vasek00

Давно уже описано и реализовано при установленном Entware и пакете dnscrypt-proxy тут же на форуме.

Суть всего в чем или что вы хотите на пальцах?

Поставил сейчас последнюю dnscrypt-proxy2_2.0.8-1_mipsel-3.4.ipk по данному файлу -> сам установочный попадает в /opt/bin/dnscrypt-proxy2, переписал его в родное место /opt/sbin/dnscrypt-proxy2 подправил "APROCS=dnscrypt-proxy2" и все ОК /opt/etc/init.d # ./S57dnscrypt-proxy stop Checking ... alive. Shutting down dnscrypt-proxy2... done. /opt/etc/init.d # ./S57dnscrypt-proxy start Starting ... done. /opt/etc/init.d # ps | grep dnscrypt 6976 root 648m S dnscrypt-proxy2 -config /opt/etc/dnscrypt-proxy.toml [2018-04-07 21:34:08] [NOTICE] Stopped. [2018-04-07 21:34:21] [NOTICE] Source [public-resolvers.md] loaded [2018-04-07 21:34:21] [NOTICE] dnscrypt-proxy 2.0.8 [2018-04-07 21:34:21] [NOTICE] Now listening to 127.0.0.2:60153 [UDP] [2018-04-07 21:34:21] [NOTICE] Now listening to 127.0.0.2:60153 [TCP] [2018-04-07 21:34:21] [NOTICE] [adguard-dns] OK (crypto v1) - rtt: 17ms [2018-04-07 21:34:21] [NOTICE] [cs-fi] OK (crypto v1) - rtt: 61ms [2018-04-07 21:34:21] [NOTICE] [yandex] OK (crypto v1) - rtt: 39ms [2018-04-07 21:34:21] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 17ms) [2018-04-07 21:34:21] [NOTICE] dnscrypt-proxy is ready - live servers: 3

http://bin.entware.net/mipselsf-k3.4/test/ Поэтому у меня два релиза, второй который 2.х имеет вид (просто переименован) dnscrypt-proxy-2

Стоит родной из Entware который по моему был в тесте. IVP6 не использую. server_names = ['cs-fi', 'adguard-dns', 'yandex'] listen_addresses = ['127.0.0.2:60153'] max_clients = 250 # Use servers reachable over IPv4 ipv4_servers = true # Use servers reachable over IPv6 -- Do not enable if you don't have IPv6 connectivity ipv6_servers = false # Server must support DNS security extensions require_dnssec = false # Server must not log user queries require_nolog = true # Server must not enforce its own blacklist (for parental control, ads blocking...) require_nofilter = true ## Always use TCP to connect to upstream servers force_tcp = false timeout = 2500 ## Log level (0-6, default: 2 - 0 is very verbose, 6 only contains fatal errors) log_level = 2 log_file = '/opt/tmp/dnscrypt-proxy.log' ## Use the system logger (syslog on Unix, Event Log on Windows) # use_syslog = true ## Delay, in minutes, after which certificates are reloaded cert_refresh_delay = 60 ## Fallback resolver fallback_resolver = "8.8.8.8:53" block_ipv6 = false ## Example map entries (one entry per line): ## example.com 9.9.9.9 ## example.net 9.9.9.9,8.8.8.8 # forwarding_rules = 'forwarding-rules.txt' cache = true cache_size = 256 cache_min_ttl = 600 cache_max_ttl = 86400 cache_neg_ttl = 60 ## Log client queries to a file [query_log] file = '/opt/tmp/query.log' ## Query log format (currently supported: tsv and ltsv) format = 'tsv' ## Do not log these query types, to reduce verbosity. Keep empty to log everything. # ignored_qtypes = ['DNSKEY', 'NS'] ## Log queries for nonexistent zones [nx_log] ## Path to the query log file (absolute, or relative to the same directory as the executable file) # file = 'nx.log' ## Query log format (currently supported: tsv and ltsv) format = 'tsv' [blacklist] # blacklist_file = 'blacklist.txt' # log_file = 'blocked.log' # log_format = 'tsv' [ip_blacklist] # blacklist_file = 'ip-blacklist.txt' # log_file = 'ip-blocked.log' # log_format = 'tsv' ## Remote lists of available servers [sources] [sources.'public-resolvers'] url = 'http://download.dnscrypt.info/resolvers-list/v2/public-resolvers.md' cache_file = 'public-resolvers.md' format = 'v2' minisign_key = 'RWQf.................................O3' refresh_delay = 168 prefix = '' ## Optional, local, static list of additional servers ## Mostly useful for testing your own servers. # [static] # [static.'google'] # stamp = 'sdns://AgEAA..........................................bWVudGFs' Запуск второй версии из /opt/etc/init.d #!/bin/sh PATH=/opt/sbin:/opt/bin:/opt/usr/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin ENABLED=yes PROCS=dnscrypt-proxy-2 ARGS="-config /opt/etc/dnscrypt-proxy.toml" PREARGS="" DESC= . /opt/etc/init.d/rc.func *************************** /opt/sbin # ls -l | grep dnscrypt -rwxr-xr-x 1 root root 158420 Mar 3 15:00 dnscrypt-proxy -rwxr-xr-x 1 root root 6663520 Jan 30 18:48 dnscrypt-proxy-2 /opt/sbin # /opt/sbin # dnscrypt-proxy-2 -version 2.0.0beta12 /opt/sbin # dnscrypt-proxy --v dnscrypt-proxy 1.9.5 Compilation date: Mar 3 2018 Support for plugins: present ... /opt/sbin # ps | grep dnscrypt 598 root 649m S dnscrypt-proxy-2 -config /opt/etc/dnscrypt-proxy.toml /opt/sbin # Он работает в паре с "dnsmasq" т.е. суть dnscrypt-proxy просто передать запрос на выбранные три сервера по конфигу. В dnsmasq вызов сервиса dnscrypt-proxy dnsmasq.conf no-resolv interface=br0 bind-interfaces except-interface=lo listen-address=192.168.1.100 server=127.0.0.2#60153 #### server=127.0.0.2#60053 cache-size=1500 #### all-servers #resolv-file=/opt/etc/resolv-dnsmasq.conf addn-hosts=/opt/tmp/hosts0.txt addn-hosts=/opt/tmp/malware_adblock.txt ... Ни каких пере направлений с помощью iptables не применял только "opkg dns-override" есть маленький минус так как для ЛОКАЛЬНЫХ СЕРВИСОВ роутера вызов DNS идет минуя "dnsmasq" (ping с роутера пойдет на прямую DNS провайдера, так как у меня лок.сервис это - обновление, синхронизация времени то не мешает у меня) / # netstat -ntulp | grep dns tcp 0 0 127.0.0.2:60153 0.0.0.0:* LISTEN 598/dnscrypt-proxy-2 tcp 0 0 192.168.1.100:53 0.0.0.0:* LISTEN 595/dnsmasq tcp 0 0 fe..............a8:53 :::* LISTEN 595/dnsmasq udp 0 0 192.168.1.100:53 0.0.0.0:* 595/dnsmasq udp 0 0 127.0.0.2:60153 0.0.0.0:* 598/dnscrypt-proxy-2 udp 0 0 fe..............a8:53 :::* 595/dnsmasq / # Блокировку рекламы возложил на "dnsmasq".

речь не про deny а про связку "роутер1-------роутер2" как то сказывается настройка политики интерфейсов между двумя роутерами (это было и ранее до данного релиза 212А501)

Создал такой вариант как у вас только Инет1 ----- роутер ---- Клиент1 Инет2 --------+ ip policy Policy0 description Proba permit global PPPoE1 no permit global PPPoE0 .... ip hotspot .... host xx:xx:xx:xx:xx:e2 permit host xx:xx:xx:xx:xx:e2 policy Policy0 default-policy deny Все ОК Пробовал схему до данного релиза 212А501 Инет ----- Роутер1 ---- wi-fi ----- Роутер2 ----- Клиент При обычной схеме есть некоторые заморочки у клиента при IP DNS роутер1 на нем, а если IP DNS на клиенте поставить IP от роутера2 то все ОК. Я описывал такую ситуацию ранее при схеме Инет ----- Роутер1 ---- LAN ---- Роутер2 ----- Клиент Заморочки у роутера2 по доступу к роутер1, у Клиента все ОК.

1. часть как то все очень наворочено особенно для обычного пользователя 2. часть mangle/mark маловероятно думаю => при HW_NAT и загрузке CPU в данном случае (особенно для 7628)

В настройках если на статике то не меняет. А вот с исходящими да.

т.е. равномерное распределение нагрузки по каналам или как быть с сайтами с авторизацией на которых маршрут должен быть сохранен на все время, но тогда это не "load-balancing"

А мне бы интересно при двух каналах и dnsmasq гнать запросы на два DNS по разным каналам, т.е. имеем : server=IP_DNS1 server=IP_DNS2 all-servers есть IP_DNS1 то по одному маршруту, IP_DNS2 по другому или список http://192.168.1.1/_/controlPanel/policies добавить получателя и маршрут для него IP_адресс -> маршрут Торрент весит на определенном порту (естественно на стат а не на динамическом) т.е. все что с "IP:порт_А" и все остальное "IP"

/ # ip neigh show

Тут же есть где то про это. Было предложение на основании arp таблицы, которая есть на роутере /opt/etc # arp Address HWtype HWaddress Flags Mask Iface 192.168.1.98 ether хх:хх:хх:хх:хх:94 C br0 192.168.1.24 ether хх:хх:хх:хх:хх:73 C br0 192.168.1.2 ether хх:хх:хх:хх:хх:e2 C br0 /opt/etc # или через cli но запросы через ndmq типа такого $arp_yes = 'cat /proc/net/arp | awk '/192.168.1/ {print $1}'' if [ "$arp_yes" == "" ] then echo "ON" $traf_guest = "ndmq -p 'show interface CdcEthernet0' -P rate if [ "$traf_guest" == "" ] then echo "ON" ndmq -p 'interface CdcEthernet0 traffic-shape rate 50000' -P message fi fi (config)> show interface CdcEthernet0 id: CdcEthernet0 index: 0 type: CdcEthernet description: D-Link Mobile Broadband interface-name: CdcEthernet0 link: down connected: no state: up mtu: 1500 tx-queue: 1000 plugged: no global: yes defaultgw: no priority: 32767 security-level: public (config)> (config)> show ip arp ================================================================================ Name IP MAC Interface ================================================================================ Home-Ps 192.168.1.2 хх:хх:хх:хх:хх:e2 Home (config)> http://192.168.1.100/rci/show/ip/arp 00 09 * * * root ndmq -p 'ip hotspot wake хх:хх:хх:хх:хх:af' -P message lan_ip=$(ndmq -p 'show interface Bridge0' -P address)

Примеры тут на форуме пробегали.

Пока вроде в норме на двух каналах, клиента переносил из профиля доступа одного в другой, трассер показывал на согласно выставленным приоритетам по каналам для данного профиля. Не много не привычно, например можно два профиля в каждом устанавливают нужный канал или каналы (можно основной и резервный, меняя их приоритет в данном профиле) known host Клиент_1 хх:хх:хх:хх:05:d9 known host Клиент_2 bb:bb:bb:bb:1e:73 known host Клиент_3 аа:аа:аа:аа:c4:be ip dhcp host хх:хх:хх:хх:05:d9 192.168.1.21 ip dhcp host аа:аа:аа:аа:c4:be 192.168.1.17 ip policy Policy0 description Proba permit global PPPoE1 permit global PPPoE0 no permit global Asix no permit global FastEthernet0/Vlan3 no permit global ISP ip hotspot …. host аа:аа:аа:аа:c4:be permit ?????????????????????? host аа:аа:аа:аа:c4:be policy Policy0 host cc:cc:cc:cc:3c:94 permit …. host хх:хх:хх:хх:05:d9 deny default-policy deny Клиент_3 аа:аа:аа:аа:c4:be попал в профиль Proba - имеет доступ в интернет и default на PPPoE1 для всех остальных клиентов основной канал PPPoE0. Трассер с Клиент_3 подтвердил данные по маршруту через PPPoE1.

Содержимое файла всего из двух строк #!/bin/sh hdparm -S 12 /dev/sda

Сам файл S100hdparm.sh #!/bin/sh hdparm -S 12 /dev/sda1 Далее выполнить chmod 755 S100hdparm.sh Далее проверить ls -l

К чему такие сложности - создаете в /opt/etc/init.d файл с именем S100hdparm.sh - chmod 755 S100hdparm.sh и перегружаете роутер.

Ранее для таких желающих была возможность менять конфиг, но с определенного релиза это убрали, сейчас он просто создается заново. В 2.12А409 появилась данная хотелка dlna db-directory DT-1:/Video/ directory DT-1:/Video/ interface Home display-name ИМЯ

Плюньте на iptables (специфика ПО) и делайте через ip route ( rule и table )

Статистика - на форуме про нее уже говорили - "обязательна" с какого релиза.

В cli на роутере делаете ip ssh port {port} — 65322 тем самым получаете dropbear из Entware согласно /opt/etc/init.d/S51dropbear PORT=22 а из прошивки на PORT 65322. Тогда для работы с прошивочным нужно порт 65322.

ksoftirqd - kernel soft irq demon Как говорится через раз/два но срабатывает ведь.

Тут вопрос в другом, если функционала прошивки хватает, то и менять не чего не стоит. Если хочется чего то еще ну тогда например блокировка рекламы

Не понятно чего вы хотите. Возможно вам поможет ниже route get ADDRESS [ from ADDRESS iif STRING ] [ oif STRING ] [ tos TOS ] [ mark NUMBER ] / # ip route get 8.8.8.8 from 8.8.8.8 iif ppp0 8.8.8.8 from 8.8.8.8 dev ppp0 src хх.хх.хх.140 cache <src-direct,redirect> iif ppp0 / # где ppp0 интерфейс выхода в интернет, или / # ip route get 8.8.8.8 8.8.8.8 dev ppp0 src xx.xx.xx.140 cache / # или как говорится на обычном подключении к провайдеру / # ip route get xx.xx.xx.163 xx.xx.xx.163 via xx.xx.63.1 dev vlan2 src xx.xx.42.52 где хх.хх.42.52 IP на самом интерфейсе хх.хх.63.1 адрес шлюза провайдера