keenetic-pbr не является официальным продуктом компании Keenetic и никак с ней не связан. Этот пакет создан сторонним разработчиком и предоставляется "как есть" без какой-либо гарантии, автор не несёт ответственности за повреждение Вашего устройства, все действия Вы выполняете на свой страх и риск.
Вопросы и предложения касательно пакета можно направлять в GitHub Issue и в Telegram-чат: https://t.me/keenetic_pbr.
- Убедитесь, что вы обновились как минимум до версии
v-1.3.0-2 - Отключите автообновление списков после установки/обновления пакета
Всё это поможет предотвратить излишний износ NAND-памяти роутера.
keenetic-pbr — это пакет для маршрутизации на основе правил для роутеров Keenetic.
Telegram-чат проекта: https://t.me/keenetic_pbr
С помощью этого пакета можно настроить выборочную маршрутизацию для указанных IP-адресов, подсетей и доменов. Это необходимо, если вам понадобилось организовать защищенный доступ к определенным ресурсам, либо выборочно разделить трафик на несколько провайдеров (напр. трафик до сайта А идёт через одного оператора, а остальной трафик - через другого)
Пакет использует ipset для того, чтобы хранить большое количество адресов в памяти роутера без существенного увеличения нагрузки, а также dnsmasq для того, чтобы пополнять данный ipset IP-адресами, которые резолвят клиенты локальной сети.
Для настройки маршрутизации пакет создает скрипты в директории /opt/etc/ndm/netfilter.d и /opt/etc/ndm/ifstatechanged.d.
- Маршрутизация на основе доменов через
dnsmasq - Маршрутизация на основе IP-адресов через
ipset - Настраиваемые таблицы маршрутизации и приоритеты
- Автоматическая настройка для списков
dnsmasq
Данный пакет содержит следующие скрипты и утилиты:
/opt
├── /usr
│ └── /bin
│ └── keenetic-pbr # Утилита для скачивания и обработки списков, их импорта в ipset, а также генерации файлов конфигурации для dnsmasq
└── /etc
├── /keenetic-pbr
│ ├── /keenetic-pbr.conf # Файл конфигурации keenetic-pbr
│ └── /lists.d # В эту папку keenetic-pbr будет помещать скачанные и локальные списки. Не кладите сюда ничего сами, т.к. файлы из этой папки удаляются после каждого запуска команды "keenetic-pbr download".
├── /ndm
│ ├── /netfilter.d
│ │ └── 50-keenetic-pbr-fwmarks.sh # Скрипт добавляет iptables правило для маркировки пакетов в ipset с определённым fwmark
│ └── /ifstatechanged.d
│ └── 50-keenetic-pbr-routing.sh # Скрипт добавляет ip rule для направления пакетов с fwmark в нужную таблицу маршрутизации и создаёт её с нужным default gateway
├── /cron.daily
│ └── 50-keenetic-pbr-lists-update.sh # Скрипт для автоматического ежедневного обновления списков
└── /dnsmasq.d
└── (config files) # Папка с сгенерированными конфигурациями для dnsmasq, заставляющими его класть IP-адреса доменов из списков в нужный ipset
keenetic-pbr автоматически загружает ip-адреса и подсети из списков в нужные ipset. Далее пакеты на IP-адреса, которые попадают в этот ipset, маркируются определённым fwmark и на основе правил маршрутизации переадресовываются на конкретный интерфейс.
Схема процесса:
Для маршрутизации на основе доменов используется dnsmasq. Каждый раз, когда клиенты локальной сети делают DNS-запрос, dnsmasq проверяет, есть ли домен в списках, и если есть, то добавляет его ip-адреса в ipset.
Note
Чтобы маршрутизация доменов работала, клиентские устройства не должны использовать собственные DNS-сервера. Их DNS-сервером должен быть IP роутера, иначе dnsmasq не увидит эти пакеты и не добавит ip-адреса в нужный ipset.
Important
Некоторые приложения и игрушки используют собственные способы получения ip-адресов для своих серверов. Для таких приложений маршрутизация по доменам не будет работать, т.к. эти приложения не делают DNS-запросов. Вам придётся узнавать IP-адреса/подсети серверов этих приложений и добавлять их в списки самостоятельно.
Схема процесса:
- Работоспособность пакета проверялась на Keenetic OS версии 4.2.1. Работоспособность на версии 3.x.x возможна, но не гарантируется.
- Необходимо установить дополнительные компоненты на ваш роутер в разделе Управление -> Параметры системы:
- Сетевые функции / Протокол IPv6
- Этот компонент необходим для возможности установки компонента "Модули ядра подсистемы Netfilter".
- Пакеты OPKG / Поддержка открытых пакетов
- Пакеты OPKG / Модули ядра подсистемы Netfilter
- Пакеты OPKG / Пакет расширения Xtables-addons для Netfilter
- На данный момент этот пакет не обязателен, поскольку его возможности не используются keenetic-pbr, но его возможности могут пригодиться в будущем. Инструкция к модулю доступна по ссылке.
- Сетевые функции / Протокол IPv6
- Вам необходимо установить среду Entware на Keenetic (инструкция), для этого понадобится USB-накопитель, который будет постоянно вставлен в роутер
- Также необходимо настроить второе (третье, четвёртое, ...) соединение, через которое вы хотите направить трафик попадающий под списки. Это может быть VPN-соединение или второй провайдер (multi-WAN).
- Ваши устройства должны быть в Политике доступа в интернет по умолчанию (раздел Приоритеты подключений -> Применение политик). В противном случае устройство может игнорировать все правила, применённые keenetic-pbr.
Подключитесь к вашему OPKG по SSH и выполните следующую команду:
opkg install curl jq && curl -sOfL https://raw.githubusercontent.com/maksimkurb/keenetic-pbr/refs/heads/main/install.sh && sh install.shCaution
Если Entware установлен на внутреннюю память роутера, обязательно отключите автообновление списков, чтобы предотвратить износ памяти!
-
Перейдите на страницу релизов и скопируйте URL
.ipkфайла для вашей архитектуры для последней версии. -
Скачайте
.ipkфайл на ваш маршрутизатор:curl -LO <URL-to-latest-ipk-file-for-your-architecture>
-
Установите его с помощью OPKG:
opkg install keenetic-pbr-*-entware.ipk
Во время установки пакет keenetic-pbr заменяет оригинальный файл конфигурации dnsmasq.
Резервная копия будет сохранена в /opt/etc/dnsmasq.conf.orig.
Caution
Если Entware установлен на внутреннюю память роутера, обязательно отключите автообновление списков, чтобы предотвратить износ памяти!
Отредактируйте следующие файлы конфигурации в соответствии с вашими потребностями:
- (обязательно) Конфигурация keenetic-pbr:
/opt/etc/keenetic-pbr/keenetic-pbr.conf- В данном файле вы должны настроить необходимые ipset, списки и выходные интерфейсы
- (опционально) Отключение автообновления списков:
/opt/etc/cron.daily/50-keenetic-pbr-lists-update.sh- Если Entware установлен на внутреннюю память, то настоятельно рекомендуется отключить автообновление списков, чтобы предотвратить износ NAND-памяти
- (опционально) Конфигурация dnsmasq:
/opt/etc/dnsmasq.conf- Данный файл можно перенастроить под свои нужды, например заменить upstream DNS сервер на свой
- Рекомендуется поставить и настроить пакет
dnscrypt-proxy2, а затем указать вdnsmasq.confнастройкуserver=127.0.0.1#9153, чтобы DNS-запросы были защищены DNS-over-HTTPS (DoH)
Откройте /opt/etc/keenetic-pbr/keenetic-pbr.conf и отредактируйте его по мере необходимости:
- Необходимо поправить поле
interface, указав туда интерфейс, через который будет идти исходящий трафик, попавший под критерии списков. - Также необходимо добавить списки (локальный или удалённый по URL)
Пример конфигурации: (вам не нужно копировать этот пример себе, можно просто редактировать файл, который входит в комплект поставки с пакетом)
#---------------------#
# Общие настройки #
#---------------------#
[general]
lists_output_dir = "/opt/etc/keenetic-pbr/lists.d" # В эту папку будут скачиваться списки
dnsmasq_lists_dir = "/opt/etc/dnsmasq.d" # Загруженные списки будут сохранены в этом каталоге для dnsmasq
use_keenetic_api = true # Если true, keenetic-pbr будет делать запросы к Keenetic API (RCI), чтобы проверить, что интерфейс активен
#-------------#
# IPSET 1 #
#-------------#
[[ipset]]
ipset_name = "vpn" # Название ipset
ip_version = 4 # IPv4 или IPv6
flush_before_applying = true # Очищать ipset каждый раз перед его заполнением
[ipset.routing]
interfaces = ["nwg1", "nwg2"] # Куда будет направляться трафик для IP, попавших в этот ipset
# keenetic-pbr будет выбирать ПЕРВЫЙ включённый интерфейс из этого списка.
# Если включена опция use_keenetic_api, то также будет проверяться наличие соединения на этом интерфейсе.
kill_switch = false # Если kill-switch включен, но при этом не доступен ни один интерфейс из списка выше, то трафик на адреса из списка будет блокироваться (чтобы избежать утечки трафика)
fwmark = 1001 # Этот fwmark будет применяться к пакетам, попавшим под критерии списков
table = 1001 # Номер таблицы маршрутизации (ip route table), туда будет добавляться default gateway на интерфейс, указанный выше
priority = 1001 # Приоритет правила маршрутизации (ip rule priority), чем число меньше, тем выше приоритет
# Настройки для продвинутых: можно указывать собственные правила iptables, которые будут применяться для ipset.
# Доступные переменные:
# {{ipset_name}} - название ipset
# {{fwmark}} - fwmark
# {{table}} - номер таблицы маршрутизации
# {{priority}} - приоритет правила маршрутизации
#
#[[ipset.iptables_rule]]
#chain = "PREROUTING"
#table = "mangle"
#rule = ["-m", "set", "--match-set", "{{ipset_name}}", "dst,src", "-j", "MARK", "--set-mark", "{{fwmark}}"]
# Список 1 (ручное перечисление адресов)
[[ipset.list]]
name = "local"
hosts = [
"ifconfig.co",
"myip2.ru",
"1.2.3.4",
"141.201.11.0/24",
]
# Список 2 (из локального файла)
[[ipset.list]]
name = "local-file"
file = "/opt/etc/keenetic-pbr/my-list.lst"
# Список 3 (скачивание через URL)
[[ipset.list]]
name = "remote-list-1"
url = "https://some-url/list1.lst" # Файл должен содержать домены, IP адреса и CIDR, по одному на каждой строчке
# Список 4 (скачивание через URL)
[[ipset.list]]
name = "remote-list-2"
url = "https://some-url/list2.lst"
# Вы можете добавлять столько ipset, сколько хотите:
# [[ipset]]
# ipset_name = "direct"
# ...После редактирования конфигурационного файла введите данную команду, чтобы скачать файлы списков:
keenetic-pbr downloadCaution
Если Entware установлен на внутреннюю память роутера, обязательно отключите ежедневное автоматическое обновление списков, чтобы предотвратить износ памяти.
Эту команду нужно выполнять после каждого обновления пакета keenetic-pbr!
Для того, чтобы отключить автообновление списков, удалите файл /opt/etc/cron.daily/50-keenetic-pbr-lists-update.sh:
rm /opt/etc/cron.daily/50-keenetic-pbr-lists-update.shВы всегда сможете обновить списки вручную.
Tip
Обычный протокол DNS является не безопасным, поскольку все запросы передаются в открытом виде. Это значит, что провайдер или злоумышленники могут перехватить и подменить ваши DNS-запросы (DNS spoofing), направив вас на ненастоящий веб-сайт.
Чтобы обезопасить себя от этого, рекомендуется настроить пакет dnscrypt-proxy2, который будет использовать протокол DNS-over-HTTPS (DoH) для шифрования DNS-запросов.
Подробнее о DoH можно прочитать здесь.
Для настройки DoH на роутере необходимо выполнить следующие действия:
-
Скачиваем
dnscrypt-proxy2opkg install dnscrypt-proxy2
-
Редактируем файл
/opt/etc/dnscrypt-proxy.toml# ... (здесь другие строчки конфига, их удалять не нужно) # Указываем upstream-серверы (необходимо убрать решётку перед server_names) server_names = ['adguard-dns-doh', 'cloudflare-security', 'google'] # Указываем порт 9153 для прослушивания DNS-запросов listen_addresses = ['[::]:9153'] # ... (здесь другие строчки конфига, их удалять не нужно)
-
Редактируем файл
/opt/etc/dnsmasq.conf# ... (здесь другие строчки конфига, их удалять не нужно) # Меняем сервер по умолчанию 8.8.8.8 на наш dnscrypt-proxy2 server=127.0.0.1#9153 # ... (здесь другие строчки конфига, их удалять не нужно)
-
Перезапускаем
dnscrypt-proxy2иdnsmasq/opt/etc/init.d/S09dnscrypt-proxy2 restart /opt/etc/init.d/S56dnsmasq restart
Для того, чтобы Keenetic использовал dnsmasq в качестве DNS-сервера, необходимо включить DNS Override.
Note
Данный этап не нужен, если ваши списки содержат только IP-адреса и CIDR и не указывают доменных имён.
- Откройте следующий URL в браузере:
http://<router-ip-address>/a - Введите следующие команды по очереди:
opkg dns-overridesystem configuration save
- Обязательно перезагрузите роутер.
Tip
Если вы решите отключить DNS-Override в будущем, выполните команды no opkg dns-override и system configuration save.
Убедитесь, что маршрутизация на основе политики работает должным образом.
Для этого откройте адрес, которого нет в ваших списках (напр. https://2ip.ru) и адрес, который есть в ваших списках (напр. https://ifconfig.co) и сравните IP-адреса, они должны быть разными.
- Списки обновляются автоматически ежедневно с помощью
cron.- Если Entware установлен на внутреннюю память, пожалуйста, отключите автообновление списков, чтобы предотвратить износ памяти.
В случае, если вы редактировали настройки keenetic-pbr.conf и хотите обновить списки вручную, выполните следующие команды по SSH:
keenetic-pbr download
/opt/etc/init.d/S80keenetic-pbr restartЕсли возникают проблемы, проверьте ваши конфигурационные файлы и логи.
Убедитесь, что списки были загружены правильно, и dnsmasq работает с обновленной конфигурацией.
Перед проверкой работоспособности на клиентской машине необходимо очистить DNS-кеш.
Сделать это выполнив команду в консоли (для Windows): ipconfig /flushdns.
Также выполните следующую команду, чтобы проверить, правильно ли работает Keenetic-PBR (вывод этой команды будет очень полезен, если вы хотите получить помощь в Telegram-чате):
keenetic-pbr self-checkВы можете задать вопросы в Telegram-чате проекта: https://t.me/keenetic_pbr
Можно временно отключить данную конфигурацию, выключив OPKG в настройках (выбрав раздел="не указан") и перезагрузив роутер.
Если желаете полностью удалить пакет, необходимо выполнить следующие шаги:
- По SSH выполниить:
opkg remove keenetic-pbr dnsmasq dnscrypt-proxy2 - Отключить DNS-override (http:///a):
no opkg dns-overridesystem configuration save
- Выключить OPKG (если не пользуетесь им для других нужд)
- Перезагрузить роутер
Приятного использования маршрутизации на основе политики с Keenetic-PBR!