[Xkeen]

12 hours ago, NoAdO said:

Верно, и это важно. 853 это DoT или QUIC и для установки шифрованного соединения нужен и домен и сертификат к нему. Но у меня белый IP и A-запись так что всё в порядке.

Извиняюсь за оффтоп. Финализирую обсуждение по AGH. Если я правильно получается примерно следующее: 

Spoiler

Настройка домена

Добавляем A запись dns.site.ru и указываем белый IP адрес роутера

Entware
— Ставим ca-bundle и ca-certificates 
— Настраиваем Nginx для домена dns.site.ru
— Настраиваем Let's Encrypt по инструкции

AdguardHome

— Имя сервера → dns.site.ru
— Добавляем Сертификаты и приватный ключ из Enware

Подскажите, есть ли разница именного для мобильно устройства, где стоит AGH на роутере и vps? 

[Xkeen]

7 hours ago, NoAdO said:

Логика работы в том, что AGH заменяет родной DNS сервер, то есть клиенты локальной сети всё так же работают с *.1 и внутри локалки это нешифрованные запросы. Сам AGH же имеет в основном списке серверов исключительно DoT, DoH вышестоящие серверы, нешифрованный DNS запрос идёт только к bootstrap серверам чтобы выяснить на каких IP живут DoH/DoT.

Спасибо за разъяснение))

Задача, как раз чтобы провайдер в рамках домашней сети, как раз не перехватывал. Я поставил AGH в Entware, есть ли смысл в настройках роутера отключать:
1. Отключать ДНС сервер от провайдера в интернет-фильтрах? 
2. Игнорировать ДНС в настройках подключения активировать?

Насколько я понимаю он автоматически уже переадресовывает все запросы на AGH, так как при настройке штатный отключается.

7 hours ago, NoAdO said:

Что касается телефона вне локальной сети, у меня белый IP и есть доменное имя, так что полученный сертификат добавлен в AGH и порт 853 открыт на роутер

В топике про AGH пишут, что нет смысла шифровать и так мол никаких проблем не будет. Но я тут неуверен, так как слабо разбираюсь в теме. Буду рад вашему комментарию.

Правильно ли я понял, что домен у вас не сервисный от кинетика прикручен к роутеру?

[Xkeen]

4 hours ago, NoAdO said:

На роутере установлен AdGuard Home ( далее AGH), который также используется как DoT сервер для телефона не из дома так что DNS мы не трогаем (так-то могли бы и DNS туда завернуть). Помним, что в этом варианте даже если AGH использует DoT/DoH или прочие защищённые протоколы, ему всё равно надо у кого-то сперва спросить, на каком IP находится домен с DoT у которого он потом всё спрашивать будет. Это в AGH называется bootstrap DNS и провайдер этот запрос увидит, хоть ничего незаконного в использовании защищённых DNS и нет.

Подскажите, как настраивали AdGuard Home для DoT/DoH на кинетике и телефоне?

[Xkeen]

Спасибо. Правильно понял, что смысла менять DNS-провайдера нет?

[Xkeen]

@jameszero вот, что выдается с разных устройств:

Spoiler

#ноут
m@macbook ~ % telnet 77.88.8.1 853
Trying 77.88.8.1...
Connected to secondary.dns.yandex.ru.
Escape character is '^]'.
Connection closed by foreign host.

#entware
~ # telnet 77.88.8.1 853
Connected to 77.88.8.1
Connection closed by foreign host

 

 

[Xkeen]

@Skrill0 спасибо за офигенное решение, работает с 3x-ui идеально)

Подскажите, пару моментов, которые не смог найти в топике:
1. Как быть с ошибками днс в логах ("DoT "Policy0" proxy #0": unexpectedly stopped)? Пробовал и Cloudflare 1.1.1.1 все равно сыпятся 

Spoiler

[I] Jan 30 02:27:18 ndm: Dns::Secure::DotConfigurator: "System": using "77.88.8.1:853:77.88.8.1" as upstream. 
[I] Jan 30 02:27:18 ndm: Dns::Secure::DotConfigurator: "System": using "8.8.8.8:853:8.8.8.8" as upstream. 
[I] Jan 30 02:27:18 ndm: Dns::Secure::DotConfigurator: "Policy0": using "77.88.8.1:853:77.88.8.1" as upstream. 
[I] Jan 30 02:27:18 ndm: Dns::Secure::DotConfigurator: "Policy0": using "8.8.8.8:853:8.8.8.8" as upstream. 
[I] Jan 30 02:27:20 stubby: starting Stubby 0.4.0 
[I] Jan 30 02:27:20 stubby: Core::Syslog: last message repeated 3 times.
[E] Jan 30 02:29:56 stubby: "77.88.8.1": too many failed requests, try to reload process 
[E] Jan 30 02:29:56 ndm: Service: "DoT "Policy0" proxy #0": unexpectedly stopped. 
[I] Jan 30 02:29:59 stubby: starting Stubby 0.4.0 
[E] Jan 30 02:32:55 stubby: "77.88.8.1": too many failed requests, try to reload process 
[E] Jan 30 02:32:55 ndm: Service: "DoT "Policy0" proxy #0": unexpectedly stopped. 
[I] Jan 30 02:32:58 stubby: starting Stubby 0.4.0 

2. В чем разница между GeoSite и GeoIP? Для Redirect хватит только GeoSite?

[Пробуем КВАС]

21 hours ago, Slaxery said:

Здравствуйте.

Выполнил kvas ugrade full, получил следующее:

 

 

Было тоже самое, но помогла такая последовательность команд с подключением Shadowsocks:

reboot
kvas ssr new
kvas vpn scan
kvas vpn set

Все ошибки исчезли

[Пробуем КВАС]

Всем привет! В связи с вчерашними блокировками WG решил закинуть Shadowsocks и как в посте ловлю ошибку. @Zelezaподскажите, пожалуйста, что делать?

kvas debug

Spoiler

~ # kvas debug
-----------------------------------------------------------------------------------
Версия пакета 1.1.7                                                 
-----------------------------------------------------------------------------------
Текущая дата и время Fri Jan 19 19:16:33 +07 2024

-----------------------------------------------------------------------------------
Информация о роутере
-----------------------------------------------------------------------------------
Страна: RU
Модель: KN-3810
Продукт: Hopper
Страна_: EA
Тип архитектуры: mipsel

Журнал установки пакета:
-----------------------------------------------------------------------------------
Текущее VPN соединение: wgcf-profile_keenetic (Wireguard2)         
УСТАНОВЛЕН список разблокировки ПО УМОЛЧАНИЮ.
Шифрование DNS трафика (dnscrypt-proxy2) ВКЛЮЧЕНО.
Блокировка рекламы НЕ УСТАНОВЛЕНА..
-----------------------------------------------------------------------------------
Установка завершена: 19/01/2024 18:47:39

-----------------------------------------------------------------------------------
Список ошибок из системного журнала
-----------------------------------------------------------------------------------
 Сброс пакета КВАС в исходное состояние ЗАВЕРШЕН!
 Jan 19 19:10:43

Доступные VPN интерфейсы в системе 
-----------------------------------------------------------------------------------
shadowsocks = [shadowsocks | shadowsocks]
wg1 = [Wireguard1 | wg1]
wgcf-profile_keenetic = [Wireguard2 | wgcf-profile_keenetic]

-----------------------------------------------------------------------------------
Состояние службы dnsmasq по команде                                 
/opt/etc/init.d/S56dnsmasq status                                   ЗАПУЩЕНА
-----------------------------------------------------------------------------------
Выборка из файла конфигурации dnsmasq: /opt/etc/dnsmasq.conf
-----------------------------------------------------------------------------------
user=nobody
pid-file=/var/run/opt-dnsmasq.pid
interface=br0
listen-address=192.168.1.1
listen-address=127.0.0.1
port=53
addn-hosts=/opt/etc/hosts
conf-dir=/opt/etc/dnsmasq.d/,*.dnsmasq
proxy-dnssec

Состояние службы dnscrypt-proxy2                                    ЗАПУЩЕНА
-----------------------------------------------------------------------------------
Отчет по прослушиванию порта dnscrypt-proxy [9153]
команда: netstat -ltunp | grep "dnscrypt"
-----------------------------------------------------------------------------------
tcp 0 0 :::9153 :::* LISTEN 7325/dnscrypt-proxy
udp 0 0 :::9153 :::* 7325/dnscrypt-proxy

-----------------------------------------------------------------------------------
Выборка из файла конфигурации dnscrypt-proxy2 /opt/etc/dnscrypt-proxy.toml
-----------------------------------------------------------------------------------
listen_addresses = ['[::]:9153']
cache = true

-----------------------------------------------------------------------------------
Список разблокировки в /opt/etc/dnsmasq.d/kvas.dnsmasq (все записи)
-----------------------------------------------------------------------------------
ipset=/:.*2ip\.ru:/unblock
ipset=/:.*4pda\.ru:/unblock
ipset=/:.*ads-twitter\.com:/unblock
ipset=/:.*bing\.com:/unblock
ipset=/:.*browserleaks\.com:/unblock
ipset=/:.*kinozal\.tv:/unblock
ipset=/:.*live\.com:/unblock
ipset=/:.*meta\.com:/unblock
ipset=/:.*microsoft\.com:/unblock
ipset=/:.*microsoft365\.com:/unblock
ipset=/:.*netflix\.com:/unblock
ipset=/:.*oaistatic\.com:/unblock
ipset=/:.*openai\.com:/unblock
ipset=/:.*openwrt\.org:/unblock
ipset=/:.*whatsapp\.net:/unblock
ipset=/myip2.ru/unblock

-----------------------------------------------------------------------------------
Состояние службы shadowsocks                                        ЗАПУЩЕНА
-----------------------------------------------------------------------------------
Отчет по прослушиванию порта shadowsocks [1080]
команда: netstat -ltunp | grep "ss-redir"
-----------------------------------------------------------------------------------
tcp 0 0 0.0.0.0:1080 0.0.0.0:* LISTEN 29635/ss-redir
udp 0 0 0.0.0.0:1080 0.0.0.0:* 29635/ss-redir

-----------------------------------------------------------------------------------
Выборка из файла конфигурации shadowsocks /opt/etc/shadowsocks.json
-----------------------------------------------------------------------------------
{
    "method":"chacha20-ietf-poly1305",
    "mode":"tcp_and_udp",
    "local_address":"0.0.0.0",
    "local_port":1080,
    "timeout":600
}

-----------------------------------------------------------------------------------
Переустановка iptables для shadowsocks завершена                    УСПЕШНО
-----------------------------------------------------------------------------------
Правила перенаправления трафика unblock в iptables
команда: iptables-save | grep -E 'SHADOWSOCKS|VPNREDIR|unblock'
-----------------------------------------------------------------------------------
:SHADOWSOCKS - [0:0]
-A PREROUTING -i br0 -p tcp -m set --match-set unblock dst -j REDIRECT --to-ports 1181
-A PREROUTING -i br0 -p udp -m set --match-set unblock dst -j REDIRECT --to-ports 1181
-A SHADOWSOCKS -d 0.0.0.0/8 -j RETURN
-A SHADOWSOCKS -d 127.0.0.0/8 -j RETURN
-A SHADOWSOCKS -d 10.0.0.0/8 -j RETURN
-A SHADOWSOCKS -d 169.254.0.0/16 -j RETURN
-A SHADOWSOCKS -d 172.16.0.0/12 -j RETURN
-A SHADOWSOCKS -d 192.168.0.0/16 -j RETURN
-A SHADOWSOCKS -d 224.0.0.0/4 -j RETURN
-A SHADOWSOCKS -d 240.0.0.0/4 -j RETURN
-A SHADOWSOCKS -d 5.252.118.74/32 -j RETURN

-----------------------------------------------------------------------------------
Список разблокировки /opt/etc/hosts.list (все записи)
-----------------------------------------------------------------------------------
*2ip.ru
*4pda.ru
*ads-twitter.com
*bing.com
*browserleaks.com
*kinozal.tv
*live.com
*meta.com
*microsoft.com
*microsoft365.com
*netflix.com
*oaistatic.com
*openai.com
*openwrt.org
*whatsapp.net
myip2.ru

-----------------------------------------------------------------------------------
DNS сервер, используемый в /opt/apps/kvas/bin/main/ipset
-----------------------------------------------------------------------------------
@127.0.0.1:9153

-----------------------------------------------------------------------------------
Проверка наличия ip адресов хостов в таблице ipset 
команда 'ipset list unblock'
-----------------------------------------------------------------------------------
2ip.ru --> 195.201.201.35                                           В ТАБЛИЦЕ
4pda.ru --> 104.21.68.2|172.67.183.145                              В ТАБЛИЦЕ
ads-twitter.com                                                     АДРЕСА НЕТ
bing.com --> 13.107.21.200|204.79.197.200                           В ТАБЛИЦЕ
browserleaks.com --> 104.236.69.55                                  В ТАБЛИЦЕ
kinozal.tv --> 188.114.96.1|188.114.97.1                            В ТАБЛИЦЕ
live.com --> 204.79.197.212                                         В ТАБЛИЦЕ
meta.com --> 31.13.72.8                                             В ТАБЛИЦЕ
microsoft.com --> 20.231.239.246|20.76.201.171|20.112.250.133|20... В ТАБЛИЦЕ
microsoft365.com --> 13.107.6.156                                   В ТАБЛИЦЕ
netflix.com --> 18.200.8.190|54.155.246.232|54.73.148.110           В ТАБЛИЦЕ
oaistatic.com --> 104.18.41.158|172.64.146.98                       В ТАБЛИЦЕ
openai.com --> 13.107.246.45|13.107.213.45                          В ТАБЛИЦЕ
openwrt.org --> 64.226.122.113                                      В ТАБЛИЦЕ
whatsapp.net --> 31.13.81.53                                        В ТАБЛИЦЕ
myip2.ru --> 81.90.181.105                                          В ТАБЛИЦЕ

В логах ротура ошибки:

Spoiler

Янв 19 19:10:43 КВАС
ОШИБКА::IPv4:: Возникла ошибка при создании таблицы маршрутизации ID#1001 для 'shadowsocks' интерфейса
Янв 19 19:10:43 КВАС
ОШИБКА::IPv4:: В таблицу с ID#1001 НЕ БЫЛИ скопированы записи из таблицы main!
Янв 19 19:10:43 КВАС
Сброс пакета КВАС в исходное состояние ЗАВЕРШЕН!

 

[Ошибка авторизации по ключу]

Отвечу сам себе. Самый простой вариант поставить OpenSSH. 5 минут и все работает

[Ошибка авторизации по ключу]

19 minutes ago, Mamay said:

Вы не поняли посыла. Штатный ssh не умеет пока по ключу. Народ давно просит и отсылается в сторону entware...

Я это понимаю, но в темах все пишут, что в Entware по ssh можно подключиться через drobear. 

[Ошибка авторизации по ключу]

8 hours ago, Mamay said:

Раз, два, три. Дальше было лень ковырять...

Понятно, это я и сам ковырял с помощью поиска. Жаль, что даже не читали темы. Там почти все кроме полупустые без ответов. 

[Ошибка авторизации по ключу]

Пытаюсь подключиться по SSH без пароля, но авторизация не проходит. Нужна помощь, чтобы понять, что делаю не так. 

Логи

Spoiler

mt@Mikhail-Macbook ~ % ssh -p '222' root@9.189.172.8 -vvv                                 
OpenSSH_8.6p1, LibreSSL 3.3.6
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 21: include /etc/ssh/ssh_config.d/* matched no files
debug1: /etc/ssh/ssh_config line 54: Applying options for *
debug2: resolve_canonicalize: hostname 9.189.172.8 is address
debug3: expanded UserKnownHostsFile '~/.ssh/known_hosts' -> '/Users/mt/.ssh/known_hosts'
debug3: expanded UserKnownHostsFile '~/.ssh/known_hosts2' -> '/Users/mt/.ssh/known_hosts2'
debug1: Authenticator provider $SSH_SK_PROVIDER did not resolve; disabling
debug3: ssh_connect_direct: entering
debug1: Connecting to 9.189.172.8 [9.189.172.8] port 222.
debug3: set_sock_tos: set socket 3 IP_TOS 0x48
debug1: Connection established.
debug1: identity file /Users/mt/.ssh/id_rsa type 0
debug1: identity file /Users/mt/.ssh/id_rsa-cert type -1
debug1: identity file /Users/mt/.ssh/id_dsa type 1
debug1: identity file /Users/mt/.ssh/id_dsa-cert type -1
debug1: identity file /Users/mt/.ssh/id_ecdsa type 2
debug1: identity file /Users/mt/.ssh/id_ecdsa-cert type -1
debug1: identity file /Users/mt/.ssh/id_ecdsa_sk type -1
debug1: identity file /Users/mt/.ssh/id_ecdsa_sk-cert type -1
debug1: identity file /Users/mt/.ssh/id_ed25519 type -1
debug1: identity file /Users/mt/.ssh/id_ed25519-cert type -1
debug1: identity file /Users/mt/.ssh/id_ed25519_sk type -1
debug1: identity file /Users/mt/.ssh/id_ed25519_sk-cert type -1
debug1: identity file /Users/mt/.ssh/id_xmss type -1
debug1: identity file /Users/mt/.ssh/id_xmss-cert type -1
debug1: Local version string SSH-2.0-OpenSSH_8.6
debug1: Remote protocol version 2.0, remote software version dropbear
debug1: compat_banner: no match: dropbear
debug2: fd 3 setting O_NONBLOCK
debug1: Authenticating to 9.189.172.8:222 as 'root'
debug3: put_host_port: [9.189.172.8]:222
debug3: record_hostkey: found key type ED25519 in file /Users/mt/.ssh/known_hosts:12
debug3: load_hostkeys_file: loaded 1 keys from [9.189.172.8]:222
debug1: load_hostkeys: fopen /Users/mt/.ssh/known_hosts2: No such file or directory
debug1: load_hostkeys: fopen /etc/ssh/ssh_known_hosts: No such file or directory
debug1: load_hostkeys: fopen /etc/ssh/ssh_known_hosts2: No such file or directory
debug3: order_hostkeyalgs: have matching best-preference key type ssh-ed25519-cert-v01@openssh.com, using HostkeyAlgorithms verbatim
debug3: send packet: type 20
debug1: SSH2_MSG_KEXINIT sent
debug3: receive packet: type 20
debug1: SSH2_MSG_KEXINIT received
debug2: local client KEXINIT proposal
debug2: KEX algorithms: curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256,ext-info-c
debug2: host key algorithms: ssh-ed25519-cert-v01@openssh.com,ecdsa-sha2-nistp256-cert-v01@openssh.com,ecdsa-sha2-nistp384-cert-v01@openssh.com,ecdsa-sha2-nistp521-cert-v01@openssh.com,sk-ssh-ed25519-cert-v01@openssh.com,sk-ecdsa-sha2-nistp256-cert-v01@openssh.com,rsa-sha2-512-cert-v01@openssh.com,rsa-sha2-256-cert-v01@openssh.com,ssh-rsa-cert-v01@openssh.com,ssh-ed25519,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,sk-ssh-ed25519@openssh.com,sk-ecdsa-sha2-nistp256@openssh.com,rsa-sha2-512,rsa-sha2-256,ssh-rsa
debug2: ciphers ctos: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
debug2: ciphers stoc: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
debug2: MACs ctos: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug2: MACs stoc: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug2: compression ctos: none,zlib@openssh.com,zlib
debug2: compression stoc: none,zlib@openssh.com,zlib
debug2: languages ctos: 
debug2: languages stoc: 
debug2: first_kex_follows 0 
debug2: reserved 0 
debug2: peer server KEXINIT proposal
debug2: KEX algorithms: curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group14-sha256,diffie-hellman-group14-sha1,kexguess2@matt.ucc.asn.au
debug2: host key algorithms: ssh-ed25519,ecdsa-sha2-nistp256,rsa-sha2-256,ssh-rsa
debug2: ciphers ctos: chacha20-poly1305@openssh.com,aes128-ctr,aes256-ctr
debug2: ciphers stoc: chacha20-poly1305@openssh.com,aes128-ctr,aes256-ctr
debug2: MACs ctos: hmac-sha1,hmac-sha2-256
debug2: MACs stoc: hmac-sha1,hmac-sha2-256
debug2: compression ctos: none
debug2: compression stoc: none
debug2: languages ctos: 
debug2: languages stoc: 
debug2: first_kex_follows 0 
debug2: reserved 0 
debug1: kex: algorithm: curve25519-sha256
debug1: kex: host key algorithm: ssh-ed25519
debug1: kex: server->client cipher: chacha20-poly1305@openssh.com MAC: <implicit> compression: none
debug1: kex: client->server cipher: chacha20-poly1305@openssh.com MAC: <implicit> compression: none
debug3: send packet: type 30
debug1: expecting SSH2_MSG_KEX_ECDH_REPLY
debug3: receive packet: type 31
debug1: SSH2_MSG_KEX_ECDH_REPLY received
debug1: Server host key: ssh-ed25519 SHA256:36jy3RmWhJ6vCoByIGDqbC06Hm6Ctcdm6B8EQNPywrA
debug3: put_host_port: [9.189.172.8]:222
debug3: put_host_port: [9.189.172.8]:222
debug3: record_hostkey: found key type ED25519 in file /Users/mt/.ssh/known_hosts:12
debug3: load_hostkeys_file: loaded 1 keys from [9.189.172.8]:222
debug1: load_hostkeys: fopen /Users/mt/.ssh/known_hosts2: No such file or directory
debug1: load_hostkeys: fopen /etc/ssh/ssh_known_hosts: No such file or directory
debug1: load_hostkeys: fopen /etc/ssh/ssh_known_hosts2: No such file or directory
debug1: Host '[9.189.172.8]:222' is known and matches the ED25519 host key.
debug1: Found key in /Users/mt/.ssh/known_hosts:12
debug3: send packet: type 21
debug2: set_newkeys: mode 1
debug1: rekey out after 134217728 blocks
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug3: receive packet: type 21
debug1: SSH2_MSG_NEWKEYS received
debug2: set_newkeys: mode 0
debug1: rekey in after 134217728 blocks
debug1: Skipping ssh-dss key /Users/mt/.ssh/id_dsa - corresponding algo not in PubkeyAcceptedAlgorithms
debug1: Will attempt key: /Users/mt/.ssh/id_rsa RSA SHA256:Vdv913BnrwYx4IGogTF7AxczgreDBdwJczgW/H70l/A
debug1: Will attempt key: /Users/mt/.ssh/id_ecdsa ECDSA SHA256:EY+t6Gg3dKfnB4Z8zLku+zCwwel6ix51nmUDw6ug5wA
debug1: Will attempt key: /Users/mt/.ssh/id_ecdsa_sk 
debug1: Will attempt key: /Users/mt/.ssh/id_ed25519 
debug1: Will attempt key: /Users/mt/.ssh/id_ed25519_sk 
debug1: Will attempt key: /Users/mt/.ssh/id_xmss 
debug2: pubkey_prepare: done
debug3: send packet: type 5
debug3: receive packet: type 7
debug1: SSH2_MSG_EXT_INFO received
debug1: kex_input_ext_info: server-sig-algs=<ssh-ed25519,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,rsa-sha2-256,ssh-rsa>
debug3: receive packet: type 6
debug2: service_accept: ssh-userauth
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug3: send packet: type 50
debug3: receive packet: type 51
debug1: Authentications that can continue: publickey
debug3: start over, passed a different list publickey
debug3: preferred publickey,keyboard-interactive,password
debug3: authmethod_lookup publickey
debug3: remaining preferred: keyboard-interactive,password
debug3: authmethod_is_enabled publickey
debug1: Next authentication method: publickey
debug1: Offering public key: /Users/mt/.ssh/id_rsa RSA SHA256:Vdv913BnrwYx4IGogTF7AxczgreDBdwJczgW/H70l/A
debug3: send packet: type 50
debug2: we sent a publickey packet, wait for reply
debug3: receive packet: type 51
debug1: Authentications that can continue: publickey
debug1: Offering public key: /Users/mt/.ssh/id_ecdsa ECDSA SHA256:EY+t6Gg3dKfnB4Z8zLku+zCwwel6ix51nmUDw6ug5wA
debug3: send packet: type 50
debug2: we sent a publickey packet, wait for reply
debug3: receive packet: type 51
debug1: Authentications that can continue: publickey
debug1: Trying private key: /Users/mt/.ssh/id_ecdsa_sk
debug3: no such identity: /Users/mt/.ssh/id_ecdsa_sk: No such file or directory
debug1: Trying private key: /Users/mt/.ssh/id_ed25519
debug3: no such identity: /Users/mt/.ssh/id_ed25519: No such file or directory
debug1: Trying private key: /Users/mt/.ssh/id_ed25519_sk
debug3: no such identity: /Users/mt/.ssh/id_ed25519_sk: No such file or directory
debug1: Trying private key: /Users/mt/.ssh/id_xmss
debug3: no such identity: /Users/mt/.ssh/id_xmss: No such file or directory
debug2: we did not send a packet, disable method
debug1: No more authentication methods to try.
root@9.189.172.8: Permission denied (publickey).

 

Права

Spoiler

~ #  ls -la /opt/etc/dropbear
drwx------    3 root     root          4096 Jul 17 23:53 .
drwxr-xr-x   19 root     root          4096 Jul 19 10:37 ..
drw-------    2 root     root          4096 Jul 19 12:32 authorized_keys
-rw-------    1 root     root           141 Jun 26 10:47 dropbear_ecdsa_host_key
-rw-------    1 root     root            83 Jun 26 10:47 dropbear_ed25519_host_key
-rw-------    1 root     root           805 Jun 26 10:47 dropbear_rsa_host_key

 

Ключи

Spoiler

/opt/etc/dropbear/authorized_keys # ls
id_dsa.pub    id_ecdsa.pub  id_rsa.pub

# cat /opt/etc/dropbear/authorized_keys
cat: read error: Is a directory

cat /opt/root/.ssh/authorized_keys
ssh-rsa w2blC5FTWAFQiYlBblbJucxBfVk+K8Ld1Pnjg2DjlZX9QoLFVgY+ByCJ0+PWItW7alYUZFPdLvuAtRB6UxzTTEDueVXKgD5LCbJPNTHwr/YYFSWLnQWUJAMfuesJZ1Y71RI0CtCwXIfwr8IfaWj+RT5JCqqn/cDxCRj4krNfyi1rcaOj4wbjmb9QyFZ8v3gTZOvObT2qkDmtKtJcyeMjkkpgMLPmSgy4mrimTybCBXh7wrC+SQeKH686P/OUiQtt2+EZ0rxZjiAjFpmZcjPKpCVby045Ou1qj0DLXhwxxAilhcZP0r08ugAa84Q2phrvPBCM9Bzh5feRfYJdBdt1fw4T1k3zAv1hiQRAlYriNz7GZr56mVyptc7FmGL3cJAgGqOBOHE+Gx+gsviahmIc+4ecyLATYYNXlktttTUKtU/NCTw3a5crs= mt@Mikhail-Macbook.local
ssh-rsa w2blC5FTWAFQiYlBblbJucxBfVk+K8Ld1Pnjg2DjlZX9QoLFVgY+ByCJ0+PWItLQAvNW7alYUZFPdLvuAtRB6UxzTTEDueVXKgD5LCbJPNTHwr/YYFSWLnQWUJAMfuesJZ1Y71RI0CtCwXIfwr8IfaWj+RT5JCqqn/cDxCRj4krNfyi1rcaOj4wbjmb9QyFZ8v3gTZOvObT2qkDmtKtJcyeMjkkpgy4mrimTybCBXh7wrC+SQeKH686P/OUiQtt2+EZ0rxZjiAjFpmZcjPKpCVby045Ou1qj0DLXhwxxAilhcZP0r08ugAa84Q2phrvPBCM9Bzh5feRfYJdBdt1fw4T1k3zAv1hiQRAlYriNz7GZr56mVyptc7FmGL3cJAgGqOBOHE+Gx+gsviahmIc+4ecyLATYYNXlktttTUKtU/NCTw3a5crs= mt@Mikhail-Macbook.local
ssh-rsa w2blC5FTWAFQiYlBblbJucxBfVk+K8Ld1Pnjg2DjlZX9QoLFVgY+ByCJ0+PWItLQAvNW7alYUZFPdLvuAtRB6UxzTTEDueVXKgD5LCbJPNTHwr/YYFSWLnQWUJAMfuesJZ1Y71RI0CtCwXIfwr8IfaWj+RT5JCqqn/cDxCRj4krNfyi1rcaOj4wbjmb9QyFZ8v3gTZOvObT2qkDmtKtJcyeMjkkpgMy4mrimTybCBXh7wrC+SQeKH686P/OUiQtt2+EZ0rxZjiAjFpmZcjPKpCVby045Ou1qj0DLXhwxxAilhcZP0r08ugAa84Q2phrvPBCM9Bzh5feRfYJdBdt1fw4T1k3zAv1hiQRAlYriNz7GZr56mVyptc7FmGL3cJAgGqOBOHE+Gx+gsviahmIc+4ecyLATYYNXlktttTUKtU/NCTw3a5crs= mt@Mikhail-Macbook.local
ssh-rsa w2blC5FTWAFQiYlBblbJucxBfVk+K8Ld1Pnjg2DjlZX9QoLFVgY+ByCJ0+PWItLQAvNW7alYUZFPdLvuAtRB6UxzTTEDueVXKgD5LCbJPNTHwr/YYFSWLnQWUJAMfuesJZ1Y71RI0CtCwXIfwr8IfaWj+RT5JCqqn/cDxCRj4krNfyi1rcaOj4wbjmb9QyFZ8v3gTZOvObT2qkDmtKtJcyeMjkkpgMLPmSgy4mrimTybCBXh7wrC+SQeKH686P/OUiQtt2+EZ0rxZjiAjFpmZcjPKpCVby045Ou1qj0DLXhwxxAilhcZP0r08ugAa84Q2phrvPBCM9Bzh5feRfYJdBdt1fw4T1k3zAv1hiQRAl7GZr56mVyptc7FmGL3cJAgGqOBOHE+Gx+gsviahmIc+4ecyLATYYNXlktttTUKtU/NCTw3a5crs= mt@Mikhail-Macbook.local
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQDXRTJNh1G7aesnD3mSouXipHJ0lJdlWF5emKV/4Nyc0AIZI0iXsoSbukg6WT50udqiQ2TSRw1R5s1ZUbWG2dYq9hvZHQHgL5ml9/V5L6GaU6jPfjr/Aetakbv4lTSWDG+bCHEc+A1EqvP298ug4M+9evZVXGfX/GE/TDxIr/ELuBAgYQ1lRn2dpW7fLCGqxASXmzEFQ5Pm2cd8/a26TGBTECkwBTqNELd9xYNVWiF+XaL1GNKjR6bi9t/Jf3fTMwyE2PGV3Y02V233YkPw9xmlJ84sPfLj6FETIGlBc6xzsqAh37IxZZKE2I2dvBSz6+TvtshqrRF0qTvX8CxQ+yauZT8+8yur7nqqojENpPQoa+TrgZP52b9D2FDnV0MY6VtgvqcGyjpsONEjcsus2M/mt@Mikhail-Macbook.local
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQDXRTJNh1G7aesnD3mSouXipHJ0lJdlWF5emKV/4Nyc0AIZI0iXsoSbukg6WT50udqiQ2TSRw1R5s1ZUbWG2dYq9hvZHQHgL5ml9/V5L6GaU6jPfjr/Aetakbv4lTSWDG+bCHEc+A1EqvP298ug4M+9evZVXGfX/GE/TDxIr/ELuBAgYQ1lRn2dpW7fLCGqxASXmzEFQ5Pm2cd8/ECkwBTqNELd9xYNVWiF+XaL1GNKjR6bi9t/Jf3fTMwyE2PGV3Y02V233YkPw9xmlJ84sPfLj6FETIGlBc6xzsqAh37IxZZKE2I2dvBSz6+TvtshqrRF0qTvX8CxQ+yauZT8+8yur7nqqojENpPQoa+TrgZP52b9D2FDnV0MY6VtgvqcGyjpsONEjcsus2M/mt@Mikhail-Macbook.local
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQDXRTJNh1G7aesnD3mSouXipHJ0lJdlWF5emKV/4Nyc0AIZI0iXsoSbukg6WT50udqiQ2TSRw1R5s1ZUbWG2dYq9hvZHQHgL5ml9/V5L6GaU6jPfjr/Aetakbv4lTSWDG+bCHEc+A1EqvP298ug4M+9evZVXGfX/GE/TDxIr/ELuBAgYQ1lRn2dpW7fLCGqxASXmzEBTECkwBTqNELd9xYNVWiF+XaL1GNKjR6bi9t/Jf3fTMwyE2PGV3Y02V233YkPw9xmlJ84sPfLj6FETIGlBc6xzsqAh37IxZZKE2I2dvBSz6+TvtshqrRF0qTvX8CxQ+yauZT8+8yur7nqqojENpPQoa+TrgZP52b9D2FDnV0MY6VtgvqcGyjpsONEjcsus2M/mt@Mikhail-Macbook.local
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQDXRTJNh1G7aesnD3mSouXipHJ0lJdlWF5emKV/4Nyc0AIZI0iXsoSbukg6WT50udqiQ2TSRw1R5s1ZUbWG2dYq9hvZHQHgL5ml9/V5L6GaU6jPfjr/Aetakbv4lTSWDG+bCHEc+A1EqvP298ug4M+9evZVXGfX/GE/TDxIr/ELuBAgYQ1lRn2dpW7fLCGqxASXmzEFQ5Pm2cd8/BTqNELd9xYNVWiF+XaL1GNKjR6bi9t/Jf3fTMwyE2PGV3Y02V233YkPw9xmlJ84sPfLj6FETIGlBc6xzsqAh37IxZZKE2I2dvBSz6+TvtshqrRF0qTvX8CxQ+yauZT8+8yur7nqqojENpPQoa+TrgZP52b9D2FDnV0MY6VtgvqcGyjpsONEjcsus2M/mt@Mikhail-Macbook.local
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQDXRTJNh1G7aesnD3mSouXipHJ0lJdlWF5emKV/4Nyc0AIZI0iXsoSbukg6WT50udqiQ2TSRw1R5s1ZUbWG2dYq9hvZHQHgL5ml9/V5L6GaU6jPfjr/Aetakbv4lTSWDG+bCHEc+A1EqvP298ug4M+9exIr/ELuBAgYQ1lRn2dpW7fLCGqxASXmzEFQ5Pm2cd8/a26TGBTECkwBTqNELd9xYNVWiF+XaL1GNKjR6bi9t/Jf3fTMwyE2PGV3Y02V233YkPw9xmlJ84sPfLj6FETIGlBc6xzsqAh37IxZZKE2I2dvBSz6+TvtshqrRF0qTvX8CxQ+yauZT8+8yur7nqqojENpPQoa+TrgZP52b9D2FDnV0MY6VtgvqcGyjpsONEjcsus2M/mt@Mikhail-Macbook.local

 

 

КонфигS51dropbear

Spoiler

#!/bin/sh

PATH=/opt/bin:/opt/sbin:/sbin:/bin:/usr/sbin:/usr/bin

PIDFILE="/opt/var/run/dropbear.pid"
DROPBEAR="/opt/sbin/dropbear"

. /opt/etc/config/dropbear.conf

dropbear_status ()
{
        [ -f $PIDFILE ] && [ -d /proc/`cat $PIDFILE` ]
}

start()
{
        $DROPBEAR -s -p $PORT -P $PIDFILE
}

stop()

 

 

[Пробуем КВАС]

16 hours ago, Zeleza said:

Доброго вечера,

Так именно для этого и предназначен КВАС. Можно работать не только с wg, но и со списком иных vpn, которые перечислены в первом сообщении данной темы.

На всякий случай уточню, я правильно понял, что Квас можно установить в Убунту?

[Пробуем КВАС]

Подскажите, пожалуйста, возможно ли ваше решение повесить на vps, где работает Wireguard?

Идея в том, чтобы при включенном Wireguard на телефоне трафик шел также по списку, а по всем летел напрямую.

[Маршрутизация wireguard траффика]

On 3/26/2021 at 3:40 AM, bsodfather said:

Извиняюсь, это был глупый вопрос, как всегда наворотил кучу лишнего, оказалось что достаточно прописать на основном подключении dns тот же, что и на интерфейсе wireguard - 10.0.0.1...

Можете показать, тоже пытаюсь решить такую задачу

[Менеджер закачек pyload/aria2]

Сомневающимся: aria2 прекрасно работает через Yaaw. Для того, чтобы файлы закачивались не на основной раздел с Opkg, то в настройках /opt/etc/aria2.conf (путь может отличаться) стоит указать другой раздел диска. Например, мой вариант настроек c директорией:

Spoiler

# Basic Options
dir=/tmp/mnt/778ab0d4-f92e-37fb-bd8b-993c9742028e/_In
input-file=/opt/var/aria2/session.dat
log=/opt/var/log/aria2.log
max-concurrent-downloads=8
check-integrity=true
continue=true
check-certificate=false

# BitTorrent/Metalink Options
bt-enable-lpd=true
bt-max-open-files=16
bt-max-peers=8
dht-file-path=/opt/var/aria2/dht.dat
dht-file-path6=/opt/var/aria2/dht6.dat
dht-listen-port=6801
#enable-dht6=true
listen-port=6801
max-overall-upload-limit=2M
seed-ratio=0

# RPC Options
enable-rpc=true
rpc-allow-origin-all=true
#rpc-certificate=/opt/var/aria2/aria2.pfx
rpc-listen-all=true

 

 

[Home Assistant]

8 minutes ago, BDV said:

Всем добра.

Знаю, что подобные просьбы в большинстве своем игнорируются в данной ветке форума, но все же. Может кто-то описать по командно порядок установки Home Assistant на чистую Entware для абсолютно несведущих?

В центре поддержки Keenetic есть ряд статей по установке пакетов в OPKG, но для Home Assistant они бесполезны. Да и интернет не пестрит инструкциями по установке Home Assistant на наши роутеры.

Буду признателен, и думаю что не только я.

 

Поддерживаю. Сам жду какой-то инфы от ребят 

[Восстановление системы из бекапа]

 

Сам нашел решение и поэтому пишу инструкцию

1. Грузимся с чистого раздела с Entware в моем случае Recovery

2. Запускаем fdisk командой. В данном случае /sda — это внешний hdd целиком

fdisk /dev/sda

3. Удаляем раздел с основной системой OPKG, это раздел /dev/sda2. Все делалось по мануалу. 

Spoiler

 

~ # fdisk /dev/sda

Welcome to fdisk (util-linux 2.35.1).
Changes will remain in memory only, until you decide to write them.
Be careful before using the write command.


Command (m for help): p
Disk /dev/sda: 465.78 GiB, 500107862016 bytes, 976773168 sectors
Disk model: 00BPVT-22HXZT3  
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: gpt
Disk identifier: C8669421-70A2-4B91-AAB2-89FDBAC1ED52

Device        Start       End   Sectors  Size Type
/dev/sda1      2048   9768959   9766912  4.7G Microsoft basic data
/dev/sda2   9768960  19537919   9768960  4.7G Linux filesystem
/dev/sda3  19537920  20541439   1003520  490M Microsoft basic data
/dev/sda4  20541440 976773119 956231680  456G Apple HFS/HFS+

Command (m for help): d
Partition number (1-4, default 4): 2

Partition 2 has been deleted.

Command (m for help): w
The partition table has been altered.
Failed to remove partition 2 from system: Device or resource busy

The kernel still uses the old partitions. The new table will be used at the next reboot. 
Syncing disks.

 

 

4. Далее ребут системы, которая при запуске покажет отсутствие /dev/sda2. Его мы и будем восстанавливать. Монтируем Recovery (/dev/sda1), включаем OPKG в настойках роутера. После чего начинаем создавать раздел. 

Spoiler

~ # fdisk /dev/sda

Welcome to fdisk (util-linux 2.35.1).
Changes will remain in memory only, until you decide to write them.
Be careful before using the write command.


Command (m for help): p
Disk /dev/sda: 465.78 GiB, 500107862016 bytes, 976773168 sectors
Disk model: 00BPVT-22HXZT3  
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: gpt
Disk identifier: C8669421-70A2-4B91-AAB2-89FDBAC1ED52

Device        Start       End   Sectors  Size Type
/dev/sda1      2048   9768959   9766912  4.7G Microsoft basic data
/dev/sda3  19537920  20541439   1003520  490M Microsoft basic data
/dev/sda4  20541440 976773119 956231680  456G Apple HFS/HFS+

Command (m for help): n
Partition number (2,5-128, default 2): 2
First sector (9768960-976773134, default 9768960): 
Last sector, +/-sectors or +/-size{K,M,G,T,P} (9768960-19537919, default 19537919): 

Created a new partition 2 of type 'Linux filesystem' and of size 4.7 GiB.
Partition #2 contains a ext4 signature.

Do you want to remove the signature? [Y]es/[N]o: no

Command (m for help): w

The partition table has been altered.
Syncing disks.

 

Все, раздел создан. Однако, почему раздел не форматируется. Непонятно

[Восстановление системы из бекапа]

Пытаюсь развернуть бекап системы, но нигде не нашел ответа и поэтому решил это сделать интуитивно учитывая мой нубизм. Шаги были такие:

1. Сделал бекап по инструкции

tar cvzf /opt/backup.tar.gz -C /opt .

2. Создал в папку OPKG/opt/install и поместил в нее архив бекапа backup.tar.gz

3. Отмонтировал диск в веб-интерфейсе 

4. Примонтировал диски заново в веб-интерфейсе, произошла распаковка

Но старые папки и файлы, которые были сделаны до бекапа все равно остались в системе. Я правильно понимаю, что можно было загрузиться с условно чистого диска с entware, отформотировать рабочий entware, а потом на него накатывать бекап? Или как?

[qBittorrent - встречаем новый продвинутый торрент клиент]

А как можно зайти в qbittorent из внешней сети? Есть ли какая возможность?