vasek00

Вопрос зачем иметь альтернативный провайдерский DNS : 1. если не работает один из DNSCrypt то есть другой из списка "server_names = ['cloudflare', 'cs-fi', 'adguard-dns', 'yandex'] " 2. если нет интернета то и провайдерский не поможет В итоге как видно выше стоит проверка через 60мин и как перепрыгивает с одного на другой.

Вопрос по времени запуска сразу плюсом раза в ДВА по отношению к обычному 2014

Вопрос что сам файл или рабочий размер переименовал в ...-mini 620 root 649m S dnscrypt-proxy2-mini -config /opt/etc/dnscrypt-proxy.toml /proc/620 # cd /opt/sbin /opt/sbin # ls -l | grep mini -rwxr-xr-x 1 root root 1740880 Jun 9 09:38 dnscrypt-proxy2-mini /opt/sbin # /proc/620 # cat status Name: dnscrypt-proxy2 State: S (sleeping) Tgid: 620 Pid: 620 PPid: 1 TracerPid: 0 Uid: 0 0 0 0 Gid: 0 0 0 0 FDSize: 32 Groups: VmPeak: 664936 kB VmSize: 664936 kB VmLck: 0 kB VmPin: 0 kB VmHWM: 9156 kB VmRSS: 8964 kB VmData: 664800 kB VmStk: 136 kB VmExe: 1700 kB VmLib: 4294965596 kB VmPTE: 28 kB VmSwap: 0 kB Threads: 9 ... Cpus_allowed: 3 Cpus_allowed_list: 0-1 voluntary_ctxt_switches: 17 nonvoluntary_ctxt_switches: 3231 /proc/620 # и тот который 2014 581 root 650m S dnscrypt-proxy -config /opt/etc/dnscrypt-proxy.toml /proc/581 # cat status Name: dnscrypt-proxy State: S (sleeping) Tgid: 581 Pid: 581 PPid: 1 TracerPid: 0 Uid: 0 0 0 0 Gid: 0 0 0 0 FDSize: 32 Groups: VmPeak: 665708 kB VmSize: 665708 kB VmLck: 0 kB VmPin: 0 kB VmHWM: 10276 kB VmRSS: 7352 kB VmData: 658204 kB VmStk: 136 kB VmExe: 4232 kB VmLib: 0 kB VmPTE: 36 kB VmSwap: 0 kB Threads: 9 ... Cpus_allowed: 3 Cpus_allowed_list: 0-1 voluntary_ctxt_switches: 20 nonvoluntary_ctxt_switches: 327 /proc/581 #

07.06.2018 22:59 Cloudflare ввёл в строй DNS-резолвер в форме скрытого сервиса Tor Компания Cloudflare продолжила развитие своего публичного DNS-сервера 1.1.1.1 и для тех кто не хочет раскрывать свой IP-адрес при обращении к DNS ввела в строй DNS-резолвер, реализованный в виде скрытого сервиса Tor. Компания также напомнила, что для DNS-сервера 1.1.1.1, а также сопутствующих сервисов "DNS over HTTPS" и "DNS over TLS", действует правило, в соответствии с которым IP-адреса клиентов не записываются на диск и все логи полностью удаляются каждые 24 часа. До сих пор для пользователей Tor было доступно два метода резолвинга IP-адресов - использование DNS-сервера провайдера и использование резолвера выходного узла Tor. В первом случае DNS-резолвер получает информацию о клиентском IP, а провайдер, если не применяется DNS-over-HTTPS или DNS-over-TLS, получает сведения об определяемом имени хоста. Во втором случае возникает опасность манипуляции с DNS нечистыми на руку владельцами выходных узлов. Cloudflare предложил свой вариант решения - реализацию DNS-резолвера в виде скрытого сервиса, который перенаправляет все обращения к DNS на сервер 1.1.1.1, благодаря применению Tor сохраняя полную анонимность пользователя. Для быстрого проброса на onion-адрес dns4torpnlfs2ifuz2s2yf3fc7rdmsbhm6rw75euj35pac6ap25zgqad.onion запущен специальный домен tor.cloudflare-dns.com. https://www.opennet.ru/opennews/art.shtml?num=48733

родной отключен, и первичный, вторичный и третичный все через dnsproxy

Вот некоторые результаты по скорости работе серверов текущая настройка toml ИТАК быстродействие по ответу серверов с 05/06/2018-08/06/2018 как видно ниже плавает. [adguard-dns] OK (crypto v1) - rtt: 15ms - 21ms - 26ms [cloudflare] OK (DoH) - rtt: 49ms - 50ms [cs-fi] OK (crypto v1) - rtt: 59ms - 61ms - 71ms [yandex] OK (crypto v1) - rtt: 18ms - 22ms - 23ms - 57ms

Проверка запуска в ручную dnscrypt-proxy -config /opt/etc/dnscrypt-proxy.toml и проверка/редактирование файла "dnscrypt-proxy.toml" в части ведения лога

Ну вообще то он в /opt/sbin # ls -l | grep dnscrypt

Ну осталось проверить наличие данного фала /opt/sbin # ls -l | grep dnscrypt -rwxr-xr-x 1 root root 158420 Mar 3 15:00 dnscrypt-proxy Только что обновился до 2.0.14

Проверьте скрипт запуска S09dnscrypt-proxy2 по содержимому, т.е. аргумент запуска и наличия файла для запуска. Например /opt/etc/init.d/S57dnscrypt-proxy PROCS=dnscrypt-proxy2 ARGS="-config /opt/etc/dnscrypt-proxy.toml" /opt/sbin # ls -l | grep dnscrypt -rwxr-xr-x 1 root root 158420 Mar 3 15:00 dnscrypt-proxy -rwxr-xr-x 1 root root 6663520 Jan 30 18:48 dnscrypt-proxy-2 -rwxr-xr-x 1 root root 7126368 Mar 22 22:48 dnscrypt-proxy2 /opt/sbin #

По поводу исчезания кеша, например данные в dnscrypt по умолчанию Ну с популярностью тут трудно поспорить это наверное как кол-во "лайков" например на youtube, а так еще для оценки "заграничных" список их например можно взять из dnscrypt-resolvers.csv или из другого списка. https://www.dnsperf.com/dns-speed-benchmark?id=43d3ff9b86041d41d8148fd99cdf394f

Маленькая ремарка по поводу памяти : 1. На KII отлично работает 2. Тут уже выкладывалось по его потреблению памяти 3. с поддержкой dnscryprt-proxy2 есть и более быстрые сервера, чем же так важен OpenNic только лишь и жертвуем быстродействием в другом, где запросов по DNS со страниц при просмотрах достаточно. 4. Чем же он так популярен, говорят по скорости но никто из пользователей не подтвердил реальность его быстродействия проверив его например через DNSBench (предварительно прописав два адреса CloudFlarе серверов)

Должен работать так как https://developers.cloudflare.com/1.1.1.1/dns-over-https/cloudflared-proxy/

Не понял немного так как в настоящие время использую вот что server_names = ['cs-fi', 'adguard-dns', 'yandex'] ... ## Delay, in minutes, after which certificates are reloaded cert_refresh_delay = 60 и в итоге [2018-06-02 09:57:17] [NOTICE] Source [public-resolvers.md] loaded [2018-06-02 09:57:17] [NOTICE] dnscrypt-proxy 2.0.8 [2018-06-02 09:57:17] [NOTICE] Now listening to 127.0.0.2:хххх [UDP] [2018-06-02 09:57:17] [NOTICE] Now listening to 127.0.0.2:хххх [TCP] [2018-06-02 09:57:17] [NOTICE] [adguard-dns] OK (crypto v1) - rtt: 27ms [2018-06-02 09:57:17] [NOTICE] [cs-fi] OK (crypto v1) - rtt: 45ms [2018-06-02 09:57:17] [NOTICE] [yandex] OK (crypto v1) - rtt: 22ms [2018-06-02 09:57:17] [NOTICE] Server with the lowest initial latency: yandex (rtt: 22ms) [2018-06-02 09:57:17] [NOTICE] dnscrypt-proxy is ready - live servers: 3 и ранее на 2 (ниже), а сейчас включено 3 сервера (выше) [2018-06-01 09:18:13] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 26ms) [2018-06-01 10:18:14] [NOTICE] Server with the lowest initial latency: yandex (rtt: 22ms) [2018-06-01 11:18:14] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 20ms) [2018-06-01 12:18:14] [NOTICE] Server with the lowest initial latency: yandex (rtt: 22ms) [2018-06-01 13:18:15] [NOTICE] Server with the lowest initial latency: yandex (rtt: 17ms) [2018-06-01 14:18:15] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 20ms) [2018-06-01 15:18:16] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 20ms) [2018-06-01 16:18:17] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 21ms) [2018-06-01 17:18:17] [NOTICE] Server with the lowest initial latency: yandex (rtt: 17ms) [2018-06-01 18:18:18] [NOTICE] Server with the lowest initial latency: yandex (rtt: 17ms) [2018-06-01 19:18:18] [NOTICE] Server with the lowest initial latency: yandex (rtt: 27ms) [2018-06-01 20:18:19] [NOTICE] Server with the lowest initial latency: yandex (rtt: 26ms) [2018-06-01 21:18:19] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 21ms) [2018-06-01 22:18:19] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 20ms) [2018-06-01 23:18:20] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 26ms) [2018-06-02 00:18:20] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 26ms) [2018-06-02 01:18:21] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 26ms) [2018-06-02 02:18:21] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 22ms) [2018-06-02 03:18:22] [NOTICE] Server with the lowest initial latency: yandex (rtt: 17ms) [2018-06-02 04:18:22] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 26ms) [2018-06-02 05:18:22] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 26ms) [2018-06-02 06:18:22] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 21ms) [2018-06-02 07:18:22] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 20ms) [2018-06-02 08:18:23] [NOTICE] Server with the lowest initial latency: yandex (rtt: 21ms) по md файлу ## yandex Yandex public DNS server (anycast) sdns://AQQAAAAAAAAAEDc3Ljg4LjguNzg6MTUzNTMg04TAccn3RmKvKszVe13MlxTUB7atNgHhrtwG1W1JYyciMi5kbnNjcnlwdC1jZXJ0LmJyb3dzZXIueWFuZGV4Lm5ldA так же как и ## cloudflare Cloudflare DNS (anycast) - aka 1.1.1.1 / 1.0.0.1 sdns://AgcAAAAAAAAABzEuMC4wLjGgENk8mGSlIfMGXMOlIlCcKvq7AVgcrZxtjon911-ep0cg63Ul-I8NlFj4GplQGb_TTLiczclX57DvMV8Q-JdjgRgSZG5zLmNsb3VkZmxhcmUuY29tCi9kbnMtcXVlcnk

Как писал ранее для пользователя то что имеется достаточно пока в прошивке. По поводу команды все проходит / # iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT / # iptables -nvL | grep icmp 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 8 limit: avg 1/sec burst 5 / # iptables -nvL | grep INPUT Chain INPUT (policy DROP 0 packets, 0 bytes) ... 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 8 limit: avg 1/sec burst 5 / # она будет последней так как "-А" У вас же ошибка в строке ввода "Couldn't load match `30" Опять же варианты / # iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 30/s -j ACCEPT / # iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 30/m --limit-burst 8 -j ACCEPT 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 8 limit: avg 30/sec burst 5 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 8 limit: avg 30/min burst 8 Смотрите формат iptables

NTFS не есть хорошо.

Пока еще не успели, сделайте разметку вашей flash на два раздела, первый например NTFS (primary) и активный, а второй Ext (primary) размер ~1GB. Как раз на втором и будет у вас OPKG

В прошивки уже присутствует тот уровень защиты который необходим пользователю, если что-то нужно за данным уровнем, то берем flash размером не менее ну скажем 1GB устанавливаем Entware + необходимые доп.сервисы по защите. Тут уже на сколько фантазии хватит, можно и без IPset. В интернете много есть примеров один их таких например ловушка TARPIT, тут аккуратней так как ресурсы ограничены это же роутер, как уменьшить в интернете так же есть. Так же простенькие правила например, которые проходят ну тут нужно учесть спец.прошивки по обработке правил.

Кажется получилось, если убрать галку "Определять мой IP-адрес автоматически " и нажимать кнопку обновить то все как надо, без разницы какой активен канал. Идет по тому каналу на котором сделан выбор обновить. Проверил с включенной галкой "Определять мой IP-адрес автоматически " и выбор проверки два канала где PPTP основной PPPoE резервный в итоге : на DDNS получил IP адрес от резервного канала, проверял три раза.

Релиз 212А510 на KII При рассмотрении варианта работы DDNS и настроек WEB например при использовании двух каналов для выхода в интернет было обнаружено, что запросы для DDNS от роутера например " GET /nic/update?hostname=хххххх.ddns.net " уходят с default маршрута, хотя в WEB галка стоит на "резервном" канале. При включении обоих галок на обоих интернет каналах update так же улетает только с основного (default маршрута). Так и должно быть, если да то тогда смысл в WEB проверять через интерфейс. Меняя приоритеты на каналах смысл проверки один и тот же - используется для запросов основной канал (default маршрут). Данная проверка осуществлялась путем использования копки "применить" и "обновить" только через WEB, режим cli не проверялся. По конфигу например в новом WEB при установленной галке на обоих выходах в WEB, галка на "Определять мой IP-адрес автоматически " в WEB стоит:

Согласен - куча приложений на любой вкус.

Вопрос только в том, что пользователь понимал под данными словами ownCloud сам пакет или то что он может Есть по проще и по меньше размером. Вопрос только удобства использования пользователем. ДО --- Mem: 113404K used, 12776K free, 216K shrd, 6756K buff, 66796K cached CPU: 0.0% usr 4.7% sys 0.0% nic 95.2% idle 0.0% io 0.0% irq 0.0% sirq После ----- ./mount -t davfs https://webdav.yandex.ru /opt/var/yandex -o rw < /opt/etc/davfs2/secrets >/dev/null /proc/2604 # df Filesystem 1K-blocks Used Available Use% Mounted on ... https://webdav.yandex.ru 10485756 688048 9797708 7% /opt/var/yandex /opt/var/yandex # ls -l drwxr-xr-x 2 root root 0 Nov 7 2017 DD drwx------ 2 root root 0 May 18 15:44 lost+found /opt/var/yandex # /proc/2604 # cat status Name: mount.davfs State: S (sleeping) Tgid: 2604 Pid: 2604 ... VmPeak: 8980 kB VmSize: 8980 kB VmLck: 0 kB VmPin: 0 kB VmHWM: 672 kB VmRSS: 672 kB VmData: 352 kB VmStk: 136 kB VmExe: 112 kB VmLib: 5212 kB VmPTE: 24 kB VmSwap: 0 kB Threads: 1 ... Cpus_allowed: 3 Cpus_allowed_list: 0-1 voluntary_ctxt_switches: 18 nonvoluntary_ctxt_switches: 0 Mem: 113280K used, 12900K free, 216K shrd, 10912K buff, 60456K cached CPU: 0.0% usr 4.5% sys 0.0% nic 95.4% idle 0.0% io 0.0% irq 0.0% sirq Load average: 0.00 0.02 0.00 1/101 2716 PID PPID USER STAT VSZ %VSZ CPU %CPU COMMAND ... 2604 1 nobody S 8980 7.1 0 0.0 mount.davfs https://webdav.yandex.ru /opt/var/yandex Все что ляжет в /opt/var/yandex/ автоматом уйдет на YANDEX. Ну естественно зависит от проца и от задач которые нужно.

Только что проверил на 2.12 релизах (все действия на клиенте 192.168.140.100) : 1. вариант когда при настройках на клиенте данный канал PPTP-VPN по приоритету ниже основного который для интернета PPPoE / # ip ro default dev ppp0 scope link Удал_сервер_VPN dev ppp0 scope link 192.168.1.1 dev ppp1 proto kernel scope link src 192.168.10.9 192.168.140.0/24 dev br0 proto kernel scope link src 192.168.140.100 yy.yy.yy.1 dev ppp0 proto kernel scope link src yy.yy.yy.34 / # ping 192.168.1.32 PING 192.168.1.32 (192.168.1.32): 56 data bytes ^C --- 192.168.1.32 ping statistics --- 5 packets transmitted, 0 packets received, 100% packet loss / # 192.168.1.х - удаленная сеть роутера который сервер VPN, 1.32 клиент в данной сети 192.168.140.x - сеть роутера клиента VPN 192.168.10.9 - поднятый канал VPN 2. вариант когда при настройках на клиенте данный канал PPTP-VPN по приоритету выше основного который для интернета PPPoE / # ip ro default dev ppp1 scope link Удал_сервер_VPN dev ppp0 scope link 192.168.1.1 dev ppp1 proto kernel scope link src 192.168.10.9 192.168.140.0/24 dev br0 proto kernel scope link src 192.168.140.100 yy.yy.yy.1 dev ppp0 proto kernel scope link src yy.yy.yy.34 / # ping 192.168.1.32 PING 192.168.1.32 (192.168.1.32): 56 data bytes 64 bytes from 192.168.1.32: seq=0 ttl=63 time=28.525 ms 64 bytes from 192.168.1.32: seq=1 ttl=63 time=28.249 ms ^C --- 192.168.1.32 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max = 28.249/28.387/28.525 ms / # 192.168.1.х - удаленная сеть роутера который сервер VPN, 1.32 клиент в данной сети 192.168.140.x - сеть роутера клиента VPN 192.168.10.9 - поднятый канал VPN так как "default dev ppp1 scope link" а это VPN канал то любой пакет для адресата 192.168.1.32 попадет в этот сетевой интерфейс, а роутер на другом конце уже поймет что с ним делать. в варианте 1 добавляем маршрут / # ip ro add 192.168.1.0/24 via 192.168.10.9 / # ip ro default dev ppp0 scope link Удал_сервер_VPN dev ppp0 scope link 192.168.1.0/24 via 192.168.10.9 dev ppp1 192.168.1.1 dev ppp1 proto kernel scope link src 192.168.10.9 192.168.140.0/24 dev br0 proto kernel scope link src 192.168.140.100 yy.yy.yy.1 dev ppp0 proto kernel scope link src yy.yy.yy.34 / # ping 192.168.1.32 PING 192.168.1.32 (192.168.1.32): 56 data bytes 64 bytes from 192.168.1.32: seq=0 ttl=63 time=33.580 ms 64 bytes from 192.168.1.32: seq=1 ttl=63 time=33.055 ms ^C --- 192.168.1.32 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max = 33.055/33.317/33.580 ms / # В данном варианте появилось описание сети удаленного роутера 192.168.1.0/24 via 192.168.10.9 dev ppp1 пакетики для сети 192.168.1.0/24 посылать через 192.168.10.9 интерфейса ppp1 где ppp0 Интернет PPPoE RT-100, а ppp1 поднятый канал VPN_client На клиенте 192.168.140.2 ------------------------ Обмен пакетами с 192.168.1.32 по с 32 байтами данных: Ответ от 192.168.1.32: число байт=32 время=28мс TTL=62 Ответ от 192.168.1.32: число байт=32 время=28мс TTL=62 Ответ от 192.168.1.32: число байт=32 время=28мс TTL=62 Ответ от 192.168.1.32: число байт=32 время=30мс TTL=62 Статистика Ping для 192.168.1.32: Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь) Приблизительное время приема-передачи в мс: Минимальное = 28мсек, Максимальное = 30 мсек, Среднее = 28 мсек Проверяйте правильность настроек на клиенте или смотрите маршруты еще раз

Не знаю что у вас решалось в качестве "name-server 192.168.1.1" Клиент1----K1(LAN)----(LAN)K2----Инет на K2 свой сторонний DNS севрис контроль порта 53, Клиент1 все ОК пакетики идут через новый DNS сервис. K1 вроде де бы то же является клиентом K2 НО КАК ОКАЗАЛОСЬ НЕ СОВСЕМ КЛИЕНТ его локальные сервисы в данной схеме работают только ПРИ УСТАНОВЛЕННОМ адресе DNS который не 192.168.1.1 (K2) а например после прописки внешнего 88.88.88.88 адрес DNS полученного от провайдера K2 (и такие пакеты идут по default маршруту попадая на K2). При отключении на K2 вообще получение IP DNS от провайдера происходит вообще кирдык для локальных серверов K2. Значит мы по разному понимаем вашу формулировку и что вы хотели этим сказать

Возможно - не однократно упоминал пример что при "opkg dns-override" и использование альтернативного сервиса DNS на роутере, режим основной : 1. - подключение к интернету т.е. DNS от провайдера РОУТЕР получил 2. - если делать на САМОМ роутере ping, трассеры и т.д. на www.wwwww.ru, т.е. выполнить любой локальный сервис то будет работать ЛОКАЛЬНЫЙ DNS резолв (пакеты улетают на DNS провайдера), а не на тот который настроен выше свой хоть 53 порт весит на другой сервисе, на любом локальном клиенте все как и учили на новый сервис DNS, если убрать получение серверов от провайдера ТО ЗАТЫКАЮТСЯ локальные сервисы роутера. Так же обратил внимание на такое же поведение при схеме К1(LAN)----(LAN)K2----Инет. Роутер K1 является обычным клиентом К2 как и любой другой клиент К2 но проблема на нем не исчезла описанная выше. На K1 не работает например сервис обновления (для примера, хотя default идет на K2), но если на K1 прописать IP DNS провайдера (который был получен от провайдера на K1) то все ОК. Клиент----К1(LAN)------(LAN)K2-----Инет K1 ip route default IP_K2 Home ip name-server IP_DNS1 K2 получил от провайдера IP_DNS1 Клиенту же по барабану записи которые выше на K1