Пробуем КВАС

[c1tru55]

11 минуту назад, drfischer сказал:

Про гостевую сеть не знаю, нет ее у меня.

речь не о гостевой wi-fi сети, а об:

8 часов назад, Zeleza сказал:

Логика следующая, гостями считаются любые сети по отношению к туннельному VPN соединению.

Хотя, если это сбивает с толку, то поменяю на kvas vpn net add

т.е. вы даже не добавляли ее через kvas vpn guest add и у вас все работает так же, как и для домашних устройств? ничего дополнительно не настраивали для этого?

[Zeleza]

Доброго всем дня

В 27.11.2023 в 22:00, c1tru55 сказал:

а kvas vpn guest видит этот IKEv2/IPsec VPN-сервер?

Прошу обновиться на свежую версию 1.1.5-final, командой:

curl -sOfL http://kvas.zeleza.ru/update && sh update full

С настоящего момента, этот релиз поддерживает сканирование и подключение клиентов VPN-сервера с поддержкой IKEv2 командой:

kvas vpn net add

Аргумент guest все так же поддерживается, но на его смену пришел аргумент net, как более логичный в данной ситуации.

Также, в WIKI добавлен новый раздел "Эффективная работа".

Буду признателен за обратную связь по подключению клиентов сетей, командой выше к различным видам соединений (ssr и vpn). 

Изменено 4 декабря, 2023 пользователем Zeleza

[c1tru55]

10 часов назад, Zeleza сказал:

С настоящего момента, этот релиз поддерживает сканирование и подключение клиентов VPN-сервера с поддержкой IKEv2 командой:

у меня после обновления VPN-сервер IKEv2/IPsec не обнаруживается. также kvas vpn guest и kvas vpn net возвращают разные результаты.

Скрытый текст

/opt/packages # kvas vpn guest
-----------------------------------------------------------------------------------
1. Интерфейс "Подключение Ethernet" [188.233.***.***]               ОТКЛЮЧЕН
2. Интерфейс "Home" [10.1.0.1]                                      ПОДКЛЮЧЕН
-----------------------------------------------------------------------------------
/opt/packages # kvas vpn net
-----------------------------------------------------------------------------------
Текущее VPN соединение: SHADOWSOCKS                                 ПОДКЛЮЧЕНО
-----------------------------------------------------------------------------------
/opt/packages # kvas vpn net add
-----------------------------------------------------------------------------------
Текущее VPN соединение: SHADOWSOCKS                                 ПОДКЛЮЧЕНО
-----------------------------------------------------------------------------------

PS: после полной переустановки команды выше начали видеть VPN-сервер IKEv2/IPsec и показывать одинаковый результат, но добавление IKEv2/IPsec или OpenVPN ничего не дает, по крайней мере через IKEv2/IPsec сайты из списка разблокировки не открываются, по поводу OpenVPN возможно нужны какие-то специфичные настройки в самом конфиге.

так что похоже скрипт апдейта не работает (уже 2й раз сталкиваюсь с этим).

+ очень часто при включении/выключении adguard всплывают ошибки как в этом посте 

 

Изменено 28 ноября, 2023 пользователем c1tru55

[aleks13777]

Обновил, ошибок пока не заметил.

[Zeleza]

Доброго утра

16 часов назад, c1tru55 сказал:

у меня после обновления VPN-сервер IKEv2/IPsec не обнаруживается. также kvas vpn guest и kvas vpn net возвращают разные результаты.

Обновил скрипт и сам пакет: 

• В скрипт установки пакета добавлена функция удаления кеша, наличие которого приводило к установке старых версий при обновлении пакета при частом обновлении.

UPD
Автоматизировал систему присвоения очередного номера при сборке, теперь любая новая сборка будет отличаться своим номером, в конце названия каждой версии, например, kvas_1.1.5-final-7_all.ipk.  

Изменено 29 ноября, 2023 пользователем Zeleza

[drfischer]

3 часа назад, Zeleza сказал:

Обновил скрипт и сам пакет: 

день добрый.

можно обновиться (с 1.1.5 final) или с нуля устанавливать?

[Zeleza]

Доброго дня

19 минут назад, drfischer сказал:

можно обновиться (с 1.1.5 final) или с нуля устанавливать?

Попробуйте эту команду

curl -sOfL https://bit.ly/kvas_update && sh ./kvas_update full

 

[kilia]

Zeleza, Добрый день!

13 минуты назад, Zeleza сказал:

Попробуйте эту команду

Ещё бы добавить команду актуальной версии kvas выложенной в свободный доступ, чтобы можно было убедиться в необходимости обновления без переустановки. Типа такого:

kvas check ver

 

Изменено 29 ноября, 2023 пользователем kilia

[drfischer]

12 минуты назад, Zeleza сказал:

Попробуйте эту команду

Обновил. Почему-то всякий раз после обновления КВАС работать перестает (IP провайдера при проверке на 2ip.ru). И в логе роутера: 

dnsmasq[4611]

failed to load names from /opt/etc/hosts: No such file or directory

 

Потом запускаю команду KVAS debug - все налаживается (вижу IP своего VPN-сервера).

Добавил в список новый домен (KVAS add flibs.cloud). Не хочет открываться. Опять запускаю KVAS Debug - все начинает работать. Спасительная прям, команда)

 

 

[Zeleza]

5 минут назад, drfischer сказал:

dnsmasq[4611]

failed to load names from /opt/etc/hosts: No such file or directory

Ошибка не относится к Квасу, писал уже многократно об этом!

По поводу, добавления доменных имен - чистите кеш !!!!
Добавили домен, закрыли браузер (самый действенный способ) и открыли. У меня таким образом все работает. 

[Zeleza]

30 минут назад, kilia сказал:

Ещё бы добавить команду актуальной версии kvas выложенной в свободный доступ, чтобы можно было убедиться в необходимости обновления без переустановки.

Доброго дня
Спасибо за идею.

Подумаю, как лучше будет ее реализовать. 

[drfischer]

14 часа назад, Zeleza сказал:

Ошибка не относится к Квасу, писал уже многократно об этом!

По поводу, добавления доменных имен - чистите кеш !!!!

по поводу ошибки dnsmasq, пардон, просто было странно ее увидеть сразу как обновился КВАС поэтому и написал о ней. А по поводу чистки кэша - ну не в этом дело. И перезагружал компьютер и другими браузерами открывал, и даже другим устройством пытался на этот домен достучаться, там уж вообще кэша нет. Но не хочет без KVAS debug. У меня, по крайней мере.

 

P.s. вложил видеофайл с процессом

Изменено 30 ноября, 2023 пользователем drfischer
Добавил видео

[Kolyk]

Всех приветствую !

Обновил Квас через 

curl -sOfL https://bit.ly/kvas_update && sh ./kvas_update full

заметил вот такой момент ..

Изменено 29 ноября, 2023 пользователем Kolyk

[Zeleza]

Доброго вечера

3 часа назад, Kolyk сказал:

заметил вот такой момент ..

Какой момент? номерки не с 1?
Какая версия у Вас стоит?

Изменено 29 ноября, 2023 пользователем Zeleza

[Frez]

Почему-то не получается завернуть поддомены некоторых добавленных сайтов в VPN. Что делаю:

kvas add mosenergosbyt.ru

далее Y для добавления с поддоменом wildcard

Проверяю в браузере в инкогнито, либо командой traceroute на клиенте.
В итоге маршрут до mosenergosbyt.ru через туннель, а до домена nccchat.mosenergosbyt.ru сразу в инет минуя туннель. 
Также заметил, что этот сайт отсутствует в kvas.dnsmasq, есть только в hosts.list.

 

Изменено 28 февраля пользователем Frez

[Kolyk]

2 часа назад, Zeleza сказал:

Какой момент? номерки не с 1?
Какая версия у Вас стоит?

Нет последняя сборка 7. А момент то что что показывает интерфейс 2,3 а выбрать 1 или 2

[Zeleza]

Доброго утра

7 часов назад, Frez сказал:

Проверяю в браузере в инкогнито, либо командой traceroute на клиенте.
В итоге маршрут до mosenergosbyt.ru через туннель, а до домена nccchat.mosenergosbyt.ru сразу в инет минуя туннель. 
Также заметил, что этот сайт отсутствует в kvas.dnsmasq, есть только в hosts.list.

Судя по логу, домен добавляется как надо. 
Проверьте еще запись в /opt/etc/kvas.dnsmasq и в ipset

cat < /opt/etc/kvas.dnsmasq | grep mosenergosbyt.ru
ipset list unblock | grep 195.82.140.164

 

И пожалуйста, проявляете уважение и осознанность - здоровайтесь с людьми у которых просите помощи.   

[Zeleza]

7 часов назад, Kolyk сказал:

Нет последняя сборка 7. А момент то что что показывает интерфейс 2,3 а выбрать 1 или 2

Доброго утра,

Спасибо, сегодня исправлю.

[Zeleza]

Доброго утра

15 минут назад, Joe сказал:

1. Было бы классно пользоваться каким нибудь другим сервисом генерации ссылки на дистрибутив кваса (или ссылку на гитхаб), потому что bit.ly заблокирован в Казахстане, и скрипт обновления не работает.. 

В принципе можно использовать и длинную ссылку от гитхаба, как решение проблемы. 
Откровенно сервисов много, но я не могу каждый отследить где и что не работает - предлагайте свой вариант. 

16 минут назад, Joe сказал:

2. В квасе/wiki сервис 2ip поменять на сервис myip.ru. В отличии от 2ip этот точно не кеширует страницу,(ниразу не замечен), в отличии от 2ip который может показывать старые результаты. Также из плюсов более легкая страница

Не проблема, сделаю.

17 минут назад, Joe сказал:

3.Может стоит подумать как можно было бы автоматически протестировать обход блокировок, например на линукс хостах в домашней сети обход легко видно через traceroute. Но в opkg это не работает, команды и запросы оттуда ходят мимо обхода блокировок. Это кстати вторая причина почему даже при включенном обходе не получается обновляться скриптом.. 

На сколько я знаю, проверить можно только с клиентов, но если у Вас есть другие варианты, то я открыт для предложений. 

[Zeleza]

Доброго вечера

Обновил до версии 1.1.5 final-10.

1.  Обновлен режим upgrade в пакете (будет корректно работаться только с версии 1.1.5 final-10). Теперь, при запуске происходит проверка на версию и если не совпадают - обновляемся, если upgrade c параметром force - то обновляемся без оглядки на версию, если параметр full - удаляем пакет полностью. Детали в WIKI  
2. Исправлена ошибка приводившая к сбою нумерации в списке гостевых сетей в командах 'vpn net ...'

В 30.11.2023 в 08:36, Joe сказал:

Всем привет! Три мысли

Сейчас попробуйте обновиться по этой ссылке, возможно эта будет видна всем.

curl -sOfL http://kvas.zeleza.ru/update && sh update

Пока сервис определения IP оставил без изменений, в связи с тем, что предложенный Вами сервис не вызывает доверия и у меня есть проблемы с корректным определением IP.

 

Изменено 4 декабря, 2023 пользователем Zeleza

[Andrey Zubov]

3 часа назад, Zeleza сказал:

Пока сервис определения IP оставил без изменений, в связи с тем, что предложенный Вами сервис не вызывает доверия и у меня есть проблемы с корректным определением IP.

О, поверьте, более кривого сервиса по определению адреса чем 2ip представить вообще сложно. Это я говорю с абсолютной уверенностью, так как недавно писал утилиту по мониторингу внешнего ip для прокси серверов.

Я бы рекомендовал посмотреть на ip-api.com

[Teutonick]

Какой изумительный продукт получился у вас @Zeleza ! Вот теперь после исправления багов и механизма обновлений в 1 клик, можно назвать его просто идеальным) спасибо за старания и труд! 

[x-tropic]

@c1tru55 Здравствуйте, у Вас так и не получилось пробросить маршруты кваса на впн-клиентов которые подключены к встроенному впн-серверу ikev2?

У меня квас работает через подключение ShadowSocks, но также пробовал пустить через OpenVPN и результата это тоже никакого не дало. kvas vpn net add показывает оба доступных интерфейса и добавляет их, но по факту 2ip.ru отображает родной айпи удаленного шлюза и ни один другой домен из списка разблокировки не открывается...

[xLamoSx]

2 часа назад, x-tropic сказал:

пробросить маршруты кваса на впн-клиентов которые подключены к встроенному впн-серверу ikev2

Доброй ночи.
Я бился с этой задачей пару месяцев назад.
Я ее победил но явно как то криво и пока нет времени с ней разобраться до конца.
Суть в следующем, тут написана инструкция как это сделать.

Скрытый текст

 

Но по моим ощущениям там допущена ошибка.
Автор пишет следующее:
 

Скрытый текст

P.P.S. КВАС периодически передобавляет правила iptables. Но т.к. сверка «есть ли это правило уже» не полная, то он принимает наши правила за свои, и обход в домашней сети не возвращает!

Так оно и получается, квас по умолчанию раз в 12 часов передобавляет правила и все перестает работать.
Ошибка мне кажется допущена в том что автор пишет:
 

Цитата

Нужно в файле /opt/apps/kvas/etc/ndm/ndm в строчке 247 расширить проверку до

prouting_rules=$(ip4save | grep PREROUTING | grep "${interface}" | grep "${table_name}" | grep REDIRECT | grep "${proxy_port}")

Но мне кажется либо надо сделать подобные изменения в другом файле по следующему пути:

 

Цитата

/opt/apps/kvas/bin/libs/ndm

Либо в обоих представленных выше.
У меня сделаны изменения в обоих файлах, плюс к этому:
 

Я ранее наворотил костылей и на основе данной инструкции я добавил в созданный файл
- 100-shadowsocks-vpn-server

Еще две строки правил

iptables -A PREROUTING -w -t nat -s 192.168.2.0/24 -i eth3 -p tcp -m set --match-set unblock dst -j REDIRECT --to-port 1181
iptables -A PREROUTING -w -t nat -s 192.168.2.0/24 -i eth3 -p udp -m set --match-set unblock dst -j REDIRECT --to-port 1181

В общем у меня уже давно это так и работает, каждые 12 часов при перезаписи таблиц ничего не слетает и все клиенты подключенные через чистый интерфейс IKEv2/IPsec без всяких дополнительный приложений в виде strongSwan ходят по списку блокировок как и положено ровно так же как все клиенты внутри сети.

Если необходимо пишите в ЛС разложу более подробно если тут мало    

 

 

[Frez]

On 11/30/2023 at 4:17 AM, Zeleza said:

Проверьте еще запись в /opt/etc/kvas.dnsmasq и в ipset

cat < /opt/etc/kvas.dnsmasq | grep mosenergosbyt.ru
ipset list unblock | grep 195.82.140.164

Доброго утра,

Спасибо за ответ. В /opt/etc/kvas.dnsmasq записи нет, в ipset есть

Наблюдение: отсутствие записи в kvas.dnsmasq заметил после первоначальной установки версии 1.1.5 (которая без номера билда). После обновления на 1.1.5-final-7 запись mosenergosbyt.ru появилась в kvas.dnsmasq, но после kvas del mosenergosbyt.ru и kvas add mosenergosbyt.ru она вновь появилась только в /opt/etc/hosts.list 

[Zeleza]

Доброго утра

3 часа назад, Frez сказал:

Наблюдение: отсутствие записи в kvas.dnsmasq заметил после первоначальной установки версии 1.1.5 (которая без номера билда). После обновления на 1.1.5-final-7 запись mosenergosbyt.ru появилась в kvas.dnsmasq, но после kvas del mosenergosbyt.ru и kvas add mosenergosbyt.ru она вновь появилась только в /opt/etc/hosts.list 

Запись в ipset должна появляться при обращении к домену из клиента (за это отвечает механизм ndm), а не при его добавлении. 

 

Изменено 2 декабря, 2023 пользователем Zeleza

[Zeleza]

Доброго всем дня

Очередное и я надеюсь крайнее из обновлений 1.1.5-final-15

• Доработан механизм добавления хоста в список. Добавление хоста происходит в списки ipset и в соответствущий DNS-сервер.
• Доработан механизм добавления клиентов гостевой IKEv2 сети. Добавлены правила PREROUTING для DNS (обсуждались чуть выше).
• Изменен адрес проверки работы Кваса на клиентах на более быстрый вариант: с 2ip.ru на myip2.ru

Обновляемся с 1.1.5-final-10 командой

 kvas upgrade full

для более ранних версий командой

curl -sOfL http://kvas.zeleza.ru/update && sh update full

 Прошу дать обратную связь по изменениям, особенно что касается IKEv2.

Изменено 4 декабря, 2023 пользователем Zeleza

[aleks13777]

Вечер добрый. Ошибок нет, ss похоже не подключается.

конфиг ss проверил в мобильном приложении, работает

после перезагрузки роутера служба shadowsocks остановлена и ошибки 

 2023-12-02 19:44:07 INFO: initializing ciphers... CHACHA20-IETF-POLY1305
 2023-12-02 19:44:07 ERROR: invalid cipher name: CHACHA20-IETF-POLY1305
 2023-12-02 19:44:07 ERROR: failed to initialize ciphers
 

debug.txt

debug2.txt

Изменено 2 декабря, 2023 пользователем aleks13777

[Moon_Light]

Подскажите, установил квас думал получится использовать api.openai.com из под HomeAssistent который запущен на роутере но кажется что обход не распространяется на установленные пакеты entware, есть способ это исправить?

[Zeleza]

Доброго вечера

12 часа назад, aleks13777 сказал:

конфиг ss проверил в мобильном приложении, работает

после перезагрузки роутера служба shadowsocks остановлена и ошибки 

 2023-12-02 19:44:07 INFO: initializing ciphers... CHACHA20-IETF-POLY1305
 2023-12-02 19:44:07 ERROR: invalid cipher name: CHACHA20-IETF-POLY1305
 2023-12-02 19:44:07 ERROR: failed to initialize ciphers

Ошибки Вы обнаружили на роутере? Если так, то при чем тут проверка "конфига" в мобильном приложении?

К тому же, ошибка в данном случае очевидна - недопустимое имя шифрования: CHACHA20-IETF-POLY1305. Проверьте "конфиг" на роутере и исправьте ошибку в имени.
Предполагаю, что скорее всего где то в названии закралась русская буква вместо английской, например - с, о, е, н, а  

Изменено 3 декабря, 2023 пользователем Zeleza