ipset-dns для выборочного роутинга

[Сергей Грищенко]

Всем кто использует данное решение, поддержите пожалуйста запрос на расширение количества серверов, сейчас в данном решении можно использовать максимум 64, хотелось бы увеличить это количество. Нужно перейти в тему и проголосовать.

Изменено 28 января пользователем Сергей Грищенко

[slavave]

Доброго дня.

Установил на Keenetik ipset. Но есть вопрос. 

В случае подключения к Keenetiс с установленным ipset через wireguard и использования этого туннеля для выхода в интернет через Keenetik, то при обращении чрез этот туннель, к сайту, указанному в списке DNS в web интерфейсе, наполнение набора bypass не происходит ( это видно по команде ipset list bypass  ). Но стоит запустить Ping через Web интерфейс роутера, сразу добавляются IP адреса и уже при запросе с удаленного компьютера через wireguard, кинетик отрабатывает  маршрутизацию.

В чем может быть дело и как это исправить ?

Изменено 5 февраля пользователем slavave

[keenet07]

20 часов назад, slavave сказал:

В чем может быть дело и как это исправить ?

Что бы список начал наполняться кто-то должен на роутере инициировать DNS запросы к этим доменам. Именно это и запускает процесс пополнения.

Подключаясь через Wireguard dns запросы вообще могут происходить на стороне клиента. Соответственно ничто не пополняет список IP и не создает маршруты.

Но даже если DNS запросы удаленных клиентов происходят со стороны Wireguard, то возможно как то это всё происходит мимо стандартной процедуры роутера. Вот тут не уверен, нужно проверять.

Проверьте как происходит у вас. 

[slavave]

А как проверить?

Может этот решить запуском ping на роутере при его загрузке по всем сайтам в списке ? Мне кажется вполне себе нормально д.б. Как лучше это сделать?

Изменено 5 февраля пользователем slavave

[keenet07]

30 минут назад, slavave сказал:

Может этот решить запуском ping на роутере при его загрузке по всем сайтам в списке ? Мне кажется вполне себе нормально д.б.

Так это будет работать крайне не стабильно, либо вообще не будет. Многие домены имеют множество IP адресов и нет никаких гарантий, что IP адрес полученный для домена на стороне клиента будет тем же самым, что IP адрес полученный на кинетике. И в итоге кинетик перенаправит маршрут на один адрес, а с клиента вы будете стучаться на другой.

Да и вообще не возможно будет собрать все возможные домены для пинга на кинетике. 

 

Подождите может подскажут возможно ли резолвить адреса через NAT wireguard на внутреннем резолвере кинетика. И что там нужно ещё настроить в wireguard. Я им не пользовался.

Изменено 5 февраля пользователем keenet07

[slavave]

НУ так если я делаю ping через веб интерфейс кинетика по доменному имени, то в набор bypass  добавляются множество IP адресов сразу.

[keenet07]

59 минут назад, slavave сказал:

НУ так если я делаю ping через веб интерфейс кинетика по доменному имени, то в набор bypass  добавляются множество IP адресов сразу.

Несколько адресов на один домен может прилететь, а может и один всего. И точно не все возможные.

Попробуйте пингануть youtube.com с компьютера или с роутера. Какой адрес вы получите? А если попробовать снова спустя какое-то время? С большой долей вероятности адрес будет уже другой. А если использовать разные DNS сервера?

А теперь сравните свой адрес с тем что выдаст вот этот сервис:

https://ciox.ru/get_all_ip_address_of_host

Совпадает?

И второе. В любом случае при удаленном обращении вы не знаете какие именно домены нужно пропинговать например чтоб работал youtube конкретно для этого клиента.

При просмотре видео он обращается к множеству различных поддоменов arn11s11-in-f14.1e100.net в домене 1e100.net. Как вы будете узнавать на роутере эти поддомены для того чтобы заранее их пропинговать и собрать нужные адреса?

На самом роутере этим занимается его внутренний функционал, достаточно указать только домен и он обработает и поддомен по которому вы обращаетесь. 

Но в случае когда удленный клиент резолвит адреса на своей стороне на роутер приходят обращения уже в виде конкретных IP адресов.

 

Изменено 6 февраля пользователем keenet07

[el_marso]

Подскажите пожалуйста, в какую сторону копать.

На vps поднял amneziaWG через него и проходит весь траффик. Наполнение набора bypass  происходит нормально, сайты открываются - все хорошо.

Но постоянно пропадает доступ до всех сайтов из списка и падает с ошибкой DNS_PROBE_FINISHED_NXDOMAIN. Причем, доступ сам по себе восстанавливается, иногда через минуту, иногда через 10 минут или полчаса.

При этом, проблема часто бывает с конкретным устройством. Т.е. пока на компе такая ошибка, на другом компе или телефоне, к эти же сайтам без проблем доступ осуществляется.

[Александр Рыжов]

Порт желательно поменять с 5353 на другой, скажем 5350, чтобы избежать конфликта с одной из встроенных служб.

[el_marso]

17 часов назад, Александр Рыжов сказал:

Порт желательно поменять с 5353 на другой, скажем 5350, чтобы избежать конфликта с одной из встроенных служб.

Спасибо, в моменте помогло. Понаблюдаю, что будет дальше.

[Konstantine352]

Все делаю по инструкции. Наполнение в ipset list bypass происходит, но трафик идет через чистый интернет, а не в туннель. В чем может быть проблема?

При этом существующие маршруты корректно заруливают трафик куда нужно 🤔

[Александр Рыжов]

3 часа назад, Konstantine352 сказал:

В чем может быть проблема?

Посмотрите в логах веб-интерфейса, нет ли ошибок при срабатывании скриптов /opt/etc/ndm.d.

[ZlydenGL]

В 18.11.2024 в 00:43, Gary Komarov сказал:

hash:net

Не уловил, зачем делать :net? Ведь DNS сервера возвращают всегда IP адрес, иногда несколько/много IP адресов, но сети-то они не возвращают?

В 18.11.2024 в 00:43, Gary Komarov сказал:

Ибо существует опция "--queue-bypass"

Возможно именно по этой причине иногда могут не примениться mangle строки iptables при перезагрузке VPN соединения, из-за чего перестаёт работать весь механизм целиком... 

Изменено Понедельник в 16:58 пользователем ZlydenGL
Поправил формулировку

[ZlydenGL]

В 08.04.2024 в 21:14, Drafted сказал:

вот инструкция

Для себя сделал следующие модификации:

1. Файл /opt/etc/init.d/S52ipset-bypass - зачем использовать бесконечное сохранение адресов? Роутер может не перезагружаться месяцами (мой так точно может), адреса могут изменяться, особенно для тех, кто "прячется" за разными antiDDoS решениями, в общем накапливать прямо все адреса смысла ИМХО не имеет. Поэтому строку

ipset create bypass hash:ip

я у себя немного поменял:

ipset create bypass hash:ip timeout 3600

3600 секунд - это 1 час, если один час тот или иной адрес был не затребован пользователем - значит ему и не надо быть в списке. Решение не идеальное, поскольку при повторном переходе на IP адрес таймаут в ip set не  обновляется, но в целом как средство "незамусоривания" вполне подходит. В принципе можно вместо 3600 секунд указать 86 400 секунд (это уже 24 часа, т.е. сутки), если есть ощущение, что данный скрипт слишком уж грузит SoC роутера.

2. Файл /opt/etc/ndm/netfilter.d/010-bypass-table.sh - чтобы избежать различных bypass коллизий, строку

if [ -z "$(iptables-save | grep bypass)" ]; then

поменял на

if [ -z "$(iptables-save | grep ' --match-set bypass')" ]; then

т.е. влобовую дал инструкцию искать bypass не саму по себе, а в качестве концовки инструкции. Можно было бы и с пробелом после bypass, но в этом при наличии единственного ip set с именем bypass нет никакой необходимости.

 

На выходе оригинальный скрипт работает без сбоев из-за наличия инструкций с --queue-bypass в модулях, аналогичных zapret/bol-van, т.е. ютубову - ютубовое, а нужным хостам устелена ковровая дорожка в сторону VPN.

Изменено Понедельник в 16:58 пользователем ZlydenGL
Вординг

[zigus]

Помогите настроить KN1020 , никак его побороть не могу. Есть где ни будь инструкция ? 

S52ipset файла такого  нету. Из-за него не работает. 

[zigus]

Вот что пишет когда ввожу /opt/etc/init.d/S52ipset-dns start

[ZlydenGL]

10 часов назад, zigus сказал:

Вот что пишет

А пакет-то установился без ошибок?

[zigus]

есть у кого инструкция как на KN1012 настроить. Там я как понял нужно aarch64-installer.tar ставить. А, он настраивается по другому. Если кто настраивал, скиньте инструкцию. 

Изменено Вторник в 15:37 пользователем zigus

[zigus]

WG поставил хочу частичный обход сделать. Ввожу порт 5353, а у меня 2ip не открывается.  роутер KN1012

 

[zigus]

В 22.04.2025 в 10:45, ZlydenGL сказал:

А пакет-то установился без ошибок?

да без ошибок. 

от что пишет когда ввожу /opt/etc/init.d/S52ipset-dns start

Помогите если знаете. Я как понял ipset не заработает если не стартануть эту строку. Но такого файла нету по этому пути.