Активирована настройка opkg dns override
Начиная с Chaos Calmer 15.05, dnscrypt-proxy и libsodium присутствуют в официальном репозитории:
Кроме того, существует пакет luci-app-dnscrypt-proxy, позволяющий настраивать dnscrypt-proxy через веб-интерфейс LuCi.
Специальная сборка для архитектуры ar71xx от black-roland
Сборка от black-roland имеет ряд преимуществ перед официальным репозиторием Chaos Calmer: пакеты dnscrypt-proxy и libsodium более свежие (и поддерживают Barrier Breaker), dnscrypt-proxy поддерживает использование эфемерных ключей, procd и позволяет одновременно запускать несколько копий себя (если первый DNS -сервер по каким-либо причинам будет недоступен, система использует второй).
Добавляем в файл /etc/opkg.conf источник в зависимости от используемой версии OpenWrt. Для этого выполняем в консоли следующие команды:
Trunk:
Уже содержит актуальную версию dnscrypt-proxy с поддержкой запуска нескольких копий. Ничего добавлять не требуется.
Chaos Calmer:
Barrier Breaker:
Обновляем список пакетов и устанавливаем dnscrypt-proxy и libsodium . Примечание: без обновленной библиотеки служба не запустится (по крайней мере в мультисерверном варианте), при недостатке места библиотеку следует удалить принудительно.
Настройка
По умолчанию dnscrypt-proxy использует адрес и порт 127.0.0.1:5353 . Нужно настроить OpenWrt для отправки DNS -запросов на этот адрес.
dnscrypt-proxy
Настраиваем, редактируя файл /etc/config/dnscrypt-proxy :
Следующие параметры поддерживаются только в Trunk:
| Название | Тип | Обязательность | Значение по умолчанию | Описание |
|---|---|---|---|---|
| client_key | string | нет | отсутствует | Идентификация клиента публичным ключом. По умолчанию (для затруднения отслеживания) клиент использует случайно сгенерированную ключевую пару. Эта настройка заставляет использовать статическую пару, что, например, позволяет DNS -провайдеру предлагать премиум-сервис клиентам, чьи запросы подписаны определёнными публичными ключами. Клиент не может расшифровать поступающие ответы без знания приватного ключа. Значение этой настройки представляет собой путь к файлу, содержащему приватный ключ. Соответствующий ему публичный ключ вычисляется автоматически. |
| syslog | boolean | нет | 1 | Отправка событий демону syslog. |
| syslog_prefix | string | нет | dnscrypt-proxy | Строка, предваряющая записи в журнале. |
Следующие параметры присутствуют в файле /etc/config/dnscrypt-proxy , но не поддерживаются, поскольку (на данный момент) DNSCrypt в OpenWrt собирается без поддержки плагинов:
Дополнительные параметры, при необходимости, указываются в скрипте инициализации (файл /etc/init.d/dnscrypt-proxy ).
Добавляем dnscrypt-proxy в автозагрузку и запускаем:
Обратите внимание: если dnscrypt-proxy не запускается автоматически после перезагрузки системы, возможно, он пытается запуститься ещё до того, как полностью поднят сетевой интерфейс. Добавьте в файл /etc/rc.local перед строчкой “exit 0”:
Кроме того, на маршрутизаторе должно быть установлено точное время.
dnsmasq
Настраиваем dnsmasq для использования dnscrypt-proxy на 127.0.0.1:5353. Полужирным выделены строки, которые нужно изменить в файле /etc/config/dhcp :
отключили обработку файла /tmp/resolv.conf.auto , поскольку он указывает dnsmasq использовать DNS -серверы провайдера. добавили настройку noresolv , которая (по тем же причинам) отключает обработку файла /etc/resolv.conf .Перезапускаем dnsmasq (или перезагружаем маршрутизатор):
Использование нескольких серверов
| Работает с dnscrypt-proxy из стандартного репозитория Chaos Calmer 15.05.1, но для предыдущих выпусков, скорее всего, недоступно |
Добавляем дополнительный сервер в файл /etc/config/dnscrypt-proxy (обратите внимание, что они должны размещаться на разных портах):
Создаём файл /etc/resolv-crypt.conf , содержащий единственную строку: options timeout:1. Эта настройка заставляет dnsmasq после секундного ожидания ответа от первого DNS -сервера переключиться на следующий.
Перезагружаем маршрутизатор, либо перезапускаем dnscrypt-proxy и dnsmasq :
Очищаем кэш DNS на клиентских устройствах
Обратите внимание: команды должны быть выполнены в командной строке с правами администратора.
Обновляем прошивку на версию 2.11 из канала legacy
Соединяемся с роутером
telnet your_router_ip
вводим логин/пароль админ юзера
Переключаем канал на legacy:
components sync legacy - для прошивок до 2.06
components list legacy - для прошивок 2.06 и выше
В веб-интерфейсе идем System -> Update
Проверяем, что в поле "Use" появилось значение "Debug version". Жмем кнопку "Update" и ждём.
После установки модем ребутнётся. Проверяем в дешбоарде версию.
NDMS version: 2.11.D.9.0-1 - Значит, всё получилось.
Установка Entware
Берём любую чистую флешку. Я форматировал в FAT32. У флешки обязательно должна быть метка тома (любая, кроме пустой). Вставляем её в роутер.
Проверяем что в System->Update установлены компоненты FTP и OPKG. Если нет - устанавливаем
Если у вас еще не настроен FTP, то заходим в Applications->FTP, включаем FTP сервер, разрешаем анонимный доступ (или не разрешаем, тогда нужно указать, каким пользователям роутера разрешено пользоваться FTP)
Заходим по FTP на роутер (анонимно или нет - см п 2.4), далее в каталог с именем метки нашей флешки (cм п 2.2)
Создаём каталог install и заходим в него
Копируем установщик из п 2.1 в каталог install
Заходим в Applications->OPKG, Ставим галку "Enable", в "Use external storage" выбираем метку нашей флешки, жмём кнопку "Apply"
Если FTP сервер не нужен - не забываем его выключить.
Ну, по крайней мере, закрыть анонимный доступ :)
Заходим в Entware по SSH
Устанавливаем DNSCrypt2
opkg update
opkg install dnscrypt-proxy2
Устанавливаем немного дополнительных пакетов
opkg install ca-certificates cron iptables
Редактируем /opt/etc/dnscrypt-proxy.toml
нас интересует строка
listen_addresses = ['127.0.0.1:53']
разрешаем слушать любые адреса:
listen_addresses = ['0.0.0.0:53']
Стартуем DNSCrypt2
/opt/etc/init.d/S09dnscrypt-proxy2 start
Подменяем DNS резолвер прошивки
ВНИМАНИЕ! Здесь мы подключаемся к роутеру через telnet (не в Entware по SSH) - см п 1.1 и там выполняем
opkg dns-override
system configuration save
Идём в вебморду Home Network -> Segments
Ищем сегмент со своим Wifi подключением, редактируем в секцию DHCP server: прописываем в
DNS 1 IP роутера
DNS 2 оставляем пустым
Идем в вебморду Internet -> Connections Выбираем своё исходящее подключение: прописываем в
DNS 1 IP роутера
DNS 2 и 3 оставляем пустыми
Идем в вебморду Internet -> Extra Проверяем, чтобы в секции DNS servers не было никаких других серверов кроме IP нашего роутера. Если есть - удаляем.
Переподключаемся к роутеру (по WiFi или проводу) Заодно перепроверяем настройки подключения к роутеру своих устройств, чтобы в них не было принудительно установленных DNS-серверов
Делаем 10-ClientDNS-Redirect.sh исполняемым:
chmod +x /opt/etc/ndm/netfilter.d/10-ClientDNS-Redirect.sh
Проверяемся на утечки.
Отныне используемые DNS сервера будут находится рандомно по всему миру, а трафик к ним будет шифроваться.
В роутерах ZyXEL серии Keenetic Яндекс.DNS встроен в прошивку (микропрограмму). Поэтому пользоваться им удобно прямо в панели управления роутера. Можно включить один режим DNS для всех компьютеров в домашней сети или настроить его отдельно для разных устройств: например, для компьютера ребенка выбрать «Семейный» режим, а неопытным в интернете домочадцам назначить «Безопасный». При этом менять настройки Яндекс.DNS может только пользователь, знающий пароль для доступа к роутеру.
Как настроить Яндекс.DNS
Следуйте этой инструкции, если у вас роутер Keenetic (любой модели). Если у вас другая модель, вы можете настроить Яндекс.DNS вручную.
На компьютере, который подключен к роутеру, зайдите в панель управления по ссылке 192.168.1.1.
Введите имя пользователя и пароль (по умолчанию, admin и 1234).
Дальнейшие действия зависят от версии микропрограммы. Значение имеет только первая цифра. При обновлении прошивки все ранее сделанные настройки сохранятся.
Если в нем сказано «Доступны обновления», вам необходимо нажать кнопку «Применить» внизу страницы, чтобы загрузить их. Потребуется подключение к интернету.
Во время обновления роутер нельзя выключать!
Если во всплывающем окне сказано «Обновление не требуется», вы можете сразу перейти к разделу Как управлять Яндекс.DNS.
* Обратите внимание: роутеры Keenetic Lite и Keenetic 4G есть в двух разных версиях: ревизия A (Rev.A) и ревизия B (Rev.B). Прошивки для них несовместимы между собой. Проверьте версию своего роутера на нижней панели корпуса и загрузите правильную прошивку.
Распакуйте скачанный zip-архив. Перейдите во вкладку «Файлы», в списке Имя файла нажмите на firmware. Откроется окно «Управление файлом». Нажмите «Выберите файл», укажите путь к распакованному bin-файлу, затем нажмите кнопку «Заменить». Во время обновления прошивки роутер нельзя выключать! Более подробная инструкция есть на сайте ZyXEL.
У меня другая модель роутера
На компьютере, который подключен к роутеру, зайдите в панель управления по ссылке 192.168.1.1.
Введите имя пользователя и пароль (по умолчанию, admin и 1234).
В панели управления найдите настройки DNS.
Пропишите адреса выбранного вами режима Яндекс.DNS в качестве Primary DNS и Secondary DNS и сохраните изменения.
Как управлять Яндекс.DNS
Рекомендуем вам изменить пароль для доступа к панели управления роутером, так как пароль по умолчанию общеизвестен и не может защитить настройки Яндекс.DNS и вашей домашней сети от посторонних.
В панели управления найдите настройки DNS.
Чтобы изменить режим Яндекс.DNS по умолчанию, выберите нужный режим в разделе «Профиль для гостевой сети и прочих устройств домашней сети» и сохраните изменения, нажав кнопку «Применить».
Чтобы назначать свой режим Яндекс.DNS для разных устройств, сначала их нужно зарегистрировать. Для этого перейдите в раздел «Домашняя сеть» на вкладку Устройства. В списке щелкните по устройству, которое вы хотите зарегистрировать. В поле «Описание устройства» можно ввести понятное вам название, например Мой ноутбук или телефон сына. Затем нажмите кнопку «Зарегистрировать».
Пошаговая стратегия или установка Entware и DNSCrypt на роутеры Zyxel Keenetic
Что понадобится и предварительные действия
Флешка может быть любой. В моем случае это поддельный Kingston, в котором из 8Гб реально нашлось только 256Мб
Обновляем прошивку на версию 2.11 из канала legacy
Соединяемся с роутером
вводим логин/пароль админ юзера
Переключаем канал на legacy:
В веб-интерфейсе идем System -> Up
После установки роутер ребутнётся. Проверяем в дешбоарде версию.
Берём любую чистую флешку. Я форматировал в FAT32. У флешки обязательно должна быть метка тома (любая, кроме пустой). Вставляем её в роутер.
Если у вас еще не настроен FTP, то заходим в Applications->FTP, включаем FTP сервер, разрешаем анонимный доступ (или не разрешаем, тогда нужно указать, каким пользователям роутера разрешено пользоваться FTP)
Создаём каталог install и заходим в него
Копируем установщик из п 2.1 в каталог install
Теперь можно логиниться на порт 22 или 222 с логином root и паролем keenetic
Не забываем сменить пароль и номер порта
Ну, по крайней мере, закрыть анонимный доступ
Заходим в Entware по SSH
opkg install dnscrypt-proxy2
Устанавливаем немного дополнительных пакетов
opkg install ca-certificates cron iptables
нас интересует строка
разрешаем слушать любые адреса:
Подменяем DNS резолвер прошивки
system configuration save
Идём в вебморду Home Network -> Segments
Ищем сегмент со своим Wifi подключением, редактируем в секцию DHCP server: прописываем в
DNS 1 IP роутера
DNS 2 оставляем пустым
Идем в вебморду Internet -> Connections Выбираем своё исходящее подключение: прописываем в
DNS 1 IP роутера
DNS 2 и 3 оставляем пустыми
Переподключаемся к роутеру (по WiFi или проводу) Заодно перепроверяем настройки подключения к роутеру своих устройств, чтобы в них не было принудительно установленных DNS-серверов
Здесь всё (почти работает). Но утечки всё еще возможны. Поэтому мы сейчас запретим весь трафик, который уходит наружу через 53 порт.
Для чего логинимся в Entware по ssh и создаем скрипт
ВНИМАНИЕ! Замените 10.1.1.1 на IP вашего роутера
Это можно сделать, например, вот так:
ВНИМАНИЕ! Замените 10.1.1.1 на IP вашего роутера
Делаем 10-ClientDNS-Redirect.sh исполняемым:
chmod +x /opt/etc/ndm/netfilter.d/10-ClientDNS-Redirect.sh
Проверяемся на утечки.
Отныне используемые DNS сервера будут находится рандомно по всему миру, а трафик к ним будет шифроваться.
The app is a DNS changer for mobile and Wi-Fi networks which works from Android version 4.3 (Jelly Bean).
Known issues
• does not fully support multiple active connections (i.e. tethering or Wi-Fi AP or VPN): you can exclude one network device from the advanced settings
• horizontal layout is still awful.
Просто чтобы прояснить: НЕОБХОДИМО ROOT .
Приложение представляет собой DNS-чейнджер для мобильных сетей и сетей Wi-Fi, который работает с Android версии 4.3 (Jelly Bean).
С этим программным обеспечением вы можете
& NBSP; & NBSP; & бык; & NBSP; Обход интернет-цензуры при блокировке DNS.
& NBSP; & NBSP; & бык; & NBSP; Преодоление ограничений Android : нет системной настройки для изменения мобильного DNS.
& NBSP; & NBSP; & бык; & NBSP; Ускорьте подключение к Интернету . В Интернете можно найти множество статей, в которых показаны различные тесты производительности серверов доменных имен и их влияние на вашу навигацию (пробег может отличаться).
& NBSP; & NBSP; & бык; & NBSP; Поддерживайте синхронизацию мобильного и Wi-Fi DNS , начиная с версии 1.2.0, приложение также может обрабатывать подключения Wi-Fi.
Функции
& NBSP; & NBSP; & бык; & NBSP; Автоматическая смена DNS при активации мобильного соединения (может быть отключено).
& NBSP; & NBSP; & бык; & NBSP; Автоматическая смена DNS при активации соединения Wi-Fi (можно отключить).
& NBSP; & NBSP; & бык; & NBSP; Автоматическое изменение DNS при активации подключения к сети Ethernet (может быть отключено).
& NBSP; & NBSP; & бык; & NBSP; Фильтр Wi-Fi на основе SSID, поэтому вы можете автоматически применять DNS только к определенным соединениям (можно отключить).
& NBSP; & NBSP; & бык; & NBSP; Пользовательские значения DNS.
& NBSP; & NBSP; & бык; & NBSP; Почти нулевое использование памяти и процессора, потому что это не сервис.
& NBSP; & NBSP; & бык; & NBSP; Уведомления сообщают, что приложение работает (может быть отключено).
& NBSP; & NBSP; & бык; & NBSP; Автоматическая очистка DNS без необходимости перезагрузки устройства.
& NBSP; & NBSP; & бык; & NBSP; Интеграция DashClock, чтобы следить за использованием DNS.
& NBSP; & NBSP; & бык; & NBSP; Он поставляется в комплекте с наиболее распространенными службами DNS.
& NBSP; & NBSP; & бык; & NBSP; Простой и понятный интерфейс.
& NBSP; & NBSP; & бык; & NBSP; Свободный от рекламы.
Известные проблемы
& NBSP; & NBSP; & бык; & NBSP; не полностью поддерживает несколько активных подключений (например, модем или Wi-Fi AP или VPN): вы можете исключить одно сетевое устройство из дополнительных настроек
& NBSP; & NBSP; & бык; & NBSP; горизонтальное расположение все еще ужасно.
Читайте также: