OpenWrt: различия между версиями

Материал из wolfram
Перейти к навигации Перейти к поиску
← Предыдущая правка
ВизуальныйВики-текст
 
(не показаны 3 промежуточные версии этого же участника)
Строка 1: Строка 1:
Тут я опишу все то что нужно знать по части настройки роутеров на OpenWrt.
Тут я опишу все то что нужно знать по части настройки роутеров на OpenWrt.


Строка 111: Строка 113:


== Обход блокировок РКН ==
== Обход блокировок РКН ==
К сожалению я не могу хорошо рассказать каким образом работает интернет, и как происходят все процессы. Но это работает.
На данный момент есть один хороший способ от ITDOG. Он подробно расписан в двух его статьях:


Начинается все с поиска сервера е Европе или Америке. Многие крупные IT конторы позволяют создавать VPS на различных условиях. Amazon, Google, Oracle. Я попробовал все. К сожалению просто так без танцев поставит VPN сервер не получится. Так как эти VPS лежат сильно далеко внутри сети этих контор. Вот именно про это я и говорил, я не могу понять каким образом это работает. Поэтому я не могу понять как это настроить в таких сервисах. Установка в ручную, скачав из репозиториев WireGuard не получается. При подключении к серверу, VPN работает, но сайты не открываются. Мой скудный ум приходит к выводу, что VPN сервер не может достучатся до интернета, хотя сам сервер может.
[https://itdog.info/podnimaem-na-openwrt-klient-proksi-vless-shadowsocks-shadowsocks2022-nastrojka-sing-box-i-tun2socks/ Поднимаем на OpenWrt клиент прокси VLESS, Shadowsocks, Shadowsocks2022. Настройка sing-box и tun2socks]


Базироваться наш VPN будет на WireGuard. О нем многие говорят. Но мне не очень понятно, почему. Скорее всего я снова не знаю чего то.
[https://itdog.info/tochechnaya-marshrutizaciya-po-domenam-na-routere-s-openwrt/ Точечная маршрутизация по доменам на роутере с OpenWrt]


Теперь о саамом подходе, я приложил ниже ссылку о методе, он подробно описан в статье на HABR.  
В них описывается установка SING-BOX, подключение к забугорному серверу несколькими способами и применение точечного обхода.  


Суть в том что когда я пытаюсь зайти на сайт, предположим это rutracker.org, мой вопрос о сайте летит DNS серверу. На каком адресе находится оный? Провайдеры на данный момент видят это, и перехватывают твой запрос, подсовывая свою заглушку по типу РТ, или попросту не дают открыть сайт. Простым решением, раньше, была смена DNS, мы его можем сменить на 8.8.8.8, и после этого запросы идут не через провайдера, сайт прилетает без помех. Сейчас такового провайдера сложно найти. А как оказалось недавно, DNS 8.8.8.8 и подобные вообще могут быть заблокированы в нашей стране.  
Начинаем всё с установки по скрипту этого автора, кстати [https://github.com/itdoginfo/domain-routing-openwrt git] на этот скрипт.


Чтобы знать какой адрес заблокирован, а какой нет нужно иметь список таких адресов. Он есть на сайте https://antifilter.download/ и постоянно обновляется.  
Скрипт организован очень удобно, запустил выбрал нужные параметры и радуешься.
sh <(wget -O - <nowiki>https://raw.githubusercontent.com/itdoginfo/domain-routing-openwrt/master/getdomains-install.sh</nowiki>)
Выбрать пункт sing-box, затем выбрать шифрование DNS stubby, и затем пункт для тех кто находится внутри России.


По идеи автора, не меня, опираясь на этот список и будет происходить фильтрация трафика.  
Технически вот и весь точечный обход по доменам.


----Статьи которые помогли в запуске и установке. Снова пришлось по крупицам выискивать информацию.
Далее нужно всего лишь отредактировать конфиг, который отвечает за настройку подключения к забугорному серверу:


- ''Статья на хабре "Т[https://habr.com/ru/post/440030/ очечный обход блокировок PKH на роутере с OpenWrt]", задала основной курс действий (обязательно смотреть комментарии, так как с момента выхода поменялся синтаксис OpenWrt, одна из причин помучится)''
Чтобы его отредактировать:
nano /etc/sing-box/config.json
Этот конфиг можно настроить на различные виды туннелей. Рассмотрим shadowsocks и VLESS:


- ''Еще одна [https://habr.com/ru/post/449234/#_2-2-3-ip-address-overview статья, рассказывающая как запустить все на]'' [https://habr.com/ru/post/449234/#_2-2-3-ip-address-overview '''Amazon'''''овских облаках.''] Тут я узнал, что пишут скрипты для установки на подобных VPS.
shadowsocks:<syntaxhighlight lang="json">
{
  "log": {
    "level": "debug"
  },
  "inbounds": [
    {
      "type": "tun",
      "interface_name": "tun0",
      "domain_strategy": "ipv4_only",
      "inet4_address": "172.16.250.1/30",
      "auto_route": false,
      "strict_route": false,
      "sniff": true
  }
  ],
  "outbounds": [
    {
      "type": "shadowsocks",
      "server": "$HOST",
      "server_port": $PORT,
      "method": "2022-blake3-aes-128-gcm",
      "password": "$PASS"
    }
  ],
  "route": {
    "auto_detect_interface": true
  }
}
</syntaxhighlight>VLESS<syntaxhighlight lang="json">
{
    "log": {
      "level": "debug"
    },
    "inbounds": [
      {
        "type": "tun",
        "interface_name": "tun0",
        "domain_strategy": "ipv4_only",
        "inet4_address": "172.16.250.1/30",
        "auto_route": false,
        "strict_route": false,
        "sniff": true
    }
    ],
      "outbounds": [
        {
          "type": "vless",
          "server": "$HOST",
          "server_port": $PORT,
          "uuid": "$UUID",
          "flow": "xtls-rprx-vision",
          "tls": {
            "enabled": true,
            "insecure": false,
            "server_name": "$FAKE_SERVER",
            "utls": {
              "enabled": true,
              "fingerprint": "chrome"
            },
            "reality": {
              "enabled": true,
              "public_key": "$PUBLIC_KEY",
              "short_id": "$SHORT_ID"
            }
          }
        }
      ],
    "route": {
      "auto_detect_interface": true
    }
  }
</syntaxhighlight>Рекомендую целиком вставить этот код в файл, во избежание несоблюдения синтаксиса.


- ''Сайт с [https://docs.pi-hole.net/guides/vpn/wireguard/server/ описанием установки WireGuard и настройке сервера].''
Откуда брать все эти данные? Они как раз таки генерируются на сервере за бугром. Об этом я напишу отдельную статью.
----


- ''Еще один [https://pswalia2u.medium.com/setting-up-personal-wireguard-vpn-on-oracle-cloud-compute-instance-1d90d56d4b8b мануал по развертыванию через ansible WG] и настройке сервера, подходит для Oracle.''


- [https://habr.com/ru/post/541466/ Рассказ о том как настроить сеть в ''Oracle Cloud'']''.''
После того как получили эти параметры, можно перезагрузить роутер. И проверить появился ли тоннель tun0
----Почему есть акцент на Oracle? Так получается, что у Amazon, Google и подобных условия хорошие, но не бесконечно. Есть ограничение на бесплатный период, у кого то год, у кого то меньше. А потом плати, да немного, но 150 - 300 рублей в месяц тарантить не хочется. Причем просто подумать, ты тратишь деньги другой стране на то, чтобы заходить на сайты, которые блокирует твоя. Вот почему я принципиально не хочу чтобы такого рода вещи чего то стоили. Я и так плачу Ростелекому, за доступ в ограниченный интернет.


Oracle - дается бесплатно VPS и потом не потребует заплатить за него через год. Но как оказалось с ним больше всего проблем с настройкой. Но возможно дело не в том что они пытаются урезать все, а в довольно высоком пороге вхождения. Подразумевается что пользователь очень хорошо эрудирован в сетях, и четко понимает, как работает сеть у Oracle, на основе этого знает как настроить Файрвол.
Например с помощью команды:
ip a
У меня это выглядит так
----
----
=== VPS Oracle Cloud ===
Как я раньше указывал, именно эти ребята дают виртуальный сервер и постоянный ip навсегда, бесплатно.
[[Oracle Cloud|Установка и настройка Oracle Cloud]] описывается на данной странице.
После завершения установки у нас имеется файл конфигурации, из котого мы и будем брать данные для настройки WG в Openwrt.
Подготовка OpenWrt
Проверим обновления и установим wireguard-tools. Именно версию "tools". Все мануалы, как один говорят об установке "wireguard", без постфиксов, но такого пакета попросту нет. Я не понимаю почему все инструкции такие.
opkg update
opkg install wireguard-tools
Теперь нужно создать исполняемый bash файл, который будет нам подгружать базы заблокированных IP.
nano /etc/init.d/hirkn
Вставим в него следующий код:
#!/bin/sh
START=99
dir=/tmp/lst
mkdir -p $dir
echo "Run download lists"
curl -z $dir/subnet.lst <nowiki>https://antifilter.download/list/subnet.lst</nowiki> --output $dir/subnet.lst
curl -z $dir/ipsum.lst <nowiki>https://antifilter.download/list/ipsum.lst</nowiki> --output $dir/ipsum.lst
echo "Firewall restart"
/etc/init.d/firewall restart
Скрипт делаем исполняемым.
chmod +x /etc/init.d/hirkn
Нужно сделать симлинк (ярлык).
ln -s /etc/init.d/hirkn /etc/rc.d/S99hirkn
Добавим в планировщик задачу на исполнение скрипта, каждый день.
crontab -e
0 4 * * * /etc/init.d/hirkn
Чтобы выйти из vim, нажмем Esc, затем введем ":wq" ,без кавычек.
/etc/init.d/cron enable
/etc/init.d/cron start

Текущая версия от 16:23, 28 августа 2024


Тут я опишу все то что нужно знать по части настройки роутеров на OpenWrt.

Скажем по простому это линукс на роутере. А значит полная свобода по настройке. Остается только знать как и для чего - можно применить.

Очень большой процент роутеров способны работать с OpenWrt. Качество работы зависит от производительности ЦП устройства. Так же версия прошивки.

В данном описании всё касается версии OpenWrt 21.02 - на 13.09.21. Устройство Xiaomi Mi Router 3 Pro. Устройство достаточно производительное чтобы переваривать множество задач.

Начну с базовых вещей:

Первая настройка

Нужно понимать - это линукс, есть в настройках бекап, но это всего лишь некий список конфигов которые роутер сохранит в файле. Установленное ПО не будет удалено. Сделать полный сброс можно только хардресетом.

Сброс настроек

Долгое удержание кнопки reset до тех пор пока не замигает красным индикатор. После чего произойдет сброс настроек. Но не до заводских, это просто отчистка ОС.

ssh

При первом запуске OpenWrt попросит пароль, но его вводить не нужно, его нет.

Его нужно задать в sytem/Admin Password

там придумываем пароль для root

он же будет паролем для ssh

так же можно приложить ключ ssh для доступа по ключу, это удобнее.

Русификация

Для OpenWrt существует оболочка luci, веб морда если по-другому. Мы и видим её в браузере. Для этой оболочки есть скины и языковые пакеты. Устанавливаются они как пакеты.

Есть два способа установить пакет:

Используя оболочку:

Идем в system/Software, далее нажимаем Update lists..., перед нами список пакетов доступных для установки.

Найдем luci-i18n-base-ru, это и есть русификатор интерфейса для luci.

Так же можно установить luci-i18n-firewall-ru, это русификатор для модуля firewall, он считается отдельным.


Используя командную строку по ssh.

Подключаемся к роутеру по адресу 192.168.1.1: 

ssh root@192.168.1.1.

Выполняем обновление списка пакетов: 

opkg update && opkg install luci-i18n-base-ru luci-i18n-firewall-ru

Готово

Первоначальная русификация есть. Остальные русификаторы устанавливаются по мере установки других пакетов.

Настройка pppoe

В моём случае это pppoe от Ростелекома;

Настраивать его нужно в интерфейсе WAN;

Идем в Сеть/Интерфейсы;

На против WAN нажимаем изменить;

Протокол выбираем pppoe;

Появляются поля для заполнения;

В разделе Дополнительные настройки, Получение IPv6-адреса отключаю IPv6, почему то нормально не работает у меня с ним.

После этого Сохраняем и применяем.

Интернет должен появится.

Настройка беспроводных сетей

На роутере предусмотрено два диапазона 2.4 и 5 гигагерц.

Перехожу Сеть/Беспроводная.

Выбираю нужную сеть и нажимаю изменить.

Ввожу название сети, в вкладке Безопасность, выбираю WAPA2/WAPA3, задаю пароль, сохраняю. Тоже самое для второго диапазона.

Выполняю сохранение и применение.

После чего на против каждой нажимаю включить.

Готово WiFi есть.

Проброс портов

Для работы сервисов требуется перенаправление запросов по портам.

Это настраивается в Сеть/Межсетевой экран/Перенаправление портов.

Нажимаем добавить, даем имя перенаправление (может быть любым), выбираем протокол TCP, UDP или оба, Выбираем внешний порт (80, 443), выбираем внутренний порт (80, 443), и ip адрес машины на которую будет происходить перенаправление.

Я делаю перенаправление для портов: 80 и 443 на машину с NGINX. Для работы сайтов.

Постоянные аренды

Можно привязать к машинам постоянные ip адреса, это нужно во многих случаях.

Настраивается это в Сеть/DHCP и DNS/Постоянные аренды.

Нажимаем добавить, даем имя, можно выбрать машины по MAC (обычно если в сети есть машина то роутер о ней уже знает, так что можно выбрать из списка), нажимаем сохранить.

Так делаем для всех машин на которых нужно сохранить постоянный IP.

На этом можно закончить базовую настройку роутера на OpenWRT.

Обход блокировок РКН

На данный момент есть один хороший способ от ITDOG. Он подробно расписан в двух его статьях:

Поднимаем на OpenWrt клиент прокси VLESS, Shadowsocks, Shadowsocks2022. Настройка sing-box и tun2socks

Точечная маршрутизация по доменам на роутере с OpenWrt

В них описывается установка SING-BOX, подключение к забугорному серверу несколькими способами и применение точечного обхода.

Начинаем всё с установки по скрипту этого автора, кстати git на этот скрипт.

Скрипт организован очень удобно, запустил выбрал нужные параметры и радуешься. 

sh <(wget -O - https://raw.githubusercontent.com/itdoginfo/domain-routing-openwrt/master/getdomains-install.sh)

Выбрать пункт sing-box, затем выбрать шифрование DNS stubby, и затем пункт для тех кто находится внутри России.

Технически вот и весь точечный обход по доменам.

Далее нужно всего лишь отредактировать конфиг, который отвечает за настройку подключения к забугорному серверу:

Чтобы его отредактировать: 

nano /etc/sing-box/config.json

Этот конфиг можно настроить на различные виды туннелей. Рассмотрим shadowsocks и VLESS:

shadowsocks:

{
  "log": {
    "level": "debug"
  },
  "inbounds": [
    {
      "type": "tun",
      "interface_name": "tun0",
      "domain_strategy": "ipv4_only",
      "inet4_address": "172.16.250.1/30",
      "auto_route": false,
      "strict_route": false,
      "sniff": true 
   }
  ],
  "outbounds": [
    {
      "type": "shadowsocks",
      "server": "$HOST",
      "server_port": $PORT,
      "method": "2022-blake3-aes-128-gcm",
      "password": "$PASS"
    }
  ],
  "route": {
    "auto_detect_interface": true
  }
}

VLESS

{
    "log": {
      "level": "debug"
    },
    "inbounds": [
      {
        "type": "tun",
        "interface_name": "tun0",
        "domain_strategy": "ipv4_only",
        "inet4_address": "172.16.250.1/30",
        "auto_route": false,
        "strict_route": false,
        "sniff": true 
     }
    ],
      "outbounds": [
        {
          "type": "vless",
          "server": "$HOST",
          "server_port": $PORT,
          "uuid": "$UUID",
          "flow": "xtls-rprx-vision",
          "tls": {
            "enabled": true,
            "insecure": false,
            "server_name": "$FAKE_SERVER",
            "utls": {
              "enabled": true,
              "fingerprint": "chrome"
            },
            "reality": {
              "enabled": true,
              "public_key": "$PUBLIC_KEY",
              "short_id": "$SHORT_ID"
            }
          }
        }
      ],
    "route": {
      "auto_detect_interface": true
    }
  }

Рекомендую целиком вставить этот код в файл, во избежание несоблюдения синтаксиса.

Откуда брать все эти данные? Они как раз таки генерируются на сервере за бугром. Об этом я напишу отдельную статью.


После того как получили эти параметры, можно перезагрузить роутер. И проверить появился ли тоннель tun0

Например с помощью команды: 

ip a

У меня это выглядит так

Источник — https://wiki.mywolfram.ru/index.php?title=OpenWrt&oldid=689