Автоматическая установка с помощью скрипта - gSpotx2f/ruantiblock_openwrt GitHub Wiki
Далее описана установка с помощью скрипта-инсталлятора (autoinstall.sh
), который выполнит установку необходимых зависимостей, скачивание файлов из репозитория и первичную настройку.
-
Для VPN конфигурации необходимо настроенное и работающее VPN-соединение.
-
В настройках сети OpenWrt (в разделе Интерфейсы) нужно создать интерфейс с названием
VPN
. Протокол интерфейса зависит от типа вашего VPN: для некоторых популярных (Wireguard, OpenConnect, PPTP и др.) присутствуют соответствующие варианты в списке выбора; в случае OpenVPN - неуправляемый интерфейс, к котому привязано сетевое устройствоtun0
. Пример создания неуправляемого интерфейса для OpenVPN (сетевое устройствоtun0
) из консоли с помощью UCI:uci batch << EOI set network.VPN='interface' set network.VPN.proto='none' set network.VPN.device='tun0' set network.VPN.defaultroute='0' set network.VPN.peerdns='0' set network.VPN.delegate='0' set network.VPN.auto='1' EOI uci commit network service network restart
-
Далее нужно добавить новую зону межсетевого экрана под названием
vpn
(разрешить исходящий трафик и маскарадинг, запретить входящий и перенаправление) и добавить в неё созданный ранее интерфейс OpenWrtVPN
:section_name=$(uci add firewall zone) uci batch << EOI set firewall.${section_name}.name='vpn' set firewall.${section_name}.input='REJECT' set firewall.${section_name}.output='ACCEPT' set firewall.${section_name}.forward='REJECT' set firewall.${section_name}.masq='1' add_list firewall.${section_name}.network='VPN' EOI section_name=$(uci add firewall forwarding) uci batch << EOI set firewall.${section_name}.src='lan' set firewall.${section_name}.dest='vpn' EOI uci commit firewall service firewall restart
-
Для всех видов VPN необходимо отключить маршрут по умолчанию в VPN-туннель (иначе весь трафик полностью будет заворачиваться в VPN) и использование DNS получаемых от VPN-сервера:
uci set network.VPN.defaultroute=0 uci set network.VPN.peerdns=0 uci commit network
-
При использовании OpenVPN, в конфигурационном файле OpenVPN-клиента обязательно должен присутствовать параметр
route-noexec
, иначе OpenVPN будет добавлять правило маршрутизации по умолчанию на свой интерфейс и весь трафик пойдет через него. -
В стандартной конфигурации конфиги nftset и dnsmasq со списками блокировок пишутся при обновлении в tmpfs, т.е. в оперативную память (
/tmp/ruantiblock
и/tmp/dnsmasq.d
соответственно). При старте системы после перезагрузки происходит автоматическое обновление блэклиста. При недостаточном количестве памяти (128Мб и менее) или просто для удобства, можно перенести директории с данными на внешний носитель после установки.
- dnsmasq-full
- kmod-nft-tproxy
- Tor конфигурация: tor, tor-geoip
- Для VPN конфигурации необходимо заранее установить и настроить VPN-соединение
- В конфигурации прозрачного прокси, также, нужно заранее установить и настроить все необходимые компоненты (например, Shadowsocks + ss-redir и пр.)
1. Необходимо скачать скрипт autoinstall.sh
в /tmp
, разрешить выполнение и запустить:
wget --no-check-certificate -O /tmp/autoinstall.sh https://raw.githubusercontent.com/gSpotx2f/ruantiblock_openwrt/master/autoinstall/2.x/autoinstall.sh && chmod +x /tmp/autoinstall.sh && /tmp/autoinstall.sh
2. После запуска скрипт задаст несколько вопросов по конфигурации:
- Режим прокси: Tor, VPN или прозрачный прокси.
- Выбор списка блокировок: собственный список (только записи пользователя) или весь блэклист полностью.
- Установка luci-app-ruantiblock. Приложение для LuCI (веб-интерфейса OpenWrt). Подробнее тут.
- Установка https-dns-proxy для шифрования DNS.
При выборе Tor конфигурации скрипт устанавливает Tor (если не установлен), скачивает файл torrc
из репозитория и устанавливает его вместо текущего конфига (старый конфиг бэкапится там же в /etc/tor
). На конечном этапе добавляется задание для обновления блэклиста в cron: 0 3 */3 * * /usr/bin/ruantiblock update
(скорректируйте под свои требования).
3. После установки
-
В Tor конфигурации - если у вас недоступны входные узлы Tor, то необходимо настроить мосты. Далее, пример конфигурации с маскировкой Tor-трафика с помощью утилиты obfs4proxy. Установка obfs4proxy:
opkg install obfs4proxy
Получить адреса мостов можно на странице https://bridges.torproject.org/options/. Выберите вариант
obfs4
в выпадающем списке. Каждая строка является адресом входного узла. Нужно добавить их в конфиг Tor (/etc/torrc
), предварив каждую директивойBridge
, включить использование мостов и подключить obfs4proxy. Пример записи в/etc/torrc
:Bridge obfs4 217.160.214.85:8080 B90D1A479D416987DE8CE14BD80B22C0B90917CE cert=A2NvKQ6Fb/sovF+i3qmZqCN8WJsYtupPKltQbmFCLmm4CyMD0LSkN6J+i+E04rUJzAY0DQ iat-mode=0 Bridge obfs4 51.158.146.93:9003 74EEC1AA79F664B6827D092A44C69FF6738A8F58 cert=JySUZrPCrLEVNm9O/oMV2EGueXyJlqNjHRm6ie6FBOAti/nA4arWKAM30PRi/5EFZSXieA iat-mode=0 Bridge obfs4 185.177.207.179:8443 35B6556F164FB4568F90A9570428724B2C77D353 cert=Zdsd5ZgCxGV/ok/GwRFLN/6zIVVTdBbhJ3f7AhO1fvJ370nENc2Z7wk3lRJE07tgLK2FZg iat-mode=0 UseBridges 1 ClientTransportPlugin obfs4 exec /usr/bin/obfs4proxy
После внесения изменений проверьте работоспособность Tor:
/etc/init.d/tor start
-
В VPN конфигурации - задайте имя VPN-интерфейса (для OpenVPN обычно
tun0
, для Wireguard, OpenConnect, PPTP и пр. имя определяет сам пользователь при создании интерфейса):uci set ruantiblock.config.if_vpn='tun0' uci commit ruantiblock
VPN-интерфейс можно задать и в веб-приложении:
Ruantiblock
->Настройки
->Режим VPN
. -
В конфигурации прозрачного прокси - задайте значение TCP-порта на котором принимает соединения прозрачный прокси:
uci set ruantiblock.config.t_proxy_port_tcp='1100'
Если в качестве прокси-сервера предполагается использовать sing-box в режиме TProxy, то задайте значение
t_proxy_type='1'
:uci set ruantiblock.config.t_proxy_type='1'
Применение настроек UCI:
uci commit ruantiblock
-
На примере Shadowsocks с использованием ss-redir: значение TCP-порта должно соответствовать локальному порту указанному в корфигурации ss-redir (значение параметра запуска
ss-redir -l <порт>
или параметрlocal_port
в конфиге Shadowsocks/etc/shadowsocks.json
или параметрlocal_port
в UCI-конфиге/etc/config/shadowsocks-libev
в блоке соответствующего сервера). Если вам необходимо, чтобы трафик локальных приложений роутера также обходил блокировки, то параметр конфигурации Shadowsockslocal_address
(или значение параметра запускаss-redir -b <ip адрес>
) должен быть установлен в0.0.0.0
. В такой конфигурации Shadowsocks будет принимать соединения на всех доступных адресах (включая localhost127.0.0.1
, необходимый для редиректа локального трафика роутера). Также необходимо отключить перенаправление трафика в shadowsocks:uci set shadowsocks-libev.ss_rules.disabled="1" uci commit shadowsocks-libev /etc/init.d/shadowsocks-libev restart
-
На примере Redsocks: в конфигурационном файле (
/etc/redsocks.conf
) параметрlocal_port
в блокеredsocks
. Также, прозрачный прокси должен принимать входящие подключения на LAN-адресе роутера (в примере192.168.0.1
) или на всех адресах (0.0.0.0
), но не на localhost (127.0.0.1
)!redsocks { ... local_ip = 192.168.0.1; local_port = 1100; ... }
Если Redsocks подключен к локальному сервису, т.е. работающему на роутере, то необходимо в настройках ruantiblock отключить проксификацию трафика локальных приложений роутера:
uci set ruantiblock.config.proxy_local_clients="0" uci commit ruantiblock
иначе Redsocks не сможет подключиться к локальному сервису!
-
В конфигурациях VPN и прозрачного прокси имеет смысл добавить IP адрес вашего VPN-сервера (или прокси-сервера) в список IP адресов исключаемых из обхода блокировок. Это гарантирует что служебный трафик самого VPN-тунеля (или соединения с прокси) всегда будет проходить напрямую, не попадая в правила ruantiblock. Например, если IP адрес VPN-сервера 217.23.3.91:
uci set ruantiblock.config.bypass_ip_mode="1"
uci add_list ruantiblock.config.bypass_ip_list="217.23.3.91"
uci commit ruantiblock
Стоит упомянуть, что при вызове скрипта /usr/bin/ruantiblock
с параметрами: start
, update
или destroy
- всегда выполняется перезапуск dnsmasq.
Также, необходимо настроить шифрование DNS-трафика (dnscrypt-proxy, https-dns-proxy и пр.). В режиме обхода блокировок fqdn
, все хосты в локальной сети (для которых будет работать обход блокировок) должны использовать DNS-сервер роутера. Поэтому в настройках мобильных устройств и браузеров, нужно отключить опцию "безопасный DNS" (т.е. конфигурацию при которой устройство или программа использует сторонние шифрованные DNS-серверы, игнорируя роутер).
По завершении настройки перезагрузите устройство, затем проверьте включен ли ruantiblock и обновился ли список блокировок при старте:
/usr/bin/ruantiblock status
Если не возникло никаких ошибок, попробуйте выполнить обновление списка блокировок:
/usr/bin/ruantiblock update
После всего выше проделанного, попробуйте зайти на какой-нибудь заблокированный сайт с вашего ПК или др. устройства в локальной сети. Обратите внимание, что после запуска Tor может инициализироваться на протяжении нескольких минут...
Можно проверить идут ли пакеты через правила nftables в выводе статуса ruantiblock в консоли:
/usr/bin/ruantiblock status
Блок Nftables rules:
содержит счётчики правил для IP адресов, CIDR-диапазонов и IP адресов, которые добавляет dnsmasq. При запросе заблокированного сайта или IP соответствующие счётчики растут.
Если возникли проблемы, смотрите здесь...