Настройка DNS-over-HTTPS (DoH) на OpenWRT

 1. Установка необходимых пакетов

🔹 Обновляем список пакетов и устанавливаем нужные утилиты:

opkg update

opkg install https-dns-proxy luci-app-https-dns-proxy

🖏️ https-dns-proxy — для работы DoH, luci-app-https-dns-proxy добавит удобный веб-интерфейс в LuCI.

2. Проверка конфигурации и работы службы DoH

🔹 Проверяем состояние службы https-dns-proxy:

/etc/init.d/https-dns-proxy status

🔹 Проверяем лог работы службы:

logread | grep dns-proxy

🔹 Проверяем, что порты 5053 и 5054 слушаются локально:

netstat -tulpen | grep 505

🔹 Проверяем, что DNS запросы резолвятся через локальный сервер:

nslookup openwrt.org 127.0.0.1:5053

nslookup openwrt.org 127.0.0.1:5054

🖏️ Если видим корректные ответы — https-dns-proxy работает.

3. Настройка DoH-серверов

🔹 Переходим в LuCI → Services → HTTPS DNS Proxy.

Там мы увидим список доступных серверов (Cloudflare, Google, AdGuard). Включаем Cloudflare или другой нужный.

4. Настройка перенаправления всего DNS-трафика через DoH

🔹 Добавляем правило:

uci add firewall redirect

uci set firewall.@redirect[-1].name='Redirect-DNS'

uci set firewall.@redirect[-1].src='lan'

uci set firewall.@redirect[-1].proto='tcp udp'

uci set firewall.@redirect[-1].src_dport='53'

uci set firewall.@redirect[-1].dest='lan'

uci set firewall.@redirect[-1].dest_ip='127.0.0.1'

uci set firewall.@redirect[-1].dest_port='53'

uci set firewall.@redirect[-1].target='DNAT'

uci commit firewall

/etc/init.d/firewall restart

 Теперь все запросы DNS с клиентов будут идти через https-dns-proxy.

5. Блокировка прямых DNS-запросов IPv6

🔹 Чтобы DNS-утечки не шли по IPv6:

uci add firewall rule

uci set firewall.@rule[-1].name='Block-IPv6-DNS'

uci set firewall.@rule[-1].src='lan'

uci set firewall.@rule[-1].dest='wan'

uci set firewall.@rule[-1].proto='tcp udp'

uci set firewall.@rule[-1].dest_port='53'

uci set firewall.@rule[-1].family='ipv6'

uci set firewall.@rule[-1].target='REJECT'

uci commit firewall

/etc/init.d/firewall restart

 Теперь IPv6-утечек DNS не будет.

6. Проверка работы DoH

🔹 Проверяем:

nslookup openwrt.org 127.0.0.1

 Должен выдать IP-адрес OpenWRT.org.

7. Проверка на утечки DNS

🔹 Заходим на сайты проверки:

• https://dnsleaktest.com

• https://1.1.1.1/help

• https://browserleaks.com/dns

Установка настройка VPN L2TP на routerOS (VDS)

 

Установка nfqws-keenetic на openwrt

 https://github.com/Anonym-tsk/nfqws-keenetic?tab=readme-ov-file

Установка на OpenWRT

До версии 24.10 включительно, пакетный менеджер opkg

1. Установите необходимые зависимости

   opkg update
   opkg install ca-certificates wget-ssl
   opkg remove wget-nossl
   

2. Установите публичный ключ репозитория

   wget -O "/tmp/nfqws-keenetic.pub" "https://anonym-tsk.github.io/nfqws-keenetic/openwrt/nfqws-keenetic.pub"
   opkg-key add /tmp/nfqws-keenetic.pub
   

3. Установите репозиторий в систему

   echo "src/gz nfqws-keenetic https://anonym-tsk.github.io/nfqws-keenetic/openwrt" > /etc/opkg/nfqws-keenetic.conf
   

   Репозиторий универсальный, поддерживаемые архитектуры: mipsel, mips, mips64, aarch64, armv7, x86, x86_64, lexra. Для добавления поддержки новых устройств, создайте Feature Request

4. Установите пакет

   opkg update
   opkg install nfqws-keenetic
   

5. Установите веб-интерфейс (опционально)

   opkg install nfqws-keenetic-web

 Что это: bmon (Bandwidth Monitor) — консольный инструмент, который показывает трафик на интерфейсах в реальном времени. Нет графиков, нет лишнего GUI - всё именно в терминале.

# Запуск bmon с отображением всех интерфейсов

bmon

# Отслеживание конкретного интерфейса

bmon -i eth0

# Показ интерфейсов с ошибками

bmon -p

# Экспорт статистики в текстовый файл

bmon -o ascii:logfile.txt

# Использование netlink для сбора статистики

bmon -r 1000 -o ascii

Как создать собственный Outline VPN

 

Установка OpenWRT на Raspberry PI

 

Ссылка на селектор прошивок на сайте OpenWRT:

firmware-selector.openwrt.org Пакет с драйверами:

opkg update

opkg install kmod-usb-net-rtl8152

Как обновить все пакеты на OpenWRT

 opkg list-upgradable | cut -f 1 -d ' ' | xargs opkg upgrade