Комментарии к публикации «Выборочный обход блокировок на маршрутизаторах с прошивкой Padavan и Keenetic OS»

06.09.2023 19:02:10 dartraiden

dartraiden — Wed, 06 Sep 2023 19:02:10 GMT

Никак, это должно делать конечное приложение, т.е. браузер, а не промежуточный узел в виде роутера.

09.07.2023 09:26:21 lbarmen

lbarmen — Sun, 09 Jul 2023 09:26:21 GMT

Как сделать подмену user aget? Беда в том что в Турции блокирует некоторые сайты даже с Tor, помогает установка дополнения в тор браузер https://addons.mozilla.org/en-US/firefox/addon/user-agent-string-switcher/ , отсюда вопрос, как это сделать в кинетике

16.05.2023 14:13:54 syndicate

syndicate — Tue, 16 May 2023 14:13:54 GMT

Получилось у вас найти название интерфейса vpn сервера? У меня нет его, как я понимаю, что странно.

10.05.2023 07:44:07 syndicate

syndicate — Wed, 10 May 2023 07:44:07 GMT

Посмотрел у себя. Hosts файла тоже нет.

10.05.2023 06:53:45 cool78

cool78 — Wed, 10 May 2023 06:53:45 GMT

Файла hosts в /opt/etc/ нет. Понятно почему появляется ошибка. А для чего он нужен и нужен ли в нашем случае? Если его создать вручную, не будет ли проблем? И откуда брать его содержание?

Файл S99unblock есть. Но непонятно про какой набор(set ) идет речь. Но я так подозреваю, что он заполнен старыми данными, а новыми не заполняется.

У меня список заблокированных сайтов открывается(видимо т.к. он старый), но похоже, если в него добавить новый сайт, то он не откроется. Надо еще раз проверить.

Ничего не понятно.

10.05.2023 06:42:37 syndicate

syndicate — Wed, 10 May 2023 06:42:37 GMT

А указанные пути то открываются?

У меня в логе всё ок, но перестал весь список заблокированных сайтов открываться.

09.05.2023 07:31:00 cool78

cool78 — Tue, 09 May 2023 07:31:00 GMT

С недавнего времени стали появляться ошибки в логе кинетика:

failed to load names from /opt/etc/hosts: No such file or directory

Opkg::Manager: /opt/etc/init.d/S99unblock: ipset v7.17: The set with the given name

does not exist.

Уважаемая публика, подскажите как решить?

10.01.2023 14:09:50 cool78

cool78 — Tue, 10 Jan 2023 14:09:50 GMT

Может и работает. Но раздражает, когда лог забит на половину такой фигней. И тем не менее, хотелось бы услышать "начальника транспортного цеха" )))

10.01.2023 13:58:49 AR1ES

AR1ES — Tue, 10 Jan 2023 13:58:49 GMT

Проверил. У себя вижу аналогичную историю. Но при этом всё работает.

10.01.2023 06:23:24 AR1ES

AR1ES — Tue, 10 Jan 2023 06:23:24 GMT

Добрый день! Хоть статья и довольно старая, но до сих пор актуальная и рабочая. Спасибо! Доступ в инсту починил именно таким образом.

Но возник вопрос - что делать с блокировкой на уровне DNS? Т.е. когда в dns сервер для российских адресов указывается адрес 127.0.0.1 и соответственно ничего не работает.

Использую Keenetic OS. На всякий случай прописал на шаге 9 перенаправление DNS, как указано. Но что и как дальше делать - пока не разобрался. Т.е. нужно чтобы для конкретного адреса обращение к DNS гугла 8.8.8.8 тоже шло через тор, чтобы получить реальный адрес. Или как вариант часть адресов резолвить не через днс 8.8.8.8, но тогда надо понять, как разделить это дело. Продолжаю изучать, но если вдруг автор или кто-то ещё заглянет сюда и поделится полезной информацией - буду очень благодарен.

09.01.2023 09:57:36 cool78

cool78 — Mon, 09 Jan 2023 09:57:36 GMT

У меня вопрос к уважаемому автору статьи. Скажите, а нет в этом фрагменте "\-\-dport 53 \-j DNAT" ошибки с обратными слэшами? Мой роутер начал выдавать в логе такое:

Opkg::Manager: /opt/etc/ndm/netfilter.d/100-redirect.sh: grep: warning: stray \ before -.

01.06.2022 07:16:50 Mastersland

Mastersland — Wed, 01 Jun 2022 07:16:50 GMT

там же в файле unblock.txt внизу есть закомментированные строки

###Пример разблокировки по IP (убрать # в начале строки) #195.82.146.214

###Пример разблокировки по CIDR (убрать # в начале строки) #103.21.244.0/22

###Пример разблокировки по диапазону (убрать # в начале строки) #100.100.100.200-100.100.100.210

25.05.2022 16:19:12 AVX

AVX — Wed, 25 May 2022 16:19:12 GMT

Поможет ли способ при блокировке доступа самими сайтами по IP диапазонам в связи с санкциями? Например, lenovo драйвера не даёт скачивать, vagrant нельзя образы скачать, в vmware тоже и ещё куча нужного всего есть. Хотелось бы как-то без установки своего или использования чужого VPN сервера обойтись.

25.05.2022 09:36:46 syndicate

syndicate — Wed, 25 May 2022 09:36:46 GMT

Я, наверное, не правильно выразился. VPN то я настроил, все хорошо. До этого я настроил обход блокировок по мануалу в статье. И я подумал, что при подключении откуда-то далеко к VPN серверу роутера у меня заблокированные сайты будут открываться через TOR, что настроил по мануалу. Но нет, они блокируются.

Поэтому и задался вопросом, можно ли сделать так, чтобы и на устройстве, которое подключено извне к VPN серверу этого же роутера блокировки тоже обходились.

25.05.2022 09:30:45 Mastersland

Mastersland — Wed, 25 May 2022 09:30:45 GMT

По-моему тут два варианта:

1) Белый ip адрес от провайдера - тогда настройка VPN как обычно

2) Настройка keeneticdns

https://www.youtube.com/watch?v=f1CR2ueCe9A

23.05.2022 10:54:29 syndicate

syndicate — Mon, 23 May 2022 10:54:29 GMT

А можно ли поднять vpn сервер на кинетике и подключаться к нему извне для обхода блокировок? Я попробовал - сайты не открываются.

05.04.2022 12:08:49 amartyno

amartyno — Tue, 05 Apr 2022 12:08:49 GMT

и ещё одно дополнение, интерфейсы периодически перезагружаются (не только при перезагрузке устройства) и чтобы правило не пропадало его надо прописать в /opt/etc/ndm/netfilter.d/100-redirect.sh в блок if [ -z "$(iptables-save 2>/dev/null | grep unblock)" ]; then в самый конец (за блоком для VPN клиентов если он есть), у меня в итоге файл 100-redirect.sh вот такой:

#!/bin/sh

[ "$type" == "ip6tables" ] && exit 0

if [ -z "$(iptables-save 2>/dev/null | grep unblock)" ]; then
    ipset create unblock hash:net -exist
    iptables -w -t nat -A PREROUTING -i br0 -p tcp -m set --match-set unblock dst -j REDIRECT --to-port 9141
    
    iptables -w -t nat -A PREROUTING -i sstp0 -p tcp -m set --match-set unblock dst -j REDIRECT --to-port 9141

    iptables -t nat -A OUTPUT -p tcp -m set --match-set unblock dst -j REDIRECT --to-port 9141
fi

if [ -z "$(iptables-save 2>/dev/null | grep "udp \-\-dport 53 \-j DNAT")" ]; then
    iptables -w -t nat -I PREROUTING -i br0 -p udp --dport 53 -j DNAT --to 192.168.1.1
fi

if [ -z "$(iptables-save 2>/dev/null | grep "tcp \-\-dport 53 \-j DNAT")" ]; then
    iptables -w -t nat -I PREROUTING -i br0 -p tcp --dport 53 -j DNAT --to 192.168.1.1
fi

exit 0

05.04.2022 11:21:18 amartyno

amartyno — Tue, 05 Apr 2022 11:21:18 GMT

про source=anywhere и ключик -s 127.0.0.1 знающие люди меня поправили - это не нужно, т.к. в цепочке OUTPUT обрабатываются только пакеты исходящие с самого устройства, но не транзитные

03.04.2022 19:52:26 amartyno

amartyno — Sun, 03 Apr 2022 19:52:26 GMT

спасибо за подробную инструкцию, всё работает )

отмечу, что всё описанное работает только для клиентов, которые подключаются к роутеру, если на самом Keenetic крутится какой-то скрипт, то он ходит не через Tor, чтобы скрипты запущенные локально на самом Keenetic тоже ходили по этому же списку через Tor надо в iptables дописать правило (проверено только на Keenetic Ultra KN-1810):

перед запуском проверяем что уже записано в iptables:
iptables -L OUTPUT -t nat

у меня вот такой результат:
~ # iptables -L OUTPUT -t nat
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
_NDM_DNAT all -- anywhere anywhere
создаём правило, которое все исходящие запросы к заблокированным сайтам с текущего устройства отправит в Tor:
iptables -t nat -A OUTPUT -p tcp -m set --match-set unblock dst -j REDIRECT --to-port 9141
проверяем что правило создалось:
~ # iptables -L OUTPUT -t nat
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
_NDM_DNAT all -- anywhere anywhere
REDIRECT tcp -- anywhere anywhere match-set unblock dst redir ports 9141
команда для удаления правила:
iptables -t nat -D OUTPUT -p tcp -m set --match-set unblock dst -j REDIRECT --to-port 9141

в 2 и 3 смущает source=anywhere, но с -s 127.0.0.1 у меня не заработало, может кто-то подскажет как правильнее дописать, неработающую команду привожу ниже:
iptables -t nat -A OUTPUT -s 127.0.0.1 -p tcp -m set --match-set unblock dst -j REDIRECT --to-port 9141
при удалении она ещё и почему-то ошибку выводит:
~ # iptables -t nat -D OUTPUT -s 127.0.0.1 -p tcp -m set --match-set unblock dst -j REDIRECT --to-port 9141
iptables: No chain/target/match by that name.

26.03.2022 06:19:41 Manrus

Manrus — Sat, 26 Mar 2022 06:19:41 GMT

Реализовал эту схему через socks5 прокси. Использовать redsocks в качестве клиента.
Работает отлично.

25.03.2022 16:18:33 Manrus

Manrus — Fri, 25 Mar 2022 16:18:33 GMT

Поддержу вопрос. На данный момент любой прокси свитчер в браузере выигрывает у данного способа именно возможностью использовать регулярные выражения для доменных имен.

23.03.2022 11:34:58 Mikage

Mikage — Wed, 23 Mar 2022 11:34:58 GMT

Большое спасибо за статью!

Хотелось бы знать - есть ли решение для того чтобы разблокировать не только корневой домен, но и все его поддомены? Что то типа правила *.domain.com . Сейчас приходится добавлять каждый поддомен вручную. Извиняюсь, если вопрос поднимался ранее.

17.03.2022 06:32:18 yoz

yoz — Thu, 17 Mar 2022 06:32:18 GMT

Кинетик умеет в openvpn клиент. Может заворачивать тор в openvpn туннель? Зачем тогда тор правда.

13.03.2022 13:26:20 twelve

twelve — Sun, 13 Mar 2022 13:26:20 GMT

А как лучше переконфигурировать скрипты, если Keenetic работает в домашней сети как точка доступа Wi-Fi (например, на 192.168.1.99), а шлюз по-умолчанию 192.168.1.1 - не Keenetic?

16.02.2022 17:50:02 PsychodelEKS

PsychodelEKS — Wed, 16 Feb 2022 17:50:02 GMT

Та же проблема происходит - "свежие" записи работают, через какое-то время перестаёт, иногда помогает просто рестарт тора, но периодически приходится менять бриджи. Или это так и задумано? При этом рестарт через крон то ли не работает, то ли не помогает.

10.02.2022 08:29:24 jentoso

jentoso — Thu, 10 Feb 2022 08:29:24 GMT

Оказывается с версии 2.1.0, fallback_resolver переименовали в bootstrap_resolvers

bootstrap_resolvers = ['77.88.8.8:1253']

10.02.2022 08:12:55 Kyrie1965

Kyrie1965 — Thu, 10 Feb 2022 08:12:55 GMT

В новых версиях dnscrypt убран этот параметр. Не указывайте его или (если есть навыки) используйте stubby вместо dnscrypt.

10.02.2022 07:13:23 jentoso

jentoso — Thu, 10 Feb 2022 07:13:23 GMT

Почему при внесении в dnscrypt-proxy.toml

fallback_resolver = '77.88.8.8:1253'

старт не происходит

[2022-02-10 06:21:36] [NOTICE] dnscrypt-proxy 2.1.1
[2022-02-10 06:21:36] [FATAL] Unsupported key in configuration file: [fallback_resolver]

Т.е. нет поддержки данной конфигурации, тогда что указывать взамен?

21.12.2021 10:20:00 bzz11g

bzz11g — Tue, 21 Dec 2021 10:20:00 GMT

Я боюсь что без вас я не смогу разобраться, я просмотрел логи в KeeneticOS, но не увидел ничего. Сделал 2 журнала log1: вкл роутера -> https://check.torproject.org/ - не работает -> добавляю мосты -> перезапускаю тор -> сайт проверки загружает -> перезагружаю роутер -> log2

Логи на MEGA https://mega.nz/folder/8NFFlYoB#l3hF502PLQWLTmU8ik_d8A

21.12.2021 09:12:13 Kyrie1965

Kyrie1965 — Tue, 21 Dec 2021 09:12:13 GMT

Не должно слетать. Надо смотреть логи, чтобы понять суть проблемы (я тут не смогу помочь).

Мосты можно получить и без VPN, если сайт Tor заблокирован. Просто отправляете письмо с ящика Gmail на bridges@torproject.org. В ответ получите список мостов.

21.12.2021 08:09:13 bzz11g

bzz11g — Tue, 21 Dec 2021 08:09:13 GMT

Приветствую, после перезагрузки роутера обход блокировок перестаёт работать, если зайти на сайт и получить новые мосты то до следующей загрузки опять всё становится хорошо. не знаю имеет ли это значение, но сайт с мостами у меня без VPN не открывается, соответственно я захожу на него через VPN

Может быть упущен какой-то момент в инструкции?

03.12.2021 18:37:09 Kyrie1965

Kyrie1965 — Fri, 03 Dec 2021 18:37:09 GMT

Для тех, у кого перестал работать обход блокировок на маршрутизаторе Keenetic или Padavan по инструкции с Хабра (после начала блокировок Tor в России), вот краткая инструкция.

Устанавливаете обфускатор:

opkg update

opkg install obfs4

Заходите на специальный сайт и получаете свой список мостов: https://bridges.torproject.org/bridges?transport=obfs4

Выглядеть будет он так (для примера):

obfs4 99.242.105.218:80 7BF9B5860BBE4E91E43F03673FE7AB43E72CE353 cert=2qY6IX82EvY2B6e5ahOJj4Unn7Bg0hssx6a+3iUhj2K5MXWT7i052DjqLyJKG7iD5dj/Ig iat-mode=0 obfs4 78.47.76.79:30030 C03B101F99390CABB58A0D1B04E35470E7F472F9 cert=nR4HkZtXhsutdJla5qAy3cGfJKSn/RgMloA26V72UeNlrpO65+prJ28J4w6XNRgLVBX0EQ iat-mode=0 obfs4 52.137.33.229:44108 344031A97BE7132F6621B77353FED64C09C8A46B cert=XW8N4lh0TmOck12PDZ0Ykb3MFLcODdOobfJPUnVA1jEaw3NyX4FInPjJ916c+KQu/kBDaA iat-mode=0

Открываете в редакторе файл torrc:

mcedit /opt/etc/tor/torrc

Добавляете туда строки:

UseBridges 1

ClientTransportPlugin obfs4 exec /opt/sbin/obfs4proxy managed

Добавляете туда строки полученных мостов (со словом Bridge в начале строки):

Bridge obfs4 99.242.105.218:80 7BF9B5860BBE4E91E43F03673FE7AB43E72CE353 cert=2qY6IX82EvY2B6e5ahOJj4Unn7Bg0hssx6a+3iUhj2K5MXWT7i052DjqLyJKG7iD5dj/Ig iat-mode=0

Bridge obfs4 78.47.76.79:30030 C03B101F99390CABB58A0D1B04E35470E7F472F9 cert=nR4HkZtXhsutdJla5qAy3cGfJKSn/RgMloA26V72UeNlrpO65+prJ28J4w6XNRgLVBX0EQ iat-mode=0

Bridge obfs4 52.137.33.229:44108 344031A97BE7132F6621B77353FED64C09C8A46B cert=XW8N4lh0TmOck12PDZ0Ykb3MFLcODdOobfJPUnVA1jEaw3NyX4FInPjJ916c+KQu/kBDaA iat-mode=0

Сохраняете torrc.

Перезагружаете tor:

/opt/etc/init.d/S35tor restart

Готово.

09.10.2021 17:25:14 dalamber_sign

dalamber_sign — Sat, 09 Oct 2021 17:25:14 GMT

такая же проблема с гостевой сетью
совет выше годится как часть решения для обхода блокировок в гостевой сети, но сам по себе не лечит пропавший доступ к интернету в гостевой

для работы интернета в гостевой надо добавить в /opt/etc/dnsmasq.conf значение listen-address=ТУТ_IP_МАРШРУТИЗАТОРА_В_ГОСТЕВОЙ_СЕТИ

в моем случае это было 10.1.30.1

08.09.2021 10:10:26 valeramalko

valeramalko — Wed, 08 Sep 2021 10:10:26 GMT

обнаружил, что после обновления tor в entware до последней версии 0.4.6.6 перестали открываться ресурсы .onion (у меня всего несколько в списке unblock.txt), хотя адреса резолвятся.

после отката tor до предыдущей версии 0.4.5.8 эти же ресурсы открываются.

возможно связано с изменениями в новой версии tor https://www.opennet.ru/opennews/art.shtml?num=55327

Прекращена поддержка старых onion-сервисов на базе второй версии протокола, который был объявлен устаревшим год назад. Полностью удаление кода, связанного со второй версией протокола ожидается осенью.

15.12.2020 14:11:57 dartraiden

dartraiden — Tue, 15 Dec 2020 14:11:57 GMT

Если ещё заблокированы и адреса MX-серверов, то почта между такими сервисами и российскими (типа mail.ru, yandex.ru) всё равно ходить не будет (потому что между собой почтовые сервисы взаимодействуют сами, без вашего участия).

24.05.2020 19:06:25 SSar

SSar — Sun, 24 May 2020 19:06:25 GMT

Или для простых смертных, не привыкшим к консоли взять WinSCP и создать нужную папку в пару кликов.

24.05.2020 18:52:31 lbarmen

lbarmen — Sun, 24 May 2020 18:52:31 GMT

сам себе отвечу:
нужно создать папку tor
cd / && cd /tmp && mkdir tor
и теперь меняем в конфиге параметр DataDirectory на /tmp/tor

21.05.2020 19:35:40 lbarmen

lbarmen — Thu, 21 May 2020 19:35:40 GMT

Сделал, в результате сайты перестало открывать, вот мой конфиг

User root

PidFile /opt/var/run/tor.pid

ExcludeExitNodes {AM},{AZ},{BY},{EE},{GE},{KG},{KZ},{LT},{LY},{MD},{RU},{TJ},{TM},{UA},{UZ}

StrictNodes 1

TransPort 0.0.0.0:9141

ExitRelay 0

ExitPolicy reject *:*

ExitPolicy reject6 *:*

GeoIPFile /opt/share/tor/geoip

GeoIPv6File /opt/share/tor/geoip6

DataDirectory /tmp/var/lib/tor

VirtualAddrNetwork 10.254.0.0/16

DNSPort 127.0.0.1:9053

AutomapHostsOnResolve 1

07.05.2020 12:26:04 SSar

SSar — Thu, 07 May 2020 12:26:04 GMT

Добавлю свои «5 копеек» в части оптимизации настройки tor в этой статье, а именно рекомендую заменить в конфиге /opt/etc/tor/torrc параметр DataDirectory на /tmp/var/lib/tor дабы продлить срок службы внешнего flash-накопителя, на который, как правило, устанавливается Entware.
Было замечено лично, что при своей работе активность flash-накопителя весьма высокая (ибо tor крайне активно пишет в DataDirectory при своей работе) и лучше уж этот временный каталог хранить в ОЗУ роутера.

28.01.2020 12:38:06 lbarmen

lbarmen — Tue, 28 Jan 2020 12:38:06 GMT

Kyrie1965 спасибо за вашу инструкцию! Подскажите пожалуйста, возможно вы или кто нибудь знает: имею keenetic ultra 1810, настроил по инструкции. Установил Wireguard в качестве сервера на keenetic, локальные диски и роутер 192.168.1.1 клиенты видят.
Идея в обходе сайтов для клиентов, подключенных к Wireguard.

Я думал будет работать добавив в 9 пункте /opt/etc/ndm/netfilter.d/100-redirect.sh:

iptables -w -t nat -A PREROUTING -i nwg0 -p tcp -m set --match-set unblock dst -j REDIRECT --to-port 9141

nwg0 как раз интерфейс wireguard

У клиента указал
DNS = 192.168.1.1
AllowedIPs = 0.0.0.0/0

Но к сожалению не сработало.