Ground_Zerro

В ЛС отписал. Комрады! Нид хелп. Последнее время заметил, что AGH не удается получить IP адреса tls DNS серверов, используя указанные в нем же bootstrap DNS. Это в логе видно. На это время проц загружается на 100% и все тупит. Добавил еще несколько бутстрап DNS к тем, что есть по умолчанию. На домашнем роутере вроде удалось так частично победить проблему. Но от некоторых пользователей такие сообщения поступают. Может добавить домены DNS tls серверов в hosts? Это вообще работает? Где-то в кишках entware видел его вроде.

Аж интересно, что за фаервол? В ПК или на роутере? Расскажи, кинем в копилку знаний возможных проблем.

@Виктор67 xKeen и так умеет по доменам обходить, без манипуляций из этого топика. Что нужно - через VPN, что не нужно - напрямую. Вот тут разбирают например. PS Интерфейсы можно посмотреть в CLI (Web CLI) командой: show interface Не могу предметно ничего подсказать, не пользуюсь им. Спросите в теме xKeen или у них в ТГ.

Ну почему же все. Престарелый L2TP (с IPsec и без него) вполне себе шевелится на подавляющем большинстве провайдеров. Ровно как и PPTP например жив там, где WG и OVPN заблочены. Не пробовал, но вроде способ остается рабочим в том числе, если например поставить SingBox и настроить на нем Vless, Outline или xRay - любое соединение что поднимает сетевой интерфейс на роутере*. *если, что меня поправят. В нем есть маршрутизация не только на основе политики устройств. Почитайте гайды, посмотрите видео. Не помогу - не пользуюсь. Маршрутизация поддерживающая: Geoip Geosite — то же самое, что и Geoip, но с доменами. Регулярные выражения CIDR Точные совпадения Частичные совпадения Поддомены

@avn Прокомментируйте, пожалуйста 🙏:

Ввиду санкций есть еще какие-то подобные сервисы?

Спасибо. Скажите, я правильно понимаю, что добавленные правила остаются активными до перезагрузки системы или явного удаления и чтобы они применялись после каждой перезагрузки, скрипт нужно добавить в автозагрузку через cron или опереться на какой-то другой триггер для инициализации скрипта при срабатывании определенных условий? И еще вопрос: сработает если сделать так?

Речь как понимаю об использовании устройством или программой своего ДНС, но в тэтом случае это скорее всего DoT или DoH. DoT (DNS over TLS) Порт: 853 (TCP) DoH (DNS over HTTPS) Порт: 443 (TCP) А в правиле только 53 UDP. Попробуйте аналогичным способом редиректить DNS запросы этих устройств на ADG используя перенаправление на него этх портов. PS Хотя шифрованное соединение им установить не удастся.. Но вдруг они начнут в этом случае использовать DNS роутера полученное ими по DHCP.

Можно чуть подробней про этот способ? Что во что и как прописывать?

Обобщив опыт и приведенные здесь решения, написал скрипт, который выполнит все шаги по установке и настройке ipset для использования в связке с ADGhome. За основу взята эта инструкция, но без создания отдельной политики - изменения применяются ко всем устройствам. Репозиторий на github. Детально проверить возможности нет, буду благодарен за обратную связь, предложения и пожелания.

Максимальное удобство и простота. Браво! Отправил на релиз. Попробую изобразить что-то типа инсталлятора - установка/удаление одной командой.

Только вчера подумал о том, что это уже есть в роутере и нужно просто вытащить. Но было поздно - лег спать )) Исправлю на гит. Спасибо. Может есть смысл ещё более упростить скрипт? Например пусть он проходит по всем nwg интерфейсам, чтобы не нужно было их явно указывать в самом скрипте. Не думаю что на домашнем роутере их больше одного - трёх. А пингует какой-нибудь четко заданный узел, условный 8.8.8.8, который не закроет icmp от пары пингов в минуту, посчитав это за ddos. Вариативности будет меньше, в том смысле например если нужно проверять доступность каких-то конкретных узлов сети через WG. Но в таком случае скрипт становится максимально простым для использования бОльшим числом пользователей. Полностью отпадёт необходимость тонкой настройки самого скрипта. Можно будет написать opkg или sh который нужно будет просто один раз установить и всё.

Попадались в сети подобные штуки, но ссылок не сохранял т.к. регулятор работает по черному списку, а нам соответственно проще его "обелить". Гонять весь трафик через VPN не всегда имеет положительный результат. У меня например страдает пинг в играх. Еще мой хостер берет 1$ за каждый 1ТБ трафика (вх+исх), можно конечно его и поменять но он дешев, стабилен, быстр и дополнительная плата за трафик в его случае полностью оправдана.

Да я не об этом. Понятное дело, если бы ни ситуация нам всем это было бы не нужно, но приходится вникать, а подсказок от комьюнити не дождёшься.. Выше ссылки, попробуйте.

Каким-то малоэффективным путем идете товарищи. Попробуйте решения AGH или подобные, они есть здесь на форуме, вот например инструкция (жми) с четким алгоритмом на основе опыта пользователей с этого форума. Просить маршруты у кого-то, вообще "такое себе" и вот почему (жми). Если без маршрутов совсем уж никак, то есть возможность сформировать их самостоятельно более простым путем (жми) ну или аналогами.