bird4

[timur1337]

Добрый день, подскажите, есть ли какое то решение для сайтов которые за cloudflare или какой-нибудь другой cdn? Прост у меня например с роутера dig резолвит один айпишник, а с компа - другой. Ну и так же кейс, когда айпи меняется. Че делать в таком случае? Всю сетку клаудфлары роутить через впн?)

[timur1337]

Ну и в догонку вопрос, у меня есть например вот такие ASN которые нужно направить через впн

AS13414 # twitter
AS14061 # digital ocean
AS32934 # facebook
AS15133 # edgecast (for twitter)
AS13335 # Cloudflare

Но при перезапуске скрипта обновления списков, вижу что перед добавлением ASN edgecast или twitter (каждый раз по разному), скрипт зависает. В чем может быть проблема?

upd: походу проблема в том, что у меня опять отвалился wireguard на роутере

Изменено 31 мая, 2023 пользователем timur1337

[acront]

6 часов назад, Mihan сказал:

Она там не нужна, если она стоит, то это подключение используется как основное для выхода в Интернет.

Разве так? Какое  основное для выхода в интернет- указывается в разделе Приоритеты подключений. У меня, например, создано дополнительное WG подключение для смартфона к домашней сети. По этому подключению смартфон попадает в домашную сеть и оттуда выходит через VPN1 на тот же инстаграмм. Почему сразу с телефона нельзя выходить ? потому что VPN1 это warp, который мобильные операторы блочат, а наземный оператор пока нет.

 

[nplm]

Имеются два одинаковых роутера с одинаковым конфигом WARP, бывает то на одном, то на другом не открываются "запрещенные" сайты (через пару-тройку дней всё само фиксится). Опытным путем пришел к выводу что дело не в ВПНе. Если в роутере делать впн соединение основным - всё работает. Полез копать дальше, команда " birdc4 show protocols all" выдает кучу инфы в которой самостоятельно разобраться не получилось, но заметил один момент:

antifilter BGP      route_vpn1 start  17:37:12    Active        Socket: Connection closed
  Preference:     100
  Input filter:   ACCEPT
  Output filter:  REJECT
  Routes:         0 imported, 0 exported, 0 preferred
  Route change stats:     received   rejected   filtered    ignored   accepted
    Import updates:              0          0          0          0          0
    Import withdraws:            0          0        ---          0          0
    Export updates:              0          0          0        ---          0
    Export withdraws:            0        ---        ---        ---          0
  BGP state:          Active
    Neighbor address: 45.154.73.71
    Neighbor AS:      65432
    Connect delay:    3/5
    Last error:       Socket: Connection closed

 

О чем говорят выделенные моменты? Проблема в режиме работы bird4static?

Изменено 1 июня, 2023 пользователем nplm

[DennoN]

@nplm не получается создать пиринг с bgp серввером 45.154.73.71

я бы попробовал через их бота настрость доп впн, через который можно подключаться к их сервису

[nplm]

@DennoN а где то есть инструкции, как это сделать? или хотя бы ссылка на бота

[DennoN]

@nplm https://antifilter.network/vpn

а, ты к антифильтр.даунлоад подключаешься

наврерно будет правильнее перейти на сервис по ссылке выше. если к первому проблемы с соединением (может провайдер режет)

Изменено 2 июня, 2023 пользователем DennoN

[nplm]

Настроил через их ВПН, всё работает, спасибо! Последний вопрос, этот их впн просто оставить включенным в впн соединениях роутера? Лишний траффик туда не уйдет и bird4static сам разберется как его использовать?

[DennoN]

Да, впн тот надо оставить. Но можно не ставить галку "использовать для выхода в интернет". Я именно про впн который от антифильтра.

[DennoN]

В 31.05.2023 в 05:56, Mihan сказал:

Она там не нужна, если она стоит, то это подключение используется как основное для выхода в Интернет.

Вообще-то она нужна. потому что там поднимается nat и прочее, что позволяет впну работать для внешних адресов, а не только внутри какой-то сети. Не вводите людей в заблуждение. Возможно на каких-то протоколах она и не влияет, но лишней точно не будет.

Ключевая проверка, перед тем как ставить bird, нужно попробовать выйти через этот впн наружу в интернет, установив его первым в списке Приоритеты подключений. Если это получится, то и bird будет работать.

Изменено 2 июня, 2023 пользователем DennoN

[DennoN]

Обновление!

Версия 3.8.0

1) Bird заменен с bird1-ipv4 на bird2, переделаны конфиги для новой версии. Пока задел на будущее, настроек для ipv6 нет

Версия 3.8.1

1) Фикс переменной версии скрипта. При обновлении бралось старое значение, а не новое

Больше ничего нового не придумал.

Откат в случае проблем:
 

/opt/etc/init.d/S70bird stop
opkg --force-removal-of-dependent-packages remove bird2
cd Bird4Static/
chmod -x *.sh
git checkout tags/v3.7.1
chmod +x *.sh
./install.sh

 

Список изменений в коде

https://github.com/DennoN-RUS/Bird4Static/compare/v3.7.1...v3.8.1

P.S.: @Mihan и остальные, кто пробовал отдельную тестовую ветку - переключитесь обратно на мастер

cd Bird4Static/
chmod -x *.sh
git checkout master
git pull
chmod +x *.sh

 

Изменено 15 июня, 2023 пользователем DennoN

[acront]

spotify.com добавленный в user-vpn2.list выдает очень интересную заглушку:

Error: Forbidden Your client does not have permission to get URL / from this server.

С отключенным VPN подключением выдает обычную страницу: недоступен в вашей стране

Ой что-то не то с новой версией. Все сломалось. Подключенные VPN на дают открываться даже сайтам. Ничего не открывается, пока VPN не отключишь.  Завтра дам подробный отчет. Пока удаляю.

Изменено 14 июня, 2023 пользователем acront

[DennoN]

вообще spotify.com у себя через зарубежный впн добавил, так оно все так же пишет, что не доступно в вашей стране. Но именно к этому ip адресу (у меня он определяет spotify.com как 35.186.224.25), трафик идет через нужный впн.

Глянул в режиме отладки что там еще пытается запустить браузер при заходе на этот сайт и в итоге надо или список ip искать или номер AS, но по AS там гугл крутится, с громадным списком адресов.

Но возможно спотифи не пашет там где у меня впс и все проще)

Отчет жду, у себя bird2 с начала апреля крутил и никаких проблем

[acront]

16 часов назад, DennoN сказал:

Отчет жду, 

прошу прощения за то что заставляю ждать, но пришлось сделать роутеру хард-ресет, а running-config не сохранил. Поймал плавающий глюк со стабильностью работы своих VPN. Поэтому считаю что будет правильно сначала разобраться с работой своих VPN а потом давать какую-то информацию по bird2 чтобы не дезинформировать. Я еще раз внимательно проверю исправность и стабильность работы VPN. переустановлю bird2 и вернусь с резульататом.

ЗЫ: внезапно отвалились wireguard конфиги WARP и Proton и не хотят подключаться к пирам. Видимо все, кончилась халява ( Посоветуйте где бы wireguard VPNами разжиться

[DennoN]

варп помогает сменить порт/ip https://developers.cloudflare.com/cloudflare-one/connections/connect-devices/warp/deployment/firewall/

перед этим естественно перегенерить приватный ключ для соединения, а то бывало, что они его блочат https://github.com/ViRb3/wgcf

от протона я улез, так как протон забанен у нас, хотя и по wg соединение устанавливалось, но иногда что-то было не так)

18 часов назад, acront сказал:

Error: Forbidden Your client does not have permission to get URL / from this server.

кстати помоему мне так протон писал, когда были какие-то пробелмы с их бесплатными серверами

улез на свою впску, но сейчас там акций нет на то, что брал + есть шанс словить российский ip от них, хотя сервер зарубежом

Да, с впнами сначала надо разобраться, после того, как они начнут стабильно работать, возможно и bird2 норм заработает

Изменено 15 июня, 2023 пользователем DennoN

[DennoN]

@Максим Журавлев и все у кого были проблемы, что траффик идет всегда через первый впн.

Вы случайно не на альфе/бете 4-той версии ос кинетика? Только что словил дикий глюк, когда все отправлялось через первый впн, при этом bird останаливливал и чистил таблицы

Помог откат на 3.9.8 + восстановление настроек из бекапа, снятого до апдейта на 4-ку. Иначе вообще Приоритеты подключений не открывались

При этом после апдейта на 4ку сначала было норм, а потом после ковыряния чего-то в вэб морде все сломалось

Изменено 17 июня, 2023 пользователем DennoN

[acront]

Ну с работой подключений разобрался, с ними все стабильно, можно делать предварительные выводы. Глюк как был так и остался. Половина сайтов определяет мой реальный IP, половина определяет IP первого VPNа. Так что  ходит кто-то странно- почти всегда через первый VPN

Версия ОС3.9.8

 открывается через впн:

https://www.blancvpn.com/ru/my-ip/

https://socproxy.ru/ip

https://myip.veepn.com/ru/

https://2ip.me/en/

https://whoer.net/ru

 

 файлы по командам

 ip route list table 1000 > /opt/tmp/1000-table.txt

 ip route list table 1001 > /opt/tmp/1001-table.txt

 ip route list table 1002 > /opt/tmp/1002-table.txt

прилагаю.

1000-table.txt 1001-table.txt 1002-table.txt

[DennoN]

@acront а теперь смотри магию

Сама магия:

Скрытый текст

1) nslookup www.blancvpn.com
Address:  76.76.21.21

в файле 1001 table

76.76.21.0/24 dev nwg2 scope link  metric 32

2) nslookup socproxy.ru
Address:  87.236.19.19

в файле 1001 table

87.236.18.0/23 dev nwg2 scope link  metric 32

3) nslookup myip.veepn.com
Addresses:  104.26.10.227
                     104.26.11.227
                     172.67.71.134

в файле 1001 table

104.26.0.0/20 dev nwg2 scope link  metric 32

4) nslookup 2ip.me
Addresses:  172.64.171.25
                     172.64.170.25

в файле 1001 table

172.64.170.0/23 dev nwg2 scope link  metric 32

5) nslookup whoer.net
Addresses:  104.26.4.133
                     172.67.74.128
                     104.26.5.133

в файле 1001 table

104.26.0.0/20 dev nwg2 scope link  metric 32

 

Так что все верно. Просто bird получил эти маршруты через antifilter.download или antifilter.network

почему эти адреса в списке - вопрос уже к ним. Если ты сам конечно ничего глобального типа номеров AS не добавлял в пользовательские листы

У меня половина сайтов которые ты дал определяют впн, вторая - провайдера

[acront]

15 минут назад, DennoN сказал:

bird получил эти маршруты через antifilter.download или antifilter.network

почему эти адреса в списке - вопрос уже к ним. Если ты сам конечно ничего глобального типа номеров AS не добавлял в пользовательские листы

У меня половина сайтов которые ты дал определяют впн, вторая - провайдера

нет, я ничего в пользовательские листы не добавлял, у меня user-vpn.list вот такой

antifilter.download
antifilter.network
tmdb.org
themoviedb.org

но у меня вот все сайты которые я дал- все открываются через впн.  Значит дело в маршрутах которые дает antifilter.download или antifilter.network? Они получается, неправильные? Они целые подсети кидают в принудительный VPN маршрут? Как это можно исправить? Может вообще от них отказаться и использовать только свои списки?

[DennoN]

Можешь и только свои списки (тогда переустанови в режима file mode). можешь с antifilter.network поэксперементировать. Там если у них через впн получать (https://antifilter.network/vpn) то можно в боте в телеге настроить, что и в каком виде ты получаешь. Тогда при установке нужно выбрать bgp mode и 3-тий вариант. но сначала подключить их впн для получения списков и настроить в боте списки. На этом мои полномочия все

[acront]

22 минуты назад, DennoN сказал:

можешь с antifilter.network поэксперементироват

так я понял что antifilter.download и antifilter.network это одно и то же. Списки же одни и те же будут?

[DennoN]

Списки у них разные. В основном +- одинаковые, но есть отличия. особенно второй позволяет настроить, что получать даже с серым адресом через впн. Тогда списки между одним сервисом и вторым могут кардинально отличаться.

Короче походи по их сайтам, почитай что там есть и тд. Если не устраивает решение из коробки, то кроме тебя никто в этот вопрос погружаться не будет)

Мои скрипты любой вариант поддерживают

[vasek00]

В 15.06.2023 в 16:59, DennoN сказал:

варп помогает сменить порт/ip https://developers.cloudflare.com/cloudflare-one/connections/connect-devices/warp/deployment/firewall/

перед этим естественно перегенерить приватный ключ для соединения, а то бывало, что они его блочат https://github.com/ViRb3/wgcf

от протона я улез, так как протон забанен у нас, хотя и по wg соединение устанавливалось, но иногда что-то было не так)

По WARP проблем нет при правильной генерации ключа так как он имеет несколько типов согласно wgcf-account.toml на основание которого и создается conf

Цитата

1.
Device active : true
Account type : 	limited
Role : 		child
Premium data : 	953.67 MiB
Quota : 	953.67 MiB


2.
Device active : true
Account type : 	free
Role : 		child
Premium data : 	0.00 B
Quota : 	0.00 B

3.
Device active : true
Account type : 	limited
Role : 		child
Premium data : 	10.74 PiB
Quota : 	10.74 PiB

Это проверяется например на Windows через "wgcf.exe status" или на роутере так же через "wgcf" но должен быть в наличие текущий файл "wgcf-account.toml" в котором есть

device_id = 'a1.......1c'
license_key = 'O8....RO'

Большинство ключей это тип 2. Остальные ключи через скрипты -> которые есть в интернете.

По Proton так же стоит потратить чуток времени для поиска сервера, выбирал если на них нагрузка ~60-70%, но если все таки была проблема то она выражалась только в скорости то снова выбор сервера.

 

Изменено 18 июня, 2023 пользователем vasek00

[Максим Журавлев]

В 17.06.2023 в 20:19, DennoN сказал:

@Максим Журавлев и все у кого были проблемы, что траффик идет всегда через первый впн.

Вы случайно не на альфе/бете 4-той версии ос кинетика? Только что словил дикий глюк, когда все отправлялось через первый впн, при этом bird останаливливал и чистил таблицы

Помог откат на 3.9.8 + восстановление настроек из бекапа, снятого до апдейта на 4-ку. Иначе вообще Приоритеты подключений не открывались

При этом после апдейта на 4ку сначала было норм, а потом после ковыряния чего-то в вэб морде все сломалось

 

 версия 3.9.8

[413xk]

Прежде всего хочу сказать спасибо DennoN'у, после антизапрета через опенвпн bird4static на мипсе прям глоток свежего воздуха!

И вопрос по делу - всё работает, всё ок, но я не много не понимаю следующее:

Если отключить крыж VPN соединения (не важно pptp, wg) который используется у нас для обхода, то ясен-пень всё пойдет через "провайдера".

А если обратно его включить (там же, в морде) - bird4static должен обнаружить что тоннель поднялся и снова построить таблицы?

Просто вчера тестировал совсем чуть-чуть, и создалось впечатление, что после передергивания крыжика тоннеля ничего не поднимается само (после ребута всё само собой ок). Но возможно я просто не выждал время.

Короче, если тоннель вырубится руками / произойдет обрыв, а потом бац и тоннель подключится сам - bird4static начнет свою работу?

[TrackLine]

@DennoN можете помочь пожалуйста, решил обновить Bird4Static до 3.8.1 и при обновлении теперь выдает такую ошибку (на скрине) и не работает обход
как можно пофиксить, не подскажете?

спасибо!

[Reeker]

Страдал месяц с тем, что многие сайты открывались через VPN
Хотя указан был community.lst - размер bird4-base-vpn.list не изменялся даже при указании других источников
Оказалось, что подтягиваются данные из /root/Bird4Static/lists/antifilter.list
Возможно проблема в том, что при первоначальной установке выбрал дефолтный источник и оно закешировалось - но мне разбираться лень. Многократные переустановки/обновления через install.sh и update.sh не помогали.

Починилось комментированием одной строки (67) в /root/Bird4Static/scripts/func.sh и принудительным curl'ом. Да, вероятно костыль - но это максимум на что я способен в линуксе)

 #CURL FUNCTION
curl_funk() {
  for var in $@; do
    if [ $(echo "$var" | grep -cE '^(ht|f)t(p|ps)://') != 0 ]; then cur_url=$(echo "$cur_url $var"); else last=$var; fi
  done
  curl -sk $cur_url | sort
  #if [ "$(curl -sk $cur_url | grep -E '([0-9]{1,3}.){3}[0-9]{1,3}')" ]; then curl -sk $cur_url | sort ; else cat $last; fi
}

PS у меня обновление списков стоит раз в месяц - как отразится это на производительности при обновлении раз в час - не знаю.

PS2 вернул обратно код - все еще работает корректно, вероятно, было бы достаточно удалить antifilter.list

Изменено 9 июля, 2023 пользователем Reeker

[DennoN]

@Reeker вообще в главном скрипте add-bird4_routes.sh можно было проверить, что в переменной URLS только коммунити лист, а не основной + коммунтити лист. Должно было помочь.

@Максим Шаленков попробуй удалить те файлы на которые ругается. потом при запуске add-bird4_routes.sh они с нуля создадутся

@413xk вообще должны появляться маршруты. но в последнее время тестирую только на WG протоколах, другие не смотрю, а там может быть по другому. И да, там точно задержка может быть, вроде раз в  секунд проверяется появился интерфейс или нет. Вот смотря в какой период включишь обратно, то и задержка будет от 0 до 59 секунд)

@Максим Журавлев тогда давай примеры, какой сайт у тебя идет через впн (а не должен) и какой список используешь. нужны команды tracert к сайту, который в впн, и tracert к сайту, который точно через провайдера. + выгрузка таблиц маршрутизации.

Изменено 9 июля, 2023 пользователем DennoN

[Reeker]

@DennoN Все оказалось куда примитивнее, community.lst отдает домены, а в коде func.sh - grep ищет айпи адрес, соответственно файл не обновлялся и отдавался закешированный. Если я верно понимаю эту строку

grep -E '([0-9]{1,3}.){3}[0-9]{1,3}')

С таким кривоватым grep работает ок:

curl_funk() {
  for var in $@; do
    if [ $(echo "$var" | grep -cE '^(ht|f)t(p|ps)://') != 0 ]; then cur_url=$(echo "$cur_url $var"); else last=$var; fi
  done
  if [ "$(curl -sk $cur_url | grep -E '(([0-9]{1,3}.){3}[0-9]{1,3})|(([a-zA-Z\-_.]){1,20}\.[a-z]{1,5})')" ]; then curl -sk $cur_url | sort ; else cat $last; fi
}

 

Изменено 9 июля, 2023 пользователем Reeker

[DennoN]

@Reeker Да, точно. там не предполагалось, что будут домены, а не ip адреса)

curl_funk() {
  for var in $@; do
    if [ $(echo "$var" | grep -cE '^(ht|f)t(p|ps)://') != 0 ]; then cur_url=$(echo "$cur_url $var"); else last=$var; fi
  done
  #if [ "$(curl -sk $cur_url | grep -E '([0-9]{1,3}.){3}[0-9]{1,3}')" ]; then curl -sk $cur_url | sort ; else cat $last; fi
  curl -sk $cur_url | sort
}

вот так попробуй