[ipset-dns для выборочного роутинга]

В 10.09.2024 в 02:47, zako сказал:

Кто-нибудь пробовал комбо sing-box (протокол vless xtls reality)  + ipset-dns? 

Пробовал, настроил подключение sing-box-go c shadowsocks2022, vless и заворачиванием трафика в tun0, само соединение работает проверял через curl, но с ipset-dns не получилось заставить работать. Забавно что ip адреса в bypass list добавляет и на этом все, сайты не открывает. Возможно какого то правила в iptables не хватает или конфиг с подключение sing-box надо настроить по другому.

[ipset-dns для выборочного роутинга]

3 часа назад, CooLeR сказал:

Помогите пожалуйста, все настроил из шапки. Все корректно работает до перезагрузки - потом список доменов через VPN не идет пока не отключишь и заново не подключишь встроенное хранилище. Дальше до перезагрузки все работает идеально. Как будто пакет не запускается автозапуском.

Чтобы все работало после перезагрузки надо изменить порт в ipset-dns потому что происходит конфликт с avahi-daemon и поэтому не работает. Выполняем:
nano /opt/etc/init.d/S52ipset-dns и редактируем порт 5353 на 5300, сохраняем, перезагружаем роутер, теперь домены добавлять в роутере во вкладке > Сетевые правила > Интернет фильтр > в строке Адрес сервера DNS писать это значение 192.168.1.1:5300

@Александр Рыжов Измените информацию в шапке по поводу порта или дополните. Возможно причина проблемы кроется в том что люди устанавливают entware на внутреннее хранилище роутера а не на внешнее usb, отсюда и конфликт с avahi-daemon, потому что он занял порт, из за этого и проблема после рестарта роутера.

[ipset-dns для выборочного роутинга]

1 час назад, introws сказал:

Как удалось восстановить работу? У меня после вчерашнего так и не завелось ничего, подключение к серверу вижу, но передачи данных нет, хэндшейки по таймауту валятся. Причем Cloudflare 1.1.1.1 WARP+ VPN со вчерашнего дня тоже перестал работать через wireguard и не только у меня, но и у друзей.

Само заработало через пару часов, попробуйте разные ip подключения использовать 162.159.193.*:2408, за место * цифры подставлять от 1 до 255 у меня на проводном инете с цифрой 5 пускает, может и вас пустит. На мобильном инете теперь вообще не подключается какие цифры бы не подставлял.

49 минут назад, Сергей Грищенко сказал:

Возможно причина в блокировке wireguard? Установите бету кинетика и установите amneziawg на кинетик, всё будет работать. У меня сейчас как раз так работает, сервер в digitalocean

На моем роутере бетку установить пока еще нельзя. В entware этот клиент наверное не установить. Хотелось бы конечно, чтобы кто нибудь подружил все это с singbox.

[ipset-dns для выборочного роутинга]

Уважаемый @Drafted, есть пару вопросов, могли бы ответить?

На текущий момент у меня прошивка на роутере 3.7.4 настроен выборочный роутинг по вашему методу через dnsmasq.

Настроено Vpn подключение wireguard и DNS-over-HTTPS для шифрования DNS-запросов.

1)Я так понимаю если в роутере > через интернет фильтр добавлен сайт, например 2ip.ru, а потом удален, то маршрутизация не удаляется для этого сайта, очистка происходит только через перезагрузку роутера или если вручную очистить командой - ipset flush bypass.

2)Можно ли как то это все дело подружить с vless, vmess, shadowsocks2022, singbox умеет заворачивать соединение в tun. Целый вечер убил на то чтобы singbox настроить и подключиться к серверу по shadowsocks2022, но так и не получилось подружить это с ipset dnsmasq.

в файле конфигурации  

/opt/etc/bypass.conf

меняю значения на

VPN_NAME=tun0
VPN_SUBNET=172.16.250.1/30

Сайты не открываются, маршруты в ipset list bypass не добавляются хотя само соединение tun0 отображается в ip addr и проверку проходит через команду:

 curl  --interface tun0 http://myip.wtf/json

Настраивал singbox по этой инструкции

Причина всему этому послужило то что, вчера wireguard отвалился на пару часов, пробовал разные сервера не устанавливалось подключение и все, щас работает как обычно, походу гайки то закручивают все туже и туже, это лишь вопрос времени когда wireguard перестанет полностью работать.

UPDATE: ip адреса все таки добавляются в ipset list bypass, но сайты не открываются, похоже не хватает какого правила для фаервола или конфиг для singbox надо подправить.

Текущий конфиг для singbox:

{
  "log": {
    "level": "debug"
  },
  "inbounds": [
    {
      "type": "tun",
      "interface_name": "tun0",
      "domain_strategy": "ipv4_only",
      "inet4_address": "172.16.250.1/30",
      "auto_route": false,
      "strict_route": false,
      "sniff": true 
   }
  ],
  "outbounds": [
  {
      "type": "shadowsocks",
      "server": "222.111.111.111",
      "server_port": 22700,
      "method": "2022-blake3-chacha20-poly1305",
      "password": "parol"
  }
  ],
  "route": {
    "auto_detect_interface": true
  }
}

[ipset-dns для выборочного роутинга]

В 11.08.2024 в 13:39, Sneakers сказал:

Спасибо огромное за батники, только хотел сам ручками писать и наткнулся на ваше сообщение, все работает, один раз каждый файл загрузил в роутер.

Лучше загрузите 1 файл раза 3-4 и 2 тоже также, потому что все маршруты которые в батниках с 1 раза не загружаются. Не бойтесь, правила не будут дублироваться он просто загрузит не достающие и если все маршруты загружены то сверху будет написано зеленым "Новых маршрутов: 0" значит все загрузились.

[ipset-dns для выборочного роутинга]

21 минуту назад, vasek00 сказал:

Больно большой списочек, 142.250 и 173.194 и 74.125 и 209.85.128 чуток не хватает (видимо от пров.) можно об'еденить, а так же есть лишнии так как есть uBlock для браузера, который блокирует некоторые и в тоже время youtube все равно работает.

Список ip адресов не мой, а был взят тут. Если есть еще какие нибудь варианты для улучшения всегда рад услышать. Самое главное что работает.

[ipset-dns для выборочного роутинга]

Для меня лучший вариант чтобы еще можно было резать рекламу на телефоне. Заморачиваться с adguard home я не стал (как по мне он медленный в работе) и сделал так: Вбил в настройках телефона. Другие соединения > Частный DNS - comss.dns.controld.com.

Данный dns режет рекламу но из за этого перестал работать youtube хотя сайты по типу rutracker и rutor продолжили работать. Чтобы ютуб заработал c этим dns на телефоне, мне на роутере пришлось пробросить статические маршруты ютуба. Заходим в роутер > Сетевые Правила > Маршрутизация и выбираем загрузить из файла (Файлы я прикрепил ниже). Выбираем интерфейс вашего VPN и загружаем файлы и маршруты пробросятся. И раз вбили статические маршруты то домены youtube которые вносили в роутер теперь можно удалить.

PS. Один и тот же файл загрузите несколько раз, 3-4 потому что, толи баг или че, сразу все маршруты не загружаются за раз. Кто то скажет ведь данный dns можно было просто вбить в роутер и не пришлось так заморачиваться со стаческими маршрутами, но для меня не вариант потому что на компе из за этого dns проблема со steam.

Youtube-new.bat Youtube-tv.bat

[ipset-dns для выборочного роутинга]

7 часов назад, alexekoz сказал:

Все работает отлично, но не могу заставить стабильно работать youtube На телефонах и телевизоре, какие домены я только не добавлял, но не чего не помогает, только ловить пакеты от телика и в ручную вбивать маршруты как раньше.
есть у кого домены которые нужно добавить в решение, что бы заработали приложения youtube?

Для начало в настройках проводного интернета сделай некоторые настройки:

1) Убери галку - Включить IPv6

2) Поставь галку - Игнорировать DNS

Дальше в Сетевые правила > Интернет-Фильтр добавь сервера DNS-over-TLS или DNS-over-HTTPS от google или cloudflare

https://help.keenetic.com/hc/ru/articles/360007687159-Прокси-серверы-DNS-over-TLS-и-DNS-over-HTTPS-для-шифрования-DNS-запросов

Дальше подключись через ssh к роутеру и узнай на каком порту и адресе находится сервера dot и doh командой 

cat /tmp/ndnproxymain.stat 

Дальше выполни команду:

nano /opt/etc/dnsmasq.conf и замени значение на server=127.0.0.1#40508 (Можно выбрать любой из имеющихся смотря сколько серверов dot и doh настроено, у меня сервера dns добавлены от google и cloudflare. Это нужно для шифрования dns, чтобы провайдер не перехватывал и не вставлял свои значения)

Я вставлял эти домены: googlevideo.com youtu.be youtube.com youtube.tv ytimg.com ggpht.com

Не знаю на счет телевизора у меня его нету, но это работает на компьютере и телефоне.

PS. САМОЕ ГЛАВНОЕ, ЧТОБЫ РАБОТАЛО 100% У ВАС НА ТЕЛЕФОНЕ, ТЕЛЕВИЗОРЕ ИЛИ КОМПЬЮТЕРЕ НЕ ДОЛЖЕН БЫТЬ ВКЛЮЧЕН DNS-over-TLS или DNS-over-HTTPS СЕРВЕРА ИЛИ ПРОПИСАНЫ ЛЮБЫЕ СТОРОННИЕ DNS. ЕСЛИ ВЫ ИСПОЛЬЗУЕТЕ КАКОЙ НИТЬ FIREFOX ОТКЛЮЧИТЕ В НАСТРОЙКАХ > ПРИВАТНОСТЬ И ЗАЩИТА > DNS через HTTPS. УСТРОЙСТВА ДОЛЖНЫ ПОЛУЧАТЬ DNS ТОЛЬКО ОТ РОУТЕРА ИНАЧЕ РАБОТАТЬ БУДЕТ ЧЕРЕЗ РАЗ ИЛИ ВООБЩЕ НЕ РАБОТАТЬ.

 

 

[ipset-dns для выборочного роутинга]

2 часа назад, ViruZZZ сказал:

Можете показать как это сделать? нужно ли покупать какой то VPN-сервер?

Для начала у вас должен быть куплен и настроен какой нибудь vpn. Любой можно, например openvpn или wireguard, дальше в web интерфейсе роутера, во вкладке Интернет > Другие Подключения, вы должны загрузить конфиг vpn и подключиться к этому серверу и тогда через команду

ip addr

найдете имя своего vpn подключения. У меня в роутере настроено подключение через wireguard и выглядит оно так:

[ipset-dns для выборочного роутинга]

В 09.04.2024 в 01:14, Drafted сказал:

Если кому интересно вот инструкция:

Сносим opkg и ставим заново на всякий случай. Я устанавливаю во внутреннюю память роутера. Все нужные пакеты занимают около 7мб.

После установки opkg заходим по SSH в Entware. Для этого в командной строке:

ssh root@192.168.1.1 -p 222

Устанавливаем пакеты:

opkg update && opkg install ipset iptables dnsmasq

Создаем файл конфигурации:

vi /opt/etc/bypass.conf

В него вставляем содержимое, отредактировав VPN_NAME и VPN_SUBNET (можно подсмотреть командой: ip addr):

VPN_NAME=nwg0
VPN_SUBNET=10.77.77.0/24

Даем права на запуск:

chmod +x /opt/etc/bypass.conf

Создаем скрипт запуска:

vi /opt/etc/init.d/S52ipset-bypass

В него вставляем содержимое:

#!/bin/sh

PATH=/opt/sbin:/opt/bin:/opt/usr/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin

. /opt/etc/bypass.conf

if [ "$1" = "start" ]; then
    ipset create bypass hash:ip
    ip rule add fwmark 1001 table 1001
fi

Даем права на запуск:

chmod +x /opt/etc/init.d/S52ipset-bypass

Создаем хук ifstatechanged.d:

vi /opt/etc/ndm/ifstatechanged.d/010-bypass-table.sh

В него вставляем содержимое:

#!/bin/sh

. /opt/etc/bypass.conf

[ "$1" == "hook" ] || exit 0
[ "$system_name" == "$VPN_NAME" ] || exit 0
[ ! -z "$(ipset --quiet list bypass)" ] || exit 0
[ "${connected}-${link}-${up}" == "yes-up-up" ] || exit 0

if [ -z "$(ip route list table 1001)" ]; then
    ip route add default dev $system_name table 1001
fi

Даем права на запуск:

chmod +x /opt/etc/ndm/ifstatechanged.d/010-bypass-table.sh

Создаем хук netfilter.d:

vi /opt/etc/ndm/netfilter.d/010-bypass-table.sh

В него вставляем содержимое:

#!/bin/sh

. /opt/etc/bypass.conf

[ "$type" == "ip6tables" ] && exit
[ "$table" != "mangle" ] && exit
[ -z "$(ip link list | grep $VPN_NAME)" ] && exit
[ -z "$(ipset --quiet list bypass)" ] && exit

if [ -z "$(iptables-save | grep bypass)" ]; then
     iptables -w -t mangle -A PREROUTING ! -s $VPN_SUBNET -m conntrack --ctstate NEW -m set --match-set bypass dst -j CONNMARK --set-mark 1001
     iptables -w -t mangle -A PREROUTING ! -s $VPN_SUBNET -m set --match-set bypass dst -j CONNMARK --restore-mark
fi

Даем права на запуск:

chmod +x /opt/etc/ndm/netfilter.d/010-bypass-table.sh

Правим конфиг dnsmasq.conf:

vi /opt/etc/dnsmasq.conf

В него вставляем новый конфиг, заменяя старый. Адрес в server можно поменять на предпочтительный DNS сервер, например 1.1.1.1 или 9.9.9.9.

user=nobody
pid-file=/var/run/opt-dnsmasq.pid
port=5300

min-port=4096
cache-size=1536

bogus-priv
no-negcache
no-resolv
no-poll
no-hosts
clear-on-reload

server=8.8.8.8
ipset=/#/bypass

Если вы используете прошивочный DoT или DoH, то можно указать его, чтобы DNS запросы к перенаправленным хостам также шифровались. Подсмотреть адреса и порты локальных резолверов можно командой cat /tmp/ndnproxymain.stat Все что с портами 405***  это DoH/DoT серверы кинетика. Выбираем любой. Адрес с портом указываем так:

server=127.0.0.1#40500

Готово! Перезапускаем роутер.

Добавляем нужные хосты в разделе Интернет-фильтры -> Настройка DNS, указывая адрес сервера DNS: 192.168.1.1:5300

Если @Александр Рыжов сделает из этого пакет, то будет вообще сказка)

Повторюсь - это решение, за счет встроенного кеширования dnsmasq, работает намного стабильнее и быстрее в плане резолвинга, чем при использовании ipset-dns.

Пробовал ваш метод, но он почему то не работает, делал точно по инструкции на прошивке 3.7.4 .Запускал tracert сайтов что добавил, пишет "Не удается разрешить системное имя узла 2ip.ru". А вы на какой версии прошивке делали это? А вот способ от Александра Рыжова работает, правда не идеально, есть косяки, надо порт поменять 5353 на любой, а иначе после перезагрузки роутера не работает и надо вручную прописывать команду: 

/opt/etc/init.d/S52ipset-dns start

А еще заметил странность что сайты то открывает, то не открывает. Например, открыл сайт он моментально загрузился, через минуту снова открываешь, долго грузится, а может вообще долго висеть и соединение сбросится, потом нажимаешь F5 и снова быстро открылся. Dns разные подставлять пробовал и обычные и DOT и DOH думал в них дело. Использую wireguard с конфигом от cloudflare, может сервер поменять потом. Требуется доработка пакета программы. А вообще надеюсь что разрабы добавят в саму прошивку роутинг по доменам.

Update: Заново полностью переустановил entware и по 2 методу от пользователя Drafted с dnsmasq заработало, не знаю в чем причина была.