Большое спасибо за эту инструкцию, все заработало на роутере без танцев с бубном, главное быть внимательным и обращать внимания на все мелочи, а не читать по диагонали)
Есть ощущение, что не работает подключение DoH.
Может быть, но его неработоспособность тут не при чём. DoH в системном профиле нужен ровно для одной вещи - отрезолвить домен v.31337.lol в случае, если провайдер когда-нибудь решит его блокировать. Вот тогда нерабочий DoH приведёт к тому, что OpenVPN просто не сможет отрезолвить домен и стартануть. У вас он стартует, судя по логу, значит, проблема вовсе не в DoH.
Клиентские устройства, подключенные к роутеру, DoH не используют - они используют то, что указано в профиле “AntiZapret”.
Три возможные причины:
- Может, не создаются маршруты ддя 77.88.8.8 и 9.9.9.10? Посмотрите в разделе настроек “Маршрутизация”, есть ли маршруты до этих адресов через шлюз 192.168.104.1?
- Может, клиентские устройства помещены в какую-то политику? Проверьте в разделе настроек “Приоритеты подключений”, что клиенты сидят в “политике по умолчанию”
- Может, на клиентских устройствах включён “безопасный DNS / защищённый DNS”? Например, в браузере или в настройках операционной системы
Спасибо, так стало сильно понятнее, как оно работает.
- В маршрутах есть строчки с другим адресом шлюза
77.88.8.8/32 192.168.112.1 AntiZapret
9.9.9.10/32 192.168.112.1 AntiZapret - Да, смотрел, в политике по умолчанию
- Пробовал на разных устройствах macos, win10 и андроид, везде DNS leak test не проходит. В разных браузерах поведение одинаково
Это нормально, зависит от того, на какой сервер АнтиЗапрета кинет.
Тогда это какая-то мистика: туннель поднялся, маршруты создались, запросы от клиентов резолвятся через 77.88.8.8 и 9.9.9.10, трафик до этих адресов маршрутами направляется в VPN… но при этом клиенты волшебным образом используют какие-то другие DNS. А, кстати, какие? Что там в выхлопе dnsleaktest?
Заметил странную проблему. Что на селектеле, что на aeza VPN соединение рвется каждые 2-5 минут. Никто такого не замечал? По пингам в это время сервер тоже на пару секунд пропадает.
А если из профиля DNS “AntiZapret” убрать 77.88.8.8, то Яндекс из результатов теста пропадёт?
Ещё я заметил, что у вас домашняя сеть называется нестандартно - Home segment. Может, что-то в настройках сегмента накручено…
Я даже загнал себе ваш конфиг - всё отлично.
Да, убрал 77.88.8.8, яндекс остался.
Попробую сбросить вообще всё и настроить с нуля. Возможно что-то через opkg когда-то давно ставил и оно влияет. По поводу названия - возможно раньше оно как-то по-другому создавалось без поддержки локализации. Вроде ничего не крутил
Раз Яндекс остался, то откуда-то он берётся, вангую, что в этом и корень всех бед.
Может кому-то пригодится - обновил прошивку роутера на бета-версию 4.2, перестало подключаться к антизапрету на своем сервере, при этом к обычному подключался, откатился на 4.1.7 - все ок.
Роутер Keenetic Air (KN-1610), прошивка 3.8.7. Настроил по инструкции, всё отлично работает день-два, затем начинает тормозить. Захожу в веб-интерфейс роутера - загрузка процессора 100%. Перезагружаю роутер, некоторое время всё нормально, потом такая же ерунда. Похожая ситуация и с расширением Антизапрет в Firefox. Какое-то время после включения полёт нормальный, затем при загрузке страниц начинаются тормоза. Причём тупят при открытии все сайты, а не только заблокированные. Приходится выключать расширение, перезапускать браузер и включать Антизапрет снова. В чём может быть проблема?
В таких случаях нужно в конфиг добавлять verb 5 и смотреть в системном журнале, что ему не нравится.
А на какую версию обновлялись? На бету 4.2?
Если развернуть Entware, то можно туда зайти и командой top посмотреть, какой процесс потребляет ресурсы сильнее всего.
Может, это наведёт на какие-то мысли.
Кстати, анализатор трафика не включён ли часом?
Роутер без USB-порта. Анализатор трафика это монитор трафика в интерфейсе роутера? Если да, то как его выключить?
Да, на нее. Знать бы еще что такое verb 5) Я в администрировании нуб.
verb < verbosity level > - устанавливает уровень информативности отладочных сообщений. Может принимать параметр от 0 до 11. По умолчанию verb равен 1.
При уровне verb 5 и выше в логе будут встречаться подобные записи: RwrW. R (read), W (write) - соответственно чтение и запись. Большая буква обозначает, что пакет был считан (R) или записан (W) на виртуальном устройстве TUN/TAP, а маленькие - считан (r) и записан (w) в туннеле.
О как, спасибо, я всегда думал, что мой лог и так чересчур подробный.
Это вы ещё не видели verb 11…
Это компонент “Служба классификации трафика”. Она создаёт заметную нагрузку на слабые процессоры.
Посмотрел, этот компонент не установлен. Значит, будем копать дальше.