Youtube'чег. Кто как решает проблему?

[akar]

избыточна в случае нормального роутера

Совершенно верно. Схема "слепили из того, что было".

И стоит это все  ~6600 р. 

Роутер хорош, решил погуглить про работу OpenWRT на нём. Похоже, что не получится - https://forum.openwrt.org/t/old-bigger-version-of-xiaomi-ax6000-with-openwrt/169691. Процессор Qualcomm IPQ5018 не указан в списке поддерживаемых архитектур - https://openwrt.org/docs/techref/targets/start.
А жаль.

[KenshiN]

В общем низуя не вышло)

При попытке поставить zapret выдает бесконечное количество ошибок.
При попытке скачать пакеты
*** Failed to download the package list from
какая то срань в общем

root@OpenWrt:/tmp/zapret# ./install_bin.sh
x86_64 is NOT OK
x86 is NOT OK
aarch64 is OK
installing binaries ...
linking : ../binaries/aarch64/ip2net => /tmp/zapret/ip2net
linking : ../binaries/aarch64/mdig => /tmp/zapret/mdig
linking : ../binaries/aarch64/nfqws => /tmp/zapret/nfq
linking : ../binaries/aarch64/tpws => /tmp/zapret/tpws

[Yurkill]

root@OpenWrt:/tmp/zapret# ./install_bin.sh
x86_64 is NOT OK
x86 is NOT OK
aarch64 is OK
installing binaries ...
linking : ../binaries/aarch64/ip2net => /tmp/zapret/ip2net
linking : ../binaries/aarch64/mdig => /tmp/zapret/mdig
linking : ../binaries/aarch64/nfqws => /tmp/zapret/nfq
linking : ../binaries/aarch64/tpws => /tmp/zapret/tpws

С этим всё ок. Определяет архитектуру и ставит что нужно
Давай скрины ошибок, будем вместе думать

[KenshiN]

root@OpenWrt:/tmp/zapret# ./install_bin.sh
x86_64 is NOT OK
x86 is NOT OK
aarch64 is OK
installing binaries ...
linking : ../binaries/aarch64/ip2net => /tmp/zapret/ip2net
linking : ../binaries/aarch64/mdig => /tmp/zapret/mdig
linking : ../binaries/aarch64/nfqws => /tmp/zapret/nfq
linking : ../binaries/aarch64/tpws => /tmp/zapret/tpws

С этим всё ок. Определяет архитектуру и ставит что нужно
Давай скрины ошибок, будем вместе думать

После запуска второй команды понеслась.
Репозитории есть, качаться и у станавливаться не хочут


root@OpenWrt:/tmp/zapret# ./install_prereq.sh
* checking system
system is based on openwrt
openwrt firewall uses fw4. flow offloading requires nftables.
* checking privileges

select firewall type :
1 : iptables
2 : nftables
your choice (default : iptables) : 1
selected : iptables

enable ipv6 support (default : N) (Y/N) ? y
* checking prerequisites
* installing prerequisites
Downloading https://downloads.openwrt.org/releases/23.05.2/targets/bcm27xx/bcm2710/packages/Packages.gz
Failed to send request: Operation not permitted
*** Failed to download the package list from https://downloads.openwrt.org/releases/23.05.2/targets/bcm27xx/bcm2710/packages/Packages.gz

Downloading https://downloads.openwrt.org/releases/23.05.2/packages/aarch64_cortex-a53/base/Packages.gz
Failed to send request: Operation not permitted
*** Failed to download the package list from https://downloads.openwrt.org/releases/23.05.2/packages/aarch64_cortex-a53/base/Packages.gz

Downloading https://downloads.openwrt.org/releases/23.05.2/packages/aarch64_cortex-a53/luci/Packages.gz
Failed to send request: Operation not permitted
*** Failed to download the package list from https://downloads.openwrt.org/releases/23.05.2/packages/aarch64_cortex-a53/luci/Packages.gz

Downloading https://downloads.openwrt.org/releases/23.05.2/packages/aarch64_cortex-a53/packages/Packages.gz
Failed to send request: Operation not permitted
*** Failed to download the package list from https://downloads.openwrt.org/releases/23.05.2/packages/aarch64_cortex-a53/packages/Packages.gz

Downloading https://downloads.openwrt.org/releases/23.05.2/packages/aarch64_cortex-a53/routing/Packages.gz
Failed to send request: Operation not permitted
*** Failed to download the package list from https://downloads.openwrt.org/releases/23.05.2/packages/aarch64_cortex-a53/routing/Packages.gz

Downloading https://downloads.openwrt.org/releases/23.05.2/packages/aarch64_cortex-a53/telephony/Packages.gz
Failed to send request: Operation not permitted
*** Failed to download the package list from https://downloads.openwrt.org/releases/23.05.2/packages/aarch64_cortex-a53/telephony/Packages.gz

Collected errors:
 * opkg_download: Failed to download https://downloads.openwrt.org/releases/23.05.2/targets/bcm27xx/bcm2710/packages/Packages.gz, wget returned 4.
 * opkg_download: Check your network settings and connectivity.

 * opkg_download: Failed to download https://downloads.openwrt.org/releases/23.05.2/packages/aarch64_cortex-a53/base/Packages.gz, wget returned 4.
 * opkg_download: Check your network settings and connectivity.

 * opkg_download: Failed to download https://downloads.openwrt.org/releases/23.05.2/packages/aarch64_cortex-a53/luci/Packages.gz, wget returned 4.
 * opkg_download: Check your network settings and connectivity.

 * opkg_download: Failed to download https://downloads.openwrt.org/releases/23.05.2/packages/aarch64_cortex-a53/packages/Packages.gz, wget returned 4.
 * opkg_download: Check your network settings and connectivity.

 * opkg_download: Failed to download https://downloads.openwrt.org/releases/23.05.2/packages/aarch64_cortex-a53/routing/Packages.gz, wget returned 4.
 * opkg_download: Check your network settings and connectivity.

 * opkg_download: Failed to download https://downloads.openwrt.org/releases/23.05.2/packages/aarch64_cortex-a53/telephony/Packages.gz, wget returned 4.
 * opkg_download: Check your network settings and connectivity.

Unknown package 'curl'.
Unknown package 'ipset'.
Unknown package 'iptables'.
Unknown package 'iptables-mod-extra'.
Unknown package 'iptables-mod-nfqueue'.
Unknown package 'iptables-mod-filter'.
Unknown package 'iptables-mod-ipopt'.
Unknown package 'iptables-mod-conntrack-extra'.
Unknown package 'ip6tables'.
Unknown package 'ip6tables-mod-nat'.
Unknown package 'ip6tables-extra'.
Collected errors:
 * opkg_install_cmd: Cannot install package curl.
 * opkg_install_cmd: Cannot install package ipset.
 * opkg_install_cmd: Cannot install package iptables.
 * opkg_install_cmd: Cannot install package iptables-mod-extra.
 * opkg_install_cmd: Cannot install package iptables-mod-nfqueue.
 * opkg_install_cmd: Cannot install package iptables-mod-filter.
 * opkg_install_cmd: Cannot install package iptables-mod-ipopt.
 * opkg_install_cmd: Cannot install package iptables-mod-conntrack-extra.
 * opkg_install_cmd: Cannot install package ip6tables.
 * opkg_install_cmd: Cannot install package ip6tables-mod-nat.
 * opkg_install_cmd: Cannot install package ip6tables-extra.
could not install prerequisites

press enter to continue

Если после выбора файервола не включать поддержку ip V6 - никакой разницы

Пишет что то не так с доступом в интернет.
Сейчас RasbPi подключена в роутер br-lan

Protocol: Static address
Uptime: 1h 31m 56s
MAC:
RX: 12.72 MB (44997 Pkts.)
TX: 9.66 MB (18768 Pkts.)
IPv4: 192.168.1.2/24
IPv6: fd1f:504a:2785::1/60

[akar]

wget returned 4.
 * opkg_download: Check your network settings and connectivity.

То ли у одноплатника нет выхода в интернет через роутер, то ли на нём не прописан адрес DNS-сервера.

[KenshiN]

wget returned 4.
 * opkg_download: Check your network settings and connectivity.

То ли у одноплатника нет выхода в интернет через роутер, то ли на нём не прописан адрес DNS-сервера.

Ну DNS я ставлю роутер, верно? Роутер он пингует, в сети роутера он добавлен по статике, а интернет не поступает.
Чего я рукожоп недоделал?

[akar]

Ну DNS я ставлю роутер, верно?

Роутер он пингует, в сети роутера он добавлен по статике, а интернет не поступает.

При прописывании статики указали роутер как шлюз по умолчанию?

[KenshiN]

Ну DNS я ставлю роутер, верно?

Роутер он пингует, в сети роутера он добавлен по статике, а интернет не поступает.

При прописывании статики указали роутер как шлюз по умолчанию?

Лошара я. Не DNS там a gateway. И ведь все же понятно. Пока воюю. Сейчас попробую еще пробежаться повторно

[KenshiN]

Телефоны подключаются к роутеру по WIFi, остальные по кабелю. Шлюзом у них прописан не роутер, а одноплатник, поэтому всё попадает сквозь роутер в одноплатник по кабелю. Одноплатник выборочно искажет и отдаёт всё по этому же кабелю обратно роутеру для отправки в интернет. Роутер отправляет в интернет. Обратные пакеты приходят в роутер, но у роутера прописана маска сети не 255.255.255.0, а 255.255.255.252, чтобы не слать обратные пакеты сразу на домашние устройства. Чтобы обратные пакеты попали на домашние устройства через одноплатник, на роутере добавить маршрут на маску 255.255.255.0 через одноплатник.

После смены маски роутер ушел в недоступное пространство)

В общем на картинках ситуация такая:

Так вынлядит маска стандартная, при установке роутер зависает и не отзывается. Смена маски в локальном подключении не помогает.



Я так понимаю для обращение к RasbPi нужно написать маршрут ручками где то типа тут


Сейчас ситуация выглядит так на OpenWRT настроенном шлюзе с zapret


Я так понимаю нужно тут так же настроить.


Есть вещи типа такого, которые мне вообще не ведомы.



Сейчас роутер 192.168.1.1
OpenWRT шлюз 192.168.1.2

Маска 255.255.255.0 (при изменении роутер виснет)

Трасируется
Иногда так:

  1     *        *        *     Превышен интервал ожидания для запроса.
  2     1 ms    <1 мс    <1 мс  192.168.1.1
  3    58 ms     8 ms     1 ms  10.251.14.101
  4     1 ms     1 ms     1 ms  10.251.14.102
  5    90 ms    90 ms    90 ms  185.140.148.159

А иногда вот так

 1    <1 мс     *        *     OpenWrt.lan [192.168.1.2]
  2    <1 мс    <1 мс    <1 мс  192.168.1.1
  3     2 ms     1 ms     1 ms  10.251.14.101
  4     1 ms     1 ms     1 ms  10.251.14.102
  5    90 ms   333 ms    90 ms  185.140.148.159

[KenshiN]

На фоне этого ситуация следующая.

Rutracker.org загружается медленно и не догружается.
Но работает.

Как будто трафик криво-косо идет.

[Yurkill]

На фоне этого ситуация следующая.

Rutracker.org загружается медленно и не догружается.
Но работает.

Как будто трафик криво-косо идет.

Стратегию в файл конфигурации вписал ту, которую скрипт предложил?
Еще такое может быть, если не отключены ДНСы провайдера (самая первая картинка в мануале)

[akar]

Сейчас роутер 192.168.1.1
OpenWRT шлюз 192.168.1.2

Маска 255.255.255.0 (при изменении роутер виснет)

На OpenWRT оставляем этот адрес и маску 255.255.255.0 - он должен уметь напрямую обращаться к роутеру и домашним устройствам.
На роутере сначала добавляем маршрут на сеть 192.168.1.0/24 через шлюз 192.168.1.2, чтобы у него была возможность взаимодействовать с домашними устройствами через OpenWRT, а после этого меняем роутеру маску на 255.255.255.252 - отключаем ему прямое взаимодействие с домашними устройствами, останется только через OpenWRT. Если ошибиться и поменять местами эти два действия, то нужно отключить OpenWRT и прописать на компьютере статический адрес 192.168.1.2 (можно с маской 255.255.255.0) - тогда получится зайти на роутер.

[akar]

Rutracker.org загружается медленно и не догружается.

Прописали адрес DNS-сервера? Network - DHCP and DNS, вкладка Forwarders. В параметре DNS Forward впишите адрес роутера.

Дополнение. Возможно, там уже прописали 8.8.8.8 или что-то другое - оставьте как есть.

[KenshiN]

Сейчас роутер 192.168.1.1
OpenWRT шлюз 192.168.1.2

Маска 255.255.255.0 (при изменении роутер виснет)

На OpenWRT оставляем этот адрес и маску 255.255.255.0 - он должен уметь напрямую обращаться к роутеру и домашним устройствам.
На роутере сначала добавляем маршрут на сеть 192.168.1.0/24 через шлюз 192.168.1.2, чтобы у него была возможность взаимодействовать с домашними устройствами через OpenWRT, а после этого меняем роутеру маску на 255.255.255.252 - отключаем ему прямое взаимодействие с домашними устройствами, останется только через OpenWRT. Если ошибиться и поменять местами эти два действия, то нужно отключить OpenWRT и прописать на компьютере статический адрес 192.168.1.2 (можно с маской 255.255.255.0) - тогда получится зайти на роутер.

В локальном все верно? Обращаемся ж через OpenWRT RasbPi


А тут биты он не дает выставить. Автоматически все


Кстати в браузере Chrome ютуб просто залетает, аватарки грузятся но видео не воспроизводится. А в браузере FireFox вообще нихрена.

[KenshiN]

Rutracker.org загружается медленно и не догружается.

Прописали адрес DNS-сервера? Network - DHCP and DNS, вкладка Forwarders. В параметре DNS Forward впишите адрес роутера.

Дополнение. Возможно, там уже прописали 8.8.8.8 или что-то другое - оставьте как есть.

Еще такое может быть, если не отключены ДНСы провайдера (самая первая картинка в мануале)

Стоит такое, из мануала к zapret от автора

Стратегию в файл конфигурации вписал ту, которую скрипт предложил?

Попробовал разные. Есть добрые люди которые подсказывают и делятся опытом)

В процессах zapret активен



dns поставил 1.0.0.1     и  1. 1. 1. 1, нет разницы

[akar]

В локальном все верно? Обращаемся ж через OpenWRT RasbPi

Да.

А тут биты он не дает выставить. Автоматически все

Если в верхнем разделе "Пользовательские маршруты" нажать кнопку "Добавить маршрут", как выглядит окно?

[KenshiN]

Если в верхнем разделе "Пользовательские маршруты" нажать кнопку "Добавить маршрут", как выглядит окно?

[akar]

KenshiN, сделайте по второй картинке "Маршрут до сети" - адрес сети назначения 192.168.1.0, маска подсети 255.255.255.0, адрес шлюза 192.168.1.2.

[KenshiN]

KenshiN, сделайте по второй картинке "Маршрут до сети" - адрес сети назначения 192.168.1.0, маска подсети 255.255.255.0, адрес шлюза 192.168.1.2.

Есть контакт.

Попробую поменять маску, но не очень верю в работу) Сейчас проверим.

akar
Скинте номер телефона или карты в личку, я на пиво скромненько задоначу, ну или сок)
Работает

[akar]

Работает

Разобрались с раздачей настроек по DHCP? Одновременно с роутера и OpenWRT не надо - будут сбои в работе домашних устройств. Если роутер позволяет в настройках раздачи указать шлюзом не себя, то можно прописать, что раздавать шлюзом адрес OpenWRT. А если роутер такого не умеет, умеет раздавать шлюзом только себя, то на нём отключить раздачу по DHCP, и использовать раздачу только с OpenWRT.

[Yurkill]

А если роутер такого не умеет

умеет
KenshiN,
Домашняя сеть - Параметры IP - Показать настройки DHCP - Адрес шлюза = 192.168.1.2

[KenshiN]

Работает

Разобрались с раздачей настроек по DHCP? Одновременно с роутера и OpenWRT не надо - будут сбои в работе домашних устройств. Если роутер позволяет в настройках раздачи указать шлюзом не себя, то можно прописать, что раздавать шлюзом адрес OpenWRT. А если роутер такого не умеет, умеет раздавать шлюзом только себя, то на нём отключить раздачу по DHCP, и использовать раздачу только с OpenWRT.

Я сейчас назанимался сексом с кривыми андроидовскими приставками на X96, там же Ethernet не предусмотрен.
Одна получила все по DHCP, вторая через Статику.
Думаю что как раз проблема была изза DHCP служб. Ну пока работает, уже трогать не буду. Если замечу, то начну крутить-вертеть.

умеет
KenshiN,
Домашняя сеть - Параметры IP - Показать настройки DHCP - Адрес шлюза = 192.168.1.2

Спасибо, повоюю.


Кстати, какой нибудь rutracker.org не заработал ни с настроенными инструкциями, ни кастомными. Очень странно даже

Еще забавный момент из жизни.
Подошла ко мне недавно соседка бабушка-божий одуванчик 82-84+ и говорит "KenshiN, а чего это, ютуб всё?" и с таким расстройством, аж за нее взгрустнулось.
Но с такими мероприятиями конечно каждому не поможешь.

[akar]

Подошла ко мне недавно соседка бабушка-божий одуванчик 82-84+ и говорит "KenshiN, а чего это, ютуб всё?" и с таким расстройством, аж за нее взгрустнулось.
Но с такими мероприятиями конечно каждому не поможешь.

Так если она смотрела на телефоне с Android, то в чём проблема?

[KenshiN]

Подошла ко мне недавно соседка бабушка-божий одуванчик 82-84+ и говорит "KenshiN, а чего это, ютуб всё?" и с таким расстройством, аж за нее взгрустнулось.
Но с такими мероприятиями конечно каждому не поможешь.

Так если она смотрела на телефоне с Android, то в чём проблема?

Я думаю на АндроидТВ смотрела.

[Yurkill]

Кстати, какой нибудь rutracker.org не заработал ни с настроенными инструкциями, ни кастомными. Очень странно даже

скрипт после стандартного сканирования должен был выдать несколько стратегий, нужно было подставить первую типа --dpi-desync=fake в первую строчку, остальные оставить пустыми.
Точно так сделал? Дефолтовая, которая сразу прописана в конфиге, не подойдёт, т.к. у каждого провайдера свой dpi.
Ну и на всякий случай спрошу, после изменения конфига выполнял ./opt/zapret/ipset/get_config.sh ля того, чтобы настройки применились?

ну и откатываясь обратно к вопросу про ДНС:

6) Запустите blockcheck.sh.  blockcheck.sh в начале проверяет DNS. Если выводятся сообщения о подмене адресов, то
первым делом нужно решить эту проблему, иначе ничего не будет работать.
Решение проблемы DNS выходит за рамки проекта. Обычно она решается либо заменой DNS серверов
от провайдера на публичные (1.1.1.1, 8.8.8.8 ), либо в случае перехвата провайдером обращений
к сторонним серверам - через специальные средства шифрования DNS запросов, такие как dnscrypt, DoT, DoH.

[KenshiN]

Кстати, какой нибудь rutracker.org не заработал ни с настроенными инструкциями, ни кастомными. Очень странно даже

скрипт после стандартного сканирования должен был выдать несколько стратегий, нужно было подставить первую типа --dpi-desync=fake в первую строчку, остальные оставить пустыми.
Точно так сделал? Дефолтовая, которая сразу прописана в конфиге, не подойдёт, т.к. у каждого провайдера свой dpi.
Ну и на всякий случай спрошу, после изменения конфига выполнял ./opt/zapret/ipset/get_config.sh ля того, чтобы настройки применились?

Я пробовал разные варианты после прогона ./blockcheck.sh

Выдал

ipv4 rutracker.org curl_test_http : tpws --split-http-req=method --oob
ipv4 rutracker.org curl_test_http : nfqws --dpi-desync=fake --dpi-desync-ttl=5
ipv4 rutracker.org curl_test_https_tls12 : tpws not working
ipv4 rutracker.org curl_test_https_tls12 : nfqws --dpi-desync=fake --dpi-desync-ttl=5

Ставил --dpi-desync=fake --dpi-desync-ttl=5 вроде
Сейчас дали где несколько активных строчек.

Автор пишет что Для nfqws отдельно настраиваются стратегии на http и https для ipv4 и ipv6.
То есть по максимуму 4 разных варианта.
Отсюда я и использовал почти все)

Ну дальше там пишет что

NFQWS_OPT_DESYNC - это общая установка, которая применяется, если какой-либо уточняющий параметр не задан

По идее мне нужно пробовать

NFQWS_OPT_DESYNC="--dpi-desync=fake --dpi-desync-ttl=5" и остальное оставить пустым или что то типа

NFQWS_OPT_DESYNC="--dpi-desync=split2"

Это все из набора Available

Ну и на всякий случай спрошу, после изменения конфига выполнял ./opt/zapret/ipset/get_config.sh ля того, чтобы настройки применились?

Нет, перезапускал через install_easy.sh и сохранял старые условия. А редактировал файл config руками через WinSCP, я ж виндузятник)) нет у нас любви с nix'ми

DNS
1.1.1.1
1.0.0.1
8.8.8.8


Добавлю еще по методам и инструкциям dpi.
Как я понял  https://github.com/bol-van/zapret/blob/master/docs/readme.txt
скрипты позволяют на такого тоненького собрать, что все будет прям удивлять скоростью и качеством.
Но там не указан способ ловли, отладки, логов и прочего, чтобы такие жесткие тонкие вещи делать. Раздел АТАКА ДЕСИНХРОНИЗАЦИИ DPI
Отсюда мы имеем простой, как дубина, и рабочий способ скачков по dpi

[Yurkill]

NFQWS_OPT_DESYNC="--dpi-desync=fake --dpi-desync-ttl=5" и остальное оставить пустым

именно так

А редактировал файл config руками через WinSCP, я ж виндузятник)) нет у нас любви с nix'ми

если правишь через WinSCP, то надеюсь что хотя бы это был не виндовый блокнот, а какой-нибудь Notepad++, иначе вполне мог сломать конфиг добавлением нечитаемых символов.
Как вариант "opkg install mc". Получишь на борт Midnight Commander (шелл, который похож на Norton Commander или Far). И дальше ходи по папочкам, нажимай F4 для правки, F2 для сохранения, F10 для выхода (всё как в винде). Или сразу "mcedit /папка/файл" для редактирования.

Нет, перезапускал через install_easy.sh и сохранял старые условия

Как уже писал:  ./opt/zapret/ipset/get_config.sh перечитает конфиг.

DNS
1.1.1.1
1.0.0.1
8.8.8.8

выполни blockcheck.sh и дай вывод сюда
у меня на Мегафоне не взлетело, пока не настроил DNS-over-HTTPS (DOH)

[KenshiN]

выполни blockcheck.sh и дай вывод сюда

Так вот
* SUMMARY
ipv4 rutracker.org curl_test_http : tpws --split-http-req=method --oob
ipv4 rutracker.org curl_test_http : nfqws --dpi-desync=fake --dpi-desync-ttl=5
ipv4 rutracker.org curl_test_https_tls12 : tpws not working
ipv4 rutracker.org curl_test_https_tls12 : nfqws --dpi-desync=fake --dpi-desync-ttl=5

[KenshiN]

если правишь через WinSCP, то надеюсь что хотя бы это был не виндовый блокнот, а какой-нибудь Notepad++, иначе вполне мог сломать конфиг добавлением нечитаемых символов.
Как вариант "opkg install mc". Получишь на борт Midnight Commander (шелл, который похож на Norton Commander или Far). И дальше ходи по папочкам, нажимай F4 для правки, F2 для сохранения, F10 для выхода (всё как в винде). Или сразу "mcedit /папка/файл" для редактирования.

С mc я работал, ну такое) Надо постоянно с этим работать чтобы было комфортно.

Как уже писал:  ./opt/zapret/ipset/get_config.sh перечитает конфиг.

Попробую обязательно чуть позже

[Yurkill]

Так вот

нужен вывод, который в начале. Что-то типа:

а, тот что ты даёшь - это уже конец, сами стратегии