Jump to content

gaaronk

Forum Members
  • Posts

    274
  • Joined

  • Days Won

    3

gaaronk last won the day on December 5 2023

gaaronk had the most liked content!

Equipment

  • Keenetic
    Giga III, Hopper, Start, Hero 4G, Duo

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

gaaronk's Achievements

Content Generator

Content Generator (4/5)

77

Reputation

  1. Ну или если мы делаем zerotier connect via PPPoE0 то можно и так в в /var/run/ztrun-ZeroTier0/local.conf { "settings": { "bind": [ "<IP address>"] } } тут все параметры описаны
  2. Ну и ezcfg0 туда по умолчанию
  3. Хорошо бы на интерфейсах по аналогии с командой ipsec ignore использовать команду zerotier ignore И тогда linux имена интерфейсов добавлялись бы в /var/run/ztrun-ZeroTier0/local.conf (или другой номер интерфейса) в секцию { "settings": { "interfacePrefixBlacklist": ["ezcfg0", "ngre1"] } }
  4. exFAT не поддерживает права доступа
  5. Ну вот вам надо создать ipset для российских сетей в файлик /opt/etc/ipset/ipset.conf сначала строка сreate russia hash:net family inet hashsize 1024 maxelem 1048576 потом 13 тыс ваших add russia <адрес> и потом в примере вместо 192.168.21.1 используйте дефолт вашего VPN
  6. Что то типа такого в файле /opt/etc/iproute2/rt_tables 200 russia в /opt/etc/ipset/ipset.conf create russia hash:net family inet hashsize 1024 maxelem 1048576 в /opt/etc/iptables.raw *raw :PREROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :SET-MARK - [0:0] :VPN-MARK - [0:0] -A PREROUTING -i br0 -m state --state NEW -j VPN-MARK -A PREROUTING -i br0 -m connmark --mark 0x777 -j CONNMARK --restore-mark --nfmask 0xffffffff --ctmask 0xffffffff -A SET-MARK -j CONNMARK --set-xmark 0x777/0xffffffff -A VPN-MARK -d 192.168.0.0/16 -j RETURN -A VPN-MARK -d 10.0.0.0/8 -j RETURN -A VPN-MARK -m set --match-set russia dst -g SET-MARK COMMIT делаете скрипт, и делаете его исполняемым /opt/etc/init.d/S01system PATH=/opt/bin:/opt/sbin:/sbin:/bin:/usr/sbin:/usr/bin [ "$1" != "start" ] && exit 0 # iproute2 ip rule | grep -q russia if [ $? -ne 0 ]; then ip rule add pref 200 from 192.168.0.0/16 fwmark 0x777 lookup russia fi # ipset if [ -f /opt/etc/ipset/ipset.conf ]; then /opt/sbin/ipset -X /opt/sbin/ipset restore < /opt/etc/ipset/ipset.conf fi insmod /lib/modules/$(uname -r)/iptable_raw.ko /opt/sbin/iptables -L -n -t raw | grep -q "VPN-MARK" if [ $? -ne 0 ]; then /opt/sbin/iptables-restore -T raw < /opt/etc/iptables.raw fi ip route default via 192.168.21.1 table russia exit 0 Ну и пакеты поставить все необходимые. Итого для каждой новой сессии для первого пакета мы смотрим в ipset, и на весь connection вешаем метку (и не гоним через ipset каждый пакет!) Согласно метки ищем маршрут в таблице russia А в этой таблице дефолт указан на ваш 192.168.21.1 А как уж наполнять ipset - динамически или один раз статически - сами решайте. В примере он пустой
  7. Entware + маркировка пакетов по базе geoip или ipset с вашими сетями, а далее отдельная таблица маршрутизации и ip rule что бы маркированные пакеты в нее совало. Вот та таком ipset - Number of entries: 151258 никаких тормозов нет
  8. А можно наряду с delta, stable, beta и т.д. сделать канал oldstable? Что бы можно было бы менять набор компонентов на предыдущей стабильной ветке? То есть для 4.0.х oldstable - 3.9.8
  9. А зачем вот этот wget и все остальное? Можно же просто ndmc -c show log once
  10. Это врядли уберут. На эту логику с уровнями много что завязано.
  11. Было бы хорошо иметь костыль в виде команды ip network-private <CIDR>
  12. На pfsense сделайте что то воде - если выходим через wg туннель и назначение НЕ РАВНО 192.168.0.0/16 - маскарад. будет и интернет и контроль доступа А в Б
  13. Шесть лет прошло, а проблемы все те жи…
  14. NAT а кинетике всегда был кривой как турецкая сабля. Причем это сделано специально. Что бы у обычного домашнего пользователя не было проблем с утечкой серых адресов или что где то забыли маршрут прописать. Ну вот такое оно.
  15. Это потому что кинетик смотрит принадлежит ли src интерфейс или сеть уровню private. А ваша сеть 192.168.1.0/24 не соответствует адресации ни на одном приватном интерфейсе. Значит она public. А раз public - делаем DNAT. А указать уровень для сети, не интерфейса - нельзя. Такая логика. SOHO железка же. Без всей этой сложной маршрутизации и т.д.
×
×
  • Create New...