[ipset-dns для выборочного роутинга]

9 часов назад, zigus сказал:

есть инструкция как это сделать? 

 

[Поддержка подключения по IPv6 к серверу Wireguard]

4.3.1 Preview похоже без изменений: IPv6 адрес нельзя указать в endpoint пира, ни через CLI, ни через UI.

@Le ecureuil Простите, что тревожу: можно с этим что-то сделать? Хотя бы через CLI.

[KeenDNS домен периодически резолвится с АААА записями]

48 минут назад, Le ecureuil сказал:

Попробуйте пожалуйста перезагрузить устройство, и еще раз проверить.

Возможно сессия с облаком осталась старая.

Спасибо! Вроде теперь все ок!

[KeenDNS домен периодически резолвится с АААА записями]

14 минут назад, Le ecureuil сказал:

Спасибо за репорт, поправлено.

Более того, только что словил и некорректные A записи:

 

@Le ecureuil Могу в личку домен закинуть.

[KeenDNS домен периодически резолвится с АААА записями]

5 минут назад, Le ecureuil сказал:

Спасибо за репорт, поправлено.

Добрый день! Спасибо, но я почему-то продолжаю ловить AAAA. Только что проверил:

[Ошибка верификации сертификата x509 при использовании KeenDNS]

Основная проблема:

 

[KeenDNS домен периодически резолвится с АААА записями]

Если резолвить KeenDNS домен (xxxxx.keenetic.pro) через Яндекс (77.88.8.8) или Quad9 (9.9.9.9), то 1-2 ответа из 10-20 может содержать неожиданные AAAA записи, указывающие на хосты 2a01:4f8:271:5a5c:: и 2a01:4f9:3b:29a0::, которые не имеют отношения к моему устройству/провайдеру. Это приводит к ошибкам валидации сертификата, которые я описал в другом посте.

Мой провайдер не предоставляет IPv6 адреса. 
IPv6 в KeeneticOS отключен. 
Режим работы KeenDNS IPv4: прямой, статический внешний IP.
KeenDNS IPv6 через облако выключен.
Воспроизводится на 4 разных инстансах, на актуальных прошивках. Везде домены в зоне keenetic.pro.

При резолвинге через 1.1.1.1 и 8.8.8.8 проблему поймать не удалось - вероятно из-за кеширования CF/Google.
Кроме этого, один раз удалось поймать и некорректные IPv4 записи (см. скрин). На всякий случай уточню, что в момент тестирования никаких настройки в роутере не менялись.

[Ошибка верификации сертификата x509 при использовании KeenDNS]

Примерно после нового года начались проблемы с запросами из Умного Дома Яндекса в локальный Home Assistant за KeenDNS (тип подключения: прямое). Некоторые POST запросы не доходят до HA, терминируясь на роутере. Никаких ошибок в журнале/дебаг-журнале Кинетика не увидел. 

Со стороны Яндекса ошибка следующая:

tls: failed to verify certificate: x509: certificate is valid for *.keenetic.pro, keenetic.pro, not ha.XXXXXXX.keenetic.pro

Частота проявления: 1-2 из 10.

Воспроизводится на 4 разных инстансах, на 4 разных провайдерах.

Версия KeeneticOS: 4.2.6.1 (latest)

[ipset-dns для выборочного роутинга]

В 23.08.2024 в 23:20, Denis P сказал:

зачем усложнять, уже всё есть

ipset flush <ipset name>

Да, я и написал вручную (через команду ipset flush bypass), либо ребут

[ipset-dns для выборочного роутинга]

В 22.08.2024 в 12:53, applick сказал:

1)Я так понимаю если в роутере > через интернет фильтр добавлен сайт, например 2ip.ru, а потом удален, то маршрутизация не удаляется для этого сайта, очистка происходит только через перезагрузку роутера или если вручную очистить командой - ipset flush bypass.

Да, все верно. Удалять нужно вручную, либо ребутить роутер. Надо посмотреть есть ли хук на удаление записей из интернет-фильтра, чтобы чистить таблицу автоматически.

В 22.08.2024 в 12:53, applick сказал:

2)Можно ли как то это все дело подружить с vless, vmess, shadowsocks2022, singbox умеет заворачивать соединение в tun. Целый вечер убил на то чтобы singbox настроить и подключиться к серверу по shadowsocks2022, но так и не получилось подружить это с ipset dnsmasq.

Здесь не подскажу - не использую.

14 часа назад, Nkllganov53 сказал:

Стало понятнее.  А можно ли запустить 2 экз. dnsmasq со своими конфигами (порт прослушивания)? Может попроще будет с заведением доменов? С таблицами/скриптами наверное также.

По логике делается это так:

Дублируете скрипт запуска S56dnsmasq в /opt/etc/init.d/ и указываете в параметрах запуска через ключ -conf-file другой конфиг (например: /opt/etc/dnsmasq2.conf), в котором прописан новый pid-file (например /var/run/opt-dnsmasq2.pid), другой порт (например, 5301) и другой ipset (например bypass2). Далее дублируете и изменяете скрипт запуска /opt/etc/init.d/S52ipset-bypass и все хуки в /opt/etc/ndm/netfilter.d/ под новый ipset.

[ipset-dns для выборочного роутинга]

2 часа назад, Анатолий А сказал:

Добрый день настроил по способу Ув. Drafted, заметил такую странность, перестал работать playmarket google, то есть сам открывается нормально, а приложение не скачивается, висит постоянная "подождите", и это на всех устройствах андроид в сети, при отключении WireGuard, скачивание начинается, подскажите в какую сторону копать, что посмотреть для локализации проблемы?

Добавьте play.google.com в список.

[ipset-dns для выборочного роутинга]

1 час назад, Aleksey Kad сказал:

Добрый день. Спасибо Drafted за инструкцию! Но сегодня появилась проблема, трафик до Кинопоиска стал идти тоже через WireGuard, но добавлен в интернет-фильтрах только googlevideo.com и [:censored:]. 

Вероятно кинопоиск сидит на том же CDN/IP что и гуглвидео, поэтому так. Можете попробовать добавить в Интернет-фильтр kinopoisk.ru с альтернативным вышестоящим DNS, например 9.9.9.9, чтобы его резолвило на другие адреса:

 

1 час назад, Dalex сказал:

При использовании метода от Drafted и прошивочного DoH DNS  -  где нужно изменить DNS= на 127.0.0.1:xxx - в bypass.conf (где его в изначальной инструкции нет вообще) или в dnsmasq.conf?

В моей инструкции параметра DNS нет в bypass.conf. Указывать вышестоящий DNS нужно в dnsmasq.conf, параметр server.

Пример:

user=nobody
pid-file=/var/run/opt-dnsmasq.pid
port=5300

min-port=4096
cache-size=1536

bogus-priv
no-negcache
no-resolv
no-poll
no-hosts
clear-on-reload

server=127.0.0.1#40500
ipset=/#/bypass

 

[ipset-dns для выборочного роутинга]

4 часа назад, Dalex сказал:

А вы возможно захотите добавить в пост эту информацию?

 

Тут некоторые еще на 3.х сидят, чуть позже обновлю )

[ipset-dns для выборочного роутинга]

4 часа назад, Host Di сказал:

Проверил оба варианта, трассировка идёт через те же маршруты. Захожу через Microsoft Edge на сайт и видео корректно подгружается. Захожу через Chrome и при попытке воспроизведения видео, по домену идут 403 ошибки. На телефоне через приложение думаю также все..

403 ошибка возможна из-за каких-нибудь расширений хрома для блокировки рекламы.

[ipset-dns для выборочного роутинга]

2 часа назад, Host Di сказал:

Сделал все по инструкции, вчера все работало, но утром снова стал тормозить [:censored:]..

Проверил VPN профиль напрямую перенаправив трафик с ПК, на нем [:censored:] быстро открывается. В чем может быть проблема?

Проверяйте что траффик к хостам идет через VPN. Можно через tracert (traceroute если Mac/Unix):

[ipset-dns для выборочного роутинга]

@Александр Рыжов можно Вас попросить добавить ссылку на мой способ через dnsmasq в шапку темы? Что-то тут все очень сильно оживилось и мой пост уже где-то в середине темы.

[ipset-dns для выборочного роутинга]

7 часов назад, alexekoz сказал:

Подскажите пожалуйста.
а можно как то маску добавлять, у меня приложуха на телеке теперь не пашет
 я опытным путем выяснил что это hem09s02-in-f14.1e100.net (статика 216.58.192.0 255.255.192.0/18), но там таких доменов куча, пока запахало, но в лом будет каждый раз добавлять, учитывая что выдернуть было не просто...пришлось трафик анализировать.
можно как то указать *.1e100.net
и например *.googlevideo.com
мб не через это решение, а через другое....

Так в этом то и цимус способов из этой темы, что можно указывать корневые домены (например: 1e100.net)  и все поддомены (типа hem09s02-in-f14.1e100.net) подтянутся автоматом.

[ipset-dns для выборочного роутинга]

1 час назад, South_butovo сказал:

А как удалить этот роутинг без переустановки всего?
При удалении правила само правило из интерфейса удаляется, но трафик не перестает ходить через DNS 192.168.1.1:5300
Ребут также не помог 

Просто удаляете хост и полностью перезагружаете роутер.

1 час назад, South_butovo сказал:

Ребут также не помог

Значит где-то остался, либо другой домен резолвится на те же IP адреса.

[ipset-dns для выборочного роутинга]

19 часов назад, Keaf сказал:

Подскажите, как в конфиге прописать несколько DNS адресов?

Что значит несколько DNS адресов? Upstream DNS server? Или Вы хотите сделать отдельный резолвер с другой таблицей для заворачивания в другой тоннель?

[ipset-dns для выборочного роутинга]

1 час назад, Denis P сказал:

советую перенести на другой порт dnsmasq

этот совет касается и пользователей ipset-dns

потому что на этом порту живет

~ # netstat -nlpu | grep :5353
udp    0    0 0.0.0.0:5353      0.0.0.0:*       658/avahi-daemon

если используется smb и/или mdns

Большое спасибо за подсказку! Теперь понятно откуда ноги Race Condition растут в обоих решениях при старте. 

Обновил инструкцию с решением через dnsmasq.

[Нет доступа по домену KeenDNS в Edge/Chrome 124]

Подтверждаю проблему. Версия Chrome 124.

В iOS Safari (17.4.1) и Firefox 123 (Win) все ок.

Проблема проявляется только при SSL подключении, по HTTP все работает.

Выключение TLS 1.3 hybridized Kyber support через флаги в Chrome вроде решает проблему.

[ipset-dns для выборочного роутинга]

43 минуты назад, Александр Рыжов сказал:

Зачем перезапускать dnsmasq, если его работоспособность зависит только от наличия ipset'а, создаваемого при старте роутера?

Есть подозрение что сначала нужно указать роут таблицы через нужный интерфейс, и только потом работать с ipset. По правде говоря я в этом не спец, может не прав. Но в любом случае перезапуск dnsmasq после поднятия интерфейса и добавления роута помогает всегда. Из 10 рестартов устройства все 10 успешные.

[ipset-dns для выборочного роутинга]

6 часов назад, Александр Рыжов сказал:

Погонял на KN-2710, при старте роутера так же race condition где-то остался. Как и ранее, помогает рестарт dnsmasq.

В /opt/etc/ndm/ifstatechanged.d/010-bypass-table.sh строчку внизу на рестарт dnsmasq не забыли добавить?

#!/bin/sh

. /opt/etc/bypass.conf

[ "$1" == "hook" ] || exit 0
[ "$system_name" == "$VPN_NAME" ] || exit 0
[ ! -z "$(ipset --quiet list bypass)" ] || exit 0
[ "${connected}-${link}-${up}" == "yes-up-up" ] || exit 0

if [ -z "$(ip route list table 1001)" ]; then
    ip route add default dev $system_name table 1001
fi

. /opt/etc/init.d/S56dnsmasq restart

[ipset-dns для выборочного роутинга]

19 часов назад, Сергей Грищенко сказал:

Тут вот ошибка мелкая, нужно /opt/etc/ndm/netfilter.d/010-bypass-table.sh

А так огромное вам спасибо, ошибок в журнале больше нет, установил тоже на внутрянку памяти. По скорости работы разницы не заметил, возможно потому что роутер другой. Но однозначно рекомендую ваше решение 👍

Спасибо👍Исправил.

[ipset-dns для выборочного роутинга]

В 05.04.2024 в 08:39, Сергей Грищенко сказал:

здравствуйте! Подскажите пожалуйста, как можно сделать, что бы можно было указывать диапазон IP адресов?

Кстати, диапазон или конкретный IP для роутинга в нужный интерфейс можно указать в UI, через панель Статические маршруты. Вот например 111.111.111.X