dogoma

Всем привет. Хочу немного вернуть сообществу, может кому будет полезно. Я не специалист и буду рад конструктивной критике (может что-то можно было сделать лучше, может что-то я сделал совсем не безопасно) и предложениям. У меня настроена маршрутизация методом из первого поста темы и меня заинтересовало это примечание (цитата). Возможность использовать несколько туннелей меня заинтересовала потому, что у меня есть туннель для доступа к рабочим локальным ресурсам (gitlab и т.д.), сейчас использую для рабочих задач просто отдельную виртуальную машину (окружение, рабочие инструменты), в которой подключаюсь к рабочей сети пуская трафик виртуалки через рабочий туннель, но было бы неплохо выборочно маршрутизировать нужные домены до рабочей сети прямо на роутере, исключив отдельное поднятие туннеля на машине из данного уравнение (вообще, в конечном счёте виртуалка всё-равно останется, но с хоста иметь доступ к рабочим ресурсам всё-равно полезно). Здесь хотел бы описать как "использовать несколько "туннелей" для обращения к разным доменам". Файлы необходимо отредактировать так (в начале файла для наглядности отсавил закомментированным старый вариант (строка начинается с #), его можно удалить): nano /opt/etc/init.d/S52ipset Добавляем новый "список" "secondlist". #!/bin/sh PATH=/opt/sbin:/opt/bin:/opt/usr/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin #if [ "$1" = "start" ]; then # ipset create bypass hash:ip # ip rule add fwmark 1001 table 1001 #fi if [ "$1" = "start" ]; then ipset create bypass hash:ip ipset create secondlist hash:ip ip rule add fwmark 1001 table 1001 ip rule add fwmark 1002 table 1002 fi nano /opt/etc/ndm/ifstatechanged.d/010-bypass-table.sh Тут и далее реализация по два туннеля "tun0" и "nwg0", соответственно, подставьте сюда свои. #!/bin/sh #[ "$system_name" == "tun0" ] || exit 0 #[ ! -z "$(ipset --quiet list bypass)" ] || exit 0 #[ "${connected}-${link}-${up}" == "yes-up-up" ] || exit 0 #if [ -z "$(ip route list table 1001)" ]; then # ip route add default dev $system_name table 1001 #fi if [ "$system_name" == "tun0" ]; then [ ! -z "$(ipset --quiet list bypass)" ] || exit 0 [ "${change}-${connected}-${link}-${up}" == "link-yes-up-up" ] || exit 0 if [ -z "$(ip route list table 1001)" ]; then ip route add default dev $system_name table 1001 fi fi if [ "$system_name" == "nwg0" ]; then [ ! -z "$(ipset --quiet list secondlist)" ] || exit 0 [ "${change}-${connected}-${link}-${up}" == "link-yes-up-up" ] || exit 0 if [ -z "$(ip route list table 1002)" ]; then ip route add default dev $system_name table 1002 fi fi nano /opt/etc/ndm/netfilter.d/010-bypass.sh Тут, соответственно, тоже используйте свои туннели и их подсети. #!/bin/sh [ "$type" == "ip6tables" ] && exit [ "$table" != "mangle" ] && exit #[ -z "$(ip link list | grep tun0)" ] && exit #[ -z "$(ipset --quiet list bypass)" ] && exit #if [ -z "$(iptables-save | grep bypass)" ]; then # iptables -w -t mangle -A PREROUTING ! -s 172.16.250.0/30 -m conntrack --ctstate NEW -m set --match-set bypass dst -j CONNMARK --set-mark 1001 # iptables -w -t mangle -A PREROUTING ! -s 172.16.250.0/30 -m set --match-set bypass dst -j CONNMARK --restore-mark #fi if [ ! -z "$(ip link list | grep tun0)" ] && [ ! -z "$(ipset --quiet list bypass)" ]; then if [ -z "$(iptables-save | grep bypass)" ]; then iptables -w -t mangle -A PREROUTING ! -s 172.16.250.0/30 -m conntrack --ctstate NEW -m set --match-set bypass dst -j CONNMARK --set-mark 1001 iptables -w -t mangle -A PREROUTING ! -s 172.16.250.0/30 -m set --match-set bypass dst -j CONNMARK --restore-mark fi fi if [ ! -z "$(ip link list | grep nwg0)" ] && [ ! -z "$(ipset --quiet list secondlist)" ]; then if [ -z "$(iptables-save | grep secondlist)" ]; then iptables -w -t mangle -A PREROUTING ! -s 10.100.100.78/32 -m conntrack --ctstate NEW -m set --match-set secondlist dst -j CONNMARK --set-mark 1002 iptables -w -t mangle -A PREROUTING ! -s 10.100.100.78/32 -m set --match-set secondlist dst -j CONNMARK --restore-mark fi fi Далее не забудьте. chmod +x /opt/etc/init.d/S52ipset chmod +x /opt/etc/ndm/ifstatechanged.d/010-bypass-table.sh chmod +x /opt/etc/ndm/netfilter.d/010-bypass.sh Пропишем домены для отправки по разным туннелям (например, gitlab.test.com) nano /opt/etc/AdGuardHome/ipset.conf Тут для проверки прописал разные домены. ipinfo.io/bypass gitlab.test.com/secondlist Далее можно перезагрузить роутер или выполнить эти команды. /opt/etc/init.d/S52ipset start /opt/etc/ndm/ifstatechanged.d/010-bypass-table.sh /opt/etc/ndm/netfilter.d/010-bypass.sh /opt/etc/init.d/S99adguardhome restart Теперь на ipinfo.io будет ходить через первый туннель (tun0 в примере), а на gitlab.test.com — через второй (nwg0). Готово. Есть пара моментов. Момент 1. У меня не отрабатывает /opt/etc/ndm/ifstatechanged.d/010-bypass-table.sh (возможно по разным причинам), поэтому использую костыль. nano /opt/etc/init.d/S99z С таким содержимым. #!/bin/sh sleep 15 PATH=/opt/bin:/opt/sbin:/sbin:/bin:/usr/sbin:/usr/bin case "$1" in start) if [ -c /dev/net/tun ] ; then ip route add default dev tun0 table 1001 ip route add default dev nwg3 table 1002 fi ;; stop) if [ -c /dev/net/tun ] ; then ip route del default dev tun0 table 1001 ip route del default dev nwg3 table 1002 fi ;; status) ip route list table 1001 ip route list table 1002 ;; *) echo "Usage: $0 {start|stop||status}" ;; esac Может кто из местных подскажет мне как поправить так, чтобы /opt/etc/ndm/ifstatechanged.d/010-bypass-table.sh отрабатывал, но пока так. chmod +x /opt/etc/init.d/S99z /opt/etc/init.d/S99z start (после start будет ожидание 15 секунд, дождитесь) Момент 2. В случае с доступом к локальным рабочим ресурсам всё сложнее, в рабочей сети свой dns, который резолвит домены локальных ресурсов. Предположим это туннель WG, клиент получает такой IP-адрес: 10.100.100.78/32, DNS-сервер: 10.243.5.100, разрешённые IP-адреса: 10.242.0.0/23 и 10.243.5.0/24 (всё в конфигах вашего туннеля). Прописываем в Upstream DNS-серверы в AdGuardHome и сохраняем: [/gitlab.test.com/]10.243.5.100 И теперь запрос gitlab.test.com должен резолвиться сервером 10.243.5.100 и идти через туннель указанный для secondlist. Ура.

И вправду. Видимо после прошлой версии остались проблемы с файловой системой (ext4), и бэкап каждую попытку рушился. Прошёлся "исправлением" плагином extFS от парагон, теперь вот уже долго делается первый бэкап, не рушится.

KN-1811, 4.2.3, macOS 15.1.1, AFP (потому что SMB не работает с macOS) — Time Machine всё так же не работает.

У инстаграмма гораздо больше доменов. Плюс с ipv6 недавно ничего не делали? Не включали на роутере, например? Если подключением VPN ipv6 не поддерживается, то это будет мешать маршрутизации с сайтами, которые его поддерживают. Наиболее простое решение, удалить в роутере компонент, отвечающий за ipv6.

Добрый день. Подскажите, а вот если есть внешний накопитель с установленным на нём Entware, хочется сделать из него архив, чтобы потом вот так подкинуть роутеру в папку install, но сделать это не на роутере. Как-то не получается, какие-то ошибки:

Кстати говоря, проблема не только с TimeMachine https://forum.keenetic.com/topic/13924-smb-и-ios/?do=findComment&comment=180359

У меня накрылись usb-порты на моём роутере. Я в рамках оперативного решения, пока переношу entware на внутреннюю память. Так как диск, на котором был установлен entware доступен, я просто запаковал весь раздел с ним в tar.gz, создал на внутренней памяти папку install, загрузил туда этот архив. Но каждый раз когда я выставляю память для opkg на внутреннюю память, роутер не хочет распаковывать этот архив, в логах: npkg failed to inflate "03-07-2024-23-32-backup.tar.gz": bad size (00000000256). и какого бы я размера архива не добивался, всегда та же ошибка. Нв внутренней памяти свободно 100 с лишним мегабайт, архив в пожатом состоянии около 3 МБ, в непожатом около 6. Подскажите, может кто знает в чём дело? Может необходимо какие-то права архиву прописать (пробовал отельно chmod +x и отдельно chmod 755). пакую такой командой: tar cvzf /test/`date "+%d-%m-%Y-%H-%M"`-backup.tar.gz *

KN-1811, 4.1.2 проблема всё ещё имеет место, и не только на iOS устройствах, но и на Mac OS, при копировании файлов на расшаренный диск в 7 случаях из 10 возникает ошибка 100093, иногда файл не удаётся скопировать и с 3-5 раза. AFP -- всё ОК, но как-то медленнее на чтение, хотелось бы самбу. Подскажите, может уже есть какое-то решение?

Тестируя другие решения для маршрутизации обнаружил такой удобный репозиторий: https://github.com/v2fly/domain-list-community/tree/master/data там файлы с именем сайта, в котором список всех используемых им доменов

Проблема была не в adguardhome или его настройке. Проблема была в настройках туннеля.

Проверил по проводу, ситуация такая же. Подскажите, может кто знает как продиагностировать проблему? На всякий случай выводы команд из шапки:

@zyxmon спасибо! Как-то странно работает. С клиентов wi-fi сети не открываются сайты прописанные в bypass, но клиенты WG (на роутере сервер, к нему подключаются клиенты извне) отлично ходят на эти сайты, ipinfo.io (прописанный в bypass) показывает что нужно. ip addr показывает: в этом случает /opt/etc/ndm/netfilter.d/010-bypass.sh будет с такой подсетью? 172.16.250.0/30

Опишите пожалуйста как это сделать. Настроил sing-box, выхлоп с команды "curl --interface tun0 http://myip.wtf/json" получил, adguardhome ранее уже настраивал, перенастроил на tun0 новиспечённый, для теста в байпас вписал ipinfo.io, но сайт не открывается.

Подскажите в итоге, всё заработало? Sing-box с XTLS-Reality в режиме tun, а AGH просто как и раньше указывать интерфейс, через который он будет отправлять указанные ресурсы?

Все привет. Обновился (1.1.0), адаптировал настройки под общий режим (политики и так не было, сделал xkeen -dp 80,443). inbounds тоже подправил: Пропал интернет на клиентах которые подсоединены по схеме клиент - WG -роутер - xkeen - интерент, подскажите, может кто знает в чём дело? Так же заработал интернет по такой же схеме, только вместо WG - SSTP. Кстати, мы же пренесли сервисы keenetic ну другой порт, освободив 443 для xray, и для SSTP сервера он теперь тоже изменён, получается, правильно понимаю?