Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Здравствуйте,

3 часа назад, drfischer сказал:

Прошу прощения за оффтопик, но вдруг...

Вам лучше спросить по этому поводу в этой теме.

 

  • Ответов 2 тыс
  • Создана
  • Последний ответ

Топ авторов темы

Опубликовано

Всем привет! 
Подозреваю вопрос не совсем по КВАС, скорее по настройкам сети. Все же, может кто тут сталкивался с такой задачей. 

  1. Giga 1011
  2. КВАС последней версии 
  3. AG не установлен
  4. Для обхода SS (Outline server)

В стандартной связке из дома (wifi, lan) все отлично работает. Но на роутере настроен VPN-сервер IKEv2/IPsec для доступа к локальным ресурсам. При подключении к сети через IKEv2/IPsec клиент теряет доступ в интернет (как к заблокированным сайтам, так и к открытым), при этом к локальным ресурсам доступ не теряется. 

Прикладываю схему подключений

Скрытый текст

2023-01-27_17-12-22.thumb.png.e9d76752e11fbf260078940f14b6200a.png

Не хочется терять доступ к интернету, при подключении через IKEv2/IPsec. Идеальный вариант, чтобы через IKEv2/IPsec был доступ с обходом блокировок КВАСа. Но если получится сделать доступ к интернету без обхода блокировок, то тоже неплохо. 

Можете, пожалуйста, помочь с решением задачи? 

Опубликовано
16 минут назад, Данил Емельянов сказал:

Всем привет! 
Подозреваю вопрос не совсем по КВАС, скорее по настройкам сети. Все же, может кто тут сталкивался с такой задачей. 

  1. Giga 1011
  2. КВАС последней версии 
  3. AG не установлен
  4. Для обхода SS (Outline server)

В стандартной связке из дома (wifi, lan) все отлично работает. Но на роутере настроен VPN-сервер IKEv2/IPsec для доступа к локальным ресурсам. При подключении к сети через IKEv2/IPsec клиент теряет доступ в интернет (как к заблокированным сайтам, так и к открытым), при этом к локальным ресурсам доступ не теряется. 

Прикладываю схему подключений

  Показать содержимое

2023-01-27_17-12-22.thumb.png.e9d76752e11fbf260078940f14b6200a.png

Не хочется терять доступ к интернету, при подключении через IKEv2/IPsec. Идеальный вариант, чтобы через IKEv2/IPsec был доступ с обходом блокировок КВАСа. Но если получится сделать доступ к интернету без обхода блокировок, то тоже неплохо. 

Можете, пожалуйста, помочь с решением задачи? 

 

Какой днс стоит в настройка IKEv2 сервера на роутере?

Опубликовано
8 минут назад, Ramazankzn сказал:

 

Какой днс стоит в настройка IKEv2 сервера на роутере?

Похоже, что провайдерский.
Заменил его на DNS из команды kvas dns (127.0.0.1), не помогло

Опубликовано (изменено)

Доброго вечера,

В 27.01.2023 в 16:48, Joe сказал:

прошу воздержаться от личных высказываний про лень и все такое. Вежливо написал - разобраться пытался, но это не моя область.

Очень жаль, что Вы восприняли мои слова за оскорбление. У меня не было намерения - оскорбить, задеть или обидеть Вас. И если это произошло, то прошу простить меня великодушно. 

Вопрос, в том виде, в котором Вы задали его изначально, не подразумевал иного ответа, чем тот, который я Вам привел ранее. Сейчас же, Вы дали пояснения к своему вопросу, которые представляют Ваш вопрос немного в ином свете, потому неловкой ситуации можно было бы избежать, сделай Вы эти пояснения изначально.

В 27.01.2023 в 16:48, Joe сказал:

Вопрос был больше - какую, вы логику закладывали в квасе, какие сервера прописывали (если это константа).

Логика в Квасе простая - использовать готовые инструменты, о которых я написал Вам ранее. Постараюсь пояснить еще раз: 

  1. dnsmasq (секция server) - внимательно просмотрите информацию по этой секции, Квас меняет настройки связанные с DNS-серверами только в этой секциии, в файле конфигурации dnsmasq. И меняет их тогда и только тогда, когда Вы отключаете шифрование DNS-запросов. Если же Вы используете шифрование DNS-запросов (команда kvas crypt on), то в этом случае DNS-шифрование начинает работать уже через dnscrypt-proxy2, посредством  DNS-серверов, описанные в секции sources файла конфигурации dnscrypt-proxy2.
  2.  dnscrypt-proxy2. Квас не меняет настройки связанные с DNS-серверами в секции [sources], а использует данные по умолчанию.
  3. В случае подключения AGH, связка dnsmasq+dnscrypt-proxy2 перестает работать и вместо нее начинает работать AGH (источник 1 + источник 2), тут и правда не стану даже обсуждать данный вопрос - это не мой продукт. Воспользуйтесь пожалуйста, теми ссылками, которые приведены или найдите новые. Квас не меняет настройки AGH касающиеся секции DNS-серверов .

 

Изменено пользователем Zeleza
Опубликовано (изменено)
5 минут назад, Данил Емельянов сказал:

Похоже, что провайдерский.
Заменил его на DNS из команды kvas dns (127.0.0.1), не помогло

Нужно перезагрузить сервер.

Либо пропишите на клиенте адрес роутера, например 192.168.1.1

Изменено пользователем Ramazankzn
Опубликовано (изменено)
54 минуты назад, Ramazankzn сказал:

Нужно перезагрузить сервер.

Либо пропишите на клиенте адрес роутера, например 192.168.1.1

Перезагружал роутер) 
Попробовал 127.0.0.1 в настройках VPN, клиент устанавливает его же. Пробовал и 192.168.1.1, как на клиенте, так и на сервере. Не заработало

Еще заметил, что телеграм работает через IKEv2. Сайты не открываются и пр. службы. 

Спасибо, еще попробую с DNS пошаманить

Частично рабочее решение

- На клиенте в настройках IKEv2 в качестве адреса сервера указал свой IP (белый) вместо домена ***.keenetic.pro

- На сервере в DNS IKEv2 указал 192.168.1.1

Результат – доступ в интернет есть (IKEv2 клиент -> Роутер с КВАС + IKEv2 сервер -> Интернет), но обход блокировок не работает.

Изменено пользователем Данил Емельянов
Опубликовано
22 часа назад, Данил Емельянов сказал:

 

У меня все работает, в настройках сервера Ikev2 прописан DNS сервер 78.47.125.180, который является "техническим" у кинетика, и тем самым говорит о том что имена резолвит сам кинетик. Обход блокировок для клиентов работает. Пробуйте так же.

Опубликовано (изменено)
В 27.01.2023 в 17:19, Zeleza сказал:

Здравствуйте,

Вам лучше спросить по этому поводу в этой теме.

 

Спросил(

Не сложилось с ответом. Думал,может,у кого КВАС установлен,проверяят у себя этот сценарий...

Изменено пользователем drfischer
Опубликовано
16 часов назад, drfischer сказал:

Не сложилось с ответом. Думал,может,у кого КВАС установлен,проверяят у себя этот сценарий...

У меня не работает перезапись в том случае, когда отключена фильтрация на клиенте либо глобально. Оформил баг-репорт в их репозитории.

Опубликовано
В 28.01.2023 в 17:04, Joe сказал:

У меня все работает, в настройках сервера Ikev2 прописан DNS сервер 78.47.125.180, который является "техническим" у кинетика, и тем самым говорит о том что имена резолвит сам кинетик. Обход блокировок для клиентов работает. Пробуйте так же.

Вообще перестает работать с дефолтным DNS (78.47.125.180)

Опубликовано
3 часа назад, Данил Емельянов сказал:

Вообще перестает работать с дефолтным DNS (78.47.125.180)

Согласен, у меня также.
Ситуация как у вас один в один. Кто подключен к роутеру напрямую (вай-фай, провод) - всё обходится. Кто подключается по IKEv2 при ДНС 78.47.125.180 перестаю открываются сайты, но все пингуется, при установке ДНС 192.168.1.1 - обход блокировок у клиента не работает, но работаю сайты, при этом 2ip отображает провайдерский IP-адрес (к которому подключен кинетик).

Опубликовано

Доброго дня 

В 27.01.2023 в 17:27, Данил Емельянов сказал:

Не хочется терять доступ к интернету, при подключении через IKEv2/IPsec. Идеальный вариант, чтобы через IKEv2/IPsec был доступ с обходом блокировок КВАСа.

Пробывали ли команду kvas vpn guest <entware_net>?

Опубликовано
1 час назад, Zeleza сказал:

Доброго дня 

Пробывали ли команду kvas vpn guest <entware_net>?

Попробовал kvas vpn guest (без указания интерфейса), получил такой ответ:

Сейчас используется shadowsocks соединение.
Добавление гостевой сети для vpn пока не доступно.

 

Опубликовано
В 30.01.2023 в 15:01, Данил Емельянов сказал:

Попробовал kvas vpn guest (без указания интерфейса), получил такой ответ:

Сейчас используется shadowsocks соединение.
Добавление гостевой сети для vpn пока не доступно.

 

Видимо с ss не работает обход блокировок по VPN. Сделал через wg - все заработало.

Опубликовано

Сделал все по инструкции, спасибо все работает.

Но хочу сравнить с другими способами, устанавливал на чистую флешку, сейчас хочу ее вынуть, и на другую флешку установить другой вариант. Если не понравится, вернуть флешку с Квасом обратно. Можно просто вынуть флешку, или надо какие то команды ввести, чтоб потом опять все заработало, когда верну флешку.

Опубликовано
В 30.01.2023 в 15:01, Данил Емельянов сказал:

Попробовал kvas vpn guest (без указания интерфейса), получил такой ответ:

Сейчас используется shadowsocks соединение.
Добавление гостевой сети для vpn пока не доступно.

 

Добрейший вечер! Одна из причин по которой пока пришлось отказаться от кваса. Некторое время был активным пользователем. Насколько помню, в ранних версиях помогала команда kvas add bridge all

 

Опубликовано (изменено)

День добрый.

Подскажите пожалуйста. С OpenVPN и Wireguard проблем нет. Соединение настраивается из вебморды кинетика, потом квас подключается к созданному VPN-подключению. А как настроить КВАС через ShadowSocks соединение? Если имеется в наличие только файл готовой конфигурации для клиентов ShadosSocks вида "ss://Y2uhY....."

p.s. Вопрос в том как создать это самое ShadoSocks-соединение на кинетике.

Изменено пользователем drfischer
Опубликовано
10 часов назад, drfischer сказал:

Если имеется в наличие только файл готовой конфигурации для клиентов ShadosSocks вида "ss://Y2uhY....."

p.s. Вопрос в том как создать это самое ShadoSocks-соединение на кинетике.

При наличие установленного на ПК - Shadowsocks-4.4.1.0 - после его запуска -> Сервера -> Импорт адреса из буфера обмена. Потом Серверы -> Редактировать серверы. Потом выбираете нужный и все параметры у вас на экране.

Опубликовано
1 час назад, vasek00 сказал:

При наличие установленного на ПК

Так я не на пк, а на роутер же хочу его установить и чтоб квас при поиске "подключенных vpn" мог его использовать.

Опубликовано

Доброго дня,

11 час назад, drfischer сказал:

файл готовой конфигурации для клиентов ShadosSocks вида "ss://Y2uhY....."

Приведите пожалуйста содержание этого файла.

Опубликовано (изменено)
19 часов назад, drfischer сказал:

День добрый.

Подскажите пожалуйста. С OpenVPN и Wireguard проблем нет. Соединение настраивается из вебморды кинетика, потом квас подключается к созданному VPN-подключению. А как настроить КВАС через ShadowSocks соединение? Если имеется в наличие только файл готовой конфигурации для клиентов ShadosSocks вида "ss://Y2uhY....."

p.s. Вопрос в том как создать это самое ShadoSocks-соединение на кинетике.

Если нет установленного оутлайна делаем так:

В вашей ссылке:

После @ идет IP:Port для подключения

от ss:// до @ идет код в формате base64, переводим через декодер и получим строку: chacha20-ietf-poly1305:XXXXX, где XXXXX - пароль для подключения, а "chacha20-ietf-poly1305" - метод шифрования.

 

Так мы получим данные для подключения.

В кинетике я так понимаю по умолчанию нет ss подключения, используется OPKG. 

Если квас установлен думаю поможет команда kvas ssr new. Тут больше автор подскажет.

Если кваса нет, тот тут на форуме обсуждалось как сделать новое подключение: 

 

Изменено пользователем Ramazankzn
Опубликовано
1 час назад, drfischer сказал:

Так я не на пк, а на роутер же хочу его установить и чтоб квас при поиске "подключенных vpn" мог его использовать.

Речь про чтение конф буфера в ПК для последующего ввода данных на роутер

Скрытый текст

-3.thumb.jpg.b1d7e9403655b4a00bf4c5185ad3c700.jpg

-2.jpg.857b8feb63ad9c3b24062696e8ca1890.jpg

 

Опубликовано
2 часа назад, Zeleza сказал:

Приведите пожалуйста содержание этого файла.

ss://YWVzLTI1Ni1nY206ZTRGQ1dyZ3BramkzUVk=@ak1610.fr8678825324247b8176d59f83c30bd94d23d2e3ac5cd4a743bkwqeikvdyufr.cyou:9101#@OutlineVpnOfficial%20(france)

Опубликовано
9 минут назад, drfischer сказал:

ss://YWVzLTI1Ni1nY206ZTRGQ1dyZ3BramkzUVk=@ak1610.fr8678825324247b8176d59f83c30bd94d23d2e3ac5cd4a743bkwqeikvdyufr.cyou:9101#@OutlineVpnOfficial%20(france)

Вам уже выше @Ramazankzn ответил, как расшифровать ссылку и какую команду в Квасе ввести, чтобы все заработало. 

Опубликовано

Друзья, выше была описана похожая проблема, но возможно у меня немного иная и я что-то упустил.

Имеется kn-1010 с серым ip, поднято wg соединение на германский сервер. Через этот wg настроен kvas. На роутере настроен sstp сервер для захода через облако keenetic. Теперь собственно проблема. На смартфоне с android поднимается sstp к роутеру. Смартфон получает доступ к локальной сети, внешней сети, кроме адресов в списке kvas. Т.е. доступа к любому ресурсу из списка kvas нет. Что я мог забыть или сделать не так?

Опубликовано

Свою проблему решил. Опишу, если кому-то понадобиться.

Через CLI

1. access-list vpn-sstp создал acl

2. permit ip 192.168.1.220/30 0.0.0.0/0 создал разрешающее правило для для /30 диапазона ip для клиентов по sstp

3. exit вышел из редактора

4. interface Wireguard0 ip access-group vpn-sstp out

5. interface Wireguard1 ip access-group vpn-sstp out два своих WG интерфейса навесил acl

6. system configuration save

Собственно дело не в kvas(е), как я и думал. Всем спасибо.

  • 2 недели спустя...
Опубликовано (изменено)
27 минут назад, Виктор67 сказал:

Доброго времени суток, уважаемые специалисты.

Что я делаю не так? Не видит файл... 

Добрый день!

Попробуйте:

opkg update

 

Изменено пользователем kilia

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу

×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.