vasek00

родной отключен, и первичный, вторичный и третичный все через dnsproxy

Вот некоторые результаты по скорости работе серверов текущая настройка toml ИТАК быстродействие по ответу серверов с 05/06/2018-08/06/2018 как видно ниже плавает. [adguard-dns] OK (crypto v1) - rtt: 15ms - 21ms - 26ms [cloudflare] OK (DoH) - rtt: 49ms - 50ms [cs-fi] OK (crypto v1) - rtt: 59ms - 61ms - 71ms [yandex] OK (crypto v1) - rtt: 18ms - 22ms - 23ms - 57ms

Проверка запуска в ручную dnscrypt-proxy -config /opt/etc/dnscrypt-proxy.toml и проверка/редактирование файла "dnscrypt-proxy.toml" в части ведения лога

Ну вообще то он в /opt/sbin # ls -l | grep dnscrypt

Ну осталось проверить наличие данного фала /opt/sbin # ls -l | grep dnscrypt -rwxr-xr-x 1 root root 158420 Mar 3 15:00 dnscrypt-proxy Только что обновился до 2.0.14

Проверьте скрипт запуска S09dnscrypt-proxy2 по содержимому, т.е. аргумент запуска и наличия файла для запуска. Например /opt/etc/init.d/S57dnscrypt-proxy PROCS=dnscrypt-proxy2 ARGS="-config /opt/etc/dnscrypt-proxy.toml" /opt/sbin # ls -l | grep dnscrypt -rwxr-xr-x 1 root root 158420 Mar 3 15:00 dnscrypt-proxy -rwxr-xr-x 1 root root 6663520 Jan 30 18:48 dnscrypt-proxy-2 -rwxr-xr-x 1 root root 7126368 Mar 22 22:48 dnscrypt-proxy2 /opt/sbin #

По поводу исчезания кеша, например данные в dnscrypt по умолчанию Ну с популярностью тут трудно поспорить это наверное как кол-во "лайков" например на youtube, а так еще для оценки "заграничных" список их например можно взять из dnscrypt-resolvers.csv или из другого списка. https://www.dnsperf.com/dns-speed-benchmark?id=43d3ff9b86041d41d8148fd99cdf394f

Маленькая ремарка по поводу памяти : 1. На KII отлично работает 2. Тут уже выкладывалось по его потреблению памяти 3. с поддержкой dnscryprt-proxy2 есть и более быстрые сервера, чем же так важен OpenNic только лишь и жертвуем быстродействием в другом, где запросов по DNS со страниц при просмотрах достаточно. 4. Чем же он так популярен, говорят по скорости но никто из пользователей не подтвердил реальность его быстродействия проверив его например через DNSBench (предварительно прописав два адреса CloudFlarе серверов)

Должен работать так как https://developers.cloudflare.com/1.1.1.1/dns-over-https/cloudflared-proxy/

Не понял немного так как в настоящие время использую вот что server_names = ['cs-fi', 'adguard-dns', 'yandex'] ... ## Delay, in minutes, after which certificates are reloaded cert_refresh_delay = 60 и в итоге [2018-06-02 09:57:17] [NOTICE] Source [public-resolvers.md] loaded [2018-06-02 09:57:17] [NOTICE] dnscrypt-proxy 2.0.8 [2018-06-02 09:57:17] [NOTICE] Now listening to 127.0.0.2:хххх [UDP] [2018-06-02 09:57:17] [NOTICE] Now listening to 127.0.0.2:хххх [TCP] [2018-06-02 09:57:17] [NOTICE] [adguard-dns] OK (crypto v1) - rtt: 27ms [2018-06-02 09:57:17] [NOTICE] [cs-fi] OK (crypto v1) - rtt: 45ms [2018-06-02 09:57:17] [NOTICE] [yandex] OK (crypto v1) - rtt: 22ms [2018-06-02 09:57:17] [NOTICE] Server with the lowest initial latency: yandex (rtt: 22ms) [2018-06-02 09:57:17] [NOTICE] dnscrypt-proxy is ready - live servers: 3 и ранее на 2 (ниже), а сейчас включено 3 сервера (выше) [2018-06-01 09:18:13] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 26ms) [2018-06-01 10:18:14] [NOTICE] Server with the lowest initial latency: yandex (rtt: 22ms) [2018-06-01 11:18:14] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 20ms) [2018-06-01 12:18:14] [NOTICE] Server with the lowest initial latency: yandex (rtt: 22ms) [2018-06-01 13:18:15] [NOTICE] Server with the lowest initial latency: yandex (rtt: 17ms) [2018-06-01 14:18:15] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 20ms) [2018-06-01 15:18:16] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 20ms) [2018-06-01 16:18:17] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 21ms) [2018-06-01 17:18:17] [NOTICE] Server with the lowest initial latency: yandex (rtt: 17ms) [2018-06-01 18:18:18] [NOTICE] Server with the lowest initial latency: yandex (rtt: 17ms) [2018-06-01 19:18:18] [NOTICE] Server with the lowest initial latency: yandex (rtt: 27ms) [2018-06-01 20:18:19] [NOTICE] Server with the lowest initial latency: yandex (rtt: 26ms) [2018-06-01 21:18:19] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 21ms) [2018-06-01 22:18:19] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 20ms) [2018-06-01 23:18:20] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 26ms) [2018-06-02 00:18:20] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 26ms) [2018-06-02 01:18:21] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 26ms) [2018-06-02 02:18:21] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 22ms) [2018-06-02 03:18:22] [NOTICE] Server with the lowest initial latency: yandex (rtt: 17ms) [2018-06-02 04:18:22] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 26ms) [2018-06-02 05:18:22] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 26ms) [2018-06-02 06:18:22] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 21ms) [2018-06-02 07:18:22] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 20ms) [2018-06-02 08:18:23] [NOTICE] Server with the lowest initial latency: yandex (rtt: 21ms) по md файлу ## yandex Yandex public DNS server (anycast) sdns://AQQAAAAAAAAAEDc3Ljg4LjguNzg6MTUzNTMg04TAccn3RmKvKszVe13MlxTUB7atNgHhrtwG1W1JYyciMi5kbnNjcnlwdC1jZXJ0LmJyb3dzZXIueWFuZGV4Lm5ldA так же как и ## cloudflare Cloudflare DNS (anycast) - aka 1.1.1.1 / 1.0.0.1 sdns://AgcAAAAAAAAABzEuMC4wLjGgENk8mGSlIfMGXMOlIlCcKvq7AVgcrZxtjon911-ep0cg63Ul-I8NlFj4GplQGb_TTLiczclX57DvMV8Q-JdjgRgSZG5zLmNsb3VkZmxhcmUuY29tCi9kbnMtcXVlcnk

Как писал ранее для пользователя то что имеется достаточно пока в прошивке. По поводу команды все проходит / # iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT / # iptables -nvL | grep icmp 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 8 limit: avg 1/sec burst 5 / # iptables -nvL | grep INPUT Chain INPUT (policy DROP 0 packets, 0 bytes) ... 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 8 limit: avg 1/sec burst 5 / # она будет последней так как "-А" У вас же ошибка в строке ввода "Couldn't load match `30" Опять же варианты / # iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 30/s -j ACCEPT / # iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 30/m --limit-burst 8 -j ACCEPT 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 8 limit: avg 30/sec burst 5 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 8 limit: avg 30/min burst 8 Смотрите формат iptables

NTFS не есть хорошо.

Пока еще не успели, сделайте разметку вашей flash на два раздела, первый например NTFS (primary) и активный, а второй Ext (primary) размер ~1GB. Как раз на втором и будет у вас OPKG

В прошивки уже присутствует тот уровень защиты который необходим пользователю, если что-то нужно за данным уровнем, то берем flash размером не менее ну скажем 1GB устанавливаем Entware + необходимые доп.сервисы по защите. Тут уже на сколько фантазии хватит, можно и без IPset. В интернете много есть примеров один их таких например ловушка TARPIT, тут аккуратней так как ресурсы ограничены это же роутер, как уменьшить в интернете так же есть. Так же простенькие правила например, которые проходят ну тут нужно учесть спец.прошивки по обработке правил.

Кажется получилось, если убрать галку "Определять мой IP-адрес автоматически " и нажимать кнопку обновить то все как надо, без разницы какой активен канал. Идет по тому каналу на котором сделан выбор обновить. Проверил с включенной галкой "Определять мой IP-адрес автоматически " и выбор проверки два канала где PPTP основной PPPoE резервный в итоге : на DDNS получил IP адрес от резервного канала, проверял три раза.

Релиз 212А510 на KII При рассмотрении варианта работы DDNS и настроек WEB например при использовании двух каналов для выхода в интернет было обнаружено, что запросы для DDNS от роутера например " GET /nic/update?hostname=хххххх.ddns.net " уходят с default маршрута, хотя в WEB галка стоит на "резервном" канале. При включении обоих галок на обоих интернет каналах update так же улетает только с основного (default маршрута). Так и должно быть, если да то тогда смысл в WEB проверять через интерфейс. Меняя приоритеты на каналах смысл проверки один и тот же - используется для запросов основной канал (default маршрут). Данная проверка осуществлялась путем использования копки "применить" и "обновить" только через WEB, режим cli не проверялся. По конфигу например в новом WEB при установленной галке на обоих выходах в WEB, галка на "Определять мой IP-адрес автоматически " в WEB стоит:

Согласен - куча приложений на любой вкус.

Вопрос только в том, что пользователь понимал под данными словами ownCloud сам пакет или то что он может Есть по проще и по меньше размером. Вопрос только удобства использования пользователем. ДО --- Mem: 113404K used, 12776K free, 216K shrd, 6756K buff, 66796K cached CPU: 0.0% usr 4.7% sys 0.0% nic 95.2% idle 0.0% io 0.0% irq 0.0% sirq После ----- ./mount -t davfs https://webdav.yandex.ru /opt/var/yandex -o rw < /opt/etc/davfs2/secrets >/dev/null /proc/2604 # df Filesystem 1K-blocks Used Available Use% Mounted on ... https://webdav.yandex.ru 10485756 688048 9797708 7% /opt/var/yandex /opt/var/yandex # ls -l drwxr-xr-x 2 root root 0 Nov 7 2017 DD drwx------ 2 root root 0 May 18 15:44 lost+found /opt/var/yandex # /proc/2604 # cat status Name: mount.davfs State: S (sleeping) Tgid: 2604 Pid: 2604 ... VmPeak: 8980 kB VmSize: 8980 kB VmLck: 0 kB VmPin: 0 kB VmHWM: 672 kB VmRSS: 672 kB VmData: 352 kB VmStk: 136 kB VmExe: 112 kB VmLib: 5212 kB VmPTE: 24 kB VmSwap: 0 kB Threads: 1 ... Cpus_allowed: 3 Cpus_allowed_list: 0-1 voluntary_ctxt_switches: 18 nonvoluntary_ctxt_switches: 0 Mem: 113280K used, 12900K free, 216K shrd, 10912K buff, 60456K cached CPU: 0.0% usr 4.5% sys 0.0% nic 95.4% idle 0.0% io 0.0% irq 0.0% sirq Load average: 0.00 0.02 0.00 1/101 2716 PID PPID USER STAT VSZ %VSZ CPU %CPU COMMAND ... 2604 1 nobody S 8980 7.1 0 0.0 mount.davfs https://webdav.yandex.ru /opt/var/yandex Все что ляжет в /opt/var/yandex/ автоматом уйдет на YANDEX. Ну естественно зависит от проца и от задач которые нужно.

Только что проверил на 2.12 релизах (все действия на клиенте 192.168.140.100) : 1. вариант когда при настройках на клиенте данный канал PPTP-VPN по приоритету ниже основного который для интернета PPPoE / # ip ro default dev ppp0 scope link Удал_сервер_VPN dev ppp0 scope link 192.168.1.1 dev ppp1 proto kernel scope link src 192.168.10.9 192.168.140.0/24 dev br0 proto kernel scope link src 192.168.140.100 yy.yy.yy.1 dev ppp0 proto kernel scope link src yy.yy.yy.34 / # ping 192.168.1.32 PING 192.168.1.32 (192.168.1.32): 56 data bytes ^C --- 192.168.1.32 ping statistics --- 5 packets transmitted, 0 packets received, 100% packet loss / # 192.168.1.х - удаленная сеть роутера который сервер VPN, 1.32 клиент в данной сети 192.168.140.x - сеть роутера клиента VPN 192.168.10.9 - поднятый канал VPN 2. вариант когда при настройках на клиенте данный канал PPTP-VPN по приоритету выше основного который для интернета PPPoE / # ip ro default dev ppp1 scope link Удал_сервер_VPN dev ppp0 scope link 192.168.1.1 dev ppp1 proto kernel scope link src 192.168.10.9 192.168.140.0/24 dev br0 proto kernel scope link src 192.168.140.100 yy.yy.yy.1 dev ppp0 proto kernel scope link src yy.yy.yy.34 / # ping 192.168.1.32 PING 192.168.1.32 (192.168.1.32): 56 data bytes 64 bytes from 192.168.1.32: seq=0 ttl=63 time=28.525 ms 64 bytes from 192.168.1.32: seq=1 ttl=63 time=28.249 ms ^C --- 192.168.1.32 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max = 28.249/28.387/28.525 ms / # 192.168.1.х - удаленная сеть роутера который сервер VPN, 1.32 клиент в данной сети 192.168.140.x - сеть роутера клиента VPN 192.168.10.9 - поднятый канал VPN так как "default dev ppp1 scope link" а это VPN канал то любой пакет для адресата 192.168.1.32 попадет в этот сетевой интерфейс, а роутер на другом конце уже поймет что с ним делать. в варианте 1 добавляем маршрут / # ip ro add 192.168.1.0/24 via 192.168.10.9 / # ip ro default dev ppp0 scope link Удал_сервер_VPN dev ppp0 scope link 192.168.1.0/24 via 192.168.10.9 dev ppp1 192.168.1.1 dev ppp1 proto kernel scope link src 192.168.10.9 192.168.140.0/24 dev br0 proto kernel scope link src 192.168.140.100 yy.yy.yy.1 dev ppp0 proto kernel scope link src yy.yy.yy.34 / # ping 192.168.1.32 PING 192.168.1.32 (192.168.1.32): 56 data bytes 64 bytes from 192.168.1.32: seq=0 ttl=63 time=33.580 ms 64 bytes from 192.168.1.32: seq=1 ttl=63 time=33.055 ms ^C --- 192.168.1.32 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max = 33.055/33.317/33.580 ms / # В данном варианте появилось описание сети удаленного роутера 192.168.1.0/24 via 192.168.10.9 dev ppp1 пакетики для сети 192.168.1.0/24 посылать через 192.168.10.9 интерфейса ppp1 где ppp0 Интернет PPPoE RT-100, а ppp1 поднятый канал VPN_client На клиенте 192.168.140.2 ------------------------ Обмен пакетами с 192.168.1.32 по с 32 байтами данных: Ответ от 192.168.1.32: число байт=32 время=28мс TTL=62 Ответ от 192.168.1.32: число байт=32 время=28мс TTL=62 Ответ от 192.168.1.32: число байт=32 время=28мс TTL=62 Ответ от 192.168.1.32: число байт=32 время=30мс TTL=62 Статистика Ping для 192.168.1.32: Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь) Приблизительное время приема-передачи в мс: Минимальное = 28мсек, Максимальное = 30 мсек, Среднее = 28 мсек Проверяйте правильность настроек на клиенте или смотрите маршруты еще раз

Не знаю что у вас решалось в качестве "name-server 192.168.1.1" Клиент1----K1(LAN)----(LAN)K2----Инет на K2 свой сторонний DNS севрис контроль порта 53, Клиент1 все ОК пакетики идут через новый DNS сервис. K1 вроде де бы то же является клиентом K2 НО КАК ОКАЗАЛОСЬ НЕ СОВСЕМ КЛИЕНТ его локальные сервисы в данной схеме работают только ПРИ УСТАНОВЛЕННОМ адресе DNS который не 192.168.1.1 (K2) а например после прописки внешнего 88.88.88.88 адрес DNS полученного от провайдера K2 (и такие пакеты идут по default маршруту попадая на K2). При отключении на K2 вообще получение IP DNS от провайдера происходит вообще кирдык для локальных серверов K2. Значит мы по разному понимаем вашу формулировку и что вы хотели этим сказать

Возможно - не однократно упоминал пример что при "opkg dns-override" и использование альтернативного сервиса DNS на роутере, режим основной : 1. - подключение к интернету т.е. DNS от провайдера РОУТЕР получил 2. - если делать на САМОМ роутере ping, трассеры и т.д. на www.wwwww.ru, т.е. выполнить любой локальный сервис то будет работать ЛОКАЛЬНЫЙ DNS резолв (пакеты улетают на DNS провайдера), а не на тот который настроен выше свой хоть 53 порт весит на другой сервисе, на любом локальном клиенте все как и учили на новый сервис DNS, если убрать получение серверов от провайдера ТО ЗАТЫКАЮТСЯ локальные сервисы роутера. Так же обратил внимание на такое же поведение при схеме К1(LAN)----(LAN)K2----Инет. Роутер K1 является обычным клиентом К2 как и любой другой клиент К2 но проблема на нем не исчезла описанная выше. На K1 не работает например сервис обновления (для примера, хотя default идет на K2), но если на K1 прописать IP DNS провайдера (который был получен от провайдера на K1) то все ОК. Клиент----К1(LAN)------(LAN)K2-----Инет K1 ip route default IP_K2 Home ip name-server IP_DNS1 K2 получил от провайдера IP_DNS1 Клиенту же по барабану записи которые выше на K1

Для кого - "нечитабельная тарабарщина", а для кого информация. Вам наверное лучше "плюнуть" и как вы говорите буду пытаться научиться видеть графики потребления трафика в реальном времени на Microtik-е. Как говорили - "Учиться, учиться и еще раз учится"

В настоящие время стоит обратить внимание на скрытый JavaScript майнинг который может быть размещен на сайте которым вы пользуетесь или делаете серфинг. В кратце что это (хотя можно найти в интернете) используя JS скрипт который размещен на сайте через браузер используя ресурсы компьютера майнил криптовалюту, что приводит к увелечению загрузки процессора ПК (для чего и как например на https://geektimes.com/post/293757/ или еще в интернете). Кто использует метод блокировки рекламы через добавление информации в файл hosts то по ссылке есть адрес для нужного файла который обновляется, скачав его можно добавить в текущий список блокировок. Учтем что по мимо ПК в дом.сети есть множество других устройств с выходом в интернет.

В настоящее время 28/04/2018 не большое тестирование скорости работы DNS со стороны клиента ПК при 100Мбит от РТ. 1. при установке рекламированного сервиса от Cloudflare на адресах 1.1.1.1 на ПК в качестве DNS сервера (скрин 1111 первый), после выполнения на ПК команда "ipconfig /flushdns". 2. Установка на ПК адреса DNS IP от роутера на котором при использовании dnsmasq в связке с dnscrypt-proxy, так же на ПК команда "ipconfig /flushdns" плюс перезапуск служб dnsmasq с dnscrypt-proxy вот что получилось (скрин 100 второй).

тогда зачем WEB если все есть в cli, можно тогда уж и конфигом просто обойтись.