Merge pull request #9 from itdoginfo/role

Conversion to a role
2025-12-16 20:14:34 +05:00 · 2024-04-18 16:59:35 +03:00
parent 8ca4fb08d6 92f25df564
commit 96c8ceee44
9 changed files with 325 additions and 154 deletions
--- a/.github/workflows/public-galaxy.yml
+++ b/.github/workflows/public-galaxy.yml
@@ -0,0 +1,18 @@
 name: Public to Ansible Galaxy
 on:
  push:
    branches: [ "master" ]
    tags:
      - '*'
 jobs:
  build:
    runs-on: ubuntu-latest
    steps:
      - name: checkout
        uses: actions/checkout@v4
      - name: Publish Ansible role to Galaxy
        uses: robertdebock/galaxy-action@1.2.1
        with:
          galaxy_api_key: ${{ secrets.galaxy_api_key }}
--- a/README.EN.md
+++ b/README.EN.md
@@ -0,0 +1,107 @@
 Domain routing OpenWrt
 =========
 Configuring domain routing on Openwrt router.
 Role Variables
 --------------
 Lists
 ```
  country: russia-inside|russia-outside|ukraine
  list_domains: true|falase
  list_subnet: false|true
  list_ip: false|true
  list_community: false|true
 ```
 Tunnel
 ```
  tunnel: wg|openvpn|singbox|tun2socks
 ```
 DoH or DoT
 ```
  dns_encrypt: false|dnscrypt|stubby
 ```
 Nano package
 ```
  nano: true|false
 ```
 Acces from wg network to router
 ```
  wg_access: false|true
  wg_access_network: 192.168.80.0/24 (for example)
 ```
 If wireguard is used:
 ```
    wg_server_address: wg-server-host
    wg_private_key: privatekey-client
    wg_public_key: publickey-client
    wg_preshared_key: presharedkey-client
    wg_client_port: 51820
    wg_client_address: ip-client
    wg_access: true
    wg_access_network: wg-network
 ```
 Dependencies
 ------------
 [gekmihesg.openwrt](https://github.com/gekmihesg/ansible-openwrt)
 Example Playbook
 ----------------
 The inventory file must contain the group `[openwrt]` where your router will be located.
 Wireguard, only domains, stubby, Russia, acces from wg network, host 192.168.1.1
 ```
 - hosts: 192.168.1.1
  remote_user: root
  roles:
    - domain-routing-openwrt
  vars:
    tunnel: wg
    dns_encrypt: stubby
    country: russia-inside
    wg_access: true
    wg_server_address: wg-server-host
    wg_private_key: privatekey-client
    wg_public_key: publickey-client
    wg_preshared_key: presharedkey-client
    wg_listen_port: 51820
    wg_client_port: 51820
    wg_client_address: ip-client
    wg_access_network: wg-network
 ```
 Sing-box, stubby, Russia
 ```
 - hosts: 192.168.1.1
  remote_user: root
  roles:
    - domain-routing-openwrt
  vars:
    tunnel: singbox
    dns_encrypt: stubby
    country: russia-inside
 ```
 License
 -------
 GNU General Public License v3.0
--- a/README.md
+++ b/README.md
@@ -1,34 +1,116 @@
 [English role README](https://github.com/itdoginfo/domain-routing-openwrt/blob/master/README.EN.md)
 # Описание
 Shell скрипт и playbook для Ansible. Автоматизируют настройку роутера на OpenWrt для роутинга по доменам и спискам IP-адресов.
-Полное описание происходящего: [Статья на хабре](https://habr.com/ru/articles/767464/)
+Полное описание происходящего:
 - [Статья на хабре](https://habr.com/ru/articles/767464/)
 - [Копия в моём блоге](https://itdog.info/tochechnyj-obhod-blokirovok-po-domenam-na-routere-s-openwrt/)
-[Копия в моём блоге](https://itdog.info/tochechnyj-obhod-blokirovok-po-domenam-na-routere-s-openwrt/)
+# Скрипт для установки
 ## Скрипт для установки
 Запуск без скачивания
 ```
 sh <(wget -O - https://raw.githubusercontent.com/itdoginfo/domain-routing-openwrt/master/getdomains-install.sh)
 ```
-Подробности описаны в статье указаной выше.
+## Скрипт для проверки конфигурации
 Написан для OpenWrt 23.05 и 22.03. На 21.02 работает только половина проверок.
-## Ansible
+[x] - не обязательно означает, что эта часть не работает. Но это повод для ручной проверки.
 Для взаимодействия c OpenWRT используется модуль [gekmihesg/ansible-openwrt](https://github.com/gekmihesg/ansible-openwrt)
-Домены берутся из [отсюда](https://github.com/itdoginfo/allow-domains). Списки IP-адресов берутся с [antifilter.download](https://antifilter.download/)
+### Запуск
 ```
 wget -O - https://raw.githubusercontent.com/itdoginfo/domain-routing-openwrt/master/getdomains-check.sh | sh
 ```
 ### Запустить с проверкой на подмену DNS
 ```
 wget -O - https://raw.githubusercontent.com/itdoginfo/domain-routing-openwrt/master/getdomains-check.sh | sh -s dns
 ```
 ### Запустить с созданием dump
 Все чувствительные переменные затираются.
 ```
 wget -O - https://raw.githubusercontent.com/itdoginfo/domain-routing-openwrt/master/getdomains-check.sh | sh -s dump
 ```
 Поиск ошибок вручную: https://habr.com/ru/post/702388/
 # Ansible
 Установить роль
 ```
 ansible-galaxy role install itdoginfo.domain_routing_openwrt
 ```
 Примеры playbooks
 Wireguard, only domains, stubby, Russia, acces from wg network (примерное значение 192.168.80.0/24), host 192.168.1.1
 ```
 - hosts: 192.168.1.1
  remote_user: root
  roles:
    - itdoginfo.domain_routing_openwrt
  vars:
    tunnel: wg
    dns_encrypt: stubby
    country: russia-inside
    wg_server_address: wg-server-host
    wg_private_key: privatekey-client
    wg_public_key: publickey-client
    wg_preshared_key: presharedkey-client
    wg_listen_port: 51820
    wg_client_port: 51820
    wg_client_address: ip-client
    wg_access: true
    wg_access_network: wg-network
 ```
 Sing-box, stubby, Russia
 ```
 - hosts: 192.168.1.1
  remote_user: root
  roles:
    - itdoginfo.domain_routing_openwrt
  vars:
    tunnel: singbox
    dns_encrypt: stubby
    country: russia-inside
 ```
 В inventory файле роутер обязательно должен быть в группе `[openwrt]`
 ```
 [openwrt]
 192.168.1.1
 ```
 Для работы Ansible c OpenWrt необходимо, чтоб было выполнено одно из условий:
 - Отсутствие пароля для root (не рекомендуется)
 - Настроен доступ через публичный SSH-ключ в [конфиге dropbear](https://openwrt.org/docs/guide-user/security/dropbear.public-key.auth)
 После выполнения playbook роутер сразу начнёт роутить необходмые домены в туннель/прокси.
 Если у вас были ошибки и они исправились при повторном запуске playbook, но при этом роутинг не заработал, сделайте рестарт сети и скрипта:
 ```
 service network restart
 service getdomains start
 ```
 Тестировалось с
 - Ansible 2.10.8
 - OpenWrt 21.02.7
 - OpenWrt 22.03.5
 - OpenWrt 23.05.2
-### Выбор туннеля
+## Выбор туннеля
 - Wireguard настраивается автоматически через переменные
 - OpenVPN устанавливается пакет, настраивается роутинг и зона. Само подключение (скопировать конфиг и перезапустить openvpn) нужно [настроить вручную](https://itdog.info/nastrojka-klienta-openvpn-na-openwrt/)
- Sing-box устанавливает пакет, настраивается роутинг и зона. Также кладётся темплейт в `/etc/sing-box/config.json`. Нужно настроить `config.json` и сделать `service sing-box restart`
+- Sing-box устанавливает пакет, настраивается роутинг и зона. Также кладётся темплейт в `/etc/sing-box/config.json`. [Нужно настроить](https://habr.com/ru/articles/767458/) `config.json` и сделать `service sing-box restart`
 Не работает под 21ой версией. Поэтому при его выборе playbook выдаст ошибку.
 Для 22ой версии нужно установить пакет вручную.
 - tun2socks настраивается только роутинг и зона. Всё остальное нужно настроить вручную
@@ -39,21 +121,25 @@ sh <(wget -O - https://raw.githubusercontent.com/itdoginfo/domain-routing-openwr
 - singbox
 - tun2socks
-В случае использования WG обязательно нужно задать:
+В случае использования WG:
 ```
    wg_server_address: wg-server-host
    wg_private_key: privatekey-client
    wg_public_key: publickey-client
    wg_preshared_key: presharedkey-client
    wg_client_port: 51820
    wg_client_address: ip-client
 ```
-**wg_server_address** - ip/url wireguard сервера
+Если ваш wg сервер не использует `preshared_key`, то просто не задавайте её.
 **wg_private_key**, **wg_public_key** - ключи для "клиента"
 **wg_client_address** - адрес роутера в wg сети
 Если ваш wg сервер использует preshared_key, то раскомментируйте **wg_preshared_key** и задайте ключ
 Остальное можно менять, в зависимости от того, как настроен wireguard сервер
 **wg_access** и **wg_access_network** для доступа к роутеру через WG. Переменная wg_access_network должна иметь значение подсети, например 192.168.10.0/24.
 ```
    wg_access_network: wg-network
    wg_access: true
 ```
-### Шифрование DNS
+## Шифрование DNS
 Если ваш провайдер не подменяет DNS-запросы, ничего устанавливать не нужно.
 Для **dns_encrypt** три возможных значения:
@@ -61,17 +147,25 @@ sh <(wget -O - https://raw.githubusercontent.com/itdoginfo/domain-routing-openwr
 - stubby
 - false/закомментировано - пропуск, ничего не устанавливается и не настраивается
-### Выбор страны
+## Выбор страны
- Для **county** три [возможных значения](https://github.com/itdoginfo/allow-domains):
+Выбор списка доменов.
 Для **county** три [возможных значения](https://github.com/itdoginfo/allow-domains):
 - russia-inside
 - russia-outside
 - ukraine
-### 
+## Списки IP-адресов
-
+Списки IP-адресов берутся с [antifilter.download](https://antifilter.download/)
 ### Списки IP-адресов и домены
 Переменные **list_** обозначают, какие списки нужно установить. true - установить, false - не устанавливать и удалить, если уже есть
 Доступные переменные
 ```
  list_domains: true
  list_subnet: false
  list_ip: falses
  list_community: false
 ```
 Я советую использовать только домены
 ```
    list_domains: true
@@ -88,73 +182,13 @@ sh <(wget -O - https://raw.githubusercontent.com/itdoginfo/domain-routing-openwr
 [Инструкция для OpenWrt 21.02](https://t.me/itdoginfo/8)
-### Использование
+## Текстовый редактор nano
-
+Устанавливается по умолчанию
-Установить модуль gekmihesg/ansible-openwrt
+Можно выключить
 ```
-ansible-galaxy install gekmihesg.openwrt
+  nano: false
 ```
 Скачать playbook и темплейты в /etc/ansible
 ```
 cd /etc/ansible
 git clone https://github.com/itdoginfo/domain-routing-openwrt
 mv domain-routing-openwrt/* .
 rm -rf domain-routing-openwrt README.md
 ```
 Добавить роутер в файл hosts в группу openwrt
 ```
 [openwrt]
 192.168.1.1
 ```
 Подставить переменные в **hivpn.yml**
 Для работы Ansible c OpenWrt необходимо, чтоб было выполнено одно из условий:
 - Отсутствие пароля для root (не рекомендуется)
 - Настроен доступ через публичный SSH-ключ в [конфиге dropbear](https://openwrt.org/docs/guide-user/security/dropbear.public-key.auth)
 Запуск playbook
 ```
 ansible-playbook playbooks/hivpn.yml --limit 192.168.1.1
 ```
 После выполнения playbook роутер сразу начнёт роутить необходмые домены в туннель/прокси.
 Если у вас были ошибки и они исправились при повторном запуске playbook, но при этом роутинг не заработал, сделайте рестарт сети и скрипта:
 ```
 service network restart
 service getdomains start
 ```
 # Скрипт для проверки конфигурации
 Написан для OpenWrt 23.05 и 22.03. На 21.02 работает только половина проверок.
 [x] - не обязательно означает, что эта часть не работает. Но это повод для ручной проверки.
 Есть функционал сохранения вывода скрипта, конфигурации сети и firewall в файл. Все чувствительные переменные при этом затираются.
 ### Запуск
 ```
 wget -O - https://raw.githubusercontent.com/itdoginfo/domain-routing-openwrt/master/getdomains-check.sh | sh
 ```
 ### Запустить с проверкой на подмену DNS
 ```
 wget -O - https://raw.githubusercontent.com/itdoginfo/domain-routing-openwrt/master/getdomains-check.sh | sh -s dns
 ```
 ### Запустить с созданием dump
 ```
 wget -O - https://raw.githubusercontent.com/itdoginfo/domain-routing-openwrt/master/getdomains-check.sh | sh -s dump
 ```
 Поиск ошибок вручную: https://habr.com/ru/post/702388/
 ---
 [Telegram-канал с обновлениями](https://t.me/+lW1HmBO_Fa00M2Iy)
--- a/defaults/main.yml
+++ b/defaults/main.yml
@@ -0,0 +1,12 @@
 ---
  list_domains: true
  list_subnet: false
  list_ip: false
  list_community: false
  tunnel: wg
  dns_encrypt: false
  country: russia-inside
  nano: true
  wg_access: false
  wg_listen_port: 51820
--- a/handlers/main.yml
+++ b/handlers/main.yml
@@ -0,0 +1,26 @@
 ---
  - name: Restart network
    service:
      name: network
      state: restarted
  - name: Restart firewall
    service:
      name: firewall
      state: restarted
  - name: Run getdomains script
    service:
      name: getdomains
      state: restarted
  - name: Restart dnscrypt-proxy
    service:
      name: dnscrypt-proxy
      state: restarted
      enabled: yes
  - name: Restart dnsmasq
    service:
      name: dnsmasq
      state: restarted
--- a/meta/main.yml
+++ b/meta/main.yml
@@ -0,0 +1,22 @@
 ---
 galaxy_info:
  role_name: domain_routing_openwrt
  namespace: itdoginfo
  author: itdog
  description: Configuring domain routing on Openwrt router
  issue_tracker_url: https://github.com/itdoginfo/domain-routing-openwrt/issues
  license: GPL-3.0
  min_ansible_version: 2.10.7
  platforms:
    - name: OpenWrt
  galaxy_tags:
    - openwrt
    - dnsmasq
    - ipset
    - wireguard
    - sing-box
    - openvpn
    - bypass
    - routing
 dependencies:
  - role: gekmihesg.openwrt
--- a/playbooks/hivpn.yml
+++ b/playbooks/hivpn.yml
@@ -1,34 +1,5 @@
 ---
 - hosts: openwrt
  remote_user: root
  roles:
    - gekmihesg.openwrt
  vars:
    ansible_template_dir: /etc/ansible/templates/
    list_domains: true
    list_subnet: false
    list_ip: false
    list_community: false
    tunnel: wg
    dns_encrypt: false
    country: russia-inside
    nano: true
    wg_access: false
    wg_server_address: wg-server-host
    wg_private_key: privatekey-client
    wg_public_key: publickey-client
    #wg_preshared_key: presharedkey-client
    wg_listen_port: 51820
    wg_client_port: 51820
    wg_client_address: ip-client
    wg_access_network: wg-network
  tasks:
 # Dnsmasq version check
  - name: Get dnsmasq version
@@ -96,7 +67,7 @@
  - name: getdomains script copy
    template:
-      src: "{{ ansible_template_dir }}openwrt-getdomains.j2"
+      src: "openwrt-getdomains.j2"
      dest: "/etc/init.d/getdomains"
      mode: a+x
      trim_blocks: false
@@ -133,7 +104,7 @@
  - name: Route for vpn table
    template:
-      src: "{{ ansible_template_dir }}openwrt-30-vpnroute.j2"
+      src: "openwrt-30-vpnroute.j2"
      dest: "/etc/hotplug.d/iface/30-vpnroute"
      mode: 0644
@@ -265,7 +236,7 @@
  - name: template for sing-box.json
    template:
-      src: "{{ ansible_template_dir }}sing-box-json.j2"
+      src: "sing-box-json.j2"
      dest: "/etc/sing-box/config.json"
      mode: 0644
    when: tunnel == "singbox"
@@ -273,7 +244,7 @@
  - name: template for config/sing-box
    template:
-      src: "{{ ansible_template_dir }}config-sing-box.j2"
+      src: "config-sing-box.j2"
      dest: "/etc/config/sing-box"
      mode: 0600
    when: tunnel == "singbox"
@@ -675,7 +646,7 @@
      - Restart dnsmasq
    when: dns_encrypt == "stubby"
-# Commit and handlers
+# Commit
  - name: uci commit firewall
    uci:
@@ -689,31 +660,4 @@
      command: commit
      config: network
    notify:
-      - Restart network
+      - Restart network
  handlers:
  - name: Restart network
    service:
      name: network
      state: restarted
  - name: Restart firewall
    service:
      name: firewall
      state: restarted
  - name: Run getdomains script
    service:
      name: getdomains
      state: restarted
  - name: Restart dnscrypt-proxy
    service:
      name: dnscrypt-proxy
      state: restarted
      enabled: yes
  - name: Restart dnsmasq
    service:
      name: dnsmasq
      state: restarted
--- a/tests/inventory
+++ b/tests/inventory
@@ -0,0 +1,2 @@
 [openwrt]
 192.168.56.23
--- a/tests/test.yml
+++ b/tests/test.yml
@@ -0,0 +1,6 @@
 ---
 - hosts: openwrt
  remote_user: root
  roles:
    - domain_routing_openwrt