Обход блокировок на OpenWRT

0

1

Не могу настроить обход блокировок на роутере. Делаю все по инструкции описанной на хабре - https://habr.com/ru/post/440030/. wireguard работает, dnscrypt работает, но вот почему то трафик до залоченных ресурсов идет не через wg0 интерфейс. Подскажите куда смотреть? и что скинуть чтоб было понятно что я делаю нет?

root@MiR3G_71AF:~# ip rule show
0:      from all lookup local
100:    from all fwmark 0x1 lookup vpn
32766:  from all lookup main
32767:  from all lookup default

root@MiR3G_71AF:~# iptables -L -vt mangle
Chain PREROUTING (policy ACCEPT 2358 packets, 431K bytes)
 pkts bytes target     prot opt in     out     source               destination
    2   104 MARK       all  --  any    any     anywhere             anywhere             match-set vpn_subnets dst /* !fw3: mark_subnet */ MARK set 0x1
   60  5160 MARK       all  --  any    any     anywhere             anywhere             match-set vpn_ipsum dst /* !fw3: mark_ipsum */ MARK set 0x1

Chain INPUT (policy ACCEPT 776 packets, 71720 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain FORWARD (policy ACCEPT 1519 packets, 346K bytes)
 pkts bytes target     prot opt in     out     source               destination
   35  1860 TCPMSS     tcp  --  any    pppoe-wan  anywhere             anywhere             tcp flags:SYN,RST/SYN /* !fw3: Zone wan MTU fixing */ TCPMSS clamp to PMTU
    0     0 TCPMSS     tcp  --  any    eth0.2  anywhere             anywhere             tcp flags:SYN,RST/SYN /* !fw3: Zone wan MTU fixing */ TCPMSS clamp to PMTU
   37  1940 TCPMSS     tcp  --  any    wg0     anywhere             anywhere             tcp flags:SYN,RST/SYN /* !fw3: Zone wg MTU fixing */ TCPMSS clamp to PMTU

Chain OUTPUT (policy ACCEPT 661 packets, 63150 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain POSTROUTING (policy ACCEPT 2174 packets, 409K bytes)
 pkts bytes target     prot opt in     out     source               destination

root@MiR3G_71AF:~# ip route show table vpn
default dev wg0 scope link

Ссылка

←	Преобразование образа iso в bin

прозрачность активного окна manjaro xfce

→

На всякий случай: проверять надо не с самого роутера, а с одного из хостов, для которых он роутит.

LeninGad ★
(27.06.19 14:13:20 MSK)

Ответ на: комментарий от LeninGad 27.06.19 14:13:20 MSK

Пробовал, не работает.

denix123
(27.06.19 14:15:17 MSK) автор топика

Ссылка

Проверь заодно, во что резолвятся хосты из DNS, может прямиком на заглушки

Dark_SavanT ★★★★★
(27.06.19 14:19:16 MSK)

wg0 поднялся? Шлюз с той стороны пингуется? Трасса до запрещенного хоста что показывает?

Mike_RM ★
(27.06.19 14:19:29 MSK)

Ответ на: комментарий от Mike_RM 27.06.19 14:19:29 MSK

wg работает, даже пинг через него идет ping -I wg0 ya.ru

denix123
(27.06.19 14:24:43 MSK) автор топика

Ответ на: комментарий от Dark_SavanT 27.06.19 14:19:16 MSK

до настройки dnscrypt так и было, после настройки все норм с dns.

denix123
(27.06.19 14:27:28 MSK) автор топика

Ссылка

Ответ на: комментарий от denix123 27.06.19 14:24:43 MSK

Так работает?

ip route add 195.82.146.214 dev wg0

Mike_RM ★
(27.06.19 14:34:07 MSK)

Ответ на: комментарий от Mike_RM 27.06.19 14:34:07 MSK

Да

root@MiR3G_71AF:~# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         10.95.255.254   0.0.0.0         UG    0      0        0 pppoe-wan
10.95.255.254   *               255.255.255.255 UH    0      0        0 pppoe-wan
35.234.125.75   10.95.255.254   255.255.255.255 UGH   0      0        0 pppoe-wan
192.168.1.0     *               255.255.255.0   U     0      0        0 br-lan
192.168.100.0   *               255.255.255.0   U     0      0        0 wg0
195.82.146.214  *               255.255.255.255 UH    0      0        0 wg0
root@MiR3G_71AF:~# traceroute 195.82.146.214
traceroute to 195.82.146.214 (195.82.146.214), 30 hops max, 38 byte packets
 1  192.168.100.1 (192.168.100.1)  90.275 ms  89.220 ms  89.132 ms
 2  hbg-b1-link.telia.net (62.115.50.246)  102.451 ms  101.858 ms  101.777 ms
 3  hbg-bb4-link.telia.net (62.115.141.110)  125.423 ms  hbg-bb1-link.telia.net (62.115.141.112)  137.780 ms  hbg-bb1-link.telia.net (213.155.135.82)  133.298 ms
 4  s-bb4-link.telia.net (62.115.115.59)  126.367 ms  s-bb3-link.telia.net (213.155.136.142)  130.235 ms  s-bb4-link.telia.net (62.115.115.59)  125.748 ms
 5  riga-b1-link.telia.net (62.115.136.77)  129.464 ms  129.605 ms  130.111 ms
 6  telialatvija-ic-332270-riga-b1.c.telia.net (213.248.84.33)  127.232 ms  128.094 ms  131.028 ms
 7  *  *  *
 8  *  *  *
 9  *  *  *

denix123
(27.06.19 14:37:42 MSK) автор топика

Ответ на: комментарий от denix123 27.06.19 14:37:42 MSK

Что за роутер? Ядро вендорное или ванильное? На кинетиках например fwmark не всегда корректно работает https://forum.keenetic.net/topic/5968-fwmark-маркирует-не-все-пакеты/ . tcpdumpом послушать оба интерфеса - куда пакеты высыпаются?

Mike_RM ★
(27.06.19 14:41:34 MSK)

Ответ на: комментарий от Mike_RM 27.06.19 14:41:34 MSK

Роутер, mi wifi 3g. прошивка 18.06.2 .

root@MiR3G_71AF:~# uname -a
Linux MiR3G_71AF 4.14.95 #0 SMP Wed Jan 30 12:21:02 2019 mips GNU/Linux


Я так понимаю у меня пакеты не маркируются? или я не прав?

denix123
(27.06.19 14:46:01 MSK) автор топика

Ответ на: комментарий от denix123 27.06.19 14:46:01 MSK

mi wifi 3g

<offtop>Туда отлично ставится padavan-ng, настраивается в веб-морде openvpn-client (из самого простого, даже без своего сервера - до vpn.antizapret) и точно так же точечно обходятся блокировки.</offtop>

Deleted
(27.06.19 15:13:14 MSK)
Последнее исправление: Deleted 27.06.19 15:13:38 MSK (всего исправлений: 2)

Ссылка

Ответ на: комментарий от denix123 27.06.19 14:46:01 MSK

Промаркируйте пакеты принудительно:

ip route del 195.82.146.214 dev wg0
iptables -t mangle -I PREROUTING -d 195.82.146.214/32 -j MARK --set-mark 1

Послушайте на обоих интерфейсах:

tcpdump -i pppoe-wan host 195.82.146.214

tcpdump -i wg0 host 195.82.146.214

Mike_RM ★
(27.06.19 15:14:52 MSK)
Последнее исправление: Mike_RM 27.06.19 15:23:30 MSK (всего исправлений: 1)

Ответ на: комментарий от Mike_RM 27.06.19 15:14:52 MSK

Вот что получилось

15:23:08.727745 IP MYIP > rutracker.org.80: Flags [S], seq 589926741, win 29040, options [mss 1452,sackOK,TS val 2408815917 ecr 0,nop,wscale 7], length 0
15:23:08.790791 IP rutracker.org.80 > MYIP: Flags [S.], seq 3539973034, ack 589926742, win 14600, options [mss 1460,nop,wscale 8], length 0
15:23:08.791103 IP MYIP > rutracker.org.80: Flags [.], ack 1, win 227, length 0
15:23:08.794870 IP MYIP > rutracker.org.80: Flags [P.], seq 1:343, ack 1, win 227, length 342: HTTP: GET / HTTP/1.1
15:23:08.795862 IP rutracker.org.80 > MYIP: Flags [P.], seq 1:230, ack 343, win 65534, length 229: HTTP: HTTP/1.1 302 Moved Temporarily
15:23:08.796102 IP MYIP > rutracker.org.80: Flags [.], ack 230, win 236, length 0
15:23:08.796146 IP rutracker.org.80 > MYIP: Flags [F.], seq 230, ack 343, win 65534, length 0
15:23:08.796216 IP rutracker.org.80 > MYIP: Flags [P.], seq 1:230, ack 343, win 65534, length 229: HTTP: HTTP/1.1 302 Moved Temporarily
15:23:08.796313 IP MYIP > rutracker.org.80: Flags [.], ack 231, win 236, length 0
15:23:08.796355 IP rutracker.org.80 > MYIP: Flags [F.], seq 230, ack 343, win 65534, length 0
15:23:08.796469 IP MYIP > rutracker.org.80: Flags [.], ack 231, win 236, length 0
15:23:08.797085 IP MYIP > rutracker.org.80: Flags [.], ack 231, win 236, length 0
15:23:08.799365 IP MYIP > rutracker.org.80: Flags [F.], seq 343, ack 231, win 236, length 0
15:23:08.857989 IP rutracker.org.80 > MYIP: Flags [.], ack 343, win 62, length 0
15:23:08.858211 IP MYIP > rutracker.org.80: Flags [.], ack 231, win 236, length 0
15:23:08.858292 IP rutracker.org.80 > MYIP: Flags [P.], seq 1:383, ack 343, win 62, length 382: HTTP: HTTP/1.1 301 Moved Permanently
15:23:08.858507 IP MYIP > rutracker.org.80: Flags [R], seq 589927084, win 0, length 0
15:23:08.862724 IP rutracker.org.80 > MYIP: Flags [F.], seq 383, ack 344, win 62, length 0
15:23:08.863024 IP MYIP > rutracker.org.80: Flags [R], seq 589927085, win 0, length 0

denix123
(27.06.19 15:26:38 MSK) автор топика

Ответ на: комментарий от denix123 27.06.19 15:26:38 MSK

Это pppoe-wan? Через wg0 трафик не пошёл совсем?

Mike_RM ★
(27.06.19 15:28:28 MSK)

Ответ на: комментарий от Mike_RM 27.06.19 15:28:28 MSK

после удаления правила маршрутизации через wg0 не идет.

denix123
(27.06.19 15:31:07 MSK) автор топика

Ссылка

Ответ на: комментарий от denix123 27.06.19 15:26:38 MSK

Сейчас можно посмотреть iptables -nvt mangle -L PREROUTING?

Mike_RM ★
(27.06.19 15:31:22 MSK)

Ответ на: комментарий от Mike_RM 27.06.19 15:31:22 MSK

Chain PREROUTING (policy ACCEPT 16664 packets, 2036K bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 MARK       all  --  *      *       0.0.0.0/0            195.82.146.214       MARK set 0x1
    0     0 MARK       all  --  *      *       0.0.0.0/0            195.82.146.214       MARK set 0x1
    0     0 MARK       all  --  *      *       0.0.0.0/0            0.0.0.0/0            match-set vpn_subnets dst /* !fw3: mark_subnet */ MARK set 0x1
    0     0 MARK       all  --  *      *       0.0.0.0/0            0.0.0.0/0            match-set vpn_ipsum dst /* !fw3: mark_ipsum */ MARK set 0x1

denix123
(27.06.19 15:32:47 MSK) автор топика

Ответ на: комментарий от denix123 27.06.19 15:32:47 MSK

А почему счётчики все по нулям в первом сообщении ведь ненулевые значения были?

Mike_RM ★
(27.06.19 15:34:39 MSK)

Ответ на: комментарий от Mike_RM 27.06.19 15:34:39 MSK

я роутер перезагружал.

denix123
(27.06.19 15:35:56 MSK) автор топика

Ответ на: комментарий от denix123 27.06.19 15:35:56 MSK

Увеличиваются счётчики пакетов при заходе на рутрекер?

Mike_RM ★
(27.06.19 15:36:56 MSK)

Ответ на: комментарий от Mike_RM 27.06.19 15:34:39 MSK

можно с вами связаться в телеграм или какой нить другой месенджер ?

denix123
(27.06.19 15:37:09 MSK) автор топика

Ответ на: комментарий от denix123 27.06.19 15:37:09 MSK

Discord: Mike_RM. Wire: @lukyanov .

Mike_RM ★
(27.06.19 15:39:29 MSK)

Ссылка

Ответ на: комментарий от Mike_RM 27.06.19 15:36:56 MSK

на рутрекер не заходи почему то даже когда добавил ip в route, а вот когда добавляю ip rutor.org то все норм , заходит на сайт.При этом с самого сервера на котором wg на рутрекер заходит.

denix123
(27.06.19 15:40:41 MSK) автор топика

Ссылка

Ответ на: комментарий от denix123 27.06.19 15:32:47 MSK

Адреса занесены в vpn_subnets? Что говорит ipset list vpn_subnets?

iliyap ★★★★★
(27.06.19 15:44:19 MSK)

Ответ на: комментарий от iliyap 27.06.19 15:44:19 MSK

Name: vpn_subnets
Type: hash:net
Revision: 6
Header: family inet hashsize 1024 maxelem 65536
Size in memory: 2104
References: 1
Number of entries: 33
Members:
159.89.0.0/16
91.108.33.0/24
109.239.140.0/24
203.104.152.0/22
174.138.0.0/17
159.65.0.0/16
206.189.0.0/16
103.246.200.0/22
64.137.0.0/17
188.166.0.0/17
167.99.0.0/16
91.108.8.0/21
128.199.0.0/16
91.108.36.0/22
91.108.4.0/22
91.108.56.0/22
149.154.160.0/20
46.101.128.0/17
195.154.0.0/17
185.229.227.0/24
165.227.0.0/16
68.171.224.0/19
178.239.88.0/21
203.104.144.0/21
176.67.169.0/24
98.158.176.0/20
91.108.24.0/23
74.82.64.0/19
91.108.16.0/21
159.203.0.0/16
178.63.0.0/16
203.104.128.0/20
185.166.212.0/23

denix123
(27.06.19 15:45:34 MSK) автор топика