Установка и настройка youtubeunblock\DoH OpenWRT

Помечено: DoH, Install, OpenWRT, settings, youtubeunblock, Настройка, Установка

В этой теме 0 ответов, 1 участник, последнее обновление 2 недели назад сделано E-tec.

Просмотр 1 сообщения - с 1 по 1 (всего 1)

Автор

Сообщения
18.03.2025 в 14:16 #2812
E-tec
Хранитель
Продолжение эпопеи для чего мне был нужен роутер Xiaomi Router AX3000T. Сначала думал написать в одной теме по перепрошивки со стоковой прошивки на openwrt, но подумал, что этот мануал подойдет для любого устройства на альтернативной прошивке OpenWRT.

Приложение youtubeunblock нужно для обхода системы глубокой проверки пакетов (DPI), которые опираются на SNI. Данное программное обеспечение предназначено только для Linux, но также полностью совместим с маршрутизаторами, работающими OpenWRT. Программа была в первую очередь разработана для обхода блокировок сайтов на территории России.

DNS over HTTPS (DoH) — протокол для выполнения разрешения имён DNS по протоколу HTTPS. Целью внедрения этого протокола является повышение конфиденциальности.

Для чего это нужно особо расписывать не буду, кому нужно уже сам догадался)) Но есть не большие нюансы, заключаются в том что, то что не работало — заработает, то что работало — может отвалиться))))) Понимайте как хотите, но мне пришлось немного настраивать firewall и добавлять в исключение домен своего сайта, т.к. он выпал из индексирования поисковых роботов, а возможно и из РУ сегмента интернета…

Начнем с простого, установки и настройки DoH. Заходим на роутер через web интерфейс, переходим в вкладку System — Software — Update list, в фильтр пишем https-dns-proxy, устанавливаем три пакета.

После установки пакетов в меню OpenWRT, появится пункт Службы. Переходим в Службы — HTTPS DNS Прокси.

Удаляем стандартные конфигурации google и cloudflare, нажимаем Добавить, выбираем провайдер Comss DNS (RU), Bootstrap DNS 1.1.1.1,8.8.8.8, остальные параметры по умолчанию, жмем сохранить — применить

Что дает данная манипуляция — обход блокировки discord и gptchat. Но т.к. дискорд нужен мне чтоб общаться с друзьями во время игры, мне была важнее эта функция. Минусов пока не обнаружил. Так же с помощью этого софта можно фильтровать рекламу на сайтах, но придется заморочаться с настройкой, по этому я не стал этого делать.

Переходим к установке youtubeunblock

Первым делом нужно узнать архитектуру процессора. Подключаемся к роутеру по SSH вводим команду:

# opkg print-architecture

На моем испытуемое AX3000T ответ следующий:
```
arch all 1
arch noarch 1
arch aarch64_cortex-a53 10
```
Идем на гитхаб разработчика выбираем последний доступный релиз приложения, видим список доступных пакетов. Скачиваем пакет с содержанием в имени luci-app (это надстройка для web интерфейса) и пакет с содержанием в имени название архитектуры процессора, в моем случае aarch64_cortex-a53.

Заходи на роутер через web интерфейс, устанавливаем скаченные пакеты, переходим в вкладку System — Software — Upload opkg — browse

Сначала устанавливаем пакет youtubeUnblock-1.0.0-10-f37c3dd-aarch64_cortex-a53-openwrt-23.05.ipk, сразу за ним luci-app-youtubeUnblock-1.0.0-10-f37c3dd.ipk

Далее нужно скачать некоторые пакеты от которых зависит работоспособность приложения, судя по информации разработчика. Скачиваем пакеты по SSH или через web интерфейс кому как удобно, я сделал через SSH:
```
# opkg update
# opkg install kmod-nfnetlink-queue kmod-nft-queue kmod-nf-conntrack curl
```
Так же через SSH вносим правила в firewall для работы приложения:
```
nft add chain inet fw4 youtubeUnblock '{ type filter hook postrouting priority mangle - 1; policy accept; }'
nft add rule inet fw4 youtubeUnblock 'tcp dport 443 ct original packets < 20 counter queue num 537 bypass'
nft add rule inet fw4 youtubeUnblock 'meta l4proto udp ct original packets < 9 counter queue num 537 bypass'
nft insert rule inet fw4 output 'mark and 0x8000 == 0x8000 counter accept'
```
Поверяем работу софта, в SSH вводим команды смотрим скорость загрузки:

curl -o/dev/null -k --connect-to ::google.com -k -L -H Host:\ mirror.gcr.io https://test.googlevideo.com/v2/cimg/android/blobs/sha256:6fd8bdac3da660bde7bd0b6f2b6a46e1b686afb74b9a4614def32532b73f5eaa
curl -o/dev/null -k --connect-to ::google.com -k -L -H Host:\ mirror.gcr.io https://mirror.gcr.io/v2/cimg/android/blobs/sha256:6fd8bdac3da660bde7bd0b6f2b6a46e1b686afb74b9a4614def32532b73f5eaa

Проверяем загрузку сайта через браузер, на данном этапе именно у меня на AX3000T ни чего не заработало, при этом на виртуальной OpenWRT-x86-64 на другом ПК — заработало…

Если у вас так же, открываем файл /usr/share/firewall4/templates/ruleset.uc ищем там строку: meta l4proto { tcp, udp } flow offload @ft;, меняем ее на следующую: meta l4proto { tcp, udp } ct original packets ge 30 flow offload @ft;, перезапускаем firewall: fw4 restart, проверяем работу сайта, у меня заработало!

Снова идем в web интерфейс роутера, в переходим в раздел Службы — youtubeUnblock — Конфигурация

В самом низу сидим Default section, жмем кнопку Клонировать, Даем название новой секции Google section.

Нажимаем кнопку Изменить, на секции Google section. Выставляем параметры как на скриншотах ниже:

Сохраняем изменения. Нажимаем кнопку Изменить, на секции Default section. Выставляем параметры как на скриншотах ниже:

Сохраняем изменения. Внизу жмем кнопку применить.

Тут важная ремарка, обратите внимание, что домены в первом и втором случае у вас должны быть свои. Т.е. секция goolge содержащая клонированные домены по умолчанию, содержит ТОЛЬКО домены google. В секцию Default добавляем НУЖНЫЕ ВАМ, домены, вход которых начал блокироваться.

Так же в Статусе службы можно увидеть на какие сайты уходит трафик с ваших ПК, и если что-то\где-то не открывается копируем домен из логов в секцию Default.

Target SNI detected — Блокированный
Excluded SNI — разрешенный

На этом настройка завершена, можно наслаждаться работой сайтов и сервисов!

СМОТРИТЕ ТАК ЖЕ ТЕМЫ:
Автор

Сообщения