ipset-dns для выборочного роутинга

[GWX DNKNS]

18 часов назад, SAGAK сказал:

Подскажите, как вы "отключили у соединения внутренний DNS"?

в настройках DHCP убрал адрес внутреннего (расположенного на хранилке) DNS сервера

[zako]

Кто-нибудь пробовал комбо sing-box (протокол vless xtls reality)  + ipset-dns? 

[applick]

В 10.09.2024 в 02:47, zako сказал:

Кто-нибудь пробовал комбо sing-box (протокол vless xtls reality)  + ipset-dns? 

Пробовал, настроил подключение sing-box-go c shadowsocks2022, vless и заворачиванием трафика в tun0, само соединение работает проверял через curl, но с ipset-dns не получилось заставить работать. Забавно что ip адреса в bypass list добавляет и на этом все, сайты не открывает. Возможно какого то правила в iptables не хватает или конфиг с подключение sing-box надо настроить по другому.

Изменено 12 сентября, 2024 пользователем applick

[Rndn]

Товарищи, доброго дня.

Настроил все по инструкции уважаемого @Drafted и в течение ~недели все было ок, но после столкнулся с тормозами на ютубе. При этом в консоли гугл хрома время от времени вижу fetch-запросы к googlevideo.com со статусом "(canceled)", которые как раз и приводят к зависаниям.

Не эксперт, но мне кажется, будто некоторые запросы к googlevideo.com идут через ip, которых нет в роутере. Проблема не зависит от конкретного железа, но чаще всего проявляется на ПК, гугл хром.

Что пробовал:

1. Переустановил opkg и ко на внутреннюю память роутера, было на usb

2. Сбрасывал настроки сети в windows, гугл хроме (отключал quic, внутренний DoH, сброс dns и сокетов, удалял все расширения)

3. Отключал IPv6, ставил игнорирование DNS провайдера в настройках роутера

4. Ставил единый DNS (8.8.8.8) для всей системы (dnsmasq.conf и интернет-фильтры). Пробовал в чистом виде и через DoT/DoH

5. Несколько раз проверял ip адреса ресурса на ПК и на роутере, различий пока не было замечено

В общем, не знаю, что еще можно сделать. Если пустить весь трафик через VPN, то никаких проблем нет. Я один с такой проблемой? Буду рад, если кто-то сможет подсказать в какую сторону смотреть.

Изменено 13 сентября, 2024 пользователем Rndn

[Dalex]

Не дождался релиза Keenetic OS 4.2,  так как после аварии у провайдера OpenVPN попал под блокировку.

Поставил 4.2 Beta 3, настроил OpenConnect через GUI, поменял в bypass.conf (использую метод с использованием dnsmasq) имя интерфейса и подсеть.

Сбросил ipset, перегрузил роутер, записи в ipset пошли, но записей в таблице маршрутизации нет, смотрел

ip route list table 1001

В чем может быть дело?

Заработало после переподключения к openconnect серверу, и выдало изначальный адреса клиенту. Видимо залипало предыдущее подключение.

Изменено 16 сентября, 2024 пользователем Dalex

[bzzztomas77]

Quote

# ip route list table 1001
default dev nwg3 scope link

а кто заполняет эту таблицу 1001?

[GWX DNKNS]

В 08.09.2024 в 18:14, SAGAK сказал:

Подскажите, как вы

На компе, в настройках сетевой карты. Внутренний = свой домашний

[Dmitriy Krasko]

Еще один момент нашел - довольно часто, при соединении через OPENVPN (не знаю как на WireGuard, у меня он жутко нестабилен, хз почему) меняются адреса VPN, после чего отключаются сайты на ПК.
Помогает ipconfig /flushdns
Как вариант, я сделал утилитку на питоне, которая по клику ПКМ позволяет выполнить эту команду.
Утилитка exe файл.
Исходник

Изменено 20 сентября, 2024 пользователем Dmitriy Krasko

[JD99]

Всем привет. Подскажите нужно что-то делать если меняешь конфиг bypass.conf ? Меняю в нем VPN_NAME и VPN_SUBNET и перестает работать. Меняю обратно и тоже не работает.

[Dalex]

В 12.09.2024 в 17:39, applick сказал:

Пробовал, настроил подключение sing-box-go c shadowsocks2022, vless и заворачиванием трафика в tun0, само соединение работает проверял через curl, но с ipset-dns не получилось заставить работать. Забавно что ip адреса в bypass list добавляет и на этом все, сайты не открывает. Возможно какого то правила в iptables не хватает или конфиг с подключение sing-box надо настроить по другому.

Тестировал позавчера, почему то не создается запись в таблице маршрутизации.

ipset работает и в правилах появляются записи (у меня способ с dnsmasq - Но там разницы нет).

В bypass.conf добавлял и tun0 172.16.250.1/24 и tun0 172.16.250.0/24, но несмотря на правильный "tun" интерфейс от sing-box запись в маршрутизации не создается.

Если руками добавить "ip route add default dev tun0 table 1001", начнет работать.

 

Изменено 23 сентября, 2024 пользователем Dalex

[info]

Здравствуйте.

Подскажите как сделать, чтобы при отсутствии vpn соединения, блокировался доступ к указанным адресам?
Блокировался или dns возвращал не валидный адрес.

[keenet07]

4 часа назад, info сказал:

Здравствуйте.

Подскажите как сделать, чтобы при отсутствии vpn соединения, блокировался доступ к указанным адресам?
Блокировался или dns возвращал не валидный адрес.

Галочка Эксклюзивный маршрут в пользовательских правилах маршрутизации.

[flaik]

Здравствуйте, подскажите пожалуйста, как применить данное решение для другой политики доступа в интернет? На устройствах, которые я переношу в новую политику, интернет работает, а трафик в впн не уходит.

Создал новую политику ("Приоритеты подключений" - "Политики доступа в интернет") аналогичную политике по умолчанию с тем же ethernet подключением. Хочу на разных устройствах сделать разный набор адресов для прогонки через впн. Споткнулся в самом начале получается (потом хочу на другой порт повесить ещё один экземпляр решения и сделать разные таблицы для разных политик)

[fateev]

Добрый день.

Для proxy подключения применим данный способ? Я использую VPN клиента на android. И раздаю vpn в роутер через soks5. Теперь бы прикрутить выборочных обход с помощью данного решения. Вместо wg* использовать t2s

[keenet07]

Если ваш прокси виден в системе как подключение, то можно.

[fateev]

8 часов назад, keenet07 сказал:

Если ваш прокси виден в системе как подключение, то можно.

Да, настроил. Достаточно изменить bypass.conf и рестартануть.

[fateev]

В 24.08.2024 в 00:19, avn сказал:

Используйте таймаут, равный таймауту dns (MaxTTL), записи сами удаляться будут.

 

Как то можно исключить адрес DNS (8.8.8.8) из списка? Таймаут же к любой записи будет применяться?

[Александр Рыжов]

29 минут назад, fateev сказал:

Как то можно исключить адрес DNS (8.8.8.8) из списка?

Из /opt/etc/init.d/S52ipset-dns убрать строчку ipset add $SET_NAME $DNS.

[fateev]

16 минут назад, Александр Рыжов сказал:

Из /opt/etc/init.d/S52ipset-dns убрать строчку ipset add $SET_NAME $DNS.

Подразумевается, разумеется, что из списка адресов с таймаутом. DNS будет тоже дропаться по таймауту. 

Хотя, можно при добавлении его, наверное, так как то прописать ipset add $SET_NAME $DNS timeout 0 (или maxvalue, если 0 это не перманент)

Изменено 1 октября, 2024 пользователем fateev

[zelimkhan96]

Доброго времени! Настроил всё по инструкции, единственное, у меня amneziaWG,  если поставить в приоритет сам впн, то он работает. Если через днс как в данном посте, сайты указанные в фильтре, не резолвятся. На примере 2ip.ru. Куда копать? 


 

 nslookup www.2ip.ru
╤хЁтхЁ:  UnKnown
Address:  192.168.1.1

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
*** Превышено время ожидания запроса UnKnown


UPD. поменяв в bypass 1.1.1.1 на 8.8.8.8, заработало)

Изменено 3 октября, 2024 пользователем zelimkhan96

[Argenium]

Добрый день!

Подскажите мне кто нибудь,  т.к. я в роутерах ничего не понимаю, куда мне нужно вписать строчку ? И не получается узнать свой логин по проверке ip addr, тоже не понимаю куда вписать? Я просто вписывал в консоль и пишет ошибку

opkg install http://bin.entware.net/

[Dime77]

подскажите а можно настроить что весь p2p траффик пошел бы по VPN, c youtube то все понятно, но появилась проблема с p2p

[Владимир Дубинин]

а через этот способ можно ли так же и дискорд сделать ? 

[Dime77]

19 часов назад, Владимир Дубинин сказал:

а через этот способ можно ли так же и дискорд сделать ? 

Для дискорда проще добавить маршруты в маршрутизацию. 

[Mihail_Boyanskiy]

Как диагностировать в чём может быть проблема? Добавил в bypass.conf имя и подсеть туннеля, через cli "ip name-server 192.168.1.1:5353 2ip.ru", перезагрузил роутер и при заходе на 2ip.ru вижу свой ip. Маршрутов новых в ip route не появляется. Если руками добавить маршрут вида: ip route add 11.11.11.11/24 via tunnel gateway всё работает, вижу внешний адрес туннеля. В интернет-фильтрах > Системном профиле сейчас два сервера. Первый - 192.168.1.1:5353 2ip.ru, второй поумолчанию adguard dns over https. По ощущениям когда захожу на добавленный сайт он всё равно идёт через dns поумолчанию. Не хотелось бы отключать дефолтный dns over https. Как можно всё таки пустить 2ip.ru через ipset?

[Mihail_Boyanskiy]

В 23.09.2024 в 21:43, Dalex сказал:

Тестировал позавчера, почему то не создается запись в таблице маршрутизации.

ipset работает и в правилах появляются записи (у меня способ с dnsmasq - Но там разницы нет).

В bypass.conf добавлял и tun0 172.16.250.1/24 и tun0 172.16.250.0/24, но несмотря на правильный "tun" интерфейс от sing-box запись в маршрутизации не создается.

Если руками добавить "ip route add default dev tun0 table 1001", начнет работать.

 

Вот и у меня sing-box

[Mihail_Boyanskiy]

Как его удалить полностью?

Изменено 17 октября, 2024 пользователем Mihail_Boyanskiy

[Mih-Miha]

Всем привет. Сначала пробовал сделать по инструкции из первого поста. Работало, но после перезагрузки приходилось запускать вручную.

Потом всё с чистого листа сделал по инструкции @Drafted. Работало пару месяцев, но сегодня отключали свет и после этого всё накрылось.

При этом при попытке ввести команду:

vi /opt/etc/dnsmasq.conf

 Получаю

vi /opt/etc/dnsmasq.conf: not found

 

Тоже самое и для команды:

cat /tmp/ndnproxymain.stat

 

Пробовал все переустановить. Всё настраивается, но не работает. Через несколько минут опять не работают вышеуказанные команды:(

Подскажите  в какую сторону хоть копать? 

И можно как-то отключить фильтрацию не удаляя список сайтов? А то сейчас ставлю vpn в приоритет, отключил opkg, но сайты из списка все равно не работают ((

Giga (KN-1010) 4.2.1

 

 

Изменено 20 октября, 2024 пользователем Mih-Miha

[keenet07]

Менять в ручную маршрут по умолчанию. Или добавляйте в каждую запись домена посторонний символ или несколько, чтоб не срабатывало на целевой. Например вместо books.ru напишите zzzbooks.ru. И всё, исходный домен исключен. Только VPN должен быть отключен или устройство перезагружено.

Изменено 21 октября, 2024 пользователем keenet07

[Mih-Miha]

Спасибо. 

Жаль, что нет простой кнопки "выкл", а то менять 50+ записей такое себе занятие.

Ещё ббы разобраться с основной проблемой 😞