Контейнер VPN АнтиЗапрета для установки на собственный сервер

413xk · September 3, 2022, 2:47am

Коллеги, как диагностировать такое поведение:

Ночью пропал интернет на VPS на полчаса.
С утра проснулся, смотрю - был даунтайм. Лезу проверять сайты - работают частично (например инстач пашет, твиттер-тижорнал не пашет, пишет Could not resolve DNS, пинги и в правду не резолвят имя).
Начал смотреть клиентскую часть - по перетыкал соединение, по перезагружал роутер. Не помогло.
Подключился с OpenVPN клиента с телефона через 4G / tcp - тоже сайты открываются частично. То есть, проблема не на клиенте, а на сервере.

Смотрю на сервер, там с аптаймом все в порядке, curl / telnet по запрещенным ресурсам без проблем ходит. Перезагрузил виртуалку, всё заработало.

Может ли быть, что kresd как то отваливается из-за долгого отсутствия интернета? Как добиться его (кресда) стабильной работы?

ArchimedRT · September 3, 2022, 5:15pm

Перестал отдаваться контент гугл-фото ( lh3.googleusercontent.com )
Прописал домен в include-hosts-custom.txt, но, видимо, блокируется как-то по-другому.

PS C:\Users\ArchimedRT> tracert lh3.googleusercontent.com

Трассировка маршрута к googlehosted.l.googleusercontent.com [142.250.185.65]
с максимальным числом прыжков 30:

  1     4 ms     1 ms     1 ms  MI-R3G [192.168.1.1]
  2     1 ms     1 ms     1 ms  10.16.255.135
  3     1 ms     1 ms     1 ms  10.16.248.225
  4     3 ms     3 ms     3 ms  10.16.248.218
  5     *        *        *     Превышен интервал ожидания для запроса.
  6     3 ms     3 ms     3 ms  10.16.248.253
  7    53 ms    53 ms    54 ms  ae10-493.rt.itp.kzn.ru.retn.net [87.245.231.206]
  8    60 ms    61 ms    65 ms  ae5-9.rt.sl.spb.ru.retn.net [87.245.233.13]
  9    26 ms    27 ms    26 ms  gw-google.retn.net [87.245.228.199]
 10    26 ms    26 ms    27 ms  74.125.244.132
 11    39 ms    31 ms    30 ms  142.251.61.219
 12    32 ms    32 ms    32 ms  72.14.232.87
 13     *       64 ms    63 ms  142.251.239.32
 14    66 ms    63 ms    62 ms  209.85.245.31
 15    61 ms    59 ms    60 ms  108.170.251.193
 16    63 ms    62 ms    62 ms  142.250.62.151
 17    61 ms    61 ms    60 ms  fra16s48-in-f1.1e100.net [142.250.185.65]

Трассировка завершена.

Как понять, где проблема, и как ее исправить?

ValdikSS · September 4, 2022, 12:52am

Такое может быть, попробуйте очистить кеш резолвера:
echo "cache.clear()" | socat - /run/knot-resolver/control/1

В контейнере версия kresd старая, но насколько помню, версии новее требовали перенастройки для корректной работы со stub-резолвером, перезаписывающим адреса, коим является репамминг-резолвер, так что лучше его не обновлять.
В свободное время соберу обновлённую версию контейнера, где такой проблемы, надеюсь, не будет.

ValdikSS · September 4, 2022, 12:55am

Удалите домен googleusercontent из config/exclude-hosts-dist.txt.
Когда скрипты АнтиЗапрета создавались, они резолвили IP-адреса заблокированных доменов и добавляли IP’шники в список. На тот момент были вредоносные домены, устанавливающие себе IP-адреса легитимных, поэтому был создан такой список. С тех пор многое изменилось, а список остался. В то время не предполагалось, что такие крупные домены могут блокироваться гос. структурой.

413xk · September 4, 2022, 5:23am

Кстати, описаная мной проблема если что есть и на старой (из коробки версии антизапрета), так и на новой.

Под новой я вот что понимаю:
внутри LXC контейнера прописал свежие ключи и запустил apt update && apt-upgrade.
В итоге, сейчас у меня kresd 5.5.2, всё работает, но вот такая канитель случается.

Спасибо за очистку кэша, как-нить выцеплю и попробую полечить (а может есть даже смысл в крон прописать, нехай он каждую ночь чистит)

ArchimedRT · September 4, 2022, 5:45pm

Не помогло.
А вот когда подключаюсь через альтернативный конфиг (пуск всего трафика по инструкции), то все работает корректно.

ValdikSS · September 5, 2022, 7:42pm

Вероятно, вы забыли обновить лист после редактирования файла исключений, либо же googleusercontent еще где-то присутствует в качестве исключения.

413xk · September 6, 2022, 5:08am

Присоединяюсь, тоже не грузят гуглфото и аватарки в гуглтаблицах.

Удаление googleusercontent.com из exclude-hosts-dist.txt и добавление в include-hosts-custom.txt (после этого естественно был выполнен doall, сброшен кэш кнота и выждано время) - не помогло.
Симптомы - пинги до *.googleusercontent.com не заворачиваются в тоннель (а идут через интернет как у Архимеда).

но в exclude-regexp-dist.awk был обнаружен еще (/googleusercontent.com/) {next}.
и вот удаление его вопросики порешало, то есть итого:

Удаляем строку гуглюзерконтент из exclude-hosts-dist.txt;
Добавляем строку в include-hosts-custom.txt;
Удаляем строку из exclude-regexp-dist.awk
Затем doall, и погнали

ArchimedRT · September 6, 2022, 7:18pm

Я пробовал удалять и из файла exclude-regexp-dist.awk, но после этого у меня даже пинг до lh3.googleusercontent.com не идет.
Причем, с альтернативным конфигом с пуском всего трафика тоже перестает открываться

ValdikSS · September 6, 2022, 7:57pm

Убедитесь, что после изменения не забыли запустить doall, а также очистите кеш knot-resolver (если домен резолвится в настоящий IP-адрес, а не в 10.224.x.x, то дело в кеше либо knot, либо ОС).

413xk · September 7, 2022, 3:15am

может вы прям lh3.googleusercontent.com добавляете в include-hosts-custom.txt?
я все фигачил без сабдомена (ведь они меняются).

То есть, еще раз:

exclude-hosts-dist.txt - удаляем googleusercontent.com;
include-hosts-custom.txt - добавляем googleusercontent.com;
exclude-exclude-regexp-dist.awk - удаляем (/googleusercontent.com/) {next}
Дальше LANG=C.UTF-8 /root/antizapret/doall.sh и echo “cache.clear()” | socat - /run/knot-resolver/control/1
И пинговать lh3.googleusercontent.com с компьютера-клиента, должен резольвиться 10.224.х.х. Если резольвится и пинги идут, то всё огонь.

ArchimedRT · September 8, 2022, 6:36pm

Да все так и делал, и, наконец, после очередной попытки завелось.
Не знаю, что это было, возможно, помогла перезагрузка всех узлов сервер/роутер/комп. Хотя обычно правки применялись без таких заморочек

mafiacheb · September 14, 2022, 10:25am

Скажите пожалуйста как заставить работать photos.google.com ?
в список include-hosts-custom.txt добавил, на телефоне приложение начало показывать фото и видео, но в веб версии на компьютере по прежнему нет
может еще какие то адреса нужно добавить?

413xk · September 14, 2022, 2:42pm

мы тут 11 дней это обсуждаем, проскрольте вверх.

mafiacheb · September 14, 2022, 3:21pm

я в точности проделал все что вы написали в комментарии, но что то у меня в веб версии не показывает картинки все равно. у вас работает?

413xk · September 14, 2022, 3:30pm

у меня рабоатет. Подождите какое-то время, возможно закэшировалось на компе/роутере.

я бы на компе с виндой уже сделал ipconfig /flushdns, перегрузился бы и иконгнито чекнул гугл-фото.
(ну и пинг lh3.googleusercontent.com само собой)

Alexled · September 15, 2022, 12:00pm

Проблема правда есть, помогите пожалуйста разобраться:

На MacOS и iOS все отлично – сразу же заработало и стало грузить фото и домен lh3.googleusercontent.com резольвится с 10.224
На Windows и Android не работает вообще, при попытке пингануть “При проверке связи не удалось обнаружить узел lh3.googleusercontent.com”

Перезагружал и ПК, и роутер, и VPN, и сервер)

413xk · September 15, 2022, 12:10pm

Вестимо дело в кэше конкретных устройств.

Подождите часик.

Alexled · September 15, 2022, 1:13pm

Что удивительно, все также, даже на компьютере без кэша
А на MacOS и iOS все работает на нескольких разных устройствах

Домен не пингуется с VPN, сразу выдается ошибка “При проверке связи не удалось обнаружить узел lh3.googleusercontent.com”

kirill · September 15, 2022, 1:30pm

то же самое на win desktop