ipset-dns для выборочного роутинга

[applick]

2 часа назад, ViruZZZ сказал:

Можете показать как это сделать? нужно ли покупать какой то VPN-сервер?

Для начала у вас должен быть куплен и настроен какой нибудь vpn. Любой можно, например openvpn или wireguard, дальше в web интерфейсе роутера, во вкладке Интернет > Другие Подключения, вы должны загрузить конфиг vpn и подключиться к этому серверу и тогда через команду

ip addr

найдете имя своего vpn подключения. У меня в роутере настроено подключение через wireguard и выглядит оно так:

[alexekoz]

Подскажите пожалуйста.
а можно как то маску добавлять, у меня приложуха на телеке теперь не пашет
 я опытным путем выяснил что это hem09s02-in-f14.1e100.net (статика 216.58.192.0 255.255.192.0/18), но там таких доменов куча, пока запахало, но в лом будет каждый раз добавлять, учитывая что выдернуть было не просто...пришлось трафик анализировать.
можно как то указать *.1e100.net
и например *.googlevideo.com
мб не через это решение, а через другое....

Изменено 5 августа, 2024 пользователем alexekoz

[Host Di]

В 08.04.2024 в 18:14, Drafted сказал:

Если кому интересно вот инструкция:

Сносим opkg и ставим заново на всякий случай. Я устанавливаю во внутреннюю память роутера. Все нужные пакеты занимают около 7мб.

После установки opkg заходим по SSH в Entware. Для этого в командной строке:

ssh root@192.168.1.1 -p 222

Устанавливаем пакеты:

opkg update && opkg install ipset iptables dnsmasq

Создаем файл конфигурации:

vi /opt/etc/bypass.conf

В него вставляем содержимое, отредактировав VPN_NAME и VPN_SUBNET (можно подсмотреть командой: ip addr):

VPN_NAME=nwg0
VPN_SUBNET=10.77.77.0/24

Даем права на запуск:

chmod +x /opt/etc/bypass.conf

Создаем скрипт запуска:

vi /opt/etc/init.d/S52ipset-bypass

В него вставляем содержимое:

#!/bin/sh

PATH=/opt/sbin:/opt/bin:/opt/usr/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin

. /opt/etc/bypass.conf

if [ "$1" = "start" ]; then
    ipset create bypass hash:ip
    ip rule add fwmark 1001 table 1001
fi

Даем права на запуск:

chmod +x /opt/etc/init.d/S52ipset-bypass

Создаем хук ifstatechanged.d:

vi /opt/etc/ndm/ifstatechanged.d/010-bypass-table.sh

В него вставляем содержимое:

#!/bin/sh

. /opt/etc/bypass.conf

[ "$1" == "hook" ] || exit 0
[ "$system_name" == "$VPN_NAME" ] || exit 0
[ ! -z "$(ipset --quiet list bypass)" ] || exit 0
[ "${connected}-${link}-${up}" == "yes-up-up" ] || exit 0

if [ -z "$(ip route list table 1001)" ]; then
    ip route add default dev $system_name table 1001
fi

Даем права на запуск:

chmod +x /opt/etc/ndm/ifstatechanged.d/010-bypass-table.sh

Создаем хук netfilter.d:

vi /opt/etc/ndm/netfilter.d/010-bypass-table.sh

В него вставляем содержимое:

#!/bin/sh

. /opt/etc/bypass.conf

[ "$type" == "ip6tables" ] && exit
[ "$table" != "mangle" ] && exit
[ -z "$(ip link list | grep $VPN_NAME)" ] && exit
[ -z "$(ipset --quiet list bypass)" ] && exit

if [ -z "$(iptables-save | grep bypass)" ]; then
     iptables -w -t mangle -A PREROUTING ! -s $VPN_SUBNET -m conntrack --ctstate NEW -m set --match-set bypass dst -j CONNMARK --set-mark 1001
     iptables -w -t mangle -A PREROUTING ! -s $VPN_SUBNET -m set --match-set bypass dst -j CONNMARK --restore-mark
fi

Даем права на запуск:

chmod +x /opt/etc/ndm/netfilter.d/010-bypass-table.sh

Правим конфиг dnsmasq.conf:

vi /opt/etc/dnsmasq.conf

В него вставляем новый конфиг, заменяя старый. Адрес в server можно поменять на предпочтительный DNS сервер, например 1.1.1.1 или 9.9.9.9.

user=nobody
pid-file=/var/run/opt-dnsmasq.pid
port=5300

min-port=4096
cache-size=1536

bogus-priv
no-negcache
no-resolv
no-poll
no-hosts
clear-on-reload

server=8.8.8.8
ipset=/#/bypass

Если вы используете прошивочный DoT или DoH, то можно указать его, чтобы DNS запросы к перенаправленным хостам также шифровались. Подсмотреть адреса и порты локальных резолверов можно командой cat /tmp/ndnproxymain.stat Все что с портами 405***  это DoH/DoT серверы кинетика. Выбираем любой. Адрес с портом указываем так:

server=127.0.0.1#40500

Готово! Перезапускаем роутер.

Добавляем нужные хосты в разделе Интернет-фильтры -> Настройка DNS, указывая адрес сервера DNS: 192.168.1.1:5300

Если @Александр Рыжов сделает из этого пакет, то будет вообще сказка)

Повторюсь - это решение, за счет встроенного кеширования dnsmasq, работает намного стабильнее и быстрее в плане резолвинга, чем при использовании ipset-dns.

Сделал все по инструкции, вчера все работало, но утром снова стал тормозить [:censored:]..

Проверил VPN профиль напрямую перенаправив трафик с ПК, на нем [:censored:] быстро открывается. В чем может быть проблема?

Изменено 5 августа, 2024 пользователем TheBB

[keenet07]

Оно именно так и должно работать. В вебинтерфейсе домен пишите и без всяких звёздочек. Все поддомены должны включаться.

[Drafted]

7 часов назад, alexekoz сказал:

Подскажите пожалуйста.
а можно как то маску добавлять, у меня приложуха на телеке теперь не пашет
 я опытным путем выяснил что это hem09s02-in-f14.1e100.net (статика 216.58.192.0 255.255.192.0/18), но там таких доменов куча, пока запахало, но в лом будет каждый раз добавлять, учитывая что выдернуть было не просто...пришлось трафик анализировать.
можно как то указать *.1e100.net
и например *.googlevideo.com
мб не через это решение, а через другое....

Так в этом то и цимус способов из этой темы, что можно указывать корневые домены (например: 1e100.net)  и все поддомены (типа hem09s02-in-f14.1e100.net) подтянутся автоматом.

Изменено 5 августа, 2024 пользователем Drafted

[Drafted]

@Александр Рыжов можно Вас попросить добавить ссылку на мой способ через dnsmasq в шапку темы? Что-то тут все очень сильно оживилось и мой пост уже где-то в середине темы.

Изменено 5 августа, 2024 пользователем Drafted

[Drafted]

2 часа назад, Host Di сказал:

Сделал все по инструкции, вчера все работало, но утром снова стал тормозить [:censored:]..

Проверил VPN профиль напрямую перенаправив трафик с ПК, на нем [:censored:] быстро открывается. В чем может быть проблема?

Проверяйте что траффик к хостам идет через VPN. Можно через tracert (traceroute если Mac/Unix):

Изменено 5 августа, 2024 пользователем Drafted

[Inomdzhon Mirdzhamolov]

В 28.02.2024 в 10:11, Сергей Грищенко сказал:

P.S. DOH и DOT можно настроить на весь трафик, я так делать не стал, сделал только для обхода. Смотрите скрин.

Спасибо за инструкцию 🙏

Тоже хотел бы, чтобы только трафик [:censored:] гнался по заданным вручную DNS, на всё остальное, чтобы применялся резолвер из вкладки "Интернет-фильтр". Но вот как раз этот публичный резолвер блочит все DNS, которые заданы вручную. Пишет по типу:

Dns::Secure::ManagerDot: DNS-over-TLS name server "1.1.1.1" is disregarded while Internet Filter is active.

Вы сталкивались с такой проблемой? И подскажите, пожалуйста, интерфейс OVH это у ваш VPN ведь?

UPD

Разобрался, оказывается всё работает 😅 А на предупреждение DNS-over-TLS name server "1.1.1.1" is disregarded while Internet Filter is active. можно не обращать внимание.

Изменено 6 августа, 2024 пользователем Inomdzhon Mirdzhamolov

[Host Di]

4 часа назад, Drafted сказал:

Проверяйте что траффик к хостам идет через VPN. Можно через tracert (traceroute если Mac/Unix):

Проверил оба варианта, трассировка идёт через те же маршруты. Захожу через Microsoft Edge на сайт и видео корректно подгружается. Захожу через Chrome и при попытке воспроизведения видео, по домену идут 403 ошибки. На телефоне через приложение думаю также все..

[Артём Ковальчук]

В 03.08.2024 в 21:04, Aleksandr Vorontsov сказал:

Лучшая инструкция, завелось. Я бы еще добавил, почему то, что "#!/bin/sh" криво копируются в vi, пришлось дописывать руками, попутно изучая vi  ) что нужно поставить ip роутера на 192.168.2.1 (я кинул новый роутер keenetic к роутеру по ethernet в квартире, которую арендую, чтобы на нем уже поднять эту приблуду) и добавить если хочешь включать youtube, то добавить googlevideo.com.

копипасту в vi лучше делать в insert режиме, тогда все ок вставляется

[Drafted]

4 часа назад, Host Di сказал:

Проверил оба варианта, трассировка идёт через те же маршруты. Захожу через Microsoft Edge на сайт и видео корректно подгружается. Захожу через Chrome и при попытке воспроизведения видео, по домену идут 403 ошибки. На телефоне через приложение думаю также все..

403 ошибка возможна из-за каких-нибудь расширений хрома для блокировки рекламы.

[artmc063]

Есть какой нибудь гайд как проверить что все верно настроено. Сделал все по инструкции, трафик в туннель не заворачивается. 

На самом роутере тесты в ipset проходят 

```
 

~ # ipset test bypass 1.1.1.1

1.1.1.1 is NOT in set bypass.

~ # ipset test bypass 172.217.23.196

172.217.23.196 is NOT in set bypass.

~ # ipset test bypass googlevideo.com

Warning: googlevideo.com resolves to multiple addresses: using only the first one returned by the resolver.

Warning: 74.125.131.103 is in set bypass.

~ # ipset test bypass 2ip.com

Warning: 8.129.189.61 is in set bypass.
```

UPD: рпоблему решил, оказалось что роутер по DHCP выдавал DNS 8.8.8.8, поменял в настройках на адрес роутера и все заработало. 

 

Изменено 6 августа, 2024 пользователем artmc063
проблема решена

[V.A.S.t]

А как-то можно траффик из другого тоннеля заворачивать в нужный ВПН? Подключаюсь, например с ноутбука по L2TP и хочу посмотреть ютуб, а он тормозит, ибо траффик до googlevideo не заворачивается в ВПН, а идет через провайдера...

[Dalex]

В 04.08.2024 в 10:00, Gorod_Besov сказал:

но с копи пастом в vi, конечно сурово

opkg install mc

mcedit блабла

[Dalex]

В 05.08.2024 в 10:32, Drafted сказал:

@Александр Рыжов можно Вас попросить добавить ссылку на мой способ через dnsmasq в шапку темы? Что-то тут все очень сильно оживилось и мой пост уже где-то в середине темы.

А вы возможно захотите добавить в пост эту информацию?

 

[Inomdzhon Mirdzhamolov]

2 минуты назад, Dalex сказал:

А вы возможно захотите добавить в пост эту информацию?

 

Ещё вот это сообщение было полезным:

Можно тоже ссылаться.

[keysis]

Подскажите пожалуйста, как установить именно эти пакеты: 

Скрытый текст

opkg install http://bin.entware.net/mipselsf-k3.4/test/ipset-dns-keenetic_0.2-1_all.ipk

Разобрался как поставить ethware - mipsel-installer.tar, а как дальше не могу понять. Устанавливаю через keendns, удалённо с рабочего компьютера через секретную команду keenetic.link/А

[Drafted]

4 часа назад, Dalex сказал:

А вы возможно захотите добавить в пост эту информацию?

 

Тут некоторые еще на 3.х сидят, чуть позже обновлю )

[Keaf]

В 02.08.2024 в 06:35, Drafted сказал:

Что значит несколько DNS адресов? Upstream DNS server? Или Вы хотите сделать отдельный резолвер с другой таблицей для заворачивания в другой тоннель?

В конфиге возможно прописать только один DNS сервер. При этом если я поднимаю VPN (например, для работы), который использует свои DNS сервера, то трафик уже не идет через VPN роутера

[Анатолий А]

Добрый день настроил по способу Ув. Drafted, заметил такую странность, перестал работать playmarket google, то есть сам открывается нормально, а приложение не скачивается, висит постоянная "подождите", и это на всех устройствах андроид в сети, при отключении WireGuard, скачивание начинается, подскажите в какую сторону копать, что посмотреть для локализации проблемы?

[Keaf]

4 минуты назад, Анатолий А сказал:

Добрый день настроил по способу Ув. Drafted, заметил такую странность, перестал работать playmarket google, то есть сам открывается нормально, а приложение не скачивается, висит постоянная "подождите", и это на всех устройствах андроид в сети, при отключении WireGuard, скачивание начинается, подскажите в какую сторону копать, что посмотреть для локализации проблемы?

Аналогичная сейчас проблема. Вот сам не знаю куда копать. play.google.com не открывался на ноутбуке, прописал play.google.com через ipset-dns, стал открываться, но как на телефоне не качал с сайта, так и не качает

[Сергей Грищенко]

9 минут назад, Анатолий А сказал:

Добрый день настроил по способу Ув. Drafted, заметил такую странность, перестал работать playmarket google, то есть сам открывается нормально, а приложение не скачивается, висит постоянная "подождите", и это на всех устройствах андроид в сети, при отключении WireGuard, скачивание начинается, подскажите в какую сторону копать, что посмотреть для локализации проблемы?

добавьте в обход gtv1.com

2 минуты назад, Keaf сказал:

Аналогичная сейчас проблема. Вот сам не знаю куда копать. play.google.com не открывался на ноутбуке, прописал play.google.com через ipset-dns, стал открываться, но как на телефоне не качал с сайта, так и не качает

это не поможет, написал выше

[Анатолий А]

11 минуту назад, Сергей Грищенко сказал:

добавьте в обход gtv1.com

Добавил, без эффекта.

[Aleksey Kad]

Добрый день. Спасибо Drafted за инструкцию! Но сегодня появилась проблема, трафик до Кинопоиска стал идти тоже через WireGuard, но добавлен в интернет-фильтрах только googlevideo.com и [:censored:]. 

Изменено 6 августа, 2024 пользователем TheBB

[Dalex]

Что-то расходится описание

При использовании метода от Drafted и прошивочного DoH DNS  -  где нужно изменить DNS= на 127.0.0.1:xxx - в bypass.conf (где его в изначальной инструкции нет вообще) или в dnsmasq.conf?

Изменено 6 августа, 2024 пользователем Dalex

[Keaf]

1 час назад, Сергей Грищенко сказал:

добавьте в обход gtv1.com

В общем, до ipset-dns пользовался обычной статикой через VPN интерфейс. Убрал из маршрутов 64.233.160.0/19 и заработало скачивание/обновление с play market

[Drafted]

1 час назад, Aleksey Kad сказал:

Добрый день. Спасибо Drafted за инструкцию! Но сегодня появилась проблема, трафик до Кинопоиска стал идти тоже через WireGuard, но добавлен в интернет-фильтрах только googlevideo.com и [:censored:]. 

Вероятно кинопоиск сидит на том же CDN/IP что и гуглвидео, поэтому так. Можете попробовать добавить в Интернет-фильтр kinopoisk.ru с альтернативным вышестоящим DNS, например 9.9.9.9, чтобы его резолвило на другие адреса:

 

1 час назад, Dalex сказал:

При использовании метода от Drafted и прошивочного DoH DNS  -  где нужно изменить DNS= на 127.0.0.1:xxx - в bypass.conf (где его в изначальной инструкции нет вообще) или в dnsmasq.conf?

В моей инструкции параметра DNS нет в bypass.conf. Указывать вышестоящий DNS нужно в dnsmasq.conf, параметр server.

Пример:

user=nobody
pid-file=/var/run/opt-dnsmasq.pid
port=5300

min-port=4096
cache-size=1536

bogus-priv
no-negcache
no-resolv
no-poll
no-hosts
clear-on-reload

server=127.0.0.1#40500
ipset=/#/bypass

 

Изменено 6 августа, 2024 пользователем Drafted

[Drafted]

2 часа назад, Анатолий А сказал:

Добрый день настроил по способу Ув. Drafted, заметил такую странность, перестал работать playmarket google, то есть сам открывается нормально, а приложение не скачивается, висит постоянная "подождите", и это на всех устройствах андроид в сети, при отключении WireGuard, скачивание начинается, подскажите в какую сторону копать, что посмотреть для локализации проблемы?

Добавьте play.google.com в список.

[Анатолий А]

14 часа назад, Drafted сказал:

Добавьте play.google.com в список.

Добавил play.google.com, настроил DOH, DOT, пробовал в различных комбинациях, после перезагрузки роутера работает некоторое время, после опять скачка из playmarketa перестает работать, забил на это дело если нужно будет что-то обновить/скачать отключил WireGuard, сделал- включил обратно дело 1 минуты. Всем спасибо за участие.

[mihey]

В 08.04.2024 в 22:14, Drafted сказал:

Даем права на запуск:

chmod +x /opt/etc/bypass.conf

Зачем?