Эффективная работа

Эффективные методы использования Кваса

Квас - это, прежде всего, оболочка вокруг уже существующих инструментов, это надстройка или CLI инструмент для простой настройки выборочного использования уже имеющегося соединения.

Основной целью написания Кваса выражается в концепции "все просто" и "поставил и забыл".

Благодаря обратной связи от пользователей Кваса, и благодаря своему опыту работы с пакетом, мое мнение по его эффективному использованию можно описать одной фразой "чем проще - тем лучше".

Другими словами, на своем устройстве, после многочисленных переустановок AGuardHome и разбирательств почему "не", пришел к простому пониманию, что лучше связки, чем та, которая стоит по умолчанию: dnsmasq + dnscrypt-proxy2, при установке пакета, ничего нет. В случае необходимости, можно еще дополнительно подключить adblock для блокировки рекламы и других пугающих ресурсов командой kvas adblock on.

Базовые процедуры

1. Установка пакета: curl -sOLJ http://kvas.zeleza.ru/upgrade && sh upgrade

2. Обновление пакета:

   • Удаленная загрузка нового скрипта upgrade с GitHub:

     C восстановлением настроек: curl -sOLJ http://kvas.zeleza.ru/upgrade && sh upgrade
     C удалением предыдущих настроек: curl -sOLJ http://kvas.zeleza.ru/upgrade && sh upgrade full

   • Локальный запуск текущей версии:

     C восстановлением настроек: kvas upgrade
     C удалением предыдущих настроек: kvas upgrade full

3. Перестановка пакета с текущей версии на такую же версию (требуется при минорных обновлениях пакета без смены версии)

   • Удаленная загрузка нового скрипта upgrade с GitHub:

     C восстановлением настроек: curl -sOLJ http://kvas.zeleza.ru/upgrade && sh upgrade force
     C удалением предыдущих настроек: curl -sOLJ http://kvas.zeleza.ru/upgrade && sh upgrade force full

   • Локальный запуск текущей версии:

     C восстановлением настроек: kvas upgrade force
     C удалением предыдущих настроек: kvas upgrade force full

4. "Откат" на предыдущие версии:

   • Удаленная загрузка и исполнение нового скрипта upgrade с GitHub:

     C восстановлением настроек: curl -sOLJ http://kvas.zeleza.ru/upgrade && sh upgrade rollback
     C удалением предыдущих настроек: curl -sOLJ http://kvas.zeleza.ru/upgrade && sh upgrade rollback full

   • Локальный запуск текущей версии:

     C восстановлением настроек: kvas rollback
     C удалением предыдущих настроек: kvas rollback full

5. Удаление пакета в ручном режиме: kvas rm full

   C сохранением настроек: kvas rm
   C удалением всех настроек: kvas rm full
   Для удаления без запроса об удалении используем флаг 'yes', например: kvas rm full yes

Последовательность добавления доменных имен для определенного сайта

1. Добавляем домен в Квас командой kvas add ' domen.com'
2. Открываем браузер на клиенте и затем попытаться открыть сайт в самом браузере
3. В случае, если домен открывается, но не корректно (не так, как должен), то открываем режим "Разработчика" в браузере и смотрим на ошибки с номером 403 и далее последовательно добавляем все домены с такими ошибками в Квас вышесказанной командой.

Пример с chat.openai.com (добавлен в список Кваса по умолчанию* )

1. Добавляем в Квас все субдомены домена openai.com командой: kvas add openai.com
2. Заходим на сайт chat.openai.com и видим не отформатированный вид страницы.
3. Заходим в режим "Разработчика" в браузере в раздел "Ошибки" и видим, что множество 403 ошибок нам выдает всего один сайт cdn.oaistatic.com. Далее добавляем все субдомены этого домена в Квас командой kvas add oaistatic.com.
   
   Есть еще один вариант исследования "куда ходит сайт" состоит в установке и проведении последующего анализа при помощи такой утилиты, как WhiteShark. Однако, для более подробной работы с самой утилитой необходимо ознакомиться с документацией по продукту. После, того, как узнали, к каким доменным именам обращается Ваш сайт, все их необходимо добавить в Квас при помощи команды kvas add <domain>

Защита DNS трафика

Процедуры описанной выше, может не хватить для того, чтобы не обнаружили Ваш реальный IP и доменные имена из списка начали открываться. Порой, необходимо, помимо защиты своего web-трафика посредством VPN или SSR тоннеля, шифровать и Ваш DNS-трафик. Для этого Вам необходимо защитить свой DNS-трафик, как при работе Кваса, так и без него.

С этой целью необходимо предпринять следующие шаги:

1. В панели администрирования Вашего роутера «Управление» → «Параметры системы» → «Изменить набор компонентов» добавьте следующих два компонента «Прокси-сервер DNS-over-TLS» или «Прокси-сервер DNS-over-HTTPS».
2. Там же, в панели администрирования в разделе «Сетевые правила» → «Интернет-фильтры» → "Контентный фильтр", выберите режим фильтрации "Выключен" или, в случае, если он находится в режиме "Публичные DNS-резолверы", то для своих сетей, которые работают с Квасом, чуть ниже на этой же странице, выберите фильтр "Системный"
3. В панели администрирования в разделе «Сетевые правила» → «Интернет-фильтры» → «Настройка DNS» добавьте DNS только с поддержкой DoT или DoH (иконка с зелёным замочком и соответствующая подпись). Никаких местных провайдерных DNS! Чаще всего используют: 1.1.1.1, 1.0.0.1 (cloudflare-dns.com); 8.8.8.8, 8.8.4.4 (dns.google); 9.9.9.9 (dns.quad9.net).
4. Если Вы используете dnsmasq - необходимо включить dnscrypt-proxy2, командой kvas crypt on. По умолчанию, в его файле конфигурации уже стоят настроенные DNS сервера с поддержкой DoT или DoH и Вам нет необходимости настраивать, что-либо еще, но Вы можете это сделать самостоятельно, если захотите.
5. Если Вы используете AdGuardHome, то необходимо в разделе настроек DNS, добавить DNS только те, DNS-сервера, которые точно поддерживают DoT или DoH (можете добавить DNS, как описано во втором пункте выше).
6. Теперь, когда все готово, проверьте Ваш DNS-трафик на предмет его "утечки", зайдя на сайт dnsleaktest.com

Повторное сканирование подключений

В случае, если Вы подключили какой либо интерфейс и хотите его задействовать в Квасе, уже после его установки и настройки, то необходимо выполнить команду kvas vpn scan

Подключение клиентов имеющейся WIFI сетей и серверов (IKEv2)

Для подключения/отключения клиентов имеющейся VPN или WIFI сети к тоннелю в Квасе предусмотрены следующие команды

1. Подключить сеть kvas vpn net add, где из списка выбираем нужную нам сеть для подключения.
2. Отключить сеть kvas vpn net del, где из списка выбираем нужную нам сеть для подключения.
3. Просмотр статусов сетей kvas vpn net.

Тестирование и порой восстановление доступа можно осуществить тремя командами:

1. kvas update или kvas reset
2. kvas test
3. kvas debug

---

С детальной справкой по командам Кваса Вы сможете ознакомиться на Wiki проекта по этой ссылке.