Контейнер VPN АнтиЗапрета для установки на собственный сервер

kirill · September 15, 2022, 1:44pm

хе-хе,

а вот

PS C:\Users\pc> nslookup lh4.googleusercontent.com
╤хЁтхЁ: UnKnown
Address: 192.168.1.1

Не заслуживающий доверия ответ:
╚ь : googlehosted.l.googleusercontent.com
Address: 10.224.0.3
Aliases: lh4.googleusercontent.com

прогружается

413xk · September 15, 2022, 1:46pm

о чем я и говорю - дело в кэше.
у вас кинетик? выдайте принудительно конечному устройству другой айпишник, что бы кинетик (или любой другой роутер) сбросил привязку конечное устройство <> узел назначения. Можете на компе вбить статикой какой-нибудь рандомный ип из 192.168.1.х и чекнуть.

kirill · September 15, 2022, 1:49pm

кстати, линуксоиды,
как сделать правильно команду
lxc exec antizapret-vpn – “echo “cache.clear()” | socat - /run/knot-resolver/control/1”

если делать так – ругается на кавычки

kirill · September 15, 2022, 1:51pm

хз,
при чём здесь кэш именно в этом случае,
раньше роутер у меня больше месяца иногда работал, ничё с ним не делал,
только правки на сервер вносил,
для гарантии сервер рестартил и комп – хватало всегда

но спорить не буду

413xk · September 15, 2022, 2:12pm

Смена айпишника внутри сети помогла?

Alexled · September 15, 2022, 2:17pm

Мне - нет
VPN приложение на ПК, роутер не поддерживает

413xk · September 15, 2022, 3:45pm

перед кавычками около кэш.клира поставить бэкслеши \ ( \"cache.clear()\" )

413xk · September 15, 2022, 3:48pm

обычно, в такие моменты когда все настроено корректно (а у вас настроено верно, т.к с мака проблем нет) - я обычно забиваю на вопрос до завтра, и с утра всё работает. ))

Хз короче что делать, если перезагрузка всего не помогла. Только имхо ждать

413xk · September 15, 2022, 6:00pm

@ValdikSS я в курсе, что ipv6 вырезан в контейнере… Может есть какой-то способ включить его? Понятно, что на свой страх и риск, но все же… Потестить бы интересно было.

Alexled · September 16, 2022, 10:43am

Подтверждаю, на всех устройствах с Windows заработало спустя сутки
Видимо на них есть какой-то кэш, который не сбрасывается ни с ребутом, ни с ipconfig /flushdns

kirill · September 16, 2022, 12:59pm

а сюда
lxc exec antizapret-vpn – nano /root/antizapret/scripts/getzones.awk
…appspot|my1|hwcdn|googleusercontent).[^.]+$/))
не надо было добавлять?
спрашиваю потому, что не разбираюсь во внутренней логике

413xk · September 16, 2022, 5:18pm

нет.
Пользуйтесь lxc exec antizapret-vpn -- /bin/bash, удобней же.

h7n14 · September 18, 2022, 5:11pm

Доброго времени суток! В связи с тем что на впске и так много чего у меня крутится, и того мало свободных ресурсов на нем. Сработает ли такая схема. Дома ставлю сервак, протягиваю тунель до впски(Wireguard, Zerotier или какойнить ipsec), и весь его трафик кидаю туда. И если оно так сработает, мб получиться тогда завести контейнер под rpi3?

h7n14 · September 19, 2022, 9:23am

Как ни странно схема сработала. Только в ovpn файле поменять айпишник на локальный надо. Думаю можно любой платный/безплатный впн под это дело включить. Осталось все это дело под малинкой запустить

Resquer · September 22, 2022, 4:35pm

Да, сработает. У меня так настроено.
wg туннель из контейнера на удалённую vps всего трафика, в исключение нужно поставить ip адрес vps.
Калькулятор AllowedIP для wireguard легко гуглится

ryogis · September 26, 2022, 7:28pm

Привет. Использую контейнер АнтиЗапрета на сервере Oracle Cloud. Подключение настроено на роутере. В пятницу заметил, что при поднятом VPN не резолвится citilink.ru. На всякий случай переустановил контейнер. Из контейнера citilink.ru нормально резолвится, а вот с хоста Oracle Cloud почему-то нет.
ubuntu@instance:~$ nslookup citilink.ru
Server: 127.0.0.53
Address: 127.0.0.53#53

** server can’t find citilink.ru: SERVFAIL
Странная ситуация, но насколько я понимаю, проблемы хоста не должны мешать, или я не прав?
Пробовал добавить citilink.ru в exclude-hosts-custom.txt (запускал doall, очищал кэш) не помогло. Есть идеи почему такая проблем возникла и как с ней побороться?

ValdikSS · September 27, 2022, 4:44am

Вероятно, NS-серверы домена заблокировали сетевой доступ для IP-адреса вашего сервера.
Можно настроить резолв конкретно этого домена через публичный DNS-резолвер. Добавьте в конец конфигурационного файла /etc/knot-resolver/kresd.conf:

policy.add(
    policy.suffix(
        policy.FORWARD(
            {'77.88.8.8'}
        ),
        policy.todnames({'citilink.ru.'})
    )
)

413xk · October 4, 2022, 6:53am

Этой ночью опять отпадал провайдер VPS на десять минут, и опять с утра когда я полез проверять обнаружил следующее:
0. Отпадала именно сеть на VPS, аптайм ништяк.

OpenVPN-соединение восстановилось без проблем и сразу как появился инет.
“Легальные” сайты грузились и резольвились так же ок.
А вот все что заворачивается внутрь контейнера не работали. Клиенты просто получали Could not resolve www.instagram.com

Очистка кэша не помогла. На всякий случай пересоединил OpenVPN и тоже не помогло. Помогла перезагрузка VPS.

Всё это странно (странно, что условный ya.ru продолжает резольвиться нормально, а запрещенка нет. У нас же все DNS-запросы идут через kresd. И вот он, легальное пропускает, а нелегальное даже не резольвит до ребута…

Может я путаю конечно, и на самом деле DNS запросы шли через условные 1.0.0.1 (который прописан в антизапрете у меня), но фиг знает.
В любом случае, как бы это всё покрасивее исправить? Что бы не топорный ребут “раз в сутки/по потере сети”, а как-нибудь элегантнее бы…

ValdikSS · October 5, 2022, 5:00am

Возможно, dnsmap-сервер перестаёт отвечать.
В следующий раз, когда пропадёт интернет на сервере, запустите:
dig ya.ru @127.0.0.4.

m28688 · October 7, 2022, 12:51pm

@ValdikSS
Добрый день, подскажите как устранить утечку dns внутри контейнера антизапрета?