Использую на роутере Keenetic Ultra (KN - 1810)
Постоянные ошибки конфликта адресов интерфейса 0pnVPN антизапрета и и пула адресов локальной сети выданными DHCP сервером самого кинэтика. Пару раз перезапустив интерфейс антизапрета, он подключается.
Пул адресов DHCP сервера в самом кинэтике - 192.168.118.0\24
Пул адресов 0pnVPN антизапрета я конечно не знаю, но дело в маске \21, потому, как конфликт происходит даже когда не затрагивается сеть 118 DHCP сервера, но он видимо попадает в эти 2048 адресов.
Вопрос почему взята подсеть 192.168… ? Здесь бы оч хорошо смотрелась 10я сеть или 172… Всё таки 192я чаще домашняя, если брать именно обход блокировок.
log.txt (4.9 КБ)
antizapret-tcp.ovpn (6.2 КБ)
Я от 118 отказаться не могу. Очень много на эту подсеть завязано.
Что делать ? Как мне быть ?
В настройках роутера LAN+WIFI, т. е. в DHCP роутера поставить другую сеть.
Я ж выше написал:
Варианта три:
- Изменить используемую подсеть на вашей стороне;
- Настроить переназначение подсети с использованием опций
client-natOpenVPN - Настроить собственный сервер АнтиЗапрета так, как подходит под ваше планирование сетевых диапазонов.
Настроить переназначение подсети с использованием опций
client-natOpenVPN
Можно подробнее. На просторах нэта не нашёл такого.
client-nat dnat 10.10.0.0 255.255.0.0 192.168.0.0
Только он не поддерживает модификацию именно адреса интерфейса (работает только для маршрутов), поэтому для вашего случая не подойдёт.
А, нет, вполне работает:
client-nat snat 10.10.0.0 255.255.0.0 192.168.0.0
client-nat dnat 10.10.0.0 255.255.0.0 192.168.0.0
Только придётся вручную менять адрес на интерфейсе с 192.168.0.0/16 в 10.10.0.0/16 диапазон.
Я конечно очень извиняюсь, но решил вернуться к этому вопросу. Тогда я просто изменил адрес своей сети, хотя это и было болезненно.
Ща ситуация та же, но повлиять простой сменой сети не могу.
Подключен мобильный телефон АНДРОИД в режиме usb роутера и уже с него получаю интернет, как единственный вариант в частном доме. Андроид в выдаче сети неуправляем. В итоге имеем всё тот же конфликт:
Network::Interface::Ip: “OpenVPN0”: network 192.168.120.0/21 conflicts with interface “CdcEthernet12”
Тогда этим вариантом не запаривался. Честно говоря я в nat и iptables почти нуль.
Вставляя эти две строки в конфиг OpnVPN ни какого результата не получаю. Всё тот же конфликт. Можно подробнее куда их вписывать, что должно произойти, где это увидеть и если не срабатывает что делать ?
Как вариант, подключать роутер не кабелем, а по вайфаю (Wireless ISP в терминологии Keenetic). Возможно, Android при таком подключении выдаёт другую подсеть.
Либо менять смартфон на USB-модем. У нормальных модемов есть свой веб-интерфейс, где параметры сети можно настроить.
Не вариант. Телефон с агрегацией.
И Wifi выдаёт тот же диапазон
Мне для выкидывания денег на ветер - дорого. Модем от 6000 руб. В наличии имеется телефон с 3мя частотами. В чём будет заключаться логика покупки ?
Не надо мне предлагать менять оборудование. Я пишу тему\сообщения с конкретным вопросом о проблеме которая вылезает уже не впервые в разных местах. Мне нужно программное решение. ValdikSS по какой-то причине пишет ему что сменить подсеть антизапрета - проблема. Жду адекватной помощи от кого угодно по теме.
Разве на Android не 192.168.43.0/24?
Опция client-nat заменяет адрес источника/назначения на заданный, но она не заменяет его в опциях, которые сервер присылает клиенту при подключении: IP-адрес, DNS-сервер, маршруты, и пр.
Необходимо написать скрипт, чтобы заменять эти значения, и передать этот скрипт в качестве --iproute.
Вижу, что у вас Keenetic. Как это сделать на нём не подскажу, вам лучше обратиться в техподдержку.
Нет. 0.0/16 !
В keenetic такого нет.
Могу я из любопытства узнать причину не возможности смены тобой на всех серверах ip на 10ю сеть ? Или 172ю
Я так вижу это просто пробежаться на каждом сервере и изменить по 1ой строке
Это быстро и безболезненно для пользователей.
Не могу просто представить подводных камней
192.168.0.0/16? У вас устройство со сломанной прошивкой, обращайтесь к производителю.
Это далеко не так тривиально, как вам кажется.
Вам лучше установить собственный сервер и настроить в соответствии с вашими требованиями.
Уже не первый год. Вроде с 11 или 12 версии он выдаёт всю сеть 192.168.0.0-192.168.254.254 Ну или почти всю. На скрине то что телефон выдал. Сменить то что он выдал можно только перезагрузкой смарта
Тогда прибегут с той же проблемой юзеры, у которых подсеть 10.x.x.x занята чем-то жутко важным и изменить это они не могут.
Можно попробовать рутануть телефон и присобачить костыль с заменой dnsmasq на скрипт, который настраивает сеть нужным образом, а потом запускает оригинальный dnsmasq
Я полагаю, что телефон всё же раздаёт сеть /24, но из разных диапазонов. Включайте-выключайте раздачу до того момента, пока телефон не выдаст сеть, не пересекающуюся с антизапретом.
На скриншоте у вас сеть не пересекается.
Кстати вспомнил… антизапрет вроде маршрутизацию 10ой сети использует. Ну например пользователи 172ой сети ныть не будут. Хотя я её сам использую.
Смарт не рутируемый. Всю инфу из нэта прочёл.
на скрине интерфейс wan 4g.
Wan на конфликт не жалуется. Ему пох на opnvpn и его проблемы. Интернет будет всегда На скрине экрана ошибки не высветятся. Ошибка в разделе других подключений интерфейса opnvpn. И именно только он отваливается.
Но да. На момент скрина ошибок нет
До переподключения opnvpn. Или до перезагрузки телефона. Или одновременно.
А мне может кто подсказать по схожей проблеме но на роутере asus ax4200(прошивка офф последняя). Добавил в конфиг файла антизапрета : auth-nocache , route 8.8.8.8 , антизапрет подключается и работает , открывает все сайты,в том числе заблокированные , но пишет ошибку конфликт IP/ маршрутизации . В системном журнале выглядит это так:
vpnclient5: WARNING: Ignore conflicted routing rule: 8.8.8.8 255.255.255.255 gw 192.168.104.
vpnclient5[754]: Initialization Sequence Completed
Если я убираю из файла route 8.8.8.8 ,то ошибка исчезает, все зеленое , но сайты не так быстро грузятся .
Хотелось бы все-таки убрать полностью все ошибки, но оставить быстрое открытие сайтов
В настройках локальной сети в DCHP в днс прописан 8.8.8.8
В настройках интернет подключения, также прописан 8.8.8.8 и 8.8.4.4
Оставь восьмёрки на антизапрете. На всё остальное введи другие днс. Например девятки и 9.9.9.11
Спасибо большое, ошибка ушла, я поменял в локальной сети и в интернет подключениях на 1.1.1.1 и теперь у меня ДНС от cloudflare, какой тогда сакральный смысл было прописывать route 8.8.8.8 в файле конфигурации ? По идее должен все сайты через гугл днс гнать, если сайт не заблокирован, а он в итоге прогоняет все через cloudflare теперь .
Есть подозрение, что “сайты быстрее грузятся” это вам кажется. На родной прошивке у асусов, емнип, вообще не надо никакие адреса никуда вписывать: ни в настройки подключения, ни в настройки DHCP, ни в конфиг OpenVPN. При поднятом туннеле прошивка игнорирует провайдерские DNS и использует то, что прилетело от VPN-сервера.
Но если вы прямо так уж уверены в том, что разница есть, можно попробовать такой сетап:
- Из настроек интернет-подключения (WAN) кастомные DNS убрать, пусть от провайдера получает
- В настройках локалки и в конфиге OpenVPN сделать одинаковые DNS, допустим 1.1.1.1 и 77.88.8.8 в настройках DHCP локалки, а также
route 1.1.1.1иroute 77.88.8.8в конфиге OpenVPN соответственно
Тогда обход блокировок работать не будет на клиентах. Смотрите, что получилось:
- в настройках DHCP локалки он вписал 1.1.1.1, соответственно, все клиенты теперь по DHCP получают единицы и резолвят через 1.1.1.1
- в настройках антизапрета стоит
route 8.8.8.8, соответственно трафик до DNS гугла заворачивается в антизапрет, но что с того, если клиенты-то используют Cloudflare
в итоге, клиенты не используют DNS антизапрета и обход блокировок работать не будет
Будет работать.
Тем более уже работает у него, он написал
У меня который год всё работает
Сделал по вашей инструкции:
В интернет подключении (днс поставил автоматом от провайдера)
В локальной сети в днс прописал 8.8.8.8 и 8.8.4.4
В файле конфига route 8.8.8.8 и route 8.8.4.4
Теперь блокировки обходятся на всех устройствах, ранее я не проверял на мобильных телефонах, оказывается со старыми настройками сайты разблокировались только по проводу ,а на вайфае нет .
НО теперь весь трафик гоняется только через ДНС антизапрета и собственно тогда вообще не было смысла во всех этих махинациях, он и раньше у меня через него гонялся даже когда я ничего не вписывал, ни в файл конфига, ни в настройки роутера .
У меня целью было гонять весь трафик через гугл, а если сайт заблочен, чтобы подключался антизапрет ,так как у антизапрета все-таки помедленее открывает сайты .
Я изначально прочитал тему от админа форума и решил себе сделать по аналогии, возможно я где-то не понял ,вот пост был :
https://ntc.party/t/%D0%BF%D0%B5%D1%80%D0%B5%D1%85%D0%B2%D0%B0%D1%82-dns-%D1%87%D0%B5%D1%80%D0%B5%D0%B7-vpn-%D1%87%D1%82%D0%BE%D0%B1%D1%8B-%D0%BB%D1%83%D1%87%D1%88%D0%B5-%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D0%B0%D0%BB%D0%BE-%D0%BD%D0%B0-%D0%BC%D0%B0%D1%80%D1%88%D1%80%D1%83%D1%82%D0%B8%D0%B7%D0%B0%D1%82%D0%BE%D1%80%D0%B0%D1%85/87/2
Работало, но только по проводу, все вай фай клиенты не могли заходить на заблокированные ресурсы.
По вашей ссылке говорится совсем про другое. Про то, что при подключенном Antizapret весь DNS-трафик будет обрабатываться сервером Antizapret, а при отключенном - гуглом. Это для роутеров, которые не умеют автоматически переключать DNS в зависимости от состояния VPN-подключения.
Ваш роутер и так делает это автоматически.
А вы хотите совсем иное - выборочный резолвинг, но у вас это не получится, потому что именно DNS Antizapret отделяет заблокированные ресурсы от незаблокированных. Получается проблема курицы и яйца: чтобы узнать, что любой домен заблокирован или не заблокирован, вам нужно сначала его отрезолвить через DNS Antizapret, но при этом вы одновременно хотите резолвить через Antizapret только заблокированные. И далее по кругу: вы не хотите резолвить через Antizapret все домены, но вам надо резолвить все домены, чтобы узнать, какие заблокированы.
так как у антизапрета все-таки помедленее открывает сайты
Я бы на вашем месте взял DNSBench и таки сравнил результаты, чтобы убедиться, что “помедленнее” вам не мерещится.
Емаё, вот теперь все на места встало . С антизапретом у меня и так все работало с конфигом по умолчанию, а я тут велосипед начал придумывать , думал есть простой способ это сделать .Спасибо вам за разъяснения , значение статьи неправильно понял .
Ну тут точно не может мерещится, с гугловскими и клауд открывается прям моментально тяжелые сайты, с антизапретом пару секунд подумает .
Я вот даже ради интереса сейчас сравню. Там, конечно, разница в сколько-то мс будет, но на глаз её не заметить.
Статьи или этой темы?
Тема здесь поднята совсем о другом и отношение к днс ни какого не имеет
Изначально прочитал тему, которую я линканул выше .
Решил ,что сделаю себе роут до гугловских серверов, чтобы обычные сайты пропускало через него, заблокированные через антизапрет , у меня появилась ошибка конфликта IP адреса/ маршрутизации , полез искать на форуме , нашел эту тему и подумал , что у меня схожая проблема, поэтому и задавал эти вопросы, а по умолчанию антизапрет на роутере работал вообще без доп настроек, просто файлик конфигурации залил и нажал включить . Придумал сам себе проблему на пустом месте , но все равно огромное спасибо всем , что разъяснили , я оказывается хотел сделать выборочный резолвинг , который вряд ли можно сделать, тем более с моими познаниями .
Сделать, конечно, можно (не факт, что на родной прошивке), но тогда теряется смысл Antizapret - когда роутер просто поднимает VPN-туннель, а сервер сам отделяет агнцев от козлищ и всё маршрутизируется автоматически практически без необходимости что-то настраивать на роутере, кроме самого подключения.
А если вы сами будете на роутере получать и обрабатывать список заблокированных ресурсов, то вам проще сразу и трафик до них заворачивать в любой VPN, поднятый на этом же роутере.
Или пириться по BGP с antifilter.network и в их же VPN отправлять трафик. Хотя, стоковая прошивка, конечно, Bird не содержит и надо переходить на OpenWrt или AsusWRT от Merlin-а.
Да, но с прошивками нет компетенции играться, благодарю еще раз за развернутые пояснения.