Как установить zapret v70.20250213 на Linksys EA3500 c OpenWRT 24.10

[alexp]

zapret-openwrt позволяет очень легко установить zapret на роутер с OpenWRT прямо из панели управления роутера при помощи ipk пакетов.

Как установить zapret-openwrt на Linksys EA3500 c OpenWRT 24.10

1. Первым делом нужно узнать архитектуру процессора роутера. Для этого заходим в панель управления OpenWRT (openwrt.lan или 192.168.1.1). Переходим в System -> Software
   


2. Нажимаем на кнопку "Update lists..."
   


3. Ищем название архитектуры процессора роутера в адресах
   
   
   В случае с Linksys EA3500 это arm_xscale.
   
   Если из ссылок не очевидно, какая у вас архитектура, то можно подключиться по ssh к роутеру и выполнить команду "opkg print-architecture"


4. Заходим на страницу релизов zapret-openwrt и скачиваем архив, соответствующий архитектуре процессора роутера. В случае с Linksys EA3500 для последнего текущего релиза 70.20250213 это архив zapret_v70.20250213_arm_xscale.zip.


5. Скаченный архив нужно распаковать в папку на компьютере.


6. Далее нужно зайти в раздел Software в панели управления роутера и нажать на кнопку "Upload package..."
   


7. Далее нажимаем на кнопку "Browse..." и находим нужный пакет для установки
   


8. Первым нужно установить пакет zapret_70.20250213_arm_xscale.ipk
   


9. Выбираем этот пакет и нажимаем на кнопку "Upload"
   


10. В случае успешной установки увидим строчку "Configuring zapret". После этого нажимаем на кнопку Dismiss
    


11. Далее нужно установить пакет для панели управления роутера luci-app_70.20250213_all.ipk


12. Остальные ipk пакеты тоже можно установить, но это опционально (требуются для более тонкой настройки).


13. После установки можно обновить страницу панели управления. В разделе Services должен появиться Zapret
    
    
    


14. На Netgear WNR3500Lv1 всё заработало из коробки, но перестали работать Госуслуги (сайт, приложение и авторизация через esia.gosuslugi.ru. Для решения проблемы достаточно зайти в Services -> Zapret -> Settings -> Host lists, после чего нажать на кнопку "Edit" на "User excluded hostname entries"
    
    
    
    Далее нужно добавить домен gosuslugi.ru в список и нажать на кнопку Save.
    
    


15. Никаких настроек на Negear WNR3500Lv1 больше менять не пришлось. А вот Linksys EA3500 настройки по умолчанию
    --filter-tcp=80 ˂HOSTLIST˃
--dpi-desync=fake,fakedsplit
--dpi-desync-autottl=2
--dpi-desync-fooling=md5sig
--new
--filter-tcp=443
--hostlist=/opt/zapret/ipset/zapret-hosts-google.txt
--dpi-desync=fake,multidisorder
--dpi-desync-split-pos=1,midsld
--dpi-desync-repeats=11
--dpi-desync-fooling=md5sig
--dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin
--new
--filter-udp=443
--hostlist=/opt/zapret/ipset/zapret-hosts-google.txt
--dpi-desync=fake
--dpi-desync-repeats=11
--dpi-desync-fake-quic=/opt/zapret/files/fake/quic_initial_www_google_com.bin
--new
--filter-udp=443 ˂HOSTLIST_NOAUTO˃
--dpi-desync=fake
--dpi-desync-repeats=11
--new
--filter-tcp=443 ˂HOSTLIST˃
--dpi-desync=fake,multidisorder
--dpi-desync-split-pos=midsld
--dpi-desync-repeats=6
--dpi-desync-fooling=badseq,md5sig
    
    почему-то не порадовали. Discord, Facebook, play.google.com работали, а вот Youtube, установка и обновления приложений из Google Play, а также Госслуги - нет. Интересно, что происходило это у одного и того же провайдера, с одной и той же версией OpenWRT и zapret. Пришлось искать подходящие настройки. Воспользовался следующими:
    
    На закладке "NFQWS options" -> NFQWS_OPT -> нажать Edit, после чего скопировать-вставить следующее:
    -filter-tcp=80 ˂HOSTLIST˃
--dpi-desync=fake,fakedsplit
--dpi-desync-autottl=2
--dpi-desync-fooling=md5sig
--new
--filter-tcp=443
--hostlist=/opt/zapret/ipset/zapret-hosts-google.txt
--dpi-desync=fake
--dpi-desync-ttl=4
--dpi-desync-fake-tls-mod=padencap
--dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin
--new
--filter-udp=443
--hostlist=/opt/zapret/ipset/zapret-hosts-google.txt
--dpi-desync=fake
--dpi-desync-repeats=11
--dpi-desync-fake-quic=/opt/zapret/files/fake/quic_initial_www_google_com.bin
--new
--filter-udp=443 ˂HOSTLIST_NOAUTO˃
--dpi-desync=fake
--dpi-desync-repeats=11
--new
--filter-tcp=443 ˂HOSTLIST˃
--dpi-desync=fake,multidisorder
--dpi-desync-split-pos=midsld
--dpi-desync-repeats=6
--dpi-desync-fooling=badseq,md5sig


16. Вышеуказанные настройки позволяют обойти ограничения. Но при этом получаем проблему со скачиванием Android приложений и их обновлений из магазина приложений Google Play. Для решения данной проблемы обратимся к документации Google, поясняющей назначение доменов:
    
    
    
    
    
    

    Destination Host	Ports	Purpose
    play.google.com android.com google-analytics.com googleusercontent.com *.gstatic.com *.gvt1.com *.ggpht.com dl.google.com dl-ssl.google.com android.clients.google.com *.gvt2.com *.gvt3.com	TCP/443 TCP, UDP/5228-5230	Google Play and updates gstatic.com, googleusercontent.com - contains User-Generated Content (for example,. app icons in the store) *gvt1.com, *.ggpht.com, dl.google.com, dl-ssl.google.com, android.clients.google.com - Download apps and updates, Play Store APIs gvt2.com and gvt3.com are used for Play connectivity monitoring and diagnostics.
    *.googleapis.com m.google.com	TCP/443	EMM/Google APIs/PlayStore APIs/Android Management APIs
    accounts.google.com accounts.google.[country]	TCP/443	Authentication For accounts.google.[country], use your local top-level domain for [country]. For example, for Australia use accounts.google.com.au, and for United Kingdom use accounts.google.co.uk.
    gcm-http.googleapis.com gcm-xmpp.googleapis.com android.googleapis.com	TCP/443,5228-5230	Google Cloud Messaging (e.g. EMM Console <-> DPC communication, like pushing configs)
    fcm.googleapis.com fcm-xmpp.googleapis.com firebaseinstallations.googleapis.com	TCP/443,5228–5230	Firebase Cloud Messaging (for example, . Find My Device, EMM Console <-> DPC communication, like pushing configs). For the most up to date information on FCM, click here.
    fcm-xmpp.googleapis.com gcm-xmpp.googleapis.com	TCP/5235,5236	When using persistent bidirectional XMPP connection to FCM and GCM servers
    pki.google.com clients1.google.com	TCP/443	Certificate Revocation list checks for Google-issued certificates
    clients2.google.com clients3.google.com clients4.google.com clients5.google.com clients6.google.com	TCP/443	Domains shared by various Google backend services such as crash reporting, Chrome Bookmark Sync, time sync (tlsdate), and many others
    chromiumdash.appspot.com	TCP/443	Chrome updates
    android.clients.google.com	TCP/443	Android Device Policy download URL used in NFC provisioning
    connectivitycheck.android.com connectivitycheck.gstatic.com www.google.com	TCP/443	Used by Android OS for connectivity check whenever the device connects to any WiFi / Mobile network. Android connectivity check, starting with N MR1, requires https://www.google.com/generate_204 to be reachable, or for the given Wi-Fi network to point to a reachable PAC file.
    ota.googlezip.net ota-cache1.googlezip.net ota-cache2.googlezip.net	TCP/443	Used by OEMs that utilize Google Over-The-Air (GOTA) updates to distribute OTA updates. Please validate with your OEM if these are required.
    mtalk.google.com mtalk4.google.com mtalk-staging.google.com mtalk-dev.google.com alt1-mtalk.google.com alt2-mtalk.google.com alt3-mtalk.google.com alt4-mtalk.google.com alt5-mtalk.google.com alt6-mtalk.google.com alt7-mtalk.google.com alt8-mtalk.google.com android.clients.google.com device-provisioning.googleapis.com	TCP/443,5228–5230	Allows mobile devices to connect to FCM when an organization firewall is present on the network. (see details here)
    time.google.com	UDP/123	During provisioning, Android devices require access to an NTP server, which is typically accessed via port UDP/123. This can be changed by an OEM.
    android-safebrowsing.google.com safebrowsing.google.com	TCP/443	Safebrowsing endpoints are used for Google Play Protect.

    
    
    Заходим в Services -> Zapret -> Settings -> Hosts lists и добавляем следующие исключения в список "User excluded hostname entries", нажав на нём кнопку Edit:
    gvt1.com
gvt2.com
gvt3.com
ggpht.com
dl.google.com
dl-ssl.google.com
android.clients.google.com
    
    
    
    Вместо исключений также можно добавить этот список в хосты Гугл "Google hostname entries" (но не вижу в этом смысла, т.к. для хостов гугл предназначена обработка для обхода ограничений).
    
    В список исключений "User excluded entries" также нужно добавить gosuslugi.ru
    После редактирования нажимаем на кнопку Save


17. Профит!

via