Дмитрий Чугунов

Имеется: роутер Keenetic Giga (KN-1011), подключённый к провайдеру по IPoE. На этом типе подключений провайдер доступ в итнернет по протоколу IPv6 не предоставляет, поэтому у меня создано подключение к туннельному брокеру 6in4. Поскольку некоторые сервисы, например, КиноПоиск, при активном 6in4-туннеле считают, что я нахожусь за границей, и отказываются работать, мне пришлось на флешку установить opkg-пакет "adguardhome-go", освободить для AdGuardHome (AGH) 53-й порт (командой "opkg dns-override") и настроить в AGH пользовательскими фильтрами, чтобы устройства в локалке получали для некоторых доменов только их IPv4-адреса. После установки в Entware xkeen по предложенным в этой теме инструкциям с созданием политики доступа в интернет "xkeen" и настройки, чтобы xkeen работал только на портах 80 и 443, я столкнулся с двумя проблемами, решения которых никак не могу найти. О первой проблеме я писал здесь. Вкратце: DNS-запросы от устройств локальной сети, выходящих в интернет через политику xkeen, на AGH приходят не с IP-адресов этих устройств (все зарегистрированные в локалке устройства у меня получают постоянные IP-адреса), а с адреса 127.0.0.1 (::1) - localhost, а если в консоли роутера выполнить, как мне посоветовали, команду "ip name-server 192.168.1.1", то есть указать в качестве главного DNS-сервера IP-адрес самого роутера, то именно с этого адреса. Впрочем, должен заметить, что сейчас, когда я удалил на роутере политику доступа в интернет для xkeen, и xkeen работает для всех устройств в локальной сети, DNS-запросы на AGH по-прежнему приходят с localhost либо, реже, - с локальных IPv6-адресов устройств, начинающихся на "fe80:". Только на прошивке 4.2b3 в журнале обработки запросов AGH были видны IP-адреса устройств, которые эти запросы направили, но, как мне сказали, это была не фича, а баг. Вторую проблему я обнаружил на прошлой неделе. Если я на телеприставке Mecool KM6 Deluxe решаю посмотреть фильм через ТоррСервер, запущенный на той же приставке, то спустя даже пару минут просмотра, если прекратить просмотр и попытаться в браузере на приставке открыть какой-нибудь сайт или открыть КиноПоиск, Wink, или YouTube, то получаю сообщения типа "unknown host" или "невозможно подключиться к серверу". Только приложение моего провайдера "Movix" работает, но и оно после запуска подсоединяется к своим серверам значительно дольше, чем до просмотра фильмов через ТоррСервер. При этом в настройках приставки в свойствах Wi-Fi-подключения нет никаких сообщений, что подключение к интернету отсутствует, хотя, если смотреть фильм через ТоррCервер до конца, то ближе к концу просмотра появляется всплывающее сообщение, что сеть не подключена к интернету. Чтобы сайты на приставке снова стали открываться в браузерах и заработали стриминговые приложения, мне приходится выключать и заново включать вай-фай на приставке. Я пробовал указывать адрес роутера как DNS-сервера в настройках DHCP Домашнего сегмента сети, пробовал прописывать адрес роутера в консоли командой "ip name-server 192.168.1.1", пробовал одновременно и то, и другое, пробовал выключать. а также заново включать транзит DNS-запросов в моём единственном системном профиле DNS на роутере, даже удалил политику подключения к сети для xkeen, перезагружая роутер каждый раз - и ничего из перечисленного мне не помогло: запуск просмотра фильмов через ТоррСервер ломает доступ к интернету на телеприставке. Если же я останавливаю AGH, возвращаю приоритет прошивочному DNS-сервису командой "no opkg dns-override" и прописываю в настройках DNS роутера те же DoT/DoH-серверы, что были указаны в AGH, то в этом случае доступ в интернет на телеприставке после просмотра фильмов через ТоррСервер перестаёт ломаться. При этом, я не даже не удалял из роутера политику для xkeen. Что нужно сделать, чтобы "подружить" xkeen/xray, AGH и мою телеприставку, чтобы не приходилось постоянно переподключать на приставке Wi-Fi?

Так как всё-таки должно выглядеть правило для iptables, чтобы DNS-запросы от клиентов с недефолтной политикой доступа в интернет отображались у AdGuardHome как поступившие с IP-адреса конкретного клиента, а не с IP-адреса роутера или c localhost? Поясню, зачем, например, мне это нужно. В AdGuardHome есть такая удобная фича: настройка безопасного веб-сёрфинга и/или блокировка доступности определённых сервисов (тех же YouTube, Steam, Telegram) парой кликов мышки для конкретных клиентов локальной сети. Но, насколько я понял из AdGuardHome Wiki, чтобы эта настройка работала, как полагается, нужно, чтобы AGH видел, с какого IP-адреса локальной сети к нему идут запросы (для регистрации клиентов на AGH по IP), либо включать на AGH DHCP-сервер, чтобы регистрировать клиентов в AGH по их MAC-адресам, чего мне делать не хочется. А в текущей ситуации на прошивках, отличных от 4.2 b3, DNS-запросы клиентов, у которых недефолтная политика доступа в интернет, получается, попадают в AGH с IP-адреса роутера, если в консоли введена команда ip name-server 192.168.1.1, или с адреса 127.0.0.1 (localhost), если команда ip name-server 192.168.1.1 в консоли не вводилась.

Ну, вот мои таблицы правил в nat PREROUTING: То есть мне надо до _NDM_DNS_REDIRECT вставить правила перенаправления DNS-запросов от устройств из политики xkeen на AdGuardHome? Как я понимаю, для этого мне нужно написать shell-скрипт для /opt/etc/ndm/netfilter.d/. Вот только я понятия не имею, что в нём писать.

А можно поподробнее? Что и куда нужно вписать, чтобы устройства с другой политикой доступа отправляли запросы на AdGuardHome? Потому что, после отката на прошивку 4.2 Beta 3, AdGuardHome стал получать запросы от клиентов с недефолтной политикой доступа без манипуляций с iptables.

Роутер Keenetic Giga (KN-1011). Вместо прошивочного DNS-сервиса используется AdGuardHome на флешке с Entware. После обновления прошивки до версии 4.2 Beta 4 от устройств, к которым применена политика доступа в интернет, отличная от политики по умолчанию, перестали приходить DNS-запросы на AdGuardHome.

Добрый день. Установил и настроил xkeen, но появилась проблема: на телеприставке клиенты Ютуба - и официальный, и неофициальный не могут подключиться к сети: официальный выдаёт сообщение "не удалось подключиться к сети", а SmartTube просто показывает бесконечную анимацию загрузки на стартовом экране. В чём может быть проблема? Мой inbounds: 03_inbounds.json Upd.: Приставка вообще сообщала, что Wi-fi не имеет доступа в интернет. Удалил её на роутере из политики Xkeen, выключил-включил вай-фай на приставке - перестала ругаться, что нет доступа в интернет. Однако мне нужно, чтобы политика Xkeen распространялась и на приставку и чтобы ютуб работал нормально, а не заявлял об отсутствии подключения к сети. Оказывается, я сам себе злобный буратино: скачал файл 05_routing.json из интернета, а там в настройках роутинга через VPS стояли строчки "ext:geosite_v2fly.dat:google" и "ext:geoip_v2fly.dat:google". И почему-то из-за этого приставка ругалась на недоступность интернета.

На Виве четвёртые сутки расход памяти колеблется между 38 и 41 процентом, На Гиге расход памяти колеблется в пределах 29-41 процента, не выше.

Роутеры Giga (KN-1011) и Viva (KN-1912). На обоих установлен компонент «Служба классификации трафика», на обоих запущен в качестве ДНС-сервиса AdGuardHome, а также используется сервис nfqws. На обоих роутерах из функций службы классификации трафика была включена только собственно классификация трафика, IntelliQoS был выключен (на Гиге при включении IntelliQoS скорость соединения сразу резалась процентов на сорок-пятьдесят от тарифа 500 мегабит/с., несмотря на то, что в графе «скорость соединения» я указывал и 500, и 600 и 999 мегабит, а на Виве и так тариф 100 мегабит, да и нет необходимости резать скорость низкоприоритетным устройствам - больше двух-трёх устройств одновременно в локалке не бывает). Также на обоих роутерах включён аппаратный сетевой ускоритель. После начала использования nfqws на обоих роутерах начались утечки памяти: за полтора-двое суток расход памяти увеличивался в два раза, с 35-40 до 70-80 процентов. На Гиге память утекала помедленнее, м.б. потому, что там в opkg были установлены и запущены ещё cron, syslog-ng, umurmur, samba-server (мне не нравится, что в tsmb нельзя выбрать, какие из подключённых к роутеру дисков расшаривать, а какие не надо) и wsdd2. А Вива несколько раз перезагружалась, когда расход памяти превышал 60 процентов. Отключение аппаратного сетевого ускорителя не помогало избавиться от утечек памяти. Утечки памяти не прекратились и после обновления на прошивку 4.2 beta 3, только, субъективно, память стала утекать помедленнее - не на 100 процентов за двое суток, а процентов на 75-80. Сегодня просто выключил на обоих роутерах классификацию трафика (не удаляя компонент «Служба классификации трафика») и за считанные минуты расход памяти снизился с 55-60 до 35-38 процентов.

У меня тоже.

GIGA-AX (KN-1011), прошивка 4.2 beta 1 из предварительного канала: та же проблема, что и у Vasek00. Я тут сбрасывал настройки - решил заново ручками воспроизвести старые настройки, а не импортировать, как раньше: на чистой системе, с минимумом сделанных настроек, только подключение и сети вайфай - страница списка клиентов загружается, но с тормозами, а когда восстановил все настройки - постоянно крутится анимация загрузки, независимо от способа входа (локально, по ip, или через интернет на keenetic.name). Помогает загрузить список клиентов, только если в мобильном приложении включить-выключить обратно интернет фильтры. Похоже, проблема как-то связана с тем, что у меня в качестве ДНС стоит AdGuardHome - до манипуляции с интернет фильтрами в мобильном приложении у меня на странице Монитора в блоке интернет-подключения в строке Интернет-фильтр было написано "OPKG", а после манипуляции - "Выключен". Upd: После перезагрузки роутера в Мониторе указано, что в качестве интернет-фильтра используется OPKG и опять не загружается список клиентов. Попробовал, как писал Vasek00, поиграть в мобильном приложении с настройками доступа для незарегистрированных клиентов - у меня эти манипуляции не вызвали загрузку списка клиентов.

Я писал в техподдержку по проблеме и кидал им селф-тесты. В результате мне порекомендовали повысить приоритет 6in4 туннеля над другими типами интернет-подключений: в веб-интерфейсе роутера на вкладке «Приоритет подключений», или в консоли поднять параметр ip global туннеля до максимального соответствующей командой. Сработало. Туннель начал работать нормально, как в версии 4.0b2.

Дано: роутер Keenetic-Giga (KN-1011) с прошивкой версии 4.0.0 из канала предварительных обновлений, подключённый по IPoE через провайдера Дом.ру, который на данном типе подключения не предоставляет доступ в Интернет по IPv6, арендованный белый статический IP и туннель 6in4 до туннельного брокера компании IP4Market, настроенный по инструкции с сайта help.keenetic.com. Туннель нормально работал... некоторое время назад, а сегодня я заметил, что ни из раздела диагностики в веб-интерфейсе роутера, ни с устройств подключённых к локальной сети не пингуются домены (тот же google.com, например) по протоколу IPv6 - на устройствах получаю сообщение: "не удалось обнаружить узел", а в окне диагностики роутера: "network unreachable". Когда начались проблемы, сказать не могу, так как специально работоспособность туннеля не отслеживал. Туннель, вроде как, работает, по крайней мере, в веб-интерфейсе роутера на вкладке "Маршрутизация" создаются следующие маршруты IPv6: но пинги по протоколу IPv6 не проходят. Я попробовал вводить в командной строке команду "ipv6 route default TunnelSixInFour0". В результате в списке действующих маршрутов IPv6 появляется маршрут: и в окне диагностики в веб-интерфейсе роутера пинги по протоколу IPv6 до домена google.com проходят, но ни с одного устройства в локальной сети пропинговать сайты по Ipv6 не получается: "не удалось обнаружить узел"; причём не помогает ни очистка кэша ДНС на устройстве, ни отключение и последующее включение сетевого адаптера на устройстве, ни перезагрузка устройства. А после перезагрузки роутера из списка действующих маршрутов IPv6 пропадает маршрут через туннель до адреса ::/0 и, соответственно, не удаётся пропинговать сайты по протоколу IPv6 через вкладку диагностики в веб-интерфейсе роутера ("network unreachable") и с подключенных к роутеру устройств, хотя в файлах конфигурации остаётся настройка "ipv6 route default TunnelSixInFour0". Которую, кстати, невозможно удалить командой "no ipv6 route default TunnelSixInFour0" ни в прошивке версии 4.0b2, ни в версии 4.0b3, ни в версии 4.0.0 - эта настройка остаётся даже после перезагрузки роутера после применения команд "no ipv6 route default TunnelSixInFour0" и "system configuration save". Удалить её возможно только вручную из сохранённого конфигурационного файла с последующей заменой отредактированным файлом файла startup-config. Неправильное поведение туннеля 6in4 наблюдается на версиях прошивки 4.0b3 и 4.0.0. После отката на прошивку 4.0b2 в списке действующих маршрутов IPv6 появляются все три маршрута: даже если команда "ipv6 route default TunnelSixInFour0" не вводилась в командной строке или была удалена из файла конфигурации. И туннель работает: сайты по протоколу IPv6 пингуются, при открытии сайта ipv6test.google.com мне пишут, что я использую протокол ipv6 (а на версиях прошивки 4.0b3 и 4.0.0 я при открытии этого сайта получал сообщение, что у меня протокол IPv6 не используется). На роутере сестры Keenetic-Viva (KN-1912) с предварительной прошивкой 4.0.0, подключённом к Дом.ру по PPPoE (на этом типе подключения Дом.ру предоставляет доступ в интернет по протоколу IPv6), никаких проблем с получением IPv6-адресов и IPv6-префикса не наблюдается. Похоже, проблема в настройках IPv6 только у туннеля 6in4.

Да, я участвую в программе бета-тестирования. Возможно, бета-тестерам обновление становится доступным раньше. Полное обозначение новой версии: 36 (142).

Отписался в техподдержку: запросили доступ в локацию и по результатам пообещали исправление в 36 версии. Сегодня приложение обновилось до 36 версии. Таки, ошибка пропала. Теперь настройки роутера в приложении работают.

В версии 35.2 (141) ошибка осталась.

После обновления приложения Keenetic с версии 34 на версию 35 оно перестало подключаться к роутеру Keenetic Giga (KN-1011) с KeeneticOS 3.8.5 stable: недоступны разделы настроек "Интернет", "Мои сети и Wi-Fi", "Сетевые правила", "Управление". В то же время к другому роутеру, Zyxel Keenetic Extra II с KeeneticOS 3.8.4 delta, это же приложение подключается без проблем. Ошибка возникла ещё в бета-версии 34.2 с установленной на роутере KeeneticOS 3.8.4 stable. Не помогала ни очистка кэша приложения, ни его переустановка, ни удаление роутера из приложения с последующим добавлением, ни обновление прошивки роутера на прошивку preview, ни последующий откат на стабильную прошивку. Писал в техподдержку на help.keenetic.com, они предложили выйти из программы бета-тестирования и установить стабильную версию приложения 34. Так я и сделал, и ошибка пропала. А после того, как приложение обновилось до версии 35, ошибка снова появилась.

В техподдержке ответили, что в версиях 3.8.х и 3.9.х проблема осталась, но обнадёжили, что компонент "Протокол Ipv6" в настоящее время находится в стадии глубокой переработки, и пообещали в будущих версиях полноценную поддержку IPv6. ...Может быть (это уже мои мечты) станет возможной также фильтрация DNS-запросов на A и AAAA, может быть даже в отношении отдельных доменов, что позволит получать для отдельных доменов только IPv4 или только IPv6 адреса без использования сторонних приложений.

Это я читал. Там явно не написано, что теперь индивидуальные профили корректно работают при установленном компоненте "Протокол IPv6". Вот я и интересуюсь, работают ли на новых прошивках индивидуальные профили интернет-фильтров корректно с протоколом IPv6. Чтобы знать, стоит ли мне обновлять прошивку на роутере сестры, чтобы установить для планшета десятилетнего племянника семейный фильтр, например, от Яндекса.

В базе знаний Кинетик в статьях, посвященных описанию работы фильтров Яндекс.DNS, AdGuard DNS, SkyDNS и Cloudflare DNS на прошивках версий 3.7.4 и более ранних, содержится приписка: А как обстоит дело с работой индивидуальных профилей интернет-фильтров для разных устройств в локальной сети при установленном компоненте "Протокол IPv6" на прошивках версий 3.8.х - 3.9.х?

Сегодня утром в 6 часов 13 минут, когда роутеру не было побдключено ничего кроме телефона в журнале появилась следующая запись: "Пробежавшись" по журналу, обнаружил, что аналогичные записи были в журнале и в 4:49 утра. Посмотрел сислоги за последний месяц: с 15 июня подобное происходило аж 18 раз, и всякий раз система прибивала процесс transmissiond. Это началось после обновления прошивки на версию 3.8.0 из канала предрелизов и продолжается уже в стабильной версии 3.8.2. Перезагрузил роутер. Пока демон трансмишн не убивается системой. Что случилось? Viva_log_20220701_065418.txt self-test_KN-1910_preview_3.08.C.2.0-0_router_2022-07-01T06-53-58.898Z.txt self-test_KN-1910_preview_3.08.C.2.0-0_router_2022-07-01T08-28-47.985Z.txt Viva_log_20220701_082828.txt

Спасибо. Попробую Adguard Home. Upd.: Ещё раз спасибо. Adguard Home работает как я и хотел.

В общем, я, кажется, разобрался, почему не запускался Bind Стартовый конфиг выглядел так: И ругалась named-checkkonf на строчки "include", поскольку упомянутых в них файлов на указанных в этих строчках местах не было. Не знаю, так ли необходимы эти файлы, так как, вроде бы, судя по статьям о Bind из интернета, всё то, что содержится в указанных в этих двух строчках файлах, можно внести в основной файл named.conf. В результате, мой named.conf стал выглядеть вот так: Этот конфиг проверку прошёл, я стартанул bind, и он запустился. После этого, я проверил, работу сервиса, как указанно в той статье: Но, к сожалению, сочетать его работу с встроенным в прошивку DNS-сервером не получается: роутер (через веб-интерфейс, по крайней мере) не позволяет добавить настройку, заставляющую направлять запрос IP-адреса сайта kinopoisk.ru на bind (127.0.0.1:2053). Можно ли это сейчас сделать через CLI? Можно ли добавить такую опцию в будущих релизах прошивок? Поставить dnsmasq на замену встроенного DNS-сервера, чтобы сделать всё в точности, как в той статье, не предлагайте -- мне хватило возни с одним bind-ом. А может, можно каким-то образом прикрутить к встроенному в прошивку DNS-прокси аналог плагина filter-AAAA для bind, чтобы в настройках "Интернет-фильтра" при добавлении dns-сервера для запросов IP определённого домена, можно было выставить флажок "получать только адрес IPv4"? И кстати, вопрос: а вот эта возможность в системном профиле "Интернет-фильтра" добавить адрес DNS-сервера для отдельного домена, она имеет высший приоритет, в смысле, если я в адресной строке браузера набираю имя определённого сайта, для которого я установил отдельный DNS-сервер, то запрос IP-адреса шлётся именно на этот сервер, и если вдруг он не отвечает, значит страница сайта не откроется? Или сначала на этот сервер, а если не получает ответа, то запрашивает другие?

Попробовал установить и настроить сервер Bind9, как написано по ссылке в предыдущем посте, а он не запускается по причине того, что не может загрузить файл конфигурации. С "родным" конфигом "из коробки" утилита named-checkconf выдаёт ошибку: "/opt/etc/bind/named.conf:18: parsing failed: file not found", а с поправленным конфигом: "/opt/etc/bind/named.conf:26: parsing failed: file not found" или "/opt/etc/bind/named.conf:28: parsing failed: file not found". Потыкавшись по просторам интернета я попробовал скопировать содержание исправленного конфига в буфер обмена, удалил его и, создав новый файл в mcedit, вставил в него скопированный текст и сохранил как named.conf. После чего named-checkconf выдала следующее сообщение: Ну и соответственно: В сислоге появилось вот такое сообщение: ЧЯДН?

Скажите, а можно как-то приспособить для кинетика вот это вот решение с использованием bind: https://openwrt.org/docs/guide-user/services/dns/bind-server-filter-aaaa? Чтоб как и в описанном примере bind работал, как дополнение к прошивочному DNS и занимался обработкой запросов только на конкретные домены?

Это я уже понял.