Активирована настройка opkg dns override
Обновляем прошивку на версию 2.11 из канала legacy
Соединяемся с роутером
telnet your_router_ip
вводим логин/пароль админ юзера
Переключаем канал на legacy:
components sync legacy - для прошивок до 2.06
components list legacy - для прошивок 2.06 и выше
В веб-интерфейсе идем System -> Update
Проверяем, что в поле "Use" появилось значение "Debug version". Жмем кнопку "Update" и ждём.
После установки модем ребутнётся. Проверяем в дешбоарде версию.
NDMS version: 2.11.D.9.0-1 - Значит, всё получилось.
Установка Entware
Берём любую чистую флешку. Я форматировал в FAT32. У флешки обязательно должна быть метка тома (любая, кроме пустой). Вставляем её в роутер.
Проверяем что в System->Update установлены компоненты FTP и OPKG. Если нет - устанавливаем
Если у вас еще не настроен FTP, то заходим в Applications->FTP, включаем FTP сервер, разрешаем анонимный доступ (или не разрешаем, тогда нужно указать, каким пользователям роутера разрешено пользоваться FTP)
Заходим по FTP на роутер (анонимно или нет - см п 2.4), далее в каталог с именем метки нашей флешки (cм п 2.2)
Создаём каталог install и заходим в него
Копируем установщик из п 2.1 в каталог install
Заходим в Applications->OPKG, Ставим галку "Enable", в "Use external storage" выбираем метку нашей флешки, жмём кнопку "Apply"
Если FTP сервер не нужен - не забываем его выключить.
Ну, по крайней мере, закрыть анонимный доступ :)
Заходим в Entware по SSH
Устанавливаем DNSCrypt2
opkg update
opkg install dnscrypt-proxy2
Устанавливаем немного дополнительных пакетов
opkg install ca-certificates cron iptables
Редактируем /opt/etc/dnscrypt-proxy.toml
нас интересует строка
listen_addresses = ['127.0.0.1:53']
разрешаем слушать любые адреса:
listen_addresses = ['0.0.0.0:53']
Стартуем DNSCrypt2
/opt/etc/init.d/S09dnscrypt-proxy2 start
Подменяем DNS резолвер прошивки
ВНИМАНИЕ! Здесь мы подключаемся к роутеру через telnet (не в Entware по SSH) - см п 1.1 и там выполняем
opkg dns-override
system configuration save
Идём в вебморду Home Network -> Segments
Ищем сегмент со своим Wifi подключением, редактируем в секцию DHCP server: прописываем в
DNS 1 IP роутера
DNS 2 оставляем пустым
Идем в вебморду Internet -> Connections Выбираем своё исходящее подключение: прописываем в
DNS 1 IP роутера
DNS 2 и 3 оставляем пустыми
Идем в вебморду Internet -> Extra Проверяем, чтобы в секции DNS servers не было никаких других серверов кроме IP нашего роутера. Если есть - удаляем.
Переподключаемся к роутеру (по WiFi или проводу) Заодно перепроверяем настройки подключения к роутеру своих устройств, чтобы в них не было принудительно установленных DNS-серверов
Здесь всё (почти работает). Но утечки всё еще возможны. Поэтому мы сейчас запретим весь трафик, который уходит наружу через 53 порт.
Для чего логинимся в Entware по ssh и создаем скрипт
/opt/etc/ndm/netfilter.d/10-ClientDNS-Redirect.sh
ВНИМАНИЕ! Замените 10.1.1.1 на IP вашего роутера
ВНИМАНИЕ! Замените 10.1.1.1 на IP вашего роутера
Делаем 10-ClientDNS-Redirect.sh исполняемым:
chmod +x /opt/etc/ndm/netfilter.d/10-ClientDNS-Redirect.sh
Проверяемся на утечки.
Отныне используемые DNS сервера будут находится рандомно по всему миру, а трафик к ним будет шифроваться.
Не претендую на открытие Америки в этой публикации, т.к. она является компиляцией различных комментариев и статей, в т.ч. на Habr. Не судите строго, надеюсь на помощь в развитии этого направления. Делал эту инструкцию для себя и специально с нуля, чтобы каждый новичок смог повторить те же действия.
Добавление домена в белый список
Почитайте про пользовательские фильтры в раздел настроек «Фильтры → Пользовательское правило фильтрации» и добавьте туда фильтр, который разблокирует доступ к нужному вам домену.
Необходимо
Любой Keenetic с поддержкой USB. Можно установить и на внутреннюю память, но не рекомендуется
Актуальная версия KeeneticOs (на данный момент 3.7.4)
Flash-накопитель любого размера (хватит даже 256Мб, но в 2022 году таких уже не найдёшь)
Удаление AdGuard Home:
1) остановите его:
2) включите DNS-сервер, встроенный в прошивку Keenetic. Подключитесь к CLI (не путайте с SSH-сервером из Entware, который на порту 222):
В данной теме обсуждаются модели 2013 - 2016 годов выпуска. В чёрном корпусе.
Keenetic Start CPU: RT5350/MT5350 MIPS24Kc @360MHz (w/o HW_NAT) Flash: 4MB RAM: SDRAM 16bit 32MB
Keenetic Start II CPU: MT7628AN MIPS24Kc @575MHz (w/o HW_NAT) SPI Flash: 8MB RAM: DDR2 64MB
Keenetic 4G II CPU: RT5350/MT5350 MIPS24Kc @360MHz (w/o HW_NAT) Flash: 4MB RAM: SDRAM 16bit 32MB
Keenetic 4G III Rev. A CPU: MT7620N MIPS24Kc @580MHz (with HW_NAT) Flash: 8MB RAM: DDR1 64MB
Keenetic 4G III Rev. B CPU: MT7628N MIPS24Kc @575MHz (w/o HW_NAT) SPI Flash: 8MB RAM: DDR2 64MB
Keenetic Lite II CPU: MT7620N MIPS24Kc @580MHz (with HW_NAT) Flash: 8MB RAM: DDR1 64MB
Keenetic Lite III Rev. A CPU: MT7620N MIPS24Kc @580MHz (with HW_NAT) Flash: 8MB RAM: DDR1 64MB
Keenetic Lite III Rev. B CPU: MT7628AN MIPS24Kc @575MHz (w/o HW_NAT) SPI Flash: 8MB RAM: DDR2 64MB
Keenetic Omni CPU: MT7620N MIPS24Kc @580MHz (with HW_NAT) Flash: 8MB RAM: DDR1 64MB
Keenetic Omni II CPU: MT7620HN MIPS24Kc @580MHz (with HW_NAT) Flash: 8MB RAM: DDR1 64MB
Keenetic Extra CPU: MT7620A MIPS24Kc @580MHz (with HW_NAT) Flash: 16MB RAM: DDR2 128MB
Keenetic III CPU: MT7620A MIPS24Kc @580MHz (with HW_NAT) Flash: 16MB RAM: DDR2 128MB
Keenetic Viva CPU: MT7620A MIPS24Kc @600MHz (with HW_NAT) Flash: 16MB RAM: DDR2 128MB
Keenetic II CPU: RT6856 MIPS34Kc @700MHz (with HW_NAT) Flash: 16MB RAM: DDR2 128MB
Keenetic DSL CPU: MediaTek RT63368 MIPS 34Kc @700MHz (with HW_NAT) Flash: 16MB RAM: DDR2 SDRAM 128Mb
Keenetic VOX CPU: MediaTek RT63368 MIPS 34Kc @700MHz (with HW_NAT) Flash: 16MB RAM: DDR2 SDRAM 128Mb
Keenetic LTE CPU: MediaTek RT63368 MIPS 34Kc @700MHz (with HW_NAT) Flash: 128MB RAM: DDR2 SDRAM 128Mb
Keenetic Giga II CPU: RT6856 MIPS34Kc @700MHz (with HW_NAT) Flash: 16MB RAM: DDR2 256MB
Keenetic Ultra CPU: RT6856 MIPS34Kc @700MHz (with HW_NAT) Flash: 16MB RAM: DDR2 256MB
Keenetic Giga III CPU: MT7621ST MIPS1004Kc 880 МГц × 1 (with HW_NAT) Flash: 128MB RAM: DDR3 256MB
Keenetic Ultra II CPU: MT7621AT MIPS1004Kc 880 МГц × 2 (with HW_NAT) Flash: 128MB RAM: DDR3 256MB
Использование с VPN Antizapret
1) убедитесь, что Antizapret настроен по этой инструкции
2) запишите/запомните адреса DNS-серверов, указанных в свойствах подключения
Раздел 1. Установка Entware
Форматирование флешки в ext4. Я использовал MiniTool Partition Wizard Free, можно использовать любую другую программу
Воспользуемся инструкцией на официальном сайте Keenetic
Вставляем отформатированную флешку в роутер
Заходим в раздел Управление – Приложения и выбираем нашу флешку
В настройках роутера предварительно должно быть включено приложение "Сервер SMB" для доступа к подключаемым USB-дискам по сети.
Создаём папку install
Ставим курсор на новую папку и импортируем туда файл mipsel с компьютера
В настройках роутера заходим в раздел Управление – OPKG, выбираем нашу флешку и удаляем сценарий, если он есть и нажимаем кнопку Сохранить
Примерно спустя минуту заходим обратно в Управление – Приложения и выбираем нашу флешку. Видим, что у нас установился entware по наличию некоторого количества папок.
Скачиваем Putty (на данный момент актуально putty-64bit-0.76-installer.msi) и запускаем её. Простенькие настроечки (если что их можно сохранить кнопкой Save)
При возможных предупреждениях соглашаемся (кнопка Accept)
Вводим логин «root» (без кавычек), нажимаем Enter, пароль «keenetic» (также без кавычек) (при вводе пароля курсор не двигается – это нормально), также Enter. Должно отобразиться:
и дважды вводим пароль. Курсор при вводе пароля также не двигается
P.S. здесь и далее - для копирование команды в командную строку необходимо скопировать текст на этом сайте и вставить в командную строку с помощью правой кнопкой мыши
Раздел 2. Установка Shadowsocks и необходимых пакетов
За основу данного раздела взята вот эта инструкция
Устанавливаем необходимые компоненты с помощью настроек роутера: Общие настройки > Изменить набор компонентов
Затем, после обновления и перезагрузки роутера, «Модули ядра подсистемы Netfilter» и, на всякий случай «Пакет расширения Xtables-addons для Netfilter» ещё раз перезагружаем роутер
Начинаем настраивать наш Entware
Для этого подключаемся к Putty (см предыдущий раздел)
Вводим логин и пароль (если логин и пароль не меняли то root-keenetic)
Инициализация ipset, создание множества IP-адресов unblock (100-ipset.sh)
Проверьте, что в системе вашего маршрутизатора есть поддержка множества hash:net (как оказалась, не во всех маршрутизаторах Keenetic она есть):
Создайте пустое множество адресов с именем unblock при загрузке маршрутизатора. Для этого создайте файл /opt/etc/ndm/fs.d/100-ipset.sh:
Вставляем содержимое с помощью сочетания клавиш Shift+Insert. Далее в этой инструкции мы также будем использовать это сочетания клавиш
После этого нажимаем сохранить (клавиша F2), соглашаемся (Enter) и выход (клавиша F10). Эти сочетания также будут использоваться далее
Дайте права на исполнение:
Настройка Shadowsocks на примере Highload-VPN. Не является рекламой. Пока там всё бесплатно, они обещают бесплатный доступ с небольшими ограничениями, а вскоре появится информация о платном доступе, но, говорят, не слишком дорогой. Вы можете использовать любой другой сервис, либо настроить самостоятельно Shadowsocks на своём сервере, например по этой инструкции. Только теперь я не знаю как оплатить свой сервер за рубежом)))). За основу этого пункта взята эта инструкция.
После регистрации авторизуемся на сайте и заходим в панель управления
У меня автоматически создался ключ. Нажимаем на кнопку «Показать»
Синюю и зелёную часть мы также будем использовать, но позже. Пока нас интересует часть, выделенная красным цветом (от начала до "собачки"). Копируем её в буфер обмена. Она закодирована в кодировке base64, поэтому нам нужно её раскодировать. Можем использовать этот сайт
В верхнее поле вставляем нашу ссылку и нажимаем кнопку Decode. Появится декодированная строка. Нас будет интересовать пароль, который находится после двоеточия
Возвращаемся в Putty и выполняем команду
Редактируем наш файл. Изменяем строку server (в моём случае 5.5.5.5) на ip адрес (или доменное имя) из ключа, который мы получили на сайте (см вторую картинку наверх). Это "синяя" часть нашего ключа. "Зелёную" часть нашего ключа копируем в server_port (в моём случае 666). В поле password мы копируем пароль из декодированной строки (предыдущая картинка, текст выделенный красным, но после двоеточия). local_port изменяем на любой свободный порт. Можно оставить этот
Сохраняем и выходим (напомню F2,F10)
Редактируем исполняемый файл Shadowsocks
Меняем ss-local на ss-redir
Сохраняем и выходим
Список доменов (и не только) для обхода блокировки (unblock.txt)
Создадим файл /opt/etc/unblock.txt
С помощью данного файла на twitter, facebook и instagram у меня через роутер теперь спокойно заходит. Сайт 2ip будет использоваться для проверки ip
Сохраняем и выходим
Скрипт для заполнения множества unblock IP-адресами заданного списка доменов (unblock_ipset.sh) и дополнительного конфигурационного файла dnsmasq из заданного списка доменов (unblock_dnsmasq.sh)
Создадим скрипт /opt/bin/unblock_ipset.sh:
Вставляем содержимое, затем сохраняем и закрываем
Даём права на использование
Создадим скрипт /opt/bin/unblock_dnsmasq.sh:
Вставляем содержимое. Затем сохраняем и выходим
Даём права на использование
Запускаем скрипт и затем проверяем создался ли файл. Здесь 2 команды, вводим последовательно
Картина будет примерно такая
Скрипт ручного принудительного обновления системы после редактирования списка доменов (unblock_update.sh)
Записываем содержимое, сохраняем и закрываем
Даём права на использование
Скрипт автоматического заполнения множества unblock при загрузке маршрутизатора (S99unblock)
Записываем содержимое, сохраняем и закрываем
Даём права на использование
Перенаправление пакетов с адресатами из unblock в Shadowsocks
Записываем содержимое. Если необходимо – меняем ip адрес роутера и наш порт. Сохраняем и закрываем
Даём права на использование
Настройка dnsmasq и подключение дополнительного конфигурационного файла к dnsmasq
Удалим содержимое конфигурационного файла dnsmasq:
Откроем файл конфигурации dnsmasq:
Записываем содержимое. При необходимости меняем ip роутера. Сохраняем и закрываем
Добавление задачи в cron для периодического обновления содержимого множества unblock
В конец добавляем строку
При желании остальные строчки можно закомментировать, поставив решётку в начале. Затем сохраняем и закрываем
Отключение штатного DNS-сервера и перезагрузка маршрутизатора
·Запускаем командную строку в Windows (открываем пуск и начинаем писать «Командная строка»)
Пишем (ip роутера поменяете если другой)
Логин с паролем вводим от роутера, а не entware (скорее всего admin, а пароль лично Ваш)
Вписываем поочерёдно 3 команды
Роутер перезагрузится и Вы сможете пользоваться нужными Вам сайтами
После перезагрузки роутера у меня почему-то пропал доступ по 222 порту через putty по ssh. В итоге я подключаюсь по 22 порту через тот же putty, ввожу логин с паролем от роутера, пишу команду:
и можно использовать любые команды Entware по типу тех, которые мы вводили в данной инструкции.
Обновляем прошивку на версию 2.11 из канала legacy
Соединяемся с роутером
telnet your_router_ip
вводим логин/пароль админ юзера
Переключаем канал на legacy:
components sync legacy - для прошивок до 2.06
components list legacy - для прошивок 2.06 и выше
В веб-интерфейсе идем System -> Update
Проверяем, что в поле "Use" появилось значение "Debug version". Жмем кнопку "Update" и ждём.
После установки роутер ребутнётся. Проверяем в дешбоарде версию.
NDMS version: 2.11.D.9.0-1 - Значит, всё получилось.
Установка Entware
Берём любую чистую флешку. Я форматировал в FAT32. У флешки обязательно должна быть метка тома (любая, кроме пустой). Вставляем её в роутер.
Проверяем что в System->Update установлены компоненты FTP и OPKG. Если нет - устанавливаем
Если у вас еще не настроен FTP, то заходим в Applications->FTP, включаем FTP сервер, разрешаем анонимный доступ (или не разрешаем, тогда нужно указать, каким пользователям роутера разрешено пользоваться FTP)
Заходим по FTP на роутер (анонимно или нет - см п 2.4), далее в каталог с именем метки нашей флешки (cм п 2.2)
Создаём каталог install и заходим в него
Копируем установщик из п 2.1 в каталог install
Заходим в Applications->OPKG, Ставим галку "Enable", в "Use external storage" выбираем метку нашей флешки, жмём кнопку "Apply"
Если FTP сервер не нужен - не забываем его выключить.
Ну, по крайней мере, закрыть анонимный доступ :)
Заходим в Entware по SSH
Устанавливаем DNSCrypt2
opkg update
opkg install dnscrypt-proxy2
Устанавливаем немного дополнительных пакетов
opkg install ca-certificates cron iptables
Редактируем /opt/etc/dnscrypt-proxy.toml
нас интересует строка
listen_addresses = ['127.0.0.1:53']
разрешаем слушать любые адреса:
listen_addresses = ['0.0.0.0:53']
Стартуем DNSCrypt2
/opt/etc/init.d/S09dnscrypt-proxy2 start
Подменяем DNS резолвер прошивки
ВНИМАНИЕ! Здесь мы подключаемся к роутеру через telnet (не в Entware по SSH) - см п 1.1 и там выполняем
opkg dns-override
system configuration save
Идём в вебморду Home Network -> Segments
Ищем сегмент со своим Wifi подключением, редактируем в секцию DHCP server: прописываем в
DNS 1 IP роутера
DNS 2 оставляем пустым
Идем в вебморду Internet -> Connections Выбираем своё исходящее подключение: прописываем в
DNS 1 IP роутера
DNS 2 и 3 оставляем пустыми
Идем в вебморду Internet -> Extra Проверяем, чтобы в секции DNS servers не было никаких других серверов кроме IP нашего роутера. Если есть - удаляем.
Переподключаемся к роутеру (по WiFi или проводу) Заодно перепроверяем настройки подключения к роутеру своих устройств, чтобы в них не было принудительно установленных DNS-серверов
Здесь всё (почти работает). Но утечки всё еще возможны. Поэтому мы сейчас запретим весь трафик, который уходит наружу через 53 порт.
Для чего логинимся в Entware по ssh и создаем скрипт
/opt/etc/ndm/netfilter.d/10-ClientDNS-Redirect.sh
ВНИМАНИЕ! Замените 10.1.1.1 на IP вашего роутера
ВНИМАНИЕ! Замените 10.1.1.1 на IP вашего роутера
Делаем 10-ClientDNS-Redirect.sh исполняемым:
chmod +x /opt/etc/ndm/netfilter.d/10-ClientDNS-Redirect.sh
Проверяемся на утечки.
Отныне используемые DNS сервера будут находится рандомно по всему миру, а трафик к ним будет шифроваться.
Нужно понимать, что блокировка рекламы с помощью блокировки доменов никогда не будет столь же эффективным способом борьбы с рекламой, как AdblockPlus/uBlock в браузере. Бывают случаи, когда реклама загружается с того же домена, что и полезный контент. Либо адреса рекламных доменов меняются так часто, что их невозможно блокировать все (YouTube). Браузерные дополнения борются с этим, скрывая такую рекламу непосредственно перед отрисовкой на экране, чего роутер сделать, по понятным причинам, не может. Тем не менее, блокировка рекламы с помощью блокировки доменов имеет смысл — например, если на клиентском устройстве реклама показывается в какой-нибудь мобильной игре или приложении, куда браузерный Adblock не установишь. Просто не нужно ожидать, что такая блокировка будет настолько же хороша, как при использовании AdblockPlus/uBlock и торопиться удалять эти дополнения из браузера.
Установите поддержку репозитория Entware. Для этого выполните первые 10 пунктов из инструкции.
после этого пропадёт доступ в Интернет, это нормально (ведь родной dns-proxy кинетика вы только что отключили, а AdGuard Home займёт его место лишь после прохождения первоначальной настройки).
Произведите первоначальную настройку. Веб-интерфейс повесьте на Все интерфейсы , порт 1234 , DNS-сервер повесьте на Все интерфейсы , порт 53 . Также придумайте логин и пароль (чтобы не усложнять, можно использовать логин/пароль от админки роутера).
При установке AdGuard Home должен был автоматически установиться пакет ca-bundle , если он не установлен, то установите его (либо можно установить пакет ca-certificates ):
Отключите в настройках AdGuard Home безопасную навигацию и родительский контроль. Если поможет, то это означает, что процессор роутера не справляется с нагрузкой, создаваемой этими функциями.
Читайте также: