так у гугла цензура уже давно, не могу сказать, я не пользуюсь гуглом, они всё логируют, поэтому стараюсь всегда найти что то более получше и желательно чтоб кэш был где то там, а не тут )
curl: (35) OpenSSL/3.4.0: error:0A000410:SSL routines::ssl/tls alert handshake failure
Благодарю, еще вопросик - такая ошибка это значит блока по ип нет?
скорее всего нет
На АX 3000t без правок выше - не работает
Так точно.
FLOWOFFLOAD=hardware
в конфиг
рестарт запрет
nft list table inet zapret
этот текст сюда
и включить штатными средствами в люси
и
nft list table inet fw4
тоже сюда
для fw4 интересны лишь имена интерфейсов в flowtable
nft list table inet zapret
Спойлер
root@OpenWrt:~# nft list table inet zapret
table inet zapret {
set zapret {
type ipv4_addr
policy memory
size 522288
flags interval
auto-merge
}
set ipban {
type ipv4_addr
policy memory
size 522288
flags interval
auto-merge
}
set nozapret {
type ipv4_addr
policy memory
size 65536
flags interval
auto-merge
elements = { 10.0.0.0/8, 169.254.0.0/16,
172.16.0.0/12, 192.168.0.0/16 }
}
set lanif {
type ifname
elements = { "br-lan" }
}
set wanif {
type ifname
elements = { "pppoe-wan" }
}
set wanif6 {
type ifname
}
map link_local {
type ifname : ipv6_addr
}
set discord {
type ipv4_addr
size 4096
flags interval
auto-merge
elements = { 34.0.48.0-34.0.57.255, 34.0.59.0-34.0.60.255,
34.0.62.0-34.0.66.255, 34.0.82.0/24,
34.0.129.0-34.0.137.255, 34.0.139.0-34.0.142.255,
34.0.144.0-34.0.146.255, 34.0.148.0/23,
34.0.151.0/24, 34.0.153.0/24,
34.0.155.0-34.0.159.255, 34.0.192.0-34.0.213.255,
34.0.215.0-34.0.218.255, 34.0.220.0/22,
34.0.227.0/24, 34.0.240.0-34.0.251.255,
34.1.216.0/24, 34.1.221.0/24,
35.207.64.0/23, 35.207.67.0/24,
35.207.71.0-35.207.87.255, 35.207.89.0/24,
35.207.91.0-35.207.92.255, 35.207.95.0/24,
35.207.97.0/24, 35.207.99.0-35.207.101.255,
35.207.103.0-35.207.104.255, 35.207.106.0-35.207.111.255,
35.207.114.0-35.207.117.255, 35.207.121.0-35.207.122.255,
35.207.124.0-35.207.126.255, 35.207.129.0/24,
35.207.131.0-35.207.132.255, 35.207.135.0-35.207.137.255,
35.207.139.0-35.207.147.255, 35.207.149.0-35.207.151.255,
35.207.153.0-35.207.158.255, 35.207.160.0/24,
35.207.162.0-35.207.168.255, 35.207.170.0-35.207.172.255,
35.207.174.0/24, 35.207.176.0/24,
35.207.178.0/24, 35.207.180.0-35.207.182.255,
35.207.184.0/21, 35.207.193.0/24,
35.207.195.0-35.207.196.255, 35.207.198.0/23,
35.207.201.0-35.207.202.255, 35.207.205.0/24,
35.207.207.0/24, 35.207.209.0-35.207.211.255,
35.207.213.0-35.207.214.255, 35.207.220.0-35.207.222.255,
35.207.224.0/23, 35.207.227.0/24,
35.207.229.0/24, 35.207.232.0/24,
35.207.234.0/24, 35.207.238.0/24,
35.207.240.0/24, 35.207.245.0/24,
35.207.249.0-35.207.251.255, 35.212.4.0/24,
35.212.12.0/24, 35.212.39.0/24,
35.212.88.0/24, 35.212.102.0/24,
35.212.111.0/24, 35.212.117.0/24,
35.212.120.0/24, 35.213.0.0/24,
35.213.2.0/24, 35.213.4.0/24,
35.213.6.0-35.213.8.255, 35.213.10.0-35.213.14.255,
35.213.16.0/23, 35.213.23.0/24,
35.213.25.0-35.213.27.255, 35.213.32.0-35.213.34.255,
35.213.37.0-35.213.39.255, 35.213.42.0/23,
35.213.45.0-35.213.46.255, 35.213.49.0-35.213.54.255,
35.213.56.0/24, 35.213.59.0/24,
35.213.61.0/24, 35.213.65.0/24,
35.213.67.0-35.213.68.255, 35.213.70.0/24,
35.213.72.0-35.213.74.255, 35.213.78.0-35.213.80.255,
35.213.83.0-35.213.85.255, 35.213.88.0-35.213.96.255,
35.213.98.0/23, 35.213.101.0-35.213.102.255,
35.213.105.0-35.213.107.255, 35.213.109.0-35.213.111.255,
35.213.115.0/24, 35.213.120.0/24,
35.213.122.0/24, 35.213.124.0-35.213.150.255,
35.213.152.0-35.213.158.255, 35.213.160.0-35.213.177.255,
35.213.179.0-35.213.188.255, 35.213.190.0-35.213.205.255,
35.213.207.0-35.213.208.255, 35.213.210.0-35.213.215.255,
35.213.217.0-35.213.223.255, 35.213.225.0/24,
35.213.227.0/24, 35.213.229.0-35.213.231.255,
35.213.233.0-35.213.234.255, 35.213.236.0-35.213.238.255,
35.213.240.0/21, 35.213.249.0-35.213.254.255,
35.214.128.0-35.214.134.255, 35.214.137.0-35.214.138.255,
35.214.140.0/24, 35.214.142.0-35.214.149.255,
35.214.151.0-35.214.152.255, 35.214.156.0/24,
35.214.158.0-35.214.163.255, 35.214.165.0/24,
35.214.167.0/24, 35.214.169.0-35.214.173.255,
35.214.175.0/24, 35.214.177.0/24,
35.214.179.0-35.214.181.255, 35.214.184.0/22,
35.214.191.0-35.214.199.255, 35.214.201.0/24,
35.214.203.0-35.214.205.255, 35.214.207.0-35.214.229.255,
35.214.231.0/24, 35.214.233.0/24,
35.214.235.0/24, 35.214.237.0-35.214.241.255,
35.214.243.0-35.214.246.255, 35.214.248.0-35.214.253.255,
35.214.255.0/24, 35.215.72.0/23,
35.215.79.0/24, 35.215.83.0/24,
35.215.85.0/24, 35.215.93.0/24,
35.215.97.0/24, 35.215.108.0/24,
35.215.115.0/24, 35.215.118.0/24,
35.215.120.0/24, 35.215.126.0-35.215.156.255,
35.215.158.0-35.215.161.255, 35.215.163.0-35.215.219.255,
35.215.221.0-35.215.235.255, 35.215.238.0-35.215.255.255,
35.217.0.0-35.217.6.255, 35.217.8.0/23,
35.217.11.0-35.217.33.255, 35.217.35.0-35.217.63.255,
35.219.225.0-35.219.231.255, 35.219.235.0-35.219.236.255,
35.219.238.0/23, 35.219.241.0-35.219.249.255,
35.219.251.0-35.219.254.255, 66.22.196.0-66.22.200.255,
66.22.202.0/24, 66.22.204.0/24,
66.22.206.0/24, 66.22.208.0/24,
66.22.210.0/24, 66.22.212.0/24,
66.22.214.0/24, 66.22.220.0-66.22.231.255,
66.22.233.0-66.22.234.255, 66.22.236.0-66.22.238.255,
66.22.240.0-66.22.244.255, 66.22.248.0/24,
138.128.140.0/24, 162.159.130.0/24,
162.159.133.0-162.159.136.255, 172.65.202.0/24,
172.65.247.0/24 }
}
flowtable ft {
hook ingress priority filter - 1
devices = { br-lan, eth0, lan2, lan3, lan4, phy0-ap0, pppoe-wan, wan }
flags offload
}
chain dnat_output {
type nat hook output priority dstnat - 1; policy accept;
}
chain dnat_pre {
type nat hook prerouting priority dstnat - 1; policy accept;
}
chain forward {
type filter hook forward priority filter - 1; policy accept;
oifname @wanif jump flow_offload
oifname @wanif6 jump flow_offload
}
chain input {
type filter hook input priority filter - 1; policy accept;
iif != "lo" jump localnet_protect
}
chain flow_offload {
tcp dport { 80, 443 } ct original packets 1-9 ip daddr != @nozapret return comment "direct flow offloading exemption"
tcp dport 0 ip daddr != @nozapret return comment "direct flow offloading exemption"
udp dport 443 ct original packets 1-9 ip daddr != @nozapret return comment "direct flow offloading exemption"
udp dport 0 ip daddr != @nozapret return comment "direct flow offloading exemption"
udp dport 50000-50099 ct original packets 1-3 ip daddr @discord ip daddr != @nozapret return comment "direct flow offloading exemption"
meta l4proto { tcp, udp } flow add @ft
meta l4proto { tcp, udp } counter packets 12897 bytes 2149593 comment "if offload works here must not be too much traffic"
}
chain localnet_protect {
ip daddr 127.0.0.127 return comment "route_localnet allow access to tpws"
ip daddr 127.0.0.0/8 drop comment "route_localnet remote access protection"
}
chain postrouting {
}
chain postrouting_hook {
type filter hook postrouting priority srcnat - 1; policy accept;
meta mark & 0x40000000 == 0x00000000 jump postrouting
}
chain postnat {
oifname @wanif udp dport 50000-50099 ct original packets 1-3 ip daddr @discord ip daddr != @nozapret meta mark set meta mark | 0x20000000 queue flags bypass to 65400
oifname @wanif udp dport 0 ip daddr != @nozapret meta mark set meta mark | 0x20000000 queue flags bypass to 200
oifname @wanif udp dport 443 ct original packets 1-9 ip daddr != @nozapret meta mark set meta mark | 0x20000000 queue flags bypass to 200
oifname @wanif tcp dport 0 ip daddr != @nozapret meta mark set meta mark | 0x20000000 queue flags bypass to 200
oifname @wanif tcp dport { 80, 443 } ct original packets 1-9 ip daddr != @nozapret meta mark set meta mark | 0x20000000 queue flags bypass to 2 00
}
chain postnat_hook {
type filter hook postrouting priority srcnat + 1; policy accept;
meta mark & 0x40000000 == 0x00000000 jump postnat
}
chain prerouting {
type filter hook prerouting priority dstnat + 1; policy accept;
}
chain prenat {
type filter hook prerouting priority dstnat - 1; policy accept;
iifname @wanif tcp sport 0 ct reply packets 1-3 ip saddr != @nozapret queue flags bypass to 200
iifname @wanif tcp sport { 80, 443 } ct reply packets 1-3 ip saddr != @nozapret queue flags bypass to 200
}
chain predefrag {
type filter hook output priority -401; policy accept;
meta mark & 0x40000000 != 0x00000000 jump predefrag_nfqws comment "nfqws generated : avoid drop by INVALID conntrack state"
}
chain predefrag_nfqws {
meta mark & 0x20000000 != 0x00000000 notrack comment "postnat traffic"
ip frag-off != 0x0 notrack comment "ipfrag"
exthdr frag exists notrack comment "ipfrag"
tcp flags ! syn,rst,ack notrack comment "datanoack"
nft list table inet fw4
Спойлер
root@OpenWrt:~# nft list table inet fw4
table inet fw4 {
flowtable ft {
hook ingress priority filter
devices = { lan2, lan3, lan4, phy0-ap0, wan }
flags offload
counter
}
chain input {
type filter hook input priority filter; policy drop;
iif "lo" accept comment "!fw4: Accept traffic from loopback"
ct state vmap { established : accept, related : accept } comment "!fw4: Handle inbound flows"
tcp flags & (fin | syn | rst | ack) == syn jump syn_flood comment "!fw4: Rate limit TCP syn packets"
iifname { "wg0", "br-lan" } jump input_lan comment "!fw4: Handle lan IPv4/IPv6 input traffic"
iifname { "wan", "pppoe-wan" } jump input_wan comment "!fw4: Handle wan IPv4/IPv6 input traffic"
iifname { "wg0", "br-lan" } jump input_WG comment "!fw4: Handle WG IPv4/IPv6 input traffic"
jump handle_reject
}
chain forward {
type filter hook forward priority filter; policy drop;
meta l4proto { tcp, udp } ct original packets >= 30 flow add @ft
ct state vmap { established : accept, related : accept } comment "!fw4: Handle forwarded flows"
iifname { "wg0", "br-lan" } jump forward_lan comment "!fw4: Handle lan IPv4/IPv6 forward traffic"
iifname { "wan", "pppoe-wan" } jump forward_wan comment "!fw4: Handle wan IPv4/IPv6 forward traffic"
iifname { "wg0", "br-lan" } jump forward_WG comment "!fw4: Handle WG IPv4/IPv6 forward traffic"
jump upnp_forward comment "Hook into miniupnpd forwarding chain"
jump handle_reject
}
chain output {
type filter hook output priority filter; policy accept;
oif "lo" accept comment "!fw4: Accept traffic towards loopback"
ct state vmap { established : accept, related : accept } comment "!fw4: Handle outbound flows"
oifname { "wg0", "br-lan" } jump output_lan comment "!fw4: Handle lan IPv4/IPv6 output traffic"
oifname { "wan", "pppoe-wan" } jump output_wan comment "!fw4: Handle wan IPv4/IPv6 output traffic"
oifname { "wg0", "br-lan" } jump output_WG comment "!fw4: Handle WG IPv4/IPv6 output traffic"
}
chain prerouting {
type filter hook prerouting priority filter; policy accept;
}
chain handle_reject {
meta l4proto tcp reject with tcp reset comment "!fw4: Reject TCP traffic"
reject comment "!fw4: Reject any other traffic"
}
chain syn_flood {
limit rate 25/second burst 50 packets return comment "!fw4: Accept SYN packets below rate-limit"
drop comment "!fw4: Drop excess packets"
}
chain input_lan {
ct status dnat accept comment "!fw4: Accept port redirections"
jump accept_from_lan
}
chain output_lan {
jump accept_to_lan
}
chain forward_lan {
jump accept_to_wan comment "!fw4: Accept lan to wan forwarding"
jump accept_to_awg comment "!fw4: Accept lan to awg forwarding"
jump accept_to_WG comment "!fw4: Accept lan to WG forwarding"
ct status dnat accept comment "!fw4: Accept port forwards"
jump accept_to_lan
}
chain accept_from_lan {
iifname { "wg0", "br-lan" } counter packets 5803 bytes 717152 accept comment "!fw4: accept lan IPv4/IPv6 traffic"
}
chain accept_to_lan {
meta nfproto ipv4 oifname { "wg0", "br-lan" } ct state invalid counter packets 201 bytes 22908 drop comment "!fw4: Prevent NAT leakage"
oifname { "wg0", "br-lan" } counter packets 3589 bytes 1447190 accept comment "!fw4: accept lan IPv4/IPv6 traffic"
}
chain input_wan {
meta nfproto ipv4 udp dport 68 counter packets 0 bytes 0 accept comment "!fw4: Allow-DHCP-Renew"
icmp type echo-request counter packets 290 bytes 18945 accept comment "!fw4: Allow-Ping"
meta nfproto ipv4 meta l4proto igmp counter packets 0 bytes 0 jump handle_reject comment "!fw4: Allow-IGMP"
meta nfproto ipv6 udp dport 546 counter packets 0 bytes 0 accept comment "!fw4: Allow-DHCPv6"
ip6 saddr fe80::/10 icmpv6 type . icmpv6 code { mld-listener-query . 0, mld-listener-report . 0, mld-listener-done . 0, mld2-listener-report . 0 } counter packets 0 bytes 0 accept comment "!fw4: Allow-MLD"
icmpv6 type { destination-unreachable, time-exceeded, echo-request, echo-reply, nd-router-solicit, nd-router-advert } limit rate 1000/second burst 5 packets counter packets 20 bytes 2080 accept comment "!fw4: Allow-ICMPv6-Input"
icmpv6 type . icmpv6 code { packet-too-big . 0, parameter-problem . 0, nd-neighbor-solicit . 0, nd-neighbor-advert . 0, parameter-problem . 1 } limit rate 1000/second burst 5 packets counter packets 0 bytes 0 accept comment "!fw4: Allow-ICMPv6-Input"
ct status dnat accept comment "!fw4: Accept port redirections"
jump reject_from_wan
}
chain output_wan {
jump accept_to_wan
}
chain forward_wan {
icmpv6 type { destination-unreachable, time-exceeded, echo-request, echo-reply } limit rate 1000/second burst 5 packets counter packets 0 bytes 0 accept comment "!fw4: Allow-ICMPv6-Forward"
icmpv6 type . icmpv6 code { packet-too-big . 0, parameter-problem . 0, parameter-problem . 1 } limit rate 1000/second burst 5 packets counter packets 0 bytes 0 accept comment "!fw4: Allow-ICMPv6-Forward"
meta l4proto esp counter packets 0 bytes 0 jump accept_to_lan comment "!fw4: Allow-IPSec-ESP"
udp dport 500 counter packets 0 bytes 0 jump accept_to_lan comment "!fw4: Allow-ISAKMP"
jump accept_to_awg comment "!fw4: Accept wan to awg forwarding"
ct status dnat accept comment "!fw4: Accept port forwards"
jump reject_to_wan
}
chain accept_to_wan {
meta nfproto ipv4 oifname { "wan", "pppoe-wan" } ct state invalid counter packets 492 bytes 36797 drop comment "!fw4: Prevent NAT leakage"
oifname { "wan", "pppoe-wan" } counter packets 32079 bytes 17476855 accept comment "!fw4: accept wan IPv4/IPv6 traffic"
}
chain reject_from_wan {
iifname { "wan", "pppoe-wan" } counter packets 20550 bytes 929946 jump handle_reject comment "!fw4: reject wan IPv4/IPv6 traffic"
}
chain reject_to_wan {
oifname { "wan", "pppoe-wan" } counter packets 0 bytes 0 jump handle_reject comment "!fw4: reject wan IPv4/IPv6 traffic"
}
chain input_awg {
jump accept_from_awg
}
chain output_awg {
jump accept_to_awg
}
chain forward_awg {
jump accept_to_wan comment "!fw4: Accept awg to wan forwarding"
jump accept_to_lan comment "!fw4: Accept awg to lan forwarding"
jump accept_to_awg
}
chain accept_from_awg {
}
chain accept_to_awg {
}
chain input_WG {
jump accept_from_WG
}
chain output_WG {
jump accept_to_WG
}
chain forward_WG {
jump accept_to_wan comment "!fw4: Accept WG to wan forwarding"
jump accept_to_WG
}
chain accept_from_WG {
iifname { "wg0", "br-lan" } counter packets 0 bytes 0 accept comment "!fw4: accept WG IPv4/IPv6 traffic"
}
chain accept_to_WG {
meta nfproto ipv4 oifname { "wg0", "br-lan" } ct state invalid counter packets 0 bytes 0 drop comment "!fw4: Prevent NAT leakage"
oifname { "wg0", "br-lan" } counter packets 0 bytes 0 accept comment "!fw4: accept WG IPv4/IPv6 traffic"
}
chain dstnat {
type nat hook prerouting priority dstnat; policy accept;
iifname { "wg0", "br-lan" } jump dstnat_lan comment "!fw4: Handle lan IPv4/IPv6 dstnat traffic"
iifname { "wan", "pppoe-wan" } jump dstnat_wan comment "!fw4: Handle wan IPv4/IPv6 dstnat traffic"
jump upnp_prerouting comment "Hook into miniupnpd prerouting chain"
}
chain srcnat {
type nat hook postrouting priority srcnat; policy accept;
oifname { "wg0", "br-lan" } jump srcnat_lan comment "!fw4: Handle lan IPv4/IPv6 srcnat traffic"
oifname { "wan", "pppoe-wan" } jump srcnat_wan comment "!fw4: Handle wan IPv4/IPv6 srcnat traffic"
oifname { "wg0", "br-lan" } jump srcnat_WG comment "!fw4: Handle WG IPv4/IPv6 srcnat traffic"
jump upnp_postrouting comment "Hook into miniupnpd postrouting chain"
}
chain dstnat_lan {
ip saddr { 172.16.1.0/24, 192.168.1.0/24 } ip daddr tcp dport 51820 dnat ip to 172.16.1.1:51820 comment "!fw4: WG (reflection)"
ip saddr { 172.16.1.0/24, 192.168.1.0/24 } ip daddr udp dport 51820 dnat ip to 172.16.1.1:51820 comment "!fw4: WG (reflection)"
}
chain srcnat_lan {
ip saddr { 172.16.1.0/24, 192.168.1.0/24 } ip daddr 172.16.1.1 tcp dport 51820 snat ip to 172.16.1.1 comment "!fw4: WG (reflection)"
ip saddr { 172.16.1.0/24, 192.168.1.0/24 } ip daddr 172.16.1.1 udp dport 51820 snat ip to 172.16.1.1 comment "!fw4: WG (reflection)"
meta nfproto ipv4 masquerade comment "!fw4: Masquerade IPv4 lan traffic"
}
chain dstnat_wan {
meta nfproto ipv4 tcp dport 51820 counter packets 0 bytes 0 dnat ip to 172.16.1.1:51820 comment "!fw4: WG"
meta nfproto ipv4 udp dport 51820 counter packets 0 bytes 0 dnat ip to 172.16.1.1:51820 comment "!fw4: WG"
}
chain srcnat_wan {
meta nfproto ipv4 masquerade comment "!fw4: Masquerade IPv4 wan traffic"
}
chain srcnat_awg {
meta nfproto ipv4 masquerade comment "!fw4: Masquerade IPv4 awg traffic"
}
chain srcnat_WG {
meta nfproto ipv4 masquerade comment "!fw4: Masquerade IPv4 WG traffic"
}
chain raw_prerouting {
type filter hook prerouting priority raw; policy accept;
}
chain raw_output {
type filter hook output priority raw; policy accept;
}
chain mangle_prerouting {
type filter hook prerouting priority mangle; policy accept;
}
chain mangle_postrouting {
type filter hook postrouting priority mangle; policy accept;
oifname { "wg0", "br-lan" } tcp flags & (fin | syn | rst) == syn tcp option maxseg size set rt mtu comment "!fw4: Zone lan IPv4/IPv6 egress MTU fixing"
oifname { "wan", "pppoe-wan" } tcp flags & (fin | syn | rst) == syn tcp option maxseg size set rt mtu comment "!fw4: Zone wan IPv4/IPv6 egress MTU fixing"
oifname { "wg0", "br-lan" } tcp flags & (fin | syn | rst) == syn tcp option maxseg size set rt mtu comment "!fw4: Zone WG IPv4/IPv6 egress MTU fixing"
}
chain mangle_input {
type filter hook input priority mangle; policy accept;
}
chain mangle_output {
type route hook output priority mangle; policy accept;
}
chain mangle_forward {
type filter hook forward priority mangle; policy accept;
iifname { "wg0", "br-lan" } tcp flags & (fin | syn | rst) == syn tcp option maxseg size set rt mtu comment "!fw4: Zone lan IPv4/IPv6 ingress MTU fixing"
iifname { "wan", "pppoe-wan" } tcp flags & (fin | syn | rst) == syn tcp option maxseg size set rt mtu comment "!fw4: Zone wan IPv4/IPv6 ingress MTU fixing"
iifname { "wg0", "br-lan" } tcp flags & (fin | syn | rst) == syn tcp option maxseg size set rt mtu comment "!fw4: Zone WG IPv4/IPv6 ingress MTU fixing"
}
chain upnp_forward {
iif "pppoe-wan" th dport 7070 @nh,128,32 0xc0a8014d @nh,72,8 0x6 accept
iif "pppoe-wan" th dport 7070 @nh,128,32 0xc0a8014d @nh,72,8 0x6 accept
}
chain upnp_prerouting {
iif "pppoe-wan" @nh,72,8 0x6 th dport 50350 dnat ip to 192.168.1.77:7070
}
chain upnp_postrouting {
}
}
Это уже включены оффлоады везде , в Firewall и в Zapret , с фиксом выше, все работает
Обновил wrt на новую 24.10.1 и вроде всё норм, к стати на АX 3000t, не знаю с чем борется SeamniZ, всё работает хорошо
порт 0 непонятно откуда
он был вписан в перехват в конфиге ?
в целом я не вижу причин, чтобы это не работало
для вифи не будет скорее всего
оффлоад аппаратный обычно только со свитчом работает
как определяете что не работает ? проц по top грузится на большом трафике ?
люси отключить галку, в запрете включить. так надо
возможно я чего-то не знаю и не следует совать во flowtable pppoe
fw4 не сует
мне не на чем проверять
Через люси офлоад отключить, в запрете поставить software
если в запрете поставить hardware, то через вафлю запрет работать не будет, будет только через кабель
так же hardware на вафлю не действует, поэтому только software
короче в люси отключить офлоад в настройках файрвола и только в запрете включать и только software если нужно чтоб всё нормально работало
так же если включить software в запрете, то оно совместимо с sqm ( это для того кто в теме, кто отключил офлоад по инструкции при установке sqm )
Уважаемые форумчане!
Имеется роутер Keenetic с 4G модемом и симкой от Мегафона.
На роутере установлен “zapret”, правила в config:
NFQWS_OPT_DESYNC=“nfqws --dpi-desync=fake,split2 --dpi-desync-fooling=badseq”
NFQWS_OPT_DESYNC_QUIC=“–dpi-desync=fake --dpi-desync-repeats=6”
и всё бы ничего, но есть ряд вопросов:
- Есть некоторые android приложения, такие как Premier (онлайн-кинотеатр), туда же Кинопоиск, VK, Rustore, которые при выключенном “zaprete” работают лучше и быстрее.
- Еще вопрос с торрентами. Например, приложение NUM (пиратки с торрентов) крайне медленно работает с “zapretom”, но при включенном VPN всё летает.
Может кто-то сталкивался с такими же вопросами, и нашёл решение.
Заранее благодарю за помощь!
Если используются хостлисты можно внести определенные домены в исключения и они дурится не будут. Насчёт второго хз, обычный торрент клиент работает без проблем выдает заявленные скорости по тарифу, num это просто gui с каталогом, в котором просто идёт как бы онлайн просмотр торрента все зависит от раздающих и соединения, вряд ли тут запрет какую-то роль играет.
любой оффлоад несовместим с шейпером
Сейчас у меня все работает, я сказал же выше, до фикса с файрволом - не работало , это видно по загрузке процессора во время тестов, без оффлоада прыгала, а сейчас даже не дёргается
В Люси в FW и в запрете включен HW offload
По порту 0 - да, он по умолчанию в ipk от remittor включен, я не менял ничего
Все будет работать , омг , я буквально выше же дал фикс для этого
Sqm не работает с любым оффлоадом+ я только вчера понял , что он ещё и тянет в зависимости iptables, из-за которых я долго не мог настроить одновременную работу podkop+zapret
это не фикс, а костыль
фикс будет разобраться в причине
попробуйте руками снять все оффлоады
создать свою таблицу nft
с flowtable
создать форвард правило аналогично fw4
посмотрите какие интерфейсы накидал запрет и fw4
нащупайте разницу, которая не дает запрет варианту работать
так вы принесете пользу
У меня опыт с опен врт - неделя, костыль взял из чата routerich в телеге , там железо такое же, изначально он под это, как я понимаю
NAT offloading · Issue #199 · Waujito/youtubeUnblock · GitHub
раз товарищ не понимает о чем речь
прошу всех владельцев девайсов с хардваре оффлоадом потестить оффлоад через запрет
особенно это касаемо ксиоми ах3000 и подключения к прову через pppoe
суть - проверить работает ли флоу таблица с тем набором интерфейсов, что туда сует запрет
и если нет, то найти ошибку. следует ли совать pppoe или надо физический девайс
Моя ошибка.
Исправил: config: Fix process empty value for NFQWS_PORTS_xxx_KEEPALIVE · remittor/zapret-openwrt@d0b03e6 · GitHub
У меня возникло несколько теоретических и любопытных вопросов к @bolvan, натолкнуло на них меня предупреждение о сложностях с nat внутри виртуальных машин. Сами вопросы не связаны с nat на vm.
Первый вопрос. Предположим, что внутри моей локальной сети работает только ipv6 адресация, роутер на котором и установлен zapret получает только динамический ipv4. На роутере работает nat64 и dns64. Механизм перехвата nfqws должен работать после nat64? То есть в теории всё должно работать нормально, или я что-то упускаю?
Второй вопрос. Тут всё сложнее. Скажем у меня есть две квартиры. Они связаны друг с другом тоннелем, через промежуточный сервер в России, сервер отдаёт статический ipv6 /56 префикс. Я связываю две квартиры в единую ipv6 сеть. Все устройства имеют ULA и GUA адреса. Куда в этом случае лучше ставить zapret. На сервер? На каждый роутер? На всех сразу?