p.s.s..azi am postat o alta modificare..deci uita-te la adresa completa

pentru asamblarea automată a firmware-ului XRMWRT Padavan pentru router Xiaomi Mi-router mini.
Pentru utilizatori Windows si altii .

Atenţie!
Am reconstruit mașina virtuală:
Acum totul funcționează cât se poate de simplu, instrucțiunile au fost actualizate.
Poti descarca imaginea se numește mi-nano(versiunea zip pentru Yabloko).

Această instrucțiune este pentru aceștia care nu are de gând firmware de la Padavan. Conține o imagine pregătită de mine mașină virtuală. Tot ce trebuie să faci este să urmezi instrucțiunile mele pas cu pas. Vă rugăm să rețineți că textul conține un minim de informații pentru a nu vă umple creierul cu lucruri inutile și pentru a nu-i speria pe cei care urmează să facă asta pentru prima dată. Deși am încercat să vă avertizez împotriva tuturor erorilor cunoscute, amintiți-vă că acționați pe propriul risc, deși este minim.
Informațiile vor fi actualizate și imaginea mașinii virtuale va fi finalizată. Dacă aveți întrebări sau ceva nu merge bine, scrieți-mi în QMS sau puneți o întrebare în acest thread.

• Nu este nevoie să instalați mai întâi distribuția și apoi pachetele necesare;


• Totul este într-o arhivă și totul funcționează;


• Cunoștințele cerute de la tine sunt minime;


• Acesta va parcurge routerul pentru dvs., doar conectați computerul la aceeași rețea;


• Vă permite să editați configurația și resursele în timpul procesului de pregătire;


• Vă permite să colectați cu o piele gri.

• Nu vă permite să simțiți procesul în interior și în exterior și să învățați elementele de bază;


• Nu este foarte convenabil să scoateți firmware-ul dacă trebuie să îl salvați în afara mașinii virtuale.

1. Creează un cont mi. Înregistrarea pe site-ul account.xiaomi.com durează puțin și este posibilă fie prin număr de telefon, fie prin e-mail ( de preferat);
2. Conectați routerul la contul dvs. Xiaomi, de exemplu, prin aplicatie mobila Xiaomi MiWiFi RUS, pentru aceasta, routerul trebuie să fie conectat la Internet și telefonul la router;
3. Actualizați la ultima versiune dezvoltatori (versiunea stabilă de firmware nu acceptă SSH). Îl puteți descărca dintr-o resursă chineză prietenoasă (trebuie să descărcați firmware-ul din secțiunea „mini-”) sau să utilizați site-ul web oficial (descărcați firmware-ul „ROM pentru Mini” în consecință);- este în partea dreaptă a paginii

4. Accesați pagina http://d.miwifi.com/rom/ssh, indicând contul dvs. Xiaomi la care ați conectat routerul;
5. Descărcați fișierul miwifi_ssh.bin și amintiți-vă parola pentru Root, scrieți fișierul pe o unitate flash, de preferință de dimensiuni mici, formatată în FAT32;
6. Opriți routerul, introduceți unitatea flash USB în port USB router, țineți apăsat RESET pe router, porniți-l, așteptați până când indicatorul clipește portocaliu, eliberați RESET, așteptați până când indicatorul se aprinde albastru;
Acum să trecem la următorul volum.

1. Descărcați una dintre arhive și dezarhivați-o în C:\Users\your user\VirtualBox VMs sau într-o altă locație care vă place, calea este standard (voi actualiza arhivele dacă este posibil);
2. Deschideți Oracle VM VirtualBox (dacă nu, descărcați versiunea recomandată 4.3.12.93733);
3. Next Machine - Add..., indicați calea către folderul pe care l-ați dezarhivat mai devreme;
4. Deschideți setările mașinii și corectați caracteristicile acesteia (numărul de miezuri și memorie cu acces aleator) astfel încât să funcționeze mai rapid, dar să nu intre în conflict cu realitatea;
5. Pornim mașina, introducem datele de conectare maistru si parola 4815162342 (da, asta e din serialul TV LOST);
6. Să rulăm scriptul:

./start.sh

Răspundeți la întrebările din scenariu 1 - acesta este un răspuns pozitiv 0 - negativ. Dacă doriți să resetați execuția Ctrl+C. Orice altceva este automat.

Informații de referință:
update.sh - actualizați scriptul, doriți să actualizați scripturile, apoi rulați-l;
începe.sh - fișierul principal care ar trebui lansat imediat, descarcă sursele și te conduce mai departe pe drumul către un viitor luminos;
download.sh - fișier de depanare, se întâmplă adesea ca sursele să fie descărcate cu o eroare, l-am buclat astfel încât să aveți mai multe încercări dacă există o eroare;
construi.sh - asamblare firmware în timpul căruia puteți edita configurația, înlocui fișierele sursă și chiar schimba pielea;
flash.sh - firmware automat, simplu și sigur;

• Managerul de fișiere poate fi lansat cu următoarea comandă:
  

  mc

  
  În continuare, efectuăm toate acțiunile folosind tastatura, și anume săgețile. Toate comenzile semnate mai jos sunt chei F1...F10 dacă vrem să selectăm, faceți clicIntroduce.


• Când vi se solicită o parolă, introduceți: "4815162342 " (rețineți că parola nu este afișată când este introdusă);


• Dacă ecranul devine negru, apăsați orice buton, acesta este economizorul de ecran;


• Vă rugăm să aveți răbdare, în funcție de configurația mașinii dvs., compilarea poate dura de la 10 la 30 de minute;


• Vă rugăm să rețineți că, dacă un computer cu o mașină virtuală este conectat la routerul nostru, nu este nevoie să eliminați firmware-ul de pe mașina virtuală. Puteți să-l flash prin consolă, scriptul în sine vă va oferi să facă acest lucru.

Chinezii sunt oameni extraordinari. Au fost primii din lume care au învățat să producă hârtie, au inventat praful de pușcă și multe medicamente. Nu mai puțin interesanți sunt locuitorii moderni ai Imperiului Celest, pricepuți în înaltă tehnologie.

Compania chineză Xiaomi a apărut în urmă cu doar 5 ani, în 2010, dar a reușit deja să surprindă publicul respectabil cu câteva dintre soluțiile sale tehnologice. Unul dintre acestea este un router Xiaomi Mini Router Wifi.

Această mașină poate fi cumpărată din Ucraina, dar este mai bine să o achiziționați de pe Aliexpress - va fi mult mai ieftin. Rețineți doar - există o versiune cu același aspect cu indicele Nano - acesta este un alt model care are caracteristici mai proaste. Nu te confunda!

Deci, ce primim pentru aproximativ 27 USD? Trebuie să spun, multe. Caracteristicile modelului sunt următoarele:

• Procesor MT7620A 580 MHz;
• ROM: 16 MB SPI Flash;
• RAM: 128 MB DDR2;
• Nu există HDD încorporat (puteți conecta unul extern prin USB);
• 2,4 GHz WiFi 2×2 (până la 300 Mbit/s);
• 5 GHz WiFi 2×2 (până la 867 Mbit/s);
• WAN (până la 100 Mbit/s);
• LAN x2 (până la 100 Mbit/s);
• Antene externe omnidirecționale dual band - 2 buc.

Da, un astfel de copil are un procesor bun și o cantitate semnificativă de memorie RAM. Dar acesta este doar începutul. Routerul este disponibil în mai multe culori: negru, alb, galben, albastru și roz, dar cel mai probabil îl veți obține pe cel alb.

Corpul routerului este realizat din plastic și este destul de plat; din păcate, nu există suporturi pentru montarea pe perete.

Firmware-ul routerului este în chineză. Dacă ați comandat pe Ali, atunci probabil veți primi o versiune „internațională” cu interfață în limba engleză, dar după prima actualizare va deveni chineză. Din păcate, aceasta este prima și cea mai importantă problemă a routerului - Xiaomi Mini Wifi Router pur și simplu nu este adaptat pentru palestinienii noștri. Desigur, există un script pentru toate browserele majore, cu excepția IE și Edge, dar nu funcționează bine. Și de aici urmează singura soluție - routerul trebuie să fie reflashat.

Astăzi, pe lângă firmware-ul nativ, există mai multe alternative. Vom vorbi despre firmware-ul de la Andy Padawan numit XRMWRT. Există și OpenWRT (PandoraBox), despre asta vom vorbi altă dată.

Deci, care sunt beneficiile firmware-ului XRMWRT?

• Funcționează excelent și este ușor de configurat;
• Viteză și stabilitate excelente;
• Totul este inclus imediat;
• Disponibilitatea pieilor;
• Pachetul standard de firmware include destul de multe programe;
• Grad ridicat de securitate;
• Inițial în rusă.

• Nu se aplică la acces deschis, necesită auto-asamblare;
• Necesită acces prin SSH;
• Sistemul se află într-o secțiune numai pentru citire.

Pentru comparație, iată avantajele și dezavantajele firmware-ului stoc (nativ):

• Preinstalat și funcțional;
• Poate fi controlat printr-o aplicație de pe un smartphone/PC.

• Chineză și engleză, pentru a obține limba, schimbați regiunea wifi în Europa și actualizați firmware-ul;
• Nu Suport USB modemuri;
• Nu există suport L2TP normal de la Beeline (slavă Domnului, Beeline și-a revenit în fire și în unele regiuni a permis conectarea fără tunel);
• Fără suport IGMP (IPTV);
• Pune foarte mult stres pe procesor.

Dacă sunteți un utilizator fericit al sistemului de operare Linux, faceți următoarele:

1. Deschideți un terminal;
2. Descărcați scriptul introducând comanda:

wget -O start.sh http://prometheus.freize.net/script/start-99.sh

1. Introduce:

chmod +x start.sh

1. Rulați scriptul și urmați instrucțiunile suplimentare din terminal:

./start.sh

Nu ai Linux la îndemână? Puteți folosi o mașină virtuală:

Dacă aveți instalat un sistem pe 64 de biți, este recomandat să utilizați VMware Workstation Player:

1. Descărcați și instalați VMware Workstation Player;
2. PROMETEU;
3. Lansați VMware Workstation Player și adăugați containerul despachetat;

4.2. Verificați alte setări ale containerului.

1. Porniți mașina virtuală.

1. Descărcați și instalați Oracle VM VirtualBox;
2. Descărcați și despachetați imaginea mașinii virtuale PROMETHEUS;
3. Lansați Oracle VM VirtualBox și adăugați containerul dezambalat;
4. Configurați setările containerului:

4.1. Configurați numărul de nuclee și RAM pentru mașina virtuală;

4.2. Asigurați-vă că comutați conexiune retea la modul bridge.

1. Porniți mașina virtuală.

Meniul Prometheus

Preparare:

1. Hack de firmware de stoc SSH

Vă permite să obțineți acces prin SSH la stocul MI-MINI pentru firmware-ul ulterior.

1. Actualizați scripturile

Puteți alege două opțiuni de upgrade, la o versiune stabilă și de testare a scriptului. Versiunea de testare este întotdeauna mai proaspătă și mai funcțională, dar poate conține mai multe erori (uneori și invers, dar aceasta este o excepție).

1. Actualizați sursă

Vă permite să actualizați sursele din care este compilat firmware-ul; efectuați întotdeauna acest pas înainte de a asambla firmware-ul.

1. Colectați lanțul de instrumente

Toolchain este necesar pentru a compila firmware-ul; acesta este asamblat o dată și este actualizat foarte rar. Scriptul în sine va verifica prezența acestuia și îl va asambla împreună cu firmware-ul. Puteți sări peste acest articol, este necesar doar în cazuri extreme și reconstruiește forțat lanțul de instrumente.

Asamblare si instalare:

1. Firmware

4.1. Schimbați configurația de construcție

4.1.1. Editor automat

Vă permite să activați sau să dezactivați modulele firmware.

4.1.2. Editați configurația în nano

La fel ca la punctul anterior, dar pentru cei care știu ce fac.

4.1.3. Resetați toate editările

Restabilește configurația originală.

4.1.4. Activați LED-ul ROȘU pentru WAN

4.2. Aplicați piei

Vă permite să instalați sau să eliminați skinuri suplimentare pentru panoul de administrare WEB al routerului.

4.3. Construiți firmware

Începeți să compilați firmware-ul și lanțul de instrumente dacă nu există. ASIGURAȚI-VĂ CĂ TERMINAȚI ADĂUGAT DE MODULE ȘI PIELE ÎNAINTE DE ACEST PUNCT.

4.4. Firmware Flash

Afișează cel mai recent firmware asamblat.

5.1. Selectați din arhiva firmware

Puteți selecta firmware-ul colectat anterior.

6.1. Ștergeți arhiva firmware

1. U-Boot

5.1. Instalați/actualizați U-BOOT

Acest punct este suficient; de obicei, U-Boot este deja livrat asamblat.

5.2. Construiește U-BOOT din sursă

Îl poți actualiza dacă nu ești mulțumit de versiunea care vine cu Prometheus.

5.3. Deplasați înapoi U-BOOT la stoc

Restaurează sectorul de boot versiunea de la producător.

1. EEPROM

Patch-ul pentru a îmbunătăți recepția semnalului pe router trebuie instalat o singură dată pe durata de viață a routerului. Se poate face doar pe Mi-MINI.

1. Ștergeți arhiva firmware

Șterge arhiva firmware-ului, cu excepția celui mai recent.

Restabili firmware de stoc sau un punct de restaurare nativ, dacă ați făcut-o.

Ieșiți din script sau coborâți nivelul meniului.

După ce flashăm firmware-ul, introducem adresa 192.168.1.1 și obținem un router complet funcțional, cu firmware excelent și multe bunătăți, inclusiv un scanner de conexiune la internet, aria2 rocker și alte lucruri.

Salutare tuturor, astăzi revizuim din nou un costum de baie de la un router :) Dar este neobișnuit. Să începem cu faptul că acest router nu se vinde în afara pieței chineze și am forțat literalmente magazinul să-l adauge în gamă. Ce este atât de special la asta? În primul rând, am fost captivat de aspectul ei. Mai mult, în descriere a fost listat ca gigabit și, judecând după puținele informații obținute de pe forumurile chinezești, ar fi trebuit să fie potrivit pentru cerințele firmware-ului „de la Padawan”. Ce s-a întâmplat de fapt și de ce și cu ce bariere lingvistice a trebuit să mă confrunt - vă spun sub tăietură, bine ați venit :)

︎ DOSSIER ◀

● Tehnologia de bază de semnal Gee Turbo 2.0, promițând o acoperire sporită până la 300 de metri
● De 3 ori mai rapid decât pulberea de router obișnuită (wifi), de 10 ori mai rapid decât routerele obișnuite (ethernet).
● 3 antene dual-band, 2,4GHz 2x2 MIMO, 5GHz 2x2 MIMO
● Bandă duală b/g/n, 802.11 a/n/ac 2,4GHz 2x2 300Mbps, 802.11 a/n/ac 5GHz 2x2 867Mbps
● Rețea Gigabit
● Slot Micro SD
● USB 2.0
● 1 WAN, 2 LAN

︎ FOTOGRAFII DIN MAGAZIN ◀

Dacă permiteți, mai întâi voi arăta fotografii de marketing de la producător/magazin, apoi pe ale mele.

După părerea mea, aspectul ochilor este plăcut.
Acum câteva diapozitive care descriu capacitățile:

Informații suplimentare

︎ CE ESTE ATAT DE SCUMP?! ◀

Stai, cititorul indignat se va întreba, de ce este atât de scump, aur, sau ceva de genul? Nu, nu este auriu, este din aluminiu anodizat, precum iPhone-urile/MacBook-urile. Mai mult, acesta nu este aluminiu vopsit, ci doar un astfel de aliaj, am încercat să-l văd cu o pilă, vopseaua nu s-a desprins. Deci de ce este atât de scump? Să ne dăm seama:

Greutate produs: 0,538 kg
Greutate pachet: 0.800 kg
Dimensiune produs (L x l x H): 11 x 192,6 x 2,3 cm
Dimensiune pachet (L x l x H): 13 x 21 x 5 cm

În primul rând, plătim un colet care cântărește 800 de grame. Din păcate, frumusețea are un preț. În plus, routerul are LNA (amplificatoare), care măresc și costul de producție. Ei bine, gigabit, necesită și cipuri și transformatoare mai scumpe. Ei bine, dual-band, unde am fi fără el? Merita? Să încercăm să aflăm.

Ei bine, asta s-a rezolvat, acum propriile mele fotografii.

︎ FOTOGRAFII PROPRII ◀

Routerul a sosit într-o cutie ca aceasta:


Am rupt ambalajul puțin în lateral și am văzut sigla. marcă HiWiFi - „Gee”


Cutie, vedere de sus. Girbest a aruncat un adaptor de calitate proastă în cutie, dar este încă frumos.


Ea este cea de mai jos.


Am scos capacul cutiei, cutiile cu lucruri mici erau bine așezate, antenele routerului ieșeau, routerul era acoperit cu instrucțiuni.


Îndepărtăm instrucțiunile.


Hai sa o intoarcem :)


Set de livrare (și ar fi putut pune un cordon de corecție auriu!):


Instrucțiuni în chineză




Eroul recenziei.


Poate sta vertical (nu sunt furnizate urechi de montare pe perete)


Antenele se îndoaie la 90 de grade și se rotesc la 180 de grade.


Un truc de la chinezi - șuruburi triunghiulare.


Dar nimic nu este imposibil; o șurubelniță cu crestătură cu o lățime care se potrivește cu marginea triunghiului a făcut treaba.


Antenele nu se deșurubează.


Și iată placa, iubitul nostru MT7620 :)


Partea inversă a plăcii lunare.


Comparații care sugerează ele însele:
1) smartphone


2) Xiaomi 10400


Să cântărim:


Cu o consolă conectată.

︎FIRMWARE DIN FABRICĂ◀

Notă: dacă se află în capturi de ecran Limba engleză este un traducător automat din chineză în Google Chrome.

Ecran de bun venit:


Conectați internetul la router


Setarea tipului de conexiune


Sugestie de utilizare a aplicației miracol chinezesc pentru un smartphone:


Setarea unei parole pentru panoul de administrare:




Succes!


După care un prieten le apare multora (cei care citesc recenziile mele anterioare) ecranul principal router. Se pare că chinezii au un fel de axă unică; această problemă va trebui studiată.


Setari aditionale:




În general, firmware-ul este interesant, poate suporta unele aplicații, dar sunt destinate în mare parte pieței chineze și oricum nu ne-ar oferi bonusuri. Dar a fost și amuzant, mi-a plăcut foarte mult titlul:

︎ HACKING ◀

După cum s-a dovedit, routerul este complet îngrădit și nu puteți pur și simplu să încărcați firmware-ul pe el. Desigur, cu ajutorul unui programator acest lucru se poate face în 10 clicuri, dar din moment ce nu toată lumea de pe Muska le-a achiziționat încă, vom căuta o metodă populară.
Pentru a face acest lucru, trebuie să înveți limba chineză.
Glumă. Dar aproape necesar. Pentru a actualiza firmware-ul, trebuie să schimbați bootloader-ul pentru a se reproduce (de preferință) și să îl înlocuiți pe cel standard, dar dezvoltatorii au furnizat aproape totul: firmware-ul este fie descărcat de pe serverul de actualizare, fie încărcat prin interfața web standard, dar atât bootloader-ul și firmware-ul sunt protejate de o semnătură electronică (semnătură digitală) și un stângist în care nu pot strecura: (În timp ce studiam firmware-ul prin forță brută, am identificat o secțiune cu semnătură digitală electronică, dar nu mi-am putut da seama Află cum să-l falsific, iată-l:


Și iată semnătura digitală în sine:

Prin urmare, vom încerca să activăm modul dezvoltator, un mod în care este disponibil ssh către router.
Intrăm în router, înregistrăm un cont hiwifi pentru noi înșine și încercăm să activăm modul dezvoltator.

Dar pentru a-l porni, trebuie să ai...

Informații suplimentare

SIM CHINEZEZ!!!

La care va cădea deja un SMS cu cod de deblocare. De unde îl pot obține și chiar și pentru toți moscoviții? Și apoi am decis să încerc suport tehnic. Dar suportul tehnic este disponibil exclusiv printr-un program chinezesc similar fie Twitter, fie Viber numit WeChat. Înregistrați-vă acolo și scrieți la asistența tehnică HiWiFi (cont: jiluyou)
Scriem un cărucior:

Agentul de asistență tehnică Skylar se alătură chat-ului:
Spuneți-ne adresa dvs. Mac și vom debloca modul dezvoltator pentru dvs., dar veți pierde garanția. Haha, cu garanție, da.

A trecut puțin timp și am fost informat că contul meu de dezvoltator a fost activat.

Au urmat instrucțiuni despre cum să activați un cont de dezvoltator (o persoană cu creier, acesta este aparent un dezvoltator):

Apoi mergem unde am fost trimiși:






Ura! Jumătate din treabă este făcută.
Sper că după recenziile mele, toată lumea știe deja să folosească ssh?!
Ne conectăm la router prin ssh, portul 1022, IP 192.168.199.1, admin/admin:


Suntem în sistem! În continuare, pregătim o unitate flash USB cu două fișiere - breed și firmware-ul padawan pe care l-am pregătit.

Apropo, băieți, am decis în sfârșit să încerc să fac un site pe routere, l-am numit nimic mai mult sau mai puțin - :)
Propun sa discutam aproape toate modelele de routere, firmware de la Padavan, OpenWRT, Zyxel, InvizBox (firmware pentru nexx 3020 din cutie poate face fata tor, un fel de prezervativ de internet).
De asemenea, puteți găsi întotdeauna versiuni de firmware proaspete zilnice de la Padavan, la acest moment Sunt acceptate următoarele routere:

HiWiFi 5681
NEXX WT3020
VONETS toate 300 Mbit
TCL-T1
Și, exclusiv, versiunea alfa a firmware-ului pentru NEXX WT1520, momentan wan și usb nu funcționează, dar există speranțe să o reparăm.

Deci, ne-am autentificat prin ssh, folosind parola de conectare admin/admin, să vedem cum a fost identificat unitatea noastră flash:


Ok, sda1.
Creați un director pentru punctul de montare:

Montăm unitatea flash, uită-te la ce fișiere sunt pe unitatea flash:


Afișăm bootloader-ul, introducem literă cu literă, altfel va fi chinuitor de dureros.


Flashing firmware-ul de la Padawan:


De fapt, asta-i tot. Opriți alimentarea, scoateți unitatea flash, așteptați să se încarce. Și așa:

︎ O dezamăgire la care nu te așteptai ◀

Și apoi m-a așteptat o astfel de mizerie:


WOW-WOW-WOW, ce mai este 100 Mbit, avem un router gigabit!
După cum sa dovedit, este într-adevăr un router gigabit, dar... Cu un port gigabit. C'est la vie.
După ce am băut o băutură alcoolică tare dintr-o înghițitură, am început să mă gândesc. Ce să fac? Ei bine, este rău, desigur, dar pe de altă parte, dacă ai un furnizor de 100 Mbit, atunci este în regulă, gigabit LAN, totul este bine.
Dacă furnizorul dvs. oferă internet la viteze care depășesc 100 Mbit și nu aveți o conexiune gigabit local, atunci totul nu este pierdut. Cu toate acestea, dacă aveți atât o rețea locală gigabit, cât și un furnizor gigabit - este o problemă, căutați un alt router, ne așteptăm la un val de noi dispozitive în toamnă pe cipul 7621.

︎ CE ESTE PUTEREA, FRATE? ◀

Deci, să revenim la mega caracteristică a acestui router - amplificatoare de antenă. La serviciu, am comparat puterea semnalului punctelor, Cisco Wifi pentru câteva kilobucks și acesta. Ghici cine are semnalul mai puternic? Networkerul nostru a fost șocat și a decis să ia acest dispozitiv pentru sine :) Routerul bate MULT, iartă-mă pentru astfel de expresii. Captură de ecran de pe un telefon Android:
2,4 GHz:


5GHz


Test de viteză NATO (IPoE):



După părerea mea, este destul de decent; în vârfuri se descarcă cu o viteză de 51 de megaocteți pe secundă.

︎ PRO ◀

+ Gigabit (deși nu este complet sincer)
+ Puterea puternică a semnalului wifi
+ Aspect
+ Firmware alternativ
+ Slot pentru carduri de memorie (în ciuda faptului că încă nu mi-am dat seama cum să încorporez acest lucru în firmware)

︎ CONTRA ◀

- Nu toate porturile sunt gigabit
- Metodă de firmware complicată
- Pret, datorita carcasei grele pentru router si a cutiei generale.

︎ CONCLUZII ◀

Am petrecut mult timp convingându-l pe manager să adauge un router pe care nimeni nu-l vinde în afara pieței chineze și avea mari speranțe pentru acest router. Pe de o parte, a justificat încrederea, pe de altă parte, există neajunsuri.
Dar, în general, mi-a plăcut foarte mult acest router și, având în vedere prețul și capacitatea gigabit inferioară (precum și un mod destul de sofisticat de decuplare de firmware chinezesc), îl pot recomanda tuturor (dar nu-l ține din cap).

Atâta tot, le doresc tuturor un internet bun, stabil și aștept cu nerăbdare pe toți cei interesați de la routerclub;) Ne revedem, prieteni!

Și da, dacă te-a ajutat această recenzie, nu ezitați să acordați un plus recenziei, aceasta este cea mai bună mulțumire.

Instructiuni cu opțiuni diferite ocolind blocarea resurselor de Internet publicate o cantitate mare. Dar subiectul nu-și pierde actualitatea. Și mai des, există inițiative la nivel legislativ de blocare a articolelor despre metode de ocolire a blocării. Și au existat zvonuri că Roskomnadzor va primi un alt pachet de bani ai contribuabililor pentru o blocare „mai bună”. Utilizatori avansați Ei nu vor învăța nimic nou sau util din articol. Dar alții vor primi gata făcute instrucțiuni pas cu pas pentru ocolire selectivă simplă și eficientă a blocării pe routerele populare cu firmware Padavan și Keenetic.

Totul a fost bine, dar „cel mai bun este întotdeauna dușmanul binelui”. În primul rând, unele programe noi au devenit prea „inteligente” și rezolvă domeniile folosind propriile metode, ocolind serverul DNS al routerului. Acest lucru nu permite dnsmasq pe router să adauge adresa la setul ipset pentru deblocare și duce la un rezultat logic - resursa rămâne blocată. În Android 9, a apărut suportul standard pentru DNS-over-TLS, adică. această metodă de ocolire a blocării nu mai funcționează (dacă un alt dispozitiv nu a accesat anterior dnsmasq). În al doilea rând, actualizarea întregii liste de domenii de la antizapret duce la rezultate imprevizibile de fiecare dată. Lista poate include domenii care nu sunt de fapt blocate și a căror funcționare este importantă prin canalul principal. Trebuie să fii constant în gardă și să editezi manual fișierele generate. În al treilea rând, m-am săturat să „purtam” o listă uriașă de domenii cu zeci de mii de cazinouri și altele asemenea care pur și simplu nu sunt necesare. De-a lungul timpului, mi-am dat seama că am nevoie doar de o listă mică, specifică, de resurse blocate.

Așa că am folosit o metodă de deblocare ușor modificată de un an, de care sunt complet mulțumit:

• Simplitate și ușurință de control (după configurare).
• Control total asupra resurselor care trebuie deblocate.
• Cerințe minime pentru procesorul și resursele RAM ale routerului.
• Acoperire largă de nuanțe atunci când ocoliți blocarea.

Este important să rețineți că opțiunea mea nu este destinată cazului în care trebuie să deblocați sute sau mii de domenii. Pentru că atunci când routerul pornește, fiecare domeniu din lista dată este rezolvat. Cu cât sunt mai multe domenii în listă, cu atât va dura mai mult pentru a inițializa ipset-ul setat pentru deblocare.

Baza pentru ocolirea blocării este aceeași - rețeaua Tor. Utilizarea sa se datorează a doi factori simpli - este gratuit, iar probabilitatea ca Tor să fie blocat în Rusia este aproape de zero, spre deosebire de orice serviciu VPN. Tor este fundamentul traficului de droguri în Rusia, de la managementul mediu până la cel de jos. Blocarea Tor va duce la căutarea de noi instrumente pentru piață și la o scădere a nivelului de anonimat, ceea ce va duce la activarea cu succes a activității agențiilor locale de aplicare a legii. În cele din urmă, acesta, ca un virus, va începe să afecteze negativ eșalonul superior. Având în vedere ultimele știri surprinzătoare despre legăturile înalților oficiali guvernamentali cu traficul global de droguri în Rusia, blocarea Tor în Rusia este pur și simplu un tabu, chiar dacă este banal. Nici Roskomnadzor, indiferent câte miliarde sunt alocate acestei agenții, nici o instanță din Rusia nu are permisiunea „de sus” să blocheze Tor. Și acest lucru nici măcar nu surprinde și nici nu sperie pe nimeni, chiar dacă Rusia pur și simplu se îneacă în droguri (orice școlar știe ce este „plasa de rață” și, după 30 de minute, are oportunitatea reală în orice oraș cu o populație de 10 mii sau mai mult de a obține cu ușurință aproape orice droguri în orice cantitate - un adevăr atât de rău al vieții). La modul curent probabilitatea de blocare Rețele Tor mai mică decât probabilitatea de a bloca site-ul Muzeului Ermitaj.

Instrucțiunile date pot fi adaptate cu ușurință pentru routerele cu OpenWrt. De asemenea, cu mici modificări, este ușor să înlocuiți Tor cu OpenVPN.

Cum veți gestiona ocolirea blocurilor odată configurat?

Totul este foarte simplu. Aveți un fișier /opt/etc/unblock.txt - o listă simplă pentru deblocare. Puteți debloca un domeniu, o adresă IP, un interval de adrese sau CIDR. O linie - un element. Liniile goale sunt permise și puteți utiliza caracterul # de la începutul unei linii pentru a ignora.

După editarea acestui fișier, pur și simplu rulați comanda pentru a aplica noua configurație:

Unblock_update.sh
Toate resursele de la unblock.txt sunt deblocate fără a fi nevoie să reporniți routerul.

Principiul de funcționare

• Când routerul este inițializat, un set gol de adrese IP, ipset, este creat cu numele unblock.
• Se adaugă o regulă la firewall pentru a redirecționa toate pachetele cu destinații de la deblocare către serviciul Tor.
• Serviciul Tor pornește în modul proxy transparent.
• Este lansat un script special unblock_ipset.sh, care rezolvă toate domeniile din unblock.txt și adaugă adresele lor IP la setul de deblocare. Adresele IP, intervalele și CIDR-urile din acest fișier sunt, de asemenea, adăugate pentru a debloca.
• Dnsmasq este lansat cu un fișier de configurare suplimentar unblock.dnsmasq, care specifică adăugarea adreselor IP de domeniu de la unblock.txt la setarea de deblocare în timpul rezoluției.
• cron rulează unblock_ipset.sh la anumite intervale pentru a compensa parțial cazurile posibile cu nuanțe.
• Dacă este necesar, toate domeniile de la unblock.txt (și numai ele) sunt rezolvate prin dnscrypt-proxy dacă furnizorul filtrează DNS.

Configurarea unui router cu firmware-ul Padavan

Trebuie să ai un router cu firmware-ul instalat Padavan și managerul de pachete Entware deja configurat. Pe Windows, puteți utiliza clientul PuTTY pentru a stabili o conexiune la router prin SSH.

Asigurați-vă că utilizați Entware și nu vechiul Entware-ng. Priviți conținutul folderului /opt/var/opkg-lists. Va fi prezent un fișier entware sau entware-ng. În al doilea caz, trebuie să actualizați firmware-ul Padavan al routerului la cea mai recentă versiune și să reinstalați managerul de pachete Entware. Abia apoi continuați cu instrucțiunile pas cu pas.

După cum au arătat recenziile, problemele apar în principal pentru cei al căror Entware este inițial configurat incorect (adică scripturile din init.d nu sunt încărcate) în memoria internă a routerului. Dacă aveți Xiaomi Mi Router 3 sau 3G și nu sunteți sigur că Entware-ul din memoria internă funcționează corect ( pornire automată), apoi configurați totul din nou. Luați PROMETHEUS. Actualizează scriptul (1). Actualizați codul sursă (2). Colectați și flash cel mai recent firmware (4). Resetați setările firmware-ului (NVRAM și stocarea fișierelor) - Avansat > Administrare > Setări. Configurați accesul la Internet pe router și activați SSH. Efectuați în PROMETHEUS Firmware > Formatare RWFS. Selectați Avansat > Administrare > Setări > Montare Sistemul de fișiereîn secțiunea R/W > UBIFS. Reporniți routerul. Toate scripturile de pornire curente ale Entware din memoria internă vor fi înregistrate automat și totul va funcționa ca un ceas.

Pentru teste am folosit popularul Xiaomi Mi Router 3G (Entware instalat în memorie interna) cu cel mai recent firmware - 32a93db. Totul va funcționa chiar și pe legendarul mic WT3020 AD/F/H pentru 10 USD.

opkg update opkg install mc tor tor-geoip bind-dig cron
mc
tor- Serviciu Tor.
tor-geoip- baza de date geo-IP pentru Tor.
lega-sapa
cron- planificator de sarcini.

2. Inițializarea ipset, crearea unui set de adrese IP de deblocare (start_script.sh)

Conectați modulele necesare și creați un set de adrese goale cu numele deblocați la încărcarea routerului. Pentru a face acest lucru, deschideți fișierul în editor /etc/storage/start_script.sh:

Mcedit /etc/storage/start_script.sh
Adăugați la sfârșit:

Modprobe ip_set modprobe ip_set_hash_ip modprobe ip_set_hash_net modprobe ip_set_bitmap_ip modprobe ip_set_list_set modprobe xt_set ipset create unblock hash:net

Dacă doriți, puteți edita fișierul start_script.sh prin interfața web a routerului - „Avansat” > „Personalizare” > „Scripturi” > „Run înainte de inițializarea routerului”. După editare, faceți clic pe „Aplicați”.

3. Configurarea Tor

Cat /dev/null > /opt/etc/tor/torrc

Mcedit /opt/etc/tor/torrc

Administrator utilizator PidFile /opt/var/run/tor.pid ExcludeExitNodes (RU),(UA),(AM),(KG),(BY) StrictNodes 1 TransPort 192.168.0.1:9141 ExitRelay 0 ExitPolicy reject *:* ExitPolicy reject6 *:* GeoIPFile /opt/share/tor/geoip GeoIPv6File /opt/share/tor/geoip6 DataDirectory /opt/var/lib/tor
Înlocuiți dacă este necesar 192.168.0.1 Scurta descriere configuratii:

• Interziceți a fi un punct de ieșire.

Creați un fișier /opt/etc/unblock.txt:

Iată un exemplu de dosar personal

###Torrent trackers rutracker.org rutor.info rutor.is mega-tor.org kinozal.tv nnm-club.me nnm-club.ws tfile.me tfile-home.org tfile1.cc megatfile.cc megapeer.org megapeer .ru tapochek.net tparser.org tparser.me rustorka.com uniongang.tv fast-torrent.ru ###Cataloage de conținut media pentru programe rezka.ag hdrezka.ag hdrezka.me filmix.co filmix.cc seasonvar.ru ## #Carti lib.rus.ec flibusta.is flibs.me flisland.net flibusta.site ###Telegram telegram.org tdesktop.com tdesktop.org tdesktop.info tdesktop.net telesco.pe telegram.dog telegram.me t.me telegra.ph web.telegram.org desktop.telegram.org updates.tdesktop.com venus.web.telegram.org flora.web.telegram.org vesta.web.telegram.org pluto.web.telegram.org aurora.web. telegram.org 149.154.160.0/20 91.108.4.0/22 ​​​​91.108.8.0/22 ​​​​91.108.12.0/22 ​​​​91.108.16.0/22 ​​​​91.108.56.0/22 ​​​​/ 1.094.7.0/22 ​​​​/ 1.08.12.0/22 ​​​​55.0/ 24 ###Diverse 7-zip .org edem.tv 4pna.com 2019.vote ###Tor verifica check.torproject.org ###Un exemplu de deblocare prin IP (elimină # de la începutul rândului ) #195.82.146.214 ###Un exemplu de deblocare prin CIDR (eliminați # de la începutul liniei) #103.21.244.0/22 ​​###Exemplu de deblocare după interval (eliminați # la începutul liniei) #100.100.100.200-100.100.100.210

Creați un script /opt/bin/unblock_ipset.sh:

Lipiți (Shift+Insert) conținutul:

#!/bin/sh până la ADDRS=$(dig +short google.com @localhost) && [ -n „$ADDRS” ] > /dev/null 2>< /opt/etc/unblock.txt
Acordați drepturi de executare:

Creați un script /opt/bin/unblock_dnsmasq.sh:

Lipiți (Shift+Insert) conținutul:

#!/bin/sh cat /dev/null > /opt/etc/unblock.dnsmasq while read line || [ -n "$linie" ]; do [ -z "$line" ] && continua [ "$(line:0:1)" = "#" ] && continua echo $line | grep -Eq "(1,3)\.(1,3)\.(1,3)\.(1,3)" && continua echo "ipset=/$line/unblock" >>< /opt/etc/unblock.txt
Acordați drepturi de executare:

Scriptul este destul de simplu, aici este esența muncii sale... Citim secvenţial rândurile din /opt/etc/unblock.txt. Liniile de citire au spații și file la început și la sfârșit eliminate automat. Sari peste liniile goale. Sărim rândurile care încep cu #. Omitem rândurile care conțin adresa IP (IP, interval, CIDR), adică. ne interesează doar liniile cu nume de domenii. În fișierul /opt/etc/unblock.dnsmasq adăugăm linii precum „ipset=/domain_name/unblock”. Aceasta înseamnă că, odată ce adresele IP ale unui anumit domeniu sunt identificate, acestea vor fi adăugate automat la setul de deblocare.

Unblock_dnsmasq.sh

Creați un script /opt/bin/unblock_update.sh:

Lipiți (Shift+Insert) conținutul:

#!/bin/sh ipset flush unblock /opt/bin/unblock_dnsmasq.sh restart_dhcpd sleep 3 /opt/bin/unblock_ipset.sh &
Acordați drepturi de executare:

Creați un script /opt/etc/init.d/S99unblock:

Lipiți (Shift+Insert) conținutul:

Acordați drepturi de executare:

9. Redirecționarea pachetelor cu destinatari de la deblocare la Tor (post_iptables_script.sh)

Deschideți fișierul într-un editor /etc/storage/post_iptables_script.sh:

Mcedit /etc/storage/post_iptables_script.sh
Adăugați la sfârșit:

Iptables -t nat -A PREROUTING -i br0 -p tcp -m set --match-set unblock dst -j REDIRECT --to-port 9141

Dacă doriți, puteți edita fișierul post_iptables_script.sh prin interfața web a routerului - „Avansat” > „Personalizare” > „Scripturi” > „Rulați după repornirea regulilor firewall”. După editare, faceți clic pe „Aplicați”.

În același fișier puteți adăuga (aceasta este opțională) redirecționarea tuturor solicitărilor către port extern 53 pentru tine. Acest lucru este necesar pentru ca clienții retea locala nu a folosit servicii DNS terțe. Solicitările vor trece prin serverul DNS standard.

Iptables -t nat -I PREROUTING -i br0 -p udp --dport 53 -j DNAT --to 192.168.0.1 iptables -t nat -I PREROUTING -i br0 -p tcp --dport 53 -j DNAT --to 192.168 .0.1
Înlocuiți dacă este necesar 192.168.0.1 la adresa internă a routerului dumneavoastră (LAN).

10. Conectarea unui fișier de configurare suplimentar la dnsmasq

Trebuie să conectăm fișierul unblock.dnsmasq creat la dnsmasq. Pentru a face acest lucru, deschideți fișierul în editor /etc/storage/dnsmasq/dnsmasq.conf:

Mcedit /etc/storage/dnsmasq/dnsmasq.conf
Adăugați la sfârșit:

Conf-file=/opt/etc/unblock.dnsmasq
Dacă doriți (acest lucru este opțional), puteți adăuga un server suplimentar pentru rezoluție și fiabilitate:

Server=8.8.8.8
Dacă doriți, puteți edita fișierul dnsmasq.conf prin interfața web a routerului - „Advanced” > „LAN” > „DHCP Server” > „Custom Configuration File dnsmasq.conf”. După editare, faceți clic pe „Aplicați”.

Schimbați numele rădăcină la admin în fișierul de configurare cron:

Sed -i "s/root/admin/g" /opt/etc/crontab
Deschideți fișierul într-un editor /opt/etc/crontab:

Mcedit /opt/etc/crontab
Adăugați la sfârșit:

00 06 * * * admin /opt/bin/unblock_ipset.sh

Reporniți

Configurarea unui router cu Keenetic OS

Trebuie să aveți un router Keenetic/Zyxel cu managerul de pachete Entware (OPKG) deja configurat. De exemplu, iată o listă cu câteva routere care acceptă Entware: Keenetic II, Keenetic III, Extra, Extra II, Giga II, Giga III, Omni, Omni II, Viva, Ultra, Ultra II, Omni (KN-1410), Extra (KN -1710), Giga (KN-1010), Ultra (KN-1810), Viva (KN-1910), DSL (KN-2010), Duo (KN-2110). Instrucțiunile pentru configurarea Entware pot fi vizualizate (până la punctul 10).

Dacă ați adăugat anterior suport Entware (cu firmware anterior 2.07), atunci asigurați-vă că utilizați Entware-ng neînvechit.

Asigurați-vă că activați „Modulele nucleului subsistemului Netfilter” - Setari generale> Schimbați setul de componente. Dacă nu se află în lista celor disponibile, atunci încercați să instalați mai întâi componenta Protocol IPv6. Dacă nu apare după aceea, atunci încercați fără el, dar există o mare probabilitate ca deblocarea după interval și CIDR să nu funcționeze pentru dvs. (deoarece nu va exista suport pentru mai multe hash:net).

Pentru teste, am folosit Keenetic Ultra (KN-1810) cu cel mai recent firmware - 2.14.C.0.0-4.

Notă importantă. Va trebui să dezactivați serverul DNS implicit de pe sistem; vom folosi în schimb dnsmasq. Veți pierde posibilitatea de a atribui servicii DNS (Yandex.DNS/SkyDNS/AdGuard DNS) individual pentru clienți, dar le puteți utiliza cu ușurință la nivel global prin setările dnsmasq, dacă este necesar.

1. Instalați software-ul necesar pe router

opkg actualizare opkg instala mc tor tor-geoip bind-dig cron dnsmasq-full ipset iptables
mc - manager de fișiere Comandantul de la miezul nopții. Este nevoie doar pentru că editor convenabil mcedit. Dacă sunteți obișnuit să utilizați altul editor de text, atunci mc nu poate fi instalat.
tor- Serviciu Tor.
tor-geoip- baza de date geo-IP pentru Tor.
lega-sapa- Client DNS (analog cu nslookup și gazdă).
cron- planificator de sarcini.
dnsmasq-full- server DNS.
ipset și iptables- utilitati console ipset si iptables (poate sunt deja in sistem si nu sunt necesare, le-am adaugat pentru siguranta).

2. Inițializarea ipset, crearea unui set de adrese IP de deblocare (100-ipset.sh)

Verificați dacă sistemul dvs. de router acceptă mai multe rețele hash: (după cum se dovedește, nu toate routerele Keenetic îl au):

Ipset crea testare hash:net
Dacă comanda nu produce erori sau mesaje, atunci există asistență și urmați instrucțiunile în continuare. În caz contrar (există o eroare) în următorul script trebuie să îl înlocuiți hash:net pe hash:ip. În acest caz, veți pierde capacitatea de a debloca în funcție de rază și CIDR.

Creați un set de adrese gol numit deblocați la încărcarea routerului. Pentru a face acest lucru, creați un fișier /opt/etc/ndm/fs.d/100-ipset.sh:

Mcedit /opt/etc/ndm/fs.d/100-ipset.sh
Lipiți (Shift+Insert) conținutul:

#!/bin/sh [ "$1" != "start" ] && exit 0 ipset create unblock hash:net -exist exit 0
Pentru a lipi din clipboard, utilizați Shift+Insert, salvați - F2, ieșiți - F10.

Acordați drepturi de executare:

Chmod +x /opt/etc/ndm/fs.d/100-ipset.sh

3. Configurarea Tor

Ștergeți conținutul fișierului de configurare Tor:

Cat /dev/null > /opt/etc/tor/torrc
Deschideți fișierul de configurare Tor:

Mcedit /opt/etc/tor/torrc
Lipiți (Shift+Insert) conținutul:

Rădăcină utilizator PidFile /opt/var/run/tor.pid ExcludeExitNodes (RU),(UA),(AM),(KG),(BY) StrictNodes 1 TransPort 192.168.0.1:9141 ExitRelay 0 ExitPolicy reject *:* ExitPolicy reject6 *:* GeoIPFile /opt/share/tor/geoip GeoIPv6File /opt/share/tor/geoip6 DataDirectory /opt/var/lib/tor
Înlocuiți dacă este necesar 192.168.0.1

• Excludeți nodurile de ieșire: Rusia, Ucraina, Armenia, Kârgâzstan, Belarus.
• Configurați un proxy „transparent” la adresa 192.168.0.1, portul 9141.
• Interziceți a fi un punct de ieșire.

4. Lista de domenii (și nu numai) pentru a ocoli blocarea (unblock.txt)

unblock.txt - o listă simplă pentru deblocare. Puteți debloca un domeniu, o adresă IP, un domeniu sau un CIDR. O linie - un element. Liniile goale (inclusiv spații și file) sunt ignorate. Puteți folosi caracterul # de la începutul unei linii pentru a-l ignora.

Creați un fișier /opt/etc/unblock.txt:

Mcedit /opt/etc/unblock.txt
Fiecare linie poate conține Numele domeniului, adresa IP, interval sau CIDR. Puteți folosi simbolul # pentru a comenta rândurile.

Iată un exemplu de dosar personal

###Torrent trackers rutracker.org rutor.info rutor.is mega-tor.org kinozal.tv nnm-club.me nnm-club.ws tfile.me tfile-home.org tfile1.cc megatfile.cc megapeer.org megapeer .ru tapochek.net tparser.org tparser.me rustorka.com uniongang.tv fast-torrent.ru ###Cataloage de conținut media pentru programe rezka.ag hdrezka.ag hdrezka.me filmix.co filmix.cc seasonvar.ru ## #Carti lib.rus.ec flibusta.is flibs.me flisland.net flibusta.site ###Telegram telegram.org tdesktop.com tdesktop.org tdesktop.info tdesktop.net telesco.pe telegram.dog telegram.me t.me telegra.ph web.telegram.org desktop.telegram.org updates.tdesktop.com venus.web.telegram.org flora.web.telegram.org vesta.web.telegram.org pluto.web.telegram.org aurora.web. telegram.org 149.154.160.0/20 91.108.4.0/22 ​​​​91.108.8.0/22 ​​​​91.108.12.0/22 ​​​​91.108.16.0/22 ​​​​91.108.56.0/22 ​​​​/ 1.094.7.0/22 ​​​​/ 1.08.12.0/22 ​​​​55.0/ 24 ###Diverse 7-zip .org edem.tv 4pna.com 2019.vote ###Tor verifica check.torproject.org ###Un exemplu de deblocare prin IP (elimină # de la începutul rândului ) #195.82.146.214 ###Un exemplu de deblocare prin CIDR (eliminați # de la începutul liniei) #103.21.244.0/22 ​​###Exemplu de deblocare după interval (eliminați # la începutul liniei) #100.100.100.200-100.100.100.210

5. Script pentru completarea setului de adrese IP de deblocare a unei anumite liste de domenii (unblock_ipset.sh)

Creați un script /opt/bin/unblock_ipset.sh:

Mcedit /opt/bin/unblock_ipset.sh
Lipiți (Shift+Insert) conținutul:

#!/bin/sh până la ADDRS=$(dig +short google.com @localhost) && [ -n "$ADDRS" ] > /dev/null 2> face sleep 5; făcut în timp ce se citește linia || [ -n „$linie” ]; face [ -z "$line" ] && continua [ "$(line:0:1)" = "#" ] && continua cidr=$(echo $line | grep -Eo "(1,3)\.(1 ,3)\.(1,3)\.(1,3)/(1,2)") dacă [ ! -z "$cidr" ]; apoi ipset -exist add unblock $cidr continue fi range=$(echo $line | grep -Eo "(1,3)\.(1,3)\.(1,3)\.(1,3)-( 1,3)\.(1,3)\.(1,3)\.(1,3)") dacă [ ! -z „$gamă” ]; apoi ipset -exist add unblock $range continue fi addr=$(echo $line | grep -Eo "(1,3)\.(1,3)\.(1,3)\.(1,3)") dacă [! -z „$addr” ]; apoi ipset -exist add unblock $addr continua fi dig +short $line @localhost | grep -Eo "(1,3)\.(1,3)\.(1,3)\.(1,3)" | awk "(system("ipset -exist add unblock "$1))" terminat< /opt/etc/unblock.txt
Acordați drepturi de executare:

Chmod +x /opt/bin/unblock_ipset.sh
Scriptul este destul de simplu, aici este esența muncii sale... Așteptăm ca rezoluția domeniului google.com să funcționeze (dacă nu se face acest lucru, atunci când routerul pornește, setul de deblocare nu va fi completat , deoarece routerul va fi încă în proces de inițializare). Citim rândurile din fișierul unblock.txt. Liniile de citire au spații și file la început și la sfârșit eliminate automat. Sari peste liniile goale. Sărim rândurile care încep cu simbolul #. Căutăm CIDR în linie. Dacă se găsește CIDR, adăugați-l pentru a debloca. Căutăm o gamă în șir. Dacă este găsit, adăugați-l pentru a debloca. Căutăm adresa IP în linie. Dacă IP-ul este găsit, adăugați-l pentru a debloca. Rezolvați linia folosind dig. Adăugăm toate adresele IP ale rezultatului pentru a debloca.

6. Script pentru generarea unui fișier de configurare dnsmasq suplimentar dintr-o listă dată de domenii (unblock_dnsmasq.sh)

Creați un script /opt/bin/unblock_dnsmasq.sh:

Mcedit /opt/bin/unblock_dnsmasq.sh
Lipiți (Shift+Insert) conținutul:

#!/bin/sh cat /dev/null > /opt/etc/unblock.dnsmasq while read line || [ -n "$linie" ]; do [ -z "$line" ] && continua [ "$(line:0:1)" = "#" ] && continua echo $line | grep -Eq "(1,3)\.(1,3)\.(1,3)\.(1,3)" && continua echo "ipset=/$line/unblock" >> /opt/etc/ deblocare.dnsmasq terminat< /opt/etc/unblock.txt
Acordați drepturi de executare:

Chmod +x /opt/bin/unblock_dnsmasq.sh
Scenariul este destul de simplu. Citim secvențial linii din /opt/etc/unblock.txt. Liniile de citire au spații și file la început și la sfârșit eliminate automat. Sari peste liniile goale. Sărim rândurile care încep cu #. Omitem rândurile care conțin o adresă IP (IP sau CIDR), adică. ne interesează doar liniile cu nume de domenii. În fișierul /opt/etc/unblock.dnsmasq adăugăm linii precum „ipset=/domain_name/unblock”. Aceasta înseamnă că, odată ce adresele IP ale unui anumit domeniu sunt identificate, acestea vor fi adăugate automat la setul de deblocare.

Asigurați-vă că rulați scriptul pentru a genera fișierul unblock.dnsmasq:

Unblock_dnsmasq.sh
Verificați dacă fișierul unblock.dnsmasq a fost creat:

Cat /opt/etc/unblock.dnsmasq

7. Script pentru forțarea manuală a sistemului să se actualizeze după editarea listei de domenii (unblock_update.sh)

Creați un script /opt/bin/unblock_update.sh:

Mcedit /opt/bin/unblock_update.sh
Lipiți (Shift+Insert) conținutul:

#!/bin/sh ipset flush unblock /opt/bin/unblock_dnsmasq.sh /opt/etc/init.d/S56dnsmasq restart /opt/bin/unblock_ipset.sh &
Acordați drepturi de executare:

Chmod +x /opt/bin/unblock_update.sh

8. Script pentru completarea automată a setului de deblocare la încărcarea routerului (S99unblock)

Creați un script /opt/etc/init.d/S99unblock:

Mcedit /opt/etc/init.d/S99unblock
Lipiți (Shift+Insert) conținutul:

#!/bin/sh [ "$1" != "start" ] && exit 0 /opt/bin/unblock_ipset.sh &
Acordați drepturi de executare:

Chmod +x /opt/etc/init.d/S99unblock

9. Redirecționarea pachetelor cu destinații de la deblocare la Tor (100-redirect.sh)

Pentru a face acest lucru, creați un fișier /opt/etc/ndm/netfilter.d/100-redirect.sh:

Mcedit /opt/etc/ndm/netfilter.d/100-redirect.sh
Lipiți (Shift+Insert) conținutul:

#!/bin/sh [ "$type" == "ip6tables" ] && exit 0 if [ -z "$(iptables-save 2>/dev/null | grep unblock)" ]; apoi ipset create unblock hash:net -exist iptables -w -t nat -A PREROUTING -i br0 -p tcp -m set --match-set unblock dst -j REDIRECT --to-port 9141 fi exit 0
Dacă ați folosit la pasul 2 hash:ip, dar nu hash:net, apoi înlocuiți hash:net cu hash:ip. De fapt, duplicăm suplimentar funcția de a crea un set de deblocări de la pasul 2. Acest lucru este necesar ca plasă de siguranță dacă scripturile de la fs.d nu au început încă să ruleze, dar scripturile netfilter.d rulează deja. Este în regulă dacă deblocarea a fost deja creată anterior, comanda va fi pur și simplu ignorată.

În același fișier puteți adăuga (acest lucru este opțional) redirecționarea tuturor solicitărilor către portul extern 53 către dvs. Acest lucru este necesar pentru a împiedica clienții din rețeaua locală să folosească servicii DNS terțe. Solicitările vor trece prin serverul DNS standard. Înainte de ultima ieșire adăugați:

Dacă [ -z "$(iptables-save 2>/dev/null | grep "udp \-\-dport 53 \-j DNAT")" ]; apoi iptables -w -t nat -I PREROUTING -i br0 -p udp --dport 53 -j DNAT --to 192.168.0.1 fi if [ -z "$(iptables-save 2>/dev/null | grep "tcp \-\-dport 53 \-j DNAT")" ]; apoi iptables -w -t nat -I PREROUTING -i br0 -p tcp --dport 53 -j DNAT --la 192.168.0.1 fi
Înlocuiți dacă este necesar 192.168.0.1 la adresa internă a routerului dumneavoastră (LAN).

Acordați drepturi de executare:

Chmod +x /opt/etc/ndm/netfilter.d/100-redirect.sh

10. Configurarea dnsmasq și conectarea unui fișier de configurare suplimentar la dnsmasq

Ștergeți conținutul fișierului de configurare dnsmasq:

Cat /dev/null > /opt/etc/dnsmasq.conf
Deschideți fișierul de configurare dnsmasq:

Mcedit /opt/etc/dnsmasq.conf
Lipiți (Shift+Insert) conținutul:

Utilizator=nimeni fals-priv no-negcache clear-on-reload bind-dynamic listen-address=192.168.0.1 listen-address=127.0.0.1 min-port=4096 cache-size=1536 expand-hosts log-async conf-file =/opt/etc/unblock.dnsmasq server=8.8.8.8
Înlocuiți dacă este necesar 192.168.0.1 la adresa internă a routerului dumneavoastră (LAN).

11. Adăugarea unei sarcini cron pentru a actualiza periodic conținutul setului de deblocare

Aceasta este o asigurare suplimentară în cazul în care programele/dispozitivele folosesc propria metodă de rezoluție și adresa IP a domeniului s-a schimbat. Tot ce trebuie să faceți este să rulați scriptul unblock_ipset.sh la frecvența dorită. De exemplu, vom lansa în fiecare zi la ora 6 dimineața.

Deschideți fișierul într-un editor /opt/etc/crontab:

Mcedit /opt/etc/crontab
Adăugați la sfârșit:

00 06 * * * root /opt/bin/unblock_ipset.sh
Dacă doriți, puteți comenta toate celelalte sarcini șablon. Iată cum va arăta fișierul tău crontab:

12. Dezactivarea serverului DNS standard și repornirea routerului

Conectați-vă la CLI al routerului Keenetic (portul 23 pentru Telnet și 22 pentru SSH, dacă componenta „SSH Server” este adăugată la sistem).

Rulați comanda:

Opkg dns-override configurația sistemului salvează repornirea sistemului
Serverul DNS încorporat în firmware va fi dezactivat și va fi folosit în schimb dnsmasq de la Entware. La pornire, routerul verifică dacă folderul opt este montat (dacă există o unitate flash/disc cu Entware). Dacă există, atunci serverul DNS obișnuit nu este utilizat. Dacă nu, se folosește. Acestea. prin scoaterea unității flash și repornirea routerului, totul va funcționa ca înainte (înainte de configurare).

După repornire, deschideți check.torproject.org în browser (ar trebui adăugat la unblock.txt). Dacă ați făcut totul corect, veți vedea inscripția „Felicitări. Acest browser este configurat să folosească Tor.":

Metode de bază pentru diagnosticarea erorilor după configurare

Dacă verificarea cu site-ul check.torproject.org (ar trebui adăugată la unblock.txt) trece, dar pentru alte resurse un stub de la furnizor continuă să se deschidă (sau nu se deschide), cel mai probabil furnizorul interferează cu DNS trafic, înlocuirea răspunsurilor - trebuie să ocoliți suplimentar filtrarea interogărilor DNS.

Dacă ceva nu funcționează așa cum era de așteptat după configurare, utilizați comenzi simple pentru a identifica pasul problematic.

Afișează conținutul setului de deblocare:

Deblocarea listei IPset
Dacă sistemul raportează că nu există un astfel de set, atunci există o eroare la pasul 2 sau nu ați activat modulul Netfilter în sistem (în cazul Keenetic).

Dacă setul se dovedește a fi gol, atunci scriptul unblock_ipset.sh nu a funcționat, care, la rândul său, ar trebui lansat de scriptul de pornire S99unblock. Rulați manual acest script unblock_ipset.sh. Dacă setul este plin, atunci eroarea este la pasul 8. Dacă scriptul nu poate fi executat (cel mai probabil, așteaptă ca google.com să se rezolve), atunci eroarea este undeva pe partea serverului DNS, poate la pasul 10 sau 6.

Verificați o redirecționare în iptables:

Iptables-save 2>/dev/null | deblocare grep
Dacă nu este acolo, atunci eroarea este la pasul 9.

Dacă toate site-urile nu funcționează deloc, de ex. DNS nu funcționează, eroarea este undeva la pasul 6 sau 10. Poate la pasul 9.

Dacă toate site-urile de pe unblock.txt sunt oprite (time out), dar toate celelalte funcționează, atunci problema este undeva pe partea Tor, o eroare la pasul 3.

Ocolire suplimentară pentru filtrarea interogărilor ISP DNS

Dacă un ISP interferează cu traficul DNS prin falsificarea răspunsurilor pentru resurse blocate, acest lucru este foarte ușor de ocolit. Pentru aceasta vom folosi dnscrypt-proxy. Dacă doriți și aveți experiență, puteți înlocui cu ușurință dnscrypt cu stubby (DNS peste TLS).

Dnscrypt va fi folosit numai pentru acele domenii care sunt listate în unblock.txt. Toate celelalte solicitări vor trece prin servere DNS standard.

Dacă sunteți sigur că ISP-ul dvs. nu filtrează cererile DNS, atunci aceasta setari aditionale nu este nevoie să o faci.

Ar trebui să aveți deja configurată ocolirea de blocare descrisă mai sus. Următoarele setări sunt identice pentru Padavan și Keenetic OS.

Instalați software suplimentar pe router:

Opkg update opkg install dnscrypt-proxy2
Deschideți fișierul de configurare dnscrypt-proxy:

Mcedit /opt/etc/dnscrypt-proxy.toml
Găsiți listen_addresses, fallback_resolver, parametrii cache și modificați-i:

Listen_addresses = ["127.0.0.1:9153"] fallback_resolver = "77.88.8.8:1253" cache = false
77.88.8.8:1253 este adresa serverului Yandex DNS cu un port non-standard. Este o copie de rezervă în cazul în care dnscrypt-proxy are probleme.

Rulați dnscrypt-proxy:

/opt/etc/init.d/S09dnscrypt-proxy2 începe
Asigurați-vă că dnscrypt-proxy funcționează (ar trebui să vedeți o listă de adrese IP ca răspuns):

Sapă +scurt google.com @localhost -p 9153
Deschideți scriptul în editor /opt/bin/unblock_ipset.sh:

Mcedit /opt/bin/unblock_ipset.sh
Înlocuiește conținutul cu:

#!/bin/sh până la ADDRS=$(dig +short google.com @localhost -p 9153) && [ -n "$ADDRS" ] > /dev/null 2> dormi 5; făcut în timp ce se citește linia || [ -n „$linie” ]; face [ -z "$line" ] && continua [ "$(line:0:1)" = "#" ] && continua cidr=$(echo $line | grep -Eo "(1,3)\.(1 ,3)\.(1,3)\.(1,3)/(1,2)") dacă [ ! -z "$cidr" ]; apoi ipset -exist add unblock $cidr continue fi range=$(echo $line | grep -Eo "(1,3)\.(1,3)\.(1,3)\.(1,3)-( 1,3)\.(1,3)\.(1,3)\.(1,3)") dacă [ ! -z „$gamă” ]; apoi ipset -exist add unblock $range continue fi addr=$(echo $line | grep -Eo "(1,3)\.(1,3)\.(1,3)\.(1,3)") dacă [! -z „$addr” ]; apoi ipset -exist add unblock $addr continua fi dig +short $line @localhost -p 9153 | grep -Eo "(1,3)\.(1,3)\.(1,3)\.(1,3)" | awk "(system("ipset -exist add unblock "$1))" terminat< /opt/etc/unblock.txt
Am făcut o mică schimbare - acum dig folosește dnscrypt-proxy cu portul 9153 pentru rezoluție, mai degrabă decât serverul DNS standard.

Deschideți scriptul în editor /opt/bin/unblock_dnsmasq.sh:

Mcedit /opt/bin/unblock_dnsmasq.sh
Înlocuiește conținutul cu:

#!/bin/sh cat /dev/null > /opt/etc/unblock.dnsmasq while read line || [ -n „$linie” ]; do [ -z "$line" ] && continua [ "$(line:0:1)" = "#" ] && continua echo $line | grep -Eq "(1,3)\.(1,3)\.(1,3)\.(1,3)" && continua echo "ipset=/$line/unblock" >> /opt/etc/ unblock.dnsmasq echo "server=/$line/127.0.0.1#9153" >> /opt/etc/unblock.dnsmasq terminat< /opt/etc/unblock.txt
Am făcut o mică modificare - acum, la generarea fișierului unblock.dnsmasq, sunt adăugate linii suplimentare precum „server=/domain_name/127.0.0.1#9153”. Aceasta înseamnă că rezolvarea domeniilor din listă va avea loc prin dnscrypt-proxy.

Rulați unblock_update.sh:

Unblock_update.sh
Gata. Toate setările complicate sunt lăsate în urmă. Acum veți edita lista unblock.txt doar dacă este necesar, adăugând sau eliminând domenii sau adrese IP din ea pentru a debloca și activați modificările făcute cu comanda unblock_update.sh.

ACTUALIZARE 04/01/2019. Primesc adesea mesaje personale despre articol cu ​​întrebări tipice. Voi răspunde la cele mai comune aici.

Cum pot face site-urile disponibile în zona domeniului .onion?

Adaugă la torrc:
VirtualAddrNetwork 10.254.0.0/16 DNSPort 127.0.0.1:9053 AutomapHostsOnResolve 1
Pentru a accesa toate domeniile din zona ceapă, adăugați la dnsmasq.conf:
server=/onion/127.0.0.1#9053 ipset=/onion/unblock
Dacă nu doriți să deschideți accesul la toate domeniile zonei de ceapă, ci doar la anumite, atunci adăugați următoarele intrări la dnsmasq.conf:
server=/rutorc6mqdinc4cz.onion/127.0.0.1#9053 ipset=/rutorc6mqdinc4cz.onion/unblock server=/nnmclub5toro7u65.onion/127.0.0.1#9053 ipset=/nnmclub5toro7u65.onion/nnmclub5toro7u65.onion/127.0.0.1#9053 ipset=/nnmclub5toro. 27,0. 0.1 #9053 ipset=/flibustahezeous3.onion/unblock

Cum să ocoliți blocarea pentru clienții unui server VPN care rulează pe un router?

În torrc, înlocuiți linia cu TransPort cu:
TransPort 0.0.0.0:9141
Adăugați o redirecționare suplimentară cu interfața necesară (INTERFATA - interfață de rețea VPN):
iptables -t nat -A PREROUTING -i INTERFACE -p tcp -m set --match-set unblock dst -j REDIRECT --to-port 9141

Firmware-ul Padavan FirmWare pentru Asus de-a lungul anilor de existență în anumite cercuri a devenit sinonim cu garanția stabilității în wifi de lucru router. Nu mulți firmware-uri din fabrică se pot lăuda cu ușurința de configurare și funcționarea fiabilă a tuturor capabilităților incluse în router. În continuare, vă voi arăta în mod clar cum să instalați firmware-ul Padavan pe un router Asus.

Care este secretul firmware-ului Padavan?

Instalarea și configurarea firmware-ului Padavan corectează aceste deficiențe și, de asemenea, se deschide adesea Router Asus funcții noi care nu erau disponibile în software-ul lor nativ.

• Multe erori și probleme rezolvate
• Stabilitate îmbunătățită
• Utilități software suplimentare, cum ar fi client torrent, manager de descărcare Aria2, server media UPnP/DLNA A/V și altele
• Capacități de diagnosticare extinse
• Mecanism îmbunătățit IGMP Snooping
• Incorporat Server NFS
• S-a adăugat server L2TP/OpenVPN
• Componente IPv6/PPTP/L2TP îmbunătățite

Cum descarc firmware-ul Padavan pentru Asus?

În mod surprinzător, nu am reușit să descarc firmware-ul de la Padavan pentru routerul Asus RT-N14U pe care îl folosesc de pe site-ul oficial al dezvoltatorului său - acum doar versiunea pentru RT-N56U este postată acolo, deși anterior, îmi amintesc, era posibil să găsim un număr foarte mare de modele. Dar după ce am căutat puțin pe Google, am reușit să găsesc un depozit în care se afla firmware-ul Padavan pentru Asus RT-N14U - sper că atunci când citiți acest articol, linkul va fi în continuare relevant, pentru că știți, totul se schimbă rapid în lume...

Găsim modelul nostru și descărcam cea mai recentă versiune actuală pe computerul nostru după numărul de serie - vă rugăm să rețineți că fișierul firmware pentru Asus trebuie să se termine în .TRX. De asemenea, am descoperit că există mai multe opțiuni de execuție - pt actualizare completă selectați „FULL”.

După aceasta, conectăm routerul la computer prin cablu - vreau să subliniez acest lucru, deoarece la actualizarea software-ului prin WiFi, pot apărea erori și routerul nu va mai funcționa.

Apoi, accesați secțiunea „Wireless 2,4 GHz” (și cineva poate avea o rețea de 5 GHz disponibilă pentru configurare dacă routerul este dual-band). Aici activăm elementul „Activare modul radio”, setăm SSID-ul rețelei, adică numele acesteia, și cheia „WPA”, adică parola pentru conexiune.

Setările firmware-ului Padavan sunt salvate cu butonul „Aplicare”.

Revizuire video a firmware-ului Padavan pentru Asus