Если АнтиЗапрет развернут на собственном сервере, безопасные DNS не нужны, об этом написано в конце инструкции. Они нужны, чтобы резолвить сервер бесплатного публичного АнтиЗапрета, который могут заблокировать.
Проанализировал, на самом деле частенько падение происходит во время рестарта опенвпна
OpenVPN1: [antizapret-server] Inactivity timeout (–ping-restart), restarting
И дальше переподклчюение, иногда по пару раз, ютуб на телеке впадает в бесконечный буфер, приходится перезапускать видео. Перезапускается опенвпн каждые 20 мин но иногда чаще (через 3 мин было), можно с этим что-то сделать?
Если используете контейнер в докере, то сначала обновите контейнер и уберите из конфига директиву mtu.
Проблема, судя по всему, на сервере, так что обсуждать лучше в том топике (если я угадал про контейнер).
Да она убрана, всё равно, ладно перебазируюсь туда, я не уверен проблема в кинетике либо в сервере
Оставлю для истории: проблема оказалась действительно на сервере, с Keenetic никак не связана.
В общем у меня проблема и не знаю что делать. Настроил все по инструкции. Стали груиться заблокированные сайты и ютуб, но через 2 дня ютуб отвалился. Т.е. прогружается главная страница, а видео не грузит. При этом заблокированные сайты нормально грузятся. Пересоздавал все по новой, но ничего не поменялось. В чем может быть проблема
log (1).txt (201,6 КБ)
АнтиЗапрет не проксирует через себя YouTube, и не будет.
Перестал работать Ютуб… как поправить?
Процитирую уже сказанное:
АнтиЗапрет не проксирует через себя YouTube, и не будет.
Резюмируя, вполне легко понять, что Ваш вопрос задан здесь не по адресу.
Последнее время общий АЗ стал отваливаться и при этом интернет вообще не работает.
Например, сегодня ночью в разное время отвалился на трех разных кинетиках (air и две гиги) на трех разных провайдерах и городах (Билайн, мтс, мгтс).
Очевидно, проблемы с днс - не работает исходящая и входящая связь по доменам (серваки на двух кинетиках), при этом по ip связь есть - Wireguard сеть продолжает работать.
Возможно ли в конфиг что-то добавить, чтоб во время проблем на серваке ломался только обход блокировок, а не отваливалась вся связь в целом?
Я встречал сообщения, что периодически на сервере возникают проблемы с резолвом. Поскольку туннель при этом не падает, то и отката на “обычные” DNS не происходит. Интернет-то работает, просто DNS-запросы не резолвятся.
Пока не очень понимаю, что тут можно сделать. Мне в таких случаях помогало переподключение VPN, возможно, потому что при этом вас может кинуть на другой сервер (у АнтиЗапрета серверы в разных странах), который в текущий момент не козлит.
Развернуть Entware и написать какой-то скрипт, который будет периодически пытаться резолвить некие популярные домены и при 100% неудач передёргивать подключение? Но это мерзкий костыль.
Если кто-то возьмётся писать такой скрипт, то я вижу логику как-то так:
- резолвим несколько очень популярных доменов (google.com, ya.ru и т.п.)
- при неудаче переходим к следующему домену, при успехе завершаем работу скрипта (значит, DNS-сервер не повис)
- передёргиваем VPN-подключение (как сейчас из скрипта вызвать команду Keenetic CLI не знаю, раньше была утилита
ndmq, но сейчас она в архиве, так что, либо ставить этот пакет руками, либо через REST API как-то вызывать команды опускания и поднятия интерфейса) - засунуть скрипт в крон
У меня похожая ситуация. Точно так же (судя по логам) “отмирает” http-dns-proxy, и после этого Интернет недоступен вообще.
А еще я заметил интересную вещь. Если отключить все антиблокировки, то пинг любого сайта из “списка” выдает IP-адрес, принадлежащий моему провайдеру. При этом опция “игнорировать DNS провайдера” и прописывание вместо них любых DNS - гугла, яндекса, клаудфлэра и т.д. ничего не меняет - пинг и нслукап все равно возвращают адрес из сети провайдера.
Ради интереса убрал вообще все “традиционные” ДНСы и прописал Яндексовский DoT не по имени, а по адресу с указанием порта. И это дало результат - пинг стал возвращать настоящие адреса сайтов.
То есть, такое ощущение, что провайдер перехватывает все запросы на 53-м порту и подставляет свой сервер. Кстати, проверка через dnsleak выдает два DNS-сервера, принадлежащие Cloudflare - еще раз повторяю, что картина не меняется при прописывании в Кинетике других ДНС-серверов.
Я пошел дальше - установил в Entware пакет dnscrypt-proxy2 и переключил Кинетик на использование ДНС-служб Entware по вот этой инструкции. Теперь пинг возвращает настоящие адреса сайтов из “списка”.
К сожалению, на этом мои скромные познания заканчиваются, и я не знаю, как ко всему этому приспособить ОпенВПНовский скрипт.
Отмирает DNS-сервер АнтиЗапрета, я полагаю. Отмирание http-dns-proxy это уже следствие. Сам http-dns-proxy нужен лишь в момент поднятия VPN, чтобы отрезовлить один конкретный домен АнтиЗапрета (на случай, если провайдер перехватывает DNS-запросы и вместо домена АнтиЗапрета выдаст адрес заглушки; если провайдер ничем таким не занимается, то http-dns-proxy вообще не нужен). При поднятом туннеле отмирание http-dns-proxy ничем не мешает.
Впрочем, вы можете для проверки просто убрать серверы DoH/DoT из системного профиля и понаблюдать несколько недель. Ставлю на то, что проблема никуда не исчезнет.
Ну, думаю, что не так всё просто, как вы пишете. Во-первых, как можно объяснить наличие в логе вот таких записей: “Dns::Secure:
unable to obtain addresses for “dns.google””? То есть, как я понимаю, “отмирает” вообще весь резолвинг.
Во-вторых, на другом моем Кинетике, установленном в другом месте (с другим провайдером) все работает, как часики. И это несмотря на то, что тот Кинетик старого поколения, с прошивкой 2.0-какой-то, без поддержки DoH/DoT. Там вместо ДНС провайдера прописаны гугловские ДНСы, а в файле ОпенВПН указаны 77.88.8.8 и 9.9.9.10. Ну и в третьих, на моем компе (как клиенте) установлено соответствующее расширение Хрома (установил вынужденно, т.к. на Кинетике возникли проблемы), и оно тоже вполне себе работает).
Ну и вот только что сейчас провел эксперимент. Отключил на Кинетике кабельное подключение к провайдеру, а вместо него наскоро соорудил “Wireless ISP” через открытую на смартфоне точку доступа. То есть, по факту поменял провайдера. И что вы думаете? Сразу всё заработало - пинги на сайты из списка выдают адреса “10…”, в браузере (с отключенным плагином) все открывается и т.д.
Ничего не меняя, снова переключился на кабельного провайдера, перезапустил OpenVPN, и… всё умерло. В-общем, я лишний раз убедился, что проблема в кознях провайдера, который игнорирует чужие “ДНСы” и резолвит имена через себя. Надо придумать, как это дело обойти.
Добрый день, установил на свой keenetic антизапрет, и довольный пользовался, но вот наткнулся на блокировку PКН
http://servarr.com (104.16.132.3) - это репозитарии от radarr, sonarr , и подоьных арров для индексаторов медиаконтеннта и скачивания через торренты.
Причем “вики” на этом сайте открывается нормально, а вот скачивание пакетов в часности:
‘http://radarr.servarr.com/v1/update/master/updatefile?os=linux&runtime=netcore&arch=x64’
выскакивает заглушка от PKH - с помощью антизапрета этоможно обойти? (установил по инструкции выше rutracker.org и прочие торренты открываются, спасибо большое
doh-proxy резолвит через dns.google, но для этого ему надо через что-то отрезолвить сам dns.google. Поскольку при поднятом туннеле АнтиЗапрета всё резолвится через DNS АнтиЗапрета, а он повис, то doh-proxy когда в очередной раз пытается установить соединение с dns.google не может его отрезолвить и в логе появляется запись.
Ну, уберите DoH и погоняйте недельку.
Это можно объяснить иначе: при смене провайдера у вас порвалось и переподключилось подключение OpenVPN, вы попали на сервер АнтиЗапрета, у которого в данный момент проблем нет. При возвращении на прежнего провайдера, туннель опять порвался, переподключился и вы попали на сервер, на котором проблема в данный момент есть.
Как я писал, у АнтиЗапрета не один сервер, при подключении осуществляется балансировка нагрузки, клиента может кинуть на другой сервер.
Это можно отслеживать, выполняя до и после переподключения тест на dnsleaktest.org, в результатах теста будет виден IP-адрес текущего сервера.
Этот домен отсутствует в реестре Роскомнадзора, поэтому не проксируется через АнтиЗапрет. Обращайтесь к своему провайдеру с жалобой на избыточную блокировку, это вина провайдера.
В-общем, проблема ушла (не знаю, надолго ли, но третьи сутки уже работает). Сделал так:
- В настройках DNS для системного профиля прописал два Гугловских “обычных” сервера, и больше никаких (ни обычных, ни DoH/DoT). Ну и плюс опция “Игнорировать провайдерские DNS”.
- В конфиг-файле закомментировал строку
setenv opt data-ciphers AES-128-GCM:AES-256-GCM:AES-128-CBC - Там же: директивы “route …” оставил только для двух серверов, прописанных в профиле АЗ.
P.S. Кинетик у меня вполне современный, прошивка официальная 4.1.7
P.P.S. Доступ к узлу v.31337.lol мой провайдер не блокирует.
cipher CHACHA20-POLY1305 у меня так работает без проблем. , на всех конфигах.