Closed AltGrF13 closed 5 months ago
Большое спасибо за Ваши мысли по поводу проекта.
Правильно ли я Вас понял, что Вы переделаете внести изменения в код путем вставки двух кусков кода выше? Если так, то прошу дать пояснения - Вы свой код тестировали при всех возможных конфигурациях пакета? Все работает?
Важное уточнение: не проверялся лишь случай на включенном adguard, не пользуюсь. Но т.к. код этой части вообще не затронут, то не вижу потенциальных проблем.
Хорошо, благодарю Вас. В следующем релизе постараюсь внести изменения, после проверки.
изменения внесены в 1.1.8 r1 прошу дать обратную связь.
После удаления гостевой сети из кваса и перезагрузки устройства, остаются правила iptables которые для моей модели не актуальны.
Прошу прислать в "личку" файл отладки
После удаления гостевой сети из кваса и перезагрузки устройства, остаются правила iptables которые для моей модели не актуальны
А у Вас, случайно, не осталось в Entware старого ручного решения? В /opt/etc/ndm/netfilter.d/
какого-нибудь своего файла типа 100-shadowsocks-vpn-server
?
Ну и совсем дурацкое предположение: а у Вас команда ip a | grep -q 'global eth3' && echo eth3 || echo eth2.2
выводит правильное значение? А то одноинтерфейсных Кинетиков в наличии нет)
После удаления гостевой сети из кваса и перезагрузки устройства, остаются правила iptables которые для моей модели не актуальны
А у Вас, случайно, не осталось в Entware старого ручного решения? В
/opt/etc/ndm/netfilter.d/
какого-нибудь своего файла типа100-shadowsocks-vpn-server
?
Поясните пожалуйста Ваши вопросы. Не понимаю о чем речь?
Ну и совсем дурацкое предположение: а у Вас команда
ip a | grep -q 'global eth3' && echo eth3 || echo eth2.2
выводит правильное значение? А то одноинтерфейсных Кинетиков в наличии нет)
К чему этот вопрос, поясните пожалуйста.
файл 100-shadowsocks-vpn-server имеется
Это костыль из тех времён, когда КВАС из коробки не делал прокидку IKEv2+SS. Я предполагаю, это он и даёт не актуальные правила. Надо избавиться от него, перезагрузиться, вернуть прокидку гостевых КВАСом и проверить ещё раз. Что-то типа:
kvas vpn net del
mv /opt/etc/ndm/netfilter.d/100-shadowsocks-vpn-server /opt/tmp
reboot
kvas vpn net add
iptables-save | grep -E 'PREROUTING|nat' | grep -vE '_NDM|^\*|^\:' &> /opt/tmp/kvas_iptables.txt
В /opt/etc/ndm/netfilter.d/
должны быть лишь
100-dns-local
, и то через некоторое время будет удалён, сейчас там всё закомментировано;100-proxy-redirect
пересоздаёт правила, если основное соединение SS;100-vpn-mark
пересоздаёт правила, если основное соединение VPN.После обновления были проверены (что на сайтах из списка обхода подключение через прокси, а на обычные — напрямую) домашний WiFi, гостевой, IKEv2 при основном подключении SS. Везде всё хорошо, вопрос можно закрывать.
Вопрос по расшариванию SS другим подсетям с собственным сетевым интерфейсом (гостевой или любым другим VPN: OpenVPN, PPTP, SSTP и т.д.) Сейчас оно не работает (по крайней мере, связка SS + гостевой WiFi).
При вызове
kvas vpn net add
мы попадаем вbridge_vpn_access_add
изopt/bin/libs/vpn:902
. Если запрошено дляikev2
, то вызываетсяikev2_net_access_add
(коий в декабре был отлажен и прекрасно работает), иначе —bridge_access_add
. Этот метод сохраняет выбор в настройки и записывает в/opt/etc/dnsmasq.conf
строчкуlisten-address=192.168.3.1
Да, при подключении к гостевой именно этот адрес в качестве DNS, это мы перехватили. Но как минимум в случае SS (а для основного соединения VPN нет специфических правил для каждого гостевого интерфейса?) нам нужно решить не только проблему DNS, но и самого трафика, те многострадальныеТ.е. как минимум в случае SS нам нужно вызвать не только
bridge_access_add
(запишет в настройки и добавит прослушку DNS), но иip4_add_selected_guest_to_ssr_network
(создаст правила трафика). КодЕщё у нас есть куча скриптов в
opt/etc/ndm/netfilter.d
, которые срабатывают при перезапуске роутера целиком или какого-то из его интерфейсов (например, в веб-морде что-то изменили). В100-dns-local
идёт вызовset_guest_nets_rules
изopt/etc/ndm/ndm:328
, которая вызоветip4_add_guest_to_ssr_network
и для каждого гостевого интерфейса вызоветip4_add_selected_guest_to_ssr_network
. Как его плюс-минус адаптировать к любой гостевой сети как раз упоминалось в комментарии к задаче 53 в пункте 7. Для ikev2 правила с-s ${net_pool} -i ${net_inface}
(полученный изget_entware_ikev2_inface
), для остальных просто переданный-i ${net_inface}
. КодС такими 2 функциями работает расшаривание и в IKEv2, и в гостевую.
Если в списке разрешённых для расшаривания сетей начать выводить
sstp+
, то и #109 будет решён (вашаbridge_access_add
добавитlisten-address
для DNS, а обновлённаяip4_add_selected_guest_to_ssr_network
докинет оба правила). Если узнать имя сетевого интерфейса Wireguard, то и связка Wireguard + SS будет работать.