Комментарии 954
Внимание!
Вчера стратегия модификации fake в старом виде перестала работать, стали блокировать заголовок tls_clienthello_www_google_com.bin, при этом при использовании режима фильтрации none - это привело, к блокировки всех сайтов, в том числе тех которые всегда работают, так как соединение блокируется при обнаружении заголовка tls_clienthello_www_google_com.bin.
В качестве решения, обновил статью с новым рабочим конфигом, и обновлением на версию 70.6. С этим конфигом все работает везде, как и прежде.
Рекомендуется обновится, тем у кого возникла проблема.
На android TV youtube заработал?
Я на android TV не проверял еще, но на WebOS работает отлично, думаю и на android TV должно. Если никто раньше не проверит, то скорее всего я смогу в субботу проверить на android TV.
Уважаемый Keenet, большое спасибо Вам за Ваш труд! Рассчитываю на то, что Вы и Ваши читатели поддержите инициативу по распространению единой инструкции по обходу DPI различными методами. Настоящий материал Вашего авторства взят за основу в той части единой инструкции, которая касается zapret-NFQWS. Я, как и многие неопытные пользователи, не сразу разобрался в вопросах установки и в той массе сотен вопросов и ответов на Хабре, которая обычно следует за публикацией подобных проектов. Чтобы облегчить установку средств обхода DPI для неискушенных пользователей, и была создана детальная инструкция по различным методам. Сама инструкция в наиболее актуальной версии доступна по ссылке:
https://drive.proton.me/urls/H4X0HPQFT8#gt5mCGHQcTeL
и
зеркало здесь (должно работать до 10.09.2024):
https://www.fileconvoy.com/dfl.php?id=gbf8f8b0dfc5a3e4e10005600288a6c2eb35b562594
Подскажите, как все-таки правильно решить проблему с WebOS? Я использовал решение из аналогичной статьи https://habr.com/ru/articles/838452 и на WebOS у меня также не загружается приложение. Помогло только отправкой запроса с телевизора на адрес www.youtube.com через VPN и тогда все работает прекрасно.
На Android TV работает, проверено. Сегодня установили на keenetic viva (kn-1912).
необходимо сначала сначала подготовить внешний USB-накопитель
На внутреннею память не влезет? Или чем обусловлен выбор установки на usb?
Если ставить все по инструкции, то не влезет, а если не ставить вспомогательные утилиты и выкинуть из папки утилиты бинарники для других архитектур, то наверно влезет. Не, ну про ресурс NAND памяти тоже нельзя забывать. Да и кто-то может и другие утилиты ставит помимо zapret.
А так ничего не мешает и на внутреннюю память поставить, устанавливается абсолютно также.
А не поздновато?
Спасибо за интсрукцию!
при проверке /opt/zapret/blockcheck.sh
получаю ошибку:seccomp: Invalid argument
seccomp: this can be safely ignored if kernel does not support seccomp
curl: (28) Operation timed out after 2002 milliseconds with 0 bytes received
UNAVAILABLE code=28
Подскажите пожалуйста в чем может быть дело?
Добрый день, при попытки проверки "/opt/zapret/init.d/sysv/zapret start " выдаёт: Cannot find xt multiport.ko kernel module, aborting.
Не подскажите почему не удаётся загрузить модуль?
у меня такая же ошибка...
Наберите команду ls /lib/modules/$(uname -r)/ в командную строку. Посмотрим какие модули имеются там. И какой роутер и версия прошивки? Вообще модуль multiport.ko у меня не используется в правилах iptables, он используется в правилах, которые автор утилиты предлагает, и которые я закомментировал в коде. Но я боюсь, что у Вас и других 2 модулей может не оказаться в папке с модулями, а они нужны.
act_connmark.ko nls_cp1251.ko
act_ipt.ko nls_cp437.ko
act_mirred.ko nls_cp866.ko
act_police.ko nls_utf8.ko
act_skbedit.ko ntc.ko
aead.ko oid_registry.ko
auth_rpcgss.ko option.ko
btrfs.ko phr.ko
cdc-acm.ko pppoe_pt.ko
cdc-wdm.ko r820t.ko
cdc_ether.ko raid6_pq.ko
cdc_ncm.ko rc-core.ko
cdrom.ko regmap-i2c.ko
cifs.ko resetnds.ko
cls_basic.ko rndis_host.ko
cls_flow.ko rtl2832.ko
cls_fw.ko sch_cake.ko
cls_route.ko sch_codel.ko
cls_tcindex.ko sch_drr.ko
cls_u32.ko sch_dsmark.ko
crc-itu-t.ko sch_gred.ko
crc16.ko sch_hfsc.ko
crc32c_generic.ko sch_htb.ko
crypto_null.ko sch_ingress.ko
cx24116.ko sch_prio.ko
cxd2820r.ko sch_red.ko
deflate.ko sch_sfq.ko
des_generic.ko sch_tbf.ko
dvb-core.ko sch_teql.ko
dvb-usb-az6027.ko scsi_mod.ko
dvb-usb-cxusb.ko sd_mod.ko
dvb-usb-dw2102.ko sg.ko
dvb-usb-rtl28xxu.ko si2157.ko
dvb-usb-technisat-usb2.ko si2168.ko
dvb-usb.ko sierra.ko
dvb_usb_v2.ko snd-hwdep.ko
em_cmp.ko snd-mixer-oss.ko
em_meta.ko snd-pcm-oss.ko
em_nbyte.ko snd-pcm.ko
em_text.ko snd-rawmidi.ko
em_u32.ko snd-seq-device.ko
evdev.ko snd-seq-midi-event.ko
exportfs.ko snd-seq-midi.ko
ext4.ko snd-seq.ko
fastvpn.ko snd-timer.ko
fuse.ko snd-usb-audio.ko
grace.ko snd-usbmidi-lib.ko
gspca_main.ko snd.ko
gspca_ov519.ko soundcore.ko
gspca_sonixj.ko sr_mod.ko
hid-generic.ko stb0899.ko
hid.ko stb6100.ko
hmac.ko stv090x.ko
huawei_cdc_ncm.ko stv6110x.ko
hw_nat.ko sunrpc.ko
i2c-core.ko tda18271.ko
i2c-dev.ko tfat.ko
i2c-mux.ko thfsplus.ko
igmpsn.ko tntfs.ko
input-core.ko ts2020.ko
ip6_udp_tunnel.ko tsmb.ko
ip6t_MASQUERADE.ko ubi.ko
ip6t_NPT.ko ubifs.ko
ip_gre.ko udf.ko
isofs.ko udp_tunnel.ko
jbd2.ko usb-common.ko
jffs2.ko usb-storage.ko
kpdsl.ko usb_wwan.ko
l2tp_core.ko usbcore.ko
l2tp_ppp.ko usbextras.ko
libcrc32c.ko usbhid.ko
lockd.ko usbip-core.ko
loop.ko usbip-host.ko
m88ds3103.ko usblp.ko
mbcache.ko usbnet.ko
md4.ko usbserial.ko
md5.ko uvcvideo.ko
mn88473.ko v4l2-common.ko
mt7615_ap.ko vdsl.ko
mt7621_eth.ko veth.ko
mtdoops_proc.ko vhci-hcd.ko
nacct.ko videobuf2-core.ko
ndm_storage.ko videobuf2-memops.ko
nf_conntrack_ftp.ko videobuf2-v4l2.ko
nf_conntrack_h323.ko videobuf2-vmalloc.ko
nf_conntrack_pptp.ko videodev.ko
nf_conntrack_proto_gre.ko xfs.ko
nf_conntrack_rtsp.ko xhci-hcd.ko
nf_conntrack_sip.ko xhci-mtk.ko
nf_nat_ftp.ko xor.ko
nf_nat_h323.ko xt_connbytes.ko
nf_nat_masquerade_ipv6.ko xt_recent.ko
nf_nat_pptp.ko xxhash.ko
nf_nat_proto_gre.ko zlib_deflate.ko
nf_nat_rtsp.ko zlib_inflate.ko
nf_nat_sip.ko zram.ko
nfs.ko zstd.ko
nfsd.ko zstd_compress.ko
nls_base.ko zstd_decompress.ko
Keenetic Ultra (KN-1810) на последней прошивки 4.1.7 , и походу есть только 1 модуль из трёх(
У меня точно такая же прошивка. Посмотрите, какие компоненты установлены. Эти модули относятся подсистеме Netfilter, но это обязательный компонент...
И еще посмотрите установлен ли пакет расширения Xtables-addons для Netfilter в компонентах прошивки.
надо включить поддержку ipv6, перезагрузить роутер, потом добавить поддержку модулей Netfilter, все это через вэбморду роутера
Спасибо за статью! Делал по другой статье там используется бинарник запрет, но на телевизоре пропал youtube да.
Вопрос, там использовался файл с прописанными хостами для которых использовать "мясорубку" здесь получается для всех сайтов будет применяться?
Да, здесь правила применяются на весь трафик. Нет, конечно можно также добавить в параметры exclude (--hostlist-exclude) или include (--hostlist) списки и будет тогда выборочно работать.
Большое спасибо за статью!
И вопрос: не могли бы вы по подробнее написать, как сделать так, чтобы zapret работал с учетом списков? Хотелось бы сделать так, чтобы обрабатывались лишь ютyбовские адреса: googlevideo.com, youtube.com и ytimg.com.
Да все просто, в файле /opt/zapret/config измените MODE_FILTER на MODE_FILTER=hostlist, и потом в файлах /opt/zapret/ipset/zapret-hosts-user.txt прописывайте свои домены, которые нужно обрабатывать или в файле/opt/zapret/ipset/zapret-hosts-user-exclude.txt домены, которые нужно исключить из обработки. Пишется по одному домину или IP на строчку. То что там изначально написано в файлах - удалите. После перезапустите zapret.
Здравствуйте! Большое спасибо Вам за работу. Не совсем понятны несколько аспектов. Уточните, пожалуйста:
если в config используется MODE_FILTER=hostlist, ео что должно быть указано в том же файле ниже, в блоке
GETLIST=...?где именно разместить четрые команды, начиная с 'iptables -t mangle -I POSTROUTING -o $IFACE_WAN -p tcp --dport 80 -m mark ! --mark 0x40000000/0x40000000 -j NFQUEUE --queue-num 200 --queue-bypass'? просто в консоли? Или же в каком-то файле? Если в консоли, то разве после перезагрузки роутера не придется их руками снова повторять? А если в файле, то в каком именно? В Вашем тексте для zapret и 000-zapret.sh я эти строки найти не смог.
Здравствуйте.
1) Там ничего указывать не нужно - это для ipset.
2) Это информация для справки (я вроде там так и писал), поэтому это нигде прописывать не нужно.
Спасибо Вам за отклик! Обязательно отпишусь по результатам, как повторю установку с учетом Вашего ответа.
Еще раз приветствую Вас! Спасибо Вам, все заработало. Но был вот какой нюанс:
при подключении к провайдеру по PPPoE пришлось в файле
/opt/zapret/init.d/sysv/zapret
все $IFACE_N заменить на имя моего интерфейса с провайдером (ppp0);
В четырех командах, начиная с
iptables -t mangle -I POSTROUTING -o $IFACE_WAN -p tcp --dport 80 -m mark ! --mark 0x40000000/0x40000000 -j NFQUEUE --queue-num 200 --queue-bypass
пришлось перед исполнением все $IFACE_WAN заменить на имя моего интерфейса с провайдером (ppp0);
Параметры
NFQWS_OPT_DESYNCNFQWS_OPT_DESYNC_QUICскопировал из Вашей настройки, удалив те, что прописываются по умолчанию.
Тоже этот момент был не очевиден. Может так и прописать, что это для справки, вводить и запускать эти команды не нужно?
Ещё при установке скрипта теперь спрашивает, активировать ли для http и отдельно для https, у вас этого нет в инструкции.
Спасибо большое за труд!
Я вот на OpenWRT сделал всё куда проще, установил zapret, поставил nfqws с параметрами NFQWS_OPT_DESYNC="--dpi-desync=fake,split2 --dpi-desync-ttl=3"
Далее поставил dnscrypt-proxy2 где указал DNS Forwards 127.0.0.53
Перезапустил dnsmasq и dns-proxy
И после этого на всех устройствах выставил DHCP.
Готово, всё работает. На Web OS Youtube работает, на ios тоже...осталось только сайт гос услуг убрать из запрета, пока не разобрался как...
Так эта утилита и официально предназначена для прошивки OpenWRT, и автор ее поддерживает. А вот keenetic со стоковой прошивкой, он официально не поддерживает.
А что с сайтом не так? У меня проблем нет.
Ну я к сожалению не вникал в историю zapret, сейчас там много инструкций по установке на разные устройства))
А с сайтом, почему-то именно гос.услуги не загру....Забавно получается, решил при написании этого комментария проверить и он заработал, но с одним нюансом - с первого раза не открывает, но если обновить страницу несколько раз подряд, то всё нормально))
Уже 3й день полёт нормальный, но что больше всего меня удивляет, так это скорость ютуба, у меня до всех этих блокировок так не работало как с zapret и dnsproxy))
Доброго дня.
какой модуль отвечает за это? "Cannot find xt_multiport.ko kernel module, aborting"
Keenetic DSL, если что
Наберите команду ls /lib/modules/$(uname -r)/ в командную строку. Посмотрим какие модули имеются там. Какая версия прошивки? Какая я уже написал выше - вообще модуль multiport.ko у меня не используется в правилах iptables, он используется в правилах, которые автор утилиты предлагает, и которые я закомментировал в коде. Но я боюсь, что у Вас и других 2 модулей может не оказаться в папке с модулями, а они нужны.
Та же ошибка. Keenetic Viva первого поколения. Закомментировал первый if, который запускает данный модуль, в скрипте zapret. Все заработало и без него!
А почему протокол QUIC не обрабатывается? Тогда нужно обязательно блокировать порт, а то не будет работать на телефоне и телевизоре. Ну у меня по крайней мере так.
Потому что у меня работает без блокировки QUIC. Приносите на гитхаб пруфы, что у вас не заработало - добавлю поддержку.
на телефоне и ноутбуке заработало, на LG webos нет( какие пруфы нужны?
Установите по моей инструкции, действий больше конечно, но все работает.
не помогло, сейчас ещё попробую с отключенным ipv6 провайдера по совету
работает всё, кроме тв LG на webos, провайдер билайн
Скиньте скрин того, что у Вас в моей выдает команда в: opt/zapret/init.d/sysv/zapret restart
И еще можете попробовать изменить наNFQWS_OPT_DESYNC="--dpi-desync=fake,disorder2 --dpi-desync-split-pos=1 --dpi-desync-ttl=0 --dpi-desync-fooling=md5sig,badsum"
И да, а как себе ведет интерфейс при выключенном zapret?
Ставил вчера по инструкции. После рестарта бывает, что работает на webos, но вообще не работает.
Вот что после перезапуска:
Stopping daemon 1: /opt/zapret/nfq/nfqws
stopped /opt/zapret/nfq/nfqws (pid 2139)
Stopping daemon 10: /opt/zapret/nfq/nfqws
stopped /opt/zapret/nfq/nfqws (pid 2143)
Clearing iptables
Deleting iptables rule for nfqws postrouting (qnum 200) : -p tcp -m multiport --dports 80,443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:9 -m mark ! --mark 0x40000000/0x40000000
Deleting iptables rule for nfqws input+forward (qnum 200) : -p tcp -m multiport --sports 80,443 -m connbytes --connbytes-dir=reply --connbytes-mode=packets --connbytes 1:9
Deleting ip6tables rule for nfqws postrouting (qnum 200) : -p tcp -m multiport --dports 80,443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:9 -m mark ! --mark 0x40000000/0x40000000
Deleting ip6tables rule for nfqws input+forward (qnum 200) : -p tcp -m multiport --sports 80,443 -m connbytes --connbytes-dir=reply --connbytes-mode=packets --connbytes 1:9
Deleting iptables rule for nfqws postrouting (qnum 210) : -p udp -m multiport --dports 443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:9 -m mark ! --mark 0x40000000/0x40000000
Deleting ip6tables rule for nfqws postrouting (qnum 210) : -p udp -m multiport --dports 443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:9 -m mark ! --mark 0x40000000/0x40000000
net.netfilter.nf_conntrack_tcp_be_liberal = 0
xt_multiport.ko is already loaded
xt_connbytes.ko is already loaded
xt_NFQUEUE.ko is already loaded
Starting daemon 1: /opt/zapret/nfq/nfqws --user=nobody --dpi-desync-fwmark=0x40000000 --qnum=200 --dpi-desync=fake,disorder2 --dpi-desync-split-pos=1 --dpi-desync-ttl=0 --dpi-desync-fooling=md5sig,badsum --dpi-desync-repeats=6 --dpi-desync-any-protocol --dpi-desync-cutoff=d4 --hostlist=/opt/zapret/ipset/zapret-hosts-user.txt --hostlist-exclude=/opt/zapret/ipset/zapret-hosts-user-exclude.txt --hostlist-auto=/opt/zapret/ipset/zapret-hosts-auto.txt --hostlist-auto-fail-threshold=3 --hostlist-auto-fail-time=60 --hostlist-auto-retrans-threshold=3
Starting daemon 10: /opt/zapret/nfq/nfqws --user=nobody --dpi-desync-fwmark=0x40000000 --qnum=210 --user=nobody --dpi-desync-fwmark=0x40000000 --dpi-desync=fake,disorder2 --dpi-desync-repeats=6 --dpi-desync-ttl=0 --dpi-desync-any-protocol --dpi-desync-cutoff=d4 --dpi-desync-fooling=md5sig,badsum --hostlist=/opt/zapret/ipset/zapret-hosts-user.txt --hostlist-exclude=/opt/zapret/ipset/zapret-hosts-user-exclude.txt --hostlist-auto=/opt/zapret/ipset/zapret-hosts-auto.txt --hostlist-auto-fail-threshold=3 --hostlist-auto-fail-time=60 --hostlist-auto-retrans-threshold=3
Applying iptables
Creating ip list table (firewall type iptables)
setting high oom kill priority
reloading ipset backend (no-update)
Adding iptables rule for nfqws postrouting (qnum 200) : -p tcp -m multiport --dports 80,443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:9 -m mark ! --mark 0x40000000/0x40000000
Adding iptables rule for nfqws input+forward (qnum 200) : -p tcp -m multiport --sports 80,443 -m connbytes --connbytes-dir=reply --connbytes-mode=packets --connbytes 1:9
Adding ip6tables rule for nfqws postrouting (qnum 200) : -p tcp -m multiport --dports 80,443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:9 -m mark ! --mark 0x40000000/0x40000000
Adding ip6tables rule for nfqws input+forward (qnum 200) : -p tcp -m multiport --sports 80,443 -m connbytes --connbytes-dir=reply --connbytes-mode=packets --connbytes 1:9
Adding iptables rule for nfqws postrouting (qnum 210) : -p udp -m multiport --dports 443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:9 -m mark ! --mark 0x40000000/0x40000000
Adding ip6tables rule for nfqws postrouting (qnum 210) : -p udp -m multiport --dports 443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:9 -m mark ! --mark 0x40000000/0x40000000
net.netfilter.nf_conntrack_tcp_be_liberal = 1На андроиде при этом всё работает
У меня на Samsung TV тоже видео не запускает, а интерфейс работает. На sony c андроид всё работает.
По какой инструкции ставили?
По основной. Взял настройки из вашего конфигурационного файла. Сегодня посмотрел на другом телевизоре Samsung попроще, он даже интерфейс не грузит. Попробую вечером с опциями поиграть, вдруг поможет.
Скиньте то, что у Вас выдает команда opt/zapret/init.d/sysv/zapret restart
```
/opt/zapret/init.d/sysv/zapret restart
Stopping daemon 1: /opt/zapret/nfq/nfqws
stopped /opt/zapret/nfq/nfqws (pid 26713)
Stopping daemon 10: /opt/zapret/nfq/nfqws
stopped /opt/zapret/nfq/nfqws (pid 26717)
Clearing iptables
Deleting iptables rule for nfqws postrouting (qnum 200) : -p tcp -m multiport --dports 80,443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000
Deleting iptables rule for nfqws input+forward (qnum 200) : -p tcp -m multiport --sports 80,443 -m connbytes --connbytes-dir=reply --connbytes-mode=packets --connbytes 1:1
Deleting ip6tables rule for nfqws postrouting (qnum 200) : -p tcp -m multiport --dports 80,443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000
Deleting ip6tables rule for nfqws input+forward (qnum 200) : -p tcp -m multiport --sports 80,443 -m connbytes --connbytes-dir=reply --connbytes-mode=packets --connbytes 1:1
Deleting iptables rule for nfqws postrouting (qnum 210) : -p udp -m multiport --dports 443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000
Deleting ip6tables rule for nfqws postrouting (qnum 210) : -p udp -m multiport --dports 443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000
iptables: No chain/target/match by that name.
xt_multiport.ko is already loaded
xt_connbytes.ko is already loaded
xt_NFQUEUE.ko is already loaded
Starting daemon 1: /opt/zapret/nfq/nfqws --user=nobody --dpi-desync-fwmark=0x40000000 --qnum=200 --dpi-desync=fake,disorder2 --dpi-desync-split-pos=1 --dpi-desync-ttl=0 --dpi-desync-fooling=md5sig,badsum --dpi-desync-repeats=6 --dpi-desync-any-protocol --dpi-desync-cutoff=d4
Starting daemon 10: /opt/zapret/nfq/nfqws --user=nobody --dpi-desync-fwmark=0x40000000 --qnum=210 --user=nobody --dpi-desync-fwmark=0x40000000 --dpi-desync=fake,disorder2 --dpi-desync-repeats=6 --dpi-desync-ttl=0 --dpi-desync-any-protocol --dpi-desync-cutoff=d4 --dpi-desync-fooling=md5sig,badsum
Applying iptables
Creating ip list table (firewall type iptables)
setting high oom kill priority
reloading ipset backend (no-update)
Adding iptables rule for nfqws postrouting (qnum 200) : -p tcp -m multiport --dports 80,443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000
Adding iptables rule for nfqws input+forward (qnum 200) : -p tcp -m multiport --sports 80,443 -m connbytes --connbytes-dir=reply --connbytes-mode=packets --connbytes 1:1
Adding ip6tables rule for nfqws postrouting (qnum 200) : -p tcp -m multiport --dports 80,443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000
Adding ip6tables rule for nfqws input+forward (qnum 200) : -p tcp -m multiport --sports 80,443 -m connbytes --connbytes-dir=reply --connbytes-mode=packets --connbytes 1:1
Adding iptables rule for nfqws postrouting (qnum 210) : -p udp -m multiport --dports 443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000
Adding ip6tables rule for nfqws postrouting (qnum 210) : -p udp -m multiport --dports 443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000
На каких устройствах проверяли youtube кроме телевизоров? Как где работает?
Работает на компе, ноуте по wifi, планшет, телефон тоже по wifi. Playstation 5 и телевизор Sony с андроидом по кабелю. Роутер kenetic viva. Не пашет на телевизорах Samsung. Сегодня на обоих интерфейс не грузится.
Выполните команду /opt/zapret/init.d/sysv/zapret stop , потом в конфиге поменяйте MODE_QUIC на MODE_QUIC=0, потом исполните команду /opt/zapret/init.d/sysv/zapret start и посмотрите на максимальном количестве устройств, как изменится поведение youtube.
Попробовал. Samsung оба телевизора по прежнему не грузят интерфейс, остальные устройства работают. Только Sony со второй попытки запустил видео.
Выполните команду /opt/zapret/init.d/sysv/zapret stop, в конфиге верните MODE_QUIC=1 и измените MODE_FILTER на hostlist. В /opt/zapret/ipset/zapret-hosts-user-exclude.txt пропишите доменное имя youtube.com. Файл /opt/zapret/ipset/zapret-hosts-user.txt - пустой. Потом команду /opt/zapret/init.d/sysv/zapret start и попроверяем на телевизорах будет ли интерфейс YouTube грузится, но может замедлено, тяжело, и не все прогрузится.
Не помогло. Стало хуже, теперь и на сони не работает. Меня и так устраивает. Без самсунгов обойдусь. Главное на всех остальных работает.
Да суть этих проверок не в том, чтобы стало лучше, а чтобы методом исключения определить виновника. Просто YouTube работает по двум протоколам HTTPS и QUIC и если на других устройствах по этим протоколам работает, тогда почему тоже самое не работает на самсунгах!? Он там вообще в принципе работает, может обновить приложение нужно? С телефона не пробовали интернет раздавать, всё работает? А через браузер YouTube на самсунге показывает?
Еще пару дней ютюб грузился на самсунгах, но видео сильно тормозило, сейчас вообще не грузится. Попробовал раздать wifi с телефона оператор МТС тоже не работает. Приложение снес и поставил на телевизор заново, тоже не помогло. Видимо не судьба, браузер позже попробую.
Вот то и странно, что при раздаче не работает, мобильный трафик то не блокируют еще. Пробуйте в браузере, я думаю, что там будет нормально работать. У меня работал в браузере на телевизоре, когда в приложении нет.
Проверил в браузере на телевизоре. При раздаче мобильного трафика МТС интерфейс с трудом прогрузился, но видео не кажет. С роутера даже интерфейс не работает.
Аналогичная проблема с телевизором Samsung и провайдером Билайн.
11-го августа настроил Keenetik Ultra по инструкции, на всех устройствах заработало (Samsung грузил интерфейс не супер быстро, но приемлемо).
13-го августа Samsung стал хромать на все ноги и я переустановил на нем приложение YouTube. С огромным трудом смог залогиниться в приложении, все тупило и страдало.
Несколько дней не пользовался домашним интернетом для просмотра YouTube. Сегодня убедился, что с огромным лагом и трудом загружается интерфейс (список видео - вместо них висят "черные плашки", и во время просмотра отсутствуют кнопки паузы, лайка, рекомендованных роликов и т.д.). Но если интерфейс прогружается, то видео воспроизводится стабильно.
Видите ли в чем дело. Провайдеры блокируют по-разному. У кого-то работает, у кого-то не работает. Приложите конфиг, маршруты, включен ли у вас ipv6, заблокирован ли udp/443 (и используется ли он вообще). Разберемся и починим.
Только сегодня узнал про OPKG. Если подскажите, где всё это посмотреть/взять - приложу. ipv6 включен, DoT настроен. iptables -I FORWARD -i br0 -p udp --dport 443 -j DROP не помогло, iptables -t nat -A POSTROUTING -o eth3 -j MASQUERADE и ip6tables -t nat -A POSTROUTING -o eth3 -j MASQUERADE тоже не помогли
Тоже не работает на телефоне и телевизоре. Как блокировать порт?
Спасибо. Заработало везде.
Погонял ваш вариант на своих роутерах. Все работает отлично. Прекрасный установщик, да и вообще радует что все минималистично без кучи лишнего, главное эфффективно.
Добавте пожалуйста в reedme как грамотнее сделать обновление после выхода новых версий по если будете дорабатывать. Вчера было обновление, накатил инсталлом поверх предыдущей версии, работает, но может нужна чистая переустановка?
Всё работает. Спасибо.
@Keenet подскажите, пожалуйста, а зачем свои правила iptables, если прекрасно всё работает и со стандартным скриптом (по крайней мере, на KN-1810)?
У меня не работало со стандартными, чтобы не разбирается в чем проблема - в правилах это или в параметрах, я прописал свои минимальные правила и смотрел, потом усложнял, в итоге так и оставил, типа работает. А так да проверил - работает и со стандартными, только режим фильтра нужно или отключить или настроить. Может сейчас все по тестирую, поэкспериментирую и тогда подредактирую статью про правила и настройки фильтрации. Но в любом случаи нужно оставить iptables -t nat -A POSTROUTING -o eth3 -j MASQUERADE.
На этапе git clone --depth=1 https://github.com/bol-van/zapret.git
Получаю: fatal: could not create leading directories of 'zapret/.git'
Где ошибся?
Какой роутер? Сегодня я ставил на keenetic viva (kn-1912) и у меня тоже это беда была. Сидел пытался разобраться, чего ему нужно, но потом не стал больше время тратить и взял просто скачал с сайта архив и закинул файлы через сеть. Так что зайдите https://github.com/bol-van/zapret.git , скачайте zip архив с кодом и через общий доступ (сервер SMB) закиньте в корень диска, только переименуйте папку из архива с "zapret-master" на "zapret".
у меня Giga (KN-1010), на 3 пункте инструкции тоже пишет
/opt # git clone --depth=1 https://github.com/bol-van/zapret.git
fatal: could not create leading directories of 'zapret/.git'
Чем флешку или жесткий чем форматировали в ext4?
Разобрался с ошибкой fatal: could not create leading directories of 'zapret/.git' - это сломали утилиту git, версия 2.45.2-1 не работает. Нужно устанавливать эту версию - git_2.39.2-1_mipsel-3.4.ipk или вручную закидывать zapret на диск.
Чтобы поставить — закинуть git_2.39.2-1_mipsel-3.4.ipk папку tmp на диск роутера и выполнить команды:
cd /opt/tmp
opkg remove git-http git
opkg install git_2.39.2-1_mipsel-3.4.ipk git-http
Всем привет! Застрял в начале, подскажите что с этим делать?/opt # git clone --depth=1 https://github.com/bol-van/zapret.git
fatal: could not create leading directories of 'zapret/.git'
Как выяснилось опытным путём, смотреть видео в youtube на телевизоре LG webos можно, скрипты и Keenet и Anonym работают, видео проигрывается, но сам интефейс приложения не загружается, постоянно крутится стартовая анимация . Если создать точку доступа на мобильнике, подключить тв к ней, то youtube загрузится и после переключения на точку доступа keenetic - можно смотреть видео. Куда копать? может в список адресов надо что-то добавить или наоборот удалить? В скрипте от Anonym выбран режим работы auto, не помогает(
Чтобы не ломался интерфейс нужно подбирать параметры запуска (NFQWS_OPT_DESYNC) в конфиге, это исключительно только от него зависит. Вы точно мои рекомендованные параметры использовали? Я их специально подбирал. Скиньте скрин то, что у вас выдает команда opt/zapret/init.d/sysv/zapret restart в моем варианте.
~ # /opt/zapret/init.d/sysv/zapret restart
Stopping daemon 1: /opt/zapret/nfq/nfqws
stopped /opt/zapret/nfq/nfqws (pid 759)
Stopping daemon 10: /opt/zapret/nfq/nfqws
stopped /opt/zapret/nfq/nfqws (pid 763)
iptables: No chain/target/match by that name.
iptables: No chain/target/match by that name.
iptables: No chain/target/match by that name.
iptables: No chain/target/match by that name.
xt_multiport.ko is already loaded
xt_connbytes.ko is already loaded
xt_NFQUEUE.ko is already loaded
Starting daemon 1: /opt/zapret/nfq/nfqws --user=nobody --dpi-desync-fwmark=0x40000000 --qnum=200 --dpi-desync=fake,disorder2 --dpi-desync-split-pos=1 --dpi-desync-ttl=6 --dpi-desync-fooling=badsum --dpi-desync-repeats=6 --dpi-desync-any-protocol --dpi-desync-cutoff=d4
Starting daemon 10: /opt/zapret/nfq/nfqws --user=nobody --dpi-desync-fwmark=0x40000000 --qnum=210 --user=nobody --dpi-desync-fwmark=0x40000000 --dpi-desync=fake,disorder2 --dpi-desync-repeats=6 --dpi-desync-any-protocol --dpi-desync-cutoff=d4
~ #
Обновите скрип по новой инструкции.
И в конфиге попробуйте поменять NFQWS_OPT_DESYNC на NFQWS_OPT_DESYNC="--dpi-desync=fake,disorder2 --dpi-desync-split-pos=1 --dpi-desync-ttl=0 --dpi-desync-fooling=md5sig,badsum --dpi-desync-repeats=6 --dpi-desync-any-protocol --dpi-desync-cutoff=d4"
Также можно пробывать поиграться с фильтром hostlist прописать, только адрес googlevideo.com для модификации.
0 Вариант
/opt/zapret/init.d/sysv/zapret stop
a) ноут, винда, хром - сайт youtube.com открывается, превьюшки загружаются, можно переходить в "история", "плейлисты", но при нажатии на видео - они не загружаются
b) мобильник, андроид через wifi, приложение youtube сначала пусто, через пару минут загрузился интерфейс с превьюшками, можно переходить в "история", "плейлисты" при нажатии на видео - они не загружаются
c) ТВ LG webos приложение youtube сначала не грузится, через 1-2 минуты загружается, предлагает выбор аккаунта, после входа на главной нет превьюшек, только названия видео, при нажатии на видео - они не загружаются, при перехрде в "библиотеку" ничего не загружается
1 Вариант
Обновил скрипт /opt/zapret/init.d/sysv/zapret,параметр MODE_FILTER сделалnone
/opt/zapret/init.d/sysv/zapret start
a) всё работает
b) всё работает
c) приложение youtube сначала не грузится, через 1-2 минуты загружается, предлагает выбор аккаунта, после входа на главной медленно, по очереди загружаются превьюшки, при нажатии на видео - они не загружаются
2 Вариант
В конфиге поменял NFQWS_OPT_DESYNC на NFQWS_OPT_DESYNC="--dpi-desync=fake,disorder2 --dpi-desync-split-pos=1 --dpi-desync-ttl=0 --dpi-desync-fooling=md5sig,badsum --dpi-desync-repeats=6 --dpi-desync-any-protocol --dpi-desync-cutoff=d4"
/opt/zapret/init.d/sysv/zapret restart
a) всё работает, но как-будто медленнее загржается главная страница
b) всё работает
c) ТВ был оставлен на неоткрывшемся видео, после перезапуска скрипта оно загрузилось, стало показывать, но после перезапуска приложения youtube сначала не грузится, через 1-2 минуты загружается, предлагает выбор аккаунта, после входа на главной нет превьюшек, только названия видео, при нажатии на видео - они не загружаются, через некоторое время загрузились пара превьюшек, видео так и не открываются
3 Вариант
меняю в /opt/zapret/config параметр MODE_FILTER=hostlist
не могу найти этот самый лист, поиском ни в одном файле не нашёл googlevideo.com
/opt/zapret/init.d/sysv/zapret restart
a)b)c) - как и ожидаемо, видео нигде не грузятся
Пока возвращаюсь на 1 Вариант, на ноуте и мобильнике он самый быстрый. Жду совета где и как поиграться с фильтром hostlist. Заранее спасибо!
hostlist - фильтрация списком хостов из файлов: /opt/zapret/ipset/zapret-hosts-user.txt - прописывайте свои домены, которые нужно обрабатывать или в файле/opt/zapret/ipset/zapret-hosts-user-exclude.txt - домены, которые нужно исключить из обработки. Пишется по одному доменному имени или IP-адресу на строчку. Если этих файлов нет по указанным путям, то создаем текстовые файлы и прописываем.
Пробуйте в zapret-hosts-user.txt прописать googlevideo.com. Второй файл пустой оставьте.
Видать у Вас замедление интерфейса не обходит с данными настройками нужно экспериментировать с параметрами NFQWS_OPT_DESYNC в частности можете пробывать менять стратегию --dpi-desync=fake,disorder2 на
КОМБИНИРОВАНИЕ МЕТОДОВ ДЕСИНХРОНИЗАЦИИ
В параметре dpi-desync можно указать до 3 режимов через запятую.
0 фаза предполагает работу на этапе установления соединения. Может быть synack или syndata. На 0 фазу не действует фильтр по hostlist.
Последующие режимы отрабатывают на пакетах с данными.
Режим 1-й фазы может быть fake,rst,rstack.
Режим 2-й фазы может быть disorder,disorder2,split,split2,ipfrag2. Может быть полезно, когда у провайдера стоит не один DPI.
Можете еще попробовать QUIC отключить в конфиге MODE_QUIC=0 и в скрипте запуска заменить iptables -t nat -A POSTROUTING -o $IFACE_WAN -j MASQUERADE на iptables -I FORWARD -i br0 -p udp --dport 443 -j DROP, и iptables -t nat -D POSTROUTING -o $IFACE_WAN -j MASQUERADE на iptables -D FORWARD -i br0 -p udp --dport 443 -j DROP
Провел эксперимент: интерфейс YouTube на телевизоре грузится по домену youtube.com. Если его занести в /opt/zapret/ipset/zapret-hosts-user-exclude.txt в режиме hostlist и выставить настройки NFQWS_OPT_DESYNC, при которых ломается интерфейс YouTube, то он грузится, но замедлено, тяжело, и может не все прогрузится, но видео работают.
Обновите скрип по новой инструкции.
а как обновить?
а можно как-то снести (без хвостов) и поставить заново?
----
я не настоящий сварщик в этом очень мало понимаю. Только копипастить и клацать по пунктам умею.
А какая у Вас проблема с zapret? Инструкция уже была обновлена давно. Или Вы ставили ещё до обновления? Если это так, то просто обновите тексты в файлах /opt/zapret/init.d/sysv/zapret , /opt/zapret/config и /opt/etc/init.d/S00fix на те, что сейчас в статье. В конфиге не забудьте свой WAN интерфейс указать и потом перезагрузить роутер.
устанавливал-то 21.08.2024. Тупо следуя статье, но в первом же комменте прочитал про обновление.
KN-2410. Провайдер местечковый. После выполнения всех пунктов ( возможно накосячил в /opt/zapret/init.d/sysv/zapret ) ошибок при установке не было. MODE_FILTER = none : поломались все гуглловские сайты (почта, маркет, карты, просто поиск)
MODE_FILTER = autohostlist : гугл жив, ютуб загружает РОВНО 19 секунд ЛЮБОГО ролика и останавливается. Делаешь обновить страницу - загружает влёт весь ролик.
Тогда у Вас уже актуальная версия. Можете использовать режим фильтраhostlist, в файле/opt/zapret/ipset/zapret-hosts-user.txt прописывайте свои домены, которые нужно обрабатывать, файл/opt/zapret/ipset/zapret-hosts-user-exclude.txt - пустой. Пишется по одному домину или IP на строчку. То что там изначально написано в файлах - удалите. После перезапустите zapret.
Доменные имена youtube писали здесь вроде или можете ip прописать https://rockblack.su/vpn/dopolnitelno/diapazon-ip-adresov
@Keenet, сделал всё по вашей инструкции. Скрипты запустились без ошибок, но изменений в работе интернета не вижу. Вопрос по сетевому интерфейсу, который нужно указать в конфиге и init.d/sysv/zapret. Выполняю команду ifconfig, вижу, что IP адрес связан с ppp0:
ppp0 Link encap:Point-to-Point Protocol
inet addr:XY.ZW.219.53 P-t-P:178.34.128.48 Mask:255.255.255.255
inet6 addr: XXXXX 9e69:e9b1:8b19/64 Scope:Global
inet6 addr: XXXXX 5f3f:529b/10 Scope:Link
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 Metric:1
RX packets:456231 errors:0 dropped:0 overruns:0 frame:0
TX packets:233712 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:514699227 (490.8 MiB) TX bytes:41450718 (39.5 MiB)
XY.ZW.219.53 - то, что я вижу dashboard IP address (PPPoE ), но при этом соотв. MAC/HWaddr указан в как у Вас в eth3. Что правильно ? (в любом случае ни один из вариантов не даёт результата)
Да все верно, если у Вас интернет идет через ppp0 , то его и нужно везде указывать в правилах. Проверяете только на ютубе или на других сайтах тоже?
Скиньте скрин того, что у Вас выдают команды: opt/zapret/init.d/sysv/zapret restart и /opt/etc/ndm/netfilter.d/000-zapret.sh
/opt/zapret/init.d/sysv # /opt/zapret/init.d/sysv/zapret restart
Stopping daemon 1: /opt/zapret/nfq/nfqws
stopped /opt/zapret/nfq/nfqws (pid 18904)
Stopping daemon 10: /opt/zapret/nfq/nfqws
stopped /opt/zapret/nfq/nfqws (pid 18908)
xt_multiport.ko is already loaded
xt_connbytes.ko is already loaded
xt_NFQUEUE.ko is already loaded
Starting daemon 1: /opt/zapret/nfq/nfqws --user=nobody --dpi-desync-fwmark=0x40000000 --qnum=200 --dpi-desync=fake,disorder2 --dpi-desync-split-pos=1 --dpi-desync-ttl=6 --dpi-desync-fooling=badsum --dpi-desync-repeats=6 --dpi-desync-any-protocol --dpi-desync-cutoff=d4
Starting daemon 10: /opt/zapret/nfq/nfqws --user=nobody --dpi-desync-fwmark=0x40000000 --qnum=210 --user=nobody --dpi-desync-fwmark=0x40000000 --dpi-desync=fake,disorder2 --dpi-desync-repeats=6 --dpi-desync-any-protocol --dpi-desync-cutoff=d4
В свою очередь 000-zapret.sh не выводит ничего
/opt/zapret/init.d/sysv # /opt/etc/ndm/netfilter.d/000-zapret.sh
/opt/zapret/init.d/sysv #
/opt/zapret/init.d/sysv #
Роутер Viva
С git тоже были проблемы. Но в нашем (владельцы viva) случае, похоже проблема с его конфигурацией, т.к. даже git init не работает
Проверял только youtube - остальные сайты работают. Так же проверяю через:
g:\Downloads\curl-8.9.1_1-win64-mingw\bin>curl --connect-to ::speedtest.selectel.ru https://manifest.googlevideo.com/100MB -k --output sample11
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
0 0 0 0 0 0 0 0 --:--:-- 0:00:19 --:--:-- 0
curl: (35) Recv failure: Connection was resetНа всякий случай уточню. У меня дома mesh: viva подключен к интернету, а giga и air - ретрансляторы. Полагаю, это ни на что не влияет ?
Нет, ни на что такая конфигурация не повлияет.
По git выше написал - версию 2.45.2-1 сломали. Нужно устанавливать эту версию - git_2.39.2-1_mipsel-3.4.ipk .
Дополню выше. Перезагрузил роутер. Все скрипты запустились автоматически. Youtube заработал (на desktop/windows и телевизоре LG WebOS, но Android - не грузит (для меня пока не большая проблема, т.к. в телефоне это можно решить через vpn) ). Включение/выключение ipv6 на провайдере вроде ни на что не влияет (сейчас включен). Если вызывать /opt/zapret/init.d/sysv/zapret stop, то curl опять ничего не загружает.
Из странного. Сейчас без vpn открываются блокируемые сайты (даже после вызова zapret stop). Никак не связано или же это возможно "побочный эффект" работы скриптов ?
Внимание!
Изменения в статье:
1) Изменил скрипт /opt/zapret/init.d/sysv/zapret теперь используются стандартные правила (из своих оставил только маскарад на исходящий интерфейс WAN для протокола QUIC). Правила будут автоматически меняться в зависимости от режима фильтрации (none, ipset hostlist, autohostlist) и IPv6 тоже.
2) Также добавил информацию по режимам фильтров и их использованию.
Для тех, кто устанавливал по старой инструкции можете оставить, как есть, или обновить скрипт /opt/zapret/init.d/sysv/zapret до предлагаемого варианта. И выбрать режим фильтрации в /opt/zapret/config параметр MODE_FILTER (я использую none).
У кого на третьем этапе выдает ошибку - fatal: could not create leading directories of 'zapret/.git' - это сломали утилиту git, версия 2.45.2-1 не работает. Нужно устанавливать эту версию - git_2.39.2-1_mipsel-3.4.ipk или вручную закидывать zapret на диск.
Чтобы поставить — закинуть git_2.39.2-1_mipsel-3.4.ipk папку tmp на диск роутера и выполнить команды:
cd /opt/tmp
opkg remove git-http git
opkg install git_2.39.2-1_mipsel-3.4.ipk git-http
PS: всем участвующим спасибо за комментарии и отзывы!
Обновил по новой инструкции, стало лучше, 4pda стал открываться, все забл и замедл сайты тоже, перестала открываться разве что почта протон ("Попытка соединения не удалась").
MODE_FILTER (я использую none).
У вас в скрипте MODE_FILTER=ipset. Я попробовал оба, с none открывается большинство нужных ресурсов, оставил none.
Помимо Протона, осталась единственная для меня проблема: c ipset https://9gag.com/ работает, с none не открывается, в Firefox на ПК (Win11): SSL_ERROR_RX_MALFORMED_SERVER_HELLO
Протон не открывается в обоих значениях.
Попробую поиграть с другими режимами MODE_FILTER
Конфигурацонный файл я тоже обновил сейчас, попробуйте его, это то, что я сейчас использую.
Да, можно попробовать добавить доменные имена Протона в список исключения из обработки в режиме hostlist.
У меня открывается https://9gag.com в Firefox на ПК (Win11) в режиме (none). Протон тоже работает на телефоне и ПК, поставил.
hostlist пробовал, протон заработал, 9gag ни в какую.
Скопировал ваш конфигурационный файл - как ни странно с none все заработало, возможно помимо MODE_FILTER в нем какие-то еще изменения были. Правда Протон - веб морда не открывается (ERR_CONNECTION_REFUSED), приложение на телефоне работает, но это меня в целом устраивает.
/opt/tmp$ opkg remove git-http git
No packages removed.
root@Keenetic_Viva:/opt/tmp$ opkg install git_2.39.2-1_mipsel-3.4.ipk git-http
Collected errors:
wfopen: git_2.39.2-1_mipsel-3.4.ipk: No such file or directory.
pkg_init_from_file: Failed to extract control file from git_2.39.2-1_mipsel-3.4.ipk.
и что дальше?
UPD: del Неактуально, тк автор обновил инструкцию одновременно с этим комментарием
Здравствуйте. Утилиту git новой версии сломали, нужно ставить старую версию.
Про iOS ничего не могу сказать - у меня Android.
SSL_ERROR_NO_CYPHER_OVERLAP - эту ошибку на телефоне или компьютере выдает? 4pda у меня открывается и на телефоне и на компьютере.
Я только обновил статью и написал про изменения в закрепленном комментарии, посмотрите тоже.
У меня сейчас вопрос. В конфиге значение IFACE_WAN откуда берётся ? И если раньше в правилах в вызове iptables интерфейс указывался явно, то теперь всё подставляется автоматически ?
Спасибо за инструкцию, все заработало. Один момент хотел прояснить, у меня на роутере висит два WAN интерфейса. Когда запускал первичный скрипт настройки install-easy.sh там указал только один интерфейс, он вроде как не предусматривает возможность выбрать два интерфейса. Но далее на шаге редактирования конфига в параметре "IFACE_WAN=eth3" прописал оба интерфейса. В итоге на первом указанном в скрипте интерфейсе все летает, на втором не пашет. Необходимо где-то еще внести правки?
Покажите, как прописали IFACE_WAN.
IFACE_WAN="eth3 eth2.4"
Смотрю, кажется все же проблема немного в другом, что билайн не дает работать с другими DNS, пробую настроить DoT/DoH параллельно
Да, прописано верно, должно работать.
Не, ну а каждый по отдельности работает?
Потестил, нет. Первый работает, второй ни в какую) Когда второй один ставлю, ошибки bad argument нету, но и не работает ничего так же.
Это мое правило - маскарад для QUIC выдает ошибку, оно предназначено для одного интерфейса, завтра перепишу для случая нескольких.
Не грузятся заблокированые и ютюб? Или вообще ничего не грузится со втрого интерфейса?
вообще ничего не грузится
Исправил код скрипта /opt/zapret/init.d/sysv/zapret для работы с несколькими внешними интерфейсами, сейчас ошибку выдавать не будет. Но почему у Вас второй интерфейс вообще не работает, непонятно...
Попробую сегодня отдельно потестировать работу по второму соединению. Другой провайдер, по другому DPI вероятно работает. На гите есть описания тестов обхода блокировок, подбора вариантов. Если будет возможность - позанимаюсь сегодня тестами. Все равно получается настройки надо какие-то универсальные подбирать для обоих провайдеров, потому что конфиг один на все как я понял)
Второй интерфейс в перечислении при обработке в перезагрузке он пишет ошибку Bad argument
Спасибо за инструкцию. Настраивал вчера, по первой версии инструкции, как и многие помучался с GIT, но все-таки сделал. Не помогло - в YT никаких изменеий не получил. Сегодня утром на свежую голову решил перепроверить - оказалось не тот интерфейс выбрал. У меня Hopper на последней прошивке 4.1.7 - тут WAN это eth2.2 (у меня изначально был выбран eth2). На ПК вообще все хорошо работает, а вот на android как-то странно: если выбрано высокое качество - видео не стартует. Приходится выбирать 360p и после начала воспроизведения переключать на более высокое. Но некоторые видео и с 1080 стартуют....
Спасибо, youtube заработал. но перестало работать ip tv. провайдер ip tv ilook (lider tv). какие настройки попробовать можете посоветовать?
Используйте hostlist режим в конфиге. В /opt/zapret/ipset/zapret-hosts-user-exclude.txt пропишите доменное имя или IP сервера, который поставщика IPTV. Файл /opt/zapret/ipset/zapret-hosts-user.txt - пустой. Потом перезагрузите zapret.
Или можете от обратного - в/opt/zapret/ipset/zapret-hosts-user.txt прописать доменное имена сайтов, которые хотите, чтобы работали через утилиту, а /opt/zapret/ipset/zapret-hosts-user-exclude.txt - пустой.
Также согласно комментарию автора данной утилиты для успешной работы с протоком QUIC через NFQWS на роутера Keenetic необходимо добавить маскарад на исходящий интерфейс WAN:
iptables -t nat -A POSTROUTING -o $IFACE_WAN -j MASQUERADE
Хмм... Правил никаких не добавлял, но все работает штатно. KN-1811.
/opt/zapret # iptables-save -t nat
:POSTROUTING ACCEPT [126:14536]
...
:_NDM_MASQ - [0:0]
:_NDM_MASQ_BYPASS - [0:0]
-A POSTROUTING -j _NDM_MASQ
...
-A _NDM_MASQ -j _NDM_MASQ_BYPASS
-A _NDM_MASQ -s 192.168.1.0/24 ! -o br0 -m ndmmark --ndmmark 0x4/0x0 -j MASQUERADE
-A _NDM_MASQ -s 10.0.0.0/24 ! -o nwg0 -m ndmmark --ndmmark 0x4/0x0 -j MASQUERADE
-A _NDM_MASQ_BYPASS -s 224.0.0.0/4 -j ACCEPT
-A _NDM_MASQ_BYPASS -d 224.0.0.0/4 -j ACCEPT
!!! MODE_FILTER в zapret none !!!
tcpdump -ni eth3 udp port 443 and host 188.114.99.233 на роутере.
Делаем простук с компа на тест quic cloudflare, сайт пишет что http3 включен и проблемы нету. Все исходящие ip - нормальные (те не 192.168.1.0/24).
Проверьте у себя. Если все работает, то это правило можно выкинуть я думаю.
Добрый день! Уже который час ломаю голову. Вроде все по инструкции сделал, но ничего не работает( Уже все возможные комбинации различных настроект попробовал, никак не могу понять в чём дело((
Какой роутер и прошивка?
Скиньте то, что у Вас выдают команды: opt/zapret/init.d/sysv/zapret restart и /opt/etc/ndm/netfilter.d/000-zapret.sh
И Вы уверены, что WAN интерфейс правильно выбрали?
Роутер Keenetic Extra (KN-1710), прошивка 3.8.7. WAN интерфейс я выбирал вроде правильный, я читал что на китетиках он eth2.2, хотя я другие также проверил. У меня в веб-интерфейсе рядом с надписью "Параметры IP и DNS" написан IP-адрес, вот интерфейс с таким айпишником я как раз и выбирал.
Restart выдаёт следующее:Stopping daemon 1: /opt/zapret/nfq/nfqws stopped /opt/zapret/nfq/nfqws (pid 9494)А вот вторая команда с 000-zapret.sh ничего не выдает.
Stopping daemon 10: /opt/zapret/nfq/nfqws
stopped /opt/zapret/nfq/nfqws (pid 9498)
Clearing iptables
Deleting iptables rule for nfqws postrouting (qnum 200) : -p tcp -m multiport --dports 80,443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000
Deleting iptables rule for nfqws input+forward (qnum 200) : -p tcp -m multiport --sports 80,443 -m connbytes --connbytes-dir=reply --connbytes-mode=packets --connbytes 1:1
Deleting ip6tables rule for nfqws postrouting (qnum 200) : -p tcp -m multiport --dports 80,443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000
Deleting ip6tables rule for nfqws input+forward (qnum 200) : -p tcp -m multiport --sports 80,443 -m connbytes --connbytes-dir=reply --connbytes-mode=packets --connbytes 1:1
Deleting iptables rule for nfqws postrouting (qnum 210) : -p udp -m multiport --dports 443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000
Deleting ip6tables rule for nfqws postrouting (qnum 210) : -p udp -m multiport --dports 443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000
xt_multiport.ko is already loaded
xt_connbytes.ko is already loaded
xt_NFQUEUE.ko is already loaded
Starting daemon 1: /opt/zapret/nfq/nfqws --user=nobody --dpi-desync-fwmark=0x40000000 --qnum=200 --dpi-desync=fake,disorder2 --dpi-desync-split-pos=1 --dpi-desync-ttl=0 --dpi-desync-fooling=md5sig,badsum --dpi-desync-repeats=6 --dpi-desync-any-protocol --dpi-desync-cutoff=d4
Starting daemon 10: /opt/zapret/nfq/nfqws --user=nobody --dpi-desync-fwmark=0x40000000 --qnum=210 --user=nobody --dpi-desync-fwmark=0x40000000 --dpi-desync=fake,disorder2 --dpi-desync-repeats=6 --dpi-desync-ttl=0 --dpi-desync-any-protocol --dpi-desync-cutoff=d4 --dpi-desync-fooling=md5sig,badsum
Applying iptables
Creating ip list table (firewall type iptables)
setting high oom kill priority
reloading ipset backend (no-update)
Adding iptables rule for nfqws postrouting (qnum 200) : -p tcp -m multiport --dports 80,443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000
Adding iptables rule for nfqws input+forward (qnum 200) : -p tcp -m multiport --sports 80,443 -m connbytes --connbytes-dir=reply --connbytes-mode=packets --connbytes 1:1
Adding ip6tables rule for nfqws postrouting (qnum 200) : -p tcp -m multiport --dports 80,443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000
Adding ip6tables rule for nfqws input+forward (qnum 200) : -p tcp -m multiport --sports 80,443 -m connbytes --connbytes-dir=reply --connbytes-mode=packets --connbytes 1:1
Adding iptables rule for nfqws postrouting (qnum 210) : -p udp -m multiport --dports 443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000
Adding ip6tables rule for nfqws postrouting (qnum 210) : -p udp -m multiport --dports 443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000
Да, все выглядит, как и должно. По интерфейсу тогда тоже ок.
Роутер то перезагружали полностью? А то, когда меняли внешние интерфейсы, могли наворотить кашу правил в таблице.
И как проверяете работу по YouTube или сайтам недоступным, или вообще ничего не работает? Запустите скрипт /opt/zapret/blockcheck.sh, что он выдаст.
Перезагрузил роутер, теперь у меня не принимает в PuTTY пароль keenetic от root. Поэтому сначала захожу под admin, а потом через exec sh.
Никакие недоступные сайты не работают( blockcheck выдаёт следующее:
* checking system
Linux detected
firewall type is iptables
checking privilegeschecking prerequisiteschecking DNS system DNS is working comparing system resolver to public DNS : 8.8.8.8
pornhub.com : OK
putinhuylo.com : OK
rutracker.org : OK
www.torproject.org : OK
bbc.com : OK
checking resolved IP uniqueness for : pornhub.com putinhuylo.com rutracker.org www.torproject.org bbc.com
censor's DNS can return equal result for multiple blocked domains.
all resolved IPs are unique
-- DNS looks good
-- NOTE this check is Russia targeted. In your country other domains may be blocked.checking virtualization cannot detect
NOTE ! this test should be run with zapret or any other bypass software disabled, without VPN
specify domain(s) to test. multiple domains are space separated.
Далее я попробовал ввести tvrain.tv (в качестве тесте), протелел всё через энтеры и выбрал сособ сканирования quick. Получил куча сообщений "Invalid Argument"
Теперь остановите zapret и запустите этот скрипт заново.
Всё, я разобрался! Я ещё раз решил поменять WAN, оказывается я не тот ставил! У меня был ppp0, почему-то когда я его первый раз выбрал, у меня не работало. А теперь всё везде работает!
Только есть ещё один вопрос, подскажите пожалуйста, лучше использовать фильтрацию списком хостов из файла, чтобы не замедлялась работа остальных сервисов, которые не были подвергнуты блокировке? Или это на скорость работы не заблокированных ресурсов и сервисов не влияет?
Спасибо большое за помощь!
Скорее всего у Вас там каша в правилах iptables , когда меняли интерфейсы. Перед тем, как менять параметры, которые участвуют в правилах iptables необходимо останавливать zapret, чтобы удалились старые правила.
Я не вижу особого смысла использовать фильтрации, если все что нужно работает, и нет проблем. Модифицируется не весь трафик, а только первый http запрос, последующие запросы в пределах сессии вообще не направляются iptables в NFQWS . А фильтр - это тоже процессорное время, и еще не известно будет ли выигрыш от фильтра по сравнению с модификацией пакета. Так что просто попользуйтесь, если все устраивает, то и не трогайте.
По вопросу недоступности некоторых сайтов, это скорее всего блокировка в DNS-серверах провайдера. Вы настроили по инструкции на публичные DNS-сервера? Или оператор блокирует сторонние сервера?
Ещё раз здравствуйте! Сегодня столкнулся с такой проблемой – куда-то пропадает после нескольких часов работы содержимое папок репозитория zapret, а именно init.d, docs, common, files, и следовательно, обход блокировки стопится. Вообще не понимаю что это может быть, может быть Вы знаете, что можно с этим поделать?
И ещё одини момент, что делать, если имеются проблемы с доступом к отдельным хостам?
На пример, у меня всё что пробовал работает, кроме инстаграмма на десктопах, на телефонах работает без проблем
Спасибо за подробную инструкцию.
Вопрос по (9) пункту. После изменений в файле идет список iptable рулов. Их нужно вызывать или это FYI. По тексту не понял.
git clone --depth=1 https://github.com/bol-van/zapret.git
fatal: could not create leading directories of 'zapret/.git'
root@Giga_tsmb:~/111$ pwd
/opt/root/111
Это где я недокрутил?)
Всё заработало, но такой вопрос появился: работает минут 5 после чего перестаёт пока не сделать restart. В ps / top / htop процесс nfqws виден и висит, даже когда перестает работать. Есть идеи в какую сторону копать?
Проверьте скрипт /opt/etc/ndm/netfilter.d/000-zapret.sh , скорее всего там ошибки.
Все перепроверил, ошибок нет. Включил на всякий случай режим none, чтобы весь подряд трафик обрабатывался, дабы исключить влияние списка. Та же картина: работает около минуты, после чего перестаёт. Процесс при этом не вылетает. Характерный момент - в режиме None обыкновенно доступные сайты так и продолжают работать.
Если сделать только stop-fw + start-fw, то снова начинает раборать, т.е. дело не в iptables. Также выключил Quic, чтобы только один инстанс запускался, тоже не дало результата.
Права на исполнения то ему дали? Выполните этот скрип в командной строке /opt/etc/ndm/netfilter.d/000-zapret.sh не должно никаких ошибок выдавать .
Когда перестанет работать выполните эту команду /opt/zapret/init.d/sysv/zapret restart-fw и посмотрите заработает ли.
У Вас брандмауер забывает правила, точнее роутер их затирает периодически, для этого и нужен это скрипт/opt/etc/ndm/netfilter.d/000-zapret.sh, он автоматически восстанавливает правила.
Все проверил, ошибок не было, но заметил, что если не трогать ничего некторое время оно начинает работать вновь. Буду наблюдать что к чему, спасибо!
Предварительные результаты такие: на другом роутере развернул систему (провайдер тот же что у меня) там проблем не было. На своем переустановил все с нуля, начиная от установки поддержки OPKG, вроде работает некоторое время, после чего перестаёт. Пока насколько понял момент падения соответствует появлению в системном логе, доступном из админке сообщения
dhcpd
Server starting service.
А такие сообщения есть вообще?
Да, такая серия логов периодически возникает, но не после такого сообщения:
После него все перестаёт работать, и маршруты не перезагружаются. Зато они перезагружаются после такого фрагмента:
В принципе это объясняет моменты, когда всё начинает работать ни с того ни с сего - обновляется DHCP lease.
Думаю что нужно покопать в init.d где инициализируется DHCP и добавить туда вызов перезагрузки. Только не уверен, что это происходит в /opt. Похоже нужно будет доставлять ssh server.
Да, какая-то у Вас специфичная проблема... Вопрос почему вообще dhcp-сервер перезагружается постоянно. У меня сообщений "dhcpd Server starting service" не видно вообще в логе. А как часто они появляются? Да и какой же роутер такой проблемный?
Посмотрите в сторону Keenetic SDK, может поможет что-нибудь прояснить по этому сервису, но dhcp приватный вроде, а не открытый....
Спасибо. Сложно сказать, думаю для начала переустановлю все с нуля, включая полный сброс роутера. Возможно какое-то наследние из предыдущих экспериментов. А так это Ultra KN-1810, так что проблем быть не должно.
Аналогично на свежем KN3811. Роутер только купил, первое что накатывал в entware - zapret. Только и рестарт не помогает. Хз как работает. Работало, а утром уже не работает))
В конце статьи приведен итоговый конфиг, который правильно настроен и который все и копируют к себе, потому что зачем искать, куда что вставить/поменять, если все уже готово. И тут для многих кмк и возникает проблема, почему дальше ничего не работает - в конфиге внешний интерфейс указан ваш "eth3" ))) Я это нашел только когда начал пытаться по методу Анонима сделать установку и искать по его инструкциям в правилах iptables, а что там в итоге вышло. А вышло eth3, а не ppp0, который у меня ))) Надо бы там жырным и красным до/после примера конфига указать, чтобы люди меняли имя интерфейса
Да, у меня ваши настройки не заработали для телика LG и для андроида (для компа пошло), а вот на настройках Анонима все норм. Искать пока не стал, в чем там разница
Так люди настраивают интерфейс по инструкции на 7 шаге, и на этапе конфига его не нужно, тогда менять. Но я понял, в чем проблема, все копируют мой готовый конфиг, а не меняют в своем конфиге, который генерирует скрипт install_easy.sh, поля, что я писал. Я допишу в инструкцию, что так делать не нужно.
Пара предложений по тексту. Ещё раз большое спасибо!
Прошу поменять абзацы местами
Для установки утилиты zapret, необходимо сначала сначала подготовить внешний USB-накопитель и установить на него систему пакетов репозитория Entware согласно инструкции - Установка-системы-пакетов-репозитория-Entware-на-USB-накопитель.
Также предварительно в веб-интерфейсе роутера нужно обязательно установить в прошивке компоненты: "Протокол IPv6" и "Модули ядра подсистемы Netfilter" (появляется только после выбора компонента "Протокол IPv6")
В конфиге есть отличия от дефолта. О которых не написано в тексте.
IFACE_LAN=br0 # видимо тоже из if config нужно брать. Если есть локальная сеть. По умолчанию отключен
GETLIST=get_user.sh # Я убрал. Похоже это не нужно для режима 'none'? По умолчанию пустой
Сделал по инструкции сначала - не заработало. Потом поправил конфиг, сравнив с итоговым конфигом автора. Добавил IFACE_LAN и GETLIST, как приведено выше, а также MODE_FILTER=none.
Что именно из этого помогло - не знаю, но всё заработало.
Подредактировал статью. А по конфигу, как я писал выше, не нужно тупо копировать мой, нужно в своем конфиге, который генерирует скрипт install_easy.sh, менять поля, что я писал. Но спасибо, инструкцию немного доработал!
Добрый день. Раз уж получилось дома справиться с блокировкой, решил поднять на роутере VPN-сервер IKEv2/IPsec. На мобиле настроил встроенный VPN-клиент. Подключение устанавливается, интернет работает, а вот YT очень долго крутит кольцо загрузки, около минуты. Потом все-таки начинает воспроизведение ... Можно с этим что-то сделать?
Хочу выразить огромную благодарность автору статьи за проделанную работу, за хорошо и подробно составленную инструкцию, а так же за то, что помогает решать вопросы в комментариях. По данной статье настроил успешно два роутера Giga и Viva.
Скорость работы стала в разы лучше, чем было до каких либо запретов и замедлений.
Первую настойку производил спустя 9 часов после публикации статьи, словил ошибку модулей, автор быстро внес дополнение в описание по необходимым пакетам.
Второй настроил 12.08.2024 - уже был доработанный конфиг, с ходу не взлетел, т.к. я делал половину по памяти и подсмотрел изменения только когда не заработало.
В общем респект и уважуха автору! Так держать!
Доброго, спасибо. Всё заработало на KN-2910. AndroidTV x86 pie, Android 10, Tizen, Windows.
У кого-нибудь заработало на домашнем интернете МТС (Поволжье)?
Спасибо большое Ютуб заработал, а как сделать чтоб и другие заблокированные сайты открывались? например nnmclub.to или rutracker.org и инстаграм?
По вопросу недоступности некоторых сайтов, это скорее всего блокировка в DNS-серверах провайдера. Вы настроили по инструкции на публичные DNS-сервера? Или оператор блокирует сторонние сервера?
Запустите скрипт /opt/zapret/blockcheck.sh . Он в начале проверяет DNS-сервера на заблокированных доменах.
~ # /opt/zapret/blockcheck.sh
checking system Linux detected firewall type is iptables
checking privileges
checking prerequisites
checking DNS system DNS is working comparing system resolver to public DNS : 8.8.8.8 pornhub.com : OK putinhuylo.com : OK rutracker.org : OK www.torproject.org : OK bbc.com : OK checking resolved IP uniqueness for : pornhub.com putinhuylo.com rutracker.org www.torproject.org bbc.com censor's DNS can return equal result for multiple blocked domains. system dns resolver has returned equal IPs for some domains checked above (5 total, 2 unique) non-unique IPs : 188.186.154.79 -- POSSIBLE DNS HIJACK DETECTED. ZAPRET WILL NOT HELP YOU IN CASE DNS IS SPOOFED !!! -- DNSCRYPT MAY BE REQUIRED
checking virtualization cannot detect
NOTE ! this test should be run with zapret or any other bypass software disabled, without VPN
specify domain(s) to test. multiple domains are space separated.
domain(s) (default: rutracker.org) :
Похоже Ваш провайдер перехватывает DNS запросы, настраивайте шифрованные DNS - Прокси-серверы DNS-over-TLS и DNS-over-HTTPS для шифрования DNS-запросов
Можете использовать TLS DNS-сервер - 8.8.4.4.
Спасибо огромное за инструкцию! Изначально был pwrt, но где-то с 8 августа стал не стабильно работать на всех платформах. Сегодня сделал всё по Вашей инструкции и теперь на ПК, Android, Android TV, Google TV всё летает! Единственное, с первого раза не запустился, почитал комменты, не хватало компонентов, доустановил и всё ОК!
Спасибо. Тестирую. Пока все работает с вышеуказанными настройками на Keneetic Hopper, но в логах роутера периодически начала сыпаться такая бяка от https-dns-proxy:
9B2C: "https://dns.cloudflare.com/dns-query": curl error message: OpenSSL SSL_read: OpenSSL/3.1.5: error:0A00042E:lib(20)::reason(1070), errno 0
Может что подправить можно.
Используйте hostlist режим в конфиге. В /opt/zapret/ipset/zapret-hosts-user-exclude.txt пропишите доменное имя dns.cloudflare.com. Файл /opt/zapret/ipset/zapret-hosts-user.txt - пустой. Потом перезагрузите zapret.
Спасибо! Сработало. Я изначально использовал hostlist режим. Теперь просто добавил Cloudflare в исключений.
По скрипту. На данный момент работает. Основная цель была добиться нормальной работы YouTube на домашних моб. устройствах.
Из наблюдений заметил, что сайты не из hostlist стали открываться медленнее, а внесенные наоборот быстрее.
Серьезно, автор, вы реально не понимаете к чему приведут подобные публикации на столь раскрученном ресурсе?
Ну перекроют и этот способ обхода, спасибо вам огромное.
Добрый день!
Спасибо за инструкцию!
У меня загвоздка с запуском скрипта на Keenetic Ultra KN1811
/tmp/mnt/78bdfdef-5e42-3746-97d8-2d23b798a410/git/zapret # sh install_bin.sh
x86_64 is NOT OK
x86 is NOT OK
aarch64 is NOT OK
arm is NOT OK
mips64r2-msb is NOT OK
mips32r1-lsb is NOT OK
mips32r1-msb is NOT OK
ppc is NOT OK
no compatible binaries found
Права на всю папку zapret раздал 755
А почему запускаете скрипт install_bin.sh?
./install_bin.sh getarch - выполните команду, посмотрим какую архитектуру покажет.
Насколько я знаю, в Keenetic Ultra KN1811 вроде mips64r2-msb.
Точнее aarch64 архитектура в Keenetic Ultra KN-1811.
Выполните команду chmod +x /tmp/mnt/78bdfdef-5e42-3746-97d8-2d23b798a410/git/zapret/binaries/aarch64/ip2net и повторите запуск скрипта.
Благодарю вас! Теперь всё работает на всех устройствах: на компьютере, телефоне и обоих телевизорах Samsung (раньше работало только на более простеньком ТV, а на более современном только если передавать изображение с телефона(кстати годный лайфхак если у кого ТV так и не показывает YouTube)). Будем следить за стабильностью работы и надеяться, что этот вариант прослужит долго.
Увы. Не сработало, хотя пяток разных вариантов перепробовал для NFQWS. Придётся менять VPS на более дорогую с безлимитным траффиком и запускать всё туда.
echo 0 > /proc/sys/net/netfilter/nf_conntrack_checksum
sysctl -w не работает?
Установка данного пакета совместима с работой kvas?
доброго времени, сделал все по инструкции но результата не получил, почитал коментарии, ппробовал разные варианты и всеравно ничего. что я мог сделать не правильно?!
Какой роутер и прошивка?
Скиньте то, что у Вас выдают команды: opt/zapret/init.d/sysv/zapret restart и /opt/etc/ndm/netfilter.d/000-zapret.sh
Вы уверены, что WAN интерфейс правильно выбрали? А то у кого не работало в основном в нем ошибались.
Extra (KN-1713) EAEU
OC 4.1.7
Вы, были правы я неправильно выбрал WAN интерфейс.
в очередной раз переделал, проверяя каждое свое действие по 2 раза, запустилось на копьютере и телефоне. на телевизоре не грузит, телевизор старый, но послезавтра приедет новый телек с WebOS попробую на нем. Вообще заморочился только из-за телевизора, будем обождать))
спасибо за Ваш труд)
Подскажите, в логах перезагрузка скрипта каждые 5 минут. Это нормально? Идет обращение к флешке каждые 5 минут? Не сильно ли это расходует ресурс флешки? А если установлено в ubifs раздел, не приведет ли это к скорому выходу роутера из строя?
Ох.... жесть.... как всё заморочено с настройкой роутера Keenetic
Прошу помочь, куда копать? Как диагностировать?
Столкнулся с проблемой. Несмотря на конфигурацию типа hostlist. И добавление адресoв в exclude. Получаю ошибки:
от trakt.tv: Get "https://api.trakt.tv/sync/last_activities": remote error: tls: protocol version not supported
от notion.so: ERR_CONNECTION_RESET в браузере.
Отключение zapret решает проблему.
Почему zapret влияет на что-то кроме youtube при моей конфигурации:
config
# this file is included from init scripts
# change values here
# can help in case /tmp has not enough space
#TMPDIR=/opt/zapret/tmp
# redefine user for zapret daemons. required on Keenetic
WS_USER=nobody
# override firewall type : iptables,nftables,ipfw
FWTYPE=iptables
# options for ipsets
# maximum number of elements in sets. also used for nft sets
SET_MAXELEM=522288
# too low hashsize can cause memory allocation errors on low RAM systems , even if RAM is enough
# too large hashsize will waste lots of RAM
IPSET_OPT="hashsize 262144 maxelem $SET_MAXELEM"
# dynamically generate additional ip. $1 = ipset/nfset/table name
#IPSET_HOOK="/etc/zapret.ipset.hook"
# options for ip2net. "-4" or "-6" auto added by ipset create script
IP2NET_OPT4="--prefix-length=22-30 --v4-threshold=3/4"
IP2NET_OPT6="--prefix-length=56-64 --v6-threshold=5"
# options for auto hostlist
AUTOHOSTLIST_RETRANS_THRESHOLD=3
AUTOHOSTLIST_FAIL_THRESHOLD=3
AUTOHOSTLIST_FAIL_TIME=60
# 1 = debug autohostlist positives to ipset/zapret-hosts-auto-debug.log
AUTOHOSTLIST_DEBUGLOG=0
# number of parallel threads for domain list resolves
MDIG_THREADS=30
# ipset/*.sh can compress large lists
GZIP_LISTS=1
# command to reload ip/host lists after update
# comment or leave empty for auto backend selection : ipset or ipfw if present
# on BSD systems with PF no auto reloading happens. you must provide your own command
# set to "-" to disable reload
#LISTS_RELOAD="pfctl -f /etc/pf.conf"
# override ports
#HTTP_PORTS=80-81,85
#HTTPS_PORTS=443,500-501
#QUIC_PORTS=443,444
# CHOOSE OPERATION MODE
# MODE : nfqws,tpws,tpws-socks,filter,custom
# nfqws : nfqws for dpi desync
# tpws : tpws transparent mode
# tpws-socks : tpws socks mode
# filter : no daemon, just create ipset or download hostlist
# custom : custom mode. should modify custom init script and add your own code
MODE=nfqws
# apply fooling to http
MODE_HTTP=1
# for nfqws only. support http keep alives. enable only if DPI checks for http request in any outgoing packet
MODE_HTTP_KEEPALIVE=0
# apply fooling to https
MODE_HTTPS=1
# apply fooling to quic
MODE_QUIC=1
# none,ipset,hostlist,autohostlist
MODE_FILTER=hostlist
# CHOOSE NFQWS DAEMON OPTIONS for DPI desync mode. run "nfq/nfqws --help" for option list
DESYNC_MARK=0x40000000
DESYNC_MARK_POSTNAT=0x20000000
NFQWS_OPT_DESYNC="--dpi-desync=fake,disorder2 --dpi-desync-split-pos=1 --dpi-desync-ttl=6 --dpi-desync-fooling=badsum --dpi-desync-repeats=6 --dpi-desync-any-protocol --dpi-desync-cutoff=d4"
#bk# "--dpi-desync=fake --dpi-desync-ttl=0 --dpi-desync-ttl6=0 --dpi-desync-fooling=badsum"
#NFQWS_OPT_DESYNC_HTTP="--dpi-desync=split --dpi-desync-ttl=0 --dpi-desync-fooling=badsum"
#NFQWS_OPT_DESYNC_HTTPS="--wssize=1:6 --dpi-desync=split --dpi-desync-ttl=0 --dpi-desync-fooling=badsum"
#NFQWS_OPT_DESYNC_HTTP6="--dpi-desync=split --dpi-desync-ttl=5 --dpi-desync-fooling=none"
#NFQWS_OPT_DESYNC_HTTPS6="--wssize=1:6 --dpi-desync=split --dpi-desync-ttl=5 --dpi-desync-fooling=none"
NFQWS_OPT_DESYNC_QUIC="--dpi-desync=fake,disorder2 --dpi-desync-repeats=6 --dpi-desync-any-protocol --dpi-desync-cutoff=d4"
#bk# "--dpi-desync=fake --dpi-desync-repeats=6"
#NFQWS_OPT_DESYNC_QUIC6="--dpi-desync=hopbyhop"
# CHOOSE TPWS DAEMON OPTIONS. run "tpws/tpws --help" for option list
TPWS_OPT="--hostspell=HOST --split-http-req=method --split-pos=3 --oob"
# openwrt only : donttouch,none,software,hardware
FLOWOFFLOAD=donttouch
# openwrt: specify networks to be treated as LAN. default is "lan"
#OPENWRT_LAN="lan lan2 lan3"
# openwrt: specify networks to be treated as WAN. default wans are interfaces with default route
#OPENWRT_WAN4="wan vpn"
#OPENWRT_WAN6="wan6 vpn6"
# for routers based on desktop linux and macos. has no effect in openwrt.
# CHOOSE LAN and optinally WAN/WAN6 NETWORK INTERFACES
# or leave them commented if its not router
# it's possible to specify multiple interfaces like this : IFACE_LAN="eth0 eth1 eth2"
# if IFACE_WAN6 is not defined it take the value of IFACE_WAN
IFACE_LAN=br0
IFACE_WAN=eth3
#IFACE_WAN6="ipsec0 wireguard0 he_net"
# should start/stop command of init scripts apply firewall rules ?
# not applicable to openwrt with firewall3+iptables
INIT_APPLY_FW=1
# firewall apply hooks
#INIT_FW_PRE_UP_HOOK="/etc/firewall.zapret.hook.pre_up"
#INIT_FW_POST_UP_HOOK="/etc/firewall.zapret.hook.post_up"
#INIT_FW_PRE_DOWN_HOOK="/etc/firewall.zapret.hook.pre_down"
#INIT_FW_POST_DOWN_HOOK="/etc/firewall.zapret.hook.post_down"
# do not work with ipv4
#DISABLE_IPV4=1
# do not work with ipv6
DISABLE_IPV6=0
# select which init script will be used to get ip or host list
# possible values : get_user.sh get_antizapret.sh get_combined.sh get_reestr.sh get_hostlist.sh
# comment if not required
#GETLIST=zapret-hosts-user.txt
googlevideo.com
ggpht.com
ytimg.com
l.google.com
youtube.com
play.google.com
youtubei.googleapis.com
youtu.be
nhacmp3youtube.com
googleusercontent.com
zapret-hosts-user-exclude.txt
trakt.tv
notion.so
api.trakt.tv
А для чего Вы оба листа используете? include список и подозревает обрабатывать только то, что в нем. А exclude список наоборот - обрабатывать все, кроме. Что рассчитываете получить при совмещении? Выберите один список и оставьте, а второй файл - пустым. И перезапускайте, проверяйте.
Я экспериментировал. Поэтому заполнил оба.
Оставил exclude пустым. Не помогло.
trakt.tv и notion.so не грузятся. Хотя их нету в списке hosts-user
Скиньте то, что у Вас выдает команда: opt/zapret/init.d/sysv/zapret restart
~ # /opt/zapret/init.d/sysv/zapret restart
Stopping daemon 1: /opt/zapret/nfq/nfqws
stopped /opt/zapret/nfq/nfqws (pid 16998)
Stopping daemon 10: /opt/zapret/nfq/nfqws
stopped /opt/zapret/nfq/nfqws (pid 17002)
Clearing iptables
Deleting iptables rule for nfqws postrouting (qnum 200) : -p tcp -m multiport --dports 80,443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000
Deleting iptables rule for nfqws input+forward (qnum 200) : -p tcp -m multiport --sports 80,443 -m connbytes --connbytes-dir=reply --connbytes-mode=packets --connbytes 1:1
Deleting ip6tables rule for nfqws postrouting (qnum 200) : -p tcp -m multiport --dports 80,443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000
Deleting ip6tables rule for nfqws input+forward (qnum 200) : -p tcp -m multiport --sports 80,443 -m connbytes --connbytes-dir=reply --connbytes-mode=packets --connbytes 1:1
Deleting iptables rule for nfqws postrouting (qnum 210) : -p udp -m multiport --dports 443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000
Deleting ip6tables rule for nfqws postrouting (qnum 210) : -p udp -m multiport --dports 443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000
xt_multiport.ko is already loaded
xt_connbytes.ko is already loaded
xt_NFQUEUE.ko is already loaded
Starting daemon 1: /opt/zapret/nfq/nfqws --user=nobody --dpi-desync-fwmark=0x40000000 --qnum=200 --dpi-desync=fake,disorder2 --dpi-desync-split-pos=1 --dpi-desync-ttl=6 --dpi-desync-fooling=badsum --dpi-desync-repeats=6 --dpi-desync-any-protocol --dpi-desync-cutoff=d4 --hostlist=/opt/zapret/ipset/zapret-hosts-user.txt --hostlist-exclude=/opt/zapret/ipset/zapret-hosts-user-exclude.txt
Starting daemon 10: /opt/zapret/nfq/nfqws --user=nobody --dpi-desync-fwmark=0x40000000 --qnum=210 --user=nobody --dpi-desync-fwmark=0x40000000 --dpi-desync=fake,disorder2 --dpi-desync-repeats=6 --dpi-desync-any-protocol --dpi-desync-cutoff=d4 --hostlist=/opt/zapret/ipset/zapret-hosts-user.txt --hostlist-exclude=/opt/zapret/ipset/zapret-hosts-user-exclude.txt
Applying iptables
Creating ip list table (firewall type iptables)
setting high oom kill priority
reloading ipset backend (no-update)
Adding iptables rule for nfqws postrouting (qnum 200) : -p tcp -m multiport --dports 80,443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000
Adding iptables rule for nfqws input+forward (qnum 200) : -p tcp -m multiport --sports 80,443 -m connbytes --connbytes-dir=reply --connbytes-mode=packets --connbytes 1:1
Adding ip6tables rule for nfqws postrouting (qnum 200) : -p tcp -m multiport --dports 80,443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000
Adding ip6tables rule for nfqws input+forward (qnum 200) : -p tcp -m multiport --sports 80,443 -m connbytes --connbytes-dir=reply --connbytes-mode=packets --connbytes 1:1
Adding iptables rule for nfqws postrouting (qnum 210) : -p udp -m multiport --dports 443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000
Adding ip6tables rule for nfqws postrouting (qnum 210) : -p udp -m multiport --dports 443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000
У Вас параметр NFQWS_OPT_DESYNC не соответствует моей текущей рекомендации, попробуйте исправить и проверить сайты.
[I] Aug 14 15:17:56 ndm: Core::Syslog: the system log has been cleared.
[E] Aug 14 15:18:17 ndm: Core::Scgi::Session: unsupported method "OPTIONS" for "/opkg".
[E] Aug 14 15:19:18 ndm: Core::Scgi::Session: unsupported method "OPTIONS" for "/opkg".
[I] Aug 14 15:20:37 telnetd: a new connection from ::ffff:192.168.1.117 accepted.
[I] Aug 14 15:20:37 ndm: Core::Server: started Session /var/run/ndm.core.socket.
[E] Aug 14 15:20:46 ndm: Core::Authenticator: no such user: "min".
[I] Aug 14 15:20:56 ndm: Core::Authenticator: user "admin" authenticated, realm "Keenetic Ultra", tag "cli".
[I] Aug 14 15:21:39 ndm: Opkg::Manager: unmount existing /opt disk: OPKG:/.
[I] Aug 14 15:21:39 ndm: Opkg::Manager: disk unmounted.
[I] Aug 14 15:21:39 ndm: Opkg::Manager: disk is unset.
[I] Aug 14 15:21:39 ndm: Opkg::Manager: init script reset to default: /opt/etc/initrc.
[I] Aug 14 15:21:39 ndm: Core::System::StartupConfig: saving (http/rci).
[I] Aug 14 15:21:43 ndm: Core::System::StartupConfig: configuration saved.
[I] Aug 14 15:21:52 ndm: Opkg::Manager: disk is set to: OPKG:/.
[I] Aug 14 15:21:52 ndm: Opkg::Manager: init script reset to default: /opt/etc/initrc.
[I] Aug 14 15:21:52 ndm: Core::System::StartupConfig: saving (http/rci).
[I] Aug 14 15:21:52 kernel: EXT4-fs (sdb1): re-mounted. Opts: (null)
[I] Aug 14 15:21:52 ndm: Opkg::Manager: /tmp/mnt/69ddfe26-dbdc-fd46-b457-2bcaab8a44e9 mounted to /tmp/mnt/69ddfe26-dbdc-fd46-b457-2bcaab8a44e9.
[I] Aug 14 15:21:52 ndm: Opkg::Manager: /tmp/mnt/69ddfe26-dbdc-fd46-b457-2bcaab8a44e9 mounted to /opt/.
[I] Aug 14 15:21:52 npkg: inflating "mipsel-installer.tar.gz".
[I] Aug 14 15:22:20 ndm: Opkg::Manager: /tmp/mnt/69ddfe26-dbdc-fd46-b457-2bcaab8a44e9 initialized.
[E] Aug 14 15:22:20 ndm: Opkg::Manager: invalid initrc "/opt/etc/initrc": no such file or directory, trying /opt/etc/init.d/.
[I] Aug 14 15:22:20 installer: [1/5] Начало установки системы пакетов "Entware"...
[I] Aug 14 15:22:20 ndm: Core::System::StartupConfig: configuration saved.
[I] Aug 14 15:22:20 installer: Info: Раздел пригоден для установки.
[I] Aug 14 15:22:20 installer: Info: "ping google.com"...
[I] Aug 14 15:22:32 installer: Critical error: Ресурс недоступен. Проверьте настройки сети.
[I] Aug 14 15:22:32 installer: Выход из установки.
При установке Entware, выдает такую ошибку "Critical error: Ресурс недоступен. Проверьте настройки сети." кто сталкивался? подскажите в чем проблема? google.com в командной строке пингуется.
Там пингуется не google.com, а dns.google.com, проверти его. Провайдер может блокирует.
да тоже пингуется
Hidden text
ping dns.google.com
Обмен пакетами с dns.google.com [8.8.4.4] с 32 байтами данных:
Ответ от 8.8.4.4: число байт=32 время=48мс TTL=56
Ответ от 8.8.4.4: число байт=32 время=48мс TTL=56
Ответ от 8.8.4.4: число байт=32 время=48мс TTL=56
Ответ от 8.8.4.4: число байт=32 время=48мс TTL=56
Статистика Ping для 8.8.4.4:
Пакетов: отправлено = 4, получено = 4, потеряно = 0
(0% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 48мсек, Максимальное = 48 мсек, Среднее = 48 мсек
Все работает. Но в журнале такие ошибки.
Это не работает, откройте этот скрипт и сравните его со скриптом, который в статье, думаю будут отличия.
Ютуб работает. Тормоза ушли.
Исполните скрипт в командной строке /opt/etc/ndm/netfilter.d/000-zapret.sh , что выдаст?
Исполните команду: chmod +x /opt/etc/ndm/netfilter.d/000-zapret.sh и заново этот скрипт.
А покажите так: vi /opt/etc/ndm/netfilter.d/000-zapret.sh
Удаляйте со всех строчек ^M!
Ну вот, теперь все работает! Ошибок в логе больше не должно быть.
Спасибо
Еще проверте на всякий случай скрипт /opt/etc/init.d/S00fix чтобы в нем не было такой фигни.
Ролтон GIGA 1010 и были точно такие же ошибки ) и в 000-zapret.sh и в S00fix
Пришлось срочно гуглить как пользоваться этим vi, это какой то капец :|
Но все вроде получилось, ведем наблюдение.
Но в целом гайд очень годный, спасибо большое!
PS как к матери поеду, надо запилить на Extra 1710, но тоже на флешку, там памяти встроенной еще меньше чем в гиге )
Подскажите. В начальном диалоге был вопрос использовать ли IP6, а также в конфиге он есть. Если у меня от провайдера и в домашней сети только IP4, что выбрать? Сама эта опция в каком месте использует IP6?
Спасибо огромное автору и товарищу @Anonym. Всё заработало, на Android TV (TCL), а также на Nvidia Shield.
Подскажите плиз все встало, ютуб заработал но если перезагрузить роутер приходится в ручки заново запускать скрипт /opt/zapret/init.d/sysv/zapret start
И второй момент что Яндекс Станция так же не работает ютуб?
Выполните команду ln -fs /opt/zapret/init.d/sysv/zapret /opt/etc/init.d/S90-zapret для автозагрузки.
Про Яндекс Станцию не скажу, но если на других всех устройствах работает, то причин не работать на ней нет.
А можно я задам очень глупый вопрос (особенно по меркам хабра), надо ли как-то поддерживать zapret в актуальном состоянии, проверять и пушить обновления с репозитория гитхаба? Или один раз настроил и забыл?
Я так понимаю, что на Giga 2 не заведется?
Hidden text
BusyBox v1.36.1 (2024-07-17 09:01:31 UTC) built-in shell (ash)
/ # cd /opt/zapret
/opt/zapret # ./install_easy.sh
checking system system is not either systemd, openrc or openwrt based easy installer can set up config settings but can't configure auto start you have to do it manually. check readme.txt for manual setup info. do you want to continue (default : N) (Y/N) ? y system is based on linux
checking executables ./install_easy.sh: line 416: find: not found build tools not found
press enter to continue
/opt/zapret # ./install_bin.sh
x86_64 is NOT OK
x86 is NOT OK
aarch64 is NOT OK
arm is NOT OK
mips64r2-msb is NOT OK
mips32r1-lsb is NOT OK
mips32r1-msb is NOT OK
ppc is NOT OK
no compatible binaries found
По поводу /opt/etc/ndm/netfilter.d/000-zapret.sh
У меня сутуация - скрипт отрабатывает без ошибок, но при подключении нового устройства в сеть wifi - доступ к блокированным ресурсам прекращается.
Проблелему решил комметированием вот этих строк:
#[ "$type" == "ip6tables" ] && exit 0
#[ "$table" != "mangle" ] && exit 0
Но на сколько корректнто так делать - не знаю.
Есть периоды когда по несколько раз в минуту, есть периоды когда минут 10 не исполняется.
Каждый раз при подключении. Даже наверно не при подключении, а при активации на этом устройстве приложений, связанных с интернетом
хотя..... у меня на телефоне стоит режим энергосбережения - может быть в этом случае всегда переподключение возникает......
Странное поведение, у себя такого не наблюдаю, ничего не пропадает при появлении новых устройств в сети.
Может это связано с тем, что у меня MESH система WIFI и перекодключения считаются, когда от одной WIFI точки переходит к другой
У меня на MESH системе (keenetic buddy 5s) все стабильно работает, проблем нет.
Разобрался с этим. Был включен ip6 и именно он часто "дергает" этот скрипт. В свойствах подключения к провайдеру установил запрет на ip6 - в этом случае обратно расскоментировал
[ "$type" == "ip6tables" ] && exit 0
[ "$table" != "mangle" ] && exit 0
Все работает.
НО. Увидел другую проблему - начинает течь память. После перезагрузки занятой памяти 33%, через день использования около 50. Причем растет медленно, но верно . 0,5% за час. На всякий случай поставил ежедневную ночную перезагрузку
Должно ли все работать, если роутер Кинетик находится за роутером от Ростелекома?
Два роутера успешно настроил по инструкции, но там РТ и Кинетик за POE-адаптером от провайдера, который пропускает трафик "как есть".
С вариантом, когда Кинетик за роутером (который тоже настроен на пропуск трафика "как есть") и поднимает подключение к интернету через PPP, не получилось.
А именно - интерфейс ютуба открывается быстро, а видео никакое не загружается. При этом при наведении на полосу прогресса видео все превью с любого момента видео отображаются...
Попробуйте изменить dpi-desync-ttl=0 на dpi-desync-ttl=2 в NFQWS_OPT_DESYNC и NFQWS_OPT_DESYNC_QUIC в конфиге. Потом перезагружайте и проверяйте.
К сожалению, не помогло...
Попробуйте еще изменить dpi-desync-fooling на dpi-desync-fooling=md5sig.
было указано --dpi-desync-fooling=md5sig,badsum
Сейчас проверил два варианта:
--dpi-desync-fooling=md5sig
--dpi-desync-fooling=badsum
Перед каждым изменением останавливал сервис, менял настройку и запускал сервис.
Результат пока такой же. В превью все работает (при наведении курсора), а само видео не грузит
dpi-desync-ttl при этом тоже поменян был?
Я думаю, тут проблема в том, что роутер РТ не пропускает фейковые пакеты, как "плохие", через себя. Можно попробовать еще убрать вообще dpi-desync-fooling .
dpi-desync-ttl при этом тоже поменян был?
Да, установлено значение 2 по вашей рекомендации.
Можно попробовать еще убрать вообще dpi-desync-fooling
Убрал dpi-desync-fooling и тоже безрезультатно.
Думаю все же обратиться в РТ за заменой их роутера на POE адаптер...
P.S.: а тем временем пользователи дом.интернета от Билайн продолжают без проблем смотреть ютуб и не страдают настройкой роутеров, как мы тут =))
Возможно ли с использованием политик доступа в интернет повешать одним клиентам nfqws, а другим клиентам настроенный на кинетике wg? На андроид тв сони с nfqws скорость космос, хочу там оставить его, а на остальные устройства раздать без него доступ с впн на роутере.
Я не пойму с технической точки зрения это осуществимо или нет? Я пытался настроить 2 политики, одна с впн, другая без, раздать на устройства политики, но в итоге как будто не работает так.
Спасибо большое, все отлично работает!
Но есть одна проблемка. Развернул на роутере VPN серверы pptp и ikev1/ikev2, чтобы удаленно подключаться по мобильной сети. Так вот, если подключаюсь по pptp и ikev1 все сайты открывает, YouTube работает отлично. Но если подключаюсь по ikev2, сайты не открывает... В чем может быть проблема? Спасибо.
Добрый вечер. Есть ситуация.
Ставлю opkg на флешку. Захожу по ssh. Ставлю все по инструкции. Запускаю в работу NFQWS. Все работает отлично. Youtube идеально на всех устройствах.
Проходит минут 10 и все. Больше не работает. Не на одном устройстве. Перезагружаю роутер, не помогает.
Беру другую флешку. Все с начала. Отлично. Получилось. Работает. 10-15 минут. Потом...все умерло.
Есть еще нюанс. После установи всех скриптов и настроек пока не закрою putty-все ок. Потом не могу по ssh на opkg зайти- в доступе отказано. При этом сетевая папка (smb) в Widows работает отлично. Могу заходить, править, удалять. Захожу в роутер, Приложения-Флешка там тоже все доступно. Удалять, добавлять...
Беру другую флешку. Все с начала. Отлично. Получилось. Работает. 10-15 минут. Потом...все умерло. Пробую зайти по SSH. В доступе отказано. При этом просто на роутер по ssh захожу без проблем. В putty 192.168.1.1 222 - в доступе отказано. Трижды перегружал роутер после установки opkg и перед установки скриптов. По ssh вход- все ок.
Очень нужны рекомендации, как бороть проблемы. Как вернуть доступ к youtube? Почему пропадает доступ к opkg по ssh?
Keenetic 1713. Провайдер: Ростелеком
Проверите работу скрипта /opt/etc/ndm/netfilter.d/000-zapret.sh , нет ошибок, права на исполнение есть? Что в логе пишет по этому скрипту? Смотрите выше про этот скрипт, у многих уже проблемы аналогичные решили.
По вопросу SSH, что выдает команда /opt/etc/init.d/S51dropbear status ? Выполните команду: /opt/etc/init.d/S51dropbear restart и проверяйте заново, должно войти.
По вопросу SSH ... а как перезапустить S51dropbear ? я не могу войти по ssh. При попытке входа из putty : в доступе отказано. Даже не появляется запрос на login и пароль.
/opt/etc/init.d/S51dropbear status /opt/etc/init.d/S51dropbear restart
По Cli эти команды не срабатывают. По telnet тоже не работает.
В журнале следующее..
Hidden text
Aug 16 21:34:52 ndm: Network::Interface::Mtk::WifiMonitor: "WifiMaster0/AccessPoint0": STA(58:bf:25:48:0e:67) set key done in WPA2/WPA2PSK.
[I] Aug 16 21:34:52 ndhcps: DHCPDISCOVER received from 58:bf:25:48:0e:67.
[I] Aug 16 21:34:52 ndhcps: making OFFER of 192.168.1.112 to 58:bf:25:48:0e:67.
[I] Aug 16 21:34:52 ndhcps: DHCPREQUEST received (STATE_SELECTING) for 192.168.1.112 from 58:bf:25:48:0e:67.
[I] Aug 16 21:34:53 ndhcps: sending ACK of 192.168.1.112 to 58:bf:25:48:0e:67.
[I] Aug 16 21:34:54 ndm: Network::Interface::Mtk::WifiMonitor: "WifiMaster0/AccessPoint0": STA(58:bf:25:48:0e:67) had disassociated by STA (reason: STA is leaving or has left BSS).
[I] Aug 16 21:39:59 ndhcpc: FastEthernet0/Vlan2: received ACK for 188.32.98.124 from 90.154.77.177 lease 3600 sec.
[I] Aug 16 21:39:59 ndm: Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Clearing iptables.
[I] Aug 16 21:39:59 ndm: Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Deleting iptables rule for nfqws postrouting (qnum 200) : -p tcp -m multiport --dports 80,443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000.
[I] Aug 16 21:39:59 ndm: Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Deleting iptables rule for nfqws input+forward (qnum 200) : -p tcp -m multiport --sports 80,443 -m connbytes --connbytes-dir=reply --connbytes-mode=packets --connbytes 1:1.
[I] Aug 16 21:39:59 ndm: Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Deleting ip6tables rule for nfqws postrouting (qnum 200) : -p tcp -m multiport --dports 80,443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000.
[I] Aug 16 21:40:00 ndm: Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Deleting ip6tables rule for nfqws input+forward (qnum 200) : -p tcp -m multiport --sports 80,443 -m connbytes --connbytes-dir=reply --connbytes-mode=packets --connbytes 1:1.
[I] Aug 16 21:40:00 ndm: Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Deleting iptables rule for nfqws postrouting (qnum 210) : -p udp -m multiport --dports 443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000.
[I] Aug 16 21:40:00 ndm: Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Deleting ip6tables rule for nfqws postrouting (qnum 210) : -p udp -m multiport --dports 443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000.
[I] Aug 16 21:40:00 ndm: Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Applying iptables.
[I] Aug 16 21:40:00 ndm: Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Creating ip list table (firewall type iptables).
[I] Aug 16 21:40:00 ndm: Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: setting high oom kill priority.
[I] Aug 16 21:40:00 ndm: Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: reloading ipset backend (no-update).
[I] Aug 16 21:40:00 ndm: Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Adding iptables rule for nfqws postrouting (qnum 200) : -p tcp -m multiport --dports 80,443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000.
[I] Aug 16 21:40:01 ndm: Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Adding iptables rule for nfqws input+forward (qnum 200) : -p tcp -m multiport --sports 80,443 -m connbytes --connbytes-dir=reply --connbytes-mode=packets --connbytes 1:1.
[I] Aug 16 21:40:01 ndm: Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Adding ip6tables rule for nfqws postrouting (qnum 200) : -p tcp -m multiport --dports 80,443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000.
[I] Aug 16 21:40:01 ndm: Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Adding ip6tables rule for nfqws input+forward (qnum 200) : -p tcp -m multiport --sports 80,443 -m connbytes --connbytes-dir=reply --connbytes-mode=packets --connbytes 1:1.
[I] Aug 16 21:40:01 ndm: Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Adding iptables rule for nfqws postrouting (qnum 210) : -p udp -m multiport --dports 443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000.
[I] Aug 16 21:40:01 ndm: Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Adding ip6tables rule for nfqws postrouting (qnum 210) : -p udp -m multiport --dports 443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000.
[I] Aug 16 21:40:01 ndm: Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Clearing iptables.
[I] Aug 16 21:40:01 ndm: Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Deleting iptables rule for nfqws postrouting (qnum 200) : -p tcp -m multiport --dports 80,443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000.
[I] Aug 16 21:40:01 ndm: Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Deleting iptables rule for nfqws input+forward (qnum 200) : -p tcp -m multiport --sports 80,443 -m connbytes --connbytes-dir=reply --connbytes-mode=packets --connbytes 1:1.
[I] Aug 16 21:40:02 ndm: Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Deleting ip6tables rule for nfqws postrouting (qnum 200) : -p tcp -m multiport --dports 80,443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000.
[I] Aug 16 21:40:02 ndm: Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Deleting ip6tables rule for nfqws input+forward (qnum 200) : -p tcp -m multiport --sports 80,443 -m connbytes --connbytes-dir=reply --connbytes-mode=packets --connbytes 1:1.
[I] Aug 16 21:40:02 ndm: Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Deleting iptables rule for nfqws postrouting (qnum 210) : -p udp -m multiport --dports 443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000.
[I] Aug 16 21:40:02 ndm: Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Deleting ip6tables rule for nfqws postrouting (qnum 210) : -p udp -m multiport --dports 443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000.
[I] Aug 16 21:40:02 ndm: Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Applying iptables.
[I] Aug 16 21:40:02 ndm: Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Creating ip list table (firewall type iptables).
[I] Aug 16 21:40:02 ndm: Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: setting high oom kill priority.
[I] Aug 16 21:40:02 ndm: Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: reloading ipset backend (no-update).
[I] Aug 16 21:40:10 ndm: Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Adding iptables rule for nfqws postrouting (qnum 200) : -p tcp -m multiport --dports 80,443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000.
[I] Aug 16 21:40:10 ndm: Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Adding iptables rule for nfqws input+forward (qnum 200) : -p tcp -m multiport --sports 80,443 -m connbytes --connbytes-dir=reply --connbytes-mode=packets --connbytes 1:1.
[I] Aug 16 21:40:10 ndm: Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Adding ip6tables rule for nfqws postrouting (qnum 200) : -p tcp -m multiport --dports 80,443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000.
[I] Aug 16 21:40:10 ndm: Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Adding ip6tables rule for nfqws input+forward (qnum 200) : -p tcp -m multiport --sports 80,443 -m connbytes --connbytes-dir=reply --connbytes-mode=packets --connbytes 1:1.
[I] Aug 16 21:40:10 ndm: Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Adding iptables rule for nfqws postrouting (qnum 210) : -p udp -m multiport --dports 443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000.
[I] Aug 16 21:40:10 ndm: Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Adding ip6tables rule for nfqws postrouting (qnum 210) : -p udp -m multiport --dports 443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000.
Добрый день. У меня Keenetic Giga SE. Памяти около 45 мегабайт. Как мне поставить zapret? Когда пытаюсь ее клонировать в память, соответственно вылетает ошибка и изменения откатываются!
Маловато памяти конечно. Удалите (не ставьте) пакетыgit-http и git, и качайте архив с кодом с github, с него берите только папки: binaries, common, init.d, ipset и файлы в корне. Из папки binaries копируйте только папки с mips. Не забудьте всем файлам в папке binaries и скриптам дать права исполнения. Дальше по инструкции.
Добрый день.
Сделал все по инструкции, все заработало (роутер KN-1010). Отличие было только в значении по умолчанию ip/host list: в инструкции - get_user.sh, у меня почему-то - get_antifilter_ipsmart.sh.
Youtube заработал, и некоторые закрытые сайты тоже. Остался вопрос к инсте. Она ни в какую не хочет.
Внес домен в ipset/zapret-hosts-user.txt, выполнил get_user.sh. Поставил в конфиге hostlist. Не помогло.
Подскажите пожалуйста, куда копать.
Настраивайте Прокси-серверы DNS-over-TLS и DNS-over-HTTPS для шифрования DNS-запросов, зарубежные сервера выбирайте.
Спасибо, в приложении на дроиде заработало. Во всех браузерах нет. Но в целом браузеры и не нужны особо.
Так как раз в браузерах и не открываются, когда домены на DNS-серверах заблокированы. Настройте сервера на те, которые на скрине в инструкции, должно помочь.
Вот так сделано. Открывается все кроме инсты ( Уже устал разбираться, да и для жены главное чтоб на телефоне работало.
У меня роутер Xiaomi Mi3G v1 с прошивкой 4.1.7 stable от KN-1810
В самом конце при запуске Zapret выдавало Permission denied
Помогло выдача прав на запуск, как и скриптам. Может кому пригодится.
chmod +x /opt/zapret/init.d/sysv/zapret
Автору безмерная благодарочка за труды. Но есть вопрос: на андроид тв youtube заработал, но медленно. В фулхд загрузку медленнее, чем просмотр. В чем может быть проблема?
А как на других устройствах работает? На комьютере?
Нормально, по крайней мере явных зависаний нет.
Upd. На телефоне тоже замечены лаги
Можете попробовать QUIC отключить: выполните команду /opt/zapret/init.d/sysv/zapret stop , потом изменить в конфиге на QUIC=0 и в скрипте /opt/zapret/init.d/sysv/zapret заменить iptables -t nat -A POSTROUTING -o $IFACE_WAN -j MASQUERADE на iptables -I FORWARD -i br0 -p udp --dport 443 -j DROP, и iptables -t nat -D POSTROUTING -o $IFACE_WAN -j MASQUERADE на iptables -D FORWARD -i br0 -p udp --dport 443 -j DROP , затем исполните команду /opt/zapret/init.d/sysv/zapret start и проверяйте.
Попробовал, не помогло. Заодно снес все ДНСы, кроме тех, что указаны в инструкции, но желаемого результата так и не получил (
Очень странно. Тогда нужно играться с нас параметрами NFQWS_OPT_DESYNC ,в частности, для начала можете пробывать менять стратегию --dpi-desync=fake,disorder2 на
КОМБИНИРОВАНИЕ МЕТОДОВ ДЕСИНХРОНИЗАЦИИ
В параметре dpi-desync можно указать до 3 режимов через запятую.
0 фаза предполагает работу на этапе установления соединения. Может быть synack или syndata. На 0 фазу не действует фильтр по hostlist.
Последующие режимы отрабатывают на пакетах с данными.
Режим 1-й фазы может быть fake,rst,rstack.
Режим 2-й фазы может быть disorder,disorder2,split,split2,ipfrag2. Может быть полезно, когда у провайдера стоит не один DPI.
Сделал все по инструкции, роутер Keenetic Giga SE, ютуб не работает нигде( Что нужно предоставить?
Проверяйте правильность выбора внешнего интернет интерфейса (WAN), в 90% случаев, когда вообще не работает, его неправильно выбирают.
Скиньте то, что у Вас выдают команды: opt/zapret/init.d/sysv/zapret restart и /opt/etc/ndm/netfilter.d/000-zapret.sh
~ # /opt/zapret/init.d/sysv/zapret restart
Stopping daemon 1: /opt/zapret/nfq/nfqws
stopped /opt/zapret/nfq/nfqws (pid 2412)
Stopping daemon 10: /opt/zapret/nfq/nfqws
stopped /opt/zapret/nfq/nfqws (pid 2416)
Clearing iptables
Deleting iptables rule for nfqws postrouting (qnum 200) : -p tcp -m multiport --dports 80,443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m set --match-set zapret dst -m mark ! --mark 0x40000000/0x40000000
Deleting iptables rule for nfqws input+forward (qnum 200) : -p tcp -m multiport --sports 80,443 -m connbytes --connbytes-dir=reply --connbytes-mode=packets --connbytes 1:1 -m set --match-set zapret src
Deleting ip6tables rule for nfqws postrouting (qnum 200) : -p tcp -m multiport --dports 80,443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m set --match-set zapret6 dst -m mark ! --mark 0x40000000/0x40000000
Deleting ip6tables rule for nfqws input+forward (qnum 200) : -p tcp -m multiport --sports 80,443 -m connbytes --connbytes-dir=reply --connbytes-mode=packets --connbytes 1:1 -m set --match-set zapret6 src
Deleting iptables rule for nfqws postrouting (qnum 210) : -p udp -m multiport --dports 443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m set --match-set zapret dst -m mark ! --mark 0x40000000/0x40000000
Deleting ip6tables rule for nfqws postrouting (qnum 210) : -p udp -m multiport --dports 443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m set --match-set zapret6 dst -m mark ! --mark 0x40000000/0x40000000
xt_multiport.ko is already loaded
xt_connbytes.ko is already loaded
xt_NFQUEUE.ko is already loaded
Starting daemon 1: /opt/zapret/nfq/nfqws --user=nobody --dpi-desync-fwmark=0x40000000 --qnum=200 --dpi-desync=fake,disorder2 --dpi-desync-split-pos=1 --dpi-desync-ttl=0 --dpi-desync-fooling=md5sig,badsum --dpi-desync-repeats=6 --dpi-desync-any-protocol --dpi-desync-cutoff=d4
Starting daemon 10: /opt/zapret/nfq/nfqws --user=nobody --dpi-desync-fwmark=0x40000000 --qnum=210 --user=nobody --dpi-desync-fwmark=0x40000000 --dpi-desync=fake,disorder2 --dpi-desync-repeats=6 --dpi-desync-ttl=0 --dpi-desync-any-protocol --dpi-desync-cutoff=d4 --dpi-desync-fooling=md5sig,badsum
Applying iptables
Creating ip list table (firewall type iptables)
setting high oom kill priority
reloading ipset backend (no-update)
Adding iptables rule for nfqws postrouting (qnum 200) : -p tcp -m multiport --dports 80,443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m set --match-set zapret dst -m mark ! --mark 0x40000000/0x40000000
Adding iptables rule for nfqws input+forward (qnum 200) : -p tcp -m multiport --sports 80,443 -m connbytes --connbytes-dir=reply --connbytes-mode=packets --connbytes 1:1 -m set --match-set zapret src
Adding ip6tables rule for nfqws postrouting (qnum 200) : -p tcp -m multiport --dports 80,443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m set --match-set zapret6 dst -m mark ! --mark 0x40000000/0x40000000
Adding ip6tables rule for nfqws input+forward (qnum 200) : -p tcp -m multiport --sports 80,443 -m connbytes --connbytes-dir=reply --connbytes-mode=packets --connbytes 1:1 -m set --match-set zapret6 src
Adding iptables rule for nfqws postrouting (qnum 210) : -p udp -m multiport --dports 443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m set --match-set zapret dst -m mark ! --mark 0x40000000/0x40000000
Adding ip6tables rule for nfqws postrouting (qnum 210) : -p udp -m multiport --dports 443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m set --match-set zapret6 dst -m mark ! --mark 0x40000000/0x40000000
А вот по команде /opt/etc/ndm/netfilter.d/000-zapret.sh почему-то пусто
Решили сразу с режима ipset начать, нужно сначала без фильтра пробывать. Выполните команду /opt/zapret/init.d/sysv/zapret stop , потом в конфиге поменяйте MODE_FILTER на MODE_FILTER=none, затем исполните команду /opt/zapret/init.d/sysv/zapret start и проверяйте. Если много экспериментировали с настройками, то лучше роутер перезагрузить.
По скрипту /opt/etc/ndm/netfilter.d/000-zapret.sh нормально все.
Если не заработает, то внешний интерфейс смотрите очень внимательно, если там 100% верно, тогда настройки NFQWS_OPT_DESYNC и NFQWS_OPT_DESYNC_QUIC в конфиге нужно подбирать под вашего провайдера. Проверяйте еще на сайтах недоступных, они бывает раньше начинают сдаваться. Можете скрипт /opt/zapret/blockcheck.sh погонять.
Сегодня я уезжаю в отпуск, поэтому в этот период я не смогу так оперативна тут отвечать, буду отвечать по возможности. А так решения большинства типовых проблем с установкой, запуском и работой утилиты уже описаны в комментариях так, что смотрите - возможно сами сможете найти решение.
@Keenet, спасибо большое, отличная работа!
Единственно, хотелось бы понять почему виндовый защитник при попытке скачивания репозитария zapret моментом его удаляет, ругаясь на критические угрозы из-за бинарников?
Вариантов для кинетиков без usb не будет? По началу обрадовался что уже есть готовые решения для роутера, теперь понял что походу придётся заворачивать весь трафик youtube вручную...
Здравствуйте, пытаюсь сделать универсальный конфиг на базе роутеров Keenetic, для Ростелеком - успех, на всех типах устройств работает стабильно Ютуб, и прочая запрещенка, включая fb, inst, x и ТД, контент в них тоже грузится молниеносно, тест был в разных регионах. Используется hostlist-user.
В планах ещё для МТС сделать..
Но есть такой провайдер "Интегрированные сети связи (ИСС)" Краснодарский край.
Тут ситуация аналогичная, за исключением контента в fb и inst, при том что именно на мобильных устройствах, на десктопе по прежнему ок. Если подробнее, то когда на мобиле в приложении fb заходим и обновляем, все обновляется, вижу новый текст и посты, но тупо нет картинок и видео, какого чёрта..
Что пробовал:
Игрался с параметрами обмана транспорта, безрезультатно, может какую идею дадите, реально долго стараюсь
QUIC тоже игрался
Нашел максимальное колличество доменов и субдоменов Facebook и Instagram, внёс в хостлист, в надежде обмануть стартовый запрос на image или что-то в этом вроде
Есствественно менял режим на none, чисто так, безысходность
Менял менял на разные паблик резолверы, делал это заменой первых двух строк в пунктах dns1 и 2 в настройках провайдера
Делал get_user, ip искал долго, но мимо
Настроить DOT и DOH
Использовать маскарад
Что возможно стоит попробовать:
--debug=1 Но где прописывать
Добрый день.
А вы можете поделиться своим конфигом для ростелекома? Я бы потестировал. Не могу никак добиться работы на всех устройствах.
Конечно, вот моя инструкция, достаточно просто исполнить скрипт, ваш конфиг заменится на мой и перезапустить entware
Мой конфиг протестирован на Ростелеком, МТС , дом.ру , все работает
https://github.com/nikrays/Zapret-on-Keenetic
На PPPoE заводится сразу, на ТВ боксе в том числе (телека LG и Samsung дома нет). А на ipoe Билайн (Краснодар) у соседа только ноуты, планшеты и телефон, LG и HAIER не хотят (. Не подскажете что ещё можно сделать?
Страничка уже не рабочая (.
Ник, я даже зарегался здесь, чтобы спросить зачем ты удалил инструкцию?)
Верни, пожалуйста, как было)))
Здравствуйте. У Вас facebook заработал? Я вот никак не могу заставить. Ни в none, ни в hostlist, хотя добавил и ip сети туда. Youtube норм работает. и МТС, и Билайн.
А ФБ и инста нет.
Настроил по инструкции для роутера Keenetic KN-1811. Вопрос: в логах вижу каждые 150 секунд срабатывание скрипта 000-zapret.sh и переопределение правил netfilter. Перед этим приходит ACK от провайдера "ndhcpc: GigabitEthernet1: received ACK for *** from *** lease 300 sec.". Причем lease судя по всему 300 секунд, но ACK приходит каждые 150. Как исправить?
работает ли данный метод для youtube ps5?
Добрый день!
Делал через автоматическую установку на роутер, но выдает какие-то ошибки, что я делаю не так?
по пути https://github.com/Anonym-tsk/nfqws-keenetic/ нет raw, а netinstall.sh лежит по пути https://github.com/Anonym-tsk/nfqws-keenetic/netinstall.sh, откройте https://github.com/Anonym-tsk/nfqws-keenetic/ в браузере и посмотрите, что там лежит.
да и в скрипте netinstall.sh неправильно указан BASE_URL="https://github.com/Anonym-tsk/nfqws-keenetic/raw/master"
должно быть
BASE_URL="https://github.com/Anonym-tsk/nfqws-keenetic/"
тогда команда для запуска будет
/bin/sh -c "$(curl -fsSL https://github.com/Anonym-tsk/nfqws-keenetic/netinstall.sh)"
Скорее всего автор делает/делал обновление (вижу изменения были два часа назад) и не поправил скрипты до конца.
Вы можете скачать и исправить самостоятельно перед запуском или дождаться когда автор обновит. Также в гитхабе можно написать автору, если у вас есть аккаунт.
По аналогии настроил nfqws на старичке WS880 с прошивкой freshtomato. Спасибо автору!
Оптимально получилось с настройками --dpi-desync=fake,disorder --dpi-desync-ttl=3 --dpi-desync-ttl6=3 --dpi-desync-fooling=badsum, возможно кому-то пригодится...
Только quic тоже добавил в очередь 200 в тот же процесс, вопрос к автору - зачем обработку quic делали на отдельном процессе в очереди 210?
С параметром dpi-desync-ttl смотрите осторожно, может ломать некоторые сайты, которые работают и так. Нужно ставить минимальное значение, которое позволяет преодолеть dpi, и чтобы фейковые пакеты не дошли серверов.
По отдельному процессу для quic - это у автора zapret нужно узнавать, он же так реализовал, я в тонкостях реализации не разбирался. Думаю, там это из-за возможных разных параметров dpi-desync для протоколов http и quic.
Другие сайты ломать не будет, я использую blocklist. Про два процесса кстати возможно, как раз в примере там разные настройки, я об этом не подумал. У меня в одном процессе работает, сутки уже, пока всё норм. Парадокс, но на WS880 при приходе ACK от провайдера каждые 150сек ничего не падает, даже в логах этой записи нет, похоже он не так остро на него реагирует. Один раз за сутки пропали iptables, не понял по какому событию, в логе вроде ничего нет... Написал себе скрипт проверки работоспособности сервиса nfqws и целостности iptables, повесил кроном на запуск раз в пять минут, если все ок, то он ничего не делает, а если что-то не так - перезапускает.
а Вам большое спасибо (плюс в карму увы не могу поставить), если бы не эта статья, не смог бы разобраться в принципах работы nfqws, хотя даташит его изучал, а Вы очень подробно всё описали. (Думал Вы и есть автор утилиты...) А адаптация для WS880 вообще случайно вышла, iptables nfqueue там не работал, случайно додумался что нужно установить xtables-addons_legacy и командой insmod /.../xt_NFQUEUE.ko решить проблему.
Привет, чтобы не делал выдаёт вот так
~ # /opt/zapret/init.d/sysv/zapret start
-sh: /opt/zapret/init.d/sysv/zapret: not found
~ #
Keenetic Giga (KN-1011)
Переменная IFACE_N не имеет никакого отношения к IFACE_LAN, это разные переменные и не должны быть одинаковыми.
Переменная IFACE_LAN не используется в режиме NFQWS: Заворот на nfqws происходит всегда после маршрутизации, поэтому к нему применима только фильтрация по WAN.
А по подбору стратегии NFQWS_OPT_DESYNC правильное решение. На каких устройствах проверяли?
Спустя неделю работы, стала сбоить флешка. Пока поставил другую, но интересно, не будут ли флешки регулярно из строя выходить от такого режима работы? Когда то давно, качал торренты на флешку воткнутую в роутер. Так же накрылась через пару месяцев.
Провайдер Билайн, г. Мск, сделал все как в статье, потом в конфиге изменил
MODE_FILTER=ipset на MODE_FILTER=none и раскоментировал IFACE_LAN=br0
NFQWS_OPT_DESYNC и NFQWS_OPT_DESYNC_QUIC тоже взял из конфига что в статье
В итоге на всех устройствах включая телек ЛЖ с ВабОС все заработало как в стародавние времена. Даже не верится уже почти месяц на телеке от Ютьба было только название. На планшетах и смартфонах тоже все летает. Роутер на входе Кинетик 1811
Автору поста спасибо!
Советую хотя-бы blacklist настроить, это не сложно сделать, а то рано или поздно обнаружится какой-нибудь сайт или мобильное приложение, которое будет криво работать из-за полной фильтрации трафика, замучаетесь искать причину, т.к. не подумаете на то, что дело в nfqws.
Ок спасибо, надо настроить. На форуме кинетика в разделе готовые решения opkg есть проект Kwas. Его идея очень симпатичная, суть в том, что весь трафик идет как обычно и только то что надо идет либо через впн либо прокси.
Тут тоже можно так сделать, только это не впн и не прокси, а значит бонусом будет отсутствие рекламы в тубе. Ссылка.
Бегло прочитал про квас, штука интересная, вроде даже умеет блокировать рекламу, надо поизучать подробнее, спасибо за наводку.
Здравствуйте. На Keenetic Ultra (KN-1810) всё работает прекрасно, огромное вам спасибо, теперь ожили SmartTV и ютуб на телефонах. Настраивал другому человеку Zyxel Omni II - все процессы пройдены, на самом последнем шаге (запуск)
Cannot find xt_multiport.ko kernel module, aborting
Если закомментировать (в if закомментил exit 1) в скрипте, то
Cannot find xt_NFQUEUE.ko kernel module, aborting
Тоже закомментировал.
Дальше идёт но с ошибками iptables, ютуб и остальное не работает.
Список библиотек ниже. Искал команды установки этих модулей в инете - не нашёл.
Прошивка там стоит втрого поколения? Какая версия? Компонент "Модули ядра подсистемы NetFilter" стоит?
да, компоненты стоят, прошивка 2.0.9, если не изменяет память (ну вообщем самая последняя), единственное в компонентах отсутствует
а на Ultra он был и установлен у меня, на Omni II просто нету такого, хотя IPv6 и все компоненты OPKG (в т.ч. Netfilter) стоят
Попробовал установить через insmod - не получилось
Прошивка 2.08
+скрины запуска
Работать не будет, т.к. нужны компоненты xt_***, которые и выпали у вас в ошибках.
У меня на KN-1811 (версия системы 4.1.7) тоже не установлен xtables-addons, но эти расширения есть в системе...
Судя по описанию состава xtables-addons, там таких расширений и нет.
Да я про Zyxel Omni II спрашивал (это у бабушки роутер), на новом (KN-1810) у меня всё ок. xt_multiport.ko и xt_NFQUEUE.ko никак нельзя отдельно поставить?
Возможно это или это вам поможет.
На WS880 у меня тоже не было xt_NFQUEUE.ko (остальные два не так важны, можно переписать скрипт и их не использовать), но появился после установки через opkg некоторых пакетов (уже и не помню какого из них точно, но список установленных ниже), я потом insmod'ом его подгрузил и все заработало.
Скрытый текст
bash - 5.2.21-1
ca-bundle - 20240203-1
ca-certificates - 20240203-1
coreutils - 9.3-1
coreutils-readlink - 9.3-1
coreutils-sort - 9.3-1
curl - 8.8.0-2
entware-opt - 227000-3
entware-release - 2024.07-1
entware-upgrade - 1.0-1
findutils - 4.10.0-1
git - 2.45.2-1
git-http - 2.45.2-1
grep - 3.11-1
gzip - 1.13-1
ipset - 7.21-1
iptables - 1.4.21-4
kmod - 32-1
libatomic - 8.4.0-11
libc - 2.23-11
libcurl - 8.8.0-2
libgcc - 8.4.0-11
libipset - 7.21-1
libmnl - 1.0.5-1
libncurses - 6.4-3
libncursesw - 6.4-3
libnet-1.2.x - 1.2-rc3-4
libnetfilter-queue - 1.0.5-4
libnfnetlink - 1.0.2-1
libopenssl - 3.0.14-2
libpcap - 1.10.4-1
libpcre2 - 10.42-1
libpthread - 2.23-11
libreadline - 8.2-1
librt - 2.23-11
libssp - 8.4.0-11
libstdcpp - 8.4.0-11
locales - 2.23-9
opkg - 2022.02.24~d038e5b6-2
procps-ng - 4.0.4-1
procps-ng-sysctl - 4.0.4-1
terminfo - 6.4-3
wget-ssl - 1.24.5-1
xtables-addons_legacy - 1.47.1-2
zlib - 1.3.1-1
zoneinfo-asia - 2024a-1
zoneinfo-core - 2024a-1
zoneinfo-europe - 2024a-1
к сожалению ничего не помогло(
Попробуйте систему обновить, т.к. я нашел такую инфу на известном ресурсе из четырех букв (не буду приводить ссылку, чтобы не забанили). В списке поддерживаемых есть Omni II.
Версия 2.13.A.3.0-1 от 24.07.2018:
OpenVPN: добавлены отладочные сообщения по проблеме с подключением
Opkg: добавлена поддержка NFQUEUE
Подскажите.
Хочу такой финт провернуть. Включить на роутере PPTP VPN и чтоб ко мне подключился клиентом с другого роутера. Завернёт весь трафик по ВПН, на то что настроил по инструкции? Хочу брата к своему роутеру подключить. У него совсем простой роутер от провайдера, но ВПН должен в настройках быть.
Я задам немного дилетанский вопрос - в сессии putty - запускаю - /opt/zapret/init.d/sysv/zapret start. При закрытии putty, вместе с закрытием сессии - не падает процесс "zapret"
И еще наблюдаю картину - на роутере keenetic giga - после старта сервиса, все работает 30 минут и далее "отрубает"... что бы это могло быть? падает сервис?
#NFQWS_OPT_DESYNC_HTTP= в примере значений никаких нет, а у меня были изначально. Может в самом Keenetic ещё что включить/отключить. Поднят OpenVPN AntiZapret, при его отключении ничего не меняется. Аналогично настраивал tpws на роутере Asus, там всё завелось, мне этого хватает, т.к. у меня нет теелков LG или Samsung, а у соседа как раз они и роутер Keenetic, подскажите пжл., что можно сделать. Я в этом не шарю, могу только копи-пастить и как подбирать значения для NFQWS_OPT_DESYNC_QUIC и NFQWS_OPT_DESYNC не знаю (. Заранее благодарю!Выполните команду /opt/zapret/init.d/sysv/zapret stop , потом в конфиге поменяйте MODE_FILTER на MODE_FILTER=none, затем исполните команду /opt/zapret/init.d/sysv/zapret start и проверяйте. Если много экспериментировали с настройками, то лучше роутер перезагрузить.
На LG и HAIER на Билайн (ipoe, Краснодар) при изначальной конфигурации не заработал, телефоны, планшеты, ноуты работают. При смене на значение "NONE" почти все сайты перестают работать (. На Южном Телекоме (PPPoE) дома ТВ бокс на прошивке от SlimBox (ATV v.11) тоже работает. Что заметил, при проверке "ifconfig" дома на внешнем интефейсе ppp0 вижу свой реальный внешний IP. А у соседа на Билайне на "eth3" отображается только IP, который роутер получает по локалке от провайдера, а реальный внешний IP вообще ни в каком интерфейсе не отображается(. Куда ещё копать?
Скрытый текст
/opt/zapret/ipset # /opt/etc/init.d/rc.unslung restart
Stopping daemon 1: /opt/zapret/nfq/nfqws
stopped /opt/zapret/nfq/nfqws (pid 917)
Stopping daemon 10: /opt/zapret/nfq/nfqws
stopped /opt/zapret/nfq/nfqws (pid 921)
Clearing iptables
Deleting iptables rule for nfqws postrouting (qnum 200) : -p tcp -m multiport - -dports 80,443 -m connbytes --connbytes-dir=original --connbytes-mode=packets -- connbytes 1:9 -m mark ! --mark 0x40000000/0x40000000
Deleting iptables rule for nfqws input+forward (qnum 200) : -p tcp -m multiport --sports 80,443 -m connbytes --connbytes-dir=reply --connbytes-mode=packets --c onnbytes 1:9
Deleting ip6tables rule for nfqws postrouting (qnum 200) : -p tcp -m multiport --dports 80,443 -m connbytes --connbytes-dir=original --connbytes-mode=packets - -connbytes 1:9 -m mark ! --mark 0x40000000/0x40000000
Deleting ip6tables rule for nfqws input+forward (qnum 200) : -p tcp -m multipor t --sports 80,443 -m connbytes --connbytes-dir=reply --connbytes-mode=packets -- connbytes 1:9
Deleting iptables rule for nfqws postrouting (qnum 210) : -p udp -m multiport - -dports 443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --con nbytes 1:9 -m mark ! --mark 0x40000000/0x40000000
Deleting ip6tables rule for nfqws postrouting (qnum 210) : -p udp -m multiport --dports 443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --co nnbytes 1:9 -m mark ! --mark 0x40000000/0x40000000
net.netfilter.nf_conntrack_tcp_be_liberal = 0
xt_multiport.ko is already loaded
xt_connbytes.ko is already loaded
xt_NFQUEUE.ko is already loaded
Starting daemon 1: /opt/zapret/nfq/nfqws --user=nobody --dpi-desync-fwmark=0x400 00000 --qnum=200 --dpi-desync=fake,disorder2 --dpi-desync-split-pos=1 --dpi-desy nc-ttl=0 --dpi-desync-fooling=md5sig,badsum --dpi-desync-repeats=6 --dpi-desync- any-protocol --dpi-desync-cutoff=d4 --hostlist=/opt/zapret/ipset/zapret-hosts-us er.txt --hostlist-exclude=/opt/zapret/ipset/zapret-hosts-user-exclude.txt --host list-auto=/opt/zapret/ipset/zapret-hosts-auto.txt --hostlist-auto-fail-threshold =3 --hostlist-auto-fail-time=60 --hostlist-auto-retrans-threshold=3
Starting daemon 10: /opt/zapret/nfq/nfqws --user=nobody --dpi-desync-fwmark=0x40 000000 --qnum=210 --user=nobody --dpi-desync-fwmark=0x40000000 --dpi-desync=fake ,disorder2 --dpi-desync-repeats=6 --dpi-desync-ttl=0 --dpi-desync-any-protocol --dpi-desync-cutoff=d4 --dpi-desync-fooling=md5sig,badsum --hostlist=/opt/zapret /ipset/zapret-hosts-user.txt --hostlist-exclude=/opt/zapret/ipset/zapret-hosts-u ser-exclude.txt --hostlist-auto=/opt/zapret/ipset/zapret-hosts-auto.txt --hostli st-auto-fail-threshold=3 --hostlist-auto-fail-time=60 --hostlist-auto-retrans-th reshold=3
Applying iptables
Creating ip list table (firewall type iptables)
setting high oom kill priority
reloading ipset backend (no-update)
Adding iptables rule for nfqws postrouting (qnum 200) : -p tcp -m multiport --d ports 80,443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --co nnbytes 1:9 -m mark ! --mark 0x40000000/0x40000000
Adding iptables rule for nfqws input+forward (qnum 200) : -p tcp -m multiport - -sports 80,443 -m connbytes --connbytes-dir=reply --connbytes-mode=packets --con nbytes 1:9
Adding ip6tables rule for nfqws postrouting (qnum 200) : -p tcp -m multiport -- dports 80,443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --c onnbytes 1:9 -m mark ! --mark 0x40000000/0x40000000
Adding ip6tables rule for nfqws input+forward (qnum 200) : -p tcp -m multiport --sports 80,443 -m connbytes --connbytes-dir=reply --connbytes-mode=packets --co nnbytes 1:9
Adding iptables rule for nfqws postrouting (qnum 210) : -p udp -m multiport --d ports 443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connb ytes 1:9 -m mark ! --mark 0x40000000/0x40000000
Adding ip6tables rule for nfqws postrouting (qnum 210) : -p udp -m multiport -- dports 443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --conn bytes 1:9 -m mark ! --mark 0x40000000/0x40000000
net.netfilter.nf_conntrack_tcp_be_liberal = 1
/opt/zapret/ipset #
Посмотрел, у Вас в конфиге какая-то каша с внешними интерфейсами, зачем там br0 это вообще не WAN, а LAN, убирайте все оставляйте eth3 если не используется тунель в интернет или оставляйте ppp0, если используется тунель. Меняйте фильтр на режим none и перезагружайте роутер полностью.
По IP - все верно, есть серые и белые IP-адреса, чтобы провайдер давал белый - это очень редко. Так что смотрите IP, который выдаёт провайдер и неважно какой он там.
br0 уже потом раскомментировал, читал здесь в одном из комментов. Когда выставлял "NONE" вообще большинство сайтов и приложений (VoKino, LazyMediaDekuxe, Zona и т.д.) перстают открываться (. Больше всего понравилось, как работают устройства в режиме фильтрации только YT и соцсетей, и при PPPoE на Югтелекоме работает на всех устройствах, приношу этот же роутер к соседу на Билайн (ipoe), меняю интерфейс на eth, перезапускаю Entware или Zapret, перезагружаю роутер, работает только на ноутах и телефонах (Android и IOS), на Haier и LG не работает (.
Что означает не работает на телевизорах, не грузится интерфейс или видео? Какие домены google в список вносили?
После запуска, значок с полосой загрузки и звук, далее тёмный экран.
Скрытый текст
ggpht.com
googleapis.com
googleusercontent.com
googlevideo.com
gstatic.com
gvt1.com
i.ytimg.com
i9.ytimg.com
nhacmp3youtube.com
www.youtube.com
youtu.be
youtube-ui.l.google.com
youtube.com
youtubei.googleapis.com
yt3.ggpht.com
yt3.googleusercontent.com
yt4.ggpht.com
yt4.googleusercontent.com
ytimg.com
ytimg.l.google.com
ytstatic.l.google.com
Удалил.
Ребята, такая проблема:
IFACE_WAN=br0 - YouTube не работает нигде, но работает KeenDNS и SSTP, а они очень нужны для удаленного доступа.
IFACE_WAN=eth2.2 - YouTube работает и по проводу и по Wi-Fi, но не работает KeenDNS и SSTP.
IFACE_WAN=ezcfg0 - YouTube работает только по Wi-Fi, но не работает KeenDNS и SSTP.
Что попробовать еще?
Прошу прощения, немного некорректно написал:
IFACE_WAN=br0 - YouTube не работает нигде, но работает KeenDNS и SSTP, а они очень нужны для удаленного доступа.
IFACE_WAN=eth2.2 и IFACE_WAN=ezcfg0 ведут себя одинаково, ютуб везде работает, но не работает KeenDNS и SSTP.
Немного поясню. В цепочке сначала подключен к DSL сети роутер TP-Link, к которому уже подключен Keenetic Viva тоже в режиме роутера, так как в режиме ретранслятора ничего не работает. Вот таблица ifconfig, попробовал все с ip адресами. Может быть попробовать интерфейсы с ip6 адресами?
Вообще ip адрес роутера 1.101 что соответствует eth2.2, но собака перестают работать Keendns и SSTP
br0 Link encap:Ethernet HWaddr 50:FF:20:A3:5D:BC
inet addr:192.168.2.1 Bcast:192.168.2.255 Mask:255.255.255.0
inet6 addr: fda6:dd78:4714:0:52ff:20ff:fea3:5dbc/64 Scope:Global
inet6 addr: fe80::52ff:20ff:fea3:5dbc/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:32127 errors:0 dropped:0 overruns:0 frame:0
TX packets:68743 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:7049745 (6.7 MiB) TX bytes:21576998 (20.5 MiB)
eth2 Link encap:Ethernet HWaddr 50:FF:20:A3:5D:BC
inet6 addr: fe80::52ff:20ff:fea3:5dbc/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:166883 errors:0 dropped:0 overruns:0 frame:0
TX packets:213898 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:2000
RX bytes:64080702 (61.1 MiB) TX bytes:60972101 (58.1 MiB)
Interrupt:28
eth2.1 Link encap:Ethernet HWaddr 50:FF:20:A3:5D:BC
inet6 addr: fe80::52ff:20ff:fea3:5dbc/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:14437 errors:0 dropped:0 overruns:0 frame:0
TX packets:55578 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:3458455 (3.2 MiB) TX bytes:13374304 (12.7 MiB)
eth2.2 Link encap:Ethernet HWaddr 50:FF:20:A3:5D:BD
inet addr:192.168.1.101 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::52ff:20ff:fea3:5dbd/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:116946 errors:0 dropped:0 overruns:0 frame:0
TX packets:117078 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:49817855 (47.5 MiB) TX bytes:42425958 (40.4 MiB)
eth2.3 Link encap:Ethernet HWaddr 52:FF:20:A3:5D:BB
inet6 addr: fe80::50ff:20ff:fea3:5dbb/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:17 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:1926 (1.8 KiB)
ezcfg0 Link encap:Ethernet HWaddr B6:B4:2C:7F:C4:2E
inet addr:78.47.125.180 Bcast:78.255.255.255 Mask:255.255.255.255
UP BROADCAST MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:65536 Metric:1
RX packets:9572 errors:0 dropped:0 overruns:0 frame:0
TX packets:9572 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1
RX bytes:644420 (629.3 KiB) TX bytes:644420 (629.3 KiB)
ra0 Link encap:Ethernet HWaddr 50:FF:20:A3:5D:BC
inet6 addr: fe80::52ff:20ff:fea3:5dbc/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
Interrupt:21
ra7 Link encap:Ethernet HWaddr 52:FF:20:F3:5D:BC
inet6 addr: fe80::50ff:20ff:fef3:5dbc/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:94 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
ra7.1 Link encap:Ethernet HWaddr 52:FF:20:F3:5D:BC
inet6 addr: fe80::50ff:20ff:fef3:5dbc/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:46802 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 B) TX bytes:6109281 (5.8 MiB)
ra7.2 Link encap:Ethernet HWaddr 52:FF:20:F3:5D:BC
inet6 addr: fe80::50ff:20ff:fef3:5dbc/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 B) TX bytes:888 (888.0 B)
rai0 Link encap:Ethernet HWaddr 50:FF:20:A3:5D:BE
inet6 addr: fe80::52ff:20ff:fea3:5dbe/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:65003 errors:1794 dropped:0 overruns:0 frame:0
TX packets:70115 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:24565223 (23.4 MiB) TX bytes:49361710 (47.0 MiB)
Interrupt:20
rai7 Link encap:Ethernet HWaddr 52:FF:20:F3:5D:BE
inet6 addr: fe80::50ff:20ff:fef3:5dbe/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:93 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
rai7.1 Link encap:Ethernet HWaddr 52:FF:20:F3:5D:BE
inet6 addr: fe80::50ff:20ff:fef3:5dbe/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:46804 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 B) TX bytes:6109501 (5.8 MiB)
rai7.2 Link encap:Ethernet HWaddr 52:FF:20:F3:5D:BE
inet6 addr: fe80::50ff:20ff:fef3:5dbe/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:9 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 B) TX bytes:958 (958.0 B)
sstp-br-link Link encap:Ethernet HWaddr FE:09:96:9D:EE:E6
UP BROADCAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
sstp-bridge Link encap:Ethernet HWaddr A6:27:74:79:59:08
UP BROADCAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
sstp0 Link encap:Point-to-Point Protocol
inet addr:192.168.2.1 P-t-P:172.16.3.33 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1350 Metric:1
RX packets:1829 errors:0 dropped:0 overruns:0 frame:0
TX packets:1907 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:413117 (403.4 KiB) TX bytes:825713 (806.3 KiB)Коллеги, помогите разобраться. Настроил zapret, всё прекрасно работало на всех устройствах - андроид, смарт-тв и т.п. Поэтом со временем заметил такую штуку, что на некоторых андроид устройствах интернет начал лагать - к примеру телеграмм часто устанавливает соединение при отправки сообщений или долго скачивает видео зависая, а также сервисы связанные с гугл лагают, точнее интерфейсы на анройде. Причем, это происходит не у всех устройств, что работают в этой сети, а у некоторых. Помогите как найти проблему, как диагностировать.
Продолжу эпопею. Поставил фильтрацию чисто ютуба, все норм, на ноутбуке все работает.
На телевизоре Samsung через какое-то время перестает работать, комментарии пролистал, вроде все нормально. Куда еще можно покопать?
~ # /opt/zapret/init.d/sysv/zapret restart
Stopping daemon 1: /opt/zapret/nfq/nfqws
stopped /opt/zapret/nfq/nfqws (pid 734)
Stopping daemon 10: /opt/zapret/nfq/nfqws
stopped /opt/zapret/nfq/nfqws (pid 738)
Clearing iptables
Deleting iptables rule for nfqws postrouting (qnum 200) : -p tcp -m multiport --dports 80,443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000
Deleting iptables rule for nfqws input+forward (qnum 200) : -p tcp -m multiport --sports 80,443 -m connbytes --connbytes-dir=reply --connbytes-mode=packets --connbytes 1:1
Deleting ip6tables rule for nfqws postrouting (qnum 200) : -p tcp -m multiport --dports 80,443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000
Deleting ip6tables rule for nfqws input+forward (qnum 200) : -p tcp -m multiport --sports 80,443 -m connbytes --connbytes-dir=reply --connbytes-mode=packets --connbytes 1:1
Deleting iptables rule for nfqws postrouting (qnum 210) : -p udp -m multiport --dports 443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000
Deleting ip6tables rule for nfqws postrouting (qnum 210) : -p udp -m multiport --dports 443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000
xt_multiport.ko is already loaded
xt_connbytes.ko is already loaded
xt_NFQUEUE.ko is already loaded
Starting daemon 1: /opt/zapret/nfq/nfqws --user=nobody --dpi-desync-fwmark=0x40000000 --qnum=200 --dpi-desync=fake,disorder2 --dpi-desync-split-pos=1 --dpi-desync-ttl=0 --dpi-desync-fooling=md5sig,badsum --dpi-desync-repeats=6 --dpi-desync-any-protocol --dpi-desync-cutoff=d4 --hostlist=/opt/zapret/ipset/zapret-hosts-user.txt --hostlist-exclude=/opt/zapret/ipset/zapret-hosts-user-exclude.txt
Starting daemon 10: /opt/zapret/nfq/nfqws --user=nobody --dpi-desync-fwmark=0x40000000 --qnum=210 --user=nobody --dpi-desync-fwmark=0x40000000 --dpi-desync=fake,disorder2 --dpi-desync-repeats=6 --dpi-desync-ttl=0 --dpi-desync-any-protocol --dpi-desync-cutoff=d4 --dpi-desync-fooling=md5sig,badsum --hostlist=/opt/zapret/ipset/zapret-hosts-user.txt --hostlist-exclude=/opt/zapret/ipset/zapret-hosts-user-exclude.txt
Applying iptables
Creating ip list table (firewall type iptables)
setting high oom kill priority
reloading ipset backend (no-update)
Adding iptables rule for nfqws postrouting (qnum 200) : -p tcp -m multiport --dports 80,443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000
Adding iptables rule for nfqws input+forward (qnum 200) : -p tcp -m multiport --sports 80,443 -m connbytes --connbytes-dir=reply --connbytes-mode=packets --connbytes 1:1
Adding ip6tables rule for nfqws postrouting (qnum 200) : -p tcp -m multiport --dports 80,443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000
Adding ip6tables rule for nfqws input+forward (qnum 200) : -p tcp -m multiport --sports 80,443 -m connbytes --connbytes-dir=reply --connbytes-mode=packets --connbytes 1:1
Adding iptables rule for nfqws postrouting (qnum 210) : -p udp -m multiport --dports 443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000
Adding ip6tables rule for nfqws postrouting (qnum 210) : -p udp -m multiport --dports 443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000Проверьте работу скрипта /opt/etc/ndm/netfilter.d/000-zapret.sh , нет ошибок, права на исполнение есть? Что в логе пишет по этому скрипту?
Работа скрипта ошибок не выводит:
~ # /opt/etc/ndm/netfilter.d/000-zapret.sh
~ #Права на исполнение есть. Лог:
Авг 23 13:13:15 ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Clearing iptables.
Авг 23 13:13:15 ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Deleting iptables rule for nfqws postrouting (qnum 200) : -p tcp -m multiport --dports 80,443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000.
Авг 23 13:13:15 ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Deleting iptables rule for nfqws input+forward (qnum 200) : -p tcp -m multiport --sports 80,443 -m connbytes --connbytes-dir=reply --connbytes-mode=packets --connbytes 1:1.
Авг 23 13:13:15 ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Deleting ip6tables rule for nfqws postrouting (qnum 200) : -p tcp -m multiport --dports 80,443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000.
Авг 23 13:13:15 ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Deleting ip6tables rule for nfqws input+forward (qnum 200) : -p tcp -m multiport --sports 80,443 -m connbytes --connbytes-dir=reply --connbytes-mode=packets --connbytes 1:1.
Авг 23 13:13:15 ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Deleting iptables rule for nfqws postrouting (qnum 210) : -p udp -m multiport --dports 443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000.
Авг 23 13:13:15 ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Deleting ip6tables rule for nfqws postrouting (qnum 210) : -p udp -m multiport --dports 443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000.
Авг 23 13:13:15 ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Applying iptables.
Авг 23 13:13:15 ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Creating ip list table (firewall type iptables).
Авг 23 13:13:15 ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: setting high oom kill priority.
Авг 23 13:13:15 ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: reloading ipset backend (no-update).
Авг 23 13:13:16 ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Adding iptables rule for nfqws postrouting (qnum 200) : -p tcp -m multiport --dports 80,443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000.
Авг 23 13:13:16 ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Adding iptables rule for nfqws input+forward (qnum 200) : -p tcp -m multiport --sports 80,443 -m connbytes --connbytes-dir=reply --connbytes-mode=packets --connbytes 1:1.
Авг 23 13:13:16 ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Adding ip6tables rule for nfqws postrouting (qnum 200) : -p tcp -m multiport --dports 80,443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000.
Авг 23 13:13:16 ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Adding ip6tables rule for nfqws input+forward (qnum 200) : -p tcp -m multiport --sports 80,443 -m connbytes --connbytes-dir=reply --connbytes-mode=packets --connbytes 1:1.
Авг 23 13:13:16 ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Adding iptables rule for nfqws postrouting (qnum 210) : -p udp -m multiport --dports 443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000.
Авг 23 13:13:16 ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Adding ip6tables rule for nfqws postrouting (qnum 210) : -p udp -m multiport --dports 443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000.Еще актуально, есть какие мысли?
В чем заключается "перестаёт работать на Samsung", при этом на других устройствах все работает? И после чего начинает заново работать?
Ноутбук и смартфоны все работает. Но телевизор Samsung перестает грузить ютуб вскоре после перезагрузки роутера. Телевизор подключен по кабелю если это важно
Имеете ввиду, что после перезагрузки роутера работает какое-то время, потом перестаёт, и пока не перезагрузить роутер не работает? А если перезагрузить только zapret? Очень страно, что на других устройствах работает нормально, а на телевизоре нет. Попробуйте заблокировать протокол QUIC, я тут писал, как это сделать.
А какие у вас переменные NFQWS_OPT_DESYNC и NFQWS_OPT_DESYNC_QUIC?
Всем привет. Установил на KN-1811, в целом все работает, но есть моменты которые не радуют. Например программа падает после после автозапуска при рестарте роутера, т.е. запускается, минут 5-10 работает, падает. Запускаешь в ручную - работает примерно 1-1,5 (пока больше не отловил). Опять запускаешь в ручную - работает.
Кто-нибудь сталкивался с таким?
Проверьте работу скрипта /opt/etc/ndm/netfilter.d/000-zapret.sh , нет ошибок, права на исполнение есть? Что в логе пишет по этому скрипту?
Привет! Спасибо за отличный гайд! Я правда ставил на сяоми, и там много чего не смог, абзад с Маскарадом у меня не работал... Все работает кроме как на тв, но туда я прокси поставил. Однако у меня перестали работать многие сайты, у меня все работает в режиме пропуска всего и Алиэкспресс и многое другое не грузит. Поставил ipset, вставил в zapret-hosts-user.txt нужные сайты, но все равно также обрабатывает весь трафик... Можешь подсказать как исправить? Кинетик за 10к брать ой как не хочется) P.s. файл exclude остался с базовыми значениями, при попытке скачать готовые ipset с github zapret также дает ошибку, поэтому хочу хотя бы так починиться
В файле /opt/zapret/config измените MODE_FILTER на MODE_FILTER=hostlist, и потом в файлах /opt/zapret/ipset/zapret-hosts-user.txt прописывайте свои домены, которые нужно обрабатывать, файл/opt/zapret/ipset/zapret-hosts-user-exclude.txt - пустой. Пишется по одному домину или IP на строчку. То что там изначально написано в файлах - удалите. После перезапустите zapret.
/opt/etc/ndm/netfilter.d/000-zapret.sh: line 4: syntax error: unterminated quoted string
но там всего три строки.
" ] && exit 0
[ "$table" != "mangle" ] && exit 0
/opt/zapret/init.d/sysv/zapret restart-fw
Мне в подобной ситуации помогло закомментирование такой строки в 000-zapret.sh:
#[ "$type" == "ip6tables" ] && exit 0
@Keenet
Заметил утечку памяти на KN-1811. Есть какой то способ устранить утечку без перезагрузки роутера?
Отвечу сам себе. Нашел ответ тут. Вкратце - ждем версию 4.2, в ней поправят ядро и перестанет течь память.
Доброго времени суток, сделал все по инструкции на Giga (KN-1011) все сайты и YouTube прекрасно работают. Но столкнулся с непонятными перезагрузками роутера происходят непредсказуемо, может 1 раз за сутки, может за час несколько раз. Настроил syslog, но там вроде ничего криминального, утечки памяти нет, проц не вообще не напрягается. В чем может быть проблема не могу понять, может пересобрать с 0. До установки Entware и Zapret роутер месяцами работал без перезагрузок от обновления до обновления. (из специфических настроек использование 3 ssid на домашней сети с разными настройками защиты). Есть какие мысли на этот счет?
Вопрос актуальный. ТП кинетика посоветовала обновить до 4.2 Beta 3 но лучше не стало, перезагрузки повторяются особо часто когда работаю с ноутбука на 5ггц (1200м/бит) куда копать не знаю
Скрин неких пугающих ошибок в логах
Подскажите пожалуйста, как работать с blocklist.sh? При выполнении куча code=52. Гонял скрипт, чтобы понять куда копать, т.к. на ПК все работает нормально, но на Андроиде (мобила и ТВ) все дико лагает...
Всем доброго времени суток. Подскажите пожалуйста в чем может быть причина не запуска zapret?
~ # /opt/zapret/init.d/sysv/zapret start
-sh: /opt/zapret/init.d/sysv/zapret: not foundФайл zapret в папке есть
/opt/zapret/init.d/sysv # ls
custom custom-tpws4http-nfqws4https
custom-nfqws-dht4all custom.default
custom-nfqws-quic4all functions
custom-reuse-builtin-mode zapret
Не могу установить данный пакет, ошибка в строке 426. На роутере Keenetic PEAK на внутреннюю память. Прошу помощи.
Здравствуйте! Спасибо большое за инструкцию, все работает прекрасно. По инструкции с гитхаба автора не удалось запустить =))) Но есть один вопросик, очень калит надпись в диагностике:
Авг 28 10:53:59
ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: /opt/etc/ndm/netfilter.d/000-zapret.sh: exit: line 2: Illegal number: 0.
Авг 28 10:53:59
ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: exit code 2.
Вот сам код скрипта из вашей инструкции:
#!/bin/sh
[ "
table" != "mangle" ] && exit 0
[ "$table" != "mangle" ] && exit 0
/opt/zapret/init.d/sysv/zapret restart-fw
Вставляем в файл следующий код:
#!/bin/sh[ "$type" == "ip6tables" ] && exit 0
[ "$table" != "mangle" ] && exit 0
/opt/zapret/init.d/sysv/zapret restart-fw
Можно "разжевать" подробнее? Я установил всё по инструкции, день работало идеально, теперь в логе Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: exit code -1.
На роутер не могу зайти, ssh connection refused. Ни на 22, ни на 222. А ведь как-то я zapret установил.
Роутер случайно не выключался или перезагружался методом "розетки"? На порт 22 должен в любом случае заходить, перезагрузите через интерфейс роутер, и заходите заново на 22, когда войдете, перейти в режим BusyBox и выполните команду: /opt/etc/init.d/S51dropbear restart и проверяйте вход на порт 222, должно войти.
По скрипту - открывайте его в редакторе vi и смотрите, чтобы там было ровно то что в статье и не было никаких спец. символов.
После входа в CLI и exec sh роутер предлагает заново войти в командную строку. busybox не хочет стартовать.
В скрипте никаких спец. символов, я его набирал в nano.
Буду форматировать флешку и заново устанавливать. Хорошо все конфиги предварительно сохранил.
Разобрался. Для установки репозитория Entware вы предлагаете ссылку на русскоязычный сайт Кинетика. Для моей архитектуры mipsel - https://bin.entware.net/mipselsf-k3.4/installer/mipsel-installer.tar.gz. Я же скачал с англоязычного сайта https://bin.entware.net/mipselsf-k3.4/installer/EN_mipsel-installer.tar.gz, сохранил на флешку в install, переименовал убрав EN_ и установил. Всё, ни каких проблем. exec sh из терминала переключает. С русскоязычного - exec sh просто перелогинивает в командной строке. Файлы отличаются по размерам. Скорее всего для русскоязычного сайта Кинетика установщик Entware собран некорректно.
Прошу помочь разобраться.
Сейчас в config вот так:
NFQWS_OPT_DESYNC="--dpi-desync=fake,disorder2 --dpi-desync-split-pos=1 --dpi-desync-ttl=0 --dpi-desync-fooling=md5sig,badsum --dpi-desync-repeats=6 --dpi-desync-any-protocol --dpi-desync-cutoff=d4"
NFQWS_OPT_DESYNC_QUIC="--dpi-desync=fake,disorder2 --dpi-desync-repeats=6 --dpi-desync-ttl=0 --dpi-desync-any-protocol --dpi-desync-cutoff=d4 --dpi-desync-fooling=md5sig,badsum"
и
MODE_FILTER=none
На ноуте всё нормально работает, открываются заблокированные сайты, кроме Face. Но на телефоне ничего не поменялось - youtube тормозит. Превью грузятся кое как, а виде нет.
Здравствуйте, уважаемый Keenet! Установил себе на Keenetic Viva KN-1910 на USB Zapret. Фильтрация по хост листу. NFQWS_OPT_DESYNC /NFQWS_OPT_DESYNC_QUIC брал из статьи, но после начал менять значения в поисках работоспособности. И вот столкнулся с тем, что часть времени все работает удовлетворительно, но немного погодя сильно начинает глючить и сам кинетик - в вебморду зайти тяжело, подключиться к нему тоже, вышеназванный Ютуб отказывается загружаться, доходит до того, что большинство сайтов лежит. Но стоит перезагрузизть Запрет, как работоспособность восстанавливается. Не могли бы вы подсказать, в какую сторону копать, в чем может быть причина столь неприятного поведения?
upd: кажись и корнем моих проблем оказалась утечка памяти...
Да, у меня такие же симптомы были, и да - утечка памяти. Как временное решение - поставил cron и в 4:30 утра перезагрузка. Но только "мягкая" перезагрузка /opt/sbin/reboot.sh
Скорее всего утечка памяти. Отключите в настройках роутера аппаратный сетевой ускоритель. А так нужно ждать патч в ядре прошивки, обещают в следующей версии бета прошивки.
Здравствуйте! Все настроил по инструкции на роутере Keenetic hopper(kn-3810) - все работает. Потом настраиваю на Keenetic ultra(kn-1811) - работает, но когда отключаю ноутбук через который производил настройку, работать перестает, после обратного подключения ноутбука и запуска скрипта работает снова. подскажите, что может быть?
приветствую, благодарю за гайд. подскажите, есть ли возможность обойтись без флешки?) например, командами в терминале передать файлы в файловую систему роутера?
Спасибо! Все работает. НО! У меня на роутере два WAN (два провайдера). На первом интерфейсе все работает, на втором нет.
Сам алгоритм работает без проблем на обеих провайдерах.
У меня 2 прова - А и Б.
Если в политиках А стоит первым, а Б вторым, то на А все прекрасно, а на Б не работает модификация трафика.
Если меняю местами - ставлю на первое место Б, а на второе А, то на Б все прекрасно, а на А не работает.
Можете что-то посоветовать?
Покажите что у Вас в файле /opt/zapret/config
# this file is included from init scripts
# change values here
# can help in case /tmp has not enough space
#TMPDIR=/opt/zapret/tmp
# redefine user for zapret daemons. required on Keenetic
WS_USER=nobody
# override firewall type : iptables,nftables,ipfw
FWTYPE=iptables
# options for ipsets
# maximum number of elements in sets. also used for nft sets
SET_MAXELEM=522288
# too low hashsize can cause memory allocation errors on low RAM systems , even if RAM is enough
# too large hashsize will waste lots of RAM
IPSET_OPT="hashsize 262144 maxelem $SET_MAXELEM"
# dynamically generate additional ip. $1 = ipset/nfset/table name
#IPSET_HOOK="/etc/zapret.ipset.hook"
# options for ip2net. "-4" or "-6" auto added by ipset create script
IP2NET_OPT4="--prefix-length=22-30 --v4-threshold=3/4"
IP2NET_OPT6="--prefix-length=56-64 --v6-threshold=5"
# options for auto hostlist
AUTOHOSTLIST_RETRANS_THRESHOLD=3
AUTOHOSTLIST_FAIL_THRESHOLD=3
AUTOHOSTLIST_FAIL_TIME=60
# 1 = debug autohostlist positives to ipset/zapret-hosts-auto-debug.log
AUTOHOSTLIST_DEBUGLOG=0
# number of parallel threads for domain list resolves
MDIG_THREADS=30
# ipset/*.sh can compress large lists
GZIP_LISTS=1
# command to reload ip/host lists after update
# comment or leave empty for auto backend selection : ipset or ipfw if present
# on BSD systems with PF no auto reloading happens. you must provide your own command
# set to "-" to disable reload
#LISTS_RELOAD="pfctl -f /etc/pf.conf"
# override ports
#HTTP_PORTS=80-81,85
#HTTPS_PORTS=443,500-501
#QUIC_PORTS=443,444
# CHOOSE OPERATION MODE
# MODE : nfqws,tpws,tpws-socks,filter,custom
# nfqws : nfqws for dpi desync
# tpws : tpws transparent mode
# tpws-socks : tpws socks mode
# filter : no daemon, just create ipset or download hostlist
# custom : custom mode. should modify custom init script and add your own code
MODE=nfqws
# apply fooling to http
MODE_HTTP=1
# for nfqws only. support http keep alives. enable only if DPI checks for http request in any outgoing packet
MODE_HTTP_KEEPALIVE=0
# apply fooling to https
MODE_HTTPS=1
# apply fooling to quic
MODE_QUIC=1
# none,ipset,hostlist,autohostlist
MODE_FILTER=hostlist
# CHOOSE NFQWS DAEMON OPTIONS for DPI desync mode. run "nfq/nfqws --help" for option list
DESYNC_MARK=0x40000000
DESYNC_MARK_POSTNAT=0x20000000
NFQWS_OPT_DESYNC="--dpi-desync=fake,disorder2 --dpi-desync-split-pos=1 --dpi-desync-ttl=0 --dpi-desync-fooling=md5sig,badsum --dpi-desync-repeats=6 --dpi-desync-any-protocol --dpi-desync-cutoff=d4"
#NFQWS_OPT_DESYNC="--dpi-desync=fake --dpi-desync-ttl=0 --dpi-desync-ttl6=0 --dpi-desync-fooling=badsum"
#NFQWS_OPT_DESYNC_HTTP="--dpi-desync=split --dpi-desync-ttl=0 --dpi-desync-fooling=badsum"
#NFQWS_OPT_DESYNC_HTTPS="--wssize=1:6 --dpi-desync=split --dpi-desync-ttl=0 --dpi-desync-fooling=badsum"
#NFQWS_OPT_DESYNC_HTTP6="--dpi-desync=split --dpi-desync-ttl=5 --dpi-desync-fooling=none"
#NFQWS_OPT_DESYNC_HTTPS6="--wssize=1:6 --dpi-desync=split --dpi-desync-ttl=5 --dpi-desync-fooling=none"
NFQWS_OPT_DESYNC_QUIC="--dpi-desync=fake,disorder2 --dpi-desync-repeats=6 --dpi-desync-ttl=0 --dpi-desync-any-protocol --dpi-desync-cutoff=d4 --dpi-desync-fooling=md5sig,badsum"
#NFQWS_OPT_DESYNC_QUIC="--dpi-desync=fake --dpi-desync-repeats=6"
#NFQWS_OPT_DESYNC_QUIC6="--dpi-desync=hopbyhop"
# CHOOSE TPWS DAEMON OPTIONS. run "tpws/tpws --help" for option list
TPWS_OPT="--hostspell=HOST --split-http-req=method --split-pos=3 --oob"
# openwrt only : donttouch,none,software,hardware
FLOWOFFLOAD=donttouch
# openwrt: specify networks to be treated as LAN. default is "lan"
#OPENWRT_LAN="lan lan2 lan3"
# openwrt: specify networks to be treated as WAN. default wans are interfaces with default route
#OPENWRT_WAN4="wan vpn"
#OPENWRT_WAN6="wan6 vpn6"
# for routers based on desktop linux and macos. has no effect in openwrt.
# CHOOSE LAN and optinally WAN/WAN6 NETWORK INTERFACES
# or leave them commented if its not router
# it's possible to specify multiple interfaces like this : IFACE_LAN="eth0 eth1 eth2"
# if IFACE_WAN6 is not defined it take the value of IFACE_WAN
#IFACE_LAN=eth0
IFACE_WAN="eth2.4 eth2.5"
#IFACE_WAN6="ipsec0 wireguard0 he_net"
# should start/stop command of init scripts apply firewall rules ?
# not applicable to openwrt with firewall3+iptables
INIT_APPLY_FW=1
# firewall apply hooks
#INIT_FW_PRE_UP_HOOK="/etc/firewall.zapret.hook.pre_up"
#INIT_FW_POST_UP_HOOK="/etc/firewall.zapret.hook.post_up"
#INIT_FW_PRE_DOWN_HOOK="/etc/firewall.zapret.hook.pre_down"
#INIT_FW_POST_DOWN_HOOK="/etc/firewall.zapret.hook.post_down"
# do not work with ipv4
#DISABLE_IPV4=1
# do not work with ipv6
DISABLE_IPV6=0
# select which init script will be used to get ip or host list
# possible values : get_user.sh get_antizapret.sh get_combined.sh get_reestr.sh get_hostlist.sh
# comment if not required
GETLIST=get_antizapret_domains.sh
eth2.4 Link encap:Ethernet HWaddr 00:15:*:*:*:0D
inet addr:*.*.*.* Bcast:*.*.*.255 Mask:255.255.252.0
inet6 addr: fe80::*:*:fe08:660d/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:316688706 errors:0 dropped:2306818 overruns:0 frame:0
TX packets:185688810 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:368142258283 (342.8 GiB) TX bytes:19968129244 (18.5 GiB)
eth2.5 Link encap:Ethernet HWaddr 00:15:*:*:*:0E
inet addr:*.*.*.* Bcast:*.*.*.255 Mask:255.255.255.0
inet6 addr: fe80::*:*:fe08:660e/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:68566397 errors:0 dropped:104940 overruns:0 frame:0
TX packets:9521881 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:64133159286 (59.7 GiB) TX bytes:1147129701 (1.0 GiB)
Звездочки в выдаче ifconfig это я поставил. Т.е. по выбору интерфейсов там все верно.
Посмотрите, какие правила создаются в таблице: iptables-save | grep "queue-num 200"
~ # iptables-save | grep "queue-num 200"
-A INPUT -i eth2.5 -p tcp -m multiport --sports 80,443 -m connbytes --connbytes 1:1 --connbytes-mode packets --connbytes-dir reply -m set ! --match-set nozapret src -j NFQUEUE --queue-num 200 --queue-bypass
-A INPUT -i eth2.4 -p tcp -m multiport --sports 80,443 -m connbytes --connbytes 1:1 --connbytes-mode packets --connbytes-dir reply -m set ! --match-set nozapret src -j NFQUEUE --queue-num 200 --queue-bypass
-A FORWARD -i eth2.5 -p tcp -m multiport --sports 80,443 -m connbytes --connbytes 1:1 --connbytes-mode packets --connbytes-dir reply -m set ! --match-set nozapret src -j NFQUEUE --queue-num 200 --queue-bypass
-A FORWARD -i eth2.4 -p tcp -m multiport --sports 80,443 -m connbytes --connbytes 1:1 --connbytes-mode packets --connbytes-dir reply -m set ! --match-set nozapret src -j NFQUEUE --queue-num 200 --queue-bypass
-A POSTROUTING -o eth2.5 -p tcp -m multiport --dports 80,443 -m connbytes --connbytes 1:6 --connbytes-mode packets --connbytes-dir original -m mark ! --mark 0x40000000/0x40000000 -m set ! --match-set nozapret dst -j NFQUEUE --queue-num 200 --queue-bypass
-A POSTROUTING -o eth2.4 -p tcp -m multiport --dports 80,443 -m connbytes --connbytes 1:6 --connbytes-mode packets --connbytes-dir original -m mark ! --mark 0x40000000/0x40000000 -m set ! --match-set nozapret dst -j NFQUEUE --queue-num 200 --queue-bypass
~ #
Блин, у меня аналогичная проблема))
Здравствуйте, не сильно подкован в этой теме, но пытаюсь разобраться. Застрял на 10 шаге. Отредактировал файл по smb. После идет информация кто за что отвечает, а вот с 10 шага с автозагрузки не получается.
Прописываю - ln -fs /opt/zapret/init.d/sysv/zapret /opt/etc/init.d/S90-zapret Ничего не происходит.
Далее идет "Делаем это также в командной строке с помощью текстового редактора:
vi /opt/etc/ndm/netfilter.d/000-zapret.sh "
Вбиваю vi /opt/etc/ndm/netfilter.d/000-zapret.sh и дальше каждая строчка пишется 1\1, 2\2.
а внизу I /opt/etc/ndm/netfilter.d/000-zapret.sh [Modified] 1/1 100%.
Прошу сильно палками не бить, объясните что нужно делать с 10 шага человеку, который не сильно в теме. Vi пока не ставил, пытаюсь как то без него.
Папки где должны быть S90-zapret и 000-zapret.sh пустые.
что то делаю не так на этом шаге, но не знаю как правильно, подскажите пожалуйста.
Так Вы в редакторе vi открывате файлы. Когда снизу I значит режим редактирования, можно вставлять текст в строчки, после этого жмёте клавишу ESC , он перейдет в режим команд, и пишите команду :wq, чтобы записать и выйти из редактора.
ln -fs /opt/zapret/init.d/sysv/zapret /opt/etc/init.d/S90-zapret - команда создаёт ссылку, если ничего не пишет при выполнени команды - значит все норм.
Если смотрите файлы через smb, то учите, что у пользователя может не быть прав на чтение файла, и файл не будет виден. Установите на роутер файловый менеджер mc и смотрите, только под рутом.
Попытаюсь описать, как именно я застопорился. 9 шаг я выполнил, отредактировав файл с помощью SMB сервера текстовым редактором компьютера. Итоговый скрипт сверил с вашим. Далее прочитал информацию по iptables. Далее идет 10 шаг.
"После сохранения файла zapret делаем ссылку на скрипт zapret в автозагрузку:
ln -fs /opt/zapret/init.d/sysv/zapret /opt/etc/init.d/S90-zapret"
Прописываю это в Putty под root и нажимаю энтер - ничего не происходит.
Вы написали, что это норм, хорошо, тогда переходя к 11 шагу происходит это.
Необходимо создать скрипт. Написано делаем в командной строке с помощью редактора.
vi /opt/etc/ndm/netfilter.d/000-zapret.sh
MC поставил, прохожу по этому адресу, там пусто. Редактировать нечего. Сверил предыдущие шаги, все выполнил
вот тут пусто.
Если я вставляю в Putty (а не в vi - скорее всего в этом ошибка)
vi /opt/etc/ndm/netfilter.d/000-zapret.sh то получается так. И вот дальше я не знаю что делать. Vi не пользовался ни разу. Далее когда нажимаю ESC ничего не происходит.?
Я понимаю что я дилетант в этой теме, пытаюсь разобраться, прошу не судить строго и немного объяснить.
Нажмите в после редактирования скрипта ESC , он перейдет в режим команд, и просто на клавиатуре набирите команду :wq (с двоеточием) и нажмите клавишу ввод. Он сохранит файл и выйдет из редактора. Вы верно вставляете текст в редактор vi, нужно просто записать файл и выйти из редактора.
Да, не сохранял. Теперь сохранил. Получился такой файл:
Далее я захожу в Putty и прописываю команду chmod +x /opt/etc/ndm/netfilter.d/000-zapret.sh После нажатия энтер ничего не происходит.
Далее я делаю 12 шаг, создаю файл так же. После его создания прописываю команду chmod +x /opt/etc/init.d/S00fix в Putty?
Верно я понимаю?
Инструкция отличная, но не для случайных людей в IT. Чайникам делать тут делать нечего - потерялся после пункта
Также согласно комментарию автора данной утилиты для успешной работы с протоком QUIC через NFQWS на роутера Keenetic необходимо добавить маскарад на исходящий интерфейс WAN:
iptables -t nat -A POSTROUTING -o $IFACE_N -j MASQUERADE
Куда это вставлять, как?
Далее окно Putty стало какое то странное, а не как на сриншоте. Прекратил настройку.
Не могу понять в чем проблема, файл на диске есть
~ # opt/etc/ndm/netfilter.d/000-zapret.sh
-sh: opt/etc/ndm/netfilter.d/000-zapret.sh: not found
~ # chmod +x /opt/etc/ndm/netfilter.d/000-zapret.sh
~ # /opt/etc/ndm/netfilter.d/000-zapret.sh
-sh: /opt/etc/ndm/netfilter.d/000-zapret.sh: not found
upd: на удивление при этом все заработало, хотя файл все еще not found
Всех приветствую, подскажите пожалуйста нубасу, на роутере keenetic giga kn-1011 дошел до шага /opt # git clone --depth=1 https://github.com/bol-van/zapret.git
на что получаю вот такой ответ
sh: git: Permission denied
гуглить пробовал, ответа не нашел
что с этим делать?
Скажите, пожалуйста, еще хотел уточнить вопрос по поводу утечки памяти, у меня тоже ultra, насколько это критично? Как будет влиять на работу интернета?
Спасибо огромное за подробную инструкцию, все получилось! Не заработал ютуб только на яндекс станции
Спасибо автору за большую проделанную работу. Один вопрос беспокоит. У меня на роутер заходит два провайдера, соответственно по двум WAN интерфейсам. Получается так, что подобранные параметры подходят только для одного провайдера. Можно ли как-то настроить разные конфиги для каждого из WAN?
Добрый день, настраиваю KN-1811 с прошивкой 4.1.7, каждый раз когда я подхожу к настройке iptables у меня выскакивает
В чем может быть причина?
Спсасибо за инструкцию.
Все работает, но смущает надпись постоянная в логал кинетика.
Что это может быть?
Сен 2 16:45:36
ndmService: "SSH server": unexpectedly stopped.
Сен 2 16:45:39
dropbearFailed listening on '22': Error listening: Address in use
Сен 2 16:45:39
dropbearEarly exit: No listening ports available.
Сен 2 16:45:39
ndmService: "SSH server": unexpectedly stopped.
Сен 2 16:45:42
dropbearFailed listening on '22': Error listening: Address in use
Сен 2 16:45:42
dropbearEarly exit: No listening ports available.
Сен 2 16:45:42
ndmService: "SSH server": unexpectedly stopped.
Сен 2 16:45:45
dropbearFailed listening on '22': Error listening: Address in use
Сен 2 16:45:45
dropbearEarly exit: No listening ports available.
Сен 2 16:45:45
ndmService: "SSH server": unexpectedly stopped.
Сен 2 16:45:48
dropbearFailed listening on '22': Error listening: Address in use
Сен 2 16:45:48
dropbearEarly exit: No listening ports available.
Сен 2 16:45:48
ndmService: "SSH server": unexpectedly stopped.
На Asus RT-AX88 Мерлин сделал минимально (6 файлов - все работает. TV Samsung. Если кому необходимо напишу. (не факт что получится - от провайдеоа зависит - но есть отличия от Keenetiс.
Я делал по инструкции https://github.com/nikrays/Zapret-on-Keenetic, но сейчас она не доступна, подскажите вы закрыли свою страницу на гитхабе?
Приветствую, пока не получается каменный цветок. Может по принтскрину будет понятней где ошибка?
Подскажите пожалуйста, что случилось с https://github.com/nikrays/Zapret-on-Keenetic?
Keenet спасибо Вам огромное за содержательную инструкцию! Ребят может быть подскажите, подробно по шагам как установить cron и как настроить например чтобы с пн. по пт. zapret отключался в 6.00 и включался в 18.30 а в сб. и вс. работал весь день. А то не сильно во всём этом разбираюсь но по шагам думаю можно сделать.
inkda1 спасибо за ссылку, но это не то - там перезагрузка роутера, а я хотел сделать zapret по расписанию через cron.
пробовал в crontab прописать 30 18 * * 1-5 /opt/zapret/init.d/sysv/zapret start не работает ( , но при этом в журнале роутера задание выполняется, куда копать?
Привет! Во первых спасибо за отличный гайд, но пришлось из-за проблем с текстом+игнора ЛС взять keenetic hopper se (хотя мне он понравился). Предлагаю эти правки, и жду обновлений!
Внеси абзац с Маскардом и обьяснением в комменты, а то очень сильно путало
Укажи что Select Filtering это именно none, я из-за этого часов 10 наверное проторчал, пока не увидел, что не упоминая нигде, вместо ipset как на скриншоте, в конфиге уже прописано none, и это буквально все пофиксило.
Жесть какая... Кажется за столько шагов что угодно может пойти не так, учитывая какой зоопарк устройств существует.
А никак проще это всё провернуть нельзя?
Ребят помогите пожалуйста, ввожу в консоли в putty команду /opt/zapret/init.d/sysv/zapret stop - команда выполняется запрет останавливается, в crontab прописываю например 30 18 * * 1-5 /opt/zapret/init.d/sysv/zapret stop команда не работает, как сделать чтобы запрет работал по расписанию через cron???
А пробывали прописать вот так - 30 18 * * 1-5 "/opt/zapret/init.d/sysv/zapret stop" ?
Keenet спасибо, а то я уже голову "сломал", нет так не пробовал, вечером попробую отпишусь.
попробовал, прописал 55 20 * * 1-5 "/opt/zapret/init.d/sysv/zapret stop" данный метод не работает - ютуб как работал так и работает. При этом в журнале кинетика команда выполняется - пишет:
Сен 12 20:55:01 cron[6129]
(root) CMD ("/opt/zapret/init.d/sysv/zapret stop")
что делать, как быть???
сейчас попробовал ещё раз, вродь работает расписание, но есть какие то странности при остановке запрета по расписанию, почему то ютуб через раз, но работает - видео то грузит то не грузит, вообщем ещё понаблюдаю. Keenet Вам в любом случае огромное спасибо!!!
Доброго времени суток!
Никто случайно не знает можно ли как-то решить проблему "Cannot find xt_multiport.ko kernel module for kernel 3.4.113" возникающую при попытки запустить сервис на старых версиях прошивки? В прошивки "xt_multiport" в виде модуля не отображается, но тем не менее присутствует.
Добрый вечер, настраивал очередной роутер по вашей инструкции, все прекрасно работает кроме одного, когда скрипт запущен не коннектится к VPN на работе? Стоит остановить zapret и все сразу молниеносно подключается. Скажите пожалуйста какие настройки можно поправить чтоб заработало? Спасибо.
З.Ы. В конфиге zapret фильтрация стоит none
FYI: по инструкции в шапке на втором скрине все выбиралась дефолтное, но сейчас дефолтное значение изменилось: enable quic support (default : N) (Y/N) ? надо явно ответить "y". Или это не важно, в скрипте потом значение перезаписываем?
2 недели все работало нормально. Сейчас странности стали происходить. На всех устройствах стала вдруг загрузка. Все другие сайты открываются, кроме ютюба. Перезагрузка роутера не помогла. Если включить на приставке другие приблуды - ролики грузятся.На компьютере ютюб открывается, комментарии и все остальное грузится, кроме самого ролика. Включая goodbyedpi на пк, ролики начинают грузится. Я так понимаю сейчас нужно менять настройки запрета? В журнале никаких ошибок нет.
Если запустить гудбай с 1 или 2 пресетом - работает. С остальными не работает. До сегодня работал вроде бы с 5 и 6 пресетами. Что нужно поменять в настройках конфига запрета чтобы было примерно как тут?
Сегодня тоже youtube перестал показывать. На сайт заходит, при выборе видео начинает грузить и не показывает. Что нужно поменять в настройках? Zapret через tpws позволяет смотреть youtube как раньше.
предлагаю в связи с нынешними обстоятельствами обсудить параметры которые можно менять, чтобы снова заработал ютюб. Пробовал что то потыкать, но либо не влияло, либо вообще никуда не заходило
мне помогло вместо --dpi-desync-ttl=0 поставить --dpi-desync-autottl
другу на другом провайдере - не помогло
На каком провайдере помогло? На каком нет?
Предлагают fake убрать --dpi-desync=fake,disorder2 и оставить --dpi-desync=disorder2
у меня после того как fake убираю на андроид приставках не запускается
@Keenet Вы не настраивали пока или у вас все в порядке сегодня?
12.09.2024 - Походу все сломалось у всех...
Сегодня 3 устройства отвалились. Установка-переустановка, игра с параметрами результата не дали.
Помогло
NFQWS_OPT_DESYNC="--dpi-desync=fake,disorder2 --dpi-desync-split-pos=1 --dpi-desync-ttl=0
заменить на
NFQWS_OPT_DESYNC="--dpi-desync=disorder2 --dpi-desync-split-pos=1 --dpi-desync-autottl
Все открывает на всех устройствах
ютюб не хочет нивкакую
Помогло! В итоге все работает как прежде.
Было:
NFQWS_OPT_DESYNC="--dpi-desync=fake,disorder2 --dpi-desync-split-pos=1 --dpi-desync-ttl=0 --dpi-desync-fooling=md5sig,badsum --dpi-desync-repeats=6 --dpi-desync-any-protocol --dpi-desync-cutoff=d4"
Стало:
NFQWS_OPT_DESYNC="--dpi-desync=disorder2 --dpi-desync-split-pos=1 --dpi-desync-autottl --dpi-desync-fooling=md5sig,badsum --dpi-desync-repeats=6 --dpi-desync-any-protocol --dpi-desync-cutoff=d4"
Подскажите, на пк все вроде нормально работает, отклик моментальный, а на мобильных Android перед началом воспроизведения крутится загрузка секунд 10. Можно ли это как-то исправить?
Ростелеком, по комментариям убрал fake и установил autottl:
Youtube на компьютере работает, на iOS в сафари работает, в приложении работает, на LG WebOS не работает увы.
Настройки провел в:
NFQWS_OPT_DESYNC="--dpi-desync=disorder2 --dpi-desync-split-pos=1 --dpi-desync-autottl --dpi-desync-fooling=md5sig,badsum --dpi-desync-repeats=6 --dpi-desync-any-protocol --dpi-desync-cutoff=d4"
и
NFQWS_OPT_DESYNC_QUIC="--dpi-desync=disorder2 --dpi-desync-repeats=6 --dpi-desync-autottl --dpi-desync-any-protocol --dpi-desync-cutoff=d4 --dpi-desync-fooling=md5sig,badsum"
В общем в ответ всем выше написавшим о том, что перестал работать YouTube - да, и у меня тоже сегодня он перестал работать. По поводу решения данной проблемы пока могу сказать следующие:
1) Предложенный в комментариях вариант убрать режим fake- да это поможет на компьютере и телефоне, но не будет тогда работать телевизорах (по крайней мере тех, которые работают на устаревшем https с tls 1.2), так как только стратегия fake позволяет пробить блокировку с tls 1.2. Если устройств и приложений, использующих tls 1.2, нет, тогда можно использовать конфигурацию: NFQWS_OPT_DESYNC="-dpi-desync=disorder2 --dpi-desync-split-pos=1 --dpi-desync-autottl --dpi-desync-fooling=md5sig,badsum --dpi-desync-repeats=6 --dpi-desync-any-protocol --dpi-desync-cutoff=d4" .
2) С телевизорами теперь все гораздо сложнее, и пока мне не удалось подобрать конфигурацию, чтобы работало все как до сегодня. Пока могу предложить только следующие варианты:
2.1) Вариант конфигурации при котором YouTube работает везде, но некоторые недоступные сайты перестанут работать:NFQWS_OPT_DESYNC="--dpi-desync=fake --dpi-desync-ttl=0 --dpi-desync-fooling=md5sig,badsum --dpi-desync-repeats=6 --dpi-desync-any-protocol --dpi-desync-cutoff=d4 --dpi-desync-fake-tls=/opt/zapret/files/fake/dtls_clienthello_w3_org.bin";
2.2) Вариант конфигурации при котором YouTube и сайты работают, но на телевизоре (tls 1.2) интерфейс не грузиться (возможно будет завесить от провайдера и у кого-то будет работать везде):NFQWS_OPT_DESYNC="--dpi-desync=fake,disorder2 --dpi-desync-split-pos=1 --dpi-desync-ttl=0 --dpi-desync-fooling=md5sig,badsum --dpi-desync-repeats=6 --dpi-desync-any-protocol --dpi-desync-cutoff=d4 --dpi-desync-fake-tls=/opt/zapret/files/fake/dtls_clienthello_w3_org.bin".
2.3) Вариант конфигурации при котором YouTube и сайты работают, как раньше: NFQWS_OPT_DESYNC="--dpi-desync=fake,disorder2 --dpi-desync-split-pos=1 --dpi-desync-ttl=0 --dpi-desync-fooling=md5sig,badsum --dpi-desync-repeats=6 --dpi-desync-any-protocol --dpi-desync-cutoff=d4 --dpi-desync-fake-tls=/opt/zapret/files/fake/dtls_clienthello_w3_org.bin --wssize 1:6". Но тут есть большой минус - при использовании --wssize 1:6 значительно проседает скорость всего http/https трафика и никакие фильтры hostlist тут не помогут.
В общем, пока так. Так что, выбираем подходящую конфигурацию для своего использования и тестируем. Рекомендую начать с варианта 2.2, возможно, у вашего провайдера он позволит вернуть все, как было раньше. Как появятся другие варианты решения вопроса - напишу.
Спасибо!
2.2 Ростелеком мск, youtube заработал: Win10 Firefox, приложение iOS, AndroidTV SmartTube
Ничего не понимаю, ни один вариант из вышеуказанных у меня не работает с моим провайдером. Вчера тоже весь день пробовал разные варианты. При чем в некоторых вариантах сайт медленно открывается, но не открываются видео, в другом варианте сайт вообще не открывается. Так же проверял и на рутрекере (который тоже то открывается на некоторых вариантах то нет). Стоит zapret hosts user. Проверяю на пк изначально.
Режим фильтрации none?
Попробуйте -NFQWS_OPT_DESYNC="--dpi-desync=fake,split2 --dpi-desync-split-pos=1 --dpi-desync-split-seqovl=336 --dpi-desync-split-seqovl-pattern=/opt/zapret/files/fake/tls_clienthello_iana_org.bin --dpi-desync-ttl=0 --dpi-desync-fooling=md5sig,badsum --dpi-desync-repeats=6 --dpi-desync-any-protocol --dpi-desync-cutoff=d4 --dpi-desync-fake-tls=/opt/zapret/files/fake/dtls_clienthello_w3_org.bin "
NFQWS_OPT_DESYNC_QUIC оставлять без изменений? Мне за 2 дня ни один вариант не помог на МТС, при чем в некоторых вариантах рутрекер открывается, в некоторых нет, что показывает движение, но ютюб не хочет ни в какую. Не могу понять в какую сторону смотреть, вроде бы у всех более менее как-то но запускается.
Спасибо. 2.2 Работает на компе, на ТВ СОНИ с андроид. Не заработал только на PS5.
Кто-нибудь обновлял nfqws-keenetic до 2.1.1? Как это осуществить на кинетике чтобы ничего не поломать и снова не настраивать?
Я так понял чтобы обновить, нужно вначале установить, но тут тема про zapret в который этот пакет вшит. Не нашел как обновить отдельно. Только если установить его вместо zapret, может не прав, поправьте.
opkg install nfqws-keenetic
Зависит от того, какая у вас стоит версия. Рекомендую сначала сохранить ваши списки.
По установке и обновлению nfqws-keenetic вся информация указана у автора
Лично я поставил на Entware только nfqws-keenetic и мне этого хватает для ютуба и большинства интересных мне сайтов
NFQWS_OPT_DESYNC_QUIC её оставить такой какая была?
Вот это можно: NFQWS_OPT_DESYNC_QUIC="--dpi-desync=fake --dpi-desync-repeats=6 --dpi-desync-ttl=0 --dpi-desync-any-protocol --dpi-desync-cutoff=d4 --dpi-desync-fooling=md5sig,badsum --dpi-desync-fake-quic=/opt/zapret/files/fake/quic_initial_vk_com.bin"
Keenetic Hopper. Настроено по данной инструкции, со всеми последними правками. Иногда(до нескольких раз в сутки) роутер перезагружается. В логе в веб-интерфейсе всегда пусто, только стандартные сообщения, но 1 раз все-же успел увидеть строчку красным, что-то типа "Too many IP6 requests...". В конфиге Запрета IP6 отключен. Никого ни на какие мысли не наводит?
Обновите роутер до последней бета прошивки. Если не поможет отключайте в настройках сетевые ускорители. Подробней читайте - тут.
Тоже перезагружался, ток другая модель KN-1011. По крону прописал перезагрузку zapret раз в 2 часа. Стало норм.
подскажите, сейчас настроено так:
NFQWS_OPT_DESYNC="--dpi-desync=disorder2 --dpi-desync-ttl=2 --dpi-desync-fooling=md5sig,badseq,badsum"
NFQWS_OPT_DESYNC_QUIC=тоже самое
Но! Работает и так: NFQWS_OPT_DESYNC="--dpi-desync=disorder2 --dpi-desync-ttl=2
Даже шустрее.
Вопрос: надо ли оставлять --dpi-desync-fooling=md5sig,badseq,badsum
может это как-то дополнительно сбивает с толку провайдера в сысле персонального бана?
Не пинайте, я в этом ничего не понимаю
всё объяснили, удалить комент не могу
у вас получилось лучше с удаленной строчкой --dpi-desync-fooling=md5sig,badseq,badsum ?
Мне подсказали что эти настройки без "fake" вроде как и не работают, я их убрал, в результате сайты и видео стали загружаться значительно быстре, видимо сам антизапрет шустрее заработал, но, сами понимаете, все индивидуально, может у кого-то без этого не будет работать
я понимаю, поэтому сам 3 день экспериментирую, у меня почему то все с переменным успехом, то медленно загружается, то только на пк, то на приставке не загружается. Не могли бы вы написать как у вас сейчас выглядит NFQWS_OPT_DESYNC?
Так вы попробовали NFQWS_OPT_DESYNC , что я вчера написал?
Да, конечно, сейчас на нем, но у меня такое ощущение будто медленне стал открываться ютюб и иногда стали затыки на 2к и 4к, смотрю какие параметры могут ускорить как то. Так же инстаграм странно работает на пк, то открывается и все показывает, то ломанные видео и картинки (не грузятся) на телефоне тоже приходится обновлять, через пару раз схватывает.
NFQWS_OPT_DESYNC="--dpi-desync=disorder2 --dpi-desync-ttl=2"
NFQWS_OPT_DESYNC_QUIC="--dpi-desync=disorder2 --dpi-desync-ttl=2"
цифра 2 (в ttl=2) подбиралась экспериментально, взята минимальная рабочая
Внимание! Появился способ вернуть работу всего, как было. В статье обновил конфиг на новый.
Используем параметры: NFQWS_OPT_DESYNC="--dpi-desync=fake,disorder2 --dpi-desync-split-pos=1 --dpi-desync-ttl=0 --dpi-desync-fooling=md5sig,badsum --dpi-desync-repeats=6 --dpi-desync-any-protocol --dpi-desync-cutoff=d4 --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin"
NFQWS_OPT_DESYNC_QUIC="--dpi-desync=fake --dpi-desync-repeats=6 --dpi-desync-ttl=0 --dpi-desync-any-protocol --dpi-desync-cutoff=d4 --dpi-desync-fooling=md5sig,badsum --dpi-desync-fake-quic=/opt/zapret/files/fake/quic_initial_google_com.bin"
Файл tls_clienthello_www_google_com.bin качаем с github zapret/files/fake/tls_clienthello_www_google_com.bin и кладем в соответствующую папку на роутере.
Потом перезагружаем Zapret, и все должно заработать, как до середины прошлой недели работало, включая телевизоры.
Не хватает кармы чтобы поставить +, в очередной раз спасибо тебе мил человек!!
Ростелеком, Краснодарский край, работает 10 минут и потом 0 эффекта. На домру все еще старый конфиг работает. На ростелекоме все варианты из комментариев проверил - хватает на 10 минут в лучшем случае.
Проверьте работу скрипта /opt/etc/ndm/netfilter.d/000-zapret.sh, нет ошибок, права на исполнение есть? Что в логе пишет по этому скрипту?
со скриптом в порядке все, запускается без ошибок. Заметил, что в логах присутствует запись: dhcpd
Server starting service
Сен 16 22:51:22 dhcpd
Information-request message from fe80::d082:5875:d4cb:f333 port 546, transaction ID 0x54650600
Сен 16 22:51:22 dhcpd
Sending Reply to fe80::d082:5875:d4cb:f333 port 546
Сен 16 23:02:11 dhcpd
Server starting service.
Сен 16 23:15:00 dropbear[32182]
Exit (root) from <192.168.1.49:58916>: Exited normally
Сен 16 23:17:39 ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Clearing iptables.
Сен 16 23:17:39 ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Deleting iptables rule for nfqws postrouting (qnum 200) : -p tcp -m multiport --dports 80,443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:9 -m mark ! --mark 0x40000000/0x40000000.
Сен 16 23:17:39 ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Deleting iptables rule for nfqws input+forward (qnum 200) : -p tcp -m multiport --sports 80,443 -m connbytes --connbytes-dir=reply --connbytes-mode=packets --connbytes 1:9.
Сен 16 23:17:40 ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Deleting ip6tables rule for nfqws postrouting (qnum 200) : -p tcp -m multiport --dports 80,443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:9 -m mark ! --mark 0x40000000/0x40000000.
Сен 16 23:17:40 ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Deleting ip6tables rule for nfqws input+forward (qnum 200) : -p tcp -m multiport --sports 80,443 -m connbytes --connbytes-dir=reply --connbytes-mode=packets --connbytes 1:9.
Сен 16 23:17:40 ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Deleting iptables rule for nfqws postrouting (qnum 210) : -p udp -m multiport --dports 443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:9 -m mark ! --mark 0x40000000/0x40000000.
Сен 16 23:17:40 ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Deleting ip6tables rule for nfqws postrouting (qnum 210) : -p udp -m multiport --dports 443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:9 -m mark ! --mark 0x40000000/0x40000000.
Сен 16 23:17:40 ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: net.netfilter.nf_conntrack_tcp_be_liberal = 0.
Сен 16 23:17:40 ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Applying iptables.
Сен 16 23:17:40 ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Creating ip list table (firewall type iptables).
Сен 16 23:17:40 ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: setting high oom kill priority.
Сен 16 23:17:40 ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: reloading ipset backend (no-update).
Сен 16 23:17:40 ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Adding iptables rule for nfqws postrouting (qnum 200) : -p tcp -m multiport --dports 80,443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:9 -m mark ! --mark 0x40000000/0x40000000.
Сен 16 23:17:40 ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Adding iptables rule for nfqws input+forward (qnum 200) : -p tcp -m multiport --sports 80,443 -m connbytes --connbytes-dir=reply --connbytes-mode=packets --connbytes 1:9.
Сен 16 23:17:40 ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Adding ip6tables rule for nfqws postrouting (qnum 200) : -p tcp -m multiport --dports 80,443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:9 -m mark ! --mark 0x40000000/0x40000000.
Сен 16 23:17:40 ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Adding ip6tables rule for nfqws input+forward (qnum 200) : -p tcp -m multiport --sports 80,443 -m connbytes --connbytes-dir=reply --connbytes-mode=packets --connbytes 1:9.
Сен 16 23:17:40 ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Adding iptables rule for nfqws postrouting (qnum 210) : -p udp -m multiport --dports 443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:9 -m mark ! --mark 0x40000000/0x40000000.
Сен 16 23:17:40 ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Adding ip6tables rule for nfqws postrouting (qnum 210) : -p udp -m multiport --dports 443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:9 -m mark ! --mark 0x40000000/0x40000000.
Сен 16 23:17:40 ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: net.netfilter.nf_conntrack_tcp_be_liberal = 1.
Сен 16 23:21:22 dhcpd
Information-request message from fe80::d082:5875:d4cb:f333 port 546, transaction ID 0xF8535000
Сен 16 23:21:22 dhcpd
Sending Reply to fe80::d082:5875:d4cb:f333 port 546
Сен 16 23:26:38 ndm
Network::Interface::Mtk::WifiMonitor: "WifiMaster1/AccessPoint0": STA(32:ca:cc:69:6d:e0) had associated (has FT caps).
Сен 16 23:26:38 ndm
Network::Interface::Mtk::WifiMonitor: "WifiMaster1/AccessPoint0": STA(32:ca:cc:69:6d:e0) set key done in WPA2/WPA2PSK.
Сен 16 23:26:38 ndhcps
DHCPREQUEST received (STATE_INIT) for 192.168.1.121 from 32:ca:cc:69:6d:e0.
Сен 16 23:26:39 ndhcps
sending ACK of 192.168.1.121 to 32:ca:cc:69:6d:e0.
Сен 16 23:26:44 ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Clearing iptables.
Сен 16 23:26:44 ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Deleting iptables rule for nfqws postrouting (qnum 200) : -p tcp -m multiport --dports 80,443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:9 -m mark ! --mark 0x40000000/0x40000000.
Сен 16 23:26:44 ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Deleting iptables rule for nfqws input+forward (qnum 200) : -p tcp -m multiport --sports 80,443 -m connbytes --connbytes-dir=reply --connbytes-mode=packets --connbytes 1:9.
Сен 16 23:26:44 ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Deleting ip6tables rule for nfqws postrouting (qnum 200) : -p tcp -m multiport --dports 80,443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:9 -m mark ! --mark 0x40000000/0x40000000.
Сен 16 23:26:44 ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Deleting ip6tables rule for nfqws input+forward (qnum 200) : -p tcp -m multiport --sports 80,443 -m connbytes --connbytes-dir=reply --connbytes-mode=packets --connbytes 1:9.
Сен 16 23:26:44 ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Deleting iptables rule for nfqws postrouting (qnum 210) : -p udp -m multiport --dports 443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:9 -m mark ! --mark 0x40000000/0x40000000.
Сен 16 23:26:44 ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Deleting ip6tables rule for nfqws postrouting (qnum 210) : -p udp -m multiport --dports 443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:9 -m mark ! --mark 0x40000000/0x40000000.
Сен 16 23:26:44 ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: net.netfilter.nf_conntrack_tcp_be_liberal = 0.
Сен 16 23:26:44 ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Applying iptables.
Сен 16 23:26:44 ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Creating ip list table (firewall type iptables).
Сен 16 23:26:44 ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: setting high oom kill priority.
Сен 16 23:26:44 ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: reloading ipset backend (no-update).
Сен 16 23:26:44 ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Adding iptables rule for nfqws postrouting (qnum 200) : -p tcp -m multiport --dports 80,443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:9 -m mark ! --mark 0x40000000/0x40000000.
Сен 16 23:26:44 ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Adding iptables rule for nfqws input+forward (qnum 200) : -p tcp -m multiport --sports 80,443 -m connbytes --connbytes-dir=reply --connbytes-mode=packets --connbytes 1:9.
Сен 16 23:26:44 ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Adding ip6tables rule for nfqws postrouting (qnum 200) : -p tcp -m multiport --dports 80,443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:9 -m mark ! --mark 0x40000000/0x40000000.
Сен 16 23:26:44 ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Adding ip6tables rule for nfqws input+forward (qnum 200) : -p tcp -m multiport --sports 80,443 -m connbytes --connbytes-dir=reply --connbytes-mode=packets --connbytes 1:9.
Сен 16 23:26:45 ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Adding iptables rule for nfqws postrouting (qnum 210) : -p udp -m multiport --dports 443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:9 -m mark ! --mark 0x40000000/0x40000000.
Сен 16 23:26:45 ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Adding ip6tables rule for nfqws postrouting (qnum 210) : -p udp -m multiport --dports 443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:9 -m mark ! --mark 0x40000000/0x40000000.
Сен 16 23:26:45 ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: net.netfilter.nf_conntrack_tcp_be_liberal = 1.
Сен 16 23:26:48 bndstrg
band steering: send BTM request to 32:ca:cc:69:6d:e0 for roam to 2.4GHz band (Low RSSI: -88)
Сен 16 23:26:49 bndstrg
band steering: WNM client 32:ca:cc:69:6d:e0 accepted 2.4GHz band
Сен 16 23:26:49 ndm
Network::Interface::Mtk::WifiMonitor: "WifiMaster0/AccessPoint0": STA(32:ca:cc:69:6d:e0) FT authenticated successfully.
Сен 16 23:26:49 ndm
Network::Interface::Mtk::WifiMonitor: "WifiMaster0/AccessPoint0": STA(32:ca:cc:69:6d:e0) had re-associated from 52:ff:20:89:07:66 (FT roam).
Сен 16 23:32:11 dhcpd
Server starting service.
Сен 16 23:50:11 ndhcps
DHCPREQUEST received (STATE_RENEWING) for 192.168.1.137 from 50:8a:06:a2:8e:e8.
Сен 16 23:50:11 ndhcps
sending ACK of 192.168.1.137 to 50:8a:06:a2:8e:e8.
Сен 16 23:51:22 dhcpd
Information-request message from fe80::d082:5875:d4cb:f333 port 546, transaction ID 0x63D80100
Сен 16 23:51:22 dhcpd
Sending Reply to fe80::d082:5875:d4cb:f333 port 546
Причем это на двух роутерах (Гига 10, ультра 11), расположенных по разным адресам, объединяет их только один провайдер (ростелеком). На провайдере домру (также гига 10) такой записи не появляется и все работает отлично.
Такая же проблема ранее была у DirectX (см. комментарии). Можете попробовать у него спросить, смог ли он это победить.
а nfqws как обновить? Вроде пишут что в версии 2.1.1 пофикшено что то
Добрый день, сегодня что-то как-то не так работает, в телеграме не грузит картинки и видео, в инстаграмме тоже только текст грузит, медиа ничего не грузит. Провайдер Домру. Конфиг не новый не старый не решает проблему. Опять гайки какие-то закрутили? При этом Ютуб работает без проблем
А zapret можно/нужно вообще обновлять хотя-бы иногда? если да то как? заново всё ставить ещё раз с гитхаба?
P.s. огромное спасибо в принципе за статью, а также за новые настройки кфг
Конечно можно обновлять. Можно получить изменения из репозитория командой git pull, предварительно нужно перейти в папку zapret. Конфигурация вся сохранится.
Доброе утро! Всё заново сделал по этой инструкции (метод фильтрации выбрал ipset), ютуб заработал, Спасибо, но вот инстаграмм перестал работать, подскажите куда копать ?
При фильтрации none, ютуб работает, а вот инстаграм нет
А для чего заново делали? Раньше был режим none и все работало, а сейчас ipset выбрали и не работает? А для чего режим решили изменить?
Я раньше по инструкции https://github.com/nikrays/Zapret-on-Keenetic делал, всё работало отлично, потом ютуб перестал работать и приложения не скачиваются через гуглплей, решил заново с нуля настроить по этой инструкции, а ipset выбрал потому что у вас на скриншоте был выбран ipset). Подскажите как то быстро можно отключить фильтрацию или по инструкции с 5-го пункта делать ?
у меня инстаграмм с none не работает, с другими правда не пробовал, пока только конфг поменял на указанный в статье, причем обновил сегодня с репозитория git pull и chmod прописал. Youtube и торренты работают, а вот инста нет и телеграм картинки не грузит
Здравствуйте, @Keenet
Вышло обновление zapret с мульти-стратегией nfqws, автор оставил комментарии: https://ntc.party/t/zapret-whats-new/61/149
У нас в текущем конфиге что-то поменяется?
Пока нет, не за чем. Одна стратегия позволяет решить все задачи.
А не делали обновлений? А то комментарии в Vk не открываются, а в Мегамаркет вцелом все картинки не грузятся...
zapret? Обновлял, последняя версия. Таких проблем как у вас нет. Попробуй режиме hostlist
Нет, разные стратегии предназначены для обхода, если одна стратегия не позволяет обойти все, а не для того, чтобы чинить, то что ломается при работе zapret. В Вашем случаи, как правильно посоветовали, нужно использовать режим hostlist и добавлять доменные имена, которые ломаются в исключения. В конфиге меняйте режим и в /opt/zapret/ipset/zapret-hosts-user-exclude.txt пропишите доменное имя или ip-адрес сайтов. Файл /opt/zapret/ipset/zapret-hosts-user.txt - пустой. Потом перезагрузите zapret.
Не работает нормально почему то, пишу список сайтов, а они не обходятся, поэтому и вопрос собственно. А есть где то список доменов которые нужно обойти, из основных, как Ютуб Инста, а не 1000 сайтов казино
Сейчас написал чисто megamarket.ru в эксклюде, в инклюде чистый файл. Ютуб работает также, но мегамаркет также не открывается... Если отключить Запрет, то мегамаркет грузит, а ютуб тот же нет
У кого-то еще наблюдается проблема с долгой загрузкой видео на ютубе? Ниже описал проблему. Куда можно покопать, чтобы понять причину?
Конфиг как у автора. Ростелеком МСК. Проблема легко воспроизводится.
Иногда видео грузится по 5-15 секунд. Одно и то же видео может загрузиться сразу, может долго тупить. Сама скорость загрузки/воспроизведения в норме, проблема только с началом этой загрузки. Наблюдается на ПК в браузере и на iOS в приложениях официальных Ютуб. На ТВ проблему не замечаю.
На ПК в консоли разработчика видно, что какие-то запросы уходят в таймаут, как только они заканчиваются, видео начинает работать, уже по следующему запросу.
Запросы к "проблемным" серверам при загрузке последующих видео уже успешно отрабатывают.
попробуйте в конфиге за место NFQWS_OPT_DESYNC="--dpi-desync=fake,disorder2 написать NFQWS_OPT_DESYNC="--dpi-desync=split2
Оставит только split2 - перестало работать на ПК и телевизоре
fake,split2 - работает везде, но поведение точно такое же
оставил только fake - будто стало реже уходить в таймаут по ощущениям. Но в общем, поведение такое же
можно еще комбинации с autottl попробовать, либо параметр ttl менять
Проверьте это - NFQWS_OPT_DESYNC="--dpi-desync=fake,split2 --dpi-desync-split-pos=1 --dpi-desync-split-seqovl=336 --dpi-desync-split-seqovl-pattern=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin --dpi-desync-ttl=0 --dpi-desync-fooling=md5sig,badsum --dpi-desync-repeats=6 --dpi-desync-any-protocol --dpi-desync-cutoff=d4 --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin "
На РТК в МО преимущества в скорости youtube не заметил, перестала работать авторизация через госуслуги. Откатился на конфиг 15.09
Уважаемый Keenet подскажите пожалуйста это такие издержки как я понимаю(или я не прав), что после установки запрета, или чистого NFQWS , скорость загрузки(именно скачивания) у файлов падает с тарифной 30мбАйт в сек до неприличных 10-50kb/сек. Причём если перезапустить скачку раза 3-4 минимум, "включается" быстрая тарифная скорость. Касается абсолютно всех источников. Причем если выключть запрет - резкого эффекта нет. Он есть если в ноль сбросить роутер (Keenetic VIVA), пробовал как на запрете, так и на отдельном NFQWS. Скорость скачивания режется. Стоит сбросить роутер и оставить как было "в стоке" - всё отлично, скорость сразу быстрая\тарифная. Подчеркиваю, что это всё распространяется строго на скачивание файлов. Ютуб в 4К показывает отлично, по тарифным скоростям, все остальные сайты также. В роутере любые приоритеты трафика выключены(такие как intelliQOS) и не включались. Благодарю Вас за любую информацию
Нет, у меня такой проблемы нет, скорость скачивания не падает. Проблема со скоростью скачивания появляется только при использовании параметра --wssize 1:6 в конфиге. Но если отключить zapret, то скорость сразу восстанавливается. У Вас странное поведение роутера.
Есть непроверенная информация (уровня трёп в курилке), что попытки обхода детектируются и пользователь блокируется (временно?). Информация относилась к проводному провайдеру Бинайн, Нижний Новгород.
Последнее время замечаю, что многие ролики начинают показываться и секунд через 10 зависает крутилкаи все. Есть уже решение для такого?
В последние несколько дней ютюб стал работать менее комфортно: после нажатия на Поиск, начинает идти красная полоска на четверти пути останавливается и выходит ошибка "oops, check internet", если обновить страницу, ютюб страница грузится секунд 40 и ничего не прогружается, далее резко начинает работать как обычно. Иногда если нажать на паузу на видео, секунд на 20-40 крутится загрузка, далее работает нормально, дальнейшие паузы и открытия страниц работает без задержек. В логах браузера никаких ошибок не встретил (либо невнимательно смотрю). Я понимаю что как до замедлений уже никогда не будет, но примерно до 20.09 средство работало идеально. Вдруг есть какое-то решение? Роутер и конфиг как у автора статьи.
Мой товарищ попросил опубликовать комент:
У меня у провайдера на Дом.ру тоже повисает и не открывает инстаграм и фейсбук, конфигурация от 15.09 еще настроил 1 роутер - провайдер МТС, так там вообще ютуб не работает. При том на россстелком все работает.
Может быть кто-нибудь посоветует что-то для дом.ру?
Сегодня настраивал дом.ру по инструкции сверху вниз, все работает отлично. Как вариант сделать все заново по инструкции
На телефоне через wi-fi на Дом.ру приложения этих соц. сетей тоже не работают?
у меня на домру не работает инста только с пк, на телефоне все отлично. Фейсбук работает везде. На РТК инста и на пк открывается
Это из-за блокировки домена на DNS-сервере или подмены DNS-ответа провайдером. Настраивайте DNS over TLS, как у меня в статье...
Не подскажите, как у вас работает инста? DNS over TLS настроено, но все равно с инстой проблемы. Что добавляете в хостлист?
Пока еще наблюдаю, но похоже я нашел решение: в Firefox network.http.http3.enabled true и quic true
У меня тоже проблема с инстой на пк (на телефоне тоже все как то через раз). Открывается, что то грузит, что то нет. В профилях ничего не показывает. Стоит hostlist. Возможно что-то надо внести в него чтобы наладить? DNS over TLS делал как в статье.
У кого-нибудь есть рабочий конфиг для провайдера аванта-телеком?
Тоже присоединяюсь к предыдущему запросу про рабочий стратегию. Пару дней перестало работать. Blockchek скрипт в quick и standard гонял - стратегий не найдено. Осталось force попробовать.
Утечка памяти стабильна. После перезагрузки занято примерно 120М из 512-ти. Дней за 6 доходит до 400М. По крону делаю restart запрета каждые 2 часа, но не помогает. Версия прошивки 4.1.7. Наблюдаю дальше.
Сегодня перестал работать Discord, через мобильную сеть работает, через провод и Wifi не хочет, есть ли какая заплатка чтоб починить?
Через VPN работает
тоже интересует этот вопрос, особенно как голосовую починить не VPNом
с zapret не получится разлочить голосовые (сама площадка работать будет), т.к. udp он не умеет заворачивать
Zapret обновился, появилось решение для Дискорд. Кто-нибудь пробовал? https://ntc.party/t/zapret-whats-new/61/156
меня не пускает на этот сайт :(
Сделал, работает Discord
Да, сейчас перезагрузился и проверил, сделал как там по инструкции написано, добавил и заменил custom и залетело в Discord и войс работает
Отлично! Не очень понимаю суть работы кастомного скрипта в плане работы с остальным трафиком, какой режим в этом случае запускает? Как с ютюбом на ПК, инстаграмом на мобиле?
все работает как и работало. Провайдер Дом.ру Киров
Все, сегодня перестало работать :(
Если у вас перестало работать, попробуйте перезапустить командой ниже.
/opt/zapret/init.d/sysv/zapret restart-fw
У меня ситуация, что раз в час (по времени совпадает с запуском /opt/etc/ndm/netfilter.d/000-zapret.sh) перестает работать именно подключение к голосовым каналам (всё остальное работает точно также) и командой сверху помогает.
Кажется, нужно как-то изменить /opt/etc/ndm/netfilter.d/000-zapret.sh =) Пока не понимаю, как изменить его правильно. Всегда можно просто заставлять перезапускать без условий, но не уверен, что это правильно
Сегодня bolvan выложил обновление скрипта с кастомными настройками, как будьто нужно просто обновить скрипт и заработает дискорд, но я не пробовал пока. Если есть кто желающий может попробовать
Реально рабочая заплатка есть, но работает только локально. Если кто научит как это на роутере сделать, причем выборочно(чтоб не все устройства, а тольконужные) - сильно респектну. https://www.youtube.com/watch?v=81VYImVfupw&t=2s
А еще лучше, если кто объяснит на пальцах, что в этом способе происходит. Я не понимаю, что это за тоннель, куда? Какие ограничения этого тоннеля по скорости, траффику? Что за конфиг генерится через гуглову консоль, почему именно гуглову? Можно ли со своего роутера его генерировать? Можно ли этот ключ использовать на нескольких машинах в одной сети? А в разных сетях, если, скажем дать этот конфиг корешу? Wireguard у нас вроде блочили... И кто такой этот WARP?
Сегодня перестал работать YouTube на провайдере Beeline (rutracker и инста работают). Просто бесконечно грузится видео на черном фоне. Проверял в Safari, AppleTV, клиенте под iOS, Яндекс браузере (под macos и из под винды), Android смартфоне. Единственное место где работает: браузер Microsoft Edge. Еще бывает в Yandex браузере видео все же запускается спустя минут 10
Конфигурация крайняя, что выкладывал @Keenet. Настроена работа через hostlist
NFQWS_OPT_DESYNC="--dpi-desync=fake,disorder2 --dpi-desync-split-pos=1 --dpi-desync-ttl=0 --dpi-desync-fooling=md5sig,badsum --dpi-desync-repeats=6 --dpi-desync-any-protocol --dpi-desync-cutoff=d4 --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin"
NFQWS_OPT_DESYNC_QUIC="--dpi-desync=fake --dpi-desync-repeats=6 --dpi-desync-ttl=0 --dpi-desync-any-protocol --dpi-desync-cutoff=d4 --dpi-desync-fooling=md5sig,badsum --dpi-desync-fake-quic=/opt/zapret/files/fake/quic_initial_google_com.bin"Кто-либо еще столкнулся с такой проблемой?
Ощущение будто по IP пошли блокировать хосты Youtube
Да, снова начались проблемы с ютюбом.
Дом.ру в СПб перестал работать ютуб
Внимание!
Как многие заметили, снова появились проблемы с YouTube.
Проблема в том, что анализатор трафика не хочет сразу отставать от потока после фейковых пакетов и ловит реальные client hello и блокирует поток. Решение - увеличиваем число фейковых пакетов через параметр dpi-desync-repeats. У меня отстает при 15, но у вас может быть другое число, увеличиваем до тех пор пока анализатор не отстанет от потока.
Новая рабочая конфигурация:
NFQWS_OPT_DESYNC="--dpi-desync=fake,disorder2 --dpi-desync-split-pos=1 --dpi-desync-ttl=0 --dpi-desync-fooling=md5sig,badsum --dpi-desync-repeats=15 --dpi-desync-any-protocol --dpi-desync-cutoff=d4 --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin"
NFQWS_OPT_DESYNC_QUIC="--dpi-desync=fake --dpi-desync-repeats=15 --dpi-desync-ttl=0 --dpi-desync-any-protocol --dpi-desync-cutoff=d4 --dpi-desync-fooling=md5sig,badsum --dpi-desync-fake-quic=/opt/zapret/files/fake/quic_initial_google_com.bin"
Конфигурацию в статье обновил до этой.
почему-то с этим конфигом перестали открываться сайты типо nnmclub.to в Яндекс Браузере в EDGE открывается без проблем
Не удаётся установить соединение с сайтом.
Страница по адресу https://nnmclub.to/forum/tracker.php может быть временно недоступна или перемещена на новый адрес.
ERR_QUIC_PROTOCOL_ERROR
вот такое выдает Яндекс
Спасибо большое!!! Заработало)
Спасибо большое! Старо работать даже еще лучше чем раньше!
Спасибо тебе огромное! Работает вновь идеально. Подскажи, ты это экспериментальным путем выявил или есть способ некоторого анализа?
Спасибо огромное! Только оригинальное имя файла для quic: quic_initial_www_google_com.bin
Уважаемый Keenet! Большое СПАСИБО Вам, добрый человек!
к сожалению эта конфигурация не работает у провайдера МТС, пробовал увеличивать этот параметр dpi-desync-repeats 20 и 30, безрезультатно...
мб у кого то есть рабочая конфа для провайдера МТС?
Здравствуйте Keenet! Если не трудно, ответьте пожалуйста на нубский вопрос.
Ранее я уже делал флешку с entware, iptables и парой других утилит. И перед установкой zapret по Вашему гайду, я бы хотел, на всякий случай, сначала сделать полную резервную копию всей системы entware. Но не очень понимаю как правильно это сделать.
Скажите: если я просто сделаю полную копию всех файлов и папок на флешке и сохраню их у себя на компе - этого будет достаточно чтобы если что, я мог вернуть все назад? (т.е выключить роутер, вытащить флешку, очистить флешку от файлов, залить на нее ранее сохраненные файлы и папки, вставить флешку в роутер, включить его)
Keenet, добрый день, так я и не смог настроить cron, команды на отключение и включение zapret выполняются, но работает всё это некорректно, т.к. всё равно zapret не отключается полностью, когда делаешь отключение ручками через putty командой /opt/zapret/init.d/sysv/zapret stop - отключение работает корректно и zapret перестаёт работать. Отсюда вопрос, как на кинетике гига настроить запрет, чтобы он автоматически работал только в определённые часы а в определённое время автоматически отключался???
В 4.2.1 основного канала обновления поправили утечку памяти,, не знаете? В ченджлоге про это ничего.
Сделал ли кто-нибудь голосовые дискорд на роутере изменяя стратегию? Главным образом чтобы ничего другое не пострадало, так как уже было сказано что задействуя пул портов можно поломать другое.
Пару дней как ютуб опять лег, даже после последних изменений в dpi-desync-repeats, причем у меня одна и та же картина на 3х точках.
Обновление статьи!
В связи с тем, что в новой версии zapret была изменена логика, и старый конфиг стал несовместимым - я обновил статью.
Для тех, кто с нуля будет ставить - все делаем по новой статье.
Для тех, кто будет обновляется со старой версии на новую, делаем это так:
1) Останавливаем zapret - /opt/zapret/init.d/sysv/zapret stop
2) Переходим в папку zapret - cd /opt/zapret
3) Обновляемся - git pull
4) Удаляем старый конфиг - rm ./config
5) Выполняем скрипт установки - ./install_easy.sh и выбираем все, как написано статье;
6) Редактируем конфиг согласно статье;
7) Все можно запускать и пользоваться - /opt/zapret/init.d/sysv/zapret start
Как раз зашел проверить и в ту же минуту запостил, спасибо! А то заедать начал, на hopper SE все пашет с портом eth2, не 3 как на примере.
Уважаемый Keenet, благодарю Вас за важную и очень полезную работу! Переустановка удалась с первой попытки. Только я не стал проверять, как новая версия встанет поверх старой, а просто сохранил ряд файлов для режима 'hostlist', потом снес старую версию и установил новую. Возможно, для Вас и остальных пользвателей будет полезно небольшое дополнение к Вашей инструкции, приведенное ниже. В нем речь о том, как создать несколько задач для cron, которые упростят работу и использование функционала NFQWS. Одна задача будет проверять обновление исходников 1 раз в сутки, вторая будет регулярно сбрасывать кэши всех уровней и освобождать память, а третья, которую можно создать только под OpenWrt, так же с целью освобождения памяти роутера, будет очищать логи один раз в сутки . Вот код для Entware на примере редактора nano:
# nano /opt/var/spool/cron/crontabs/root
в конце существующего в файле текста перед сохранением добавляем:
0 2 * * * git -C /opt/zapret pull
*/30 * * * * echo 3 > /proc/sys/vm/drop_caches
Код для OpenWrt:
# crontab -e
в конце существующего в файле перед сохранением добавляем:
0 2 * * * git -C /opt/zapret pull
*/30 * * * * echo 3 > /proc/sys/vm/drop_caches
0 4 * * * logrotate /etc/logrotate.conf
И еще, пара интересных наблюдений, которые могут быть полезны для всех пользователей:
прекращаем проверять работоспособность обхода с использованием curl через сервер selectel.ru. На сервере стоит скрипт, который отправляет в РКН информацию о том, с какого IP прошел успешный тест закачки youtube. А провайдер потом снова меняем настройки блокировок;
пользователям Android лучше отказаться от использования приложения SmartTube по тем же соображениям. Видимо, к русскоязычному разрабу РКН подобрал "ключик". Так что, лучше используйте приложение LibreTube
Discord к сожалению не работает :( Не подключается к голосовому чату
Спустя 3 часа перестал работать и дискорд и ютуб, зря обновлялся) Заново вписал значения. ничего не исправилось. Пошаманил, дискорд не работает, ютуб лагает... Лучше бы не обновлялся. Также не понял что с конфигом, пишется про вариант для quic, а потом нигде в тексте не используется
Скрипт /opt/etc/ndm/netfilter.d/000-zapret.sh не трогали при обновлении?
С quic все хорошо, в новой версии за него отвечают строчки в конфиге:
1) Перехват порта quic NFQWS_PORTS_UDP=443
2) Стратегия модификации --filter-udp=443
Он включен теперь по умолчанию, необходимо только прописать стратегию.
По диску:
1) /opt/zapret/init.d/sysv/zapret stop
2)cp -a /opt/zapret/init.d/sysv/custom.d.examples/50-discord /opt/zapret/init.d/sysv/custom.d/50-discord
3) /opt/zapret/init.d/sysv/zapret start
4) Проверяем работу (мной не проверялось - я не пользуюсь).
Не исправилось... Он обновления делает, но при подключении к комнате пишет "Подключение к RTC", а потом "Не установлен маршрут', так что пользоваться невозможно, при этом ютуб все пашет. а по тексту все как из статьи с исправлением хостлиста, только порт поменял
Дополнительный процесс NFQWS поднялся при запуске?
Поставил, проверил - все работает у меня....
Можешь подсказать команду для этого? Странная вцелом ситуация, час работает ютубы и прочие обходы, а потом перестают (Ошибка. Повторите попытку позже. Идентификатор воспроизведения: 4F8jSixs-CHCsLR_. ), хотя ничего не менял в настройках, до введения новой системы все летало...
Что команда /opt/etc/ndm/netfilter.d/000-zapret.sh выдает? Что в логе пишет?
Буквально ничего, даже пустую строчку не дает. Мб префикс еще какой то нужен?
Так и должно быть. Предлагаю с нуля все поставить - многим помогает решить странные проблемы.
Ну видимо надо, но у меня ютуб заработал, а на дискорд хрен бы с ним. Если найду способ как починил, отпишусь.
Так говорите же, что через какое-то время перестаёт работать.
Да я сам честно говоря не понял. Уже сутки работает ровно, возможно на моей линии тестировали новые блокировки, иначе объяснить, почему происходил этот бред я честно не могу... По портам оставил eth2 eth3
После установки Ipset остановил работу запрета, и почему то все как раз начало работать идеально! Если снова стартуешь запрет, снова дискорд не работает. По итогу удалил /opt/zapret/init.d/sysv/zapret и после перезагрузок все также прекрасно работает, все сайты открывает при этом дискорд не в блоке!
Купил новый роутер, на чистую поставил, ничего не работает также) Ютуб грузит везде, инсту, рутрекер, а дискорд никак, как и на телефоне, так и на ПК, просто бред какой то... Пишет про RTC. а команда выше также ничего не выдает. Мб надо другую стратегию, странно что только дискорд так залочен
Так, сейчас только заметил в статье, что при вставке в параметры стратегий модификации маркера<HOSTLIST> , он везде исчез по тексту, а в примере конфига он вставился. Сейчас кое-как вернул его в тексте. Так что, кто копировал без него - вставляем сточки заново.
В статье обновил конфигурацию --filter-tcp=80. При старой без ttl ограничения ломалось приложение ИВИ на телевизоре, возможно еще сайты (HTTP).
Привет всем. А за двойным NAT кто-то пытался ставить? У меня например не получилось заставить работать при таком подключении, а если провайдер прямо в кинет включен, то все нормально работает.
Добрый вечер, пытаюсь обновить zapret в Putty пишет вот такое:
~ # cd /opt/zapret
/opt/zapret # git pull
remote: Enumerating objects: 93, done.
remote: Counting objects: 100% (93/93), done.
remote: Compressing objects: 100% (36/36), done.
remote: Total 53 (delta 17), reused 53 (delta 17), pack-reused 0 (from 0)
Unpacking objects: 100% (53/53), 3.86 MiB | 581.00 KiB/s, done.
From https://github.com/bol-van/zapret
bb74fa7..7f0eccb master -> origin/master
hint: You have divergent branches and need to specify how to reconcile them.
hint: You can do so by running one of the following commands sometime before
hint: your next pull:
hint:
hint: git config pull.rebase false # merge
hint: git config pull.rebase true # rebase
hint: git config pull.ff only # fast-forward only
hint:
hint: You can replace "git config" with "git config --global" to set a default
hint: preference for all repositories. You can also pass --rebase, --no-rebase,
hint: or --ff-only on the command line to override the configured default per
hint: invocation.
Добрый вечер.
Стояла старая версия запрета, обновился до новой и вот у меня конфиг стал кардинально различаться с тем, что у автора в статье.
# this file is included from init scripts
# change values here
# can help in case /tmp has not enough space
#TMPDIR=/opt/zapret/tmp
# redefine user for zapret daemons. required on Keenetic
WS_USER=nobody
# override firewall type : iptables,nftables,ipfw
FWTYPE=iptables
# options for ipsets
# maximum number of elements in sets. also used for nft sets
SET_MAXELEM=522288
# too low hashsize can cause memory allocation errors on low RAM systems , even if RAM is enough
# too large hashsize will waste lots of RAM
IPSET_OPT="hashsize 262144 maxelem $SET_MAXELEM"
# dynamically generate additional ip. $1 = ipset/nfset/table name
#IPSET_HOOK="/etc/zapret.ipset.hook"
# options for ip2net. "-4" or "-6" auto added by ipset create script
IP2NET_OPT4="--prefix-length=22-30 --v4-threshold=3/4"
IP2NET_OPT6="--prefix-length=56-64 --v6-threshold=5"
# options for auto hostlist
AUTOHOSTLIST_RETRANS_THRESHOLD=3
AUTOHOSTLIST_FAIL_THRESHOLD=3
AUTOHOSTLIST_FAIL_TIME=60
# 1 = debug autohostlist positives to ipset/zapret-hosts-auto-debug.log
AUTOHOSTLIST_DEBUGLOG=0
# number of parallel threads for domain list resolves
MDIG_THREADS=30
# ipset/*.sh can compress large lists
GZIP_LISTS=1
# command to reload ip/host lists after update
# comment or leave empty for auto backend selection : ipset or ipfw if present
# on BSD systems with PF no auto reloading happens. you must provide your own command
# set to "-" to disable reload
#LISTS_RELOAD="pfctl -f /etc/pf.conf"
# override ports
#HTTP_PORTS=80-81,85
#HTTPS_PORTS=443,500-501
#QUIC_PORTS=443,444
# CHOOSE OPERATION MODE
# MODE : nfqws,tpws,tpws-socks,filter,custom
# nfqws : nfqws for dpi desync
# tpws : tpws transparent mode
# tpws-socks : tpws socks mode
# filter : no daemon, just create ipset or download hostlist
# custom : custom mode. should modify custom init script and add your own code
MODE=nfqws
# apply fooling to http
MODE_HTTP=1
# for nfqws only. support http keep alives. enable only if DPI checks for http request in any outgoing packet
MODE_HTTP_KEEPALIVE=1
# apply fooling to https
MODE_HTTPS=1
# apply fooling to quic
MODE_QUIC=0
# none,ipset,hostlist,autohostlist
MODE_FILTER=none
# CHOOSE NFQWS DAEMON OPTIONS for DPI desync mode. run "nfq/nfqws --help" for option list
# SUFFIX VARS define additional lower priority desync profile. it's required if MODE_FILTER=hostlist and strategy has hostlist-incompatible 0-phase desync methods (syndata,wssize)
DESYNC_MARK=0x40000000
DESYNC_MARK_POSTNAT=0x20000000
NFQWS_OPT_DESYNC="--dpi-desync=fake --dpi-desync-ttl=0 --dpi-desync-ttl6=0 --dpi-desync-fooling=badsum"
#NFQWS_OPT_DESYNC_SUFFIX="--dpi-desync=syndata"
#NFQWS_OPT_DESYNC_HTTP=""
#NFQWS_OPT_DESYNC_HTTP_SUFFIX="--dpi-desync=syndata"
#NFQWS_OPT_DESYNC_HTTPS=""
#NFQWS_OPT_DESYNC_HTTPS_SUFFIX="--wssize 1:6"
#NFQWS_OPT_DESYNC_HTTP6=""
#NFQWS_OPT_DESYNC_HTTP6_SUFFIX="--dpi-desync=syndata"
#NFQWS_OPT_DESYNC_HTTPS6=""
#NFQWS_OPT_DESYNC_HTTPS6_SUFFIX="--wssize 1:6"
NFQWS_OPT_DESYNC_QUIC="
--filter-tcp=80 --dpi-desync=fake,split2 --dpi-desync-ttl=0 --dpi-desync-fooling=md5sig,badsum <HOSTLIST> --new
--filter-tcp=443 --dpi-desync=fake,disorder2 --dpi-desync-split-pos=1 --dpi-desync-ttl=0 --dpi-desync-fooling=md5sig,badsum --dpi-desync-repeats=15 --dpi-desync-any-protocol --dpi-desync-cutoff=d4 --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin <HOSTLIST> --new
--filter-udp=443 --dpi-desync=fake --dpi-desync-repeats=15 --dpi-desync-ttl=0 --dpi-desync-any-protocol --dpi-desync-cutoff=d4 --dpi-desync-fooling=md5sig,badsum --dpi-desync-fake-quic=/opt/zapret/files/fake/quic_initial_www_google_com.bin <HOSTLIST>"
#NFQWS_OPT_DESYNC_QUIC_SUFFIX=""
#NFQWS_OPT_DESYNC_QUIC6="--dpi-desync=hopbyhop"
#NFQWS_OPT_DESYNC_QUIC6_SUFFIX=""
# CHOOSE TPWS DAEMON OPTIONS. run "tpws/tpws --help" for option list
# SUFFIX VARS define additional lower priority desync profile. it's required if MODE_FILTER=hostlist and strategy has hostlist-incompatible 0-phase desync methods (mss)
TPWS_OPT="--hostspell=HOST --split-http-req=method --split-pos=3 --oob"
#TPWS_OPT_SUFFIX="--mss 88"
# openwrt only : donttouch,none,software,hardware
FLOWOFFLOAD=donttouch
# openwrt: specify networks to be treated as LAN. default is "lan"
#OPENWRT_LAN="lan lan2 lan3"
# openwrt: specify networks to be treated as WAN. default wans are interfaces with default route
#OPENWRT_WAN4="wan vpn"
#OPENWRT_WAN6="wan6 vpn6"
# for routers based on desktop linux and macos. has no effect in openwrt.
# CHOOSE LAN and optinally WAN/WAN6 NETWORK INTERFACES
# or leave them commented if its not router
# it's possible to specify multiple interfaces like this : IFACE_LAN="eth0 eth1 eth2"
# if IFACE_WAN6 is not defined it take the value of IFACE_WAN
#IFACE_LAN=eth0
IFACE_WAN=eth3
#IFACE_WAN6="ipsec0 wireguard0 he_net"
# should start/stop command of init scripts apply firewall rules ?
# not applicable to openwrt with firewall3+iptables
INIT_APPLY_FW=1
# firewall apply hooks
#INIT_FW_PRE_UP_HOOK="/etc/firewall.zapret.hook.pre_up"
#INIT_FW_POST_UP_HOOK="/etc/firewall.zapret.hook.post_up"
#INIT_FW_PRE_DOWN_HOOK="/etc/firewall.zapret.hook.pre_down"
#INIT_FW_POST_DOWN_HOOK="/etc/firewall.zapret.hook.post_down"
# do not work with ipv4
#DISABLE_IPV4=1
# do not work with ipv6
DISABLE_IPV6=0
# select which init script will be used to get ip or host list
# possible values : get_user.sh get_antizapret.sh get_combined.sh get_reestr.sh get_hostlist.sh
# comment if not required
#GETLIST=Причем в процессе установки вопросы отличались от того, что было выше. Я не понял как так получилось?
С правками эта версия не работает. Ютуб открывается но видео не идут.
У меня так же было.
Не обновляется запрет.
Я все снес и устновил заново, тогда будет как в мануале выше.
Такая же фигня, уже всю голову сломал. Главная грузится, когда переходишь на страницу видоса превью даже работают, но основное видео не идет.
curl --connect-to ::speedtest.selectel.ru https://manifest.googlevideo.com/100MB -k -o/dev/null
Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 100M 100 100M 0 0 66.8M 0 0:00:01 0:00:01 --:--:-- 75.0M
вроде как должно работать, скорость нормальная, байты сосчитаны. Но когда пользователь запускает ютуб на устройстве - главная страница грузится быстро, а видео не идет.
blockcheck показал для youtube.com
nfqws --dpi-desync=split2 --dpi-desync-split-pos=1
Если сделать как выдал блокчек проверка через curl не проходит, с параметрами как в статье проходит, но видео не грузится. Провайдер МТС, МО. Но при этом на другой точке на МТС все прекрасно работает с параметрами из статьи, и на Билайне, и на РТ.
Прогнал blockcheck в режиме quick, показал по моему черте что.
SUMMARY ipv4 googlevideo.com curl_test_http : nfqws not working ipv4 googlevideo.com curl_test_https_tls12 : nfqws not working ipv4 googlevideo.com curl_test_https_tls13 : nfqws not working
в каком случае нужно обновлять запрет? вроде бы все работает пока.
У меня на старой версии тоже работало, чуть тупило и без дискорд.
Думал недельку...стоит ли, а вдруг хуже будет.
Обновил, стало работать быстрее + дискорд
HOPPER SE
обновлялись по инструкции или делали с нуля? Просто у некоторых начинаются какие то проблемы если обновиться.
Сделал с нуля
По "старинке" так сказать, форматнул флешку и все по новой.
До этого удалял config, обновлял запрет (ошибок не было, но он не обновлялся и грузилась старая версия).
По совету выше
/opt/zapret/init.d/sysv/zapret stop
cd /opt/zapret
./uninstall_easy.sh
y
Enter
rm -r /opt/zapret
Это мне тоже не помогло
А у меня после переустановки дискорд так и не заработал... К какому порту прописывал обходы, br0 и eth2?
У меня
ifconfig
показал
br0 и eth2
Их и использовал.
Это сделали:
По диску:
1) /opt/zapret/init.d/sysv/zapret stop
2)cp -a /opt/zapret/init.d/sysv/custom.d.examples/50-discord /opt/zapret/init.d/sysv/custom.d/50-discord
3) /opt/zapret/init.d/sysv/zapret start
вот по диску запуск не идет. второе действие просто ничего не делает, даже в новой строке ничего не пишет...
добрый день, обновился все таки, но с голосовыми дискорда беда. Когда только сделал - в голосовые заходило, проходит час, снова не может войти ни в один голосовой. Не было такого? Делал с нуля. Ютюб рабобает, дискорд сам тоже, но голосовые почему то перестают.
@Keenet не могли бы вы проверить входит ли у вас в голосовые дискорда?
У меня заходит без проблем, сделал все с нуля по инструкции
Добрый день, проверил, дискорд работает полностью.
https://habr.com/ru/articles/834826/#comment_27556824
Та же фигня была. Пошёл другим путём пока что
Да дискорд сделал, наверно команда не прошла. Еще такой вопрос более специфичный, если запустить трансляцию на ютюб, идут дропы, какой параметр может отвечать за это? Раньше (с месяц назад) такого не было. Возможно когда подняли repeats до 15. А возможно не из-за этого. Может кто пробовал?
Внимание!
В связи с удалением бинарников из github и использованием github actions, обновил инструкцию по установке Zapret на роутер.
Теперь готовые архивы с релизами берем - тут.
Утилита git для скачивания и обновления Zapret теперь больше не используется.
Странно, вчера попробовал git pull, отработала, видимо успел. Подскажите пожалуйста, как теперь правильно обновлять zapret?
UPD увидел в инструкции
подскажите пожалуйста, в какую сторону копать. Задача немного специфичная. Кратко. Примерно с того времени, когда изменили repeats на 15 стали проблемы с трансляцией на ютюбе. Мне необходимо запустить трансляцию, и появляются потери кадров, дропы. Раньше такого не было. Если я отключаю на роутере Zapret и включаю просто на компьютере Launcher for Zapret v1.4 то потерь кадров нет, поток стабильный. Значит нужно копать в стратегии, что можно уменьшить или увеличить, чтобы победить эту проблему?
Тут нужно проверять, смотреть. Могу подсказать - в Launcher for Zapret v1.4 используется такие параметры для стратегии Youtube:
\winws.exe --wf-tcp=443 --wf-udp=443 --filter-udp=443 --hostlist=\youtube.txt --dpi-desync=fake --dpi-desync-repeats=4 --dpi-desync-fake-quic=\quic_initial_www_google_com.bin --new --filter-tcp=443 --hostlist=\youtube.txt --dpi-desync=split --dpi-desync-split-pos=1 --dpi-desync-fooling=badseq --dpi-desync-repeats=10 --d --filter-tcp=443 --hostlist=\youtube.txt --dpi-desync=fake,split2 --dpi-desync-split-seqovl=2 --dpi-desync-split-pos=3 --dpi-desync-fake-tls=\tls_clienthello_www_google_com.bin --dpi-desync-ttl=3
На первый взгляд, можно попробовать --dpi-desync-repeats=10, на второй --dpi-desync=fake,split2 --dpi-desync-split-seqovl=2 --dpi-desync-split-pos=3. Но с split2 нужно осторожно - может сломать интерфейс Youtube на телевизоре. Вообще для Youtube достаточно стратегии fake.
PS: Сейчас проверил с уменьшением--dpi-desync-repeats теперь вроде все работает, вплоть до --dpi-desync-repeats=2, видать перестали фейки ловить.
Нет, на телевизоре начинает блокировать поток при --dpi-desync-repeats меньше 13.
да, вчера опытным путем перебирал у меня --dpi-desync-repeats меньше 13. перестает работать и на ПК и на телевизоре. Но дело именно запуске стрима. Если сделать по инструкции, все везде работает и на пк и на тв, но вот с потоком своим проблема. Пропуски кадров, соответственно поток нестабильный. Вчера менял различные значения, пока результатов не дало. Но вот что удивительно с лаунчером все хорошо идет, поэтому и спросил стратегию его, если там repeats 10, то очень странно. Я ставил 10, везде все ломалось и видео не запускались даже на пк и тв.
Вот пытаюсь определить сервера для запуска стрима, возможно их надо в хост лист запихать, так как им ползуюсь. Не хотелось бы чинить одно, при этом ломать другое.
Так в Launcher for Zapret v1.4 есть файл youtube.txt с доменными именами, смотрите в нем. Вообще изначально нужно было отключить фильтрацию, проверять, а так не понятно в какую сторону смотреть.
PS: Сейчас проверил Launcher for Zapret v1.4 - у меня с ним видео не грузятся вообще, а интерфейс грузится... Откуда скачивали свою версию?
В том то и дело. В списке youtube.txt лаунчера нет каких-то адресов, которые не добавлены, перепроверил, соответственно дело в стратегии. Домены к которым обращается трансляция просто ищу, вдруг поможет. А перед запуском лаунчера я отключал фильрацию роутере, то есть запускал все раздельно а не вместе. С чистым лаунчером трансляция ровнее идет, нежели с фильтрацией роутера. Пытаюсь просто как то улучшить ситуацию, понимаю что этим мало кто пользуется, но все же вдруг появятся у людей мысли. Launcher for Zapret v1.4 брал с нонейма.
Подскажите пожалуйста. В общем месяц экспериментировал. С Launcher for Zapret v1.4 все идет идеально, потерь нет, дропов тоже.
Вы писали что там используется стратегия:
Скрытый текст
\winws.exe --wf-tcp=443 --wf-udp=443 --filter-udp=443 --hostlist=\youtube.txt --dpi-desync=fake --dpi-desync-repeats=4 --dpi-desync-fake-quic=\quic_initial_www_google_com.bin --new --filter-tcp=443 --hostlist=\youtube.txt --dpi-desync=split --dpi-desync-split-pos=1 --dpi-desync-fooling=badseq --dpi-desync-repeats=10 --d --filter-tcp=443 --hostlist=\youtube.txt --dpi-desync=fake,split2 --dpi-desync-split-seqovl=2 --dpi-desync-split-pos=3 --dpi-desync-fake-tls=\tls_clienthello_www_google_com.bin --dpi-desync-ttl=3
Я писал так :
Скрытый текст
NFQWS_OPT="
--filter-tcp=80 --dpi-desync=split --dpi-desync-split-pos=1 --dpi-desync-fooling=badseq --new
--filter-tcp=443 --dpi-desync=fake,split2 --dpi-desync-repeats=13 --dpi-desync-split-seqovl=2 --dpi-desync-split-pos=3 --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin --dpi-desync-ttl=3 --new
--filter-udp=443 --dpi-desync=fake --dpi-desync-fake-quic=/opt/zapret/files/fake/quic_initial_www_google_com.bin
"
В моей стратегии все равно трансляция нестабильная, есть потери. Сверил хостлист, добавил в него всё то, чего не хватало. Подскажите, как подправить стратегию, чтобы она полностью копировала запрет. Почему то с ним вообще все идеально.
скачать проще сразу из консоли через curl:
curl -LJO https://github.com/bol-van/zapret/releases/download/v68/zapret-v68.tar.gz
Можно конечно так, но если я напишу конкретную ссылку на релиз, даже для примера, то потом найдутся те, кто так и будут ставить этот конкретный релиз, заместо актуального, и потом писать - спрашивать, почему не работает что-нибудь.
Думаю скачать архив с сайта и закинуть его на роутер ни для кого, из тех кто сможет настроить Zapret - не составит труда.
А почему именно tar.gz качаем ведь есть zip архив который можно скачать, распаковать и сразу закинуть на роутер?
Да тут не все так просто, потому что роутер использует файловую систему linux, и там у файлов есть права, владелец и группа. Если делать по вашему варианту, то вся эта информация просто потеряется при распаковке. Архив tar.gz - это специальный формат архивов для систем на базе unix.
Можете провести эксперимент распаковать и закинуть архив по вашему методу и по-моему, затем через командную строку на роутере сравните на файлах указанную мной информацию.
И еще хотел спросить а чем скрипт в статье для S00fix отличается от вот этого который описан в статье на телеграфе
#!/bin/sh
start() {
echo 0 > /proc/sys/net/netfilter/nf_conntrack_checksum
}
stop() {
echo 1 > /proc/sys/net/netfilter/nf_conntrack_checksum
}
case "$1" in
'start')
start
;;
'stop')
stop
;;
*)
stop
start
;;
esac
exit 0https://telegra.ph/Nastrojka-zapret-ot-bol-van-na-Keentic-04-27
И обязательно ли требуется править скрипт запрета вроде модули и так загружаются и работают,насколько я вижу по команде lsmod видно что все три требуемых модуля прогружаются, не требуется ли в таком случае редактура инструкции?
Скрипт в работе ничем не отличается, просто изменение параметров ядра linux через echo и procсчитается устаревшим способом, более современным и правильным является способ с использованием утилиты sysctl.
По модулям - у меня они на роутере не подгружались автоматически в ядро, но я проверял это уже давненько и может с новыми прошивками, что-то изменилось или может зависть от настроек в роутере. Но в любом случае по этим соображения я не буду удалять это из статьи, а то потом могут возникнуть проблемы с этим у кого-нибудь.
Проверили подгруздку модулей без установленного Zapret или после перезагрузки с отключённой его автозагрузкой или без правки скрипта?
Не подскажете пожалуйста, ютюб, фэисбук работают всегда, rutracker, meduza.io - иногда открываются, иногда не открываются. Пробовал blockcheck, все методы - failed. Что можно попробовать? Режим hostlists. У других провайдеров - с вашим конфигом всё работает идеально.
Добрый вечер всем. Никак не могу заставить работать с ютуб. Проверяю с роутера
curl --connect-to ::speedtest.selectel.ru https://manifest.googlevideo.com/100MB -k -o/dev/null
Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 100M 100 100M 0 0 66.8M 0 0:00:01 0:00:01 --:--:-- 75.0M
вроде как должно работать, скорость нормальная, байты сосчитаны. Но когда пользователь запускает ютуб на устройстве - главная страница грузится быстро, а видео не идет.
blockcheck показал для youtube.com
nfqws --dpi-desync=split2 --dpi-desync-split-pos=1
Если сделать как выдал блокчек проверка через curl не проходит, с параметрами как в статье проходит, но видео не грузится. Провайдер МТС, МО. Но при этом на другой точке на МТС все прекрасно работает с параметрами из статьи, и на Билайне, и на РТ.
Подкиньте мысль, в чем может быть засада?
Прогнал blockcheck в режиме quick, показал по моему черте что.
SUMMARY ipv4 googlevideo.com curl_test_http : nfqws not working ipv4 googlevideo.com curl_test_https_tls12 : nfqws not working ipv4 googlevideo.com curl_test_https_tls13 : nfqws not working
tpws чтоли использовать? Как так то.
В стратегии тлс гугла и репиты указаны?
Да, указаны.
NFQWS_OPT="
--filter-tcp=80 --dpi-desync=fake,split2 --dpi-desync-ttl=0 --dpi-desync-fooling=md5sig,badsum --new
--filter-tcp=443 --dpi-desync=split --dpi-desync-split-pos=1 --dpi-desync-autottl --dpi-desync-fooling=badseq --dpi-desync-repeats=15 --dpi-desync-any-protocol --dpi-desync-cutoff=d4 --dpi->
--filter-udp=443 --dpi-desync=fake --dpi-desync-repeats=15 --dpi-desync-ttl=0 --dpi-desync-any-protocol --dpi-desync-cutoff=d4 --dpi-desync-fooling=md5sig,badsum --dpi-desync-fake-quic=/op>
"
Так работают ютуб и инстаграм. фб окрывается, но тупит.
Последняя версия Запрета это какой то бред, по итогу в нуля все поставил, написал IFACE_WAN=eth3 eth2 (именно без кавычек) и все заработало. Пишет иногда ошибки в этой строке, но если писать eth2 или eth3 отдельно, то работает криво, ютуб практически нигде не грузит. Дискорд так и не заработал, ну и фиг с ним, надоело уже копаться безуспешно.
https://habr.com/ru/articles/834826/#comment_27556824
Попробуйте так
2) Копируем скрипт 50-discord командой:cp -a /opt/zapret/init.d/sysv/custom.d.examples/50-discord /opt/zapret/init.d/sysv/custom.d/50-discord
Работает, но после рестарта роутера не работает войс ДС, пока /opt/zapret/init.d/sysv/zapret restart не пропишешь. Неудобно. Есть идеи?
Работает, но после рестарта роутера не работает войс ДС, пока /opt/zapret/init.d/sysv/zapret restart не пропишешь.
Естественно, автор не стал расписывать как завести нормально дискорд на кинетиках а там нужно еще кучу действий проделать, ибо keeneticos сносит правила там нужно хук писать на ndm а так же фиксить init.d/sysv/functions и сам скрипт. Я бы на месте автора строчки про дискорд вообще бы удалил, ибо войс дискорда будет работать очень короткое время, а дальше постоянно придется рестартить службу либо писать гайд дальше с учетом нюансов
Да, через время войс отваливается))
Нужен гайд ;(
Почему прописывание прокидывания нужных портов в основной конфиг не работает для войса DS?
Крч удалил 50-discord из кастомов, вписал в основной скрипт порты дополнительные, итог:
NFQWS_PORTS_TCP=80,443,50000-50090
И стратегию из скрипта 50-discord допом к 3 стратегиям в
NFQWS_OPT=" --filter-udp=50000-50090 --dpi-desync=fake --dpi-desync-repeats=6 --dpi-desync-any-protocol --new
P.S. bol-van (автор запрета ругается на использование any-protocol в тупую "desync any protocol нуждается в connbytes или cutoff ограничителе. ", но мне сойдёт)
Теперь не должно отваливаться))
А вот так автор не рекомендует делать, потенциально может принести проблемы.
Если перестает работать через какое-то время то может быть две причины:
1) Ошибки в скрипте /opt/etc/ndm/netfilter.d/000-zapret.sh. Можно посмотреть в системный журнал в веб-интерфейсе роутера, там недолжно быть ошибок по этому скрипту. Характерный признак этого варианта - обход всего сразу не работает. Если есть ошибки - то внимательно проверяем скрипт на предмет опечаток и спец. символов в тексте.
2) Падает процесс nfqws во время работы. Увидеть можно по диспетчеру процессов на роутере или при выполнении команды /opt/zapret/init.d/sysv/zapret restart , скрипт сначала останавливает процессы nfqws и пишет наподобие - stopped /opt/zapret/nfq/nfqws (pid 2074). Если пишет, что процесс nfqws не найден, то значит он вылетел во время работы. А вот в причинах нужно разбирается, у меня процесс ни разу не падал, но мне писали люди, у которых были с этим проблемы. Характерная особенность - часть обхода может работать, если разные процессы используются, и падает один из них. Рекомендации - сброс роутера, форматирование usb накопителя и установка все с нуля, внимательно по инструкции все делать, учитывая все рекомендации.
https://github.com/bol-van/zapret/discussions/475#discussioncomment-10965402
У автора есть решение в дискуссах на гите. Автор одобрил решение и подсказывал о нём.
У нас подобное решение уже с самого августа, с момента написания статьи, используется. Это проблема известна еще со времен обхода 443 udp порта, что в кинетике udp пакеты уходят с локальным IP адресом и требуется добавлять MASQUERADE на интерфейс...
Вот этот код в скрипте /opt/zapret/init.d/sysv/zapret делает тоже самое:
for IFACE_N in $IFACE_WAN; do iptables -t nat -A POSTROUTING -o $IFACE_N -j MASQUERADE done
for IFACE_N in $IFACE_WAN; do iptables -t nat -D POSTROUTING -o $IFACE_N -j MASQUERADE done
Если делать все точно по статье, то не должно быть проблем с этим.
Тем предлагается создать
/opt/etc/ndm/netfilter.d/netfilter.hook.sh
С:
#!/bin/sh
# Docs: https://github.com/ndmsystems/packages/wiki/Opkg-Component#ndmnetfilterd
[ "$table" != "mangle" ] && [ "$table" != "nat" ] && exit 0
SCRIPT=$(readlink /opt/etc/init.d/S90-zapret)
if [ -n "$SCRIPT" ]; then
EXEDIR=$(dirname "$SCRIPT")
ZAPRET_BASE=$(readlink -f "$EXEDIR/../..")
else
ZAPRET_BASE=/opt/zapret
fi
. "$EXEDIR/functions"
zapret_apply_firewallДелает одно и тоже, что скрипт /opt/etc/ndm/netfilter.d/000-zapret.sh. Тот и тот восстанавливает правила в таблице. Если с тем у Вас заработало, значит /opt/etc/ndm/netfilter.d/000-zapret.sh была ошибка/спец. символы при создании. Очень распространенная ошибка, много кто обращался с этим. Как я писал раньше в системном журнале ее сразу видно.
Да не, на утро опять всё в тыкву превратилось. Не помогло ни то, не другое. Спец символов нет. Не знаю что сделать ещё)
Да, изучил скрипты, действительно итог у них один. Но что самое интересное после /opt/zapret/init.d/sysv/zapret restart в ssh войс начинает работать. Посмотрю логи, хотя я там, вроде, видел что скрипт отрабатывает. Если не поможет, то попробую мб в него прописать именно исполнение /opt/zapret/init.d/sysv/zapret restart или чего-нибудь из него
Выяснил что отваливается, например, после переподключения сетевой карты ПК по проводу к роутеру, а точнее только тогда, когда в логах возникает:
[I] Nov 17 12:15:22 ndm: UPnP::Service: "System": redirect and forward rules deleted: udp 54300.
[I] Nov 17 12:15:22 ndm: UPnP::Service: "System": redirect rule added: udp PPPoE0:54300 -> 192.168.1.63:54300.
[I] Nov 17 12:15:22 ndm: UPnP::Service: "System": forward rule added: udp PPPoE0 -> 192.168.1.63:54300.
Если проверять до этого, сразу после восстановления подключения - всё работает. Отваливается только войс дискорда при этом. Видимо UPnP на udp ломает прописанные правила, сбрасывает их.
Как починить?
Без удаления правил на других портах такая же проблема, например:
[I] Nov 17 12:30:38 ndm: UPnP::Service: "System": redirect rule added: udp PPPoE0:11000 -> 192.168.1.63:11000.
[I] Nov 17 12:30:38 ndm: UPnP::Service: "System": forward rule added: udp PPPoE0 -> 192.168.1.63:11000.
Вообщем нашёл решение
Модифицировать до#!/bin/sh [ "table" != "nat" ] && exit 0 /opt/zapret/init.d/sysv/zapret restart-fw
И всё работает.Желательно ещё sleep 1 или 2 добавить, чтобы в логи роутера не срал 2-5 раз прогоняя одно и тоже, но это мелочь.
Либо использовать такой облегчённый вариант без вмешательства в zapret:
https://github.com/bol-van/zapret/discussions/801
Не нужно вносить смуту, все прекрасно работает, того что в статье достаточно для полноценной работы. Правила роутеру не дает забыть скрипт /opt/etc/ndm/netfilter.d/000-zapret.sh , и он прекрасно с этим справляется, и если посмотрите в системный журнал то, там будет сразу видно, что с завидной частотой появляться строчка наподобие: Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Inserting iptables rule for nfqws postrouting (qnum 65400) : -p udp -m multiport --dports 50000:50099 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:3 -m set --match-set discord dst. и другие подобные.
Не нужно вносить смуту, все прекрасно работает
Сами проверьте теперь как будет работать подключение к голосовому каналу, через время оно отвалится до перезагрузки zapret
Хорошо, я оставлю на длительное время. Что при этом в системном журнале пишет? Процессnfqws , который обслуживает эти порты не отваливается?
Три часа уже работает, не отваливается. Сколько времени нужно ждать до отвала?
Добрый вечер, подскажите пожалуйста бьюсь уже несколько месяцев. Не удается обойти на провайдере ГТС (https://kgts.su/) все по инструкции сделано, ну не хочет работать нигде Ютуб, не на телике не на телефоне, при этом Инстаграмм работает и на торрент трекеры заходит, подскажите пожалуйста люди добрые какой параметр крутить в конфиге чтоб заработал Ютуб.
Заранее спасибо
Крутите параметр --dpi-desync-fooling, похоже не пропускает этот провайдер фейковые пакеты, скорее всего проверяет пакеты на целостность и отбрасывает. Можно вообще пробывать none.
--dpi-desync-fooling а какие параметры то можно подставлять? и в какой строке? или во всех трех? фильтрация стоит none
Смотрите описание на Github:
--dpi-desync-fooling=<fooling> ; дополнительные методики как сделать, чтобы фейковый пакет не дошел до сервера. none md5sig badseq badsum datanoack hopbyhop hopbyhop2
Так описано, что какой параметр делает, и когда он работает/не работает.
Про none - я не про фильтрацию, а про --dpi-desync-fooling.
Отключил на роутере zapret - youtube работает. Получается разблокировали.
@Keenet Здравствуйте. Вышла версия 69, в ней похоже изменился синтаксис конфигурации параметров искажения трафика. Хотя автор пишет что старые формулировки останутся синонимами новых.
Кто поставит и проверит, отпишитесь пожалуйста.
Автор добавил кастом скрипт для фикса upd на кинетиках
Не подскажите, какие сейчас актуально прописывать DNS, а так же DoT? Пишут что прописывать гугловские нет смысла, либо яндекса. В статье просто гугловские + адгуард.
У меня гугл и клауд. Только не DoT, а DoH.
@Keenet а у вас какие DoT или DoH сейчас стоят? Как в инструкции? Можете написать пожалуйста актуальные.
Да, все как в инструкции, ничего не менял, все работает. У меня тест выдает, что отвечают ДНС-сервера: Google в Lappeenranta, Finland и dns.adguard-dns.com и в Frankfurt am Main, Germany.
Спасибо, просто некоторые говорили что гугловские все побанены и РКН их блочит, хотя у меня тоже работает. Делал DoT, некоторые вон DoH делают. Пытаюсь понять, что лучше будет, чтобы трансляции лучше передавались на ютюб, так и не разобрался пока с потерями.
Да там главное, чтобы тест не выдавал ДНС-серверов, находящихся на территории РФ.
Вышел zapret 69.1
tpws : исправлена логика процессинга хостлистов в режиме --socks5-hostname и логика обработки неизвестного протокола с хостлистами.
10-keenetic-udp-fix : лечащая добавка для кинетика против отсутствия маскарада без ndmmark
Обновил инструкцию по установке с учетом добавки 10-keenetic-udp-fix в zapret 69.1.
А сегодня вышел 69.2))
zapret v69.2
nfqws,tpws: новый параметр
--skipдля временного исключения профиля без удаления параметровnfqws: новый параметр
--methodeol. убрать пробел послеHost:и добавить\nперед методомinit.d: не использовать pgrep в sysv для совместимости с busybox (keenetic, прошивки, alpine)
По поводу дискорда - да, со временем отвалилось и снова не коннектик к голосовым. Все по инструкции делалось.
Ставьте версию zapret 69.2 с нуля по инструкции. Текущую папку zapret можно переименовать, если боитесь сломать, только предварительно zapret остановить.
И посмотрите по возможности, что выдаст команда iptables-save -t nat после отвала.
Спасибо. Я ставил 2 недели назад 68 с нуля. Сначала дискорд отваливался (голосовые) через 1-2 часа, помогал рестарт. Потом подумал, что я может не правильно как то команды прописал, переделал, вроде день-два было нормально, потом не пользовался. Вот сейчас решил проверить - голосовые не работают, соответственно отвалилось в течение этого времени когда то. Выполнил команду сейчас - выдает такое -
Скрытый текст
~ # iptables-save -t nat
Generated by iptables-save v1.4.21 on Sat Nov 23 14:08:38 2024
*nat
:PREROUTING ACCEPT [15970:1428893]
:INPUT ACCEPT [1181:93242]
:OUTPUT ACCEPT [954:71366]
:POSTROUTING ACCEPT [5094:594796]
:_IPSEC_L2TPSERVER_NAT - [0:0]
:_IPSEC_VIPSERVER_NAT - [0:0]
:_NDM_DNAT - [0:0]
:_NDM_DNS_FLT_REDIR - [0:0]
:_NDM_DNS_REDIRECT - [0:0]
:_NDM_EZ_BYPASS - [0:0]
:_NDM_EZ_DNAT - [0:0]
:_NDM_HOTSPOT_DNSREDIR - [0:0]
:NDM_HTTP_DNAT_WAN_NDNS - [0:0]
:_NDM_IC_REDIRECT - [0:0]
:_NDM_IPSEC_POSTROUTING_NAT - [0:0]
:_NDM_MASQ - [0:0]
:_NDM_MASQ_BYPASS - [0:0]
:_NDM_SD_DNSREDIRECT - [0:0]
:_NDM_SD_WEBREDIRECT - [0:0]
:_NDM_SL_PRIVATE - [0:0]
:_NDM_SNAT - [0:0]
:_NDM_SNAT_MAPT - [0:0]
:_NDM_STATIC_DNAT - [0:0]
:_NDM_STATIC_LOOP - [0:0]
:_NDM_STATIC_SNAT - [0:0]
:_NDM_UPNP_REDIRECT_SYS - [0:0]
-A PREROUTING -j _NDM_DNAT
-A PREROUTING -j _NDM_DNS_REDIRECT
-A PREROUTING -j _NDM_EZ_BYPASS
-A PREROUTING -m ndmmark --ndmmark 0x0/0x8 -j _NDM_UPNP_REDIRECT_SYS
-A PREROUTING -p tcp -m tcp --dport 80 -j NDM_HTTP_DNAT_WAN_NDNS
-A PREROUTING -p tcp -m tcp --dport 443 -j NDM_HTTP_DNAT_WAN_NDNS
-A OUTPUT -j _NDM_DNAT
-A POSTROUTING -j _NDM_IPSEC_POSTROUTING_NAT
-A POSTROUTING -j _NDM_SNAT
-A POSTROUTING -j _NDM_SNAT_MAPT
-A POSTROUTING -j _NDM_MASQ
-A _NDM_DNAT -j _NDM_STATIC_DNAT
-A _NDM_DNS_REDIRECT -j _NDM_SD_WEBREDIRECT
-A _NDM_DNS_REDIRECT -j _NDM_SD_DNSREDIRECT
-A _NDM_DNS_REDIRECT -j _NDM_DNS_FLT_REDIR
-A _NDM_DNS_REDIRECT -j _NDM_IC_REDIRECT
-A _NDM_DNS_REDIRECT -j _NDM_HOTSPOT_DNSREDIR
-A _NDM_EZ_BYPASS -d 192.168.1.1/32 -j ACCEPT
-A NDM_HTTP_DNAT_WAN_NDNS -d 10.49.30.125/32 -i br0 -p tcp -m tcp --dport 80 - j DNAT --to-destination 78.47.125.180
-A NDM_HTTP_DNAT_WAN_NDNS -d 10.49.30.125/32 -i br0 -p tcp -m tcp --dport 443 -j DNAT --to-destination 78.47.125.180
-A _NDM_MASQ -j _NDM_MASQ_BYPASS
-A _NDM_MASQ -s 192.168.1.0/24 ! -o br0 -m ndmmark --ndmmark 0x4/0x0 -j MASQUERA DE
-A _NDM_MASQ -s 10.1.30.0/24 ! -o br1 -m ndmmark --ndmmark 0x4/0x0 -j MASQUERADE
-A _NDM_MASQ_BYPASS -s 224.0.0.0/4 -j ACCEPT
-A _NDM_MASQ_BYPASS -d 224.0.0.0/4 -j ACCEPT
-A _NDM_SL_PRIVATE -i ra6 -j _NDM_EZ_DNAT
-A _NDM_SL_PRIVATE -i ra3 -j _NDM_EZ_DNAT
-A _NDM_SL_PRIVATE -i ra4 -j _NDM_EZ_DNAT
-A _NDM_SL_PRIVATE -i ra5 -j _NDM_EZ_DNAT
-A _NDM_SL_PRIVATE -i ra2 -j _NDM_EZ_DNAT
-A _NDM_SL_PRIVATE -i rai4 -j _NDM_EZ_DNAT
-A _NDM_SL_PRIVATE -i rai1 -j _NDM_EZ_DNAT
-A _NDM_SL_PRIVATE -i rai5 -j _NDM_EZ_DNAT
-A _NDM_SL_PRIVATE -i rai2 -j _NDM_EZ_DNAT
-A _NDM_SL_PRIVATE -i rai6 -j _NDM_EZ_DNAT
-A _NDM_SL_PRIVATE -i rai3 -j _NDM_EZ_DNAT
-A _NDM_SL_PRIVATE -i br0 -j _NDM_EZ_DNAT
-A _NDM_SNAT -j _NDM_STATIC_LOOP
-A _NDM_SNAT -j _IPSEC_L2TPSERVER_NAT
-A _NDM_SNAT -j _IPSEC_VIPSERVER_NAT
-A _NDM_SNAT -o ppp0 -j _NDM_STATIC_SNAT
-A _NDM_STATIC_LOOP -s 192.168.1.0/24 -d 192.168.1.0/24 -o br0 -j SNAT --to-sour ce 192.168.1.1
-A _NDM_STATIC_LOOP -s 192.168.1.0/24 -o br0 -m ndmmark --ndmmark 0x4/0x0 -j SNA T --to-source 192.168.1.1
-A _NDM_STATIC_LOOP -s 10.1.30.0/24 -d 10.1.30.0/24 -o br1 -j SNAT --to-source 1 0.1.30.1
-A _NDM_STATIC_LOOP -s 10.1.30.0/24 -o br1 -m ndmmark --ndmmark 0x4/0x0 -j SNAT --to-source 10.1.30.1
-A _NDM_UPNP_REDIRECT_SYS -p tcp -m set --match-set _UPNP_SYS src,src -m tcp --d port 8621 -j DNAT --to-destination 192.168.1.40:8621
-A _NDM_UPNP_REDIRECT_SYS -p tcp -m set --match-set _UPNP_SYS src,src -m tcp --d port 49749 -j DNAT --to-destination 192.168.1.51:49749
-A _NDM_UPNP_REDIRECT_SYS -p udp -m set --match-set _UPNP_SYS src,src -m udp --d port 49749 -j DNAT --to-destination 192.168.1.51:49749
COMMIT
Так и думал, у Вас из таблицы NAT пропадает MASQUERADE на WAN интерфейс. Покажите текущий код в скрипте /opt/zapret/init.d/sysv/zapret .
А вообще советую обновить на версию zapret 69.2, там появился скрипт 10-keenetic-udp-fix, который как раз отвечает за MASQUERADE на WAN интерфейс для кинетиков. Раньше у меня подобный маскарад был, как раз в скрипте /opt/zapret/init.d/sysv/zapret.
уже 69.2, попробую конечно, сделаю как вы говорили с сохранением текущего, так как дискорд пользую редко, но все же пользую. В первую очередь конечно ютюб и сайты. Вот содержимое /opt/zapret/init.d/sysv/zapret
Скрытый текст
#!/bin/sh
### BEGIN INIT INFO
# Provides: zapret
# Required-Start: $local_fs $network
# Required-Stop: $local_fs $network
# Default-Start: 2 3 4 5
# Default-Stop: 0 1 6
### END INIT INFO
SCRIPT=$(readlink -f "$0")
EXEDIR=$(dirname "$SCRIPT")
ZAPRET_BASE=$(readlink -f "$EXEDIR/../..")
. "$EXEDIR/functions"
NAME=zapret
DESC=anti-zapret
do_start()
{
if lsmod | grep "xt_multiport " &> /dev/null ; then
echo "xt_multiport.ko is already loaded"
else
if insmod /lib/modules/$(uname -r)/xt_multiport.ko &> /dev/null; then
echo "iptable_raw.ko loaded"
else
echo "Cannot find xt_multiport.ko kernel module, aborting"
exit 1
fi
fi
if lsmod | grep "xt_connbytes " &> /dev/null ; then
echo "xt_connbytes.ko is already loaded"
else
if insmod /lib/modules/$(uname -r)/xt_connbytes.ko &> /dev/null; then
echo "xt_connbytes.ko loaded"
else
echo "Cannot find xt_connbytes.ko kernel module, aborting"
exit 1
fi
fi
if lsmod | grep "xt_NFQUEUE " &> /dev/null ; then
echo "xt_NFQUEUE.ko is already loaded"
else
if insmod /lib/modules/$(uname -r)/xt_NFQUEUE.ko &> /dev/null; then
echo "xt_NFQUEUE.ko loaded"
else
echo "Cannot find xt_NFQUEUE.ko kernel module, aborting"
exit 1
fi
fi
zapret_run_daemons
[ "$INIT_APPLY_FW" != "1" ] || { zapret_apply_firewall; }
for IFACE_N in $IFACE_WAN; do
iptables -t nat -A POSTROUTING -o $IFACE_N -j MASQUERADE
done
}
do_stop()
{
zapret_stop_daemons
[ "$INIT_APPLY_FW" != "1" ] || zapret_unapply_firewall
for IFACE_N in $IFACE_WAN; do
iptables -t nat -D POSTROUTING -o $IFACE_N -j MASQUERADE
done
}
case "$1" in
start)
do_start
;;
stop)
do_stop
;;
restart)
do_stop
do_start
;;
start-fw|start_fw)
zapret_apply_firewall
;;
stop-fw|stop_fw)
zapret_unapply_firewall
;;
restart-fw|restart_fw)
zapret_unapply_firewall
for IFACE_N in $IFACE_WAN; do
iptables -t nat -D POSTROUTING -o $IFACE_N -j MASQUERADE
done
zapret_apply_firewall
for IFACE_N in $IFACE_WAN; do
iptables -t nat -A POSTROUTING -o $IFACE_N -j MASQUERADE
done
;;
start-daemons|start_daemons)
zapret_run_daemons
;;
stop-daemons|stop_daemons)
zapret_stop_daemons
;;
restart-daemons|restart_daemons)
zapret_stop_daemons
zapret_run_daemons
;;
reload-ifsets|reload_ifsets)
zapret_reload_ifsets
;;
list-ifsets|list_ifsets)
zapret_list_ifsets
;;
list-table|list_table)
zapret_list_table
;;
*)
N=/etc/init.d/$NAME
echo "Usage: $N {start|stop|restart|start-fw|stop-fw|restart-fw|start-daemons|stop-daemons|restart-daemons|reload-ifsets|list-ifsets|list-table}" >&2
exit 1
;;
esac
exit 0
Все нормально тут. А какой сейчас код в скрипте /opt/etc/ndm/netfilter.d/000-zapret.sh?
Тут так -
Скрытый текст
#!/bin/sh
[ "$type" == "ip6tables" ] && exit 0
[ "$table" != "mangle" ] && exit 0
/opt/zapret/init.d/sysv/zapret restart-fwА вот тут устарело - обновите код согласно статьи.
В общем итоговая рекомендация: обновить версию zapret до 69.2 по статье, обновить код в скрипте /opt/etc/ndm/netfilter.d/000-zapret.sh , как в статье. После этого всего посмотреть, чтобы в системном журнале роутера периодически появлялась строчка - Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Inserting iptables rule for keenetic udp fix : -o eth3 -p udp -m mark --mark 0x40000000/0x40000000., где eth3 - имя вашего WAN-интерфейса.
После этого думаю у Вас все хорошо будет работать.
Стояла версия 68, ютюб работал идеально. Поставил с нуля 69.3. Ютюб стал раз в минут 15 отваливаться и через минуту продолжать работать (если перезапустить Zapret - работает сразу). Переставил с нуля версию 68, ютюб снова работает идеально. В чем причина - не понимаю. Даже вот не знаю стоит ли в будущем ставить версии свежее..
UPD: на 68 версии тоже проявилось. Зря конечно трогал
отформатировал флешку, поставил последнюю версию с нуля. Проблема все еще осталась, пусть и в другом виде: превью грузятся, комментарии работают, ролики не играют, через минуту - всё ок. Если перезапустить zapret - всё сразу работает. И такое несколько раз в день. До не давних пор 68 версия работала без таких сбоев, что изменилось - не пойму.
Попробовал другую флешку - ничего не изменилось. Внимательней присмотрелся - похоже zapret периодически просто падает. В логах ничего не отмечается.
Попробовал откатиться с 4.2.3 на предыдущие прошивки - после даунгрейда отключается компонент с OPKG, если его поставить - автоматом обновляется до 4.2.3. Больше не знаю что попробовать
сбросил настройки роутера, настроил заново. Всё так же: автозагрузка не работает, каждые 20мин-час zapret падает, после рестарта работает
попробовал каждую версию Запрета начиная с 67. Картина не меняется. Возможно виновата прошивка 4.2.3, с которой ничего не могу поделать
На третий день экспериментов я дошел до тестов содержимого скриптов... и нашел источник проблемы! В шапке в инструкции изменилось содержимое файлов 000-zapret.sh и S00fix. Хорошо у меня сохранились старые копии инструкций! Сделал как раньше, автозагрузка заработала, zapret перестал падать!
/opt/etc/init.d/S00fix
#!/bin/sh
start() {
echo 0 > /proc/sys/net/netfilter/nf_conntrack_checksum
}
stop() {
echo 1 > /proc/sys/net/netfilter/nf_conntrack_checksum
}
case "$1" in
'start')
start
;;
'stop')
stop
;;
*)
stop
start
;;
esac
exit 0/opt/etc/ndm/netfilter.d/000-zapret.sh
#!/bin/sh
[ "$type" == "ip6tables" ] && exit 0
[ "$table" != "mangle" ] && exit 0
/opt/zapret/init.d/sysv/zapret restart-fw@Keenet FYI
UPD Нет, проработал весь день и все равно отвалился
Я так и не понял, у Вас запрет падает на совсем или через какое-то время начинает снова работать сам?
Если падает совсем, значит скорее всего процесс nfqws падает, проверяйте утилитой pc.
Если через какое-то время начинает сам заново работать, возможно правила iptables затираются и не сразу восстанавливаются, смотрите наличие правил утилитой iptables-save .
Ошибся по описанию сначала. Полностью падает. Тестировал сегодня, итог:
Система работает стабильно ТОЛЬКО с версией Zapret 38 (возможно младше тоже) и исключительно с содержимым 000-zapret.sh и S00fix упомянутым выше.
KN-1810
KeenticOS 4.2.3
Включен DoH google, DNS провайдеры откл. Включены пакеты SSH, Netfilter, Xtables-addons для Netfilter (не знаю, нужен он?). Все остальные настройки дефолтные (сбрасывал после установки 4.2.3).
Не понимаю конечно, я единственный с такой проблемой?
аналогичная беда - ps говорит, что переодически падает nfqws.
А что с этим делать?
так же все описал:
удаляйте, ставьте версию 38. ставьте по инструкции, кроме содержимого S00fix и 000-zapret.sh, их надо заполнить из старых инструкций, я написал в этом треде как именно
Устнановил 69.4 у него исходники nfqws отличаются, а в описании есть багфикс. Буду наблюдать
На 69.3 у меня он падал.
Понаблюдайте сутки пожалуйста, сообщите о результатах
к сожалению тоже падает
Это конечно печально что мы на Кинетиках не можем использовать свежие версии Запрета. Автор (bol-van) обычно сразу открещивается - "Кинетики не поддерживаю", исключительно OpenWRT. Вот подумываю, может взять малинку под OpenWRT + zapret, но, честно, не представляю как настроить маршрутизацию...
У меня все версии Zapret работают стабильно на том же роутере и прошивке, что и у Вас. Я обновляю версию где-то раз в неделю в выходные, как правило, и потом у меня он всю неделю работает, без глюков и перезагрузок.
Тут нужно разбираться и ловить из-за чего там процесс падает, и как у Вас скрипты, которые не имеют никакого отношения к процессу nfqws (один настраивает параметр ядра, а второй таблицу iptables) вызывают его падение, при том, что старые, что новые скрипты делают по сути одно и тоже!
А автор Zapret говорит, что не имеет роутеров keenetic и не хочет связывается с проприетарной KeeneticOS, потому, что не известно, что там сделали разработчики. Просто, вполне может оказаться, что проблема где-то в прошивке, а не в утилите, как это было с утечкой памяти!
а режим фильтрации какой используете? Я hostlist и сгенерированный список хостов на 151342 строк (внутри zapret от автоматического обновления отказался, ни с каким не работает инстаграм, вручную заполняю zapret-hosts-user.txt). Может в этом дело? Только непонятно почему в версиях свежее 38 версии это может вызывать падения...
None не рассматриваю, игры и лаунчеры с ним некоторые не работают. Список могу попробовать сделать меньше, но переустанавливать zapret и мониторить мне уже надоело.
Режим, да, none. Сколько оперативной памяти с таким списком используется?
Так нужно лечить проблему, а не симптомы. Если какие-то соединения падают от запрета, это скорее всего от того, что до серверов доходят фейковые пакеты и не отбрасываются ими, как некорректные. Нужно экспериментировать с параметром dpi-desync-ttl и dpi-desync-fooling, я сейчас выбрал dpi-desync-ttl=1 для себя, так как обнаружил, что некоторые сайты падают с оригинальным TTL (dpi-desync-ttl=0). А использование zapret-hosts-user.txt, это уже крайний вариант, тем более с таким огромным списком доменов. Это сколько там накладных расходов ресурсов, чтоб проверять по таким спискам.
стабильно 38-39% (100мб максимум).
Нет, падают не какие-то, просто в случайный момент по щелчку zapret будто останавливается, не открывается ничего, страницы даже не пытается загружаться\показывает заглушки провайдера. Перезапускашь - работает.
Ну вот с играми и лаунчерами - ничего другого не остается. Я попробую вручную собрать список и потестировать. Но почему-то до 39 версии все с ним прекрасно работает...
Настроил get_refilter_domains.sh с автообновлением из пакета zapret (https://github.com/1andrevich/Re-filter-lists), у него 42572 хоста, потребление озу 34% 88 Мб. Пока тестирую на версии 38, если всё устроит, попробую снова с нуля последнюю версию поставить.
добавил в крон вот такой скрипт
#!/bin/sh
psString=$(ps)
testString=(echo $psString | grep 'nfqws')
[ "$testString" != "" ]&& exit 0
echo "start zapret"
/opt/zapret/init.d/sysv/zapret startДумал об этом этом, но это лечение симптомов, а не болезни. В целом 38 версия работает стабильно и покрывает все потребности, понадобится обязательное обновление - буду решать...
У меня тоже отваливается каждые 15 мин. Версия 69.3. Делал по этой инструкции @Kennet
У Вас 99% опечатка или спец. символы в скрипте /opt/etc/ndm/netfilter.d/000-zapret.sh, проверяйте с использованием редактора vi. И посмотрите в системном журнале в веб-интерфейсе ошибки по этому скрипту.
Да не, все нормально было. Я исправил отвалы добавлением старого скрипта в 000-zapret.sh. Но для дискорда пришлось ещё хук сделать. Без него со старым скриптом Дискорд отваливался. Пример хука - https://github.com/bol-van/zapret/discussions/475#discussioncomment-11256056
Так он же в инструкции есть 10-keenetic-udp-fix , уже давненько, как добавлен. Странно конечно как-то, делали по инструкции, а ничего не работает, что должно. Ладно, главное, что работает теперь.
Я вашим гайдом пользуюсь с августа. И как только вы поменяли скрипт, начались отвалы. 10-keenetic-udp-fix это не хук. Сам хук чем то напоминает ваш новый скрипт 000-zapret.sh. Короче в двух словах, с вашим новым скриптом отваливается целиком запрет, но не отваливается Дискорд, а со старым скриптом работает запрет, но отваливается Дискорд. Со старым скриптом и хуком работает отлично
Так вот, как я и писал уже выше: "Тут нужно разбираться и ловить из-за чего там процесс падает, и как у Вас скрипты, которые не имеют никакого отношения к процессу nfqws (один настраивает параметр ядра, а второй таблицу iptables) вызывают его падение, при том, что старые, что новые скрипты делают по сути одно и тоже! ". Пока все, кто писали, что с моими новыми скриптами не работает, а старыми работает, так никакой технической информации и не предоставили, кроме просто констатации факта.
Я перед выкладыванием все тестирую, запрет у меня неделями работает стабильно. Да, так-то конечно, существует множество разных роутеров, версий прошивок, конфигураций пользователя и режимов использования, и я не имею возможности протестировать на всем.
#!/bin/sh
# Docs: https://github.com/ndmsystems/packages/wiki/Opkg-Component#ndmnetfilterd
[ "$table" != "mangle" ] && [ "$table" != "nat" ] && exit 0
SCRIPT=$(readlink /opt/etc/init.d/S90-zapret)
if [ -n "$SCRIPT" ]; then
EXEDIR=$(dirname "$SCRIPT")
ZAPRET_BASE=$(readlink -f "$EXEDIR/../..")
else
ZAPRET_BASE=/opt/zapret
fi
. "$EXEDIR/functions"
zapret_apply_firewall
Вот хук. По пути /opt/etc/ndm/netfilter.d/netfilter.hook.sh
Это просто фактически одно и тоже делает, что и 000-zapret.sh . Удалите тогда скрипт 000-zapret.sh , он не нужен.
Ну только вот почему-то с вашим новым 000-zapret.sh отваливается запрет, а с хуком нет. Я могу по возможности на неделе собрать информацию по отвалу и скинуть вам.
Скорее всего 000-zapret.sh просто не работает у Вас.
Посмотрите системный журнал, что выдают там сейчас 000-zapret.sh и netfilter.hook.sh .
Точнее сейчас не важно, сначала обновите скрипт 000-zapret.sh до нового, а потом посмотрите.
Сейчас стоит старый 000-zapret.sh
Вот они сейчас одновременно выполняются, делая одно и тоже. Как сможете просто обновите 000-zapret.sh и переместите netfilter.hook.sh куда-нибудь. После этого посмотрим, что будет в журнале и будет ли отваливаться.
Сделаю. Но я уже проверял. С новым 000-zapret.sh и без хука отваливается запрет. Правда я не смотрел системный журнал. Завтра-послезавтра давайте посмотрим.
Добрый день. Сделал. Удалил хук, добавил новый скрипт 000-zapret.sh. отвал произошел через минут 30
Да, ошибка в ndm вылезает, до неё не было ничего ещё? Какой роутер и версия прошивки?
Это нужно к разработчикам keeneticOS скидывать на форум, чтобы они смотрели, может исправят. Если не затруднит Вас, то скиньте туда. Просто только у Вас такая ошибка вылезает. И к zapret она не относится и процесс так же судя по всему не падает, а просто правила в таблице не восстанавливаются.
Ещё можете скинуть куда-нибудь сам файл скрипта, который вызывает эту ошибку, и скинуть мне.
Keenetic Giga-1011. Прошивка последняя 4.2.3. Вылетало и на 4.2.1. Я уже после обновился, чтоб проверить, не в прошивке ли дело.
Больше ошибок никаких нет, просто эта повторяется постоянно.
Это ваш новый скрипт 000-zapret.sh. Если вместо него стоит хук, то ничего не отваливается и ошибок нет
https://drive.google.com/file/d/1s0R2h-eU7Y5j_qQUrUVMCpWIR_N8SkUg/view?usp=drivesdk
Так выше ещё 2 человека писали, что у них тоже отвалы происходят. Может такая же причина, что и у меня @inkda1@Cheshirscy
Они заявляли, что у них падает сам процесс nfqws, а не правила в таблице iptables. Предположительно, у @inkda1 из-за большого hostlist, потому, что прошивка и роутер у нас одинаковые, отличается только режим фильтрации, а проверять в режиме none - он не хочет.
Нет, с маленьким тоже падает.
Буквально только что вышел
zapret v69.6
nfqws: Установка NETLINK_NO_ENOBUFS для NFQUEUE. Решает проблему с аварийным выходом процесса на некоторых системах (keenetic).
init.d: Унификация custom скриптов для linux. Удалены init.d/{openwrt,sysv}/custom.d.examples. Скрипты теперь имеют формат как раньше для sysv, примеры находятся в `init.d/custom.d.examples.linux'. Совместимость со старым openwrt вариантом сохраняется.
init.d: Новый custom скрипт 20-fw-extra. Например, для тех, кому нужно дурить трафик через nfqws только с одного входящего интерфейса и не дурить с остальных.
init.d: Новый custom скрипт 50-wg4all. Ищет в ядре udp пакеты wireguard handshake initiation на любые порты и перенаправляет на nfqws.
Нет, а просто если none выбрать и проверить?
Дело в том что проверять надо в районе суток, бывает падает через 12 часов, мне это не очень удообно, тк с none не запускаются игровые лаунчеры\не подключаются к серверам некоторых игр.
Это понятно, но я прилагал, что просто замените в конфиге везде --dpi-desync-ttl=0 на --dpi-desync-ttl=2, и тогда у Вас с очень большой вероятностью все будет работать в режиме none. Я писал почему так, с --dpi-desync-ttl=0 у фейковых пакетов TTL оригинального пакета остается, а при --dpi-desync-ttl=2 TTL меняется меняется на 2, т.е. уничтожится после прохождения 2 узлов и до сервера точно не дойдет, а при оригинальном он доходит, но отбрасывается из-за установки --dpi-desync-fooling, но также некоторые серверы могут не отбрасывать и тогда соединение ломается. По этому изменение TTL более надежный способ, чтобы фейки не дошли, но главное, чтобы они миновали ограничители.
Версию zapret v69.6 поставил, все пока работает нормально. В инструкции тоже обновил если что.
Не совсем, у меня не работает автозагрузка, ни с какими версиями 000-zapret.sh и S00fix, ни из текущей инструкции, ни из старых (в 38 автозагрузка работает только содержимым из старых инструкций).
Обновили нэимнг? Или какие-то еще есть изменения?
У меня сейчас недавно после обновления на версию 69.6 наглухо завис роутер, пришлось аварийно перезагрузить его. Может совпадения, но он у меня так никогда не зависал. Пока все работает, но нужно повнимательней с новой версией, а то может заместо аварийного падения процесса появилось аварийное падение всего роутера.
Я тогда лучше поставлю 69.5, сообщите как понаблюдаете еще
Да, пока все хорошо. Вообще по поводу падения процесса - на гите автора, как раз обсуждали эту проблему, что и привело к этому фиксу сегодняшнему. Один пользователь там заявляет, что на более 30 кинетиках тестирует, видно на поток поставил. Ну говорит, что проблема решена.
Поставил 69.6, через 47 минут Запрет упал. Ошибки в логах теперь есть (эта ошибка сыпется с момента запуска Запрета). Настраивал всё по текущей инструкции.
Возвращаюсь на 38 версию.
а попробуйте 69.6 версию, но с хуком вместо 000-zapret.sh
Да у Вас в скрипте ошибка. Возьмите файл скрипта, который выкладывал Drorby https://drive.google.com/file/d/1s0R2h-eU7Y5j_qQUrUVMCpWIR_N8SkUg/view?usp=drivesdk и просто замените свой по пути /opt/etc/ndm/netfilter.d/ . У него он верный.
А автозагрузка идет через создания ссылки:
ln -fs /opt/zapret/init.d/sysv/zapret /opt/etc/init.d/S90-zapret
У вас если посмотреть через mc есть файл-ссылка S90-zapret в папке /opt/etc/init.d ?
Копирую текст из инструкции.
Попробовал, наблюдаю.
Просто, вставлять нужно через редактор vi или nano, иначе если через винду, то можно на вставлять не видимые спец. символы из-за которых потом скрипт и вываливается. Ну или по крайней мере контролировать после вставки - открывать в редакторе vi и смотреть, чтоб все было точно, как и должно, не одной лишней закорючки.
Да, есть
Я похоже ошибся. На версиях 68 и младше, после запуска роутера Zapret запускался мгновенно. Сейчас я тестировал и после перезагрузки роутера отвлекся и оказалось что автозагрузка все-таки работает, но не мгновенно как раньше, Zapret запускается спустя где-то 2 минуты после полного включения роутера.
версия 69.5 спустя 9 часов работы (безуспешной попытке запустить ютюб на AndroidTV) упала. Ошибок в логах нет. Возможно это проблема, исправленная в 69.6. Но у меня стабильнее всего работает 68, с ней вообще никогда никаких проблем
UPD на 68 тоже не грузится ютюб на тв. Странно
С хуком все прекрасно работает. Я уже ничего не понимаю. Видимо я просто оставлю хук и все. Так же попробую связаться в разработчиками keenetic os, как вы посоветовали.
Здравствуйте.
Я немного запутался, можете пожалуйста подробно рассказать как вы настроили хук, с которым последний запрет не отваливается? Я думаю тут многим бы пригодилось, а люди тут сидят разной подготовки... Код по ссылке из гитхаба надо в 000-zapret.sh заполнить?
Добрый день.
vi /opt/etc/ndm/netfilter.d/netfilter.hook.sh
#!/bin/sh
# Docs: https://github.com/ndmsystems/packages/wiki/Opkg-Component#ndmnetfilterd
[ "$table" != "mangle" ] && [ "$table" != "nat" ] && exit 0
SCRIPT=$(readlink /opt/etc/init.d/S90-zapret)
if [ -n "$SCRIPT" ]; then
EXEDIR=$(dirname "$SCRIPT")
ZAPRET_BASE=$(readlink -f "$EXEDIR/../..")
else
ZAPRET_BASE=/opt/zapret
fi
. "$EXEDIR/functions"
zapret_apply_firewallchmod +x /opt/etc/ndm/netfilter.d/netfilter.hook.sh
000-zapret.sh просто удалил.
В том то и дело, что скрипты делают просто фактически одно и тоже! Отличия заключается только в том, что мой скрипт вызывает функцию zapret_apply_firewall через /opt/zapret/init.d/sysv/zapret restart-fw, а в том хуке через /zapret/init.d/sysv/functions. И почему у Вас происходит ошибка не понятно, притом что вначале он работает нормально, она получается через какое-то время вылезает в модулеndm. А еще интересней, что мой старый скрипт не вызывает эту ошибку, хотя отличия в них только в том, что стал помимо таблицы mangle проверять изменения таблицы nat, что собственно делает и тот хук, один в один - [ "$table" != "mangle" ] && [ "$table" != "nat" ] && exit 0. Просто если не проверять это, как раз возможно появление проблемы с отвалом UDP протокола, так как для кинетика нужно делать маскарад на внешний интерфейс и следить, чтобы ОС его не затерла.
Да. Именно так. поэтому c вашим старым скриптом 000-zapret.sh отваливается Discord.
Видимо я просто оставлю хук вместо 000-zapret.sh и фиг с ним.
Кстати на счет лаунчеров и игр с параметром none. Заметил что в гайде вы поменяли ttl на 2. У меня с этим начались проблемы. Поменял ttl на 0, как было ранее, и проблемы с лаунчерами и играми ушли. @inkda1
Только должно быть все наоборот! С большим TTL он доходит до серверов, а с маленьким нет. Странно как-то все работает. В использовании метода задания TTL есть только один минус - его возможно придется по себя подстраивать, необходимо найти минимальное значение, при котором обход еще работает, а TTL=0 - это неравно минимальный, а равно оригинальный, а он всегда большой будет, иначе ничего бы не работало.
Подскажите как ПРАВИЛЬНО удалить zapret ?
провайдер видимо у себя это же настроил и пока работает при остановленом zapret.
Но в логах то кинетика мусор если просто флэшку извлечь.
/opt/zapret/init.d/sysv/zapret stop
cd /opt/zapret
./uninstall_easy.sh
y
Enter
rm -r /opt/zapretЕсли больше не нужна подсистема OPKG, можете указать Накопитель: "не выбран" или удалить компонент из KeeneticOS
неее..
там wireshark
там nperf
да и кто знает когда провайдер прогнётся под ркн
Накопитель: "не выбран"
ну можно и флэху выдернуть..но кинетик про отсутвие файлов ругается...
===
ну выполнил Вашу последовательность и получил тоже что и при выдирании флэхи
Подскажите есть ли возможность обновить zapret до версии v69.2 или необходимо всё с нуля?
никак, удалять и ставить заново. Уже 69.3 есть
не подскажите отличия 69.3 от 68, помимо дискорда? думаю стоит ли трогать снова.
Вот тут всё описано: https://github.com/bol-van/zapret/releases
если всё работает и устраивает - я бы не трогал.
Товарищи, подскажите, что не так или так и должно работать?
Keenetic Hopper, FW: 4.2.3, Zapret на флешке.
На ПК все более-менее нормально, секунды за 3 ролики начинают грузится. А вот на телефонах проблема. В сети 2 одинаковых Realme GT Master Edition, Android 13, c одинаковым youtube-revanced_v19.46.42-patches_v5.2.0_arm64-v8a и revanced.android.gms-240913008. Так вот, на моем аппарате при клике на ролик он начинает грузится, секунд через 5 прогружается интерфейс плеера, еще секунд через 5 описание и комментарии, еще секунд через 5-10 начинается воспроизведение. На смарте жены все то-же самое, за исключением последнего пугкта - воспроизведение не начинается... Причем у меня иногда вообще сразу после клика ролик начинает воспроизводиться, но чаще как описано выше, а у жены не грузит. Все настройки энергосбережения одинаковые. Может скрипт занят моим потоком, а на параллельные не отрабатывает? Я уже голову сломал...
Странно, два одинаковых устройства, на одном работает, а другом нет. Какой конфиг используется? Когда настраивали? Я тут сейчас только обновил его немного.
Конфиг autohostlist. Настраивал пару дней назад, но сейчас(в течении часа) заново установил v.69.5 глядя в актуальную версию инструкции. Сейчас смотрю лог и, как я понимаю, скрипт через несколько минут после перезагрузки роутера перестает работать...
Скрытый текст
Дек 7 17:01:01
ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: net.netfilter.nf_conntrack_tcp_be_liberal = 0.
Дек 7 17:01:01
ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Applying iptables.
Дек 7 17:01:01
ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Creating ip list table (firewall type iptables).
Дек 7 17:01:01
ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: setting high oom kill priority.
Дек 7 17:01:01
ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: reloading ipset backend (no-update).
Дек 7 17:01:01
ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Inserting iptables rule for nfqws postrouting (qnum 200) : -p tcp -m multiport --dports 80,443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:9.
Дек 7 17:01:01
ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Inserting ip6tables rule for nfqws postrouting (qnum 200) : -p tcp -m multiport --dports 80,443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:9.
Дек 7 17:01:01
ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Inserting iptables rule for nfqws input+forward (qnum 200) : -p tcp -m multiport --sports 80,443 -m connbytes --connbytes-dir=reply --connbytes-mode=packets --connbytes 1:3.
Дек 7 17:01:01
ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Inserting ip6tables rule for nfqws input+forward (qnum 200) : -p tcp -m multiport --sports 80,443 -m connbytes --connbytes-dir=reply --connbytes-mode=packets --connbytes 1:3.
Дек 7 17:01:02
ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Inserting iptables rule for nfqws postrouting (qnum 200) : -p udp -m multiport --dports 443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:9.
Дек 7 17:01:02
ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Inserting ip6tables rule for nfqws postrouting (qnum 200) : -p udp -m multiport --dports 443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:9.
Дек 7 17:01:02
ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Inserting iptables rule for keenetic udp fix : -o eth2.2 -p udp -m mark --mark 0x40000000/0x40000000.
Дек 7 17:01:02
ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Inserting iptables rule for nfqws postrouting (qnum 65400) : -p udp -m multiport --dports 50000:50099 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:3 -m set --match-set discord dst.
Дек 7 17:01:02
ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: net.netfilter.nf_conntrack_tcp_be_liberal = 1.
Дек 7 17:05:08
dropbear[5291]
Child connection from 192.168.1.3:52268
Дек 7 17:05:09
dropbear[5291]
Password auth succeeded for 'root' from 192.168.1.3:52268
Дек 7 17:07:24
dropbear[5291]
Exit (root) from <192.168.1.3:52268>: Exited normally
Дек 7 17:08:42
ndm
Core::Scgi::Auth: closed session WJXFILHQADLKTWQR.
Дек 7 17:08:44
ndm
Core::Scgi::AuthPool: cleanup: 4 -> 3.
причем ни /opt/zapret/init.d/sysv/zapret start ни /opt/zapret/init.d/sysv/zapret restart ситуацию видимо не меняют, до перезагрузки роутера никакие упоминания OPKG в логе не появляются...
Поставьте режим фильтрации none. Этот скрипт не выполняется zapret, а вызывается автоматически, когда таблица iptables обновляется роутером. Переодичность будет зависить конфигурации роутера. Какое содержимое скрипта 000-zapret.sh сейчас?
Уважаемый Keenet, приветствую Вас! Благодарю Вас за необходимую работу, Ваш сценарий вновь сработал без каких-либо проблем на версии 69.5
Вчера все снес подчистую, заново настроил, как вы рекомендуете, в режиме "none" - вроде пока работает, спасибо. Можно ли править конфиги и скрипты из винды через NotePad++, открывая через самбу файлы? Разрешения после такого не слетят? До этого так и делал, а вчера для чистоты эксперимента колупался с nano из консоли (vi не нравится).
Подскажите пожалуйста. Проблема с попыткой запуска трансляции на ютюб по работе.
Месяц экспериментировал.
Если запускаю трансляцию просто так c нынешним запретом на роутере, то поток трансляции не стабильный (должен быть зеленый, а падает до желтого и красного), появляются дропы на трансляции и потери кадров.
Если я отключаю на роутере запрет и запускаю Launcher for Zapret v1.4 все идет идеально, потерь нет, дропов тоже.
Вы писали что там используется стратегия:
Скрытый текст
\winws.exe --wf-tcp=443 --wf-udp=443 --filter-udp=443 --hostlist=\youtube.txt --dpi-desync=fake --dpi-desync-repeats=4 --dpi-desync-fake-quic=\quic_initial_www_google_com.bin --new --filter-tcp=443 --hostlist=\youtube.txt --dpi-desync=split --dpi-desync-split-pos=1 --dpi-desync-fooling=badseq --dpi-desync-repeats=10 --d --filter-tcp=443 --hostlist=\youtube.txt --dpi-desync=fake,split2 --dpi-desync-split-seqovl=2 --dpi-desync-split-pos=3 --dpi-desync-fake-tls=\tls_clienthello_www_google_com.bin --dpi-desync-ttl=3
Я пробовал так :
Скрытый текст
NFQWS_OPT="--filter-tcp=80 --dpi-desync=split --dpi-desync-split-pos=1 --dpi-desync-fooling=badseq --new--filter-tcp=443 --dpi-desync=fake,split2 --dpi-desync-repeats=13 --dpi-desync-split-seqovl=2 --dpi-desync-split-pos=3 --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin --dpi-desync-ttl=3 --new--filter-udp=443 --dpi-desync=fake --dpi-desync-fake-quic=/opt/zapret/files/fake/quic_initial_www_google_com.bin"
В моей стратегии все равно трансляция нестабильная, есть потери. В моем хостлисте добавлены все адреса из Launcher, так же пробовал в режиме none. Подскажите, как подправить стратегию, чтобы она полностью копировала запрет. Почему то с ним вообще все идеально.
Мне посоветовали сделать отдельную стратегию с отдельным хостлистом и расположить ее самой первой в списке, чтобы ютюбовские и ниже не мешали.
Скрытый текст
--filter-tcp=443 --hostlist=\youtube-rtmps.txt --dpi-desync=fake,split2 --dpi-desync-split-seqovl=2 --dpi-desync-split-pos=3 --dpi-desync-fake-tls=\tls_clienthello_www_google_com.bin --dpi-desync-ttl=3 --new
Вот эту предложили. Почему то без репитов. Хотя у меня работает с репитами от 13, ниже нет.
Каким образом добавить отдельную стратегию, чтобы не поломать все остальное? Просто поставить её самой первой, допустим таким образом? Предварительно сделав этот новый хостлист.
Скрытый текст
NFQWS_OPT="
--filter-tcp=443 --hostlist=\youtube-rtmps.txt --dpi-desync=fake,split2 --dpi-desync-split-seqovl=2 --dpi-desync-split-pos=3 --dpi-desync-fake-tls=\tls_clienthello_www_google_com.bin --dpi-desync-ttl=3 --new
--filter-tcp=80 --dpi-desync=fake,split2 --dpi-desync-ttl=0 --dpi-desync-fooling=md5sig,badsum <HOSTLIST> --new
--filter-tcp=443 --dpi-desync=fake,disorder2 --dpi-desync-split-pos=1 --dpi-desync-ttl=0 --dpi-desync-fooling=md5sig,badsum --dpi-desync-repeats=15 --dpi-desync-any-protocol --dpi-desync-cutoff=d4 --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin <HOSTLIST> --new
--filter-udp=443 --dpi-desync=fake --dpi-desync-repeats=15 --dpi-desync-ttl=0 --dpi-desync-any-protocol --dpi-desync-cutoff=d4 --dpi-desync-fooling=md5sig,badsum --dpi-desync-fake-quic=/opt/zapret/files/fake/quic_initial_www_google_com.bin <HOSTLIST>
"Не хотелось бы чинив одно поломать все остальное. Или возможно кто-то подскажет как выйти из ситуации.
Хоть и довольно узкая тема, но некоторым может пригодиться. Возможно кто то отсюда сможет запустить пробную трансляцию на ютюб и посмотреть как у него идет.
@KeenetДобрый день. Подскажите, а можно как-то пустить один сайт в обход zapret'а в режиме работы none? А то у меня по работе не открывается нужный сайт - https://online.moysklad.ru/
отмена, zapret ни при чем
zapret v69.7
nfqws,tpws: параметр --comment. любые комментарии в любом месте.
nfqws: предупреждение о возможной "ТРЭШ ФЛУД" конфигурации. Когда пишите --dpi-desync-any-protocol без --dpi-desync-cutoff и используете методы с фейками. Это не всегда плохо, но когда плохо, то очень плохо.
winws: многократное снижение использования процессора за счет отказа от процессинга пустых TCP ACK пакетов в --wf-tcp
nfqws: в android версии исправлен bad system call при завершении процесса
Hopper, Zapret 69.8, autohostlist. Сегодня решил обновить Zapret до последней версии. YT нормально завелся, зато отвалился Discord. До этого на версии 69.5 он работал с настройками по умолчанию, как в инструкции, без всяких правок. Погуглил, у народа он массово отрыгнул вчера-сегодня. Мне помогло:
В скрипте 50-discord стратегию поменял на: --dpi-desync=fake --dpi-desync-any-protocol --dpi-desync-cutoff=d3 --dpi-desync-repeats=6
В zapret-hosts-user добавил хосты диска:
rr2---sn-joug0-n8vl.googlevideo.com
o.pki.goog
redirector.googlevideo.com
rr2---sn-joug0-n8vs.googlevideo.com
e5.o.lencr.org
r10.o.lencr.org
l.google.com
nhacmp3youtube.com
ggpht.com
googleapis.com
googlevideo.com
googleusercontent.com
gstatic.com
nhacmp3youtube.com
play.google.com
www.google.com
youtu.be
youtube.com
youtubekids.com
youtube-nocookie.com
youtube-ui.l.google.com
youtubeembeddedplayer.googleapis.com
youtubei.googleapis.com
yt-video-upload.l.google.com
yt4.ggpht.com
ytimg.com
ytimg.l.google.com
wide-youtube.l.google.com
updates.discord.com
stable.dl2.discordapp.net
jnn-pa.googleapis.com
ggpht.com
discord.com
gateway.discord.gg
cdn.discordapp.com
discordapp.net
discordapp.com
discord.gg
media.discordapp.net
images-ext-1.discordapp.net
discord.app
discord.media
discordcdn.com
discord.dev
discord.new
discord.gift
discordstatus.com
dis.gd
discord.co
discord-attachments-uploads-prd.storage.googleapis.com
7tv.app
7tv.io
10tv.app
cloudflare-ech.com
Всем добрый день! Какой диск используете, чтобы вставить его в usb разъем роутера, для качания на него торрентов? Когда то давно использовал флешку - накрылась через пару месяцев. Пару месяцев назад поставил туда ssd, тоже накрываться стал... Остается внешний hdd?..
Для торрентов не стоит использовать твердотельные диски (и флешки), они очень быстро умирют от постоянной мелкоблочной записи, в чем Вы и и убедились. А магнитные жесткие диски USB роутера не вытянет (даже 2,5"), нужно внешнее питание. Я с фалопомойкой на базе роутера с USB экспериментировал еще со времен ASUS WL500, это год 2006 наверно. Постоянный геморрой. Прошло почти 20 лет, а лучше не стало. Рекомендую посмотреть в сторону NAS, хотя-бы самого дешевого однодискового, хоть БУ, но с нормальным подключением в сеть через LAN порт, а не USB, с независимой(от роутера) железкой его обслуживающей.
PS ща глянул авито и немного... взбудоражен ценами. Еще пол года назад кучами продавали недонасы WD My Book/My Cloud с дисками и без от 5000р. А сейчас выбора почти нет и цены как в магазине...
PPS чуть не забыл. Никогда, даже бесплатно не брать любой NAS DLink. Это как желтый снег.
zapret v69.9
init.d: исключение сета ipban из редиректа на tpws
macos: починка неработающего инсталятора
macos: исправление десятичного сепаратора на национальной локали в sleep
nfqws: применение относительных маркеров к частичному TLS ClientHello (ретрансмиссии, без reasm)
Подскажите, данная схема не будет работать, если роутер работает в режиме точки доступа/ретранслятора?
Теоретически никаких проблем со стороны роутера не должно быть. Но тут скорее всего возникнет проблема, что основной роутер не будет через себя пропускать фейковые пакеты, а будет отбрасывать их как некорректные. Для пропуска таких пакетов на нем нужно также менять параметр ядра nf_conntrack_checksum, как и на киненике или отказываться в стратегии от --dpi-desync-fooling и использовать только --dpi-desync-ttl с минимальным рабочим значением.
В статье в конфиге обновил стратегии, заменил синтаксис --dpi-desync, а также самое главное - это изменения стратегии в --dpi-desync-split-pos, так теперь не ломаются некоторые и так рабочие сайты в режиме none (у меня наблюдались проблемы с доступом к озон банку). Так теперь ломающихся сайтов не замечено больше. Но также я еще в стратегиях использую --dpi-desync-ttl=1 (подбирается индивидуально) для большей гарантии недохождения фейков до серверов.
Здравствуйте.
А в инструкции --dpi-desync-ttl=0 . Как все-таки рекомендуется? Если что-то не работает, увеличивать на 1 в трех пунктах, для HTTP\HTTPS\QUIC, правильно понимаю? У себя всё это время использовал 0, жалоб на работу нет.
Да, в инструкции --dpi-desync-ttl=0 (0 = TTL оригинального пакета). Я намерено это оставляю, так как если выберу какой-то конкретный ТТЛ - 1, 2, 3 и т.д., то у тех кто ставит может обход не заработать или работать частично из-за низкого ТТЛ, и фейки не будут пробиваться наружу.
Я как-то менял в статье TTL на 1, и мне потом начали писать, что не работает обход, при том, что у кого-то замена на 2 помогла, у кого-то на большее. Этот параметр очень зависимый от провайдера, и поэтому я в статье оставляю TTL=0, но указал, что в случае необходимости, подбираем под себя. А так достигшие серверов фейки отбрасываются по параметрам заданным в --dpi-desync-fooling.
А вообще, чтобы определить какая стратегия ломает сайты: фейки (fake) или сегментирование (multidisorder) - нужно убирать из конфига одну из стратегий и смотреть когда сайт починится. Если вина стратегии fake - то крутить параметры--dpi-desync-fooling и --dpi-desync-ttl, а если multidisorder, то там только --dpi-desync-split-pos или менять саму стратегию.
У меня multidisorder и сломал озон банк, но когда и из-за чего это произошло не знаю, так так проблем с оплатой покупок на озоне я и раньше не замечал, хотя может через мобильный интернет платил, точно уже не узнаешь.
Добрый день!
пользовался старым запретом с такими параметрами:
NFQWS_OPT_DESYNC="--dpi-desync=fake,disorder2 --dpi-desync-split-pos=1 --dpi-desync-ttl=0 --dpi-desync-fooling=md5sig,badsum --dpi-desync-repeats=18 --dpi-desync-any-protocol --dpi-desync-cutoff=d4 --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin"
#NFQWS_OPT_DESYNC_HTTP=
#NFQWS_OPT_DESYNC_HTTPS=
#NFQWS_OPT_DESYNC_HTTP6=
#NFQWS_OPT_DESYNC_HTTPS6=
NFQWS_OPT_DESYNC_QUIC=="--dpi-desync=fake --dpi-desync-repeats=18 --dpi-desync-ttl=0 --dpi-desync-any-protocol --dpi-desync-cutoff=d4 --dpi-desync-fooling=md5sig,badsum --dpi-desync-fake-quic=/opt/zapret/files/fake/quic_initial_google_com.bin"
#NFQWS_OPT_DESYNC_QUIC6=
решил обновиться для работы дискорда
написал так:
NFQWS_OPT="
--filter-tcp=80 --dpi-desync=fake,multisplit --dpi-desync-ttl=0 --dpi-desync-fooling=md5sig,badsum <HOSTLIST> --new
--filter-tcp=443 --dpi-desync=fake,disorder2 --dpi-desync-split-pos=1 --dpi-desync-ttl=0 --dpi-desync-fooling=md5sig,badsum --dpi-desync-repeats=18 --dpi-desync-any-protocol --dpi-desync-cutoff=d4 --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin <HOSTLIST> --new
--filter-udp=443 --dpi-desync=fake --dpi-desync-repeats=18 --dpi-desync-ttl=0 --dpi-desync-any-protocol --dpi-desync-cutoff=d4 --dpi-desync-fooling=md5sig,badsum --dpi-desync-fake-quic=/opt/zapret/files/fake/quic_initial_google_com.bin <HOSTLIST>"
и больше не работает( подскажите, пожалуйста, где я ошибся
Всем привет! с недавнего момента перестал работать instagram. Попробовал подобрать параметры для конфига через blockcheck
SUMMARY ipv4 instagram.com curl_test_http : tpws not working ipv4 instagram.com curl_test_http : nfqws not working ipv4 instagram.com curl_test_https_tls12 : tpws not working ipv4 instagram.com curl_test_https_tls12 : nfqws not working ipv6 instagram.com curl_test_http : tpws not working ipv6 instagram.com curl_test_http : nfqws not working ipv6 instagram.com curl_test_https_tls12 : tpws not working ipv6 instagram.com curl_test_https_tls12 : nfqws not working
вот такой результат выдает. Удалось кому то победить или это только у меня проблема?
Доброго времени суток, подскажите пожалуйста периодически отваливает обход в журнале вот такие ошибки
Скрытый текст
Фев 10 11:41:44
ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: /opt/etc/ndm/netfilter.d/000-zapret.sh: exit: line 2: Illegal number: 0.
Фев 10 11:41:44
ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: exit code 2.
Фев 10 11:41:44
ndmCloud::TcpTransport: read wrong first handshake response line: "HTTP/1.1 410 Gone".
И вот такое:
Скрытый текст
Фев 10 11:36:21
ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/000-zapret.sh: Usage: /etc/init.d/zapret {start|stop|restart|start-fw|stop-fw|restart-fw|start-daemons|stop-daemons|restart-daemons|reload-ifsets|list-ifsets|list-table}.
Роутер если что
МодельOmni (KN-1410) RU
Версия ОС 3.7.5
перестала работать эта конфигурация с 19 февраля...
Обновил zapret на 70-ю версию. Ютуб на телеке заработал. Тоже несколько дней все ролики показывались секунд 10 и зависали. Спасибо в очередной раз автору.
Версия 70, инстаграм отвалился вчера, правила использовал стандартные, поменял как у автора - не помогло, изменил метод фильтрации с автохостлиста на none, тоже не помогло, как думаете поможет если обновится до 70.3 ?
Может кто проверить пожалуйста. С сегодняшнего дня почему то перестал открываться ннмклаб, рутрекер работает для примера. Думал что сбой сайта, но вроде как с лаунчером запрета открывается.1
Учитывая блокировку IP диапазона cloudflare в инструкцию не помешало бы добавить как заворачивать айпишнтки в ipset лист
dropbox перестал работать, с 02.04 МСК (мтс)
Поставил себе 70.6.
В конфиге из шапки:
NFQWS_PORTS_UDP=443 заменил на NFQWS_PORTS_UDP=443,50000-50099
к NFQWS_OPT="
добавил строчку в начало --filter-udp=50000-50099 --filter-l7=discord,stun --dpi-desync=fake
Вроде как все работает
Обратил внимание на довольно странную штуку: после каждой переустановки Запрета рутрекер то открывается очень долго, то не открывается ("Cloudflare: Connection time out"), а на следующий день и потом - все работает отлично, открывается всегда и мгновенно. Повторилось на нескольких девайсах.Теряюсь в догадках почему так происходит и самочинится))
Старая стратегия ПОКА еще срабатывает (файл на месте), но если правильно понял, --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin необходимо заменить на --dpi-desync-fake-tls-mod=sni=www.google.com,rnd,dupsid
Что делает <HOSTLIST> --new я не очень понял, оставил, пока так работает.
Заменил ли bolvan стратегию --dpi-desync-fake-quic аналогично для QUIC - я честно говоря так и не понял. Видимо пока нет.
Ну и + что я писал выше, для работы Дискорда:
NFQWS_PORTS_UDP=443 заменить на NFQWS_PORTS_UDP=443,50000-50099
К NFQWS_OPT="
добавить строчку в начало --filter-udp=50000-50099 --filter-l7=discord,stun --dpi-desync=fake
--new говорит, что дальнейший текст читать как следующий профиль, т.к. перевод строки в конфиге внутри кавычек чисто косметический
т.е. это не <HOSTLIST> --new
а --new --filter
Подскажите тогда пожалуйста, тут все правильно?
NFQWS_OPT="
--filter-udp=50000-50099 --filter-l7=discord,stun --dpi-desync=fake --new
--filter-tcp=80 --dpi-desync=fake,multisplit --dpi-desync-ttl=0 --dpi-desync-fooling=md5sig,badsum --new
--filter-tcp=443 --dpi-desync=fake,multidisorder --dpi-desync-split-pos=method+2,midsld,5 --dpi-desync-ttl=0 --dpi-desync-fooling=md5sig,badsum,badseq --dpi-desync-repeats=15 --dpi-desync-fake-tls-mod=sni=www.google.com,rnd,dupsid --new
--filter-udp=443 --dpi-desync=fake --dpi-desync-repeats=15 --dpi-desync-ttl=0 --dpi-desync-any-protocol --dpi-desync-cutoff=d4 --dpi-desync-fooling=md5sig,badsum --dpi-desync-fake-quic=/opt/zapret/files/fake/quic_initial_www_google_com.bin
"
нет
сам <HOSTLIST> нужен, оно ж говорит фильтру, откуда брать домены или ipset-ы
представьте, что вот этот текстовый блок между кавычками скармливается в командную строку бинарнику nfqws, т.е. на самом деле это всё одна большая строка
ключ --new это разделитель между профилями, которых в одной строке можно задать несколько
у меня как-то так:NFQWS_OPT="
--filter-tcp=80 --dpi-desync=fake,multisplit --dpi-desync-ttl=0 --dpi-desync-fooling=md5sig,badsum <HOSTLIST> --new
--filter-tcp=443 --dpi-desync=fake,multidisorder --dpi-desync-split-pos=method+2,midsld,5 --dpi-desync-ttl=0 --dpi-desync-fooling=md5sig,badsum,badseq --dpi-desync-repeats=15 --dpi-desync-fake-tls-mod=sni=www.google.com,rnd,dupsid <HOSTLIST> --new
--filter-udp=443 --dpi-desync=fake --dpi-desync-repeats=15 --dpi-desync-ttl=0 --dpi-desync-any-protocol --dpi-desync-cutoff=d4 --dpi-desync-fooling=md5sig,badsum --dpi-desync-fake-quic=/opt/zapret/files/fake/quic_initial_www_google_com.bin <HOSTLIST> --new
--filter-udp=50000-50099 --filter-l7=discord,stun --dpi-desync=fake --dpi-desync-repeats=6
"
// Понял, редактор съедает <HOSTLIST> при вставке кода, ну в любом случае, мой конфиг выше.
Минимальные отличия есть, я, вероятно, что-то брал из других примеров и что-то докручивал руками.
Как я понял, конфиги применяются сверху вниз, но если там нет пересечений, то их порядок не важен.
в --filter-tcp=443 в конце Google.com пробелами лишними выделен, не знаю, портит ли это фильтр
второй раз за неделю получается, в начале недели ннмклаб не открывался, потом само вылечилось, сейчас он и рутрекер, хотя основные все работают, при чем с лаунчером или с расширением на хроме открываются.
попробуйте в конфиге значения ttl=0 увеличивать с шагом 1, пока не заработает.
попробовал, до 4 дошел, не открываются, начинают ломаться другие сайты и торренты которые работали. Такое уже было в понедельник, отвалились сайты некоторые и почему то ннмклаб не работал, во вторник нормализовалось, сейчас опять. Странное что через лаунчер работает, попробовал разные стратегии, без результатов.
P.S. Тогда не работали DoT гугла почему то убирал их, сейчас же наоборот другие DoT гугла помогли решить.
Примерно с неделю назад перестал открыватся инстаграм, обновился до 70.6 - теперь всё норм.
Кста в последнее время после установки zapret правило не меняю под себя, а оставляю как есть и всё работает.
Внимание!
Вчера стратегия модификации fake в старом виде перестала работать, стали блокировать заголовок tls_clienthello_www_google_com.bin, при этом при использовании режима фильтрации none - это привело, к блокировки всех сайтов, в том числе тех которые всегда работают, так как соединение блокируется при обнаружении заголовка tls_clienthello_www_google_com.bin.
В качестве решения, обновил статью с новым рабочим конфигом, и обновлением на версию 70.6. С этим конфигом все работает везде, как и прежде.
Рекомендуется обновится, тем у кого возникла проблема.
Установка программы модификации сетевых пакетов NFQWS на роутер Keenetiс