MagiTrickle - Маршрутизация трафика на основе DNS запросов

[FLK]

Было бы неплохо, если бы был мануал по параметрам конфига

[Ponywka]

v0.1.6 (GitHub Release)
* Добавлен оверлей блокирующий управление во время сохранения записей.
* Добавлена поддержка события SIGHUP ("/opt/etc/init.d/S99magitrickle reconfigure").
* Добавлен флаг Enable у Group.
* Убран флаг FixProtect у Group.
* Улучшена совместимость Frontend с Windows 7.
* Frontend теперь подстраивается под мобильный интерфейс.
* Исправлен баг, когда у стороннего интерфейса (созданного вне Keenetic NDM) пропадало правила доступа в интернет.
* Исправлен баг, возникающий при перемещении правил между группами.
* Отрефакторена API часть Backend (спасибо @dan0102dan).

Изменено 7 марта пользователем Ponywka

[Alligator_37]

Не понял как работает с IPv6. Настроен туннель IPv6 через IPv4, развернут AdguardHome в entware. Я так понял, при включении весь траффик v6 не может достучаться до DNS, а что с этим делать не понял.

[Ponywka]

v0.1.7 (GitHub Release)
* Правила теперь применяются и для незарегистрированных клиентов

[Alting]

В 01.03.2025 в 12:12, FLK сказал:

Было бы неплохо, если бы был мануал по параметрам конфига

Мануал автор разместил в сообщении в группе телеграмм )

[FLK]

7 часов назад, Alting сказал:

Мануал автор разместил в сообщении в группе телеграмм )

Ссылочку прям на это сообщение не могли бы дать? Я просто там убей не вижу мануала по параметрам именно конфига...

[Granite]

3 часа назад, FLK сказал:

Ссылочку прям на это сообщение не могли бы дать?

https://t.me/MagiTrickleChat/1429

p.s. Если имелись ввиду правила.

Изменено 3 апреля пользователем Granite

[FLK]

18 минут назад, Granite сказал:

https://t.me/MagiTrickleChat/1429

p.s. Если имелись ввиду правила.

Нее, это и так все ясно как день 

Имелось в виду это:

Спойлер

configVersion: 0.1.2
app:                          # Настройки программы - не трогайте, если не знаете что к чему
  httpWeb:
    enabled: true             # Включение HTTP сервера
    host:
      address: '[::]'         # Адрес, который будет слушать программа для приёма HTTP запросов
      port: 8080              # Порт
    skin: default             # Оболочка (по пути /opt/usr/bin/share/magitrickle/skins)
  dnsProxy:
    host:
      address: '[::]'         # Адрес, который будет слушать программа для приёма DNS запросов
      port: 3553              # Порт
    upstream:
      address: 127.0.0.1      # Адрес, используемый для отправки DNS запросов
      port: 53                # Порт
    disableRemap53: false     # Флаг отключения перепривязки 53 порта
    disableFakePTR: false     # Флаг отключения подделки PTR записи (без неё есть проблемы, может быть будет исправлено в будущем)
    disableDropAAAA: false    # Флаг отключения откидывания AAAA записей
  netfilter:
    iptables:
      chainPrefix: MT_        # Префикс для названий цепочек IPTables
    ipset:
      tablePrefix: mt_        # Префикс для названий таблиц IPSet
      additionalTTL: 3600     # Дополнительный TTL (если от DNS пришел TTL 300, то к этому числу прибавится указанный TTL)
    disableIPv4: false        # Отключить управление IPv4
    disableIPv6: false        # Отключить управление IPv6
  link:                       # Список адресов где будет подменяться DNS
    - br0
    - br1
  logLevel: info              # Уровень логов (trace, debug, info, warn, error)

Думаю найдётся кто-то кто захочет знать "что кто-то чему" 😉

Изменено 3 апреля пользователем FLK

[Ponywka]

v0.1.8 (GitHub Release)
* Исправлен баг, когда при запуске вылезала ошибка `failed to initialize ipset: failed to destroy ipsets: busy`.
* Исправлен баг, из-за которого MagiTrickle не запускался, ложно предполагая наличие другой запущенной копии.

[Ponywka]

On 3/24/2025 at 3:15 PM, Alligator_37 said:

Не понял как работает с IPv6. Настроен туннель IPv6 через IPv4, развернут AdguardHome в entware. Я так понял, при включении весь траффик v6 не может достучаться до DNS, а что с этим делать не понял.

IPv6 отключен, потому что продукт не умеет в маршрутизацию IPv6 трафика.

Если нужен резолвинг IPv6 адресов, то выставьте "disableDropAAAA" в "true"!

[Ponywka]

On 3/1/2025 at 12:12 PM, FLK said:

Было бы неплохо, если бы был мануал по параметрам конфига

Именно Step-by-step инструкцию? Или что под этим имеется ввиду?

[FLK]

10 часов назад, Ponywka сказал:

Именно Step-by-step инструкцию? Или что под этим имеется ввиду?

Имеется в виду разжевать все строки/параметры конфига, чтоб даже неподготовленный человек понимал что он меняет и для чего это все и что изменится в случае чего)

Если не хотите - можно не делать, но думаю было бы не лишним. 

Изменено 4 апреля пользователем FLK

[Андрей Волосков]

5 часов назад, FLK сказал:

Имеется в виду разжевать, чтоб даже неподготовленный человек понимал что он меняет и для чего это все и что изменится в случае чего)

Если не хотите - можно не делать, но думаю было бы не лишним. 

В первом посте ж есть... а если нужна инструкция по установке Entware - есть в официальных доках https://help.keenetic.com/hc/ru/articles/360021214160-Установка-системы-пакетов-репозитория-Entware-на-USB-накопитель  или https://help.keenetic.com/hc/ru/articles/360021888880-Установка-OPKG-Entware-на-встроенную-память-роутера

Если STEP-By-step:

1. Установка Entware, если еще не установлен

2. Скачивайте последний пакет MagiTrickle из https://github.com/MagiTrickle/MagiTrickle/releases  под Вашу архитектуру, в первом шаге будете скачивать пакет для вашей архитектуры, вот запомните его.

3. Каким угодно образом, например через SSH закидывайте файл пакета MagiTrickle в любую папку OPKG 

4. в SSH пишите  opkg install magitrickle_<version>_<arch>.ipk

5. Запускайте: /opt/etc/init.d/S99magitrickle start

6. Заходите на адрес http://ip роутера:8080/

В настройках добавляйте нужные домены, не забыв выбрать интерфейс, через который у вас подключена виртуальная сеть.

[FLK]

1 час назад, Андрей Волосков сказал:

В первом посте ж есть... а если нужна инструкция по установке Entware - есть в официальных доках https://help.keenetic.com/hc/ru/articles/360021214160-Установка-системы-пакетов-репозитория-Entware-на-USB-накопитель  или https://help.keenetic.com/hc/ru/articles/360021888880-Установка-OPKG-Entware-на-встроенную-память-роутера

Если STEP-By-step:

1. Установка Entware, если еще не установлен

2. Скачивайте последний пакет MagiTrickle из https://github.com/MagiTrickle/MagiTrickle/releases  под Вашу архитектуру, в первом шаге будете скачивать пакет для вашей архитектуры, вот запомните его.

3. Каким угодно образом, например через SSH закидывайте файл пакета MagiTrickle в любую папку OPKG 

4. в SSH пишите  opkg install magitrickle_<version>_<arch>.ipk

5. Запускайте: /opt/etc/init.d/S99magitrickle start

6. Заходите на адрес http://ip роутера:8080/

В настройках добавляйте нужные домены, не забыв выбрать интерфейс, через который у вас подключена виртуальная сеть.

Видимо вы совсем меня не поняли или поняли неверно)))

Я не об этом вообще писал. Речь была о параметрах (строках) конфига MT, перечитайте ещё раз все сообщения)

Вы действительно думали, что я не в курсе как установить entware? или как установить сам MT? 🤣

К счастью - в курсе)

Но за инструкцию спасибо 🥸

 

Изменено 4 апреля пользователем FLK

[Ponywka]

On 4/4/2025 at 1:31 PM, FLK said:

Речь была о параметрах (строках) конфига MT

Вообще пока софт находится в разработке - это не имеет смысла. Так например я сейчас исправляю некоторые косяки - применяю другие подходы - конфиг будет постоянно обновляться и поэтому я не вижу смысла в подробном описании

[MrJohny]

Здравствуйте !

Если использовать встроенное хранилище, могут ли возникнуть какие-то проблемы ? Выход из строя памяти или нечто подобное ?

[FLK]

31 минуту назад, MrJohny сказал:

Здравствуйте !

Если использовать встроенное хранилище, могут ли возникнуть какие-то проблемы ? Выход из строя памяти или нечто подобное ?

Попробуйте, расскажете)

Удобнее на флешке мне кажется)

[ZlydenGL]

Здорово что появляются новые решения, но всё же, можно в двух словах описать, чем они отличаются от имеющихся-то? Даже сравнивая со старичком ipset-dns. Потому что читаю я вот содержимое шапки:

1. Не требует отключения встроенного в Keenetic DNS сервера - всё работает методом перенаправления портов.
2. Работает с любыми туннелями, которые умеют поднимать UNIX интерфейс.
3. Несколько типов правил - domain, namespace, wildcard и regex.
4. Не тянет за собой огромное количество сторонних пакетов пакетов. Вся конфигурация находится в одном месте (в одном файле).
5. Возможность создавать несколько групп на разные сети.
6. Моментальное бесшовное включение/выключение сервиса.

И не понимаю, что из перечисленного нельзя отнести к тому же решению ipset-dns. Ну разве что пункт 3 на словах выглядит более гибким, да пункт 5 напрямую не  реализован. А всё остальное - прекрасно подходит: и отключения штатного ПО не требуется, и туннели знает любые, лишь бы сам Keenetic под эту сущность выделял интерфейс, и сторонние "пакеты пакеты" не тянет (при этом базируется всё на том же dnsmasq), и погасить его можно и моментально, и бесшовно... Да ещё и управление перечнем доменов у ipset-dns по сути заведено в штатный интерфейс ndm, т.е. при необходимости доконфигурить перечень доменов можно даже через мобильное приложение. А ещё можно спокойно ставить во внутреннюю память, так как ipset-dns её не "изнашивает". Так в чём же цимес/гешефт/нужное_подчеркнуть от утилиты из данной темы? Только в уходе от текущего ограничения Keenetic на 60 доменов?

Изменено 29 апреля пользователем ZlydenGL

[avn]

1 час назад, ZlydenGL сказал:

Здорово что появляются новые решения, но всё же, можно в двух словах описать, чем они отличаются от имеющихся-то? Даже сравнивая со старичком ipset-dns. Потому что читаю я вот содержимое шапки:

1. Не требует отключения встроенного в Keenetic DNS сервера - всё работает методом перенаправления портов.
2. Работает с любыми туннелями, которые умеют поднимать UNIX интерфейс.
3. Несколько типов правил - domain, namespace, wildcard и regex.
4. Не тянет за собой огромное количество сторонних пакетов пакетов. Вся конфигурация находится в одном месте (в одном файле).
5. Возможность создавать несколько групп на разные сети.
6. Моментальное бесшовное включение/выключение сервиса.

И не понимаю, что из перечисленного нельзя отнести к тому же решению ipset-dns. Ну разве что пункт 3 на словах выглядит более гибким, да пункт 5 напрямую не  реализован. А всё остальное - прекрасно подходит: и отключения штатного ПО не требуется, и туннели знает любые, лишь бы сам Keenetic под эту сущность выделял интерфейс, и сторонние "пакеты пакеты" не тянет (при этом базируется всё на том же dnsmasq), и погасить его можно и моментально, и бесшовно... Да ещё и управление перечнем доменов у ipset-dns по сути заведено в штатный интерфейс ndm, т.е. при необходимости доконфигурить перечень доменов можно даже через мобильное приложение. А ещё можно спокойно ставить во внутреннюю память, так как ipset-dns её не "изнашивает". Так в чём же цимес/гешефт/нужное_подчеркнуть от утилиты из данной темы? Только в уходе от текущего ограничения Keenetic на 60 доменов?

Ipset-dns больше не нужен, есть штатное решение в прошивке.

[FLK]

5 часов назад, avn сказал:

Ipset-dns больше не нужен, есть штатное решение в прошивке.

Работает только через cli, тут хоть web-интерфейс есть, причём неплохой...

На правах оффтопа...

Хорошо работает Object-group? Проверяли на 4.3.1?

Изменено 30 апреля пользователем FLK

[ZlydenGL]

8 часов назад, avn сказал:

есть штатное решение в прошивке

Речь о БУДУЩЕМ object_group? Так это пока реализовано в предварительной версии прошивки, на основном канале этого обновления нет. Да и не совсем то же самое оно делает, если я всё правильно понял, и опять же конфигурация только через CLI - такое себе решение...

UPD. Сколько ни читаю релиз-ноту предварительной ветки 4.3 - никак не могу понять, как её новшества позволяют избавиться от того же ipset-dns 😭

Изменено 30 апреля пользователем ZlydenGL
Чтение релиз-нот 4.3

[Ponywka]

On 4/29/2025 at 11:22 PM, ZlydenGL said:

и сторонние "пакеты пакеты" не тянет (при этом базируется всё на том же dnsmasq)

Моё ПО вообще-то не базируется на dnsmasq. Да и dnsmasq - это всё-таки сторонний пакет, который поднимается как сервис, чисто к слову.

[Ponywka]

On 4/29/2025 at 11:22 PM, ZlydenGL said:

А ещё можно спокойно ставить во внутреннюю память, так как ipset-dns её не "изнашивает"

Мой софт не изнашивает память (только если часто будешь конфигурацию менять, но это само разумеещееся). И ставить на внутреннюю вообще-то можно, ток я всё равно предпочитаю использовать внешнюю.

[ysl404]

После включения отладки появилась ошибка: ERR failed to start application error="failed to find link br1: Link not found"

[Ponywka]

On 5/6/2025 at 8:52 AM, ysl404 said:

После включения отладки появилась ошибка: ERR failed to start application error="failed to find link br1: Link not found"

Значит у тебя нет интерфейса "br1". Убери его из конфиг-файла.

[ysl404]

On 5/7/2025 at 2:05 PM, Ponywka said:

Значит у тебя нет интерфейса "br1". Убери его из конфиг-файла.
So you don't have the "br1" interface. Remove it from the config file.

thks,u help me a lot.

[hoaxisr]

После установки MagiTrickle у меня автоматически демон не запускался через /opt/etc/init.d/rc.unslung соответственно netfilter.d/100-magictrickle вылетал с ошибкой.

Изменил хук из netfilter.d на такой:

#!/bin/sh

SOCKET_PATH="/opt/var/run/magitrickle.sock"
BIN="/opt/bin/magitrickled"

# Проверяем, что бинарник существует и исполняемый
[ -x "$BIN" ] || exit 0

# Проверяем, запущен ли демон
if ! pidof magitrickled >/dev/null 2>&1; then
    # Если не запущен, запускаем в фоне
    "$BIN" &
    # Немного ждем, чтобы сокет успел появиться
    sleep 1
fi

# Если сокет есть, отправляем запрос
if [ -S "$SOCKET_PATH" ]; then
    BODY="{\"type\":\"$type\",\"table\":\"$table\"}"
    LENGTH=$(printf "%s" "$BODY" | wc -c)

    socat - UNIX-CONNECT:"$SOCKET_PATH" >/dev/null 2>&1 <<EOF
POST /api/v1/system/hooks/netfilterd HTTP/1.1
Host:
Content-Type: application/json
Content-Length: $LENGTH

$BODY
EOF
fi

exit 0
 

И теперь демон даже если не поднимается (а он не поднимается через автозапуск entware у меня), то его поднимет хук.

Может быть будет полезно. 

[Ponywka]

v0.1.9 (GitLab Release)

Changelog:

• Frontend: В браузере теперь хранится информация о ранее открытых и закрытых группах (спасибо @shevernitskiy).
• Frontend: Улучшен Drag and Drop (перетаскивание) правил внутри группы (спасибо @shevernitskiy).
• Frontend: Добавлена кнопка "Вернуться наверх" для ПК вёрстки (спасибо @shevernitskiy).
• Frontend: Веб-панель теперь не сбрасывает интерфейс, если в данный момент его нет (спасибо @shevernitskiy).
• Frontend: Исправлены правила для валидации паттернов типа domain, namespace и wildcard.
• Frontend: Теперь сайт можно сохранить как PWA приложение (спасибо @dan0102dan).
• Frontend: При создании новой группы ей сразу создаётся пустое правило.
• Frontend: Ссылки Issue List и Source Code обновлены на GitLab.
• Frontend: Обновлены иконки для скрытия / раскрытия списка правил (по результатам опроса в Telegram-канале).
• Backend: Исправлена маршрутизация UDP соединений.
• Backend: Исправлен RegEx (теперь применяется реализация dlclark/regexp2) (спасибо @dan0102dan).
• Backend: Добавлен параметр showAllInterfaces для ситуаций, если не интерфейс, который не имеет флага POINTOPOINT.
• Backend (Keenetic): Исправлен запуск при перезагрузке роутера (спасибо @dan0102dan).
• CI/CD: Исправлена нумерация Dev пакетов.
• CI/CD: Временно убраны сборки для не-Keenetic'овских пакетов.

[Ponywka]

v0.1.9.1 (GitLab Release)

Changelog:
* Исправлен вылет сервиса при невалидном RegExp выражении

[Kyu583]

Скажите, а если есть список не доменов, а конкретных ip адресов?

Могу я их добавить в правила?