Необходима возможность использования КВАСа для клиента подключенного по SSTP к роутеру.

Question

Необходима возможность использования КВАСа для клиента подключенного по SSTP к роутеру.

Opened this issue 8 months ago · 22 comments

Опишите проблему.
Необходима возможность использования КВАСа для клиента подключенного по SSTP к роутеру.

Какие шаги, привели к ошибке/проблеме?

На роутере настроил VPN-сервер SSTP для клиента.
Подключаюсь к роутеру по SSTP и телефона через приложение Open SSTP Client
Открываются все сайты которые не в списке КВАС, ip адрес интернета используемого на роутере, то есть маршрутизация есть, кроме маршрутизации через КВАС

Какие ожидания о поведении программы?
При подключении к роутеру клиента по SSTP открытие сайтов находящихся в списке КВАС (kvas list)

Заполните информацию о системе на роутере:

Браузер chrome 121.0.6167.161
SSH Putty 0.73

Заполните информацию о самом роутере (пожалуйста, заполните следующую информацию):

Keenetic Ultra
версия 4.07 (на прошлых версиях такая же ситуация была)
KN-1811

Answer 1 · 2024-02-09T07:22:41.000Z

Здесь не простая ситуация, так как sstp это не просто соединение в терминах rci, а это отдельная серверная надстройка, потому подход там должен быть почти такой же как и при ikev2.
Пока не готов говорить о сроках выпуска Кваса под данный тип соединения.
Скорее всего может появиться в версии 1.2

Answer 2 · 2024-02-09T10:20:05.000Z

Если нужен будет доступ, дам...

Answer 3 · 2024-02-09T10:34:02.000Z

Прошу Вас подобного рода ссылки не публиковать (удалил намерено).

Может быть в версии 1.2.

Answer 4 · 2024-02-09T11:05:07.000Z

тоже думал не публиковать. хорошо что удалили, но как передать всю боль :)

Answer 5 · 2024-02-09T11:27:21.000Z

Еще вопрос, есть ли возможность использования не только adguard, а например по выбору с uBlockOrigin

Answer 6 · 2024-02-09T16:12:17.000Z

в диагностике проскакивают вот такие штуки
Фев 9 19:03:39 КВАС
ОШИБКА::\033[1;31m[ip4_firewall_dns_rules_set] Возникла ошибка в функции при установке правил iptables.\033[m
Фев 9 19:03:39 ndm
Opkg::Manager: /opt/etc/ndm/netfilter.d/100-vpn-mark: sh: bad number.

Answer 7 · 2024-02-09T16:19:21.000Z

Еще вопрос, есть ли возможность использования не только adguard, а например по выбору с uBlockOrigin

Поясните пожалуйста

Answer 8 · 2024-02-09T16:19:39.000Z

в диагностике проскакивают вот такие штуки Фев 9 19:03:39 КВАС ОШИБКА::\033[1;31m[ip4_firewall_dns_rules_set] Возникла ошибка в функции при установке правил iptables.\033[m Фев 9 19:03:39 ndm Opkg::Manager: /opt/etc/ndm/netfilter.d/100-vpn-mark: sh: bad number.

О какой версии Кваса идет речь?

Answer 9 · 2024-02-09T16:26:09.000Z

Последняя, могу сюда дебаг закинуть
+adguard home (adguard on)

Answer 10 · 2024-02-10T05:35:29.000Z

Нет, тут дебаг не нужен - ошибка явная и описана в отладочном сообщении.
Посмотрю в чем дело. Спасибо.

Answer 11 · 2024-02-10T10:25:27.000Z

Еще вопрос, есть ли возможность использования не только adguard, а например по выбору с uBlockOrigin

Поясните пожалуйста

ну есть uBlockOrigin, она от рекламы избавляется лучше. Хотелось бы что бы этот инструмент был в КВАСЕ, потом когда нибудь :)

Answer 12 · 2024-02-10T10:45:25.000Z

ну есть uBlockOrigin, она от рекламы избавляется лучше. Хотелось бы что бы этот инструмент был в КВАСЕ, потом когда нибудь :)

Для этой цели есть adblock в самом Квасе.

Answer 13 · 2024-02-25T17:45:54.000Z

sstp это не просто соединение в терминах rci

Подскажите, с Wireguard сервером на роутере будет работать маршрутизация через Квас и далее через VPN клиент на роутере? Сейчас использую решение https://github.com/DennoN-RUS/Bird4Static хочу перейти на Ваше. И пользуясь случаем хотел бы спросить насчет поддержки BGP, планируется ли? Это очень удобно для заворачивания больших сетей, типа меты.

Answer 14 · 2024-02-26T15:12:31.000Z

Вы имеете ввиду смогу ли клиенты Wireguard сервера использовать Квас?
Честно говоря не нижу в том проблем. Но не проверял - на все 100% не уверен.

По поводу BGP - точно нет.

Answer 15 · 2024-02-29T18:48:25.000Z

@Paveltsibirna

Трям, здравствуйте!

iptables -A PREROUTING -w -t nat -i sstp+ -p tcp -m set --match-set unblock dst -j REDIRECT --to-ports 1181
iptables -A PREROUTING -w -t nat -i sstp+ -p udp -m set --match-set unblock dst -j REDIRECT --to-ports 1181

Это две команды которые нужно выполнить в терминале, они создадут два правила которые будут делать переадресацию пакетов из sstp куда надо.

Ребут они не переживут, но почти готовое решение можно найти на форуме кинетика вот в этом сообщении.

Возможно я чего-то не понимаю (а я в маршрутизации почти ничего не понимаю) и переупрощаю, но у себя правила добавил и вроде бы все работает как надо.

Также я не проверял, слетят ли правила когда квас обновит таблицы маршрутизации, просто проверил, что концептуально это рабочий вариант.

UPD. содержимое сообщения актуально только для комбинации sstp -> ssr (shadowsocks)

Answer 16 · 2024-03-01T04:49:23.000Z

Спасибо! проверю, может еще уважаемый qzeleza обратит на это внимание.

Answer 17 · 2024-03-01T05:21:02.000Z

Это две команды которые нужно выполнить в терминале

Доброго дня
Возможно эти две команды и решают вопросы, но только для ssr

Относительно остальных vpn в режимах fastnet и без оного - есть идеи?

Answer 18 · 2024-03-01T06:02:17.000Z

@qzeleza здравствуйте, спасибо за проект.

Возможно эти две команды и решают вопросы, но только для ssr

Да, извиняюсь что не уточнил в первом сообщении, этот ad-hoc действительно только для маршрутизации sstp -> ssr, а не универсальное решение. @Paveltsibirna FYI

Относительно остальных vpn в режимах fastnet и без оного - есть идеи?

Увы, нет.

Answer 19 · 2024-03-08T15:45:21.000Z

Вы имеете ввиду смогу ли клиенты Wireguard сервера использовать Квас?
Честно говоря не нижу в том проблем. Но не проверял - на все 100% не уверен.

Подтверждаю, работает. В конфигурации клиента WG в качестве DNS нужно указать адрес IP адрес роутера внутри туннеля (например у меня 192.168.2.1). Кроме этого в /opt/etc/dnsmasq.conf, нужно добавить новый listen-address с этим IP адресом.

Answer 20 · 2024-03-27T14:22:20.000Z

Подтверждаю, работает

А не затруднит приложить вывод ifconfig? Или просто подскажите, какое имя у сетевого интерфейса для Wireguard — wg0?

Answer 21 · 2024-03-27T14:45:59.000Z

То есть должно работать ?
что нужно сделать ?

Answer 22 · 2024-04-15T19:40:05.000Z

Здесь не простая ситуация, так как sstp это не просто соединение в терминах rci, а это отдельная серверная надстройка, потому подход там должен быть почти такой же как и при ikev2. Пока не готов говорить о сроках выпуска Кваса под данный тип соединения. Скорее всего может появиться в версии 1.2

Из праздного любопытства был дёрнут API-метод curl -s 127.0.0.1:79/rci/sstp-server, дык у них даже какого-то единого стандарта ответа с IKEv2 нет, всё очень не консистентно:

  "interface": "Bridge0",
  "pool-range": {
    "begin": "192.168.4.35",
    "size": "115"
  },
  "multi-login": true,
  "lcp": {
    "echo": {
      "interval": 30,
      "count": 3
    }
  }

  "enable": true,
  "nat": true,
  "pool-start": "192.168.2.35",
  "pool-size": "115",
  "dns-server": "192.168.1.1",
  "multi-login": true,
  "sa-compat": "default"