> требующим проприетарного клиента Wireguard
Так ладно, читаем дальше и
> VPN на Windows Server.
Что-то не сходится. Как минимум ожидал увидеть какой-нибудь Linux, а лучше BSD, если есть запрос на отсутствие проприетарщины.
А что там за проприетарный клиент для wireguard? Есть же официальный и он норм работает.
Его можно найти вот здесь.
Если нужно, вот его исходный код github.com/WireGuard/wireguard-windows
Это очень круто, но интересно мне было про доставку от магазина к покупателю. Именно почта и другие транспортные компании. Знаю, что этого добиться не просто, особенно от почты
А как владельцы решают вопрос с кучей пластика при доставке (скотч, пакеты с пупыркой и без)? Какие методы доставки кроме почты? Об этом им бы тоже написать на сайте
Дело в том, что если конфигурить через UCI будет ipset-list src
1 0 0 MARK all -- * * 0.0.0.0/0 0.0.0.0/0 match-set vpn_subnets src MARK set 0x1
2 0 0 MARK all -- * * 0.0.0.0/0 0.0.0.0/0 match-set vpn_ipsum src MARK set 0x1
А нам нужно ipset-list dst
1 24 2259 MARK all -- br-lan * 0.0.0.0/0 0.0.0.0/0 match-set vpn_subnets dst MARK set 0x1
2 42 4800 MARK all -- br-lan * 0.0.0.0/0 0.0.0.0/0 match-set vpn_ipsum dst MARK set 0x1
Т.е. необходимо помечать пакеты идущие в адреса из списков, а не исходящие от адресов из списка. В вики не нашел параметр который за это отвечает
В wiki openwrt, сожалению, нет информации о зависимостях. В сценариях /etc/init.d/ тоже подобного нет. Видимо такой функционал не используется в openwrt.
Зато есть файл /etc/rc.local команды в котором будут выполняться в самую последнюю очередь.
Но как оказалось в файл со сценарием нужно просто добавить «START=99». Это решило проблему и теперь dnscrypt запускается раньше скрипта.
Насчет маршрута в /etc/config/network. Вспомнил почему так сделал — в uci невозможно задать именно такой маршрут c default. И поэтому все страдают и делают через hotplug. Как пример: gist.github.com/andiwand/5b5acc2c4873a0cfbe5eb0123c8fdd16
Спасибо за комментарий
1) Отлично, не подумал об этом, исправлю
2) Лично меня устраивает суммаризированый список. Я привёл это для примера, тут каждый для себя сам решает. Но да, хотя бы эксперимента надо попробовать
3) Ну тут зависит от задач же. Понятное дело, что ркн постоянно блочит что-то новенькое и antifilter обновляет списки. У меня лично нет необходимости иметь каждые два часа свежий список (%
4) Да, это сделано намерено, обход только для трафика из br-lan. Роутеру нужно только ntp и ресурсы openwrt, на какие-то запрещенные ресурсы ему ходить не нужно. Поэтому на данный момент необходимости в этом не вижу
5) Если вы о скрипте который загружает списки, то curl и сам поймет, что у него нет доступа к ресурсу, ничего не загрузит и это ничего не сломает. Ну тут тоже дело вкуса конечно
Насчет использования конфигов, вы списки для ipset в скрипте создаёте и явно уничтожаете, подскажите почему? Вроде при перезагрузке фаервола (когда ipset в firewall сконфигурён) он стирает существующий список и создаёт по новой, а не просто добавляет адреса
Ну по-другому сейчас никак. Найти за 200р в месяц — очень просто. Чисто для тунеля\прокси можно вообще минимальную конфигурацию за 80-100р на одном известном сервисе поиска vds найти.
Отличный вопрос
Ещё дело в том, что ipset использует hash таблицы, что ускоряет поиск. Например, он может использовать бинарный поиск.
Вроде как в ядре версии 4.4 появились снова Hash-based multipath routing. Какого-то сравнения ipset vs route table vs hash route table я не видел. Надо ставить эксперимент. Но последнее пока недоступно для моих роутеров — в 18.06 ядро 4.14.
Так ладно, читаем дальше и
> VPN на Windows Server.
Что-то не сходится. Как минимум ожидал увидеть какой-нибудь Linux, а лучше BSD, если есть запрос на отсутствие проприетарщины.
А что там за проприетарный клиент для wireguard? Есть же официальный и он норм работает.
Его можно найти вот здесь.
Если нужно, вот его исходный код github.com/WireGuard/wireguard-windows
Я увеличил лимит, когда у ркн опять началось. mi 3g вывозил без проблем.
А вы как-нибудь проверяете полученные сертификаты на валидность? Что бы вдруг не распространить пустой файл или просроченный сертификат на серверы?
Это очень круто, но интересно мне было про доставку от магазина к покупателю. Именно почта и другие транспортные компании. Знаю, что этого добиться не просто, особенно от почты
А как владельцы решают вопрос с кучей пластика при доставке (скотч, пакеты с пупыркой и без)? Какие методы доставки кроме почты? Об этом им бы тоже написать на сайте
Дело в том, что если конфигурить через UCI будет ipset-list src
А нам нужно ipset-list dst
Т.е. необходимо помечать пакеты идущие в адреса из списков, а не исходящие от адресов из списка. В вики не нашел параметр который за это отвечает
Зато есть файл /etc/rc.local команды в котором будут выполняться в самую последнюю очередь.
Но как оказалось в файл со сценарием нужно просто добавить «START=99». Это решило проблему и теперь dnscrypt запускается раньше скрипта.
Да и 18ая убунта тоже:
E: Invalid operation add-repositoryТакие предложения отлично ищутся на vds.menu
1) Отлично, не подумал об этом, исправлю
2) Лично меня устраивает суммаризированый список. Я привёл это для примера, тут каждый для себя сам решает. Но да, хотя бы эксперимента надо попробовать
3) Ну тут зависит от задач же. Понятное дело, что ркн постоянно блочит что-то новенькое и antifilter обновляет списки. У меня лично нет необходимости иметь каждые два часа свежий список (%
4) Да, это сделано намерено, обход только для трафика из br-lan. Роутеру нужно только ntp и ресурсы openwrt, на какие-то запрещенные ресурсы ему ходить не нужно. Поэтому на данный момент необходимости в этом не вижу
5) Если вы о скрипте который загружает списки, то curl и сам поймет, что у него нет доступа к ресурсу, ничего не загрузит и это ничего не сломает. Ну тут тоже дело вкуса конечно
Насчет использования конфигов, вы списки для ipset в скрипте создаёте и явно уничтожаете, подскажите почему? Вроде при перезагрузке фаервола (когда ipset в firewall сконфигурён) он стирает существующий список и создаёт по новой, а не просто добавляет адреса
Ревизию обычно пишут на наклейке роутера. По ней смотрите архитектуру процессора в вики и уже по архитектуре ищете прошивку
Я плачу 82рубля за месяц вместе с платежной комиссией. По месяцам
Для b1 и c1 есть свежая 18.06.2 downloads.openwrt.org/releases/18.06.2/targets/ar71xx/generic
Ещё дело в том, что ipset использует hash таблицы, что ускоряет поиск. Например, он может использовать бинарный поиск.
Вроде как в ядре версии 4.4 появились снова Hash-based multipath routing. Какого-то сравнения ipset vs route table vs hash route table я не видел. Надо ставить эксперимент. Но последнее пока недоступно для моих роутеров — в 18.06 ядро 4.14.