Что такое падаван прошивка

Padavan (Бесплатная Прошивка) для Xiaomi Mi Router 3G

Прошивка Padavan или как сделать ваш роутер стабильным как швейцарский франк

В рамках этой статьи рассмотрим прошивку Padavan для Xiaomi mi wifi router 3g, веб-интерфейс и настройки. Так же расскажу когда возникла необходимость смены маршрутизатора, что продают на полках магазинов и как разделить свою жизнь на до и после покупкой и прошивкой роутера.

Когда остро встает вопрос смены или прошивки роутера

Жил я не тужил, до тех пор пока не столкнулся с проблемой расширения парка wifi устройств. Два телефона, ноут, телик с ютубчиком, торренты на компе с 4к фильмами — все это нагружало старенький TP-link TL-WR841N по полной программе.

Стал он потихоньку загибаться и парить мозги. Постоянно терял соединение, скорость резал, так как пришлось ограничить количество присоединенных пиров на один торрент. Если этого не сделать после старта торрента ТП-линк сразу превращается в кусок бесполезного пластика.

Начал курить тему и напоролся на сторонние прошивки под названием Padavan и DD-WRT. Прошился на DD-WRT и ощутил заметный результат.

Я это сразу понял, так как телик работает только через интернет и прекратились подвисания. Роутер перестал тупить, стал работать стабильнее.

В этой прошивке встроен сторож соединения и плановая перезагрузка по расписанию. Грамотно настроив эту прошивку можно спрятать роутер туда, где его больше никто не увидит. Ежедневные глюки в прошлом!

Кстати, если погуглить сайт прошивки DD-WRT, то можно там найти инфу о большом количестве моделей разных производителей. Какое железо ставят туда, сколько оперативки. Это как раз то, что тщательно скрывают производители, рисуя на коробках несуществующие скорости и чудо технологии которые использует пентагон.

Хоть раз видели характеристики железа? Как правило это одно ядро на проце натянутое на запредельную частоту в районе 600Мгц и 32 мегабайт ОЗУ. Где в 21 веке ставят 32 мб ОЗУ?

Просматривая полностью ветку моделей TP-линков я там разницы едва нашел. Единственное, это старшие модели, но и цены на них в магазинах 8-10 тыс. рублей.

Такая трата достойна двухъядерного проца и 128 ОЗУ. Ребята не берите это гумно что лежит на полках магазинов. Намучаетесь с ним. Нервные клетки не восстанавливаются.

Возникшие трудности от кастомной прошивки и решение

Стабильная работа кастомной прошивки принесла облегчение, но ненадолго. Дело в том, что количество подключаемых устройств стало расти с расширением количества гаджетов и умного дома Xiaomi.

Уже при шести подключенных wifi устройствах (и комп по ethernet) чудо разработка начала терять пакеты. При чем пакеты не доходили до беспроводных устройств Sonoff, при минимальном прохождении трафика через сеть. Сеть была не загружена.

Я начал искать косяк в сценариях и работе сервака, так прошли вечера еще одной недели. Проблемы в поочередной нестабильной работе разных устройств натолкнули на мысль о возможных проблемах с этим зеленым чудовищем.

В магазин ноги за новым оборудованием не несли ввиду предварительного изучения тактико-технических характеристик предполагаемой покупки. Решил купить топовый Xiaomi с Алиэкспресс.

Дополнительно к роутеру для его лучшего охлаждения заказал вот такие резиновые ножки для увеличения протока воздуха снизу и наклеил их на дно корпуса.

Прошивка Xiaomi Mi Router 3G на Padavan

По прибытии ко мне белоснежного Китайского друга читать иероглифы в веб интерфейсе и ставить плагины русификации не было никакого желания.

Тем более оценив преимущества кастомной прошивки. Прошить на Padavan Xiaomi mi wifi router 3g проще простого. Сводится это к трем простым этапам без проводов и пайки:

Представленная на сайте инструкция актуальна только для Xiaomi Router 3G

Установка Padavan — часть 1. Ставим прошивку разработчика от Xiaomi.

Подключаем router в сеть и проводом к компьютеру. В адресной строке вводим 192.168.31.1 — это стандартный адрес.

На экране приветствия жмем на ссылку в правом нижнем углу и переходим к настройке.

Роутер уйдет в перезагрузку для применения настроек.

Заходим на сайт miwifi, нажимаем ROM и ищем файл для Xiaomi mi wifi router 3g. Качаем его.

В адресной строке браузера вводим 192.168.31.1 и логинимся. Кликаем вторую ссылку из выпадающего меню в правой части.

Убеждаемся что на роутере настроен интернет. Подключаемся к беспроводной сети. Скачиваем приложение Mi Wi-Fi из AppStore или PlayMarket. Создаем учетную запись, для входа. Router автоматически появится в приложении и привяжется к созданному аккаунту.

Далее переход на сайт MiWifi для получения пароля, который даст доступ по ssh. Логинимся в аккаунт, который создали при добавлении в приложение на телефоне.

Обращаю внимание! Как только страница выдала ошибку «Время ожидания соединения истекло» в адресной строке браузера нужно прописать протокол https вместо http.

В результате должны получить файл «miwifi_ssh.bin». Сохраняем.

Сохраняем логин и пароль для доступа по ssh (см. рис ниже).

Берем пустую флешку (формат FAT32), копируем на нее «miwifi_ssh.bin» в корень. Отключаем роутер от сети, ставим в него флешку. Зажимаем кнопку Reset на задней панели и включаем адаптер питания в розетку.

Ждем начало моргания светодиода на передней панели роутера. По окончании светодиод загорится голубым цветом.

Заходим утилитой Putti на 192.168.31.1, вводим логин и пароль с сайта Mi. Увидим в консоли надпись ARE U OK. Файл загружен успешно.

Установка Padavan — часть 2. Ставим Загрузчик Breed.

Установка Padavan — часть 3. Ставим файл прошивки.

Вводим в браузере 192.168.1.1 и попадаем в загрузчик Breed.

Появится полоска с процентами. По окончании прошивки появится wifi сеть двух диапозонов с названиями Asus и Asus_5G (пароль 1234567890)

Для входа на веб интерфейс 192.168.1.1 (admin/admin)

Прошивка Padavan для Xiaomi mi router. Настройки.

После входа в веб интерфейс увидим следующие блоки:

Прошивка Padavan дополнительные настройки

Замер скорости

Очень хотелось измерить максимальную скорость интернет-соединения после прошивки, но возможности не было, так как тариф у меня 100 мегабит.

На самоизоляции Ростелеком расщедрился и нарастил мощности канала. Подозреваю что гигабитный канал просел с учетом нагрузки на сеть, а роутер номинальную скорость в гигабит обеспечивает.

Обновление прошивки Padavan

Указываем путь до файла и жмем отправить. Внимание! Прошивка должна быть из статьи или именно под Ваш роутер. Если не уверенны (самостоятельно не собирали файл прошивки) лучше не обновлять, дабы не «окирпичить» устройство.

После года использования Padavan

Очень нравится Padavan и Xiaomi 3g router. Работает крайне стабильно. Не испытываю никаких проблем. Забыл что у меня есть router.

Захожу на веб-интерфейс только для добавления статического адреса на новое устройство умного дома. Иногда перезагружаю по старой памяти (скупая мужская слеза скатилась по щеке).

Сейчас подключено 20 устройств по wifi, по ethernet подключен комп и одноплатный компьютер (сервер Raspberry Pi). Что нужно сделать чтобы загрузить его на полную ума не приложу.

При подключении диска можно качать торренты прямо из веб-интерфеса и сделать локальную файлопомойку. Видимо только так можно его полностью реализовать.

Ресурсов крайне много, но за эти смешные деньги! Вполне уверен что версия Xiaomi router 3 на Padavan будет работать не менее стабильно.

Я очень доволен. Всем рекомендую к покупке, вместо мусора с полки магазинов.

Источник

Xiaomi Mi WiFi Router и Padavan

Прошивка роутера Xiaomi Mi WiFi Router – процесс весьма занятный и несложный, при этом иногда просто жизненно необходимый. Дело в том, что Mi-роутеры являются отличным решением для современных пользователей (как по доступной стоимости, так и согласно техническим характеристикам). Единственный момент, который может остановить русскоязычного покупателя – это китайский язык веб-интерфейса и множество иероглифов в настройках. Но и эта проблема не является неразрешимой – наша статья тому подтверждение.

Стоковая заводская прошивка первоначально присутствует на всех гаджетах, но ее легко заменить, пересадив web-интерфейс Asus на исходный код роутеров Xiaomi (да, это возможно). Смотрите сами!

Как прошить Xiaomi Mi WiFi роутер на Padavan

Всего 3 этапа отделяют нас от того, чтобы пользоваться всеми возможностями сетевого устройства без переводчиков и сторонней помощи.

Давайте поговорим обо всем по порядку. Вашему вниманию предлагается подробный мануал.

Следует зайти на официальный сайт: http://www1.miwifi.com/miwifi_download.html
Выбираем вкладку ROM, качаем версию ПО для вашей модели роутера (не забываем выбрать автоперевод на русский для облегчения поиска):

Заходим в настройки по адресу 192.168.31.1, инструкция по входу есть в этой статье. Клик на 2-ой пункт из выпадающего списка (как показано на скриншоте):

Следующий этап – подключение к своей беспроводной сети, скачивание фирменной программы Mi WiFi, создание учетной записи и привязка Mi-устройства к ней, если ранее вы этого не делали.

Заходим в личный аккаунт:

Так мы получили и сохранили файл «miwifi_ssh.bin». Копируем его на пустую флешку. Отключаем маршрутизатор от сети (обязательно!), вставляем в него флешку. Иголочкой зажимаем Reset на корпусе, подключаем адаптер питания. Дожидаемся, пока индикатор загорится синим цветом.

Статья получилась немного сумбурной, но такая подробность и многочисленные скриншоты точно «на руку новичкам», которым порой сложно разобраться с подобными нюансами конфигураций и управления. Надеемся, информация была вам полезна.

Источник

Выборочный обход блокировок на маршрутизаторах с прошивкой Padavan и Keenetic OS

Инструкций с разными вариантами обхода блокировок Интернет-ресурсов опубликовано огромное количество. Но тема не теряет актуальности. Даже всё чаще звучат инициативы на законодательном уровне заблокировать статьи о методах обхода блокировок. И появились слухи, что Роскомнадзор получит ещё одну пачку денег налогоплательщиков на «более лучшие» блокировки. Опытные пользователи ничего нового и полезного из статьи не узнают. А вот другие получат готовые пошаговые инструкции для простого и эффективного выборочного обхода блокировок на популярных маршрутизаторах с прошивкой Padavan и Keenetic.

Содержание

Введение

Я около двух лет использовал вариант обхода блокировок от Zolg. На нём основываются многие инструкций в сети. Моя в том числе.

Всё было хорошо, но «лучшее всегда враг хорошего». Во-первых, некоторые новые программы стали слишком «умными» и резолвят домены собственными методами, минуя DNS-сервер маршрутизатора. Это не позволяет dnsmasq на маршрутизаторе добавить адрес во множество ipset для разблокировки и приводит к закономерному результату — ресурс остаётся заблокированным. В Android 9 вообще появилась штатная поддержка DNS-over-TLS, т.е. этот метод обхода блокировки перестаёт работать (если другое устройство ранее не обращалось к dnsmasq). Во-вторых, обновление всего списка доменов из antizapret приводит к непредсказуемым результатам каждый раз. В список могут попасть домены, которые в реальности не заблокированы, и работа которых важна через основной канал. Нужно постоянно быть начеку и руками править сгенерированные файлы. В-третьих, надоело «таскать за собой» огромный список доменов с десятком тысяч казино и подобные, которые просто не нужны. Со временем я понял, что мне нужен лишь небольшой конкретный список заблокированных ресурсов.

Так что я год уже использую немного изменённый метод разблокировки, которым полностью удовлетворён:

Основа обхода блокировок та же — сеть Tor. Её использование обусловлено двумя простыми факторами— бесплатность, и вероятность того, что Tor будет заблокирован в России, близка к нолю, в отличие от любого VPN-сервиса. Tor является фундаментом наркотрафика в России от среднего звена до самых низов. Блокировка Tor приведёт к поиску новых инструментов для рынка и снижению уровню анонимности, что повлечёт за собой успешную активизацию работы локальных правоохранительных органов. В конечном итоге это, как вирус, начнёт негативно влиять на верхнее звено. Учитывая последние удивительные новости о связях высших должностных лиц государства с глобальным наркотрафиком в Россию, блокировка Tor в России — это просто табу, хоть она и тривиальная. Ни Роскомнадзор, какие бы миллиарды не выделялись этому ведомству, ни один суд в России не имеют разрешения «сверху» для блокировки Tor. И это уже даже никого не удивляет и не пугает, хоть Россия просто утопает в наркотиках (любой школьник знает, что такое «дакнет», и через 30 минут имеет фактическую возможность в любом городе с населением от 10 тыс. человек беспрепятственно получить любые наркотики практически в любых количествах — такая злая правда жизни). При текущем режиме вероятность блокировки сети Tor ниже, чем вероятность блокировки сайта музея Эрмитаж.

Приведённую инструкцию легко адаптировать для маршрутизаторов с OpenWrt. Также, небольшими изменениям легко заменить Tor на OpenVPN.

Как вы будете управлять обходом блокировок после настройки?

Всё очень просто. У вас есть файл /opt/etc/unblock.txt — простой список для разблокировки. Вы можете разблокировать домен, IP-адрес, диапазон адресов или CIDR. Одна строка — один элемент. Допускаются пустые строки, и можно использовать символ # в начале строки для игнорирования.

После редактирования этого файла вы просто выполняете команду для применения новой конфигурации:

Все ресурсы из unblock.txt разблокируются без необходимости перезагружать маршрутизатор.

Принцип работы

Настройка маршрутизатора с прошивкой Padavan

У вас должен быть маршрутизатор с установленной прошивкой Padavan и уже настроенным менеджером пакетов Entware. В Windows для подключения подключения к маршрутизатору по SSH вы можете использовать клиент PuTTY.

Убедитесь, что у вас используется Entware, а не устаревший Entware-ng. Посмотрите содержимое папки /opt/var/opkg-lists. Там будет присутствовать файл entware или entware-ng. Во втором случае вам нужно обновить прошивку Padavan вашего маршрутизатора до последней версии и заново установить менеджер пакетов Entware. Только после этого приступайте к пошаговой инструкции.

Как показали отзывы, в основном проблемы возникают у тех, у кого Entware настроен неверно изначально (т.е. не загружаются скрипты из init.d) во внутренней памяти маршрутизатора. Если у вас Xiaomi Mi Router 3 или 3G, и вы не уверены, что Entware во внутренней памяти у вас работает корректно (автоматический запуск), то просто всё настройте заново. Берёте PROMETHEUS. Обновляет скрипт (1). Обновляете исходный код (2). Собираете и прошиваете самую актуальную прошивку (4). Сбрасываете настройки прошивки (NVRAM и хранилище файлов) — Дополнительно > Администрирование > Настройки. Настраиваете доступ в Интернет на маршрутизаторе и включаете SSH. Выполняете в PROMETHEUS Firmware > Форматирование RWFS. Выбираете Дополнительно > Администрирование > Настройки > Монтировать файловую систему в R/W раздел > UBIFS. Перезагрузите маршрутизатор. Все актуальные скрипты запускаа Entware из внутренней памяти будут прописаны автоматически, и всё будет работать как часы.

Для тестов я использовал популярный Xiaomi Mi Router 3G (Entware установлен во внутреннюю память) с самой свежей прошивкой — 32a93db. Всё будет работать даже на легендарном малыше WT3020 AD/F/H за 10$.

1. Установка необходимого ПО на маршрутизаторе

mc — файловый менеджер Midnight Commander. Он нужен лишь из-за удобного редактора mcedit. Если вы привыкли пользоваться другим текстовым редактором, то mc можно не устанавливать.
tor — сервис Tor.
tor-geoip — база гео-IP для Tor.
bind-dig — DNS-клиент (аналог nslookup и host).
cron — планировщик заданий.

2. Инициализация ipset, создание множества IP-адресов unblock (start_script.sh)

Подключите необходимые модули и создайте пустое множество адресов с именем unblock при загрузке маршрутизатора. Для этого откройте в редакторе файл /etc/storage/start_script.sh:

Чтобы вставить из буфера, используйте Shift+Insert, сохранить — F2, выйти — F10.

При желании вы можете отредактировать файл start_script.sh через веб-интерфейс маршрутизатора — «Дополнительно» > «Персонализация» > «Скрипты» > «Выполнить перед инициализацией маршрутизатора». После редактирования нажмите «Применить».

3. Настройка Tor

Удалите содержимое конфигурационного файла Tor:

Откройте файл конфигурации Tor:

Вставьте (Shift+Insert) содержимое:

Замените при необходимости 192.168.0.1 на внутренний адрес вашего маршрутизатора (LAN). Краткое описание конфигурации:

4. Список доменов (и не только) для обхода блокировки (unblock.txt)

unblock.txt — простой список для разблокировки. Вы можете разблокировать домен, IP-адрес, диапазон или CIDR. Одна строка — один элемент. Пустые строки (в том числе с пробелами и табуляциями) игнорируются. Можно использовать символ # в начале строки для игнорирования.

Создайте файл /opt/etc/unblock.txt:

Каждая строка может содержать доменное имя, IP-адрес, диапазон или CIDR. Можно использовать символ # для комментирования строк.

5. Скрипт для заполнения множества unblock IP-адресами заданного списка доменов (unblock_ipset.sh)

Создайте скрипт /opt/bin/unblock_ipset.sh:

Вставьте (Shift+Insert) содержимое:

Дайте права на исполнение:

Скрипт достаточно простой, вот суть его работы… Ждём, когда заработает резолвинг домена google.com (если этого не сделать, то при загрузке маршрутизатора не будет заполнено множество unblock, т.к. маршрутизатор будет находиться ещё в процессе инициализации). Читаем строки в файле unblock.txt. У прочитанных строк автоматически удалены пробелы и табуляция в начале и в конце. Пропускаем пустые строки. Пропускаем строки, которые начинают на символ #. Ищем в строке CIDR. Если CIDR найден, то добавляем его в unblock. Ищем в строке диапазон. Если он найден, то добавляем его в unblock. Ищем в строке IP-адрес. Если IP найден, то добавляем его в unblock. Резолвим строку через dig. Все IP-адреса результата добавляем в unblock.

6. Скрипт для формирования дополнительного конфигурационного файла dnsmasq из заданного списка доменов (unblock_dnsmasq.sh)

Создайте скрипт /opt/bin/unblock_dnsmasq.sh:

Вставьте (Shift+Insert) содержимое:

Дайте права на исполнение:

Скрипт достаточно простой, вот суть его работы… Последовательно читаем строки из /opt/etc/unblock.txt. У прочитанных строк автоматически удалены пробелы и табуляция в начале и в конце. Пропускаем пустые строки. Пропускаем строки, которые начинают на #. Пропускаем строки, которые содержат IP-адрес (IP, диапазон, CIDR), т.е. нас интересуют только строки с именами доменов. В файл /opt/etc/unblock.dnsmasq вносим строки вида «ipset=/доменное_имя/unblock». Это означает, что после определения IP-адресов конкретного домена они будут автоматически добавлены во множество unblock.

Обязательно запустите скрипт для генерация файла unblock.dnsmasq:

Проверьте, что файл unblock.dnsmasq создался:

7. Скрипт ручного принудительного обновления системы после редактирования списка доменов (unblock_update.sh)

Создайте скрипт /opt/bin/unblock_update.sh:

Вставьте (Shift+Insert) содержимое:

Дайте права на исполнение:

8. Скрипт автоматического заполнения множества unblock при загрузке маршрутизатора (S99unblock)

Создайте скрипт /opt/etc/init.d/S99unblock:

Вставьте (Shift+Insert) содержимое:

Дайте права на исполнение:

9. Перенаправление пакетов с адресатами из unblock в Tor (post_iptables_script.sh)

Откройте в редакторе файл /etc/storage/post_iptables_script.sh:

При желании вы можете отредактировать файл post_iptables_script.sh через веб-интерфейс маршрутизатора — «Дополнительно» > «Персонализация» > «Скрипты» > «Выполнить после перезапуска правил брандмауэра». После редактирования нажмите «Применить».

В этот же файл вы можете добавить (это необязательно) перенаправление всех запросов на внешний порт 53 на себя. Это нужно, чтобы клиенты в локальной сети не использовали сторонние DNS-сервисы. Запросы будут идти через штатный DNS-сервер.

Замените при необходимости 192.168.0.1 на внутренний адрес вашего маршрутизатора (LAN).

10. Подключение дополнительного конфигурационного файла к dnsmasq

Нам необходимо подключить созданный файл unblock.dnsmasq к dnsmasq. Для этого откройте в редакторе файл /etc/storage/dnsmasq/dnsmasq.conf:

Если хотите (это необязательно), можете добавить дополнительный сервер для резолвинга и надёжности:

При желании вы можете отредактировать файл dnsmasq.conf через веб-интерфейс маршрутизатора — «Дополнительно» > «LAN» > «DHCP-сервер» > «Пользовательский файл конфигурации dnsmasq.conf». После редактирования нажмите «Применить».

11. Добавление задачи в cron для периодического обновления содержимого множества unblock

Это дополнительная страховка на тот случай, если программы/устройства используют свой собственный метод резолвинга, а IP-адрес домена изменился. Всё, что нужно сделать, это с желаемой периодичностью запускать скрипт unblock_ipset.sh. Для примера будем запускать каждый день в 6 утра.

Замените в файле конфигурации cron имя root на admin:

Откройте в редакторе файл /opt/etc/crontab:

При желании вы можете закомментировать все остальные шаблонные задачи. Вот, как будет выглядеть ваш файл crontab:

12. Перезагрузка маршрутизатора

После перезагрузки откройте в браузере сайт check.torproject.org (он должен быть добавлен в unblock.txt). Если вы всё сделали верно, то вы увидите надпись «Congratulations. This browser is configured to use Tor.»:

Настройка маршрутизатора с Keenetic OS

У вас должен быть маршрутизатор Keenetic/Zyxel с уже настроенным менеджером пакетов Entware (OPKG). Например, вот список некоторых маршрутизаторов, которые поддерживают Entware: Keenetic II, Keenetic III, Extra, Extra II, Giga II, Giga III, Omni, Omni II, Viva, Ultra, Ultra II, Omni (KN-1410), Extra (KN-1710), Giga (KN-1010), Ultra (KN-1810), Viva (KN-1910), DSL (KN-2010), Duo (KN-2110). Инструкцию по настройке Entware можно посмотреть тут (до 10 пункта).

Если ранее (с прошивкой младше 2.07) вы уже добавляли поддержку Entware, то убедитесь, что у вас используется не устаревший Entware-ng.

Обязательно включите «Модули ядра подсистемы Netfilter» — Общие настройки > Изменить набор компонентов. Если его нет в списке доступных, то пробуйте установить сначала компонент «Протокол IPv6». Если после этого не появляется, то пробуйте без него, но высокая вероятность, что у вас не будет работать разблокировка по диапазону и CIDR (т.к. не будет поддержки множества hash:net).

Для тестов я использовал Keenetic Ultra (KN-1810) с самой свежей прошивкой — 2.14.C.0.0-4.

Важное замечание. Вам придётся отключить штатный DNS-сервер в системе, мы будем использовать dnsmasq вместо него. Вы потеряете возможность назначать DNS-сервисы (Яндекс.DNS/SkyDNS/AdGuard DNS) индивидуально для клиентов, но без проблем сможете использовать их глобально через настройки dnsmasq при необходимости.

1. Установка необходимого ПО на маршрутизаторе

mc — файловый менеджер Midnight Commander. Он нужен лишь из-за удобного редактора mcedit. Если вы привыкли пользоваться другим текстовым редактором, то mc можно не устанавливать.
tor — сервис Tor.
tor-geoip — база гео-IP для Tor.
bind-dig — DNS-клиент (аналог nslookup и host).
cron — планировщик заданий.
dnsmasq-full — DNS-сервер.
ipset и iptables — консольные утилиты ipset и iptables (возможно, они уже есть в системе и не нужны, я добавил их для подстраховки).

2. Инициализация ipset, создание множества IP-адресов unblock (100-ipset.sh)

Проверьте, что в системе вашего маршрутизатора есть поддержка множества hash:net (как оказалась, не во всех маршрутизаторах Keenetic она есть):

Если команда никаких ошибок и сообщений не выдала, значит поддержка есть, и просто следуйте инструкции дальше. В противном случае (есть ошибка) в следующем скрипте вам нужно заменить hash:net на hash:ip. При этом вы потеряете возможность разблокировки по диапазону и CIDR.

Создайте пустое множество адресов с именем unblock при загрузке маршрутизатора. Для этого создайте файл /opt/etc/ndm/fs.d/100-ipset.sh:

Вставьте (Shift+Insert) содержимое:

Чтобы вставить из буфера, используйте Shift+Insert, сохранить — F2, выйти — F10.

Дайте права на исполнение:

3. Настройка Tor

Удалите содержимое конфигурационного файла Tor:

Откройте файл конфигурации Tor:

Вставьте (Shift+Insert) содержимое:

Замените при необходимости 192.168.0.1 на внутренний адрес вашего маршрутизатора (LAN). Краткое описание конфигурации:

4. Список доменов (и не только) для обхода блокировки (unblock.txt)

unblock.txt — простой список для разблокировки. Вы можете разблокировать домен, IP-адрес, диапазон или CIDR. Одна строка — один элемент. Пустые строки (в том числе с пробелами и табуляциями) игнорируются. Можно использовать символ # в начале строки для игнорирования.

Создайте файл /opt/etc/unblock.txt:

Каждая строка может содержать доменное имя, IP-адрес, диапазон или CIDR. Можно использовать символ # для комментирования строк.

5. Скрипт для заполнения множества unblock IP-адресами заданного списка доменов (unblock_ipset.sh)

Создайте скрипт /opt/bin/unblock_ipset.sh:

Вставьте (Shift+Insert) содержимое:

Дайте права на исполнение:

Скрипт достаточно простой, вот суть его работы… Ждём, когда заработает резолвинг домена google.com (если этого не сделать, то при загрузке маршрутизатора не будет заполнено множество unblock, т.к. маршрутизатор будет находиться ещё в процессе инициализации). Читаем строки в файле unblock.txt. У прочитанных строк автоматически удалены пробелы и табуляция в начале и в конце. Пропускаем пустые строки. Пропускаем строки, которые начинают на символ #. Ищем в строке CIDR. Если CIDR найден, то добавляем его в unblock. Ищем в строке диапазон. Если он найден, то добавляем его в unblock. Ищем в строке IP-адрес. Если IP найден, то добавляем его в unblock. Резолвим строку через dig. Все IP-адреса результата добавляем в unblock.

6. Скрипт для формирования дополнительного конфигурационного файла dnsmasq из заданного списка доменов (unblock_dnsmasq.sh)

Создайте скрипт /opt/bin/unblock_dnsmasq.sh:

Вставьте (Shift+Insert) содержимое:

Дайте права на исполнение:

Скрипт достаточно простой. Последовательно читаем строки из /opt/etc/unblock.txt. У прочитанных строк автоматически удалены пробелы и табуляция в начале и в конце. Пропускаем пустые строки. Пропускаем строки, которые начинают на #. Пропускаем строки, которые содержат IP-адрес (IP или CIDR), т.е. нас интересуют только строки с именами доменов. В файл /opt/etc/unblock.dnsmasq вносим строки вида «ipset=/доменное_имя/unblock». Это означает, что после определения IP-адресов конкретного домена они будут автоматически добавлены во множество unblock.

Обязательно запустите скрипт для генерация файла unblock.dnsmasq:

Проверьте, что файл unblock.dnsmasq создался:

7. Скрипт ручного принудительного обновления системы после редактирования списка доменов (unblock_update.sh)

Создайте скрипт /opt/bin/unblock_update.sh:

Вставьте (Shift+Insert) содержимое:

Дайте права на исполнение:

8. Скрипт автоматического заполнения множества unblock при загрузке маршрутизатора (S99unblock)

Создайте скрипт /opt/etc/init.d/S99unblock:

Вставьте (Shift+Insert) содержимое:

Дайте права на исполнение:

9. Перенаправление пакетов с адресатами из unblock в Tor (100-redirect.sh)

Для этого создайте файл /opt/etc/ndm/netfilter.d/100-redirect.sh:

Вставьте (Shift+Insert) содержимое:

Если вы в шаге 2 использовали hash:ip, а не hash:net, то замените hash:net на hash:ip. Фактически мы дополнительно дублируем функцию создания множества unblock из 2 шага. Это нужно для подстраховки, если скрипты из fs.d ещё не начали запускаться, а скрипты netfilter.d уже запускаются. Ничего страшного, если unblock уже было создано ранее, команда просто будет проигнорирована.

В этот же файл вы можете добавить (это необязательно) перенаправление всех запросов на внешний порт 53 на себя. Это нужно, чтобы клиенты в локальной сети не использовали сторонние DNS-сервисы. Запросы будут идти через штатный DNS-сервер. Перед последним exit добавьте:

Замените при необходимости 192.168.0.1 на внутренний адрес вашего маршрутизатора (LAN).

Дайте права на исполнение:

10. Настройка dnsmasq и подключение дополнительного конфигурационного файла к dnsmasq

Удалите содержимое конфигурационного файла dnsmasq:

Откройте файл конфигурации dnsmasq:

Вставьте (Shift+Insert) содержимое:

Замените при необходимости 192.168.0.1 на внутренний адрес вашего маршрутизатора (LAN).

11. Добавление задачи в cron для периодического обновления содержимого множества unblock

Это дополнительная страховка на тот случай, если программы/устройства используют свой собственный метод резолвинга, а IP-адрес домена изменился. Всё, что нужно сделать, это с желаемой периодичностью запускать скрипт unblock_ipset.sh. Для примера будем запускать каждый день в 6 утра.

Откройте в редакторе файл /opt/etc/crontab:

При желании вы можете закомментировать все остальные шаблонные задачи. Вот, как будет выглядеть ваш файл crontab:

12. Отключение штатного DNS-сервера и перезагрузка маршрутизатора

Подключитесь к CLI маршрутизатора Keenetic (порт 23 для Telnet и 22 для SSH, если в системе добавлен компонент «Сервер SSH»).

Встроенный в прошивку DNS-сервер будет выключен, и вместо него будет использоваться dnsmasq из состава Entware. Маршрутизатор при загрузке проверяет, подмонтирована ли папка opt (есть ли флешка/диск с Entware). Если есть, то штатный DNS-сервер не используется. Если нет, используется. Т.е. вынув флешку и перезагрузив маршрутизатор, у вас всё будет работать, как и раньше (перед настройкой).

После перезагрузки откройте в браузере сайт check.torproject.org (он должен быть добавлен в unblock.txt). Если вы всё сделали верно, то вы увидите надпись «Congratulations. This browser is configured to use Tor.»:

Основные методы диагностики ошибок после настройки

Если проверка с сайтом check.torproject.org (он должен быть добавлен в unblock.txt) проходит, но для других ресурсов продолжает открываться заглушка от провайдера (или не открываются), скорее всего, провайдер вмешивается в DNS-трафик, подменяя ответы — вам нужно сделать дополнительный обход фильтрации DNS-запросов.

Если после настройки что-то работает не так, как нужно, используйте простые команды для определения проблемного этапа.

Отобразите содержимое множества unblock:

Если система сообщит, что такого множества нет, то ошибка на этапе 2 или вы не включили модуль Netfilter в системе (в случае с Keenetic).

Если множество окажется пустым, то не отработал скрипт unblock_ipset.sh, который в свою очередь должен быть запущен стартовым скриптом S99unblock. Запустите этот скрипт unblock_ipset.sh вручную. Если множество заполнилось, то ошибка на этапе 8. Если скрипт не может выполниться (скорее всего, ожидает резолвинга google.com), то ошибка где-то на стороне DNS-сервера, возможно, на этапе 10 или 6.

Проверьте наличие редиректа в iptables:

Если его нет, то ошибка на этапе 9.

Если вообще все сайты не работают, т.е. не работает DNS, ошибка где-то в этапе 6 или 10. Возможно, на этапе 9.

Если все сайты из unblock.txt не работают (превышено время ожидания), но все другие работают, то проблема где-то на стороне Tor, ошибка на этапе 3.

Дополнительный обход фильтрации DNS-запросов провайдером

Если провайдер вмешивается в DNS-трафик, подменяя ответы для заблокированных ресурсов, это очень просто обойти. Для этого мы будем использовать dnscrypt-proxy. При желании и опыте вы легко можете заменить dnscrypt на stubby (DNS over TLS).

dnscrypt будет использоваться только для тех доменов, которые перечислены в unblock.txt. Все остальные запросы будут идти через штатные DNS-серверы.

Если вы уверены, что ваш провайдер не фильтрует DNS-запросы, то эту дополнительную настройку делать не нужно.

У вас уже должен быть настроен описанный выше обход блокировок. Нижеследующие настройки идентичны для Padavan и Keenetic OS.

Установите дополнительное ПО на маршрутизаторе:

Откройте файл конфигурации dnscrypt-proxy:

Найдите параметры listen_addresses, fallback_resolver, cache и измените их:

77.88.8.8:1253 — это адрес DNS-сервера Яндекс с нестандартным портом. Он является резервным на тот случай, если у dnscrypt-proxy возникнут какие-то проблемы.

Убедитесь, что dnscrypt-proxy работает (вы должны в ответ увидеть список IP-адресов):

Откройте в редакторе скрипт /opt/bin/unblock_ipset.sh:

Замените содержимое на:

Мы внесли небольшое изменение — теперь dig для резолвинга использует не штатный DNS-сервер, а dnscrypt-proxy с портом 9153.

Откройте в редакторе скрипт /opt/bin/unblock_dnsmasq.sh:

Замените содержимое на:

Мы внесли небольшое изменение — теперь при генерации файла unblock.dnsmasq дополнительно вносятся строки вида «server=/доменное_имя/127.0.0.1#9153». Это означает, что резолвинг доменов из списка будет происходить через dnscrypt-proxy.

Готово. Все сложные настройки позади. Теперь вы будете только редактировать список unblock.txt при необходимости, добавляя или удаляя из него домены или IP-адреса для разблокировки, и командой unblock_update.sh активировать внесённые изменения.

UPDATE 01.04.2019. Часто приходят личные сообщения по статье с типовыми вопросами. Отвечу тут на самые распространённые.

Для доступа ко всем доменам зоны onion добавьте в dnsmasq.conf:

Если вы не хотите открывать доступ ко всем доменам зоны onion, а лишь к определённым, то в dnsmasq.conf добавьте записи следущего вида:

Как сделать обход блокировок для клиентов VPN-сервера, запущенного на маршрутизаторе?

В torrc строку с TransPort замените на:

Добавьте дополнительный редирект с необходимымм интерфейсом (ИНТЕРФЕЙС — интерфейс VPN-сети):

Источник