Рабочий пример настройки Keenetic VIVA (KN-1912)

[ErikBratkov]

Собрал разные рекомендации и решения. Возможно что то неоптимально, но вдруг кому нибудь пригодится:

1. Сначала проверяем что проблема в SNI и она может быть устранена подобным образом

Linux:

$ curl --connect-to ::speedtest.selectel.ru https://manifest.googlevideo.com/100MB -k -o/dev/null

Windows (сначала создаем пустой файл c:/test.txt):

$ curl --connect-to ::speedtest.selectel.ru https://manifest.googlevideo.com/100MB -k -o c:/test.txt

Если зависает соединение, то вероятно данное решение поможет.

2. Зайти в веб интерфейс Keenetic и доставить нужные компоненты

В браузере набираем:

Компоненты операционной системы
где 192.168.1.1 адрес роутера (может быть и 192.168.0.1)

Ниже перечислены компоненты
Пакеты OPKG

• Поддержка открытых пакетов
• Модули ядра для поддержки файловых систем
• Модули ядра для поддержки USB-видео
• Модули ядра для поддержки USB-аудио
• Модули ядра подсистемы Netfilter
• Модули ядра подсистемы Traffic Control
• Модули ядра подсистемы USB over IP
• Пакет расширения Xtables-addons для Netfilter
• Модули ядра для поддержки USB DVB-тюнеров

Базовые компоненты
Сервер SSH

Если будем ставить на флешку, установить пакеты:
USB-накопители

• Поддержка USB-накопителей
• Файловая система NTFS
• Файловая система FAT32
• Файловая система HFS+
• Файловая система exFAT
• Файловая система Ext
• Общий доступ к файлам и принтерам по протоколу SMB

Очень желательно поставить:
Утилиты и сервисы

• Прокси-сервер DNS-over-TLS
• Прокси-сервер DNS-over-HTTPS

3. По инструкции скачиваем нужный билд OPKG Entware и ставим

• либо на встроенную память (предпочтительно)
  Установка OPKG Entware на встроенную память роутера

• либо на флешку (если внутренней памяти мало, и есть свободный USB)
  Установка системы пакетов репозитория Entware на USB-накопитель

При установке из командной строки обязательно заменить пароль root (по инструкции выше)
Сначала подключаться к командной строке лучше и проще через telnet на порт 22 под пользователем admin (с паролем от Web конфигуратора)
В дальнейшем нужно использовать только SCP/SSH на порту 222 и подключаться от имени root (под ним делать все манипуляции с opkg и прочими командами в BusyBox)

4. Скачиваем себе архив zapret

https://github.com/bol-van/zapret/archive/refs/heads/master.zip
либо клонируем через git

$ git clone https://github.com/bol-van/zapret.git

5. Выгружаем скрипты в память Keenetic

Соединяемся по SSH под root на порту 222 (удобно использовать WinSCP под Windows)
Переходим в Putty и выполняем команду:

$ mkdir /opt/root/git/zapret

Через scp либо WinSCP копируем в папку /opt/root/git/zapret все содержимое проекта zapret (кроме папки из корня ".git"). Если памяти не хватает, тогда только ставить на флешку (см. пункт 3)

Корневой папке /opt/root/git выставляем разрешения 0755 с наследованием всем дочерним элементам

выполняем команды в Putty:

$ /opt/root/git/zapret/install_bin.sh
$ touch /opt/etc/init.d/S51tpws

в созданный файл /opt/etc/init.d/S51tpws вставляем скрипт и сохраняем.
в скрипте 192.168.1.1 адрес роутера (можно заменить на 192.168.0.1 если у вас роутер на нем)

#!/bin/sh

SCRIPT=/opt/root/git/zapret/tpws/tpws
PIDFILE=/var/run/tpws.pid
ARGS="--daemon --bind-addr 192.168.1.1 --port 999 --disorder --tlsrec=sni --split-pos=2 --pidfile $PIDFILE"


start() {
  if [ -f $PIDFILE ] && kill -0 $(cat $PIDFILE); then
    echo 'Service TPWS is already running' >&2
    return 1
  fi
  $SCRIPT $ARGS
  iptables -t nat -A PREROUTING -i br0 -p tcp --dport 80 -j REDIRECT --to-port 999
  iptables -t nat -A PREROUTING -i br0 -p tcp --dport 443 -j REDIRECT --to-port 999
  iptables -t nat -A PREROUTING -i br0 -p udp --dport 443 -j REDIRECT --to-port 999
  echo 'Started TPWS service'
}

stop() {
  if [ ! -f "$PIDFILE" ] || ! kill -0 $(cat "$PIDFILE"); then
    echo 'Service TPWS is not running' >&2
    return 1
  fi
  echo 'Stopping TPWS service...'
  kill -15 $(cat "$PIDFILE") && rm -f "$PIDFILE"
  iptables -t nat -D PREROUTING -i br0 -p tcp --dport 80 -j REDIRECT --to-port 999
  iptables -t nat -D PREROUTING -i br0 -p tcp --dport 443 -j REDIRECT --to-port 999
  iptables -t nat -D PREROUTING -i br0 -p udp --dport 443 -j REDIRECT --to-port 999
}

status() {
  if [ -f $PIDFILE ] && kill -0 $(cat $PIDFILE); then
    echo 'Service TPWS is running'
  else
    echo 'Service TPWS is stopped'
  fi
}

case "$1" in
  start)
    start
    ;;
  stop)
    stop
    ;;
  status)
    status
    ;;
  restart)
    stop
    start
    ;;
  *)
    echo "Usage: $0 {start|stop|restart|status}"
esac

Если используется редактор Windows то надо через Notepad++ изменить переносы строк с Windows стиля на Unix (Правка/Формат конца строк/Преобразовать в Unix (LF))

$ chmod +x /opt/etc/init.d/S51tpws
$ touch /opt/etc/ndm/netfilter.d/10-ipset-zapret.sh

в созданный файл /opt/etc/ndm/netfilter.d/10-ipset-zapret.sh вставляем текст правила, которое не будет удаляться cистемой и сохраняем

#!/bin/sh

[ -z "(pidof tpws 2>/dev/null)type" == "ip6tables" ] && exit
[ "$table" != "nat" ] && exit

if [ -z "$(iptables-save 2>/dev/null | grep 999)" ]; then
iptables -t nat -A PREROUTING -i br0 -p tcp --dport 443 -j REDIRECT --to-port 999
iptables -t nat -A PREROUTING -i br0 -p tcp --dport 443 -j REDIRECT --to-port 999
iptables -t nat -A PREROUTING -i br0 -p udp --dport 443 -j REDIRECT --to-port 999
fi

Если используется редактор Windows то надо через Notepad++ изменить переносы строк с Windows стиля на Unix (Правка/Формат конца строк/Преобразовать в Unix (LF))

Выполняем команды в Putty

$ chmod +x /opt/etc/ndm/netfilter.d/10-ipset-zapret.sh
$ /opt/etc/init.d/S51tpws start

6. Проверяем что проблема решена

Linux:

$ curl --connect-to ::speedtest.selectel.ru https://manifest.googlevideo.com/100MB -k -o/dev/null

Windows (сначала создаем пустой файл c:/test.txt):

$ curl --connect-to ::speedtest.selectel.ru https://manifest.googlevideo.com/100MB -k -o c:/test.txt

Опциональная часть:

7. меняем DNS сервера провайдера на какие нибудь внешние, добавляем DoH и DoT сервера

Прокси-серверы DNS-over-TLS и DNS-over-HTTPS для шифрования DNS-запросов

Список серверов DNS over HTTPS

8. Включаем IPv6 на роутере (если есть поддержка провайдером, либо через туннель если есть белый IP от провайдера)

Пример подключения к туннельному брокеру IPv6 компании Hurricane Electric

[naodesu]

На винде можно для curl писать -o NUL чтобы писать в никуда.

[AlexR1973]

Добрый день. Хоть я и не являюсь сисадмином и с Юниксом на "Вы", но проделал все шаги из инструкции. В конечном итоге после запуска скрипта имею следующую картину:

/opt/etc/init.d # ./S51tpws start
./S51tpws: line 14: iptables: not found
./S51tpws: line 15: iptables: not found
./S51tpws: line 16: iptables: not found
Started TPWS service
/opt/etc/init.d #

Как я понимаю не работают iptables:
iptables -t nat -A PREROUTING -i br0 -p tcp --dport 80 -j REDIRECT --to-port 999
Что я сделал не так?

[AlexR1973]

Все, разобрался. Ввел команду
opkg install bind-dig cron dnsmasq-full ipset iptables shadowsocks-libev-ss-redir shadowsocks-libev-config
и вроде заработало

[AlexR1973]

Вопрос, как сделать скрипт /opt/etc/init.d/S51tpws start автоматически загружаемым при рестарте раутера? При этом, как я понимаю, еще надо автоматически удалить файл PIDFILE.

[AlexR1973]

Заметил еще такую вещь: при включенном скрипте невозможно проверить почту на gmail.com из Outlook-а. Получается что скрипт надо допиливать на конкретные сервера, не трогая другие. Есть рекомендации как это сделать?

[mad0k]

Приветствую. Есть два варианта: 1) создаем файл hostlist-exclude.txt, например, в директории /opt/root/git/zapret/ и в него вносим лишь те доменные имена, которые пойдут обычным маршрутом, или 2) создаем файл hostlist.txt в той же директории и вносим доменные имена, которые нужно пропустить через proxy.
Далее правим файл скрипта S51tpws:

для первого варианта:

#!/bin/sh
 
SCRIPT=/opt/root/git/zapret/tpws/tpws
PIDFILE=/var/run/tpws.pid
HOSTLISTFILE=/opt/root/git/zapret/hostlist-exclude.txt
ARGS="--daemon --bind-addr 192.168.1.1 --port 999 --disorder --tlsrec=sni --split-pos=2 --pidfile $PIDFILE --hostlist-exclude $HOSTLISTFILE"

или

для второго варианта:

#!/bin/sh
 
SCRIPT=/opt/root/git/zapret/tpws/tpws
PIDFILE=/var/run/tpws.pid
HOSTLISTFILE=/opt/root/git/zapret/hostlist.txt
ARGS="--daemon --bind-addr 192.168.1.1 --port 999 --disorder --tlsrec=sni --split-pos=2 --pidfile $PIDFILE --hostlist $HOSTLISTFILE"

И рестартуем скрипт:
/opt/etc/init.d/S51tpws restart

[AlexR1973]

О! Спасибо, заработало!
Вопрос - как сделать так, что бы zapret грузился автоматически при рестарте раутера? В настройках стоит инициализационный скрипт /opt/etc/init.d/rc.unslung. Глянул егео - он просто по алфавиту запускает все файлы из директории /opt/etc/init.d. Но после ребута zapret не работает. Я даже добавил свой скрипт для удаления PID файла, если он остался после ребута
`#!/bin/sh

PIDFILE=/var/run/tpws.pid
rm $PIDFILE
echo 'TPWS PID file deleted.'
`
Но вроде это не особо помогло :(

[AlexR1973]

_
В WEB-конфигураторе роутера в разделе "Управление - > OPKG -> Сценарий initrc" должен быть указан накопитель и прописан путь до unslung, т.е. /opt/etc/init.d/rc.unslung. У вас так?
_
У меня именно так и есть.
Основные настройки: Сценарий initrc: /opt/etc/init.d/rc.unslung
Я думал этого достаточно будет. Буду дома - перепроверю, может он уже стал стартовать автоматически. Чудеса бывают.

[sverh4elovek]

Сделал все по инструкции, проверка
curl --connect-to ::speedtest.selectel.ru https://manifest.googlevideo.com/100MB -k -o c:/test.txt
показывает что при запущенном скрипте данные идут ... при выключенном нет. Но конкретно youtube страница показывает что Нет подключения к интернету.

[sverh4elovek]

Делюсь ссылкой, что мне помогло настроить zapret на Keenetic Extra (KN-1711).
Подробнейшая инструкция по установке zapret на Keenetic #200 (reply in thread) (там ссылки).
У меня youtube заработал с внесением в конфиг для NFQWS этого блока https://ntc.party/t/zapret-%D0%BE%D0%B1%D1%81%D1%83%D0%B6%D0%B4%D0%B5%D0%BD%D0%B8%D0%B5/726/1939