bird4

[Chernikov Ov]

А по YouTube есть красивое решение? или ждем пока внесут в листы (от комьюнити)?

Пока использую списки от https://github.com/touhidurrr/iplist-youtube + отловленные самостоятельно

@DennoN Можно интегрировать список от коллеги, чтобы он автообновлялся периодически?

[DennoN]

Я пока добавил в пользовательский файл

AS15169 #youtube

и оно работает. но там не только гуглвидео, там много чего

Сейчас в разработке дополнение к текущим скриптам, с использованием ipset на основе вот этой инстуркции, можно будет ставить как отдельно от bird, так и вместе. но нужен будет адругард или днсмаск. Есть еще такое решение, но в текщущем виде оно с bird вместе не будет работать.

Потом будет релиз дополнения и обновление основных скриптов, тогда можно например поставить bird + ipset-dns или дополнение

Edited August 4 by DennoN

[413xk]

В 05.08.2024 в 02:46, DennoN сказал:

AS15169 #youtube

и оно работает. но там не только гуглвидео, там много чего

 

Гугл Плей не может скачать обнову для приложух при такой маршрутизации к сожалению... Хотя ютуб действительно, потупил-потупил и сразу в максимальном качестве показывать стал.

Ждем, надеемся и верим

[DennoN]

Итак, это свершилось!

Вышел новый релиз Bird4Static 3.9
В нем изменений никаких, но добавлена возможность установить аддон IPset4Static 1.0 (да, с названиями я не заморачиваюсь😁)

Как поставить аддон: запустить ./Bird4Static/update.sh
оно само скачает новую версию Bird4Static, обновит конфиги, и в конце предложит установить IPset4Static.

!! Без обновления Bird, ipset лучше не ставить !!
После обновления BIrd можно использовать ipset-dns вместо IPset4Static

Итак, теперь о IPset4Static

1) Пользовательские файлы для заполнения будут:
здесь Bird4Static/IPset4Static/lists/user-ipset-*.list
и здесь Bird4Static/lists/user-ipset-*.list (это ссылки на изначальные файлы, так что не везде они могут быть видны)

Заполнять можно только доменами через пробел или построчно. В файлах не должно быть ничего лишнего! Поддерживаются комментарии если строка начинается со знака #, то вся строка будет проигнорирована.

2) После изменения пользовательских файлов нужно запустить скрипт
./Bird4Static/IPset4Static/scripts/update-ipset.sh
или так ./Bird4Static/scripts/update-ipset.sh (это ссылка на изначальный файл)
по факту соберет все в 1 конфигурационный файл и перезапустит днс

3) Пожалуй самое важное. Перед установкой нужно отдельно поставить adguardhome или dnsmasq, и естественно сделать их рабочим днс сервером, а от днс сервера кинетика нужно отказаться. Как это сделать, не готов рассказывать, можно погуглить adguardhome keenetic

4) Аддон может ставится как отдельно от Bird, так и вместе. Если bird не нужен, можно его удалить и поставить отдельно https://github.com/DennoN-RUS/IPset4Static

5) Система протестирована не полностью, возможно будет работать не так как задумывалось, возможно bird окажется главнее и если в нем есть маршруты, то будет идти по ним, игнорируя настройку ipset. Возможны и другие баги (хотя ничего критичного сломать не должно)

Идеи брал отсюда и отсюда. Спасибо авторам!

Edited August 7 by DennoN

[Chernikov Ov]

@DennoN

Спасибо за обновление! Обязательно надо будет потестировать.

Домены второго уровня IPset4Static 1.0 поддерживает? Т.е. можно указать *.гуглвидео.ком ?

В момент обращения клиента резловится IP или в таблицах хранится и обновляется периодически?

Мне кажется ранее тестировал подобное решение. Не зашло по причине медлительности в сравнении с Bird. И все равно работала через раз, т.е. указал домен, раз в какое то время по нему записываются в таблицу маршрутизации IP, но в момент обращения они могли быть другими и все не работало. Может сейчас это и работает адекватно, надо проверить.

Edited August 6 by Chernikov Ov

[DennoN]

Если укажешь гуглвидео.ком то и *.гуглвидео.ком туда же попадет. Дополнительно указывать не нужно.

Ip попадает в маршрутизацию в момент обращения к днс серверу за резолвом домена

[Reolins]

@DennoN - как можно подебажить решение с ipset? Есть проблема - в списке на vpn четыре домена, три домена идут через VPN, а четвертый продолжает идти через провайдера, при этом в AdguardHome я вижу резолвы этого проблемного домена.

[DennoN]

1) Команда должна показать в списке в том числе и ip этого домена

 ipset list ipset_vpn1

2) Если в bird есть конфиг, который направляет в провайдера, то проверить, что туда не затесалось ip того же сайта.

ip route list table 1020 | grep (интерфейс провайдера или часть ip сайта)

 

Edited August 7 by DennoN

[Reolins]

@DennoN - спасибо, вероятно есть некоторая задержка в обновлении ipset list, начинает работать не сразу после резолва.

Я правильно понимаю, что скриптовая обвязка этого ipset списка не предусматривает удаление из него неактуальных адресов без перезапуска роутера? Со временем список будет расти, адреса будут становиться неактуальными. Может его чистить периодически?

И еще вопрос - можно ли как-то сослаться на этот список в конфигурации bird.conf? Дело в том, что у меня несколько кинетиков и я на центральном поднял в bird отдельный протокол на экспорт маршрутов с bgp антифильтра (своего рода зеркало антифильтра+ руками указанные сети) для отдачи соседним кинетикам, чтобы не держать несколько сессий и рулить всем с 1 места - так вот хотелось бы иметь возможность дополнительно отдавать через bgp список  ipset_vpn1

Edited August 7 by Reolins

[DennoN]

33 минуты назад, Reolins сказал:

Я правильно понимаю, что скриптовая обвязка этого ipset списка не предусматривает удаление из него неактуальных адресов без перезапуска роутера?

ну вряд ли адреса станут не актуальными) пока можно так чистить /opt/etc/init.d/S03-ipset-table.sh restart

оно при стопе чистит списки ипсета. Про крон подумаю, возможно сделаю. нну и при обновлении списка тоже наврено стоит очищать ипсет, а то вдруг адрес оттуда удалили.

36 минут назад, Reolins сказал:

И еще вопрос - можно ли как-то сослаться на этот список в конфигурации bird.conf?

Можно пытаться выгружать текущие списки в ипсет и добавлять их в bird, но смысла в этом нет.
К примеру в ипсете у тебя уже прописано гуглвидео.ком, вот зашел ты на фывфыв.гуглвидео.ком. и тот ip отправился в ипсет, мы его каким-то макаром с задержкой отправили в bird. Потом отправляем этот список другому кинетику в bird. А там внезапно хотят открыть не фывфыв.гуглвидео.ком, а абвабв.гуглвидео.ком, у которого совершенно другой ип

[Keerum]

Можете, пожалуйста, подсказать по bird-bgp.conf или дать ссылочку, где про это можно доступно прочитать, документацию к bird я не осилил.

В конфиге из репо в правилах прописано import all:

protocol bgp antifilter {
    local as 64999;
    neighbor BPGIPINPUT as BGPASINPUT;
    multihop;
    hold time 240;
    ipv4 {
        table route_vpn1;
        import all;
        export none;
    };
}

С такими настройками часть сайтов работает, а часть нет. Например из `65432:500 - список комьюнити antifilter.download` сайты недоступны.

Сам вопрос: проблема где-то в другом месте или нужно вручную добавлять комьюнити в конфиг. Если вручную добавлять, то как?

Попытался добавить двумя способами, но не работает

bgp_community.add((65432,500));

port 500;

 

Edited August 9 by Keerum

[DennoN]

@Keerum

Вместо import all; прописать что то такое
    import filter
        {
        if (bgp_community ~ [(65432,100)]) then accept;
        if (bgp_community ~ [(65432,200)]) then accept;
        if (bgp_community ~ [(65432,400)]) then accept;
        if (bgp_community ~ [(65432,500)]) then accept;
        reject;
        };

Но эти правила наоборот ограничивают что получать. В конфиге по умолчанию импортируется все.

[Reolins]

@DennoN - после последних коммитов не получается склонировать репу -

git clone https://github.com/DennoN-RUS/IPset4Static.git

fatal: could not create leading directories of 'IPset4Static/.git'

[DennoN]

51 минуту назад, Reolins сказал:

fatal: could not create leading directories of 'IPset4Static/.git'

Мои коммиты там ни при чем. В ентваре после обновления пакета git его поломали. Возможно ещё от архитектуры процессора зависит

[Mihan]

@DennoN а можно ли обновиться и остаться на старой схеме без ipset ?

А то у меня кроме доменов ещё номера автономок и сети забиты ручками в пользовательские списки, а на ipset я так понимаю можно только доменные имена писать в списки

[DennoN]

Можно. Ipset это отдельная репа со своей установки и работает отдельно от bird. Как и bird работает отдельно от ипсета.

При обновлении bird всего лишь спросит: хотите установить дополнение или нет. Можно отказаться

[Reolins]

@DennoN - подскажите, а как заставить решение ipset работать для любой политики? Сейчас работает только на дефолтной, при этом если поменять в скрипте приоритет на 99 и 98 - все равно не работает

Текущий ip rule выглядит так

~ # ip rule
0:      from all lookup local
10:     from all fwmark 0xffffa00 lookup main
98:     from all fwmark 0x3f2 lookup 1010
99:     from all fwmark 0x3f3 lookup 1011
100:    from all fwmark 0xffffaaa lookup 10
101:    from all fwmark 0xffffaaa lookup unspec blackhole
102:    from all fwmark 0xffffaab lookup 11
103:    from all fwmark 0xffffaab lookup unspec blackhole
104:    from all fwmark 0xffffaac lookup 12
105:    from all fwmark 0xffffaac lookup unspec blackhole
106:    from all fwmark 0xffffaad lookup 13
107:    from all fwmark 0xffffaad lookup unspec blackhole
450:    from 95.31.9.83 lookup 74
451:    from 192.168.199.137 lookup 75
452:    from 192.168.114.1 lookup 76
32766:  from all lookup main
32767:  from all lookup default

 

[DennoN]

Тут я не силен. Для bird помогало, как ты сделал, для ипсета вообще не представляю)

Возможно дело в фаерволе и правила надо в самый верх вставлять, но это не точно)

[Reolins]

1 hour ago, DennoN said:

Тут я не силен. Для bird помогало, как ты сделал, для ипсета вообще не представляю)

Возможно дело в фаерволе и правила надо в самый верх вставлять, но это не точно)

Кажется это внутренняя логика, создал отдельный тред по этой теме

 

[furst]

Доброго времени суток.

antifilter.network вроде раздают по bgp подсети ютуба и гугла. Но прогрузка ютуба как будто не идёт через туннель. Траффик на интерфейсе не течёт, ютуб не открывается. Куда копать? Возможно в раздаваемых ими маршрутах не всё?

В таблице 1021 пачка подсетей есть. DNS и на провайдерском и на VPN интерфейсах одинаково 1.0.0.1\1.1.1.1.

 

[spatiumstas]

                                                   web4static 

                                                                                                                 (с названием тоже не заморачивался)

Веб-интерфейс (вдохновлено) + скрипт для установки в один клик без необходимости лезть в файлы

Скрытый текст

Репозиторий с установкой

Edited October 19 by spatiumstas

[Sr_psycho]

Товарищи, а ютюб похоже простым способом разблокировать нельзя, добавив его доменное имя в vpn лист?

[DennoN]

В 02.10.2024 в 20:30, Sr_psycho сказал:

Товарищи, а ютюб похоже простым способом разблокировать нельзя, добавив его доменное имя в vpn лист?

нельзя. выше сообщение о том как это сделать для bird

[Денис Молошников]

Здравствуйте! Подскажите пожалуйста, установил bird, все хорошо, все работает. Единственное, выбирая в настройках получать маршруты по BGP, маршруты с antifilter не прилетают. Что можно сделать, чтобы маршруты по BGP прилетали?

[DennoN]

1 час назад, Денис Молошников сказал:

Здравствуйте! Подскажите пожалуйста, установил bird, все хорошо, все работает. Единственное, выбирая в настройках получать маршруты по BGP, маршруты с antifilter не прилетают. Что можно сделать, чтобы маршруты по BGP прилетали?

антифильтра 2 штуки. и у второго 2 варианта работы с бгп. какой именно вариант не работает?

[Денис Молошников]

В 14.10.2024 в 19:32, DennoN сказал:

антифильтра 2 штуки. и у второго 2 варианта работы с бгп. какой именно вариант не работает?

При настройке выбираю либо 1 вариант (antifilter.download) либо 2 вариант (antifilter.network). С 3 вариантом с впн не пробовал. Я просто сравниваю с микротиком, на котором настраивал тоже самое на работе: там когда добавляешь BGP, динамически в прямом эфире наполняется таблица маршрутизации и при удалении подключения BGP таблица аналогично очищается. Тут же после выбора BGP и установки bird, файл с antifilter в папке lists пустой. И при этом вариант со скачкой файла с сайта antifilter работает штатно. Мне этого в целом хватило и работает сейчас всё именно в этом режиме, просто интересно разобраться почему BGP не хочет работать. (Может он конечно и работает, только я об этом не знаю, должен ли файл antifilter при этом заполняться?) И вопрос вдогонку, при условии конфигурации с двумя VPN через что ходят IP адреса прописанные в файле antifilter?

Edited October 17 by Денис Молошников

[DennoN]

30 минут назад, Денис Молошников сказал:

Тут же после выбора BGP и установки bird, файл с antifilter в папке lists пустой

а он и не должен заполняться. бгп не сохраняет свои таблицы в файл, все крутится в оперативке роутера
схема работы тут https://github.com/DennoN-RUS/Bird4Static/wiki/Схема
там видно, что при бгп файлы связанные с ним отсутствуют

про диагностику расписано тут
https://github.com/DennoN-RUS/Bird4Static/wiki/Диагностика#Полезные-команды
можно смотреть и статус бгп и что по факту находится в таблицах маршрутизации
 

30 минут назад, Денис Молошников сказал:

И вопрос вдогонку, при условии конфигурации с двумя VPN через что ходят IP адреса прописанные в файле antifilter?

через первый туннель, если его интерфейс не доступен или в состоянии down, то все оттуда будет идти через второй туннель. на схеме все так же это есть)

Edited October 17 by DennoN