[Возможность указания порта для DNS-сервера]

@Le ecureuil Не, не соскакивает. Нет на 10053 порту никакого резолвера.

Так что просьба остается в силе.

Или еще какую то хитрую команду надо ввести?

[Возможность указания порта для DNS-сервера]

44 минуты назад, Le ecureuil сказал:

Так оно уже есть.

Делаете opkg dns-override, и прошивочный резолвер соскакивает на 10053 UDP/TCP.

Спасибо, не знал, и в документации про соскакивает тоже нету.

А точно соскакивает?

Смотрю конфиг при этой настройке:

rpc_only = on

И никаких портов не прописано.

[Возможность указания порта для DNS-сервера]

Еще дополню:

Добавить возможность запускать прошивочный резолвер на нестандартном порту.

Применение:

Основная служба на 53 порту например dnscpypt

из которого переход на прошивочный резолвер для разрешения имен локальных устройств.

В этом случае нет необходимости настраивать трансляцию адресов для входящих dns запросов.

[Клиент ACME для получения бесплатного сертификата Let's Encrypt]

29 минут назад, SigmaPlus сказал:

  Да нет. Порт 80. Сейчас заглянул в журнал вижу даже ряд ошибок проскочил, вот так: 

Acme::Client: no Content-Length returned.

Oct 28 16:57:01ndm

Acme::Client: system failed [0xcffd0117].

Oct 28 16:57:01ndm

Acme::Client: system failed [0xcffd03b2].

Посмотрите в cli

show acme

Может чего путного скажет.

[Настройка IPsec для NDMS]

2 часа назад, svoron сказал:

Кстати, в новой морде в статистике подключений IPsec/L2tp пусто, хотя прямо сейчас подключен клиент. В старой морде подключение отображается.

В новой видимо еще не сделали, а в старой показывается там где туннели, поэтому тоже не совсем корректно

[Настройка IPsec для NDMS]

7 минут назад, drianuz сказал:

Ввел команду

(config)> crypto engine hardware
IpSec::CryptoEngineManager: IPsec crypto engine set to "hardware".
(config)>

Но скорость и загрузка ЦП не изменились. Даже перезагрузил после этого.

Тогда точно селфтест разработчикам выкладывайте. 

[Настройка IPsec для NDMS]

26 минут назад, drianuz сказал:

А как проверить включен или нет?

Проверить в конфиге есть ли

crypto engine hardware

или просто выполнить эту команду в cli

[Настройка IPsec для NDMS]

2 часа назад, drianuz сказал:

DES стоит.

Поставил AES128 - скорость выросла до 5.5 Мбайт в сек при 100% загрузке ЦП.

Все равно сильно меньше чем должно, проверьте точно ли включен аппаратный ускоритель. Ну или селфтест для разработчиков.

[Настройка IPsec для NDMS]

20 минут назад, drianuz сказал:

Скажите пожалуйста.

Настроил между Ультра2 и Экстра2 ipsec тоннель. Скорость при копировании файла с компа на комп через тоннель максимум 2.5Мбайт сек. при 100% загрузке процессора в экстре2. На ультре 5%-7%. Прошивки везде последние 2.09

Это вообще нормально? Не ужели настолько слабое железо? Что можно сделать?

 

Проверяйте на экстре включено ли аппаратное шифрование, и какой шифр настроили?

на экстре только aes аппаратно ускоряется

[Вопросы по интеграции OpenVPN в NDMS]

В настройке у вас указан параметр client-config-dir ccd

А в ccd папке файлы с iroute есть?

Если нет, то читайте как работает iroute и настраивайте далее.

Через iroute openvpn сервер получает информацию за каким именно клиентом находится требуемая подсеть.

ЗЫ в обратную сторону работает из-за nat на гиге.

[Все о туннелях IPIP, GRE и EoIP]

5 минут назад, Le ecureuil сказал:

Нет, это слишком специфичный сценарий. Его нужно делать руками в CLI.

@Le ecureuil А как кстати можно настроить OpenVPN через cli?

[Dual wan - как сделать переключение быстрее? И с уведомлениями.]

3 минуты назад, KorDen сказал:

Кстати, говоря о цели уведомлений чисто чтобы знать на каком канале сейчас - это штатно может отображаться индикатором FN на роутере

У кого он есть

[Отключение dns-proxy в CLI Giga 2]

1 минуту назад, Geniuser сказал:

А какую кнопку нажать в веб интерфейсе, чтобы залить скачанную прошивку? У меня такой нет.

Свою на вкладке файлы (firmware)

[Все о туннелях IPIP, GRE и EoIP]

Только что, KorDen сказал:

а интерфейсы private/public где как?

за тесты спасибо, попробую тогда все же у себя вместе с тестированием фрагментирования EoIP заодно и это проверить.

с обоих сторон private, на ультре соответственно ip nat IPIP

[Все о туннелях IPIP, GRE и EoIP]

@KorDen

Собрал стендик, к ультре цепляется старт по IPIP c настройкой ip global через IPIP

Запускаю трассировщик из cli старта(на клиентах за стартом нет возможности проверить, их нет)

В такой схеме все ок.

Во всяком случае трасса до того же ip(74.125.205.102) c ультры такая же и хопы c 8-17 также не отвечают.

Если трасса до другого ip гугла (172.217.20.174) то там не отвечает только 1 хоп, но так же паритет что с IPIP, что без.

1й хоп - конец туннеля на ультре далее идут ответы уже от интернет узлов:

Скрытый текст

starting traceroute to google.com...
traceroute to google.com (74.125.205.102), 30 hops maximum, 60 byte packets. 
1  172.32.5.1 (172.32.5.1)  1.200 ms  1.021 ms  0.915 ms 
2  broadband-77-37-136-1.moscow.rt.ru (77.37.136.1)  8.159 ms  5.513 ms  4.053 ms 
3  7950-111-lag100-89.msk.ip.ncnet.ru (77.37.254.94)  3.324 ms  3.421 ms  3.147 ms 
4  m9-cr01-be4-89.msk.ip.ncnet.ru (77.37.254.93)  3.906 ms  3.931 ms  3.791 ms 
5  72.14.209.81 (72.14.209.81)  5.577 ms  6.086 ms  4.490 ms 
6  108.170.250.134 (108.170.250.134)  4.546 ms 108.170.250.99 (108.170.250.99) 4.308 ms 108.170.250.34 (108.170.250.34)  4.117 ms 
7  64.233.174.85 (64.233.174.85)  18.912 ms 209.85.240.116 (209.85.240.116)  50 .275 ms  26.579 ms 8  216.239.56.216 (216.239.56.216)  18.658 ms  18.623 ms 216.239.40.174 (216.23 9.40.174)  18.821 ms 
9  * * *
10  * * *
11  * * *
12  * * *
13  * * *
14  * * *
15  * * *
16  * * *
17  * * *
18  * * *
19  le-in-f102.1e100.net (74.125.205.102)  18.545 ms  18.552 ms  18.405 ms

 

[Все о туннелях IPIP, GRE и EoIP]

Ладно завтра попробую сценарий с ip global

[Все о туннелях IPIP, GRE и EoIP]

23 минуты назад, KorDen сказал:

Да, первый хоп (локальный роутер) проходит, со второго обрывается, но в паре случаев (если маршрут уходит в WAN с кучей хопов) видел что с этак пятого узла начинается нормальная трассировка (за вычетом пропущенных хопов).

У меня в тестовом туннеле между 2мя напрямую соединенными по лан роутерами вроде все ок с трассировкой. А откуда у вас хопы в wan ? Вроде как независимо от того через сколько хопов идет туннель для трассировки весь туннель должен быть одним хопом?! 

[Все о туннелях IPIP, GRE и EoIP]

@KorDen я поавильно понимаю что у вас трассировка обрывается на первом же хопе (локальный роутер) и более ничего нет?

[Уязвимость WPA2]

16 минут назад, fgsfds сказал:

Еще раз повторяю: Lite II, Omni, Start, 4G II.

 

Чуток погоняют в бета канале и перенесут в релизный канал теже самые прошивки без изменений. 

[Dual wan - как сделать переключение быстрее? И с уведомлениями.]

24 минуты назад, Andrew Voronkov сказал:

 

И очень не хватает пуш уведомлений по смене канала - с основного на резерв. Привык к ним на асусе (сторонний скрипт + гейт email-push через pushover). Так без уведомлений можно и на деньги попасть, решив посмотреть фильмец через резервный свисток. 

Кстати, сегодня заказал Ультра2, так что в выходные буду изучать уже не теорию, а практику. 

 

Всем участвующим в теме огромное спасибо, получаю истинное удовольствие от уровня квалификации и дружелюбности участников! Это был последний довод для перехода с асуса66 на ультру2.

Так сторонний скрипт и тут пожалуйста благо и entware  и инструкции лежат. Мой к примеру при изменениях на wan присылает сообщение в телеграм. 

[ip https lockout-policy 4 60 1]

В 18.10.2017 в 15:42, Le ecureuil сказал:

А что, уже лезут по https?

На самом деле там механизм авторизации все равно един, потому нет необходимости задавать lockout-policy на https - оно уже работает.

Потыкался к себе (2.11A5):

Если по http идти, то неуспешные попытки войти не логгируются. Появляется только лог о бане ip

Если по https идти, то неуспешные попытки логгируются,  но бан не наступает.

Так что для https пока не работает.

[Все о туннелях IPIP, GRE и EoIP]

@KorDen Я сейчас на L2TP/IPSec переполз. Попробую воссоздать при случае.

[Dual wan - как сделать переключение быстрее? И с уведомлениями.]

14 минуты назад, Andrew Voronkov сказал:

 То есть если я поставлю по приоритету «проводной от провайдера - wisp от соседа - 4g модем» то роутер будет держать и пингать все 3 источника, иметь 3 ip адреса и при этом, видимо, постоянно работать на wifi канале соседского роутера (не может же он работать на двух разных wifi каналах - для пинга резерва и для основной сети в доме?)? 

И тогда если упадет основной канал - он переключится на соседа, если соседский тоже упал - то на 4g, когда соседский поднимется - то обратно на соседа. А когда поднимется основной канал - вернется на него. Хм круто то как! Спасибо! 

Да именно так, канал wifi естественно будет определяться соседским wifi.

[Dual wan - как сделать переключение быстрее? И с уведомлениями.]

1 минуту назад, Andrew Voronkov сказал:

Ого, круто! Даже не ожидал, что так можно. Спасибо большое!

интересно, в случае wisp как резерва - это соединение тоже держится постоянно поднятым (как в случае с резервом через 4g модем)? Тогда получается, что роутер будет работать постоянно на wifi канале резерва, если там есть служебный коннект (и происходит пинг чек), хоть интернет и идет через основной проводной источник? 

Все соединения на кинетике активны постоянно, wisp не исключение. Будет, Пинг чек через резервы реализуется через перестройку таблицы маршрутов для пинг чека.

[Dual wan - как сделать переключение быстрее? И с уведомлениями.]

30 минут назад, Andrew Voronkov сказал:

По этому вопросу нет информации? 

Спасибо!

Можно, только тут нет репитера, просто будет резервный WAN через WISP.