Пробуем КВАС

[Ramazankzn]

При подключении к роутеру по VPN (кинетик - впн-сервер), весь трафик клиента все равно идет через провайдерское подключение.

Подскажите, пожалуйста, как сделать, чтобы на клиентов тоже действовал квас)

 

Изменено 1 августа, 2022 пользователем Ramazankzn

[Zeleza]

Доброго вечера,

В 01.08.2022 в 09:55, Ramazankzn сказал:

Подскажите, пожалуйста, как сделать, чтобы на клиентов тоже действовал квас)

Мне Вам позвонить по спутниковой связи для выяснения деталей? Если так, то диктуйте номер.)

[Павел Фролов]

@Zeleza Добрый день, а проект с телеграм ботом остановили или в планах есть его развитие?

[Zeleza]

Доброго дня 

Цитата

Добрый день, а проект с телеграм ботом остановили или в планах есть его развитие?

Проект Жезл продолжу после завершения кваса (когда выйдем из беты).

Изменено 7 августа, 2022 пользователем Zeleza

[iQwaz]

@Zeleza Добрый день! Насколько я понял, то использовать КВАС с интренет-фильтрами не выйдет, только Adguard Home. Adguard Home мне не подошел, так как использует общие списки фильтрации для всех клиентов и нет возможности создать отдельные черные/белые списки для отдельных клиентов, максимум что можно сделать это включить/отключить родительский контроль на отдельных клиентов и отключить предопределенные сервисы. 
А вот в NextDNS все отлично настраивается, да и функционал значительно богаче. Есть ли возможность реализовать использование стандартных интернет-фильтров, настраиваемых на роутере?

[Zeleza]

Доброго утра,

9 часов назад, iQwaz сказал:

А вот в NextDNS все отлично настраивается, да и функционал значительно богаче. Есть ли возможность реализовать использование стандартных интернет-фильтров, настраиваемых на роутере?

Не понял вопроса. Поясните пожалуйста более подробно.

В моем понимании, после настройки Кваса, Вы же можете указать любые DNS, как в AGH, так и в dnsmasq, какие Вы захотите. Просто первичным DNS идет один из обозначенных выше сервисов, в вторичными Вы можете указать любые, на Ваш вкус (настраивается в файле конфигурации каждого из сервисов).

[vasek00]

10 часов назад, iQwaz сказал:

только Adguard Home. Adguard Home мне не подошел, так как использует общие списки фильтрации для всех клиентов и нет возможности создать отдельные черные/белые списки для отдельных клиентов, максимум что можно сделать это включить/отключить родительский контроль на отдельных клиентов и отключить предопределенные сервисы. 
А вот в NextDNS все отлично настраивается, да и функционал значительно богаче. Есть ли возможность реализовать использование стандартных интернет-фильтров, настраиваемых на роутере?

Для вас так же подойдет adguard-dns.io (только не в курсе открыли на нем регистрацию или нет, ранее была открыта для beta тестирования).

Скрытый текст

 

[iQwaz]

14 часа назад, Zeleza сказал:

Доброго утра,

Не понял вопроса. Поясните пожалуйста более подробно.

В моем понимании, после настройки Кваса, Вы же можете указать любые DNS, как в AGH, так и в dnsmasq, какие Вы захотите. Просто первичным DNS идет один из обозначенных выше сервисов, в вторичными Вы можете указать любые, на Ваш вкус (настраивается в файле конфигурации каждого из сервисов).

Опишу поподробнее хотелки:
Сейчас в настройках интернет-фильтров это выглядит вот так:

На  стороне NextDNS две конфигурации и в зависимости от устройства я могу применять одну или другую. Каждая конфигурация — это, по сути, отдельный DNS-сервер. Т.е. в зависимости от устройства keenetic подсовывает им разные DNS-сервера.
А после того ввода команды opkg dns-override  и установки КВАСа функцию DNS-сервера выполняет dnsmasq и тот вторичный dns, который я укажу в настройках, а не то, что настроено в интернет-фильтрах.

Вот мне и хотелось, чтобы любые другие DNS брались из настроек-интернет фильтров в зависимости от устройства в сети.

З.Ы. Заранее извиняюсь если, что-то неправильно излагаю, т.к. не очень силен в тонкостях работы dns-серверов и прочих vpn-ов..

 

[Joe]

Буду благодарен за уточнения "для чайников", возможно нужны корректировки инструкции.

Устанавливал по первому посту, качал бету 15.

1. Если следовать мануалу то после opkg dns-override - system configuration save - system reboot пропадает доступ к провайдерским DNS, интернет не открывается, инструкцию прочитать невозможно)). Даже сам кинетик перестает резолвиться через http://my.keenetic.net/ и KeeDNS. Иначе скрипт просто не сможет ничего скачать в entware.

2. Не устанавливается квас потому, что нужны зависимости, и они сами они не устанавливаются.. Видимо нужно добавить в мануал

Скрытый текст

Installing kvas (1.0-beta_15) to root...
Collected errors:
 * satisfy_dependencies_for: Cannot satisfy the following dependencies for kvas:
 *      knot-dig
 *      nano-full
 * opkg_install_cmd: Cannot install package kvas.
 

3. После установки написано

Collected errors:
 * pkg_run_script: package "kvas" postinst script returned status 1.
 * opkg_configure: kvas.postinst returned 1.

С этим нужно что нибудь предпринимать?

 

4. Запустил установку повторно - на шаге Перезапуска dnsmasq - Ошибка, где посмотреть детальнее в чем ошибка? Интересно что в ходе установки интернет заработал, видимо opkg DNS заработал  

Изменено 10 августа, 2022 пользователем Joe

[Zeleza]

Доброго утра,

В 09.08.2022 в 21:14, iQwaz сказал:

Вот мне и хотелось, чтобы любые другие DNS брались из настроек-интернет фильтров в зависимости от устройства в сети.

Нет, реализовывать подобный функционал в планах не стоит. 

[Zeleza]

Доброго утра,

4 часа назад, Joe сказал:

С этим нужно что нибудь предпринимать?

kvas debug "в личку".

[Zeleza]

Доброго всем вечера.

Ниже информация о текущем состоянии дел и об одном решении известной проблемы.

Итак, на текущий момент занимаюсь рабочими внутренними задачами, потому работа над проектом отложена на две-три недели. Прошу прощения за это, но есть, как есть. 
Тогда же планирую выпустить новый релиз.

До выпуска релиза, всем тем, кто установил Квас бета 15 и кто использует любое иное vpn соединение вместо shadowsocks рекомендуется сделать небольшое изменение в файле /opt/etc/ndm/netfilter.d/100-vpn-mark, дабы исключить ошибки в системном журнале (см. рисунок) и сбои при обновлении правил. 

Необходимо вручную отредактировать указанный в логе файл и в строках
ip4tables -A PREROUTING... и убрать флаг "-А" должно получиться
ip4tables PREROUTING...
Затем сделать kvas update.

Изменено 19 августа, 2022 пользователем Zeleza

[Cobby]

В 05.07.2022 в 00:03, Zeleza сказал:

Поэкспериментировав с различными вариантами связок (ipset+vpn+dnsmasq+dnscrypt_proxy2 и ipset+vpn+adguardhome) могу сказать, что самый стабильный вариант получается при использовании связки ipset+vpn+adguardhome. Подозреваю, что проблема в связке ipset+vpn+dnsmasq+dnscrypt_proxy2 скорее всего связана с тем, что "хромает" wildcard на dnsmasq.

А в чем конкретно нестабильность dnscrypt_proxy2? Насколько это критично?

Я озаботился обходом заблокированных сайтов, но так же хотел бы не светить DNS-траффик свой.

Несколько, наверное, очень глупых вопросов сейчас задам, но всё же.
1. В Keenetic OS уже есть поддержка DoH/DoT. Можно ли как-то использовать встроенный DNS-сервер? Т.е. указать в dnsmasq в качестве апстрим-сервера вместо dnscrypt_proxy2 встроенный?
2. Пока я не понимаю в какой именно момент происходит определение того траффик до каких IP-адресов надо закидывать в тоннель. Поддержка wildcard-адресов говорит о том, что это должно происходить как-то динамически в момент резолвинга адреса в dnsmasq, но как именно?

[wildrun0]

КВАС подружится с Pi-hole? На данный момент dns раздаю в dhcp, а на wan стоят обычные клаудфлейровские (чтобы пинг чекер работал)

[Zeleza]

Молодые люди, доброго Вам дня

Вас папа с мамой не учили здороваться? )) Ну даже Бог с этой элементарной вежливостью. Пусть. Но при всех других возникающих вопросах к людям вопрошающих о какой-либо помощи, как-то: воспитания и добропорядочности, для меня наиболее важным является факт отсутствия осознанности, когда человек даже не может понять, что простое приветствие - является возможностью стать немного осознаннее в своих действиях. 

Предпочитаю общаться с людьми осознанными, воспитанными и добропорядочными. 

Относительно Ваших вопросов:

В 19.08.2022 в 00:15, Cobby сказал:

А в чем конкретно нестабильность dnscrypt_proxy2? Насколько это критично?

Писал ранее, что предоставленные варианты реализации dnscrypt_proxy2 сборки возможно некорректно работают с wildcard. Но это лишь мое предположение. 

 

23 часа назад, wildrun0 сказал:

КВАС подружится с Pi-hole?

Нет, пока не задавался этой целью. Но механизм работы такой же, как и при работе с AGH.

Изменено 21 августа, 2022 пользователем Zeleza

[wildrun0]

Добрый день! Прошу прощения за крайнюю бестактность. 
На прошивке 3.8.4 отсутствуют Netfilter и ему сопутствующие компоненты - мне кажется стоит уточнить этот момент в документации

[Zeleza]

32 минуты назад, wildrun0 сказал:

На прошивке 3.8.4 отсутствуют Netfilter и ему сопутствующие компоненты - мне кажется стоит уточнить этот момент в документации

Благодарю Вас за замечание по существу.

[zyxmon]

2 часа назад, wildrun0 сказал:

На прошивке 3.8.4 отсутствуют Netfilter и ему сопутствующие компоненты

Если это так на Вашем устройстве - сообщите разработчикам. Netfilter на 3.8.4 это обязательный компонент  (KN-1010). 

[Zeleza]

14 минуты назад, zyxmon сказал:

Если это так на Вашем устройстве - сообщите разработчикам. Netfilter на 3.8.4 это обязательный компонент  (KN-1010). 

Значит @wildrun0 ввел в заблуждение. 

@wildrun0, скажите на чем оно основано?

[wildrun0]

33 минуты назад, Zeleza сказал:

Значит @wildrun0 ввел в заблуждение. 

@wildrun0, скажите на чем оно основано?

Не так давно в сообществе кинетиков, но я так понимаю что с новых версий данные компоненты просто идут вместе с OPKG.

Судя по всему, я просто неверно выразил мысль. Прощу прощения за зря наведенную панику 

Изменено 21 августа, 2022 пользователем wildrun0

[Joe]

Всем привет - буду благодарен за совет по вопросам: 

1. При конфигурации квас+adh куда, в каком месте можно прописать свои собственные записи DNS? Например у меня дома есть сервер server.home, раньше он резолвился через сам кинетик и был там добавлен командой host,  теперь это в недрах КВАС-adh, но моих знаний не хватает чтобы понять где именно.

2. Подскажите, а в веб интерфейсе adh нигде не видно список доменов, которые настроены на работу через vpn? Я просто искал там во вкладке Фильтры какой то намек на внеший конфиг файл, который ему передает kvas, и не понял как работает эта взаимосвязь.

 

[Zeleza]

Доброго дня,

2 часа назад, Joe сказал:

1. При конфигурации квас+adh куда, в каком месте можно прописать свои собственные записи DNS? Например у меня дома есть сервер server.home, раньше он резолвился через сам кинетик и был там добавлен командой host,  теперь это в недрах КВАС-adh, но моих знаний не хватает чтобы понять где именно.

Отмечено красным

2 часа назад, Joe сказал:

2. Подскажите, а в веб интерфейсе adh нигде не видно список доменов, которые настроены на работу через vpn? Я просто искал там во вкладке Фильтры какой то намек на внеший конфиг файл, который ему передает kvas, и не понял как работает эта взаимосвязь.

Файл /opt/etc/AdGuardHome/AdGuardHome.yaml блок данных ipset:

[Butyc]

Приветствую, Пытаюсь перенаправить трафик с vpn соединения (ppp1) на квас, но нигде файла 100-redirect.sh нет, и команда mcedit /opt/etc/ndm/netfilter.d/100-redirect.sh не даёт результата, я бы взял готовый файл с форума, но у меня сомнения что он подойдёт. Решил тут задать вопрос, т.к. выше уже интесовались и я поудмаля что ответ будет многим полезен.

[Zeleza]

Доброго утра,

5 часов назад, Butyc сказал:

Пытаюсь перенаправить трафик с vpn соединения (ppp1) на квас, но нигде файла 100-redirect.sh нет, и команда mcedit /opt/etc/ndm/netfilter.d/100-redirect.sh не даёт результата, я бы взял готовый файл с форума, но у меня сомнения что он подойдёт.

Да, этого файла действительно нет, так как я разделил его на три логические части, на три файла:

1. Первый файл 100-dns-local, в указанной папке /opt/etc/ndm/netfilter.d/, создает правила для работы для работы DNS на 53 порту. Он общий и всегда присутствует при любом типе VPN соединения.
2. Второй 100-proxy-redirect, создает правила работы для shadowsocks соединений и соотвественно создается и присутствует только тогда, когда выбрано и используется это соединение командой kvas vpn set.
3. Третий 100-vpn-mark, маркирует трафик VPN во всех остальных случаях соединений, отличных от shadowsocks. 

Вот собственно и все. Логика осталась вся та же, что и была в первоисточнике.
А что именно Вы хотели бы изменить в этих файлах?

[Butyc]

1 час назад, Zeleza сказал:

А что именно Вы хотели бы изменить в этих файлах?

Я подключаюсь к роутеру по впн со смартфона, и хотел бы, чтобы тобход блокировок тоже работал. Я так понял, надо добавить прероутинг для соединения впн, вопрос в том, в какой файл.

P.s. команда kvas ssr port не отображает текущий порт, а удаляет его,.заменяя на пустое значение. Приходится вручную вписывать

[Zeleza]

13 минуты назад, Butyc сказал:

Я так понял, надо добавить прероутинг для соединения впн, вопрос в том, в какой файл.

Выше описал подробно.

14 минуты назад, Butyc сказал:

P.s. команда kvas ssr port не отображает текущий порт, а удаляет его,.заменяя на пустое значение. Приходится вручную вписывать

Да, тут действительно ошибка. Исправлю в следующем релизе.
Благодарю за помощь и внимательное отношение. 

[Andrey Zubov]

Пока не ставил, но очень хочется

У меня личный vps в Нидерландах и на нем установлен WireGuard. Я его подключил в vpn соединениях через импорт конфига, соединение вроде нормально создалось. В документации сказано что мне необходимы логины, пароли и все такое, а можно как-то указать Квасу при установке чтобы он просто использовал вот этот уже настроенный в роутере vpn? 

[Butyc]

5 часов назад, Andrey Zubov сказал:

Пока не ставил, но очень хочется

У меня личный vps в Нидерландах и на нем установлен WireGuard. Я его подключил в vpn соединениях через импорт конфига, соединение вроде нормально создалось. В документации сказано что мне необходимы логины, пароли и все такое, а можно как-то указать Квасу при установке чтобы он просто использовал вот этот уже настроенный в роутере vpn? 

можете на тот сервер (предполагаю, что через вдсину) поставить shadowsocks , будет попроще)

[Andrey Zubov]

23 минуты назад, Butyc сказал:

можете на тот сервер (предполагаю, что через вдсину) поставить shadowsocks , будет попроще)

она самая, родная

просто у меня уже на домашнем компе wg, у родственников тоже он и сейчас менять коня на переправе откровенно не хочется. Вот и подумал получится ли малой кровью установить КВАС на wg, ведь судя по первому сообщению кому-то это явно удалось

[Кирилл СП]

В 28.08.2022 в 14:55, Andrey Zubov сказал:

В документации сказано что мне необходимы логины, пароли и все такое, а можно как-то указать Квасу при установке чтобы он просто использовал вот этот уже настроенный в роутере vpn? 

Конечно, при установке кваса появляется выбор какое из имеющихся VPN использовать, или добавить shadowsocks. Можно выбрать уже настроенный Wireguard.