Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Возможен ли вариант, чтобы для резолвинга хостов из локального диапазона (ну типа homeserver ли smarthome.local) adh бы передавал эти запросы самому кинетику? (записи прописаны в кинетике)

Или при включенном dns override dns кинетика уже никаким боком не доступен?

  • Ответов 147
  • Создана
  • Последний ответ

Топ авторов темы

Опубликовано
1 час назад, Joe сказал:

Возможен ли вариант, чтобы для резолвинга хостов из локального диапазона (ну типа homeserver ли smarthome.local) adh бы передавал эти запросы самому кинетику? (записи прописаны в кинетике)

Возможно

 

  • 2 месяца спустя...
Опубликовано

Возможно кто-то, как и я, использует AdGuardHome в качестве основного днс-резолвера, но установлен он на отдельном устройстве в сети, например на одноплатнике. В таком случае, все равно возможно использование ADGH вместе с кинетиком для выборочного доступа к заданным доменам.
На кинетике с помощью entware нужно поднять резолвер с возможностью складывать результаты в ipset. Поднимать еще один ADGH, думаю, глупо, так что можно воспользоваться dnsmasq или ipset-dns. ADGH умеет обращаться к апстрим серверам на нестандартный порт, и резолвер на кинетике для этой цели может крутиться на свободном порту не требуя opkg dns-override, а значит оставляя не тронутым прошивочный для, например, работы в других сегментах сети.

Сам использую dnsmasq с простейшим конфигом, где указано кроме прочего :
 

port=40
cache-size=0 #т.к. кеширует сам ADGH
ipset=/#/bypass

 Домены очень удобно указывать прямо в интерфейсе AdGuardHome. Просто как пример:

image.png.a366d308bb3512a3d69ccd26c96bc86a.png

Таким образом, на нужный порт роутера, где слушает dnsmasq, отправляются только заданные домены, результаты складываются в ipset. В остальном, все также, как расписано в этой теме, скрипты маркируют трафик и т.д. и т.п.

Из бонусов то, что прошивочный dns не тронут, ADGH может ссылаться на него для резолва локальных хостов. А в качестве апстрима для dnsmasq, наверное, могут быть указаны прошивочные DoT или DoH.  

Опубликовано

Все установил, но не работает обход. В логах:

Opkg::Manager: /opt/etc/ndm/netfilter.d/010-bypass.sh: iptables v1.4.21: CONNMARK: trailing garbage after value for option "--set-mark".

Opkg::Manager: /opt/etc/ndm/netfilter.d/010-bypass.sh: Try `iptables -h' or 'iptables --help' for more information.

Прошивка 4.1.7

 

Опубликовано
9 часов назад, vkblack сказал:

Все установил, но не работает обход. В логах:

Opkg::Manager: /opt/etc/ndm/netfilter.d/010-bypass.sh: iptables v1.4.21: CONNMARK: trailing garbage after value for option "--set-mark".

Opkg::Manager: /opt/etc/ndm/netfilter.d/010-bypass.sh: Try `iptables -h' or 'iptables --help' for more information.

Прошивка 4.1.7

 

Такая же ситуация и никак не можем решить.

Опубликовано
8 часов назад, Marelych сказал:

Такая же ситуация и никак не можем решить.

А как вы ее пытаетесь решить?

Сам механизм ниже.

1. ipset create ИМЯ_списка hash:ip hashsize 4096

2. iptables ... -m set --match-set ИМЯ_списка dst -j MARK --set-mark ПОЛИТИКА_Policy

3.
ipset: []
ipset_file: /opt/home/AdGuardHome/ipset.conf

4.
/opt/home/AdGuardHome/ipset.conf
flxvpn.net,.....,nflxvideo.net/ИМЯ_списка

5. ПОЛИТИКА_Policy - web/cli команда "show ip policy" 

Policy0": {
			"description": "Cl",
			"mark": "ffffaaa",
...

ПОЛИТИКА_Policy - может быть созданная вами или готовая в системе.

Опубликовано

Ввиду снижения скорости загрузки youtube, хочу пустить его трафик через wg способом, указанным в этой теме. 
Есть ли у кого-то список адресов YouTube, чтобы прописать в ipset для обхода?

Опубликовано (изменено)
1 час назад, vasek00 сказал:

А как вы ее пытаетесь решить?

Сам механизм ниже.

Делал все по последней актуальной инструкции. Было создано 3 файла. При проверке набор ipset появляются ip. Правила netfilter тоже выводятся. Но при проверке маршрута он не идет через выбранную политику. В ошибке он ругается что не может прочитать 0x$mark_id

Изменено пользователем vkblack
up
Опубликовано
6 часов назад, Mapuk37 сказал:

Ввиду снижения скорости загрузки youtube, хочу пустить его трафик через wg способом, указанным в этой теме. 
Есть ли у кого-то список адресов YouTube, чтобы прописать в ipset для обхода?

Расширение браузера ipvfoo показывает адреса к каким идет обращение.  Для ютуба надо еще видео включить, чтобы увидеть адрес непосредственно контента

Опубликовано
8 часов назад, Mapuk37 сказал:

Ввиду снижения скорости загрузки youtube, хочу пустить его трафик через wg способом, указанным в этой теме. 
Есть ли у кого-то список адресов YouTube, чтобы прописать в ipset для обхода?

Я-> тут <-пытался собрать DNS имена связанные с Ютубом, попробуйте поковырять.
По не проверенной информации чтоб престал тормозить видеопоток достаточно резолвить всего одно DNS имя: googlevideo.com

Опубликовано (изменено)
14 часа назад, Mapuk37 сказал:

Ввиду снижения скорости загрузки youtube, хочу пустить его трафик через wg способом, указанным в этой теме. 
Есть ли у кого-то список адресов YouTube, чтобы прописать в ipset для обхода?

YT можно не пускать через VPN, достаточно фрагментировать sni.

Что бы понять, кто занижает скорость, достаточно выполнить запросы curl.

curl https://speedtest.selectel.ru/100MB -k -o/dev/null
curl --connect-to ::speedtest.selectel.ru https://manifest.googlevideo.com/100MB -k -o/dev/null
curl --connect-to ::speedtest.selectel.ru https://ya.ru/100MB -k -o/dev/null

Первая с фрагментацией, вторая без.

image.thumb.png.99d96f6f1a32ff5a3c15ada2e0024914.png

Изменено пользователем avn
Опубликовано
20 часов назад, vkblack сказал:

В ошибке он ругается что не может прочитать 0x$mark_id

У вас скорей всего ошибка в строке

mark_id=`curl -kfsS http://localhost:79/rci/show/ip/policy 2>/dev/null | ... | .mark'`

Смотрите вывод команды - show ip policy в webcli наример Policy0 или Policy1 и так далее.

Опубликовано
8 часов назад, avn сказал:

достаточно фрагментировать sni.

https://habr.com/ru/articles/831846/comments/

Скрытый текст

.....Едва-ли фрагментированный SNI повлияет на скорости загрузки......

 

Опубликовано
2 часа назад, vasek00 сказал:

https://habr.com/ru/articles/831846/comments/

  Скрыть содержимое

.....Едва-ли фрагментированный SNI повлияет на скорости загрузки......

 

Я ориентируюсь на свой опыт. Мне помогло. Тут каждый решает сам.

Опубликовано
4 часа назад, avn сказал:

Я ориентируюсь на свой опыт. Мне помогло. Тут каждый решает сам.

Да не вопрос, я просто ссылку почитать.

Опубликовано (изменено)
В 02.08.2024 в 18:19, Ground_Zerro сказал:

Я-> тут <-пытался собрать DNS имена связанные с Ютубом, попробуйте поковырять.
По не проверенной информации чтоб престал тормозить видеопоток достаточно резолвить всего одно DNS имя: googlevideo.com

Да, действительное достаточно пустить только Гугл видео и перестает тормозить, но: для видео перестала сохраняться история просмотра. 
прописал все адреса из вашего списка - аналогично.

В 03.08.2024 в 11:03, avn сказал:

Я ориентируюсь на свой опыт. Мне помогло. Тут каждый решает сам.

А можно поподробней о реализации фрагментации?

Изменено пользователем Mapuk37
Опубликовано (изменено)

Для тех, кто в теме по dnsmasq и ADH, можете адаптировать под себя обвязку для YT.

Скрытый текст

Без DNSMasq и AGH

Скрытый текст

 

Изменено пользователем avn
Опубликовано (изменено)

Подскажите, пожалуйста, если ADH стоит рядом (на отдельном сервере 192.168.1.155).

Можно ли как то (костыльно?) наполнять ipset на роутере?...

Сейчас клиенты обращаются к ADH (в DNS прописан 192.168.1.155), как оптимальнее заполнить ipset по выборочным адресам?..

Upd: вроде нашел решение, проверю...

 

Изменено пользователем Aleksandr
Опубликовано
В 05.08.2024 в 11:19, avn сказал:

Для тех, кто в теме по dnsmasq и ADH, можете адаптировать под себя обвязку для YT.

Для ARM проца все ОК (AGH+tpws+iptable). tpws тут уже свой не для mipsle. Ручная проверка.

1. AGH

Скрытый текст
  ipset: []
  ipset_file: /opt/home/AdGuardHome/ipset.conf

  
  
  файл ipset.conf
  googlevideo.com/un-tpws

Создать hash таблицу

ipset create un-tpws hash:net timeout 86400 family inet -exist

timeout 86400 - 1 сутки.

2. tpws (ARM)

Скрытый текст
./tpws --user=nobody --port 9433 --bind-iface4=br0 --pidfile=/var/run/tpws.pid --disorder --tlsrec=sni --split-pos=2

 

3. iptables

Скрытый текст
iptables -t nat -I PREROUTING -i br0 -p tcp --dport 443 -m set --match-set un-tpws dst -j REDIRECT --to-port 9433

 

4. итог

Скрытый текст
На всякий случай 443 порт освобожден в ПО роутера

ip http ssl port 8443

Проверка наполнения hash таблицы адресов согласно ipset

~ # ipset list un-tpws


Проверка iptables

   51  4918 REDIRECT   tcp  --  br0    *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443 match-set un-tpws dst redir ports 9433

По status

~ # cat /proc/18571/status
Name:   tpws
Umask:  0022
State:  S (sleeping)
Tgid:   18571
Ngid:   0
Pid:    18571
PPid:   4052
TracerPid:      0
Uid:    65534   65534   65534   65534
Gid:    65534   65534   65534   65534
FDSize: 64
Groups:  
VmPeak:      508 kB
VmSize:      436 kB
VmLck:         0 kB
VmPin:         0 kB
VmHWM:       324 kB
VmRSS:       268 kB
RssAnon:             260 kB
RssFile:               8 kB
RssShmem:              0 kB
VmData:       32 kB
VmStk:       132 kB
VmExe:       412 kB
VmLib:  18446744073709551400 kB
VmPTE:        16 kB
VmPMD:        12 kB
VmSwap:        0 kB
Threads:        1


tpws    18571 nobody   3u     IPv4 1734630      0t0     TCP 192.168.1.1:9433 (LISTEN)
tpws    18571 nobody   4u  a_inode     0,9        0    1025 [eventpoll:3,21,22,29,30]
tpws    18571 nobody  21u     IPv4 1735756      0t0     TCP 192.168.1.1:9433->192.168.130.20:48016 (ESTABLISHED)
tpws    18571 nobody  22u     IPv4 1735758      0t0     TCP ххх.ххх.ххх.хх7:53410->213.xxx.xxx.78:https (ESTABLISHED)
tpws    18571 nobody  23r     FIFO     0,8      0t0 1735759 pipe
tpws    18571 nobody  24w     FIFO     0,8      0t0 1735759 pipe
tpws    18571 nobody  29u     IPv4 1735946      0t0     TCP 192.168.1.1:9433->192.168.1.2:58033 (ESTABLISHED)
tpws    18571 nobody  30u     IPv4 1735948      0t0     TCP xxx.xxx.xx.xx7:52548->sXXXXXXX-in-f32.xxxxxx.net:https (ESTABLISHED)

 

 

Опубликовано
4 часа назад, Aleksandr сказал:

Можно ли как то (костыльно?) наполнять ipset на роутере?

Ну, можно формировать ipset на хосте AGH и передавать список адресов по BGP на роутер.

Не спрашивайте как:) Кажется, это правда костыльно.

Опубликовано
On 8/2/2024 at 11:18 AM, Mapuk37 said:

Ввиду снижения скорости загрузки youtube, хочу пустить его трафик через wg способом, указанным в этой теме. 
Есть ли у кого-то список адресов YouTube, чтобы прописать в ipset для обхода?

делал так, пока работает,

добавил адреса из файла russia-youtube.txt небезизвестной утилиты под винду -

youtube.com
youtu.be
googlevideo.com
ytimg.com


 

Опубликовано (изменено)
В 05.08.2024 в 13:19, avn сказал:

Для тех, кто в теме по dnsmasq и ADH, можете адаптировать под себя обвязку для YT.

Большое спасибо за готовую к работе обвязку для tpws. Я для себя адаптировал, т.к. не пользуюсь ipv6.

Как пишет сам автор, tpws, очевидно, не поможет с quic, а т.к. приложение YT для AndroidTV, например, использует его, то для меня это актуально. У того же автора есть nfqws, которая помогает в том числе и с quic. Но с ней есть некоторые сложности на кинетике, я не стал вникать, решил добить работу через tpws.

В общем-то решение простое, можно заблокировать доступ к udp:443, что не позволит устройствам использовать https3/quic и вынудит их откатиться на обычный https. Правилo сделал максимально точным, чтобы не ломать https3 там где мне не нужно

Скрытый текст

 iptables -w -I _NDM_ACL_IN -i br0 -s 192.168.1.32/28 -p udp --dport 443 -m set --match-set tube dst -j DROP

Все вроде работает. У меня кн1910, при просмотре очень тяжелого 4k hdr нагрузка на процессор периодически подскакивает

Скрытый текст

image.thumb.png.87330714d8d9f23229080f445033b9a3.png

 но в среднем нагрузка от несущественной, до едва заметной) 

Изменено пользователем Werld
Орфография
Опубликовано

 Всем привет. Настало время когда одного маршрута перестало хватать, поэтому хочу настроить сразу два. Вопрос по поводу написания скриптов. Смущает верно ли я выбрал флаги? Пока что в такой реализации у меня заработало, но потом я заметил, что вместо -z написал -n, а это как будто бы логику ломает. Однако оно завелось и работает. 
-n или -z требуется в каждой из проверок?

 

#!/bin/sh

# Обработка трафика для IPv4
[ "$type" == "ip6tables" ] && exit
[ "$table" != "mangle" ] && exit

# Пометка трафика для первого туннеля
[ -n "$(ipset --quiet list bypass)" ] && {
    if [ -z "$(iptables-save | grep bypass)" ]; then
        iptables -w -t mangle -A PREROUTING ! -i nwg0 -m conntrack --ctstate NEW -m set --match-set bypass dst -j CONNMARK --set-mark 0xffffd02
        iptables -w -t mangle -A PREROUTING ! -i nwg0 -m set --match-set bypass dst -j CONNMARK --restore-mark
    fi
}

# Пометка трафика для второго туннеля
[ -n "$(ipset --quiet list 2bypass)" ] && {
    if [ -z "$(iptables-save | grep 2bypass)" ]; then
        iptables -w -t mangle -A PREROUTING ! -i nwg2 -m conntrack --ctstate NEW -m set --match-set 2bypass dst -j CONNMARK --set-mark 0xffffd03
        iptables -w -t mangle -A PREROUTING ! -i nwg2 -m set --match-set 2bypass dst -j CONNMARK --restore-mark
    fi
}

 

Опубликовано (изменено)

Почему-то по такому способу стал не очень хорошо работать инстаграм. instagram и cdninstagram завернуты в warp. Раньше лента обновлялась мгновенно при запуске приложения. Сейчас - раз 4-5 приходится запускать принудительное обновление ленты (началось буквально неделю назад наверное). Причем именно не обновляется лента. Сами видео, оказавшиеся сверху ленты с прошлого захода в инст начинают проигрываться сразу после запуска.

Кто-то сталкивался? Может еще какие домены в warp завернуть?

Изменено пользователем Mapuk37
Опубликовано
5 часов назад, Mapuk37 сказал:

Почему-то по такому способу стал не очень хорошо работать инстаграм. instagram и cdninstagram завернуты в warp. Раньше лента обновлялась мгновенно при запуске приложения. Сейчас - раз 4-5 приходится запускать принудительное обновление ленты (началось буквально неделю назад наверное). Причем именно не обновляется лента. Сами видео, оказавшиеся сверху ленты с прошлого захода в инст начинают проигрываться сразу после запуска.

Кто-то сталкивался? Может еще какие домены в warp завернуть?

 

В 02.03.2024 в 12:04, dogoma сказал:

Тестируя другие решения для маршрутизации обнаружил такой удобный репозиторий: https://github.com/v2fly/domain-list-community/tree/master/data там файлы с именем сайта, в котором список всех используемых им доменов

 

В 08.08.2023 в 19:48, r13 сказал:

Для работы через ipv6 наличие рабочего ipv6 на основном подключении и VPN

 

У инстаграмма гораздо больше доменов.

Плюс с ipv6 недавно ничего не делали? Не включали на роутере, например? Если подключением VPN ipv6 не поддерживается, то это будет мешать маршрутизации с сайтами, которые его поддерживают. Наиболее простое решение, удалить в роутере компонент, отвечающий за ipv6.

  • Илья Хрупалов изменил название на AdGuard Home для селективной маршрутизации доменов
  • 1 месяц спустя...
Опубликовано

Помогите пожалуйста с настройкой? Есть политика с vpn, через которое хочу маршрутизировать то что в ipset списке adguard home. 

На провайдерском подключении есть ipv4 и ipv6, а на vpn отсутствует ipv6. 
Так вот, всё настроено по инструкции из темы, ipset ipv4 и ipv6 заполняются, правила netfilter для ipv4 создаются, а вот вывод команды "ip6tables-save | grep bypass6" пустой. 
Весь день борюсь с этим, так и не понял как победить. 

Из-за этого получается интересная ситуация, когда захожу на сайт для проверки ip, то вижу одновременно ipv4 впн сервера и мой провайдерский ipv6.

Я может не правильно понимаю как это должно работать? ipset v6 заполняется адресами, и правилами netfilter отправляется в политику. Раз в политике ipv6 не работает, то соединение спокойно пойдет через ipv4. Чего я и добиваюсь. 

Самое простое решение моей проблемы это выключить ipv6 вообще, но очень не хотелось бы. Подскажите пожалуйста как реализовать то что я описал? Или может быть есть какое-то решение лучше? 

Опубликовано
57 минут назад, Mapuk37 сказал:

Ввиду блокировки дискорда прошу поделиться рабочими адресами для обхода

Не для обхода. Для ознакомления

Скрытый текст

dis.gd,discord.co,discord.com,discord.design,discord.dev,discord.gg,discord.gift,discord.gifts,discord.media,discord.new,discord.store,discord.tools,discordapp.com,discordapp.net,discordmerch.com,discordpartygames.com,discord-activities.com,discordactivities.com,discordsays.com

 

Опубликовано (изменено)
В 09.10.2024 в 00:30, MaximUSNG сказал:

Не для обхода. Для ознакомления

  Показать содержимое

dis.gd,discord.co,discord.com,discord.design,discord.dev,discord.gg,discord.gift,discord.gifts,discord.media,discord.new,discord.store,discord.tools,discordapp.com,discordapp.net,discordmerch.com,discordpartygames.com,discord-activities.com,discordactivities.com,discordsays.com

 

Чего-то там не хватает. Через WG напрямую работает, а с выборочным роутингом по такой схеме не заходит в голосвые каналы

Изменено пользователем Максим Дианов

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу

×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.