Хабр Курсы для админов
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Поток Администрирование доступен 24/7 благодаря поддержке друзей Хабра
Комментарии 110
А еще, что б "имеповаднобыло" выложил кумулятивный транскрипт (как результат больших 24 главы) тех самых ютублекций лекций по ТСПУ на github
https://github.com/DanielLavrushin/tspu-docs
если вдруг кому интересно теорию почитать. Она сильно устаревшая (по разным источникам лецкии делались в 2021 году), но фундаментально базовая.
Здравствуйте. Скажите пожалуйста, на таком:
Linux RT-BE92U-CC10 4.19.294 #1 SMP PREEMPT Tue Nov 25 10:59
:27 EST 2025 aarch64 ASUSWRT-Merlin
Ваш замечательный проект заведётся?
о да, конечно! как азусник азуснику (обнимемся :)). Не вижу никаких проблем в заводе.
Просто имейте ввиду, что это все требует тюнинга параметров для конкретного провайдера, это история про дпи, а не про ВПН. к сожалению. Одной базовой кнопкой "сделать краиво" тут не обойтись. Но пишите обязательно или здесь или в личку или в тг-группе, если будут проблемы или пожелания, мне это все интересно развивать.
Здравствуйте. Скажите, под винду и под андроид трудно допилить ?
угу, к сожалению да, это серверное linux-по:(, под вин точно нет, но под андроид как буд-то можно буде попробовать
Нет, про винду я имел в виду если выделить какой-то HAL и в нём просто заменить линуксовые системные вызовы на виндовые. Наверняка они достаточно похожи. С другой стороны, наверняка эта часть (HAL) окажется не слишком велика по сравнению со всем остальным. Вобщем поковыряюсь в исходниках. Про андроид даже не знаю, наверняка потребуется root, без чего хотелось бы обойтись..
просто весь проект основан на базе линуксового nfqueue, по этому фундаметально винда мимо тут идет:( ну и в целом задача интересна была сделать сетевое серверное приложение (базово для роутеров), а не для частных клиентов.
но! я могу что-то и не знать! проект опенсурсный, и если кто-то присоеденится к разработке, я буду более чем рад. Честно говоря это все те еще дебри всратые:).
Полез сейчас гуглить "nfqueue аналог windows", выдало - Основным аналогом Linux-очереди пакетов NFQUEUE в Windows является драйвер WinDivert (Windows Packet Divert). Так что возможно не так уж всё безнадёжно. Попытаюсь :)))
Так через него и работает именитый "zapret")
Через WinDivert работает GoodbyeDPI, zapret и прочие. Если интересно, можете попробовать мое поделие, но оно работает как прокси, без дров
Доброй ночи. А подробной инструкции как это дело поставить и настроить на Кинетик нет случайно?
В группе много людей ставили на кинетики, без особых проблем. Ставится везде одинаково, чеез базовый скрипт установки. Кинетик это линух, а значит должно работать из коробки, дальше вопрос в ресурсах железки. Голанг бинагники на память более затратные, нежели сишные проекты типа запретов.
в любом случае у меня есть небольшие гайды на гитхабе, может помогут?
не столько наверное с кинетиком связано, но не подскажете есть возможность оффлайн установку как-то сделать? На кинетике вива через скрипт получаю ошибку Failed to fetch latest version. Пробовал через wget, пробовал с флешки на которой стоит Entware. Проблем с доступом к гитхабу нет, в общем сходу как-то непонятно почему я номер последней сборки получить не могу
UPD попробовал запустить ./install.sh v1.36.0 получил ошибку загрузки. Короче буду разбираться почему у меня с компа, на котором не установлено ни одного запрета и прочего к гитхабу доступ есть, а с роутера за которым этот комп находится доступа видимо нет
Если под винду, рабочим и простым вариантом будет поставить виртуалку с линуксом, сделать там два сетевых интерфейса и использовать виртуалку как шлюз в интернеты либо как проксик для браузера.
del
Еще бы неплохо добавить скрипт или другой инструмент для полного удаления программы и возврата всех настроек обратно, включая nftables и т.д.
Всё время хочется с сарказмом спросить, куда ж это ставить на Кинетике
У Вас может ещё и не хватить ПЗУ. Кажется пора обновлять устройство 😅
Кстати, думаю возможно под него навасянить openwrt и поставить софт из статьи, но это надо разбираться в том как это сделать(
У меня подобный опыт был с первой ревизией keenetic 4G (не рекомендую повторять))
Проблема всех golang решений в том, что они собираются статически. (Что меня сильно удивляет в выборе языка для сборки "под роутер") Отсюда - мегабайт - это минимальный размер бинарника на go.
На USB-флэшку. У меня так и работает. Гунлить "Keenetic entware". Только вам бы ещё прошивку обновить.
Сервер обновлений недоступен. А там было-то на выбор две прошивки лет 5 назад, я их переключал, разницы не видел.
Правильно. Официально поддержку свернули уже очень давно, но до недавнего времени была неофициальная (от официального разработчика на добровольных началах). Надо только прошивку переключить на тестовую ветку (не бета!).
Делается из терминала, например через telnet:
components list delta
components commitИ прилетит версия 2.16 с новым интерфейсом и фичами. Обновление серьезное, старый конфиг если и поднимется, то криво. Иногда сразу после прошивки роутер вообще становится недоступен, но как только загрузится, можно сбросить и всё заработает, только настройки надо будет заново настроить.
А так у меня на даже более младшей модели (Keenetic II) успешно крутились zerotier, zapret, ipset-dns (этот с небольшим напилингом скриптов, всё-таки дале так прошивка старовата), wireguard - так вообще официальный компонент с настройкой через веб-морду.
Рано, в общем, на покой им, всё у них хорошо.
В чём будет выгода от этой новой прошивки?
Этому кинетку лет больше, чем РКН :D
Хотите современные протоколы и обходы блокировок, покупаете современные роутеры. Никто не будет тестировать инфраструктурные проекты под девайсы 10-15 летней давности.
Я к тому, что когда где-то пишут Keenetic, вообще не уточняют версии и прочее. Это как написать "Работает в Windows".
Он выполняет свои функции, поэтому менять его я буду если только просто по приколу. Блокировки огибаю прямо на устройствах.
Не надо собирать софт под роутеры на go. он собирается статически. И никакой флешки так не хватит.
Что же у вас за флешки, что их не хватает? Даже в мой роутер я втыкал 8 GB с NTFS, она виделась и работала.
Встроенная память роутера для системных приложений и данных, а не "шара" для хранения файлов.
На тех же кинетиках все пользовательское (entware, приложения, данные) хранится на внешней флешке, на внутренней из изменяемого пользователем - только конфиги (туда можно, конечно, и приложения закинуть, но она маленькая и изнашивается быстро).
Я довольно много пользовался внешними флешками к роутерам ещё во времена, когда 8 мегабайт внутреннего флеша - это было много, а нередко было 4 мегабайта (и ни в чём себе не отказывай!).
Почти всегда это было связано с проблемами в перспективе (от геморроя при обновлениях, до дохших флешек и виснувших роутеров из-за перегрева или глючивших usb контроллеров). Но краткосрочно - да, работает.
При наличии альтернатив, я предпочту использовать внутреннюю память роутера.
С тех пор коты не один сетевой провод перегрызли. У меня nfqws-keenetic работает с начала "деградации" ютуба на внешней флешке. По началу перезагрузки нужны были раз в неделю, но софт был сырой. Последние несколько месяцев всё работает стабильно. Флешка древняя, на 8Гб(меньше просто не нашлось на тот момент под рукой), usb 2.0 ещё. Полноразмерная и холодная. Есть современная сандиск на 64Гб, маленькая, но она сильно греется и сомнительно её на постоянку подключенной оставлять.
Тоже пользуюсь долго, протер не одну флешку на роутерах ;) Последний раз надоело, и поставил SSD m.2 в USB-коробочке. Так роутеру понравилось, уже 2 года полет прекрасный, он ssd даже тримит еженедельно.
SSD и как фс для линукса работает, и как сетевая шара.
подключаешь флешку, ставишь entware, а потом уже что угодно накатить можно
хотя на счёт первой экстры я не уверен, там прошивка желательна поновее
Интересно, а телеграм может вылечить такое чудо? Со всем остальным nfqws хорошо справляется..
Роутер, роутер... Даже обидно как-то, у всех роутер. А вот у меня кабель из трубы и в компьютер втыкается. Можно тоже какой-нибудь роутер между ними вставить?
К чёрту мелочи. Лучше поискать какой-нибудь неттоп с двумя сетевыми портами, накатить на него openwrt и получить наиболее гибкое устройство
тока нафиг owrt, обычный лынукс встает
Сейчас полно одноплатников с двумя и более портами
Надо смотреть на стоимость и доступность, а то одноплатник будет дороже роутера и ехать с Али, когда Cudy на OpenWRT будет стоить 2700 с доставкой завтра.
Если вы про Cudy серию 3000 то у нее вроде памяти 16мб, это место буквально только для самого ОpenWRT (в теории можно конечно попоробовать использовать оперативку), а минимум нужно хотя бы 32мб, а лучше 128мб
Они разные
TR3000 подороже, но встречаются ревизии даже с 256.
NanoPI R3S
можете посмотреть в эту сторону
Думаю - это наилучшее решение. Не зависит от роутера и его прошивки, не нагружает его (роутер). У меня, например ASUS ZenWiFi BQ16 для которого ни OpenWRT, ни AsusWRT-Merlin не существует.
Труба — это сотовый телефон или труба провайдера в подъезде?
Любой девайс на котором можно запустить линукс, с двумя портами или хотя бы с USB - можно воткнуть USB-сетевую карту, и не одну.
Комп, одноплатник, старый ноутбук, тв-бокс...
Выглядит вкусно. А кто-нибудь рядом с ним ставил впн-клиент, можно их подружить?
жаль под Mikrotik (routerOS) нет такого коробочного решения...
Кстати, а завести его в докере на Mikrotik можно?
Есть еще https://github.com/Medium1992/mihomo-proxy-ros
Было бы здорово получить список (можно тупо MD файлом в репозитории) проверенных устройств. Если честно, я бы даже купил под это себе Кинетик в DNS'е.
Но не хочу после покупку узнать, то тут не MIPS процессор или ещё какие-то проблемы.
Опять же - Netcraze? Считаем его за Кинетик, или нет?
За все устройства не скажу, но Keenetic peak (kn-2710) - работает хорошо, пару недель на b4 все четко.
на netcraze ultra тоже поидеи взлетит, на днях буду туда ставить, могу отписаться по результату.
Да и как вариант можно ax3000 взять шитый на keenOS и накатить туда. Но это эксперимент, я сам так не делал. Но знаю что ax3000 шьют на keenos и он прям очень неплох в качестве репитера для mesh сети за свои 4килорубля, может как головной роутер тоже норм.
тут больше не архитектура сроляет, а память и место на роутере.
и да, спасибо за творчество, но хочется таки минимальных требований к железу
да, упустил этот момент, все же проекты на голанге в отличие от сишных творчеств весьма требовательны к ресурсам. На минималке вроде как жрет 35-40 метров.
Плюс сильно зависит какой геосайт-источник выбран, так как в моменте данные выгружаются из него и утилита читает файл. Тот же рунетфридом весит на сегодня 50 мегабайт, например.
В opkg+luci не думали обернуть
а кто то простыми словами может плз обьяснить - в чём профит anti-DPI решений, например, сабжа, по сравнению с квн/прокси ? ведь, допустим, этот инструмент не поможет от геоблока такого то сервиса "с той стороны". и как тогда быть ? миксовать несколько инструментов ?
миксовать несколько инструментов ?
да.
а кто то простыми словами может плз обьяснить - в чём профит anti-DPI решений, например, сабжа, по сравнению с квн/прокси ?
я не очень глубокий спец в теме, поэтому только простыми словами и могу - зачем гонять трафик бог весть куда, если можно его не гонять? Если есть шанс не гнать траффло через европу - то лишний раз стоит этим воспользоваться. Отсутствие дополнительных задержек, отсутствие ограничений по скорости. Нагрузка на сетевое железо, насколько я понимаю, тоже сильно ниже (не нужны расходы на доп шифрование).
А на проксе можно как раз вписать те редкие сервисы, которые очень плохо работают с запретом\аналогами, а так же те сервисы которые сами по гео блочат.
Если есть шанс не гнать траффло через европу - то лишний раз стоит этим воспользоваться. Отсутствие дополнительных задержек, отсутствие ограничений по скорости.
с этим полностью согласен, я имел ввиду профит между сабжем и точечной маршрутиризацией (что нужно - через прокси, что не нужно - напрямую), например через v2RayA на openwrt
Так в этом и дело - ютуб - зачем его гнать через проски? Дискорд - зачем гнать через прокси?
Гоните в тоннель только то, что нужно, всякие chatgpt, intel)
А все остальное будет работать через aDPI сервисы. Т.е. по сути вы просто расширяете скоуп того, что "не нужно заворачивать через отдельный сервер".
Если у вас такой нужды нет - то вам и профита никакого не будет) Я настроил запрет, а вот маршруты для прокси заленился делать так руки и не дошли)))
Скорость. Ну то есть если канал 800 Mbit/s то с VPN 200 Mbit/s будет в лучшем случае.
Иногда желательно residential ip (и нет геоблока). VPN (почти все) datacenter IP. Приходится еще и residential proxy + proxifier городить.
Попробую
Туннели
Плюсы:
- более гарантированная и стабильная работа подключений (ну по сути трафик гонится на какой-то сервер а от туда уже вылетает в эти ваши свободные интернеты)
- более простая настройка и меньше возни с ползунками и прочими танцами с бубном вокруг провайдера
- более защищенный трафик, при нормальной настройке большой дядя не увидит куда вы там ходите
Минусы туннелей:
- закон скорее всего запрещает не то, что говорить о них, но уже как буд-то и пользоваться (если не уже, то думаю вопрос времени).
- скорость работы. По сути вы не к сайту подключаетесь, а к какому-то серверу, а уже от него подключаетесь к нужному сервису. Скорость ну прям-таки сильно режется в моменте, в сравненни если бы работало все напрямую.
Ну и ДПИ-Шаталки
Плюсы:
- не нужно иметь ни подписок ни серверов, принцип работы шаталок этого не требует
- трафик никуда не идет, только до нужного сервиса нарямую
- законодательно ничего не нарушается, даже больше. Это уже проблемы ТСПУ, что "нишмагла" и пропустила (но все еще не забывайте, что само посещение некоторых определенных сайтов может быть незаконно, но это другая история - тут все взрослые, под свою ответственность, как говорится).
Минусы дпи-шаталок же:
- ненадежность и небезопасность. По сути шаталки не про безопасность а про доступ. Вы как ходили на свой любимый запрещенный сайт, так и ходите, шаталка просто пилит пакеты и добавляет мусор, чтобы сконфузить дорогую железку на стороне провайдера.
- сложность - очень высокий технический порог входа. Нельзя сделать большую красную кнопочку "почини мне интернет", потому что тспу сильно разнится от региона к региону и от провайдера к провайдеру, (да что говорить, от сайта к сайту даже) и нужно в конкретном случае подбирать ту или иную стратегию обхода.
- более легкий отлет. Если туннель банится, то банится полностью, сразу понятно становится. С дпи несколько все сложнее, подкрутили один сайт, все работает, а конкретно этот - нет, и не понятно в чем проблема. Как по мне это тоже в минусы.
Как-то так.
Идеальный сетап это микс. Тяжелый медийный трафик вроде ютуба пускаем напрямую через B4 или zapret, а заблокированные по IP сайты заворачиваем в туннель через маршрутизацию
Смотрю и на hub.docker есть.
Поставил попробовать, есть вопрос - без ключа --skip-tables оно ругалось в логи, дескать
Error: failed to add tables rules: exit status 1
и не поднимало веб-интерфейс. С ключом запустилось, веб интерфейс на 7000 порту поднялся, но попробовал Discovery для facebook.com, и все варианты оказались безрезультатны (подождал, пока все пройдут, включая несколько бонусных уровней.)
Это у меня что-то не завелось как надо, или шибко хорошо DPI работает?
Скрытый текст
═══════════════════════════════════════
Starting discovery for domain: facebook.com
═══════════════════════════════════════
Measuring network baseline using yandex.ru
Network baseline: 4.36 KB/s (2293 bytes in 513.014945ms)
Starting discovery for domain: facebook.com
Phase DNS: Checking DNS poisoning for facebook.com
DNS FAILED: system resolver error: lookup facebook.com: i/o timeout
DNS: retrying system resolver for facebook.com (attempt 2)
DNS FAILED: system resolver error: lookup facebook.com: i/o timeout
DNS: retrying system resolver for facebook.com (attempt 3)
DNS FAILED: system resolver error: lookup facebook.com: i/o timeout
DNS: system resolver returned IPs: []
DNS: reference IPs (DoH): [31.13.72.36]
✗ DNS poisoned: system IPs [] don't match reference [31.13.72.36]
DNS Discovery: no working DNS config found for facebook.com
Stored 1 target IPs for preset testing: [31.13.72.36]
DNS poisoned, no bypass - using direct IPs: [31.13.72.36]
Phase 1: Testing 29 strategy families
Testing 'no-bypass'...
→ FAILED (Get "https://facebook.com": context deadline exceeded)
Testing payload variants...
Testing 'proven-combo'...
→ FAILED (Get "https://facebook.com": context deadline exceeded)
Payload 1 (google): FAILED
Памяти оперативной ест не очень много - где-то 25-30 МБ заняло дополнительных.
аналогично, падает на старте и вдвижении правил в nft, дальше оно просто не заработает:
ошибки
Скрытый текст
Error: failed to add tables rules: failed to add rule to b4_chain: exit status 1
Usage:
b4 [flags]
Flags:
--clear-tables Perform only iptables/nftables cleanup and exit
--config string Path to config file
--error-file string Path to error log file (empty disables) (default "/var/log/b4/errors.log")
-h, --help help for b4
-i, --instaflush Flush logs immediately (default true)
--ipv4 Enable IPv4 processing (default true)
--ipv6 Enable IPv6 processing
--mark uint Packet mark value (default 32768) (default 32768)
--queue-num int Netfilter queue number (default 537)
--skip-tables Skip iptables/nftables setup on startup
--syslog Enable syslog output
--tables-monitor-interval int Tables monitor interval in seconds (default 10, 0 to disable) (default 10)
--threads int Number of worker threads (default 4)
--verbose string Set verbosity level (debug, trace, info, silent), default: info (default "info")
-v, --version Show version and exit
--web-port int Port for internal web server (0 disables) (default 7000)
Error: failed to add tables rules: failed to add rule to b4_chain: exit status 1
Error: failed to add tables rules: failed to add rule to b4_chain: exit status 1
Usage:
b4 [flags]
Flags:
--clear-tables Perform only iptables/nftables cleanup and exit
--config string Path to config file
--error-file string Path to error log file (empty disables) (default "/var/log/b4/errors.log")
-h, --help help for b4
-i, --instaflush Flush logs immediately (default true)
--ipv4 Enable IPv4 processing (default true)
--ipv6 Enable IPv6 processing
--mark uint Packet mark value (default 32768) (default 32768)
--queue-num int Netfilter queue number (default 537)
--skip-tables Skip iptables/nftables setup on startup
--syslog Enable syslog output
--tables-monitor-interval int Tables monitor interval in seconds (default 10, 0 to disable) (default 10)
--threads int Number of worker threads (default 4)
--verbose string Set verbosity level (debug, trace, info, silent), default: info (default "info")
-v, --version Show version and exit
--web-port int Port for internal web server (0 disables) (default 7000)
Error: failed to add tables rules: failed to add rule to b4_chain: exit status 1
Error: failed to add tables rules: failed to add rule to b4_chain: exit status 1
Usage:
b4 [flags]
Flags:
дебаг запуск
Скрытый текст
[INIT] Logging initialized at level 3
2026/02/25 09:00:02.632509 [INFO] Starting B4 packet processor
2026/02/25 09:00:02.634884 [INFO] Log level set to debug
2026/02/25 09:00:02.634972 [INFO] Effective CLI flags:
2026/02/25 09:00:02.635036 [INFO] --clear-tables=false --config=/etc/b4/b4.json --error-file=/var/log/b4/errors.log --help=false --instaflush=true --ipv4=true --ipv6=false --ma
rk=32768 --queue-num=537 --skip-tables=false --syslog=false --tables-monitor-interval=10 --threads=4 --verbose=debug --version=false --web-port=7000
2026/02/25 09:00:02.635090 [INFO] Loaded targets: 0 domains, 0 IPs across 1 sets
2026/02/25 09:00:02.635099 [TRACE] Clearing existing iptables/nftables rules
2026/02/25 09:00:02.639554 [TRACE] NFTABLES: clearing rules
2026/02/25 09:00:02.643555 [TRACE] Adding tables rules
2026/02/25 09:00:02.647634 [TRACE] Detected firewall backend: nftables
2026/02/25 09:00:02.647750 [TRACE] NFTABLES: adding rules
2026/02/25 09:00:02.883611 [TRACE] Created nftables table: b4_mangle
2026/02/25 09:00:02.892643 [TRACE] Created nftables chain: b4_chain
2026/02/25 09:00:02.901621 [TRACE] Created nftables chain: prerouting
2026/02/25 09:00:02.910601 [TRACE] Created nftables chain: output
2026/02/25 09:00:02.919670 [TRACE] Created nftables chain: postrouting
2026/02/25 09:00:02.919736 [TRACE] NFTABLES: adding rule to postrouting: [jump b4_chain]
2026/02/25 09:00:02.924610 [TRACE] NFTABLES: adding rule to output: [oifname "lo" return]
2026/02/25 09:00:02.929692 [TRACE] NFTABLES: adding rule to output: [meta mark 0x8000 accept]
2026/02/25 09:00:02.934644 [TRACE] NFTABLES: adding rule to output: [jump b4_chain]
2026/02/25 09:00:02.939970 [TRACE] NFTABLES: adding rule to b4_chain: [meta mark 0x8000 return]
2026/02/25 09:00:02.945004 [TRACE] NFTABLES: adding rule to b4_chain: [meta nfproto ipv4 tcp dport 443 ct original packets < 20 counter queue num 537-540 bypass]
uname -a Linux OpenWrt-emmc 6.12.66 #0 SMP Wed Jan 21 00:20:54 2026 aarch64 GNU/Linux
nftables v1.1.6 (Commodore Bullmoose #7)
@Jholinar куда еще подебажить?
привет, я чуть попозже гляну детальнее, но на первый взгляд скорее всего ему не хватает каких-то сетевых модулей ядра, которые отключены видимо в этой сборке OWRT.
Некоторые минимальные сборки OpenWRT могут не содержать необходимых модулей.
# Обычный Linux
modprobe xt_connbytes
modprobe xt_NFQUEUE
# OpenWRT (если modprobe не работает)
insmod xt_connbytes
insmod xt_NFQUEUEда, как будто нет этих модулей
ll /lib64/modules/6.12.66/xt*
-rw-r--r-- 1 root root 4872 Jan 13 02:23 /lib64/modules/6.12.66/xt_LOG.ko
-rw-r--r-- 1 root root 8528 Jan 13 02:23 /lib64/modules/6.12.66/xt_TCPMSS.ko
-rw-r--r-- 1 root root 3680 Jan 13 02:23 /lib64/modules/6.12.66/xt_comment.ko
-rw-r--r-- 1 root root 5520 Jan 13 02:23 /lib64/modules/6.12.66/xt_limit.ko
-rw-r--r-- 1 root root 3800 Jan 13 02:23 /lib64/modules/6.12.66/xt_mac.ko
-rw-r--r-- 1 root root 4504 Jan 13 02:23 /lib64/modules/6.12.66/xt_mark.ko
-rw-r--r-- 1 root root 4824 Jan 13 02:23 /lib64/modules/6.12.66/xt_multiport.ko
-rw-r--r-- 1 root root 6664 Jan 13 02:23 /lib64/modules/6.12.66/xt_tcpudp.ko
-rw-r--r-- 1 root root 6248 Jan 13 02:23 /lib64/modules/6.12.66/xt_time.ko
осталось понять в каких пакетах они
не помогло
lsmod |grep -iE 'xt_connbytes|xt_NFQUEUE'
nf_conntrack 90112 15 xt_helper,xt_connmark,xt_connlimit,xt_connbytes,nf_conncount,xt_state,xt_conntrack,xt_CT,nft_redir,nft_nat,nft_masq,nft_flow_offload,nft_ct,nf_nat,nf_flow_table
x_tables 24576 23 xt_NFQUEUE,xt_recent,xt_helper,xt_connmark,xt_connlimit,xt_connbytes,xt_state,xt_conntrack,xt_CT,nft_compat,xt_time,xt_tcpudp,xt_multiport,xt_mark,xt_mac,xt_limit,xt_comment,xt_TCPMSS,xt_LOG,iptable_mangle,iptable_filter,ipt_REJECT,ip_tables
xt_NFQUEUE 12288 0
xt_connbytes 12288 0
ошибка та же
Как правило, по умолчанию из коробки стоят "универсальные" стратегии в проектах вроде запрета, byebyedpi и b4 в ограниченном количестве. И они конечно могут не сработать на разных провайдерах. Наиболее выигрышный вариант: вручную заполнить тот json-файл дополнительными стратегиями с расширенным числом параметров и тестировать.
Универсальной таблетки от блокировок нет, кроме виртуальных частных сетей.
В настройках роутера укажите DNS сервер: 9.9.9.9 или 9.9.9.10.
Проблема возникает из-за того, что роутер обращается к DNS провайдера -> к "официальному, настоящему и испортозамещённому" DNS РКН, а у них удалены многие DNS записи заблокированных ресурсов.
Это видно в логах, но B4, судя по написанному - берет IP из другого источника с DoH и пытается достучаться по этому IP.
quad9 features
Не факт, что это самый быстрый DNS
В терминале(на коленке) для примера:
for dns in 9.9.9.9 9.9.9.10 8.8.4.4 8.8.8.8 1.1.1.1 1.0.0.1;
do echo "Testing $dns";
dig @$dns google.com +stats | grep "Query time"; echo ""; doneЛучше всего завернуть DNS-запросы в тот же v2raya на роутере и резолвить домены через удаленный сервер, тогда ни один локальный перехват не страшен, и геодата будет работать корректно
А можно его использовать в docker в режиме прокси/VPN?
Проекты для обхода - это круто! (Больше хороших и разных!)
Есть несколько вопросов:
Почему golang? Оно статическое, сильно жрёт место на роутере (а оно там ценнейший ресурс). Роутеры с большой флешкой - дорогие. Флешка воткнутая в роутер занимает порт и потенциальный источник проблем.
Зачем делать свой веб-интрефейс, когда в том же openwrt есть luci и интеграции к нему?
Инсталлятор через скрипт, почему - понимаю, но почему не обернуть в пакет?
Почему не прочитали внимательно? Это не OpenWRT, а универсальное решение.
В самом начале было написано про "на роутер", как одна из целей. В этом раскладе первый аргумент продолжает работать. Да и второй, имхо,тоже частично валиден, потому что интеграция в UI роутера сильно желателен.
Роутеры, в массе, к сожалению ограничены по доступным объёмам данных, которые на них могут храниться.
привет! спасибо. Комментарий по делу, попробую объяснить.
1. я тоже не супер иксперт сетевой, в свое время начал копаться в кишках xray-core, и очень запал на тему с тамашней библиотекой geosite/geoip данных. В какой-то момент подумал, а чего бы не запилить что-то похожее на запрет с возможностью на лету подгружать большие базы сообщества доменов и CIDRов, нежели, чем в ручную постоянно вводить эти списки. Ну и попутно захотелось подразобраться, как это все работает. Это по сути результат собственного ковыряния с какой-то небольшой целью. Ну голанг был очень удобен для этого. К тому же я не умею в си от слова совсем ).
2. Свой веб интерфейс - потому что он не только для опенврт, а вообще для линкуса в целом. Я в свое время сделал удобный плагин для xray для роутеров Асуса, так там обратные теперь запросы - "сделай общий веб-интерфейс, че только для Асуса-то" ).
3. Да надо бы теперь по хорошему, что-то я не думал, что такой большой интерес будет. Сам проект не сильно новый, как-то жил со скриптом отдельно и норм было ). Но, опять же, это надо мейнтейнить разные репы (типа opkg или apk) будет.
Шедевр! Автору респект.
v2ray geosite/geoip базы напрямую для DPI-шаталки вот это реально киллер-фича. В классических решениях вечно приходится костылить bash-скрипты для крона, чтобы парсить листы и апдейтить ipset'ы. Тут подцепил категорию и забыл. Главное чтобы парсер этих баз не тек по памяти при обновлениях)
Интересно, будет ли на Keenetic конфликтовать с другими доп.пакетами для обработки трафика, типа Traffic Classification или Content Filter.
(подозреваю, что это неизбежно - то есть кинетик лучше "разгрузить" от необязательного).
А на какой-нибудь TP-Link 3.13.6 Build 110712 Rel.33710n (Firmware Version) WR1043ND v1 00000000 (Hardware Version) это возможно поставить?
А насколько трудно под bsd портировать? Использую pfsense, хочется на него подобное вкорячить. Или может уже есть?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
B4 — обход DPI с веб-интерфейсом