Jump to content

Александр Рыжов

Moderators
  • Posts

    1,212
  • Joined

  • Last visited

  • Days Won

    25

Posts posted by Александр Рыжов

  1. 13 часа назад, Saymer сказал:

    Перестал работать AGH

    Посмотрите как запускается AGH в стартовом скрипте и аналогично запустите в консоли, чтобы увидеть вывод об ошибке. В случае AGH:

    AdGuardHome -w /opt/etc/AdGuardHome -l /opt/var/log/AdGuardHome.log --pidfile /opt/var/run/AdGuardHome.pid --no-check-update

    Чаще всего AGH жалуется на изменившуюся схему конфигурационного файла. Она там часто меняется от версии к версии.

    • Thanks 1
  2. 12 часа назад, Drafted сказал:

    Пока решил диким костылем.

    Надо проверить логику работы прошивки. После монтирования накопителей должны вызываться хук-скрипты согласно очереди накопленных на внутренней шине событий. Не знаю, есть ли различия при работе с внутренним разделом UBIFS.

    12 часа назад, Drafted сказал:

     ipset-dns походу всегда стучит в upstream на каждый запрос (что логично), из-за этого первичное открытие сайта прям сильно долгое.

    Все современные браузеры кэшируют DNS-запросы, поэтому я бы искал причину тормозов в чём-то другом. Начал бы с согласования MSS c MTU внутри туннеля.

    12 часа назад, Drafted сказал:

    Все-таки работа через локальный (прошивочный) резолвер мне показалась гораздо быстрее, чем если гнать DNS через туннель. Плюс он вроде как должен кешировать.

    Загляните в /tmp/ndnproxymain.conf. Прелесть в том, что прошивочная служба (со своим кэшем) обращается в ipset-dns. Т.е. для клиента за роутером любой кэшированный DNS-ответ исходит от прошивки, а не от ipset-dns.

  3. 1 час назад, schr1ger сказал:

    1) Направить весь трафик к нему, видимо кроме трафика до него самого. (для подключения)

    Видимо, хотели направить в openconnect только выборочный трафик? Посмотрите /opt/lib/netifd/proto/vpnc-script, вся логика там, он очень общего вида.

  4. К слову, Openconnect поддерживает в т.ч. Juniper SSL VPN, который никуда не уходил.

    Если речь о подключении к рабочим ресурсам, то я бы тоже не стал ждать добавления его в прошивку и раскошелился на кинетик с  флешкой. В Openconnect практически нечего конфигурировать.

    echo 'P@ssw0rd' | \
    openconnect \
        --user user1 \
        --authgroup msk_employee \
        --passwd-on-stdin \
        --background \
        --no-dtls \
        --os win \
        --interface=ssltun0 \
        --verbose \
        https://sslvpn.mywork.com/something

    Плюс правило в netfilter:

    iptables -w -A FORWARD -i br0 -o ssltun0 -j ACCEPT

     

    • Thanks 1
    • Upvote 1
  5. Спасибо за инфу.

    44 минуты назад, abbat сказал:

    Теоретически, конечно, можно наколхозить сервер точного времени на каком-нибудь отдельном устройстве и ввести его в сеть, но не хочется плодить сущности без необходимости, если можно подключить GPS датчик напрямую.

    Отмечу, что на роутере время заметно «плавает» в разные стороны, в т.ч. из-за режимов энергосбережения SoC'ов.

  6. 8 часов назад, abbat сказал:

    К роутеру с USB-портом можно подключить GPS приемник, установить gpsd + ntpd и роутер может стать источником точного времени для устройств сети (достаточно актуально для изолированных сетей).

    Видел как использовали такую связку софта на форуме SNB. GPS-приёмники, насколько понял, представляются в системе простыми /dev/ttyX. Можно ли в таком варианте достичь желаемой точности?

  7. 1 час назад, Сергей Грищенко сказал:

    А от каких именно плюшек придётся отказаться?

    Плюс к названному выше — возможность обращения к локальным устройствам по тем DNS-именам, которыми они представились DHCP-серверу. 

    И в целом не хочется без крайней нужды отрывать какой-то базовый функционал от роутера, поскольку прошивочная логика больше не будет им управлять. Если он отвалится, то перезапустить его будет некому.

    Прошивочные фичи можно сохранить, сделав каскад из DNS-прокси служб. Прошивочный резолвер будет обращаться к dnsmasq.

    • Upvote 1
  8. 4 часа назад, Сергей Грищенко сказал:

    Мне и нужно для точечного обхода, просто список больше чем 64. Можно ли это решить с помощью DNSMasq?

    Да. С помощью dnsmasq или adguardhome. Оба умею складывать результаты разрешения имён в ipset.

     

    4 часа назад, Сергей Грищенко сказал:

    3. Отключить штатный DNS кинетика 

    Вот в этом всё дело. Придётся отказаться от прошивочного сервиса с его плюшками.

  9. 1 час назад, Сергей Грищенко сказал:

    Какие есть решения с этим ограничением? Можно ли обойтись без изменения прошивки? 

    Никак, это решение для точечного обхода. На первой странице темы можно найти детали обсуждения.

  10. В 23.02.2023 в 16:21, sp595 сказал:

    В KeeneticOS он не поддерживается т.к это является CAPT принтером, но cups его поддерживает.

    Как поддерживает? Проприетарным бинарником, существующим только для архитектуры x86. 

    12 часа назад, pil123 сказал:

    Буду рад подсказкам разбирающихся в вопросе. 

    Начните со списка поддерживаемых принтеров в CUPS, затем убедитесь, что для драйверов есть исходники в открытом доступе. Без этого никак.

    • Thanks 1
  11. @catdimon, с точки зрения TFTP сервера никаких изменений не требуется. Однако для загрузки по UEFI:

    • нужен загрузочный образ в формате UEFI,
    • в образе д.б. поддержка UEFI NIC драйверов,
    • chained-загрузка в большинстве случаев невозможна,
    • в BIOS д.б. отключен Secure Boot.
    • Upvote 1
  12. 19 минут назад, bbaslican сказал:

    is there any way to format usb disk and re install opkg  and entware remotely ?

    Nope:( Unless you've got two partitions for Entware deployment and ability to switch between them.

    • Confused 1
  13. AdGuardHome никак не лимитирует объём используемой оперативной памяти при своей работе, однако лимиты  можно задавать как для любого другого приложения на GO с помощью переменных среды.

    • GOMEMLIMIT — максимальный объём памяти, доступной для использования в байтах,
    • GOGC — агрессивность сборщика мусора в процентах. Меньше — агрессивнее, т.е. память освобождается чаще за счёт повышения нагрузки на проц.

    Значения можно задать в стартовом скрипте /opt/etc/init.d/S99adguardhome следующим образом:

    PREARGS="env GOMEMLIMIT=64MiB GOGC=40"

    в примере выше для AGH задан лимит в 64MB RAM и более агрессивное поведение по освобождению RAM (дефолтное значение 100), за что придётся заплатить появлением пиков в графике загрузки проца в момент обновления списков блокировки.

    • Thanks 3
    • Upvote 1
×
×
  • Create New...