Ground_Zerro

Может. Из очевидных вариантов: 1. Указать AGH в качестве единственного DNS в админке роутера. - AGH будет видеть статистику только роутера. 2. Поставить AGH на роутер в качестве системного резолвера (opkg dns-override). - AGH будет отображать статистику всех клиентов. У меня например он стоит на том же VPS в качестве DoH DNS, где развернут туннель. Так меньше нагружается роутер, да и работает побыстрей. Статистика чуть меньше чем за неделю интересная, 90% DNS трафика это - шлак. Причем из шлака процентов наверное 80 это телеметрия и лишь остальное реклама.

@BACbKA @dchusovitin Скрипт появился не на ровном месте, тому были причины. Пользователи, которые не слишком разбираются, задавали одни и те же вопросы — "Как удалить AGH?", "Как включить системный DNS?", "Как всё удалить?". Спрашивали очень часто и каждый раз это отнимало много времени. И казалось бы, что сложного ввести две команды в терминал или CLI? Какие там могут возникнуть затруднения? А вот могут и больше, иной раз процесс переписки в целях "починить" на несколько дней затягивался. Не все семи пядей во лбу, да и не нужно это простым людям - в эти дебри погружаться. Так и появился hr-uninstall.sh. Внутри тусовки зовём его "АНИГИЛЯТОР". Опытные пользователи, всегда могут воспользоваться официальным способом удаления OPKG-пакетов - об этом есть запись в репозитории. Наверное, стоит добавить туда пометку про Анигилятор, раз уже прожжённые камрады базовый вопрос, как удалить пакет, задавать начали. @TheBB Спасибо.

HydraRoute — название, в котором миф о многоголовой Гидре становится образом для системы маршрутов, способной разрастаться и ветвиться: стоит исчезнуть одному направлению, как на его месте возникают новые. Описание HydraRoute Neo — демон для раздельной маршрутизации трафика по доменам и CIDR на роутерах Keenetic. Перехватывает DNS-ответы, добавляет полученные IP в ipset и маркирует трафик в iptables/mangle CONNMARK для перенаправления через нужный туннель или интерфейс. Дополнительно — параллельный L7-канал: TLS SNI и HTTP Host из исходящих соединений (закрывает слепые зоны DoH/DoT, hardcoded-IP, легаси-HTTP). Написан на C, единый статически скомпилированный бинарь без внешних зависимостей кроме libc и Linux API. Возможности Не требует отключения системного DNS-сервера роутера Не встраивается в цепочку DNS, не использует сторонних компонентов Совместим с любой конфигурацией DNS на роутере: системный резолвер, DNS-маршрутизация Keenetic, AdGuard Home Маршрутизация через политики доступа Keenetic Прямая маршрутизация трафика на сетевые интерфейсы (DirectRoute) Поддержка статических CIDR-диапазонов с IPv4 и IPv6 Работа с базами GeoIP и GeoSite в формате v2ray/xray .dat Перехват DNS-ответов LAN- и VPN-клиентов роутера (Ethernet, PPP, WireGuard, VPN-сервер, IPsec, туннели) Параллельный L7-канал (опц.): TLS SNI и HTTP Host через NFQUEUE с TCP-реассамблецией длинных ClientHello (Kyber/MLKEM) Корректная маршрутизация без переподключения (опц. ConntrackFlush) Управление через веб-интерфейс HRweb Системные требования Роутер Keenetic с прошивкой выше v4.3.6 Установленный Entware Системный компонент Keenetic Xtables-addons для Netfilter Установка: Выполните команду в терминале роутера: opkg update && opkg install curl && curl -Ls "https://git.zerrolabs.org/Ground-Zerro/release/pages/keenetic/install-neo.sh" | sh Веб-интерфейс (HRweb) установится вместе с основной программой и будет доступен по адресу http://<IP роутера>:2000 Службы запускаются автоматически. Обновление: opkg update && opkg upgrade Файлы domain.conf и ip.list сохраняются при обновлении. Веб-интерфейс HRweb Отдельный компонент для визуального управления HydraRoute Neo без работы в терминале. Устанавливается автоматически вместе с hrneo. После запуска доступен по адресу: http://<IP роутера>:2000 Авторизация — через логин и пароль роутера. Удаление Полное (включая логи, конфиги, зависимые пакеты, откат всех изменений системы): curl -Ls "https://git.zerrolabs.org/Ground-Zerro/release/pages/keenetic/hr-uninstall.sh" | sh будут удалены: пакеты: hrneo, hrweb, ipset, iptables, jq, hydraroute, adguardhome-go, node, node-npm, xray, xray-core папки: /opt/etc/HydraRoute, /opt/etc/AdGuardHome, /opt/etc/xray/ Стандартное: opkg remove hrneo hrweb Страничка проекта на Github. Наиболее быстрый вариант задать вопрос или получить помощь - обратиться в группу Telegram. updates

Добавили бы уже просто имя интерфейса (system-name) в JSON ответ по show interface Например: "interface": { "0": { "id": "GigabitEthernet1/0", "index": 0, "interface-name": "0", "system-name": "eth0" "label": "0", "type": "Port", "traits": [ "EthernetPort", "GigabitEthernetPort" ], "link": "up", "speed": "100", "duplex": "full", "auto-negotiation": "on", "flow-control": "off", "eee": "off", "cable-diagnostics": false, "admin-only": false, "summary": { "layer": { "conf": "running", "link": "running" } } }, Сейчас какие-то жуткие костыли городить приходится с кучей системных вызовов... ИМХО. ==== Дополнение как пример ====

Согласен, редактировать в столбик удобнее чем через запятую. Так и сделано HydraRoute Classic/Neo. Ввод построчный, а запись конфигурации в формате AGH. Была мысль оставить просто большое поле ввода где пользователь сам формирует строки, как в текстовике. Но это лишает благ в виде наглядных табличек, контроля ввода, проверок на ошибки и подсказок для слабо подготовленных. Показалось что AGH в таком виде не пропустят. Хотя они и в текущем врятли пропустят )) Подумаю еще. А может кто и раньше сделает.

Форк AdGuard Home с поддержкой IPSet в веб‑интерфейсе для Entware. Добавлено управление IP‑наборами прямо из UI. Отличия от оригинала: Отдельная страница управления IPSet: /#ipset. Поддержка правил из конфигурации и внешних файлов. Полный набор CRUD-операций для записей IP и подсетей. Создание IPSet с переключателем активации. Модальные окна для создания и редактирования IPSet. Возможность создавать несколько наборов одновременно (через запятую в имени). Табличный интерфейс с кнопками редактирования и удаления. Русская и английская локализации. Управление через меню: Settings → IPSet. Изменения применяются без перезагрузки. Создание отсутствующих IPSet при старте приложения (вместо падения с ошибкой). Подробней на GitHub @vasek00 Можно в шапку, в "так же"?

@hoaxisr Немного не то. В контексте задачи нужно связать доменное имя с портом службы запущенной на роутере, а не пробрасывать доступ из вне к домашнему ресурсу работающему на отдельном устройстве. Пример: Подняли какой-то ресурс в entware на 1000 порту, забиндили test.lan на 192.168.1.1. Открыв test.lan попадем в админку роутера, потому что в nginx правил для test.lan нет. Как это сделать для ресурса запущенного на рандомном устройстве в домашней сети понятно, как это сделать для службы на роутере не входящей в состав компонентов KeneticOS - нет. Речи о доступе из вне не идет - только внутри домашней сети. Может есть какое-то простое решение.

Здравствуйте! На роутере Keenetic KN-1012 установлена служба Entware, доступная по адресу http://192.168.1.1:4000. Добавлено локальное имя watch4cat.lan, которое резолвится на IP 192.168.1.1. Нужно, чтобы при обращении по http://watch4cat.lan запрос попадал на порт 4000 роутера. Требуется в KeeneticOS связать локальное доменное имя со службой работающей на кастомном порту самого роутера. Есть ли штатная возможность реализовать такую привязку домена к порту в KeeneticOS? Или можно ли это сделать через CLI / dns-proxy / host-config / custom nginx-конфиг, не нарушая работу панели управления? Спасибо!

@Denis P Согласен. Как-то не догадался. Это же более чем логично - читать про добавленные в прошивку возможности на последних страницах темы Sing-Box'а. И действительно "в этой теме", куда ведет линк со страницы changelog целых 7 сообщений, вместе с последними двумя. Перечитаю тоже, может между строк чего найдется. Спасибо камрад! Дай бог тебе здоровья.

В 5.0 Alpha 1 добавлено: "Реализовано обнаружение и интеграция OpkgTun и OpkgTap интерфейсов, созданных в среде OPKG — это позволяет использовать их в Приоритетах подключений и статических маршрутах." Можно попросить немного подробностей как с этим работать, учитывая ЭТОТ комментарий.

У одного Гига, у второго Вива, у третьего Ультра, а все маршруты друг у друга просите. Осильте уже решение Вашей задачи посредством entware. - раз - два - три - четыре - пять - шесть И это не все, только на вскидку. На вкус и цвет - с WARP, с WG/AWG, другим VPN, с VLESS, с Тёмными Носками, с чем угодно. На флешку, на NAND. Ребят, ну не серьезно статикой морочиться при наличии множества более функциональных решений. Если совсем уж никак без маршрутов их тоже не проблема получить в готовом виде или смастерить самому и "под себя": - раз - два это тоже не исчерпывающий список. (С) На правах ИМХО.

Копать в сторону: - установленного (в т.ч. ранее установленного и удаленного) софта в Entware. - опции "игнорировать DNS провайдера" в WebUI.

Сложность в том, что клиент подключается к RTC серверу по IP, домены не используются. Нет домена - нечего добавлять в ipset. Если есть рабочие варианты как угадать IP-адрес сервера к которому пошел клиент - пишите. Прогнал через DM voice домены Discord получилось 830/24 подвести. Многовато, для игры в угадайку. DiscordIPs.txt

Если следовать логическому ходу то не отработал/отрабатывает скрипт из netfilter.d - правила затираются.

Проверить наличие правил в iptables. Проверить чтобы имя интерфейса в скриптах соответствовало текущему системному имени VPN интерфейса. - Они меняются если их добавлять/удалять (Пример: добавил один он nwg0, добавил второй он nwg1, удалил первый и второй стал nwg0).

@Александр Рыжов Ваша вера в людей безгранична, к сожалению не все мы образованны на столько как Вы о нас думаете. Вы всегда даете четкое направление, но получив совет осиливать дорогу нам приходится самостоятельно и это капец как сложно )) В очередной раз спасибо за подсказку. ~ # cat /opt/etc/ndm/ifstatechanged.d/000-gather-iflist.sh #!/bin/sh mem_dir="/dev/int" interface="$id" list="$system_name" mkdir -p "$mem_dir" echo "$list" > "$mem_dir/$interface" exit После перезагрузки имеем полный обновляемый список соответствий прошивочного имени системному в RAM. ~ # ls /dev/int/ Bridge0 GigabitEthernet0 GigabitEthernet1 WifiMaster0 WifiMaster1 Wireguard0 Вызвать можно из любого места, мгновенно получив системное имя из прошивочного: ~ # cat /dev/int/GigabitEthernet0 eth2 ~ # cat /dev/int/Wireguard0 nwg0 @Ponywka

Уважаемый vasek00 7 раз перечитал, ну не получается вникнуть в таинство, не выходит каменный цветок... Можно чуть подробней, не всем дано, не все семи пядей во лбу.. Где это взять и с чем едят?? Хотя-бы "где взять"?

Капец какой-то куда не кинь всюду клин. ifstatechanged.d или ifcreate как по скорости так и по реализации вынимания имени из них иначе чем "костыль" не назовешь. Как в принципе и остальные варианты имеющиеся в руках у сообщества. Жуть как нужно. Хоть что-то, пусть даже кучей вроде Bridge2: br2 GigabitEthernet0/0: eth2 разберем как нибудь, главное возможность быстро получить актуальные данные. Очень ждем.

Чтобы правила ipset применялись не только к устройствам, указанным в политике, а вообще ко всем подключенным к роутеру слегка модифицировал скрипты из этой темы. Скрипты на гитхаб. Может поможет/пригодится.

Во всех приведенных выше вариантах маршрутизация внутри NAT остается штатной т.е. аппаратное ускорение доступно, если оно там было изначально. Тоже самое с шифрованием стандартных протоколов - если оно поддерживалось устройством то оно и будет работать. А вот с шифрованием в Outline, xRay и остальных новомодных не уверен, насколько понимаю практически вся эта работа ложится на CPU. Если где наврал - меня поправят. Ну сути сказанного ранее не меняет. Есть более "удобные" варианты борьбы за право свободного доступа к информации чем статические маршруты.

Подскажите, как упросить скрипты избавив их от необходимости прямого указания названия сетевого интерфейса? При попытке получить первый (по приоритету) настроенный и включенный (0.0.0.0) интерфейс из названия политики, возвращается полное название интерфейса, например: Wireguard0 когда сам интерфейс называется nwg0 Пример: #!/bin/sh interface=$(curl -kfsS localhost:79/rci/show/ip/policy 2>/dev/null | jq -r ' .[] | select(.description == "policy_vpn") | .route4.route[] | select(.destination == "0.0.0.0/0") | .interface ') [ -z "\$interface" ] && exit [ "\$type" == "ip6tables" ] && exit [ "\$table" != "mangle" ] && exit [ -z "\$(ipset --quiet list bypass)" ] && exit if [ -z "\$(iptables-save | grep bypass)" ]; then mark_id=\$(curl -kfsS localhost:79/rci/show/ip/policy 2>/dev/null | jq -r '.[] | select(.description == "policy_vpn") | .mark') iptables -w -t mangle -A PREROUTING ! -i \$interface -m conntrack --ctstate NEW -m set --match-set bypass dst -j CONNMARK --set-mark 0x\$mark_id iptables -w -t mangle -A PREROUTING ! -i \$interface -m set --match-set bypass dst -j CONNMARK --restore-mark fi Для чего: В политике доступа пользователь может менять приоритеты интерфейсов, добавлять, удалять, включать и выключать их. В случае когда название интерфейса жестко указано в скрипте, пример: #!/bin/sh [ "$type" == "ip6tables" ] && exit [ "$table" != "mangle" ] && exit [ -z "$(ipset --quiet list bypass)" ] && exit if [ -z "$(iptables-save | grep bypass)" ]; then mark_id=`curl -kfsS http://localhost:79/rci/show/ip/policy 2>/dev/null | jq -r '.[] | select(.description == "policy_vpn") | .mark'` iptables -w -t mangle -A PREROUTING ! -i nwg0 -m conntrack --ctstate NEW -m set --match-set bypass dst -j CONNMARK --set-mark 0x$mark_id iptables -w -t mangle -A PREROUTING ! -i nwg0 -m set --match-set bypass dst -j CONNMARK --restore-mark fi а его название изменилось, логика работы будет нарушена.

Сложно ответить на этот вопрос, не понятно, что имеется ввиду. Аппаратное ускорение NAT? Аппаратное ускорения VPN? QoS? Что-то еще? Или дело просто в словосочетании "аппаратное ускорение"? Согласен, звучит немного загадочно и очень красиво.

На простых протоколах OVPN, PPTP, L2TP, iKev2, WG/AWG и т.д. сколько-нибудь заметного падения скорости, лично я не наблюдал. Vless, Outline, xRay и т.п. - не пользуюсь. По отзывам других пользователей там скорости пониже т.к. на этих "протоколах" все упирается в ЦП роутера, за исключением разве что устройств на ARM. Или что-то другое имеется ввиду под "работают с аппаратным ускорением"? Скорость, задержки, какие-то другие функции...

На Viva доступна entware, что открывает больше возможностей чем строить маршрутизацию на IP адресах. Kvas, xKeen, HydraRoute, AdGuard Home для селективной маршрутизации и множество других вариантов маршрутизации по доменам. (ссылки кликабельны). Практически во всех этих решениях уделено внимание вопросам защиты DNS запросов от подмены и преодолению других преград, установленных провайдерами и одной "хорошей" службой, в борьбе за свободный доступ к информации. Авторы старались сделать установку и настройку как можно проще, автоматизировав множество манипуляций которые необходимо произвести на роутере облегчив процесс для пользователя. Выберите свой.