zyxmon

Раз в 2 месяца обычно. Иногда реже.

mipsel роутеру это тяжело было. сейчас на 1811 думаю нормально.

Итак несколько слов о настройке bird, когда туннель создается не средствами роутера. Я использовал sing-box, аналогично скорее всего с badvpn, аналогично или чуть проще скорее всего с openconnect. 1. bird поднимается раньше, чем заканчивается инициализация кинетика. После перезагрузки не работает. После рестарта bird - работает. Костыль - переименовать S70bird в S99zzbird и добавить в начале запуска паузу секунд в 15. 2. В мой схеме DoT на кинетике + AdGuarв Home использующая в качестве Upstream DNS-сервера 127.0.0.1:40500 (DoT кинетика) все заработало, только после того, как адреса DNS DoT внес в user-isp.list. Дело в том, что UDP скорее всего через sing-box не ходит. 3. В какой-то момент потерялся доступ к keenetic.com (разбираться не стал, может быть дела в стенде, где все отлаживал с двойным nat и loopback). Убрал keenetic.com из user-isp.list и проблема ушла.

Проблема решилась добавлением ip адресов DoT серверов в user-isp.lst

адреса серые - т.к. это стенд за рабочим кинетиком ip_a.txt Bird4Static.tar.gz

Да. похоже так. По wi-fi я не проверял.

@DennoN уже снес. Поставлю заново и скину. Еще такой момент - после старта роутера урлы не из списка работают. Если же перестартовать bird - отваливается DNS. При старте роутера DNS инициализируется после bird. В качестве DNS - AGH, у которого прописан верхний DNS как 127.0.0.1:40500 - т.е. обращение к DOT/DOH, настроенного на роутере. Интерфейс tun0 от sing-box не совсем настоящий, это преобразование прокси в tun - скорее всего udp по нему не пролазит. Ну еще и в списке community.lst прописан cloudflare dns. Где то тут еще собака порылась.

Что интересно - bird4-forse-vpn1 - работает, а bird4-base-vpn - не работает. Последний список, это обработанный скриптом файл https://community.antifilter.download/list/community.lst, причем (подозрительно, не ошибка ли) в нем прописано `via "lo"`

Сначала нужно в скриптовой обвязке заменить nwg0 на tun0. Затем задайте маршрутизацию руками ip route add default dev tun0 table 1001 Если теперь все работает, то можно (правда очень криво-костыльно) скриптом S99zsing-box (алфавитно должен после S99sing-box выполняться. S99zsing-box

@DennoN в качестве vpn соединения использую singbox, который создает tun0 интерфейс. Интерфейс заведомо рабочий: root@Keenetic-arm:~$ curl --interface tun0 https://myip.wtf/json { "YourFuckingIPAddress": "45.95.173.xx", "YourFuckingLocation": "Strasbourg, GES, France", "YourFuckingHostname": "yyyyy.org", "YourFuckingISP": "velia.net Internetdienste GmbH", "YourFuckingTorExit": false, "YourFuckingCity": "Strasbourg", "YourFuckingCountry": "France", "YourFuckingCountryCode": "FR" Поставил bird из скрипта, указав вариант 1 и список community.lst. Установка прошла без ошибок. Однако в таблицу 1001 ничего не попадает, заблокированные сайты не работают. Чего-то не хватает в этом случае..... Буду разбираться, если будут подсказки - отлично.

Заработало. Есть проблема с созданием маршрута - т.к. singbox создает tun0 до окончания сетевой инициализации роутера. Пока поставил паузу в 15 секунд до выполнения `ip route add ....`

Не сталкивался. Я собираю на debian 10, другие члены команды на debian 11. Список необходимых хостовых пакетов указан в wiki. Впрочем это тут offtopic. Лучше спрашивайте на канале такое - https://t.me/entware

Я совсем "не копенгаген" в tc (traffic control). С политиками не вышло, подозреваю, что все таки неправильно поменял роутинг. Надеюсь следующие юзеры лучше меня разбираются (или я где опечатался). Сделал все по первому посту - и заработало! Однако такая неожиданность - хуки ifcreated или ifstatechanged не работают с сетевыми интерфейсами, созданными Entware. Но с этим то просто.....

@docroot http://zyxnerd.zyxmon.org/files/openconnect/ - сначала ставить библиотеки

@r13 @avn - спасибо, разберусь. Хотя уже вчера наступило некоторое понимание "по ходу пьесы". Теперь нужно все проверить.

@r13 @avn - господа! А как быть, если "резервное" подключение создается средствами Entware. Например sing-box. Как найти mark? PS Создал политику по имени скрипта запуска S99sing-box. `show ip polycy` всегда выдает { "policy": { "Policy1": { "description": " S99sing-box", "mark": "ffffaac", "table4": 12, "route4": { "route": [ { "destination": "10.0.0.0/24", "gateway": "0.0.0.0", "interface": "GigabitEthernet1", "metric": 0, "flags": "U", "rejecting": false, "proto": "boot", "floating": false, "static": false }, { "destination": "172.16.250.0/30", "gateway": "0.0.0.0", "interface": "", "metric": 0, "flags": "U", "rejecting": false, "proto": "boot", "floating": false, "static": false }, { "destination": "192.168.1.0/24", "gateway": "0.0.0.0", "interface": "Bridge0", "metric": 0, "flags": "U", "rejecting": false, "proto": "boot", "floating": false, "static": false } ] }, "table6": 11, "route6": {} } }, "prompt": "(config)" } Первый маршрут всегда wan (10.0.0.0), второй tun0 (sing-box), третий lan (bridge). Или так и должно быть? PS Это стенд с 1811 на прошивке 4.1

Теперь нет пароля по умолчанию. После установки запускайте в консоли, получайте временный пароль и меняйте его qbittorrent-nox --webui-port=9080 --profile=/opt/etc --configuration=entware *** Legal Notice *** qBittorrent is a file sharing program. When you run a torrent, its data will be made available to others by means of upload. Any content you share is your sole responsibility. No further notices will be issued. Press 'y' key to accept and continue... y WebUI will be started shortly after internal preparations. Please wait... ******** Information ******** To control qBittorrent, access the WebUI at: http://localhost:9080 The WebUI administrator username is: admin The WebUI administrator password was not set. A temporary password is provided for this session: nGwF3kCbp You should set your own password in program preferences.

Именно об этом я писал, одна из 4 команд. Работает отлично на настоящих кинетиках. Что там в environment у воров - вопросы к ним.

На сайте есть контакты тех. поддержки. Но придется сообщить номер своего устройства Keenetic Это называется воровство интеллектуальной собственности. К этому.

@Dmitry Vasilyev - специально для Вас проверил на кинетике Giga - все работает так же, как и на НАСе. Нужно только перед запуском дать 4 команды, о которых ранее написал.

Не знаю зачем другие описывают результаты своих исследований, я же описываю для себя. Через год-другой все может забыться, а нужно повторить. Чтобы не вспоминать - можно посмотреть ранее написанные тексты. А публикация на форуме - и другим в помощь, и средство пограмотнее все изложить. Это не инструкция.

В хуках именно в этом случае вроде как нет необходимости. Можно вроде разово. @Dmitry Vasilyev - по поводу создания tun интерфейса на кинетике я так же писал в соседней теме. Смысла в переименовании не вижу. Решение по рестарту openconnect клиента в интернете вагон.

Давайте, напишите! Выше была не инструкция, а просто информация. К слову и настройки сервера могут быть другими, и авторизация другой. Я привел информацию одной конфигурации сервера и соответствующей ей конфигурации клиента. Ждем такую.

Настройку скриптов на клиенте, авторизацию по сертификату клиента (спасибо @Mechanics за пост выше) оставляю читателям. PS Производительность ocserv вышла не самая лучшая. Где-то 70 Мбит/с. У Vmess+Reality down больше 400, up около 200.

Ну а клиент настраивается "как два пальца": opkg install openconnect echo "мой_сернетный_пароль" > /opt/etc/openconnect/password openconnect -u секретный_пользователь --passwd-on-stdin https://мой_домен/?очень_секретный_камуфляж < /opt/etc/openconnect/password ------ выхлоп ------ POST https://мой_домен/?очень_секретный_камуфляж Connected to 89.117.x.xxx:443 SSL negotiation with мой_домен Connected to HTTPS on мой_домен with ciphersuite (TLS1.3)-(ECDHE-SECP256R1)-(RSA-PSS-RSAE-SHA256)-(AES-256-GCM) XML POST enabled Please enter your username. POST https://мой_домен Please enter your password. POST https://мой_домен/auth Got CONNECT response: HTTP/1.1 200 CONNECTED CSTP connected. DPD 90, Keepalive 300 No DTLS address Set up UDP failed; using SSL instead Configured as 10.10.10.46, with SSL connected and DTLS disabled В другой консоли проверим curl --interface tun0 http://myip.wtf/json { "YourFuckingIPAddress": "89.117.x.xxx", "YourFuckingLocation": "Paris, IDF, France", "YourFuckingHostname": "89.117.x.xxx", "YourFuckingISP": "YYYYY Ltd.", "YourFuckingTorExit": false, "YourFuckingCity": "Paris", "YourFuckingCountry": "France", "YourFuckingCountryCode": "FR" } Если видим адрес oscerv сервера - все сработало. Все проверялось на НАСе с процессором aarch64. На кинетике будет аналогично, но потребуется пара телодвижений, как написал тут -