT-T (RFC 3947) vendor ID Фев 21 01:50:49 ipsec 10[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID Фев 21 01:50:49 ipsec 10[IKE] initiating Main Mode IKE_SA L2TP0[1] to 95.182.123.183 Фев 21 01:50:50 ipsec 13[IKE] received NAT-T (RFC 3947) vendor ID Фев 21 01:50:50 ipsec 13[IKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID Фев 21 01:50:50 ipsec 13[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID Фев 21 01:50:50 ipsec 13[IKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID Фев 21 01:50:50 ipsec 13[IKE] received draft-ietf-ipsec-nat-t-ike-00 vendor ID Фев 21 01:50:50 ipsec 13[IKE] received DPD vendor ID Фев 21 01:50:50 ipsec 13[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536 Фев 21 01:50:50 ipsec 13[CFG] configured proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024 Фев 21 01:50:50 ipsec 13[CFG] selected proposal: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536 Фев 21 01:50:50 ipsec 15[IKE] found linked key for crypto map 'L2TP0' Фев 21 01:50:50 ipsec 15[IKE] local host is behind NAT, sending keep alives Фев 21 01:50:50 ipsec 07[IKE] IKE_SA L2TP0[1] established between 95.31.196.5[95.31.196.5]...95.182.123.183[95.182.123.183] Фев 21 01:50:50 ipsec 07[IKE] scheduling reauthentication in 28780s Фев 21 01:50:50 ipsec 07[IKE] maximum IKE_SA lifetime 28800s Фев 21 01:50:50 ndm IpSec::CryptoMapInfo: "L2TP0": crypto map active IKE SA: 1, active CHILD SA: 0. Фев 21 01:50:50 ipsec 09[CFG] received proposals: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ Фев 21 01:50:50 ipsec 09[CFG] configured proposals: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_SHA1_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA2_256_128/NO_EXT_SEQ Фев 21 01:50:50 ipsec 09[CFG] selected proposal: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ Фев 21 01:50:50 ipsec 09[IKE] CHILD_SA L2TP0{1} established with SPIs cee91684_i a5716a43_o and TS 95.31.196.5/32[udp/41271] === 95.182.123.183/32[udp/l2tp] Фев 21 01:50:50 ndm IpSec::Configurator: crypto map "L2TP0" is up. Фев 21 01:50:50 ndm IpSec::CryptoMapInfo: "L2TP0": crypto map active IKE SA: 1, active CHILD SA: 1. Фев 21 01:50:50 ndm Network::Interface::L2tp: "L2TP0": IPsec layer is up, do start L2TP layer. Фев 21 01:50:50 ndm Network::Interface::Ppp: "L2TP0": enabled connection via any interface. Фев 21 01:50:50 ndm IpSec::IpSecNetfilter: start reloading netfilter configuration... Фев 21 01:50:50 ndm IpSec::IpSecNetfilter: netfilter configuration reloading is done. Фев 21 01:50:51 ndm Core::ConfigurationSaver: configuration saved. Фев 21 01:50:51 ipsec 11[CFG] rereading aa certificates from '/tmp/ipsec/ipsec.d/aacerts' Фев 21 01:50:51 ipsec 11[CFG] rereading ocsp signer certificates from '/tmp/ipsec/ipsec.d/ocspcerts' Фев 21 01:50:51 ipsec 11[CFG] rereading attribute certificates from '/tmp/ipsec/ipsec.d/acerts' Фев 21 01:50:51 ipsec 11[CFG] rereading crls from '/tmp/ipsec/ipsec.d/crls' Фев 21 01:50:52 l2tp[1371] Plugin pppol2tp.so loaded. Фев 21 01:50:52 l2tp[1371] pppd 2.4.4-4 started by root, uid 0 Фев 21 01:50:52 ndm Network::Interface::PppTunnel: "L2TP0": added host route to 95.182.123.183 via 95.31.196.6 (GigabitEthernet1). Фев 21 01:50:52 pppd_L2TP0 l2tp_control v2.02 Фев 21 01:50:52 pppd_L2TP0 remote host: 95.182.123.183:1701 Фев 21 01:50:52 pppd_L2TP0 local bind: 95.31.196.5:41271 Фев 21 01:50:53 pppd_L2TP0 creating in-kernel L2TP tunnel (R/L 1/57658) Фев 21 01:50:53 pppd_L2TP0 creating in-kernel L2TP session (R/L 1/30906) Фев 21 01:50:53 pppd_L2TP0 L2TP tunnel/session created Фев 21 01:50:53 pppd_L2TP0 PPP channel connected Фев 21 01:50:53 pppd_L2TP0 using channel 1 Фев 21 01:50:53 pppd_L2TP0 Using interface ppp0 Фев 21 01:50:53 pppd_L2TP0 Connect: ppp0 <--> l2tp[0] Фев 21 01:50:53 pppd_L2TP0 PAP authentication succeeded Фев 21 01:50:53 pppd_L2TP0 local IP address 192.168.30.10 Фев 21 01:50:53 pppd_L2TP0 remote IP address 1.0.0.1 Фев 21 01:50:53 pppd_L2TP0 primary DNS address 192.168.30.1 Фев 21 01:50:53 ipsec 10[KNL] unable to receive from RT event socket No buffer space available (132) Фев 21 01:50:53 ndm Network::Interface::Base: "L2TP0": interface is up. Фев 21 01:50:53 ndm Network::Interface::Base: "L2TP0": interface is up. Фев 21 01:50:53 ndm Network::Interface::Ppp: "L2TP0": interface "L2TP0" is global, priority 65502. Фев 21 01:50:53 ndm Network::Interface::Ppp: "L2TP0": adding default route via L2TP0. Фев 21 01:50:53 ndm Network::Interface::Ppp: "L2TP0": adding nameserver 192.168.30.1. Фев 21 01:50:53 ndm Dns::Manager: name server 192.168.30.1 added, domain (default). Фев 21 01:50:53 ndm Network::Interface::Ip: "L2TP0": IP address is 192.168.30.10/32. Фев 21 01:50:54 coalagent updating configuration... Фев 21 01:50:54 ndm Http::Nginx: loaded SSL certificate for "3fff06087455fb639118b3ac.keenetic.io". Фев 21 01:50:54 ndm Http::Nginx: loaded SSL certificate for "dsolo.keenetic.name". Фев 21 01:50:54 ndm Core::Server: started Session /var/run/ndm.core.socket. Фев 21 01:50:55 ipsec 14[KNL] unable to receive from RT event socket No buffer space available (132) Фев 21 01:50:55 ndm Core::Session: client disconnected. Фев 21 01:50:55 ndm Http::Manager: updated configuration. Фев 21 01:50:55 ndm Core::Server: started Session /var/run/ndm.core.socket. Фев 21 01:50:55 ndm Core::Session: client disconnected. Фев 21 01:50:56 ipsec 12[KNL] unable to receive from RT event socket No buffer space available (132) Фев 21 01:50:57 ipsec 15[KNL] unable to receive from RT event socket No buffer space available (132) Фев 21 01:50:57 bird4 Kernel dropped some netlink messages, will resync on next scan. Инструкция по переводу в ручной режим не работает, если закомментировать строку, как написано на github, то затем просто не запускается скрипт. Spoiler ~ # /opt/etc/cron.daily/add-bird4_routes.sh curl: no URL specified! curl: try 'curl --help' for more information На данный момент считаю что система с BGP вообще не состоятельна, просматриваю статистику в админке кинетика, через VPN огромное количество трафика идёт, хотя по факту надо фильтровать 3-5 сайтов, на которые я хожу раз в пару дней. Также не раз сталкиваюсь со сбоями, что непосредственно сайты мне говорят, что во время работы у вас сменился IP, а должен оставаться постоянным. Подскажите что мне сделать, чтобы просто обходить несколько сайтов, без всяких там BGP. Quote Link to comment Share on other sites More sharing options...
dsolo Posted February 20, 2021 Share Posted February 20, 2021 (edited) В файле add-bird4_routes.sh закомментировал ещё строку "curl -sf $URL0 | sed 's/^/route /' | sed 's/$/ via "'$VPN'";/' >> $ROUTE"б, теперь скрипт запускается. Но всё равно после первого подключения к VPN всё ломается. Перестаёт подключаться к VPN. Я даже не могу объяснить это. Переключаю ползунок рядом с VPN в "Другие подключения", всё ок, написано "Готов". Потом спустя время вижу "Ошибка подключения" и в журнале циклично пытается подключиться. Привожу копипаст одного цикла. Spoiler Фев 21 02:18:34 ndm Core::Syslog: the system log has been cleared. Фев 21 02:18:35 bndstrg band steering: send BTM request to 32:a3:28:83:e8:e4 for roam to 2.4GHz band (Low RSSI: -78) Фев 21 02:18:35 bndstrg band steering: WNM client 32:a3:28:83:e8:e4 rejected 2.4GHz band (code: 6) Фев 21 02:18:38 pppd_L2TP0 control init failed Фев 21 02:18:38 pppd_L2TP0 Couldn't get channel number: Bad file descriptor Фев 21 02:18:38 pppd_L2TP0 Exit. Фев 21 02:18:38 ndm Service: "L2TP0": unexpectedly stopped. Фев 21 02:18:38 ndm Network::Interface::Base: "L2TP0": interface is up. Фев 21 02:18:38 ndm Network::Interface::Ppp: "L2TP0": disabled connection. Фев 21 02:18:38 ndm IpSec::Manager: "L2TP0": IP secure connection and keys was deleted. Фев 21 02:18:38 ndm Network::Interface::PppTunnel: "L2TP0": remote endpoint is resolved to "95.182.123.183". Фев 21 02:18:38 ndm Network::Interface::PppTunnel: "L2TP0": connecting via ISP (GigabitEthernet1). Фев 21 02:18:38 ndm Network::Interface::PppTunnel: "L2TP0": local endpoint is resolved to "95.31.196.5". Фев 21 02:18:38 ndm Network::Interface::PppTunnel: "L2TP0": added host route to 95.182.123.183 via 95.31.196.6 (GigabitEthernet1). Фев 21 02:18:38 ndm Network::Interface::L2tp: "L2TP0": using port 41286 as local. Фев 21 02:18:38 ndm Network::Interface::L2tp: "L2TP0": updating IP secure configuration. Фев 21 02:18:38 ndm IpSec::Manager: "L2TP0": IP secure connection was added. Фев 21 02:18:40 ndm IpSec::Manager: create IPsec reconfiguration transaction... Фев 21 02:18:40 ndm IpSec::Manager: add config for crypto map "VPNL2TPServer". Фев 21 02:18:40 ndm IpSec::Manager: add config for crypto map "L2TP0". Фев 21 02:18:40 ndm IpSec::Manager: IPsec reconfiguration transaction was created. Фев 21 02:18:41 ndm IpSec::Configurator: start applying IPsec configuration. Фев 21 02:18:41 ndm IpSec::Configurator: IPsec configuration applying is done. Фев 21 02:18:41 ndm IpSec::Configurator: start reloading IKE keys task. Фев 21 02:18:41 ndm Network::Interface::L2tp: "L2TP0": IPsec layer is down, shutdown L2TP layer. Фев 21 02:18:41 ndm Network::Interface::Ppp: "L2TP0": disabled connection. Фев 21 02:18:41 ipsec 03[CFG] rereading secrets Фев 21 02:18:41 ipsec 03[CFG] loading secrets Фев 21 02:18:41 ipsec 03[CFG] loaded IKE secret for %any Фев 21 02:18:41 ipsec 03[CFG] loaded IKE secret for cmap:L2TP0 Фев 21 02:18:41 ipsec 03[CFG] rereading ca certificates from '/tmp/ipsec/ipsec.d/cacerts' Фев 21 02:18:41 ndm IpSec::Configurator: reloading IKE keys task done. Фев 21 02:18:41 ndm Network::Interface::PppTunnel: "L2TP0": remote endpoint is resolved to "95.182.123.183". Фев 21 02:18:41 ndm Network::Interface::PppTunnel: "L2TP0": connecting via ISP (GigabitEthernet1). Фев 21 02:18:41 ndm Network::Interface::PppTunnel: "L2TP0": local endpoint is resolved to "95.31.196.5". Фев 21 02:18:41 ndm Network::Interface::PppTunnel: "L2TP0": added host route to 95.182.123.183 via 95.31.196.6 (GigabitEthernet1). Фев 21 02:18:41 ndm Network::Interface::L2tp: "L2TP0": using port 41216 as local. Фев 21 02:18:41 ndm Network::Interface::L2tp: "L2TP0": updating IP secure configuration. Фев 21 02:18:41 ndm IpSec::Manager: "L2TP0": IP secure connection and keys was deleted. Фев 21 02:18:41 ndm IpSec::Manager: "L2TP0": IP secure connection was added. Фев 21 02:18:41 ndm IpSec::Configurator: start reloading IPsec config task. Фев 21 02:18:41 ipsec 13[CFG] received stroke: delete connection 'VPNL2TPServer' Фев 21 02:18:41 ipsec 13[CFG] deleted connection 'VPNL2TPServer' Фев 21 02:18:41 ipsec 05[CFG] received stroke: delete connection 'L2TP0' Фев 21 02:18:41 ipsec 05[CFG] deleted connection 'L2TP0' Фев 21 02:18:41 ipsec 00[DMN] signal of type SIGHUP received. Reloading configuration Фев 21 02:18:41 ipsec 06[CFG] received stroke: add connection 'VPNL2TPServer' Фев 21 02:18:41 ipsec 00[CFG] loaded 0 entries for attr plugin configuration Фев 21 02:18:41 ipsec 06[CFG] added configuration 'VPNL2TPServer' Фев 21 02:18:41 ipsec 11[CFG] received stroke: add connection 'L2TP0' Фев 21 02:18:41 ipsec 00[CFG] loaded 1 RADIUS server configuration Фев 21 02:18:41 ipsec 11[CFG] added configuration 'L2TP0' Фев 21 02:18:41 ndm IpSec::IpSecNetfilter: start reloading netfilter configuration... Фев 21 02:18:41 ndm IpSec::IpSecNetfilter: netfilter configuration reloading is done. Фев 21 02:18:41 ndm IpSec::Configurator: reloading IPsec config task done. Фев 21 02:18:43 ndm IpSec::Configurator: "L2TP0": crypto map shutdown started. Фев 21 02:18:43 ipsec 12[CFG] received stroke: unroute 'L2TP0' Фев 21 02:18:43 ipsec 03[CFG] rereading aa certificates from '/tmp/ipsec/ipsec.d/aacerts' Фев 21 02:18:43 ipsec 03[CFG] rereading ocsp signer certificates from '/tmp/ipsec/ipsec.d/ocspcerts' Фев 21 02:18:43 ipsec 03[CFG] rereading attribute certificates from '/tmp/ipsec/ipsec.d/acerts' Фев 21 02:18:43 ipsec 03[CFG] rereading crls from '/tmp/ipsec/ipsec.d/crls' Фев 21 02:18:43 ndm IpSec::Manager: create IPsec reconfiguration transaction... Фев 21 02:18:43 ipsec 13[CFG] received stroke: terminate 'L2TP0{*}' Фев 21 02:18:43 ipsec 16[IKE] closing CHILD_SA L2TP0{2} with SPIs c21801e1_i (0 bytes) 5af2ad6f_o (435 bytes) and TS 95.31.196.5/32[udp/41289] === 95.182.123.183/32[udp/l2tp] Фев 21 02:18:43 ipsec 07[CFG] received stroke: terminate 'L2TP0[*]' Фев 21 02:18:43 ndm IpSec::Configurator: "L2TP0": crypto map shutdown complete. Фев 21 02:18:43 ndm IpSec::CryptoMapInfo: "L2TP0": crypto map active IKE SA: 0, active CHILD SA: 0. Фев 21 02:18:43 ndm IpSec::Manager: add config for crypto map "VPNL2TPServer". Фев 21 02:18:43 ndm IpSec::Manager: add config for crypto map "L2TP0". Фев 21 02:18:43 ndm IpSec::Manager: IPsec reconfiguration transaction was created. Фев 21 02:18:43 ndm IpSec::CryptoMapInfo: "L2TP0": crypto map active IKE SA: 0, active CHILD SA: 0. Фев 21 02:18:43 ndm IpSec::Configurator: start applying IPsec configuration. Фев 21 02:18:43 ndm IpSec::Configurator: IPsec configuration applying is done. Фев 21 02:18:43 ndm IpSec::Configurator: start reloading IKE keys task. Фев 21 02:18:43 ipsec 08[CFG] rereading secrets Фев 21 02:18:43 ipsec 08[CFG] loading secrets Фев 21 02:18:43 ipsec 08[CFG] loaded IKE secret for %any Фев 21 02:18:43 ipsec 08[CFG] loaded IKE secret for cmap:L2TP0 Фев 21 02:18:43 ipsec 08[CFG] rereading ca certificates from '/tmp/ipsec/ipsec.d/cacerts' Фев 21 02:18:43 ndm IpSec::Configurator: reloading IKE keys task done. Фев 21 02:18:43 ndm IpSec::CryptoMapInfo: "L2TP0": crypto map active IKE SA: 0, active CHILD SA: 0. Фев 21 02:18:43 ipsec 16[IKE] sending DELETE for ESP CHILD_SA with SPI c21801e1 Фев 21 02:18:43 ipsec 11[IKE] deleting IKE_SA L2TP0[2] between 95.31.196.5[95.31.196.5]...95.182.123.183[95.182.123.183] Фев 21 02:18:43 ipsec 11[IKE] sending DELETE for IKE_SA L2TP0[2] Фев 21 02:18:43 ndm IpSec::Configurator: start reloading IPsec config task. Фев 21 02:18:43 ipsec 12[CFG] received stroke: delete connection 'VPNL2TPServer' Фев 21 02:18:43 ipsec 12[CFG] deleted connection 'VPNL2TPServer' Фев 21 02:18:43 ipsec 10[CFG] received stroke: delete connection 'L2TP0' Фев 21 02:18:43 ipsec 10[CFG] deleted connection 'L2TP0' Фев 21 02:18:43 ipsec 00[DMN] signal of type SIGHUP received. Reloading configuration Фев 21 02:18:43 ipsec 13[CFG] received stroke: add connection 'VPNL2TPServer' Фев 21 02:18:43 ipsec 00[CFG] loaded 0 entries for attr plugin configuration Фев 21 02:18:43 ipsec 00[CFG] loaded 1 RADIUS server configuration Фев 21 02:18:43 ipsec 13[CFG] added configuration 'VPNL2TPServer' Фев 21 02:18:43 ipsec 03[CFG] received stroke: add connection 'L2TP0' Фев 21 02:18:43 ndm IpSec::IpSecNetfilter: start reloading netfilter configuration... Фев 21 02:18:43 ipsec 03[CFG] added configuration 'L2TP0' Фев 21 02:18:43 ndm IpSec::IpSecNetfilter: netfilter configuration reloading is done. Фев 21 02:18:43 ndm IpSec::Configurator: reloading IPsec config task done. Фев 21 02:18:43 ndm IpSec::CryptoMapInfo: "L2TP0": crypto map active IKE SA: 0, active CHILD SA: 0. Фев 21 02:18:45 ndm IpSec::Configurator: "L2TP0": crypto map shutdown started. Фев 21 02:18:45 ipsec 08[CFG] rereading aa certificates from '/tmp/ipsec/ipsec.d/aacerts' Фев 21 02:18:45 ipsec 08[CFG] rereading ocsp signer certificates from '/tmp/ipsec/ipsec.d/ocspcerts' Фев 21 02:18:45 ipsec 08[CFG] rereading attribute certificates from '/tmp/ipsec/ipsec.d/acerts' Фев 21 02:18:45 ipsec 08[CFG] rereading crls from '/tmp/ipsec/ipsec.d/crls' Фев 21 02:18:45 ipsec 16[CFG] received stroke: unroute 'L2TP0' Фев 21 02:18:45 ipsec 14[CFG] received stroke: terminate 'L2TP0{*}' Фев 21 02:18:45 ipsec 14[CFG] no CHILD_SA named 'L2TP0' found Фев 21 02:18:45 ipsec 07[CFG] received stroke: terminate 'L2TP0[*]' Фев 21 02:18:45 ipsec 07[CFG] no IKE_SA named 'L2TP0' found Фев 21 02:18:45 ndm IpSec::Configurator: "L2TP0": crypto map shutdown complete. Фев 21 02:18:46 ipsec 10[CFG] received stroke: initiate 'L2TP0' Фев 21 02:18:46 ipsec 05[IKE] sending DPD vendor ID Фев 21 02:18:46 ndm IpSec::Configurator: "L2TP0": crypto map initialized. Фев 21 02:18:46 ipsec 05[IKE] sending FRAGMENTATION vendor ID Фев 21 02:18:46 ipsec 05[IKE] sending NAT-T (RFC 3947) vendor ID Фев 21 02:18:46 ipsec 05[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID Фев 21 02:18:46 ipsec 05[IKE] initiating Main Mode IKE_SA L2TP0[3] to 95.182.123.183 Фев 21 02:18:46 ipsec 06[IKE] received NAT-T (RFC 3947) vendor ID Фев 21 02:18:46 ipsec 06[IKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID Фев 21 02:18:46 ipsec 06[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID Фев 21 02:18:46 ipsec 06[IKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID Фев 21 02:18:46 ipsec 06[IKE] received draft-ietf-ipsec-nat-t-ike-00 vendor ID Фев 21 02:18:46 ipsec 06[IKE] received DPD vendor ID Фев 21 02:18:46 ipsec 06[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536 Фев 21 02:18:46 ipsec 06[CFG] configured proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024 Фев 21 02:18:46 ipsec 06[CFG] selected proposal: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536 Фев 21 02:18:46 ipsec 13[IKE] found linked key for crypto map 'L2TP0' Фев 21 02:18:46 ipsec 13[IKE] local host is behind NAT, sending keep alives Фев 21 02:18:46 ipsec 16[IKE] IKE_SA L2TP0[3] established between 95.31.196.5[95.31.196.5]...95.182.123.183[95.182.123.183] Фев 21 02:18:46 ipsec 16[IKE] scheduling reauthentication in 28770s Фев 21 02:18:46 ipsec 16[IKE] maximum IKE_SA lifetime 28790s Фев 21 02:18:47 ndm IpSec::CryptoMapInfo: "L2TP0": crypto map active IKE SA: 1, active CHILD SA: 0. Фев 21 02:18:47 ipsec 08[IKE] no matching CHILD_SA config found for 95.182.123.183/32[udp/l2tp] === 95.31.196.5/32[udp/41289] Фев 21 02:18:47 ipsec 03[CFG] received proposals: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ Фев 21 02:18:47 ipsec 03[CFG] configured proposals: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_SHA1_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA2_256_128/NO_EXT_SEQ Фев 21 02:18:47 ipsec 03[CFG] selected proposal: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ Фев 21 02:18:47 ipsec 03[IKE] CHILD_SA L2TP0{3} established with SPIs cac9ac1a_i 0bddf96a_o and TS 95.31.196.5/32[udp/41216] === 95.182.123.183/32[udp/l2tp] Фев 21 02:18:47 ndm IpSec::Configurator: crypto map "L2TP0" is up. Фев 21 02:18:47 ndm IpSec::CryptoMapInfo: "L2TP0": crypto map active IKE SA: 1, active CHILD SA: 1. Фев 21 02:18:47 ndm Network::Interface::L2tp: "L2TP0": IPsec layer is up, do start L2TP layer. Фев 21 02:18:47 ndm Network::Interface::Ppp: "L2TP0": enabled connection via any interface. Фев 21 02:18:47 ndm IpSec::IpSecNetfilter: start reloading netfilter configuration... Фев 21 02:18:47 ndm IpSec::IpSecNetfilter: netfilter configuration reloading is done. Фев 21 02:18:48 ipsec 09[IKE] received retransmit of request with ID 2474906703, but no response to retransmit Фев 21 02:18:49 l2tp[2031] Plugin pppol2tp.so loaded. Фев 21 02:18:49 l2tp[2031] pppd 2.4.4-4 started by root, uid 0 Фев 21 02:18:49 ndm Network::Interface::PppTunnel: "L2TP0": added host route to 95.182.123.183 via 95.31.196.6 (GigabitEthernet1). Фев 21 02:18:49 pppd_L2TP0 l2tp_control v2.02 Фев 21 02:18:49 pppd_L2TP0 remote host: 95.182.123.183:1701 Фев 21 02:18:49 pppd_L2TP0 local bind: 95.31.196.5:41216 Фев 21 02:18:50 ipsec 09[IKE] received retransmit of request with ID 2474906703, but no response to retransmit Фев 21 02:18:51 pppd_L2TP0 l2tp: timeout of sccrp, retry sccrq, try: 1 Фев 21 02:18:52 ipsec 07[IKE] received retransmit of request with ID 2474906703, but no response to retransmit Фев 21 02:18:53 pppd_L2TP0 l2tp: timeout of sccrp, retry sccrq, try: 2 Фев 21 02:18:55 pppd_L2TP0 l2tp: timeout of sccrp, retry sccrq, try: 3 Фев 21 02:18:57 pppd_L2TP0 l2tp: timeout of sccrp, retry sccrq, try: 4 Фев 21 02:18:57 ipsec 14[IKE] received DELETE for ESP CHILD_SA with SPI b9da6b32 Фев 21 02:18:57 ipsec 14[IKE] CHILD_SA not found, ignored Фев 21 02:18:59 pppd_L2TP0 l2tp: timeout of sccrp, retry sccrq, try: 5 Фев 21 02:18:59 pppd_L2TP0 l2tp: sccrq failed, fatal Фев 21 02:18:59 pppd_L2TP0 l2tp: shutting down control connection Фев 21 02:19:01 pppd_L2TP0 l2tp: shutdown completed Edited February 20, 2021 by dsolo Quote Link to comment Share on other sites More sharing options...
DennoN Posted February 21, 2021 Author Share Posted February 21, 2021 (edited) @dsolo https://github.com/DennoN-RUS/Bird4Static/blob/master/etc/cron.daily/add-bird4_routes.sh вот в этом файле закоментируй пятую и пятнадцатую строку вот так: Скрытый текст #!/bin/sh ISP=eth3 VPN=ppp0 #URL0=https://antifilter.download/list/allyouneed.lst - вот в эту строку в начале поставить # ROUTE=/opt/etc/bird4-routes.list VPNTXT=/opt/etc/bird4-vpn.txt ISPTXT=/opt/etc/bird4-isp.txt [ -f "$ROUTE" ] && cat /dev/null > $ROUTE /opt/root/addip.sh $VPNTXT $VPN $ROUTE /opt/root/addip.sh $ISPTXT $ISP $ROUTE #curl -sf $URL0 | sed 's/^/route /' | sed 's/$/ via "'$VPN'";/' >> $ROUTE - вот тут тоже можно закрмментировать killall -s SIGHUP bird4 все остальные файлы верни в изначальное состояние. Так же надо заполнить файл https://github.com/DennoN-RUS/Bird4Static/blob/master/etc/bird4-vpn.txt списком адресов или доменов, которые тебе надо пустить через впн. После этого запускай скрипт /opt/etc/cron.daily/add-bird4_routes.sh Edited February 21, 2021 by DennoN Quote Link to comment Share on other sites More sharing options...
Mr.Scayger Posted March 22, 2021 Share Posted March 22, 2021 On 2/21/2021 at 2:04 AM, dsolo said: Подскажите что мне сделать, чтобы просто обходить несколько сайтов, без всяких там BGP. Удалить все скрипты, настроить VPN, в админке кинетика "Сетевые правила/Маршрутизация" добавить вручную нужные маршруты по типу: 35.184.0.0/13 vpn-интерфейс Да Google LLC (Spotify) 208.85.40.0/21 vpn-интерфейс Да www.pandora.com 1 Quote Link to comment Share on other sites More sharing options...
aleeko Posted January 13, 2022 Share Posted January 13, 2022 Форумчане, подскажите, а у вас работает данный метод обхода блокировки в комплексе с работающим. Adguard home? Именно с AGHome У меня таблица строится, маршруты списком наполняются а ничего не открывается из списка. Quote Link to comment Share on other sites More sharing options...
DennoN Posted January 13, 2022 Author Share Posted January 13, 2022 (edited) Работает. На роутере и adg home и bird с таблицами. Связи между ними не должно быть. Скорее всего дело в чем то другом. Может шлюз не тот указан или доступ в сеть для этого интерфейса запрещён Edited January 13, 2022 by DennoN Quote Link to comment Share on other sites More sharing options...
timur1337 Posted March 22, 2022 Share Posted March 22, 2022 В 14.01.2022 в 01:08, DennoN сказал: Работает. На роутере и adg home и bird с таблицами. Связи между ними не должно быть. Скорее всего дело в чем то другом. Может шлюз не тот указан или доступ в сеть для этого интерфейса запрещён @DennoN здравствуйте, пытаюсь настроить обход по вашему скрипту с гитхаба. Я настроил wireguard подключение, в Приоритетах установил это подключение вторым после подключения к провайдеру, но в таком случае появляется ошибка wireguard: Wireguard0: handshake for peer "key" (3) (IP:51820) did not complete after 5 seconds, retrying (try 3) Если указать wg подключение первым, то соответственно весь трафик пойдет через впн. Как решить проблему? Quote Link to comment Share on other sites More sharing options...
DennoN Posted March 22, 2022 Author Share Posted March 22, 2022 (edited) Правильно понимаю, что если зайти в вэб интерфейс кинетика где настраиваются впны, то в статусе Вг подключения пир будет серым? то есть подключения не произошло? Вообще скрипт никак не влияет на работу впнов. он влияет только на маршрутизацию по умолчанию. Возможно просто адрес пира попал в листы которые надо пускать через впн и из-за этого происходит накладки? в консоли opkg выполнить ip route list table 1000 | grep Тут указать ip адрес пира. если ничего не вывело, то удалить последние цифры и попробовать снова. пример: ip route list table 1000 | grep 31.13.71.36 - не находит ip route list table 1000 | grep 31.13.71.3 - не находит ip route list table 1000 | grep 31.13.71. - не находит ip route list table 1000 | grep 31.13.7 - находит 31.13.70.0/22 dev nwg0 scope link так как маска 22 , то она включает в себя сети 31.13.70.0/24 и 31.13.71.0/24 если адрес пира действительно направлен в туннель, то надо добавить в исключения. это делается в файле Bird4Static/lists/bird4-isp.list ну и небольшое дополнение: маршруты работают только для Основного профиля Скрытый текст любые другие профили будут игнорировать то, что сделал скрипт и отрабатывать как расставлены приоритеты Edited March 22, 2022 by DennoN Quote Link to comment Share on other sites More sharing options...
timur1337 Posted March 22, 2022 Share Posted March 22, 2022 22 минуты назад, DennoN сказал: Правильно понимаю, что если зайти в вэб интерфейс кинетика где настраиваются впны, то в статусе Вг подключения пир будет серым? то есть подключения не произошло? Вообще скрипт никак не влияет на работу впнов. он влияет только на маршрутизацию по умолчанию. Возможно просто адрес пира попал в листы которые надо пускать через впн и из-за этого происходит накладки? в консоли opkg выполнить ip route list table 1000 | grep Тут указать ip адрес пира. если ничего не вывело, то удалить последние цифры и попробовать снова. пример: ip route list table 1000 | grep 31.13.71.36 - не находит ip route list table 1000 | grep 31.13.71.3 - не находит ip route list table 1000 | grep 31.13.71. - не находит ip route list table 1000 | grep 31.13.7 - находит 31.13.70.0/22 dev nwg0 scope link так как маска 22 , то она включает в себя сети 31.13.70.0/24 и 31.13.71.0/24 если адрес пира дейстительно направлен в тунель, то надо добавить в исключения. это делается в файле Bird4Static/lists/bird4-isp.list Да, действительно, апик впски попал в эти листы, щас вроде все работает, спасибо большое)) Еще вопрос, насколько вообще стабильно у вас сейчас работает эта система? Нужно ли со временем что то подкручивать кроме того что antifilter может выдавать не правильные апики для обхода? Я просто настраиваю сейчас кинетик для родителей, и хотелось бы заранее знать о каких то нюансах, чтоб быть готовым И еще, я изначально делал обход через bgp по статье на которую ссылается сам этот сервис antifilter, там нужно было авторизовывать свой апик в их сервисе, я это сделал, и сейчас хотел бы уточнить, для работы вашего скрипта есть ли необходимость в этой авторизации? Quote Link to comment Share on other sites More sharing options...
DennoN Posted March 22, 2022 Author Share Posted March 22, 2022 (edited) У меня работает стабильно. Проблемы могут быть: 1) если антифильтер вообще ляжет, то не будет маршрутов через впн, кроме тех, что жестко прописаны в файле bird4-vpn.list. ничего не сломается, просто впн не будет задействован. А адреса он всегда выдавал правильные, и проблем ни разу не было 2) С вг есть проблемы. его рабочее состояние сложно отслеживать. если ляжет пир, то соединение все равно будет, будет интерфейс, и все сайты из списка будут пытаться идти по впн, которого нет (вот с этим сам сталкивался пару раз, и тут все зависит от надежности впски + на сколько будут потом блочить.) Собственно будет та же ситуация, что и у тебя сейчас, что сайты перестали открываться В остальном проблем не было, за исключением тех случаев, когда я сам что-то улучшал, переделывал и это стреляло) На проект в гите я подзабил немного, сейчас использую чуток другую логику с возможностью работать сразу через 2 впн и ежечасным обновлением. Но автоинсталяцию для всего этого делать леньь)) Ну а рега нужна только для бгп. тут же просто скачиватеся файл, и все, авторизаций никаких не нужно. Edited March 22, 2022 by DennoN 1 Quote Link to comment Share on other sites More sharing options...
mystique_man Posted March 23, 2022 Share Posted March 23, 2022 (edited) В 27.03.2020 в 23:57, DennoN сказал: То решил настроить обход через статические маршруты, через тот же самый bird4 1. В том варинте bgp в конфиге старый ip адрес) У сервиса он поменялся. 2. Поставил вчера ваши труды https://github.com/DennoN-RUS/Bird4Static (ОГРОМНОЕ СПАСИБО), и столкнулся со следующим: единственно добавленный по умолчанию keenetic.com в список сайтов которые должны идти через ISP - не работал вовсе))) когда удалил его из списка и обновил, всё заработало. На пробу добавил туда прочие сайты - переставали открываться. Где-то закралась ошибка в скриптах у Вас) трасировка по таким ресурсам чрезвычайно короткая: 1. локальный ip роутера 2. внешний ip роутера - УЗЕЛ НЕ НАЙДЕН. Всё. Edited March 23, 2022 by mystique_man Quote Link to comment Share on other sites More sharing options...
Максим_ Posted March 23, 2022 Share Posted March 23, 2022 в ответ на команду ndmc -c "show interface" получаю -sh: ndmc: not found Quote Link to comment Share on other sites More sharing options...
timur1337 Posted March 24, 2022 Share Posted March 24, 2022 (edited) В 22.03.2022 в 13:13, DennoN сказал: Правильно понимаю, что если зайти в вэб интерфейс кинетика где настраиваются впны, то в статусе Вг подключения пир будет серым? то есть подключения не произошло? Вообще скрипт никак не влияет на работу впнов. он влияет только на маршрутизацию по умолчанию. Возможно просто адрес пира попал в листы которые надо пускать через впн и из-за этого происходит накладки? в консоли opkg выполнить ip route list table 1000 | grep Тут указать ip адрес пира. если ничего не вывело, то удалить последние цифры и попробовать снова. пример: ip route list table 1000 | grep 31.13.71.36 - не находит ip route list table 1000 | grep 31.13.71.3 - не находит ip route list table 1000 | grep 31.13.71. - не находит ip route list table 1000 | grep 31.13.7 - находит 31.13.70.0/22 dev nwg0 scope link так как маска 22 , то она включает в себя сети 31.13.70.0/24 и 31.13.71.0/24 если адрес пира действительно направлен в туннель, то надо добавить в исключения. это делается в файле Bird4Static/lists/bird4-isp.list ну и небольшое дополнение: маршруты работают только для Основного профиля Показать содержимое любые другие профили будут игнорировать то, что сделал скрипт и отрабатывать как расставлены приоритеты Привет, чет не могу разобраться: Во первых, я так понял что скрипт проверяет исключения роутов файлам ./Bird4Static/lists/user-isp.list и *.user-vpn.list, а не ./Bird4Static/lists/bird4-isp.list, потому что в /opt/etc/bird4-routes.list попадают те роуты которые я указываю в *user-isp.list. Во вторых, эти роуты попадают в конец списка, и получается так, что айпи моего впс сначала попадает в начало списка, т. е. роутит через интерфейс впна, потом попадет еще и в конец, т. е. роут через isp, в итоге выполняется ток первый роут, и соответственно ничего не работает. Работает ток при условии если вручную поменять в файле /opt/etc/bird4-routes.list, но соответственно при скачивании нового листа, это всё бесполезно. Как решить проблему? Edited March 24, 2022 by timur1337 Quote Link to comment Share on other sites More sharing options...
timur1337 Posted March 24, 2022 Share Posted March 24, 2022 И еще заметил вот такое: ~ # cat /opt/etc/bird4-routes.list | grep eth route 167.233.6.242/32 via "eth2.2"; route 167.233.7.36/32 via "eth2.2"; route 88.198.177.100/32 via "eth2.2"; route VPN_IP.0/24 via "eth2.2"; ~ # ip route list table 1000 | grep eth 88.198.177.100 dev eth2.2 scope link 167.233.6.242 dev eth2.2 scope link 167.233.7.36 dev eth2.2 scope link Я так понял что в list table должны попадать адреса из bird4-routes.list, но айпи впски не попадает) Quote Link to comment Share on other sites More sharing options...
DennoN Posted March 24, 2022 Author Share Posted March 24, 2022 8 часов назад, timur1337 сказал: Как решить проблему? решили проблему. указали адрес без маски и все сработало 21 час назад, Максим_ сказал: получаю -sh: ndmc: not found странно. у меня эта команда в entware на кинетике есть отрабатывает нормально 23 часа назад, mystique_man сказал: Где-то закралась ошибка в скриптах у Вас) возможно все-таки не тот интерфейс для isp выбран. или как-то хитро работает. у меня провайдер выдает сразу внешний адрес без ppoe или каких-либо других туннелей. Просто указываю интерфейс для отправки через eth3 и все. остальные протоколы не тестил из-за их отсутствия. тут нужно смотреть таблицу роутинга по умолчанию и то, что скрипт внес в 1000 таблицу Quote Link to comment Share on other sites More sharing options...
DennoN Posted March 24, 2022 Author Share Posted March 24, 2022 (edited) Обновление! v3.0 https://github.com/DennoN-RUS/Bird4Static/ 1) Добавлена возможность работы с двумя впн 2) Переделана логика маршрутизации, теперь в таблицу по более высокому приоритету попадают пользовательские маршруты, а во вторую таблицу маршруты с антифильтра 3) Теперь сам bird следит за тем, поднят впн или нет, если впн отключен, то маршрты для этого интерфейса удаляются из таблиц. При включении они сами добавляются 4) Переделано внесение изменений в файлы, теперь старые файлы с маршрутами не перезатираются, а просто изменяются до текущей версии (добавление/удаление строк происходит через патчи) 5) Ну и запилена автоустановка, теперь возможно 2 варианта- для одного впн и для двух, о чем она будет спрашивать при установке Может еще что-то изменилось, мог забыть. С текущими скриптами в 2 впн я сижу уже полгода, проблем не возникает. Систему с один впн протестировали с @timur1337 (у него заработало) Если кто-то будет ставить поверх старой, то лучше ознакомьтесь с описанием https://github.com/DennoN-RUS/Bird4Static/releases/tag/v3.0 @Максим_ тут уже не используются команды ndmc, так что можешь попробовать Edited March 24, 2022 by DennoN 2 Quote Link to comment Share on other sites More sharing options...
Toporbl Posted March 25, 2022 Share Posted March 25, 2022 (edited) Тянется из предыдущей версии красное. Всё работает, просто красное. И удалять пробовал строки и комментить, ругается на строку в листе ip как понимаю. KN-1010, 2 впн, перед установкой скрипта: entware установлен начисто, стоит filebrowser Из правок: адрес списков https://antifilter.download/list/ip.lst, пользовательские адреса в списке, в crontab закомменчены строки с папками где нет скрипта, чтобы в журнал не писал лишнего - может тут проблема? upd нет, раскоментил тоже самое( Ругается только при ручном обновлении после редактирования пользовательского списка. На месте красного должна быть надпись об обновлении списков. А так всё работает спасибо)) upd: после любого перезапуска роутера, через ssh reboot, через веб морду, через отключение питания. бёрд не запускается, даже если ручками скрипт стартануть ругается и не хочет... Failed to start bird4 from . /opt/etc/bird4-base-vpn1.list:1:20 syntax error upd: вся проблема из за https://antifilter.download/list/ip.lst, проблемы нет, вернул allyouneed как было всё стартует запускается) Edited March 25, 2022 by Toporbl Quote Link to comment Share on other sites More sharing options...
Максим_ Posted March 25, 2022 Share Posted March 25, 2022 9 часов назад, DennoN сказал: тут уже не используются команды ndmc, так что можешь попробовать да, большинство ресурсов теперь работает. единственный момент.. на проводном подключении и без bird4 инстаграм работает, сторис грузит. А на мегафоне инста заблокирована и даже используя ваш скрипт с bird4, сторис не грузятся. В остальном, вроде, порядок, Спасибо! Quote Link to comment Share on other sites More sharing options...
mystique_man Posted March 25, 2022 Share Posted March 25, 2022 (edited) 13 часа назад, DennoN сказал: решили проблему. указали адрес без маски и все сработало странно. у меня эта команда в entware на кинетике есть отрабатывает нормально возможно все-таки не тот интерфейс для isp выбран. или как-то хитро работает. у меня провайдер выдает сразу внешний адрес без ppoe или каких-либо других туннелей. Просто указываю интерфейс для отправки через eth3 и все. остальные протоколы не тестил из-за их отсутствия. тут нужно смотреть таблицу роутинга по умолчанию и то, что скрипт внес в 1000 таблицу аналогично. у меня билайн ipoe без дополнительных костылей. интерфейс выбран правильный (после сообщения дважды на двух роутерах ставил повторно). результат аналогичный к сожалению. попробую v3 Всё по прежнему. Какую информацию надо мне предоставить для поиска ошибки? p.s. провёл серию тестов. сложилось впечатление, что строки в файле user-vpn.list вообще игнорируются, а user-isp.list заворачиваются "вникуда". Edited March 25, 2022 by mystique_man Quote Link to comment Share on other sites More sharing options...
DennoN Posted March 25, 2022 Author Share Posted March 25, 2022 (edited) @mystique_man вывод команды ip route list и вывод команды ip route list table 1000 (если новая версия скриптов, то там будет только то, что в ручную направлено из конфигов) @Максим_ скорее всего нужно в впн перенаправить все сети истаграма. надо их список в инете найти Edited March 25, 2022 by DennoN Quote Link to comment Share on other sites More sharing options...
mystique_man Posted March 25, 2022 Share Posted March 25, 2022 11 минуту назад, DennoN сказал: @mystique_man вывод команды ip route list и вывод команды ip route list table 1000 (если новая версия скриптов, то там будет только то, что в ручную направлено из конфигов) @Максим_ скорее всего нужно в впн перенаправить все сети истаграма. надо их список в инете найти в личку отправил Quote Link to comment Share on other sites More sharing options...
mystique_man Posted March 25, 2022 Share Posted March 25, 2022 1 час назад, DennoN сказал: @mystique_man вывод команды ip route list и вывод команды ip route list table 1000 (если новая версия скриптов, то там будет только то, что в ручную направлено из конфигов) @Максим_ скорее всего нужно в впн перенаправить все сети истаграма. надо их список в инете найти https://pastebin.com/BEL8CkjN Для ленивых: маршруты телеграмма и facebook/meta/instagram согласно данным hurricane electric 1. Wireguard1 заменить на своё соединение 2. в конфиг роутера вставлять перед строкой ip dhcp pool _WEBADMIN p.s. от себя замечу, что у меня в данных маршрутах надобность отпала полностью, всё прекрасно работает через bird4 Quote Link to comment Share on other sites More sharing options...
DennoN Posted March 25, 2022 Author Share Posted March 25, 2022 12 часа назад, Toporbl сказал: upd: вся проблема из за https://antifilter.download/list/ip.lst, проблемы нет, вернул allyouneed как было всё стартует запускается) да, там скрипт нацелен на формат, что в этом листе адреса вида *.*.*.*/* а в ip.list формат *.*.*.* просто. в принципе что бы работало надо заменить строки в файле add-bird4_routes.sh cat $BLACKLIST | sed 's/^/route /' | sed 's/$/ via "'$VPN1'";/' | diff -u $ROUTE_BASE_VPN1 - | patch $ROUTE_BASE_VPN1 - cat $BLACKLIST | sed 's/^/route /' | sed 's/$/ via "'$VPN2'";/' | diff -u $ROUTE_BASE_VPN2 - | patch $ROUTE_BASE_VPN2 - на cat $BLACKLIST | sed 's/^/route /' | sed 's/$/\/32 via "'$VPN1'";/' | diff -u $ROUTE_BASE_VPN1 - | patch $ROUTE_BASE_VPN1 - cat $BLACKLIST | sed 's/^/route /' | sed 's/$/\/32 via "'$VPN2'";/' | diff -u $ROUTE_BASE_VPN2 - | patch $ROUTE_BASE_VPN2 - то есть добавить \/32 только когда я так пробовал у меня роутеру становилось плохо из-за количества маршрутов. слишком долго загружалась таблица. Quote Link to comment Share on other sites More sharing options...
avn Posted March 25, 2022 Share Posted March 25, 2022 Можно воспользоваться утилитой iprange. Она позволит задать префиксы, суффиксы, объединить диапазоны и т.д. Даже может отрезолвить домены. 1 Quote Link to comment Share on other sites More sharing options...
DennoN Posted March 25, 2022 Author Share Posted March 25, 2022 (edited) Обновление! v3.1 https://github.com/DennoN-RUS/Bird4Static/commit/6fa949c2b9d7b4fdd880bee4fb2b50d178be56cc алгоритмы добавления пользовательских адресов переделаны на утилиту iprange. удален теперь уже не нужный скрипт addip.sh, подчищены пробелы из файлов теперь можно заполнять файлы со своими доменами/адресами в таких вариантах: комментарии начинаются с решётки (#) или точки с запятой (;); один IP на строку (без маски); CIDR на строку (A.A.A.A/B); диапазон IP-адресов на строку (A.A.A.A - B.B.B.B); диапазон CIDR на строку (A.A.A.A/B - C.C.C.C/D); диапазон рассчитывается как сетевой адрес A.A.A.A/B до широковещательного адреса C.C.C.C/D; CIDR могут быть заданы либо в формате префикса, либо в формате сетевой маски во всех случаях (включая диапазоны); одно имя хоста в строке, разрешаемое с помощью DNS (если IP-адрес разрешается в несколько IP-адресов, все они будут добавлены) имена хостов не могут быть указаны в виде диапазонов; пробелы и пустые строки игнорируются. @avn спасибо за подсказку про iprange. удобная утилита) Edited March 25, 2022 by DennoN 5 2 Quote Link to comment Share on other sites More sharing options...
Aftalik Posted March 30, 2022 Share Posted March 30, 2022 В 26.03.2022 в 01:52, DennoN сказал: одно имя хоста в строке, разрешаемое с помощью DNS (если IP-адрес разрешается в несколько IP-адресов, все они будут добавлены) имена хостов не могут быть указаны в виде диапазонов; *.fbcdn.net - так нельзя? Quote Link to comment Share on other sites More sharing options...
DennoN Posted March 30, 2022 Author Share Posted March 30, 2022 5 часов назад, Aftalik сказал: *.fbcdn.net - так нельзя? к сожалению нет:( по идее утилита сможет срезолвить адрес, но получится узнать адрес только fbcdn.net. а какое-нибудь test.fbcdn.net если висит на другом адресе, то в лист перенаправления не попадет Quote Link to comment Share on other sites More sharing options...
Александр Рыжов Posted March 30, 2022 Share Posted March 30, 2022 7 часов назад, Aftalik сказал: *.fbcdn.net - так нельзя? Для этой цели придётся использовать dnsmasq, который умеет наполнять определённый ipset результатами разрешения заранее перечисленных DNS-имён. Как это подружить с bird4 я не знаю. Quote Link to comment Share on other sites More sharing options...
Дмитрий Медведев Posted April 1, 2022 Share Posted April 1, 2022 В 22.03.2022 в 15:13, DennoN сказал: в консоли opkg выполнить ip route list table 1000 | grep Тут указать ip адрес пира. У меня также был ip пира был в antifilter.list, правда эта команда не помогла, нашел через текстовый поиск в файле. Сейчас все работает, @DennoN спасибо! При добавлении некоторых доменов в кастомные user-isp.list и user-vpn.list появляются ошибки при запуске скрипта обновления: Для доступа через VPN - то, что было в файлах по умолчанию: ~ # ./Bird4Static/scripts/add-bird4_routes.sh patching file /opt/root/Bird4Static/lists/antifilter.list patching file /opt/etc/bird4-base-vpn1.list patching file /opt/etc/bird4-force-isp.list iprange: DNS: 'lostfilm.tv' will be retried: Temporary failure in name resolution iprange: DNS: 'rezka.ag' will be retried: Temporary failure in name resolution Добавленные домены: ~ # ./Bird4Static/scripts/add-bird4_routes.sh iprange: DNS: 'neberitrubku.ru' failed permanently: No address associated with hostname Какие-то домены добавились - например, leroymerlin.ru в user-isp.list и ip VPS-сервера с VPN. Quote Link to comment Share on other sites More sharing options...
DennoN Posted April 1, 2022 Author Share Posted April 1, 2022 (edited) 7 часов назад, Дмитрий Медведев сказал: правда эта команда не помогла если версия скрипта 3.* то команда такая ip route list table 1001 | grep ... так как в 1000 таблицу попадает только то, что указано в ручную. а в 1001 уже сам список с антифильтра а по поводу ошибки - кажется не может срезолвить адрес. может днс не успевает или еще что-то проверил командой iprange /opt/root/Bird4Static/Install/double_vpn/user-vpn.list 45.154.73.71 82.221.104.145 104.21.41.93 172.67.146.101 а вот поменял rezka.ag на rezka.ag1 и получил такое iprange /opt/root/Bird4Static/Install/double_vpn/user-vpn.list iprange: DNS: 'rezka.ag1' failed permanently: Name or service not known 45.154.73.71 104.21.41.93 172.67.146.101 Можно так проверять любой список, просто выполнив команду iprange /путь_до_списка Edited April 1, 2022 by DennoN 1 Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.