Обход блокировок в России через АнтиЗапрет на прошивке Padavan

Внимание: АнтиЗапрет разблокирует не все заблокированные ресурсы. Например, не будут разблокированы YouTube и Discord.

Прошивка, разумеется, должна быть собрана с поддержкой OpenVPN.

1) включить VPN-клиент и настроить его так, как показано на скриншоте ниже (вместо vpn.antizapret.prostovpn.org укажите v.31337.lol).

Нажать «Применить»

2) скачать архив с ключами (зеркало на случай, если сайт заблокировали; ещё зеркало). Внутри будет файл ovpn (он нам не нужен) и три ключа (ca.crt, antizapret-useraccess2.crt и antizapret-useraccess.key).

Ключи открыть текстовым редактором (НЕ Блокнотом, используйте, например, WordPad или Notepad++) и скопировать-вставить содержимое каждого ключа в соответствующее поле на вкладке «Сертификаты и ключи OpenVPN»: содержимое файла ca.crt в поле «ca.crt», содержимое файла antizapret-useraccess2.crt в поле «client.crt», содержимое файла antizapret-useraccess.key в поле «client.key». Копировать нужно всё содержимое каждого ключа (то есть, открыть файл в редакторе, выделить всё (Ctrl+A), скопировать (Ctrl+C) и вставить в нужное поле веб-интерфейса (Ctrl+V).

Нажать «Применить»

Если все сделано правильно, то во вкладке «Настройки» рядом с адресом v.31337.lol появится надпись «Подключено»

На сообщения «WARNING: this configuration may cache passwords in memory» в логе внимания обращать не нужно, это неактуально, потому что паролей у нас нет. Если напрягает, добавьте в «VPN клиент → Расширенная конфигурация OpenVPN» строчку auth-nocache

Аналогично и с «Unrecognized option or missing or extra parameter(s) in [PUSH-OPTIONS]:4: block-outside-dns» — этот параметр отдаётся сервером на тот случай, если на клиенте стоит Windows. Если напрягает, добавьте в «VPN клиент» → «Расширенная конфигурация OpenVPN» строчку ignore-unknown-option block-outside-dns

Если вы используете не публичный АнтиЗапрет, а свой собственный, развёрнутый на вашем сервере, то в инструкции ничего не меняется за исключением того, что на шаге 2 вы берёте свой файл конфигурации и свои ключи.

#antizapret #padavan #openvpn

Обход блокировок в Украине через Zaborona на прошивке Padavan

Прошивка, разумеется, должна быть собрана с поддержкой OpenVPN.

Настройки

На сообщения «WARNING: this configuration may cache passwords in memory» в логе внимания обращать не нужно, это неактуально, потому что паролей у нас нет. Если напрягает, добавьте в «VPN клиент → Расширенная конфигурация OpenVPN» строчку auth-nocache

Аналогично и с «Unrecognized option or missing or extra parameter(s) in [PUSH-OPTIONS]:4: block-outside-dns» — этот параметр отдаётся сервером на тот случай, если на клиенте стоит Windows. Если напрягает, добавьте в «VPN клиент» → «Расширенная конфигурация OpenVPN» строчку ignore-unknown-option block-outside-dns

#zaborona #padavan #openvpn

Что делать, если не работает обход блокировок через АнтиЗапрет на прошивке Padavan

1) Возможно. не устанавливается OpenVPN-подключение к серверу?
Добавьте в расширенные настройки OpenVPN строку verb 5
Это заставит OpenVPN выдавать в системный журнал более подробные сведения о происходящем. После этого смотрите системный журнал.

Например, провайдер может заблокировать доступ к домену АнтиЗапрета. Скачайте актуальный файл конфигурации и убедитесь, что адрес сервера в строке remote ... совпадает с адресом, указанным в настройках OpenVPN.

2) Возможно, роутер не использует для резолвинга DNS-сервер VPN-сервиса?
Зайдите на роутер по SSH и пинганите какой-либо заблокированный ресурс: ping rutracker.org

DNS-сервер выдаёт заблокированным ресурсам адреса из подсети 10.x.x.x. Если это не так — перепроверяйте настройки VPN, обратив внимание на «Заменить весь список DNS».

Пинг «здорового человека» (с обходом блокировок)

# ping rutracker.org
PING rutracker.org (10.224.0.58): 56 data bytes

10.x.x.x = всё в порядке

Пинг «курильщика» (обход блокировок не работает)

# ping rutracker.org
PING rutracker.org (195.82.146.214): 56 data bytes

не 10.x.x.x = всё не в порядке

3) Возможно, роутер отправляет клиентам адрес стороннего DNS?
Проверьте страницу LAN → DHCP Server в веб-интерфейсе. Все четыре поля «DNS Server» должны быть пустыми. Если это не так — очистите их, примените настройки. На клиенте, если это Windows, выполните команду ipconfig /flushdns

Кроме того, передёрните (вкл/выкл) сетевое подключение (независимо от того, какая у вас операционная система).

4) Возможно, на самом клиенте уже используются какие-то средства для обхода блокировок?
Пройдите стандартный тест («standard test») на сайте dnsleaktest.com
В результатах теста должен быть лишь ОДИН сервер — сервер АнтиЗапрета. Если вы видите какие-то другие серверы, возможно, на устройстве, на котором вы проходите тест, уже настроен какой-то VPN, установлено расширение для обхода блокировок в браузере, указаны вручную адреса сторонних DNS-серверов в настройках подключения к сети, либо включён «безопасный DNS» в настройках браузера или настройках операционной системы. Всё это необходимо отключить.

#antizapret #zaborona #padavan #troubleshooting

Обход блокировок в России через АнтиЗапрет на прошивке Keenetic версии 3.7 или старее

Внимание: АнтиЗапрет разблокирует не все заблокированные ресурсы. Например, не будут разблокированы YouTube и Discord.

1) В свойствах подключения к провайдеру включить настройку «Игнорировать DNS», а также вписать в качестве «DNS 1» и «DNS 2» адреса каких-нибудь публичных DNS-серверов, например, 77.88.8.8 и 9.9.9.10. Если у вас подключение к провайдеру по протоколу PPPoE, то это всё надо делать в настройках PPPoE. Если у вас модем, то всё это делать в настройках самого модема (вам виднее, где там у модема настройки, у модемов обычно свой веб-интерфейс).

Внимание: Если подключение к провайдеру у вас осуществляется в виде VPN-подключения (LT2P/PPTP) к какому-то непубличному серверу (например, tp.internet.beeline.ru или l2tp.freedom), адрес которого не резолвится через публичные DNS, то вместо домена (в примере выше tp.internet.beeline.ru) указывайте его IP. Иначе, подключение к провайдеру работать не будет, поскольку включена настройка «Игнорировать DNS».

Вы можете использовать любые публичные DNS (вместо 77.88.8.8 и 9.9.9.10, как в примере), главное, чтобы это были классические IPv4 DNS-серверы, никаких IPv6/DoH/DoT

2) В разделе «Другие подключения» создать OpenVPN-подключение с именем «AntiZapret». Включить настройки «Использовать для выхода в Интернет» и «Получать маршруты от удалённой стороны». Скачать файл конфигурации (зеркало на случай, если сайт заблокировали; ещё зеркало), открыть его блокнотом и вставить содержимое в поле «Конфигурация OpenVPN». Кроме того, туда же в самое начало или самый конец добавить следующие строки

pull-filter ignore block-outside-dns
route 77.88.8.8
route 9.9.9.10 

А также удалить строку setenv opt data-ciphers AES-128-GCM:AES-256-GCM:AES-128-CBC

Важно: эти адреса в конфиге OpenVPN должны полностью совпадать с теми, которые вы указали на шаге 1. Если вы на шаге 1 использовали не 77.88.8.8 и 9.9.9.10, а, скажем, 1.1.1.1, то и тут у вас будет route 1.1.1.1

3) Включить это только что созданное OpenVPN-подключение.

Если вы используете не публичный АнтиЗапрет, а свой собственный, развёрнутый на вашем сервере, то в инструкции ничего не меняется за исключением того, что на шаге 2 вы берёте свой файл конфигурации.

#antizapret #keenetic #openvpn

Обход блокировок в России через АнтиЗапрет на прошивке Keenetic версии 3.8 или новее

Внимание: АнтиЗапрет разблокирует не все заблокированные ресурсы. Например, не будут разблокированы YouTube и Discord.

Должны быть установлены компоненты «Фильтрация контента и блокировка рекламы при помощи облачных сервисов» и «Прокси-сервер DNS-over-HTTPS». На «пиратских» (неоригинальных) кинетиках компоненты уже установлены.

1) В разделе «Интернет-фильтр» на вкладке «Настройка DNS» в «Системный» профиль добавить серверы

Тип сервера DNS: DNS-over-HTTPS
URL сервера DNS: https://common.dot.dns.yandex.net/dns-query
Домен: v.31337.lol

Тип сервера DNS: DNS-over-HTTPS
URL сервера DNS: https://dns.google/dns-query
Домен: v.31337.lol

Вы можете использовать другие публичные DNS, главное, чтобы это были серверы DNS-over-HTTPS.

2) В том же разделе («Интернет-фильтр» на вкладке «Настройка DNS») в «Системном» отключить получение адресов от провайдера и добавить серверы

Тип сервера DNS:  По умолчанию
Адрес сервера DNS: 195.208.4.1

Тип сервера DNS:  По умолчанию
Адрес сервера DNS: 1.1.1.1

Вы можете использовать другие публичные серверы, главное, чтобы соблюдались условия:
* это должны быть классические IPv4 DNS-серверы, никаких IPv6/DoH/DoT
* эти серверы не должны пересекаться с теми, которые используются на предыдущем шаге (например, если вы использовали сервер dns.google, то тут нельзя использовать сервер 8.8.8.8, т. к. это один и тот же сервер)

Внимание: если у вас прошивка 3.9 и новее желательно отключить «Транзит запросов» для «Системного» профиля.

3) В разделе «Интернет-фильтр» на вкладке «Настройка DNS» создать профиль «AntiZapret» и добавить в него серверы

Тип сервера DNS:  По умолчанию
Адрес сервера DNS: 62.76.62.76

Тип сервера DNS:  По умолчанию
Адрес сервера DNS: 9.9.9.10

Нажать «Сохранить», чтобы рядом с именем профилей пропала звёздочка.

Вы можете использовать в профиле «AntiZapret» другие публичные серверы (вместо 62.76.62.76 и 9.9.9.10, как в примере), главное, чтобы соблюдались условия:
* это должны быть классические IPv4 DNS-серверы, никаких IPv6/DoH/DoT
* эти серверы не должны пересекаться с теми, которые использовались на предыдущих шагах (например, если вы использовали сервер dns.google на первом шаге, то тут нельзя использовать сервер 8.8.8.8, т. к. это один и тот же сервер)

Внимание: если у вас прошивка 3.9 и новее желательно отключить «Транзит запросов» для только что созданного профиля «AntiZapret».

4) В разделе «Интернет-фильтры» на вкладке «Контентный фильтр» выбрать режим фильтрации «Публичные DNS-резолверы и настраиваемые профили». Ниже в разделе «Профили контентной фильтрации по умолчанию» для всех сетей (домашняя, гостевая) выбрать из выпадающего списка профиль «AntiZapret» (он в самом низу выпадающего списка).

5) В разделе «Другие подключения» создать OpenVPN-подключение с именем «AntiZapret». Включить настройки «Использовать для выхода в Интернет» и «Получать маршруты от удаленной стороны». Скачать файл конфигурации (зеркало на случай, если сайт заблокировали; ещё зеркало), открыть его блокнотом и вставить содержимое в поле «Конфигурация OpenVPN». Кроме того, туда же в самое начало или самый конец добавить следующие строки

pull-filter ignore block-outside-dns
route 195.208.4.1
route 1.1.1.1
route 62.76.62.76
route 9.9.9.10

Важно: эти адреса в конфиге OpenVPN должны полностью совпадать с теми, которые вы указали на шагах 2 и 3. Если вы использовали не 62.76.62.76 и 9.9.9.10, а, скажем, 8.8.4.4, то и тут у вас будет route 8.8.4.4

Внимание: если у вас прошивка версии 3.8, нужно удалить строку setenv opt data-ciphers AES-128-GCM:AES-256-GCM:AES-128-CBC. На более свежих прошивках (3.9 и новее) это УДАЛЯТЬ НЕ НУЖНО.

6) Включить это только что созданное OpenVPN-подключение.

Если вы используете не публичный АнтиЗапрет, а свой собственный, развёрнутый на вашем сервере, то в инструкции ничего не меняется за исключением того, что шаг 1 вы пропускаете полностью, а на шаге 5 берёте свой файл конфигурации.

#antizapret #keenetic #openvpn

Обход блокировок в России через АнтиЗапрет на прошивке OpenWrt

Внимание: АнтиЗапрет разблокирует не все заблокированные ресурсы. Например, не будут разблокированы YouTube и Discord.

Предварительные требования:
— прошита OpenWrt 18.06 или новее
— установлен веб-интерфейс LuCi
— роутер имеет доступ в Интернет

1) Обновить список пакетов (System → Software → Update lists), установить пакет openvpn-openssl (OpenVPN, собранный с поддержкой OpenSSL)

2) Скачать файл конфигурации (зеркало на случай, если сайт заблокировали; ещё зеркало) , положить .ovpn в /etc/openvpn
Я не буду подробно описывать процесс перемещения файлов в файловую систему роутера, вы можете воспользоваться WinSCP, SFTP-плагином для Total Commander (плагин умеет работать и по SCP), либо прямо из консоли с помощью wget и unzip, способов много.

Отредактировать этот файл, дописав куда-нибудь в его середину строки

route 8.8.8.8
route 77.88.8.8

3) Заменить содержимое /etc/config/openvpn на

package openvpn

config openvpn antizapret

  option enabled 1
  option config /etc/openvpn/antizapret-tcp.ovpn

(опять же, способ редактирования конфига оставлен на усмотрение читателя: одному удобно через vi, другому через тот же WinSCP). antizapret-tcp.ovpn — это файл, который вы на прошлом шаге копировали. Если его название изменилось, то, соответственно, исправьте его и тут в конфиге.

4) Включить и запустить VPN (System → Startup). Проверить, что всё запустилось корректно. В Status → System Log будет примерно следующее

daemon.notice openvpn(antizapret)[3180]:  OpenVPN 2.4.5 mipsel-openwrt-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD]
...
daemon.notice openvpn(antizapret)[3180]: Initialization Sequence Completed ← Всё завелось

Если вместо этого вы наблюдаете в журнале daemon.err openvpn(antizapret)[3180]: OpenVPN ROUTE: cannot add more than 100 routes -- please increase the max-routes option in the client configuration file, то необходимо открыть antizapret-tcp.ovpn текстовым редактором и добавить строку max-routes 50000

5) Создать новый интерфейс (Network → Interfaces → Add new interface):
Name of the new interface: antizapret
Protocol of the new interface: unmanaged
Cover the following interface: Ethernet Adapter: "tun0"
Advanced settings → Bring up on boot
Firewall Settings → Create: → antizapret
Save and Apply

6) Настроить зону файерволла antizapret (Network → Firewall → antizapret → Edit):
Input: reject
Включить Masquerading и MSS clamping
Allow forward from source zones: lan
Save and Apply

7) Исправить /etc/config/dhcp: значение option rebind_protection изменить с 1 на 0

8) Указать DNS-серверы, который будет использоваться, если подключение к VPN-серверу разорвано:
в настройках обоих интерфейсов WAN и WAN6 (Network → Interfaces) отключить Use DNS servers advertised by peer на вкладке Advanced settings
в настройках интерфейса WAN в поле Use custom DNS servers вписать адреса 77.88.8.8 и 8.8.8.8 (в первое поле первый адрес, добавить второе поле и туда второй адрес)
Save and Apply

На сообщения «WARNING: this configuration may cache passwords in memory» в журнале внимания обращать не нужно, это неактуально, потому что паролей у нас нет. Если напрягает, можете добавить в файл конфигурации строчку auth-nocache

Аналогично и с «Unrecognized option or missing or extra parameter(s) in [PUSH-OPTIONS]:4: block-outside-dns» — этот параметр отдаётся сервером на тот случай, если на клиенте стоит Windows. Если напрягает, можете добавить в файл конфигурации строчку ignore-unknown-option block-outside-dns

#antizapret #openwrt #openvpn

Если одновременно с АнтиЗапретом на прошивке OpenWrt хочется использовать AdGuard Home

0) предполагается, что сначала вы настроили Antizapret и обход блокировок у вас работает
затем вы установили AdGuard Home, провели его первоначальную настройку и его DNS висит на порту 5353 (если вы вешали на другой порт, соответственно скорректируйте номер порта далее)
1) в настройках интерфейса WAN из поля Use custom DNS servers удалить все адреса, которые там есть
Save and Apply
2) в файл /etc/config/dhcp в раздел config dnsmasq добавить строку list server '127.0.0.1#5353'. Должно получиться

config dnsmasq
        тут то, что там уже было
        ещё всякое
        list server '127.0.0.1#5353'

3) перезагрузить роутер
4) убедиться, что есть доступ в интернет (открываются сайты) и что AdGuard Home работает (в его админке увеличиваются цифры статистики). Обход блокировок в этот момент работать не будет и следующим шагом это исправляется
5) в настройках AGH указать в качестве апстрима именно те серверы, которые у вас вписаны в файл .ovpn (на шаге 2) и они же вписаны в настройках интерфейса WAN (на шаге 8)

#antizapret #openwrt #adguardhome

Обход блокировок в Украине через Zaborona на прошивке OpenWrt

Предварительные требования:
— прошита OpenWrt 18.06 или новее
— установлен веб-интерфейс LuCi
— роутер имеет доступ в Интернет

1) Обновить список пакетов (System → Software → Update lists), установить пакет openvpn-openssl (OpenVPN, собранный с поддержкой OpenSSL)

2) Скачать файл конфигурации, положить .ovpn в /etc/openvpn
Я не буду подробно описывать процесс перемещения файлов в файловую систему роутера, вы можете воспользоваться WinSCP, SFTP-плагином для Total Commander (плагин умеет работать и по SCP), либо прямо из консоли с помощью wget и unzip, способов много.

3) Заменить содержимое /etc/config/openvpn на

package openvpn

config openvpn zaborona

  option enabled 1
  option config /etc/openvpn/zaborona-help.ovpn

(опять же, способ редактирования конфига оставлен на усмотрение читателя: одному удобно через vi, другому через тот же WinSCP). zaborona-help.ovpn — это файл, который вы на прошлом шаге копировали. Если его название изменилось, то, соответственно, исправьте его и тут в конфиге.

4) Включить и запустить VPN (System → Startup). Проверить, что всё запустилось корректно. В Status → System Log будет примерно следующее

daemon.notice openvpn(zaborona)[3180]:  OpenVPN 2.4.5 mipsel-openwrt-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD]
...
daemon.notice openvpn(zaborona)[3180]: Initialization Sequence Completed ← Всё завелось

Если вместо этого вы наблюдаете в журнале daemon.err openvpn(zaborona)[3180]: OpenVPN ROUTE: cannot add more than 100 routes -- please increase the max-routes option in the client configuration file, то необходимо открыть antizapret-tcp.ovpn текстовым редактором и добавить строку max-routes 50000

5) Создать новый интерфейс (Network → Interfaces → Add new interface):
Name of the new interface: zaborona
Protocol of the new interface: unmanaged
Cover the following interface: Ethernet Adapter: "tun0"
Advanced settings → Bring up on boot
Firewall Settings → Create: → zaborona
Save and Apply

6) Настроить зону файерволла zaborona (Network → Firewall → zaborona → Edit):
Input: reject
Включить Masquerading и MSS clamping
Allow forward from source zones: lan
Save and Apply

7) Если у вас пропал доступ в Интернет после этого пункта, не делайте его. В настройках интерфейса "WAN" (Network → Interfaces) отключить Use DNS servers advertised by peer на вкладке Advanced settings. В Use custom DNS servers вписать адрес 74.82.42.42. Нажать рядом "+", во вторую появившуюся строку вписать адрес 77.88.8.8. Save and Apply.

В настройках интерфейса "WAN6" (Network → Interfaces) отключить Use DNS servers advertised by peer на вкладке Advanced settings. В Use custom DNS servers вписать адрес 2001:4860:4860::8888. Нажать рядом "+", во вторую появившуюся строку вписать адрес 2001:4860:4860::8844. Save and Apply.

На сообщения «WARNING: this configuration may cache passwords in memory» в журнале внимания обращать не нужно, это неактуально, потому что паролей у нас нет. Если напрягает, можете добавить в файл конфигурации строчку auth-nocache

Аналогично и с «Unrecognized option or missing or extra parameter(s) in [PUSH-OPTIONS]:4: block-outside-dns» — этот параметр отдаётся сервером на тот случай, если на клиенте стоит Windows. Если напрягает, можете добавить в файл конфигурации строчку ignore-unknown-option block-outside-dns

#zaborona #openwrt #openvpn

Что делать, если не работает обход блокировок через АнтиЗапрет на прошивке OpenWrt

1) Возможно. не устанавливается OpenVPN-подключение к серверу?
Добавьте в конфиг OpenVPN строку verb 5
Это заставит OpenVPN выдавать в системный журнал более подробные сведения о происходящем. После этого смотрите системный журнал.

Например, провайдер может заблокировать доступ к домену АнтиЗапрета. Скачайте актуальный файл конфигурации и убедитесь, что адрес сервера в строке remote ... совпадает с адресом, указанным в настройках OpenVPN.

2) Возможно, роутер не использует для резолвинга DNS-сервер VPN-сервиса?
Зайдите на роутер по SSH и пинганите какой-либо заблокированный ресурс: ping rutracker.org

DNS-сервер выдаёт заблокированным ресурсам адреса из подсети 10.x.x.x. Если это не так — перепроверяйте настройки WAN, обратив внимание на DNS-серверы, которые вы туда вписали. Они должны в точности совпадать с теми, которые вы указали в конфиге OpenVPN.

Пинг «здорового человека» (с обходом блокировок)

# ping rutracker.org
PING rutracker.org (10.224.0.58): 56 data bytes

10.x.x.x = всё в порядке

Пинг «курильщика» (обход блокировок не работает)

# ping rutracker.org
PING rutracker.org (195.82.146.214): 56 data bytes

не 10.x.x.x = всё не в порядке

3) Возможно, на самом клиенте уже используются какие-то средства для обхода блокировок?
Пройдите стандартный тест («standard test») на сайте dnsleaktest.com
В результатах теста должен быть лишь ОДИН сервер — сервер АнтиЗапрета. Если вы видите какие-то другие серверы, возможно, на устройстве, на котором вы проходите тест, уже настроен какой-то VPN, установлено расширение для обхода блокировок в браузере, указаны вручную адреса сторонних DNS-серверов в настройках подключения к сети, либо включён «безопасный DNS» в настройках браузера или настройках операционной системы. Всё это необходимо отключить.

#antizapret #openwrt #troubleshooting

Прозрачное проксирование в анонимные сети Tor и I2P на прошивке Padavan

Цель: чтобы у клиентов в браузерах открывались сайты в зонах .onion и .i2p без какой-либо настройки на клиентах.
Решение практически полностью взято отсюда.

             i2pd (4444)
             /
LAN — Tinyproxy (8888) — WAN
             \
             Polipo (8123) — Tor (9050)

opkg update
opkg install tor i2pd tinyproxy polipo

В конфиг Tor (/opt/etc/tor/torrc, если Tor установлен из Entware, либо /etc/storage/tor/torrc, если Tor вкомпилен в прошивку) добавьте строку SOCKSPort 9050

В конфиге i2pd (/opt/etc/i2pd/i2pd.conf) нужно повесить HTTP-прокси на 127.0.0.1

[httpproxy]
address = 127.0.0.1

Перезапускаем Tor и i2pd

/opt/etc/init.d/S35tor restart
/opt/etc/init.d/S30i2p restart

Настроим dnsmasq, чтобы браузер смог получить какой-нибудь несуществующий IP-адрес для доменов .i2p и .onion. Добавляем в Advanced Settings → LAN → DHCP Server → Custom Configuration File "dnsmasq.conf"

address=/.i2p/192.168.99.99
address=/.onion/192.168.99.99

Важные строки из конфига Tinyproxy (/opt/etc/tinyproxy.conf:)

User admin
Group root
Allow 192.168.1.0/24
upstream 127.0.0.1:4444 ".b32"
upstream 127.0.0.1:4444 ".i2p"
upstream 127.0.0.1:8123 ".onion"

Важные строки из конфига Polipo (/opt/etc/polipo/config)

socksParentProxy = "localhost:9050"
socksProxyType = socks5

Запускаем Tinyproxy и Polipo

/opt/etc/init.d/S21tinyproxy start
/opt/etc/init.d/S28polipo start

Заворачиваем HTTP-трафик из локальной сети на Tinyproxy. Добавляем в Advanced Settings → Customization → Scripts → Run After Firewall Rules Restarted строку iptables -t nat -I PREROUTING -i br0 ! -d 192.168.1.0/24 -p tcp --dport 80 -j REDIRECT --to-ports 8888

Если в качестве браузера используется Firefox, нужно сходить по адресу about:config и установить настройке network.dns.blockDotOnion значение false.

#tor #i2p #padavan

Прозрачное проксирование в анонимные сети Tor и I2P на прошивке OpenWrt

Цель: чтобы у клиентов в браузерах открывались сайты в зонах .onion и .i2p без какой-либо настройки на клиентах.
Решение практически полностью взято отсюда.

             i2pd (4444)
             /
LAN — Tinyproxy (8888) — WAN
             \
             Polipo (8123) — Tor (9050)

opkg update
opkg install tor i2pd tinyproxy polipo

В конфиге Tor (/etc/tor/torrc) следует раскомментировать строку SOCKSPort 9050

В конфиге i2pd (/etc/i2pd/i2pd.conf) нужно повесить HTTP-прокси на 127.0.0.1

[httpproxy]
address = 127.0.0.1

Перезапускаем Tor и i2pd

service tor restart
service i2pd restart

Настроим dnsmasq, чтобы браузер смог получить какой-нибудь несуществующий IP-адрес для доменов .i2p и .onion

echo 'address=/.i2p/192.168.99.99' >> /etc/dnsmasq.conf
echo 'address=/.onion/192.168.99.99'  >> /etc/dnsmasq.conf
service dnsmasq restart

Важные строки из конфига Tinyproxy (/etc/config/tinyproxy)

option enabled 1

list Allow 192.168.1.0/24

config upstream
  option type 'proxy'
  option via '127.0.0.1:4444'
  option target '.b32'

config upstream
  option type 'proxy'
  option via '127.0.0.1:4444'
  option target '.i2p'

config upstream
  option type 'proxy'
  option via '127.0.0.1:8123'
  option target '.onion'

Важные строки из конфига Polipo (/etc/config/polipo)

config polipo 'general'
  list allowedClients '127.0.0.1'
  option socksParentProxy 'localhost:9050'
  option socksProxyType 'socks5'

Перезапускаем Tinyproxy и Polipo

service tinyproxy restart
service polipo restart

Заворачиваем HTTP-трафик из локальной сети на Tinyproxy:

echo 'iptables -t nat -I PREROUTING -i br-lan ! -d 192.168.1.0/24 -p tcp --dport 80 -j REDIRECT --to-ports 8888' >> /etc/firewall.user
service firewall restart

Если в качестве браузера используется Firefox, нужно сходить по адресу about:config и установить настройке network.dns.blockDotOnion значение false.

#tor #i2p #openwrt

Защита своего сервера VPN от обнаружения Роскомнадзором

Роскомнадзор провёл сканирование хостов, вероятно в попытке обнаружить VPN-серверы. Разумно оградить свой сервер от их подсетей.

https://freemedia.tech/block-rugov.html#iptables

Архив с актуальным конфигом и ключами Antizapret

#antizapret

Что делать, если не работает обход блокировок через АнтиЗапрет на прошивке Keenetic

1) Добавьте в конфиг строку verb 5
Это заставит OpenVPN выдавать в системный журнал более подробные сведения о происходящем. После этого смотрите системный журнал в разделе настроек «Диагностика».

2) Возможно, провайдер заблокировал доступ к домену АнтиЗапрета. Особенно актуально для прошивок 3.6 и старее, где нет защиты от блокировки доступа к серверу. Скачайте актуальный файл конфигурации и убедитесь, что адрес в строке remote ... совпадает с тем, который указан в конфиге на роутере.

3) Пройдите стандартный тест («standard test») на сайте dnsleaktest.com
В результатах теста должен быть лишь ОДИН сервер — сервер АнтиЗапрета. Если вы видите какие-то другие серверы, возможно, на устройстве, на котором вы проходите тест, уже настроен какой-то VPN, установлено расширение для обхода блокировок в браузере, указаны вручную адреса сторонних DNS-серверов в настройках подключения к сети, либо включён «безопасный DNS» в настройках браузера или настройках операционной системы. Всё это необходимо отключить.

4) Проверьте, в какие IP-адреса преобразуются имена заблокированных доменов.
Самый простой способ: выполнить в консоли на клиентском устройстве (не на самом роутере) пинг заблокированного ресурса: ping rutracker.org

При правильных настройках пинг пойдёт до адреса, начинающегося с 10., например

Обмен пакетами с rutracker.org [10.224.0.209]

#antizapret #keenetic #troubleshooting

Обход блокировок и замедления YouTube на прошивке Keenetic с помощью tpws (имеет смысл пробовать, только если не устраивает работа nfqws, о котором см. ниже)

[!] Если у роутера нет USB-порта, то инструкция вам не подойдёт.

Обязательно должен быть установлен компонент «Модули ядра подсистемы Netfilter» (веб-интерфейс управления роутером → Параметры системы → Показать компоненты).

Дальше устанавливаем tpws по инструкции.
Если вы хотите лишь избежать замедления YouTube (например, если у вас обход блокировок уже настроен через АнтиЗапрет), то выберите при установке режим list.

После установки перезагрузите роутер.

______

Если замедление YouTube сохраняется, создайте правило файерволла, блокирующее протокол QUIC

Межсетевой экран → Домашняя сеть → Добавить правило

Включить правило: Включено
Описание: Блокировать QUIC
Действие: Запретить
Протокол: UDP
Номер порта назначения: Равен 443
Остальные параметры оставляем без изменений


Если в системном журнале возникают ошибки, связанные с iptables, установите компонент «Модули ядра подсистемы Netfilter» (веб-интерфейс управления роутером → Параметры системы → Показать компоненты).


Если в системном журнале возникают ошибки, связанные с ip6tables и ваш провайдер не поддерживает IPv6, игнорируйте их или отключите поддержку IPv6 в файле /opt/etc/tpws/tpws.conf:

IPV6_ENABLED=0

______


Обсуждение там же на GitHub, либо на NTC

#keenetic #youtube #tpws

Обход блокировок и замедления YouTube на прошивках Keenetic с помощью nfqws

По отзывам работает немного лучше, чем вариант с tpws, описанный выше.

[!] Если у роутера нет USB-порта, то инструкция вам не подойдёт.

Дальше устанавливаем nfwqs по инструкции.
Если вы хотите лишь избежать замедления YouTube (например, если у вас обход блокировок уже настроен через АнтиЗапрет), то выберите при установке режим list.

После установки перезагрузите роутер.

Обсуждение там же на GitHub, либо на NTC

#keenetic #youtube #nfqws

Обход замедления YouTube на прошивке OpenWrt

https://github.com/Waujito/youtubeUnblock

#openwrt #youtube

Cloudlare WARP на прошивке Keenetic

Понадобится прошивка 4.2 или новее. В более старых прошивках не поддерживается ASC для WireGuard. Также должен быть установлен компонент WireGuard.

1. Сгенерировать конфиг.

2. Другие подключения → Wireguard → Загрузить из файла → Загрузите сюда полученный конфиг.

3. В CLI выполнить команду show interface и определить имя интерфейса WireGuard (обычно Wireguard0).

4. В CLI выполнить команду interface Wireguard0 wireguard asc jc jmin jmax s1 s2 h1 h2 h3 h4

Wireguard0 — имя интерфейса, которое вы узнали на шаге 3
Вместо jc...h4 вписать соответствующие параметры из конфига (откройте его текстовым редактором),

В общем случае команда будет выглядеть примерно так interface Wireguard0 wireguard asc 120 23 911 0 0 1 2 3 4

5. В CLI выполните команду system configuration save

6. В веб-интерфейсе в настройках подключения WireGuard включите опцию «Использовать для выхода в интернет», а затем включите само подключение WireGuard и дождитесь, пока индикатор подключения станет из серого зелёным.

7. Настройте приоритеты подключений по вкусу (можно просто поместить подключение WireGuard первым в списке, тогда все клиенты будут выходить в интернет через VPN, либо можно там же создать политику и пустить лишь некоторых клиентов через VPN).

#keenetic #wireguard #warp

На серверы АнтиЗапрета добавили костылей, проблема с отвалом DNS, особенно сильно мучившая пользователей в последние месяцы, полностью ушла.

#antizapret