Jump to content

Art-9

Forum Members
  • Posts

    30
  • Joined

  • Last visited

Posts posted by Art-9

  1. 57 минут назад, krass сказал:

    так напишите в соответствующем разделе --> может пофиксят или выпустят отдельную прошивку под это дело...

    Я до публикации поста прошелся по форуму, первые посты о постоянной перезаписи датируются началом 2016 года, как я понял это не баг, а фича) Соответственно, надеется на исправление не приходится.

  2. Я думал что fastnat 0 и юзабилити это единственный минус варианта > скрипты на Entware, не тут-то было 😄

    Периодически были проблемы с потерей пакетов вплоть до разрыва связи, первым делом подумал что это пров или проблема на стороне VPN (на скриптах была маршрутизации по домену и по меткам DSCP), но как оказалось виновник - частая перезапись таблиц (которую выполняет прошивка), когда это происходит каждые >30 сек, то все нормально, проблемы начинаются когда частота перезаписи таблицы доходит до раз в 20 сек - правила маршрутизации из скрипта "не успевают" добавляться = потеря пакетов / переход на другой маршрут, через 20 сек связь восстанавливается и опять с некой периодичностью по кругу...

    Пришлось вернуть роутер с OpenWrt в качестве головы а Keenetic с этой должности снять..

     

  3. 13 часа назад, lascorpio сказал:

    И насколько можно считать эту задачу износоёмкой по отношению к ресурсу nand-памяти (или там eMMC?)?

    Как правило nand в роутерах это SLC со 100 тыс. циклов записи.

    Узнать точно что за модель NAND можно открыв self-test (или dmesg после перезагрузке в консоли), в поиск вписать NAND chip found

    • Upvote 1
  4. 3 часа назад, yuri-kurenkov сказал:

    Вы хотите, чтобы межсетевой экран занимался резолвингом IP на каждый проходящий мимо пакет?

    По простому - клиент запрашивает IP домена у DNS сервера (что происходит в независимости от наличия маршрутизации по домену), DNS сервер возвращает IP домена клиенту + (если этот домен добавлен в правила для маршрутизации) добавляет этот же IP в ipset для последующей маршрутизации на заданный интерфейс. Если IP у домена изменится, то новый IP (при очередном запросе от клиента) добавится в таблицу.

    Пример как это работает на Entware >

    © Александр Рыжов

    Цитата

    Этот алгоритм таскаю из прошивки в прошивку уже не первый год, он заключён в следующем:

        вместо прошивочного будет использован собственный резолвер dnsmasq, умеющий складывать результаты резовинга перечисленных в конфиге доменов в отдельный ipset,
        на транзитных пакетах к/от выбранных ресурсов средствами iptables ставится определённая метка fwmark,
        для помеченных пакетов используется отдельная таблица роутинга, отправляющая помеченные пакеты в VPN-туннель.

    https://keenetic-gi.ga/2018/01/16/selective-routing.html

     

    • Upvote 1
  5. 27 минут назад, Viktor сказал:

    под "фильтрация двух провайдеров", я имел ввиду, что бы весь трафик с двух провайдеров проходил только через AGH на роутере, но этого не происходит.

    Вы наверно хотели сказать не с двух а до двух провайдеров.

    Без включенного перехвата DNS (dns-proxy intercept) часть трафика (при нескольких профилях) может идти в обход adguard home. С включенным перехватом весь трафик пойдет через adguard home (или другой DNS сервер который по дефолту стоит).

  6. 35 минут назад, karimovrt сказал:

    Я правильно понимаю, что сейчас нет необходимости скачивать ручками пакет, а достаточно ставить adguardhome-go из репозитария и соответственно иметь актуальную версию?

    Правильно, в репозитории сейчас версия v0.107.0-b.8-1, с ней проблем нет.

  7. 9 часов назад, Viktor сказал:

    Сейчас же, при скачивание пакета "adguardhome-go" и последущего его запуска "/opt/etc/init.d/S99adguardhome start" пишет в начале утвердительно,  и сразу же перепроверяю, заместо "start" пишу "status" служба оказывается в статусе "dead", как вообще это решить?

    Аналогично, пришлось скачивать с https://github.com/AdguardTeam/AdGuardHome/releases/download/v0.106.3/AdGuardHome_linux_mipsle_softfloat.tar.gz (распаковать архив и перекинуть файл AdGuardHome в папку /opt/bin).

    • Thanks 1
  8. 22 минуты назад, Hotery сказал:

    Это как? С полной заменой прошивочного через opkg dns-override? Так точно не хочу, уже как-то было.. сбойнула флешка и кроме пары приложений  и этого днс сервера для пары доменов полностью пропал интернет

    Да, с полной заменой. Сбой флешки не прям уж частое явление. + Как вариант (сам не пробовал) - установить opkg на встроенную память.

  9. 20 часов назад, Hotery сказал:

    Выкручивался, используя адрес 78.47.125.180, и cli и веб давали так добавлять... А в 3.7 бете при добавлении новой записи в вебе все-все dns сервера пропадают!

     

    В 28.09.2020 в 02:03, Hotery сказал:

    нужно разрешать 1/2/3/10 доменов через сторонний dns, не все подряд.

    Для этих целей (и не только) использую AdGuard Home + Dnsmasq.

  10. В 07.08.2021 в 06:33, Konstantin Grande сказал:

    У кого-то работает AdGuard, если несколько профилей создано? У меня работает только на основном профиле, на других вообще нет реакции, хотя используют они те же интерфейсы.

    dns-proxy intercept enable

    Если речь о профилях в KeeneticOS.

  11. 1 час назад, GanjaKyp сказал:

    как только он появляется нужно переключаться на него

    Ясно, тогда только запуск скрипта как можно реже (насколько возможно).

  12. 7 часов назад, GanjaKyp сказал:

    Всем спасибо, получился вот такой скрипт, который я положил в cron.1min. Вроде все работает 😉

    У вас каждую минуту будут потери пакетов в сети Wi-Fi 2.4 и скорее это будут не доли секунд а 1-2 сек., не понятно зачем вообще использовать "show site-survey" - вы не знаете данные Wi-Fi сети к которой подключаетесь как к резервной?

  13. При использование статического IP:

    #!/bin/sh
    if ! ping -q -c 5 -W 5 1.1.1.1 > /dev/null; then
    	ndmq -p "interface WifiMaster0/WifiStation0 ip address ip_клиента 255.255.255.0"
    	ndmq -p "interface WifiMaster0/WifiStation0 authentication wpa-psk пароль"
    	ndmq -p "interface WifiMaster0/WifiStation0 ssid имя_сети"
    	ndmq -p "ip route default шлюз_ТД WifiMaster0/WifiStation0"
    fi

     

  14. Не проверял;

    Пример скрипта

    #!/bin/sh
    if ! ping -q -c 5 -W 5 1.1.1.1 > /dev/null; then
    	ndmq -p "interface WifiMaster0/WifiStation0 authentication wpa-psk пароль"
    	ndmq -p "interface WifiMaster0/WifiStation0 ssid имя_сети"
    fi

    Запускать по расписанию, если за 5 попыток не будет ответа на пинг 1.1.1.1, то сменить пароль и имя сети. По идее сам переподключиться.

  15. Хранить только то что связано с доменами а остальное в RAM - добавлять IP в таблицу по запросу клиента к домену, автоматически обновлять и чистить смысла нет, в худшем случае (при полном заполнение таблицы) тупо перезаписывать.

    Сейчас все это (при наличии модели с USB) делается через OPKG (можно даже не отказываться от фильтрации/не фильтрации по DNS для локальных устройств - достаточно запустить Dnsmasq совместно с AdGuard Home). Единственная проблема - fastnat 0 и юзабилити.

  16. 3 часа назад, r13 сказал:

    Имейте ввиду, что если это добавят, то проблемы пересечения по ip разных сервисов это не решит, так как маршрутизация в любом случае останется по ip, просто автоматизируется добавление ip по домену которое вы сейчас руками делаете

    Ну на 100% не решит (всегда есть вероятность что на одном IP работают разные сервисы), но вероятность возникновения этой проблемы значительно уменьшит и жизнь облегчит. Сейчас (как пример) чтобы пустить видео с ютуба напрямую (когда весь остальной трафик через VPN), то необходимо прописать все IP - AS15169 Google (коих за 14 млн.) + прописать IP местного провайдера на которых находятся кэширующие серверы Google.

    А если запилят нормальную маршрутизацию с поддержкой поддоменов (и еще бы завезли маршрутизацию по меткам DSCP для отдельных приложений... мечты), то достаточно будет указать домен googlevideo.com и ВСЁ, никаких миллионов IP (с задеванием других сервисов) и гемора по добавлению IP и слежением за ними.

    1 час назад, Andrey Andreev сказал:

    получается все видят данную проблему кроме администрации, господа администраторы обратите пожалуйста свое внимание на возможность реализации данной задачи.

    это очень важно и очень нужно, спасибо

    Видать не так просто реализовать данный функционал(

  17. 17 часов назад, r3L4x сказал:

    Возможно, стоит поправить инструкцию по Entware: https://help.keenetic.com/hc/ru/articles/360021214160

    а именно пункт про /opt/etc/init.d/rc.unslung

    Сейчас тестил на 3.7 Beta 0.2 и никак не заводилось, каждый раз ругань:

    Opkg::Manager: invalid initrc "/opt/etc/init.d/rc.unslung": no such file or directory, trying /opt/etc/init.d/.

    Зато завелось с первого раза, когда я оставил строку Сценарий initrc пустой...

    ++

    Знакомый недавно пытался установить по этой инструкции, пробовал разные USB накопители (а роутер в неудобном место стоит_)) всё без толку.

    Скинул ему инструкцию с этого форума (с пустой строкой сценария initrc) и всё завелось с первого раза.

  18. Это одна из причин почему я до сих пор использую роутер с OpenWrt - возможности и удобство маршрутизации о которой на Keenetic'е можно только мечтать (надеюсь что временно).

    Возможно разработчикам пригодится - посмотрите как сделано > https://docs.openwrt.melmac.net/vpn-policy-routing/

    05-policies.png

     

    • Upvote 1
×
×
  • Create New...