bird4

413xk · 11 июля, 2023

Коллеги, подскажите в какую сторону копать.

Значит, на новой ультре с выбором BGP всё поехало из коробки.

Сейчас настраиваю на мипселях (гига, вива). И короче, вроде бы всё едет (рутрекер открывается, youip показывает айпишник nwg0), но блин, инстач не грузит фотки. Лента работает, всё ок, а вот фотки не грузит.

Ставил эксперименты и BGP (пункт 1 не отдает вообще никаких маршрутов, пункт 2 завелся), так же с allyouneed.lst - везде одни симптомы, в приложении ленту грузит, текст и комменты могу читать, но графика (фотки, аватарки) отсутствуют.

Подумал, что может все таблицы не подгрузились, выждал время, но всё равно не поехало.

Куда можно/нужно копать?

UP: починилось применив список https://community.antifilter.download/list/community.lst

Изменено 11 июля, 2023 пользователем 413xk

acront · 12 июля, 2023

В 11.07.2023 в 08:32, 413xk сказал:

Значит, на новой ультре с выбором BGP всё поехало из коробки.

Показать

прошу прощения за вопрос, но все же. В чем преимущество BGP перед обычной загрузкой списков? По сути это же одно и то же, с одного ресурса скачиваем. Я не до конца понимаю BGP. Не могли ли бы вы объяснить и пример привести как при установке его настроить?

413xk · 12 июля, 2023

В 12.07.2023 в 14:29, acront сказал:

Не могли ли бы вы объяснить и пример привести как при установке его настроить?

Показать

Во время установки сабжа скрипт предлагает на выбор кнопки:

1 - По ссылке из файла;

2 - BGP.

Выбрать BGP, да и всё...

Другое дело, что по совокупности на ультре тоже перешёл на community, т.к BGP частично заворачивал трафик у СберМегаМаркета через впн, на что СММ ругался.

Короче, имхо community.lst пока самый попсово-популярный.

DennoN · 12 июля, 2023

В 12.07.2023 в 14:29, acront сказал:

В чем преимущество BGP перед обычной загрузкой списков?

Показать

если список адресов большой, то из файла bird сильно нагружает систему во время своего старта и обновления настроек. BGP нагружает процессор меньше. Но по факту долгое время использовал через файлы - каких-то тормозов не заметил. Ну и если появляется новый маршрут на самом сервисе, то через файлы он прилетает не сразу, а раз в час список обновляется. А вот бгп подгружает изменения сразу же

Ну и бгп меньше делает записи на диск, при работе с файлами - они все на диске хранятся, а бгп только в памяти роутера

Изменено 12 июля, 2023 пользователем DennoN

RaggaSimpson · 30 июля, 2023

Столкнулся с проблемой в логах пишет

Июл 30 21:14:51

ipsec

05[KNL] unable to receive from RT event socket No buffer space available (105)

Июл 30 21:14:51

bird

Kernel dropped some netlink messages, will resync on next scan.

После этого не поднимается VPN WG, в какую строну копать?

pikusQQ · 8 августа, 2023

Привет, в связи с возможным блоком WG и OpenVPN в РФ (А это уже тестируют https://habr.com/ru/news/753128/)

Планирую развернуть https://habr.com/ru/articles/735536/ X-UI: Shadowsocks на VPS и через shadowsocks-libev подключить кинетик как клиента, есть ли вариант сделать WG как основное а shadowsocks как резервное?

Думаю это будет скоро актуально

DennoN · 9 августа, 2023

В 08.08.2023 в 19:48, pikusQQ сказал:

есть ли вариант сделать WG как основное а shadowsocks как резервное?

Показать

именно bird не будет работать с шадоусокс, так как последний на сколько понимаю не создает шлюз/интерфейс, на который можно направить траффик. там через iptables траффик заворачивается в него

Но сам wg на сколько понимаю не блочат - блочат именно первое рукопожатие между клиентам. Так что в шадоусокс можно только это завернуть, а дальше само соединение через wg должно работать без всяких заморочек. Тему пока полностью не изучал, это все что пока знаю. с шадоусоксом пока не игрался

pikusQQ · 9 августа, 2023

В 09.08.2023 в 06:35, DennoN сказал:

именно bird не будет работать с шадоусокс, так как последний на сколько понимаю не создает шлюз/интерфейс, на который можно направить траффик. там через iptables траффик заворачивается в него

Но сам wg на сколько понимаю не блочат - блочат именно первое рукопожатие между клиентам. Так что в шадоусокс можно только это завернуть, а дальше само соединение через wg должно работать без всяких заморочек. Тему пока полностью не изучал, это все что пока знаю. с шадоусоксом пока не игрался

Показать

Да, вот поэтому я сомневался. Только как это реализовать ума не хватает:)

DennoN · 10 августа, 2023

изучил ss. делается все просто

Показать контент

1.1) на сервер, где крутится wg ставим

apt install shadowsocks-libev

1.2) потом редактируем файл

vi /etc/shadowsocks-libev/config.json

{
    "server": "0.0.0.0",
    "mode":"tcp_and_udp",
    "server_port":<server-port>,
    "password":"<password>",
    "timeout":300,
    "method":"chacha20-ietf-poly1305"
}

где <server-port> - это порт который будет слушать сервер ss

<password> - любой пароль, желательно только что сгенерированный

1.3) Потом выполняем

systemctl restart shadowsocks-libev.service
systemctl status shadowsocks-libev.service

проверяем, что сервер завелся

2.1) Теперь переходим к роутеру.

Ставим на него пакеты

opkg install shadowsocks-libev-ss-tunnel shadowsocks-libev-config

2.2) теперь редактируем конфиг

vi /opt/etc/shadowsocks.json

{
    "server": "<server-ip>",
    "mode":"tcp_and_udp",
    "server_port":<server-port>,
    "local_address": "0.0.0.0",
    "local_port":<local-port>,
    "password":"<password>",
    "timeout":300,
    "method":"chacha20-ietf-poly1305",
    "tunnel_address": "127.0.0.1:<wireguard-port>"
}

где <server-port> и <password> это те же самые, которые добавили на сервер в пункте 1.2

<server-ip> - ip адрес сервера на котором крутится wireguard и ss

<local-port> - любой свободный порт на роутере, который мы будем указывать в настройках wg соединения, например 51822

<wireguard-port> - это порт на котором на сервере крутится wg содеинение, например 51820

2.3) правил файл

vi /opt/etc/init.d/S22shadowsocks

меняем на строку PROCS=ss-* на PROCS=ss-tunnel

перезапускаем ss на роутере и проверяем, что работает

/opt/etc/init.d/S22shadowsocks restart
/opt/etc/init.d/S22shadowsocks check

3.1) Идем в веб морду роутера, в настройки нужного wg соединения и в пире вместо <server-ip>:<wireguard-port> вставляем 127.0.0.1:<local-port>

П.С.: Схема работы image.png.1e80a62698f8bdac00061ee416cedccd.png

Все! соединение должно теперь установиться. В итоге траффик через wg интерфейс будет заворачиваться в ss и идти уже под ним. Так как и ss и wg используют шифрование, то у меня скорость туннеля упала в двое, по сравнению с простым wg без заворачивания в ss. Зато надежно

Изменено 11 августа, 2023 пользователем DennoN

pikusQQ · 10 августа, 2023

В 10.08.2023 в 11:12, DennoN сказал:
изучил ss. делается все просто
Показать контент
1.1) на сервер, где крутится wg ставим
sudo apt install shadowsocks-libev
1.2) потом редактируем файл
vi /etc/shadowsocks-libev/config.json
{
    "server": "0.0.0.0",
    "mode":"tcp_and_udp",
    "server_port":<server-port>,
    "password":"<password>",
    "timeout":300,
    "method":"chacha20-ietf-poly1305"
}
где <server-port> - это порт который будет слушать сервер ss

<password> - любой пароль, желательно только что сгенерированный

1.3) Потом выполняем
systemctl restart shadowsocks-libev.service
systemctl status shadowsocks-libev.service
проверяем, что сервер завелся

2.1) Теперь переходим к роутеру.

Ставим на него пакеты
opkg install shadowsocks-libev-ss-tunnel shadowsocks-libev-config
2.2) теперь редактируем конфиг
vi /opt/etc/shadowsocks.json
{
    "server": "<server-ip>",
    "mode":"tcp_and_udp",
    "server_port":<server-port>,
    "local_address": "0.0.0.0",
    "local_port":<local-port>,
    "password":"<password>",
    "timeout":300,
    "method":"chacha20-ietf-poly1305",
    "tunnel_address": "127.0.0.1:<wireguard-port>"
}
где <server-port> и <password> это те же самые, которые добавили на сервер в пункте 1.2

<server-ip> - ip адрес сервера на котором крутится wireguard и ss

<local-port> - любой свободный порт на роутере, который мы будем указывать в настройках wg соединения, например 51822

<wireguard-port> - это порт на котором на сервере крутится wg содеинение, например 51820

2.3) правил файл
vi /opt/etc/init.d/S22shadowsocks
меняем на строку PROCS=ss-* на PROCS=ss-tunnel

перезапускаем ss на роутере и проверяем, что работает
/opt/etc/init.d/S22shadowsocks restart
/opt/etc/init.d/S22shadowsocks check
3.1) Идем в веб морду роутера, в настройки нужного wg соединения и в пире вместо <server-ip>:<wireguard-port> вставляем 127.0.0.1:<local-port>
Все! соединение должно теперь установиться. В итоге траффик через wg интерфейс будет заворачиваться в ss и идти уже под ним. Так как и ss и wg используют шифрование, то у меня скорость туннеля упала в двое, по сравнению с простым wg без заворачивания в wg. Зато надежно
Показать

wow! Буду пробовать, спасибо за супер-быстрый отклик))

Floppik · 11 августа, 2023

Подскажите, а как на время отключить маршрутизацию (пустить все весь траффик через провайдера) без удаления всех скриптов?

Изменено 11 августа, 2023 пользователем Floppik

DennoN · 11 августа, 2023

@Floppik

это выключит bird и удалит все марштуры

/opt/etc/init.d/S70bird stop

а это включит его обратно

/opt/etc/init.d/S70bird start

А можно просто в вэб морде роутера сделать новую Политику доступа в интернет, где указан только провайдер и переместить в эту политику нужное устройство или весь сегмент. А потом обратно перенести в Политику по умолчанию

Изменено 11 августа, 2023 пользователем DennoN

Flint · 12 августа, 2023

Господа, вчера, похоже после обновления кинетика 4.0.2 => 4.1 Alpha 1 все поломалось.

Стояла версия скрипта 3.7.0: перестали открываться заблоченные сайты, сначала откатился на 4.0.2 - не помогло, затем восстановил конфиг от 4.0.2 - не помогло.

Сделал апдейт скрипта до 3.8.1, в конце начинает бесконечно выдавать Segmentation fault:

Shutting down cron... done.
Starting cron... done.
Starting bird... done.
Segmentation fault
Segmentation fault

ip route list table 1000 (1, 2) - пустые

Удалять и поставить заново пробовал - без изменений, все тот же фолт и пустые таблицы.

Как починить?

DennoN · 12 августа, 2023

@Flint обсуждалось уже. Вот вариант решения. Выше другой есть. Это касательно Segmentation fault

Вообще что-то в entware у тебя поломалось, какой-то пакет не работает. Обычно это был dig

pikusQQ · 12 августа, 2023

В 10.08.2023 в 11:12, DennoN сказал:
изучил ss. делается все просто
Показать контент
1.1) на сервер, где крутится wg ставим
apt install shadowsocks-libev
1.2) потом редактируем файл
vi /etc/shadowsocks-libev/config.json
{
    "server": "0.0.0.0",
    "mode":"tcp_and_udp",
    "server_port":<server-port>,
    "password":"<password>",
    "timeout":300,
    "method":"chacha20-ietf-poly1305"
}
где <server-port> - это порт который будет слушать сервер ss

<password> - любой пароль, желательно только что сгенерированный

1.3) Потом выполняем
systemctl restart shadowsocks-libev.service
systemctl status shadowsocks-libev.service
проверяем, что сервер завелся

2.1) Теперь переходим к роутеру.

Ставим на него пакеты
opkg install shadowsocks-libev-ss-tunnel shadowsocks-libev-config
2.2) теперь редактируем конфиг
vi /opt/etc/shadowsocks.json
{
    "server": "<server-ip>",
    "mode":"tcp_and_udp",
    "server_port":<server-port>,
    "local_address": "0.0.0.0",
    "local_port":<local-port>,
    "password":"<password>",
    "timeout":300,
    "method":"chacha20-ietf-poly1305",
    "tunnel_address": "127.0.0.1:<wireguard-port>"
}
где <server-port> и <password> это те же самые, которые добавили на сервер в пункте 1.2

<server-ip> - ip адрес сервера на котором крутится wireguard и ss

<local-port> - любой свободный порт на роутере, который мы будем указывать в настройках wg соединения, например 51822

<wireguard-port> - это порт на котором на сервере крутится wg содеинение, например 51820

2.3) правил файл
vi /opt/etc/init.d/S22shadowsocks
меняем на строку PROCS=ss-* на PROCS=ss-tunnel

перезапускаем ss на роутере и проверяем, что работает
/opt/etc/init.d/S22shadowsocks restart
/opt/etc/init.d/S22shadowsocks check
3.1) Идем в веб морду роутера, в настройки нужного wg соединения и в пире вместо <server-ip>:<wireguard-port> вставляем 127.0.0.1:<local-port>

П.С.: Схема работы
Все! соединение должно теперь установиться. В итоге траффик через wg интерфейс будет заворачиваться в ss и идти уже под ним. Так как и ss и wg используют шифрование, то у меня скорость туннеля упала в двое, по сравнению с простым wg без заворачивания в ss. Зато надежно
Показать

Не получается, wg не соединяется, настройки вроде 100 раз сверил всё должно работать. Если есть время, прикладываю скрины настроек, может что сможешь подсказать. Если прописываю в веб морде стандартные ip:port VPS с wg то всё работает, прописываю 127.0.0.1:"localport" то не хочет

DennoN · 12 августа, 2023

@pikusQQ а попробуй на сервере

systemctl restart shadowsocks-libev.service
systemctl status shadowsocks-libev.service

и на роутере

/opt/etc/init.d/S22shadowsocks restart

UPD: а еще возможно на сервере, где wg у тебя прослушивается порт 12345 только на внешнем интерфейсе, а с 127.0.0.1 оно не пускает

проверить так

ss -tplun | grep 12345

в выводе должно быть что-то типа такого

udp   UNCONN 0      0            0.0.0.0:12345    
или
udp   UNCONN 0      0            127.0.0.1:12345

Изменено 12 августа, 2023 пользователем DennoN

Flint · 12 августа, 2023

В 12.08.2023 в 09:28, DennoN сказал:

@Flint обсуждалось уже. Вот вариант решения. Выше другой есть. Это касательно Segmentation fault

Вообще что-то в entware у тебя поломалось, какой-то пакет не работает. Обычно это был dig

Показать

Штош, переустановил энтваре - заработало. Спасибо

pikusQQ · 12 августа, 2023

В 12.08.2023 в 16:20, DennoN сказал:
@pikusQQ а попробуй на сервере
systemctl restart shadowsocks-libev.service
systemctl status shadowsocks-libev.service
и на роутере
/opt/etc/init.d/S22shadowsocks restart
UPD: а еще возможно на сервере, где wg у тебя прослушивается порт 12345 только на внешнем интерфейсе, а с 127.0.0.1 оно не пускает

проверить так
ss -tplun | grep 12345
в выводе должно быть что-то типа такого
udp   UNCONN 0      0            0.0.0.0:12345    
или
udp   UNCONN 0      0            127.0.0.1:12345   
Показать

сервисы рестартил много раз.

на vps вот:

udp UNCONN 0 0 0.0.0.0:12345 0.0.0.0:*
udp UNCONN 0 0 [::]:12345 [::]:*

И статус:

shadowsocks-libev.service - Shadowsocks-libev Default Server Service
Loaded: loaded (/lib/systemd/system/shadowsocks-libev.service; enabled; vendo>
Active: active (running) since Sat 2023-08-12 13:34:53 MSK; 6h ago
Docs: man:shadowsocks-libev(8)
Main PID: 431205 (ss-server)
Tasks: 1 (limit: 9507)
Memory: 2.4M
CPU: 1.513s
CGroup: /system.slice/shadowsocks-libev.service
└─431205 /usr/bin/ss-server -c /etc/shadowsocks-libev/config.json

Изменено 12 августа, 2023 пользователем pikusQQ

DennoN · 12 августа, 2023

ss -tplun | grep 8421
udp   UNCONN 0      0            0.0.0.0:8421       0.0.0.0:*    users:(("ss-server",pid=119703,fd=6))
tcp   LISTEN 0      1024         0.0.0.0:8421       0.0.0.0:*    users:(("ss-server",pid=119703,fd=5))

такое на сервере тоже выводит?

и проверь, что порт 5822 на роутере не занят чем-то другим, а занят именно ss-tunnel

ss -tplun | grep 5822 
Cannot open netlink socket: Protocol not supported
udp    UNCONN     0      0         *:5822                  *:*                   users:(("ss-tunnel",pid=15045,fd=7))
Cannot open netlink socket: Protocol not supported
tcp    LISTEN     0      0         *:5822                  *:*                   users:(("ss-tunnel",pid=15045,fd=6))

Изменено 12 августа, 2023 пользователем DennoN

pikusQQ · 12 августа, 2023

Ну чёт users не пишет

ss -tplun | grep 8421
udp UNCONN 0 0 0.0.0.0:8421 0.0.0.0:*
tcp LISTEN 0 1024 0.0.0.0:8421 0.0.0.0:*

на роутере вобще:

# ss -tplun | grep 5822
-sh: ss: not found

Изменено 12 августа, 2023 пользователем pikusQQ

DennoN · 12 августа, 2023

На роутере ss надо поставить. Как пакет называется не скажу сейчас.

Про сервер, возможно это его нормальный вывод, а может и нет. Мне по этим командам пишет какое именно приложение использует порт

pikusQQ · 12 августа, 2023

Это на роутере

# netstat -ltupan | grep 5822
tcp 0 0 0.0.0.0:5822 0.0.0.0:* LISTEN 4553/ss-tunnel
udp 0 0 0.0.0.0:5822 0.0.0.0:* 4553/ss-tunnel

Попробовал с этими данными shadowsocks подключиться к vps с телефона, всё работает, а с роутера получается не хочет(

Изменено 12 августа, 2023 пользователем pikusQQ

Oleg Ivanov · 17 августа, 2023

На роутере переустановил entware из-за сломаного dig .

Установил все по новой , выбрал пользоватся своими списками, я правильно понял что надо из community.lst (ранее о нем писали) добавить все IP в user-vpn.list ? это есть только свой список? тоесть теперь antifilter не будет добавлять мне свои списки? (с ним были проблемы так как он добавлял много чего не нужного например ozon, сбермаркет, speedtest). Нагрузка/скорость работы на роутер меньше при таком способе?

Вопрос не по теме. Adguard Home работает в связке с bird? Есть в нем смысл если в настройках Интернет-фильтры -Контектный фильтр - Публичные DNS-резолверы он уже есть в списке как Adguard DNS? Если есть в чем отличие?

Изменено 17 августа, 2023 пользователем Oleg Ivanov

DennoN · 19 августа, 2023

В 17.08.2023 в 12:46, Oleg Ivanov сказал:

Установил все по новой , выбрал пользоватся своими списками, я правильно понял что надо из community.lst (ранее о нем писали) добавить все IP в user-vpn.list ?

Показать

можно первый вариант выбрать при установке и указать урл к этому файлу. он сам адейтится будет, если будут в нем изменения. если изменений не будет, то ничего происходить не будет

AGH на bird вообще никак не влияет. работают параллельно. Смысла указывать туда еще фильтрующие днсы адругарда - нет, так как они делают тоже, что и AGH. но в AGH можно что-то добавить в исключения, а вот при использовании их фильтрующих днсов - нет

Andreycko · 20 августа, 2023

У нас в Украине блокируют почти все русские AS, я могу все сюда вставить, и потянет ли?

Показать контент

DennoN · 20 августа, 2023

@Andreycko ну там "всего" 10к префиксов получится. примерно столько же, сколько будет, если грузить с antifilter.download тот же ipsum. так что должно потянуть. только вот получать список префисков из списка as будет не очень быстро (~5 минут). если нет необходимости что-то другое заворачивать, я бы или автообновление сделал не раз в час, а раз в неделю (содержимое AS думаю ОЧЕНЬ редко меняется). либо после первого прогона вместо as ввел его результат в файл

Andreycko · 20 августа, 2023

@DennoN Спасибо!

Подождал немного, все заработало, подскажите пожалуйста, какая правильная команда, что бы раз в неделю?

mv /opt/etc/cron.hourly/add-bird4_routes.sh /opt/etc/cron.week/ ?

UPD кажется разобрался, cron.monthly, cron.weekly .. )

Изменено 20 августа, 2023 пользователем Andreycko

DennoN · 20 августа, 2023

Да, верно. Только возможно папка называется не cron.week а cron.weekly или как то так. Короче папка уже должна быть и в неё туда файл надо перенести. При обновлении, перестановке нужно будет её снова перемещать

Kazantsev · 25 августа, 2023

В 20.08.2023 в 10:37, DennoN сказал:

Да, верно. Только возможно папка называется не cron.week а cron.weekly или как то так. Короче папка уже должна быть и в неё туда файл надо перенести. При обновлении, перестановке нужно будет её снова перемещать

Показать

А как сделать быстрое обновление, раз в час, в 5 мин и т.д, какая команда?

DennoN · 25 августа, 2023

В 25.08.2023 в 09:07, Kazantsev сказал:

А как сделать быстрое обновление, раз в час, в 5 мин и т.д, какая команда?

Показать

mv /opt/etc/cron.hourly/add-bird4_routes.sh /opt/etc/cron.

после точки подставляешь нужную папку

cron.1min/ cron.hourly/ cron.weekly/
cron.5mins/ cron.daily/ cron.monthly/

bird4

Рекомендуемые сообщения

Топ авторов темы

Популярные дни

Топ авторов темы

Популярные дни

Популярные посты

DennoN

DennoN

DennoN

Изображения в теме

Присоединяйтесь к обсуждению

Последние посетители 0 пользователей онлайн

Важная информация