avn

Для тех, кто в теме по dnsmasq и ADH, можете адаптировать под себя обвязку для YT. Без DNSMasq и AGH

Я ориентируюсь на свой опыт. Мне помогло. Тут каждый решает сам.

YT можно не пускать через VPN, достаточно фрагментировать sni. Что бы понять, кто занижает скорость, достаточно выполнить запросы curl. curl https://speedtest.selectel.ru/100MB -k -o/dev/null curl --connect-to ::speedtest.selectel.ru https://manifest.googlevideo.com/100MB -k -o/dev/null curl --connect-to ::speedtest.selectel.ru https://ya.ru/100MB -k -o/dev/null Первая с фрагментацией, вторая без.

В 4.2 уже добавлен. Wireguard: добавлены параметры Advanced Security Configuration (по запросу @UwU) [NDM-3202]: interface {name} wireguard asc {jc} {jmin} {jmax} {s1} {s2} {h1} {h2} {h3} {h4}

А почему у него не будет показывать ютуб?

interface GigabitEthernet1 no ip nat loopback ip host <domain> ip-адрес system configuration save

Это вообще-то тест для quic dns

@Le ecureuil думаю проблема в том, что мне ra анонсируют два маршрутизатора. Хотелось бы иметь возможность firewall ipv6/4 еще и по mac access-list _WEBADMIN_ISP deny icmp6 src mac 00:34:56:78

У провайдера все хорошо. А вот у кинетика явно проблема

Добрый день! После обновления на 4.1.3 перестал приходить шлюз по умолчанию. Посмотрите, пожалуйста.

В таблице имеет значение только это, остальное косвенное default dev ppp0 scope link

Может я вопроса не понял? json=`curl -kfsS http://localhost:79/rci/show/ip/policy 2>/dev/null | jq -r '.[] | select(.description == " S99sing-box")'` xt_mark=`echo $json | jq -r '.mark'` xt_table=`echo $json | jq -r '.table4'` xt_iface=`ip -4 route show table ${xt_table} | awk '/default/ { print $3 }'`

Не надо путать agh с браузером и dpi. Dns сервера режут рекламу, только по dns имени. Хотите резать рекламу пользуйтесь dpi, например squid

Можно с помощью nginx, хоть 100 sni

Может у провайдера проверка на мак адрес используется?

Лучше перейти на каталог и писать туда хоть 100 конфигов conf-dir=/opt/etc/dnsmasq.d/,*.dnsmasq

Кто вам такое сказал, что redirect не поддерживает udp? Достаточно посмотреть на правила iptables -t nat -nvL _NDM_HOTSPOT_DNSREDIR и понять, что кинетик активно использует redirect для udp

Сертификаты уже давно выдают на ip-адрес. Вам просто не повезло с вашим dns провайдером.

При указании имени сервера, используйте ip адрес

А плэйлист как выглядит? Надо понять что за траффик - мультикаст или обычный.

Да, учитываю, что роутеры у большинства это не aarch64, это отличная идея гнать весь траффик через v2ray\xray. Это правила, которые работают у меня, под себя модифицируем их самостоятельно. Мой выбор xray+dnsmasq+ipset

Остановился пока на такой конфигурации. Работают как запросы с bridge так и локальный траффик. Это просто магия какая-то. /opt/etc/ndm/netfilter.d/10m-v2ray.sh /opt/etc/v2ray/10-tproxy.json /opt/etc/v2ray/outgoing*

Т.е. если сторонний сайт будет висеть на порту 8443, то будем опять разбираться, почему не работает.

Причина найдена. Нормальной работе мешает правило -A INPUT -p tcp -m tcp --dport 443 -j _NDM_HTTP_INPUT_TLS_ Если его удалить, то все работает iptables -t mangle -D INPUT -p tcp -m tcp --dport 443 -j _NDM_HTTP_INPUT_TLS_ Админы, подскажите решение... @vst @Le ecureuil

Если по протоколу ipv4 без https (curl -4v http://ipecho.net/plain) - все работает. ~ # tcpdump -i br0 -vv host 34.160.111.145 tcpdump: listening on br0, link-type EN10MB (Ethernet), snapshot length 262144 bytes 17:33:40.554071 IP (tos 0x0, ttl 128, id 1840, offset 0, flags [DF], proto TCP (6), length 48) 192.168.97.123.65203 > 145.111.160.34.bc.googleusercontent.com.http: Flags [S], cksum 0xdcf3 (correct), seq 1370138167, win 64240, options [mss 1460,nop,nop,sackOK], length 0 17:33:40.554503 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 48) 145.111.160.34.bc.googleusercontent.com.http > 192.168.97.123.65203: Flags [S.], cksum 0xb477 (incorrect -> 0xbf73), seq 88121615, ack 1370138168, win 29200, options [mss 1460,nop,nop,sackOK], length 0 17:33:40.556456 IP (tos 0x0, ttl 128, id 1841, offset 0, flags [DF], proto TCP (6), length 40) 192.168.97.123.65203 > 145.111.160.34.bc.googleusercontent.com.http: Flags [.], cksum 0x6357 (correct), seq 1, ack 1, win 64240, length 0 17:33:40.558893 IP (tos 0x0, ttl 128, id 1842, offset 0, flags [DF], proto TCP (6), length 118) 192.168.97.123.65203 > 145.111.160.34.bc.googleusercontent.com.http: Flags [P.], cksum 0x0e68 (correct), seq 1:79, ack 1, win 64240, length 78: HTTP, length: 78 GET /plain HTTP/1.1 Host: ipecho.net User-Agent: curl/8.2.1 Accept: */* 17:33:40.559165 IP (tos 0x0, ttl 64, id 937, offset 0, flags [DF], proto TCP (6), length 40) 145.111.160.34.bc.googleusercontent.com.http > 192.168.97.123.65203: Flags [.], cksum 0xb46f (incorrect -> 0xebe9), seq 1, ack 79, win 29200, length 0 17:33:41.126494 IP (tos 0x0, ttl 64, id 938, offset 0, flags [DF], proto TCP (6), length 346) 145.111.160.34.bc.googleusercontent.com.http > 192.168.97.123.65203: Flags [P.], cksum 0xb5a1 (incorrect -> 0x24ca), seq 1:307, ack 79, win 29200, length 306: HTTP, length: 306 HTTP/1.1 200 OK server: istio-envoy date: Thu, 09 Nov 2023 14:33:50 GMT content-type: text/plain; charset=utf-8 content-length: 22 access-control-allow-origin: * x-envoy-upstream-service-time: 1 strict-transport-security: max-age=2592000; includeSubDomains Via: 1.1 google 2a00:1022::1 [|http] 17:33:41.138142 IP (tos 0x0, ttl 128, id 1843, offset 0, flags [DF], proto TCP (6), length 40) 192.168.97.123.65203 > 145.111.160.34.bc.googleusercontent.com.http: Flags [F.], cksum 0x6308 (correct), seq 79, ack 307, win 63934, length 0 17:33:41.184199 IP (tos 0x0, ttl 64, id 939, offset 0, flags [DF], proto TCP (6), length 40) 145.111.160.34.bc.googleusercontent.com.http > 192.168.97.123.65203: Flags [.], cksum 0xb46f (incorrect -> 0xeab6), seq 307, ack 80, win 29200, length 0 17:33:42.139804 IP (tos 0x0, ttl 64, id 940, offset 0, flags [DF], proto TCP (6), length 40) 145.111.160.34.bc.googleusercontent.com.http > 192.168.97.123.65203: Flags [F.], cksum 0xb46f (incorrect -> 0xeab5), seq 307, ack 80, win 29200, length 0 17:33:42.141353 IP (tos 0x0, ttl 128, id 1844, offset 0, flags [DF], proto TCP (6), length 40) 192.168.97.123.65203 > 145.111.160.34.bc.googleusercontent.com.http: Flags [.], cksum 0x6307 (correct), seq 80, ack 308, win 63934, length 0