r13
-
Posts
5,222 -
Joined
-
Last visited
-
Days Won
64
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by r13
-
-
7 минут назад, mesb сказал:
Идея норм.
Но возникает вопрос к впнам типа сстп и ике2 которые юзают именно кинднс.
Как с ними то быть?
Сейчас уже не актуально, есть режим авто для keendns
-
4 минуты назад, Rbuha сказал:
ndmq
Это уже давно устарело, и исключено из entware.
- 1
-
30 минут назад, Pop70 сказал:
Я знал! Я знал, что оно должно быть :).
А где почитать про другие специфичные утилиты?
Да вроде более ничего и нет.
- 1
-
есть утилита ndmc.
Соответственно:
ndmc -c "cli command"
- 1
-
В 4.1 идентификаторы таблиц маршрутизации стали динамически меняться.
Так что инструкция отсюда
доработана, требуется доустановить пакеты curl и jq. Добавлено динамическое чтение идентификатора маркировки в скриптах
/opt/etc/ndm/netfilter.d/010-bypass.sh
/opt/etc/ndm/netfilter.d/011-bypass6.sh
По примеру предоставленному @avn:
В 08.08.2023 в 23:29, avn сказал:Можно mark так найти
curl -kfsS http://localhost:79/rci/show/ip/policy 2>/dev/null | jq -r '.[] | select(.description == "Unblock-VPN") | .mark'
- 3
-
45 минут назад, forsit сказал:
Гуру, подскажите, как сделать разные настройки каналов для домашней и гостевой сети.
Для домашней сети хочу поставить автоопределение, а для гостевой указать точный канал - 44.
Подобный изврат требуется т.к. ряд устройств работает на 5 ГГц только на одном канале 44.
Это в принципе возможно?
Модель Ultra (KN-1811) EAEU
Никак, передатчик один на все точки
-
В новом ui в карточке клиента отсевает настройка профиля dns
Старый:
Скрытый текстНовый:
Скрытый текст -
В 22.09.2023 в 13:41, Le ecureuil сказал:
Просьба проверить на грядущей версии 4.1, были внесены правки по этому вопросу.
Похоже не помогло.
Профиль dns:
Скрытый текстКлиент с этим профилем и в отдельной политике:
Скрытый текстЗапросы идут мимо dns сервера из профиля.
Селфтест ниже.
-
10 минут назад, Livesms сказал:
Имею роутер Keenetic Giga, настроил port forwarding чтобы пробрасывать конкретный порт извне в внутреннюю сеть (доступ к домашнему видеорегистратору с камерами).
Скажем порт внешний IP:38888 => 192.168.1.10:3888
Но сейчас в такой конфигурации подключиться к порту извне может любой и каждый кто узнает этот порт.
Я же хочу настроить так чтобы подключение к порту 38888 на моем роутере можно было подключиться только с конкретных (заранее заданных IP).
Пробовал поставить IP прям в настройках самого port forwarding (в есть сегмента внешней интернет сети выбрать IP и указать адрес и маску) - перебрал разные варианты и ни в каком виде не разработало.
Подскажите как настроить так чтобы Port forwarding был доступен только конкретным IP, а остальные даже не могли подключиться к внешнему порту.
Еще требуется настроить firewall
Пример тут
-
59 минут назад, Denis P сказал:
Дубль))
ага, типа того)))
-
Добрый день,
Сейчас есть возможность добавлять статические маршруты через определенный интерфейс
Хотелось бы видеть возможность создания статических маршрутов через политики
В линуксе это будет ip rule add to {PREFIX} table {TABLE_ID}
Это позволит использовать преимущество политик - резервирование если подсеть доступна через несколько линков.
ЗЫ и не забыть предусмотреть данную функцию для ipv6
- 1
-
42 минуты назад, Юрий К. сказал:
Удалось таки заставить заработать модем на 4.0.4, для этого пришлось в консоли отправить команду interface CdcEthernet1 usb wwan-force-connected и нажать в дашборде reboot для модема в соединении Mobile Broadband. Да, заработало.
Но: после перезагрузки маршрутизатора всё опять по-старому - траффик через модем не ходит, нужно опять вручную послать в консоли эту команду и вручную ребутнуть модем, чтобы интернет появился. То есть, если маршрутизатор перезагрузится, когда меня нет дома - некому будет восстановить связь. И я снаружи в домашнюю сеть никак не попаду, чтобы сделать это дистанционно.
Селф-тест отправлять не хочу, я посмотрел в него - там куча приватной информации.
Нужно еще сохранить изменения в консоли:
system configuration save
Тогда изменения сохранятся после перезагрузки
- 1
-
1 час назад, Joe сказал:
UPD.
Помогло как ни странно указание в настройках IKEv2 сеть-сеть
На giga, где развернут VirtualIP - указание сети VirtualIP в качестве "локальной сети" (10.9.2.0)
На viva, указание сети VirtualIPсервера в качестве "удаленной".
crypto map VirtualIPServerIKE2 virtual-ip dhcp route 192.168.5.0/24 уже изначально был прописан.
Не знаю нужен или нет, но после этого доступ к сети Viava для клиентов giga Virtual IP появился.Как раз не странно, это о чем я и говорил в посте выше, через site to site ходит строго то что указано в local/remote сетях
- 1
-
В 16.09.2023 в 12:20, Joe сказал:
Вопрос 1. В списке "Маршрутизация" на обоих роутерах не отображаются маршруты в сети друг друга. Баг или фича? По факту ведь все работает.
Чистый ipsec использует политики, маршруты ему не нужны, так что это by design
В 16.09.2023 в 12:20, Joe сказал:Вопрос 2. Также на Giga настроен virtualIP IKEv2. При подключении клиента к гиге, у него нет доступа к сети Viva (192.168.5.0/24). Как можно вылечить?
Возможно в туннеле сеть-сеть нужно добавить подсеть клиентов virtualIP IKEv2 сервера
- 1
-
7 минут назад, bigpu сказал:
Так и не нашел у себя эту реализованную страницу, где именно ее искать?
Эта страница есть у LTE модемов(появляется при их наличии)
- 2
-
Присоединяюсь к вопросу
Версия 4.03, у меня есть отдельный профиль dns "AdGuardHome" смотрит на локальный Adguardhome
Так вот, запросы на него идут только если клиент входит в политику по умолчанию.
при привязке клиента к пользовательской политике запросы идут мимо Adguardhome несмотря на привязку клиента к dns профилю "AdGuardHome".
-
Модуль надо загрузить перед использованием
insmod /lib/modules/$(uname -r)/xt_TPROXY.ko
- 1
-
В 06.08.2023 в 21:28, r13 сказал:
ЗЫ работоспособность скриптов проверил, но сейчас в локации без v6 так что полностью проверю через пару дней как буду дома(там аналогичная конструкция работает).
Такс проверено, работает, заодно оптимизировал на максимальное использование штатного функционала.
Как выясняется все равно инструкцию надо менять, так как с версии 4.0 скрипты в папке /opt/etc/ndm/ifstatechanged.d/ считаются устаревшими https://github.com/ndmsystems/packages/wiki/Opkg-Component#ndmifstatechangedd-obsoleted-since-40-kept-only-for-backward-compatibility.
Соответственно дубль 2:
Требования -
- KeenOS версия 4.х
- Развёрнутая среда Entware,
- Рабочее VPN-соединение поверх провайдерского, по которому будет идти обращение к определённым доменам
- Для работы через ipv6 наличие рабочего ipv6 на основном подключении и VPN
Установка пакетов
Подразумевается, что AGH будет использоваться вместо встроенной в прошивку службы DNS Proxy. Установите необходимые пакеты:
opkg install adguardhome-go ipset iptables ip-full curl jq
Выполните первоначальную настройку AGH, для чего в CLI роутера наберите:
opkg dns-override system configuration save
В этот момент Entware-сервисы будут перезапущены, а интерфейс для первоначальной настройки AGH станет доступен по адресу http://192.168.1.1:3000, где 192.168.1.1 — IP-адрес роутера. Настройки по умолчанию подходят для большинства случаев.
Скриптовая обвязка
Результаты разрешения указанных доменных имён AGH будет помещать в ipset (bypass/bypass6 в примере), правилами iptables трафик по этим IP-адресам будет помечаться fwmark, c идентификатором соответствующим политике в KeenOS.
Первый скрипт — создание ipset'а при старте роутера. Создайте файл /opt/etc/init.d/S52ipset со следующим содержимым:
#!/bin/sh PATH=/opt/sbin:/opt/bin:/opt/usr/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin if [ "$1" = "start" ]; then ipset create bypass hash:ip ipset create bypass6 hash:ip family inet6 fi
И еще пара скриптов для пометки трафика с помощью fwmark. Актуальная прошивка активно использует эту возможность, поэтому маркировать трафик приходится точечно.
В двух последующих скриптах заменить <Имя полиси> на название политики в которую нужно перенаправлять трафик
Создайте файл /opt/etc/ndm/netfilter.d/010-bypass.sh c контентом для пометки ipv4 трафика:
#!/bin/sh [ "$type" == "ip6tables" ] && exit [ "$table" != "mangle" ] && exit [ -z "$(ipset --quiet list bypass)" ] && exit if [ -z "$(iptables-save | grep bypass)" ]; then mark_id=`curl -kfsS http://localhost:79/rci/show/ip/policy 2>/dev/null | jq -r '.[] | select(.description == "<Имя полиси>") | .mark'` iptables -w -t mangle -A PREROUTING ! -i nwg0 -m conntrack --ctstate NEW -m set --match-set bypass dst -j CONNMARK --set-mark 0x$mark_id iptables -w -t mangle -A PREROUTING ! -i nwg0 -m set --match-set bypass dst -j CONNMARK --restore-mark fi
Создайте файл /opt/etc/ndm/netfilter.d/011-bypass6.sh c контентом для пометки ipv6 трафика:
#!/bin/sh [ "$type" != "ip6tables" ] && exit [ "$table" != "mangle" ] && exit [ -z "$(ipset --quiet list bypass6)" ] && exit if [ -z "$(ip6tables-save | grep bypass6)" ]; then mark_id=`curl -kfsS http://localhost:79/rci/show/ip/policy 2>/dev/null | jq -r '.[] | select(.description == "<Имя полиси>") | .mark'` ip6tables -w -t mangle -A PREROUTING ! -i nwg0 -m conntrack --ctstate NEW -m set --match-set bypass6 dst -j CONNMARK --set-mark 0x$mark_id ip6tables -w -t mangle -A PREROUTING ! -i nwg0 -m set --match-set bypass6 dst -j CONNMARK --restore-mark fi
В скриптах nwg0 — сетевой интерфейс VPN-соединения для выборочного обхода блокировок. Если затрудняетесь в его поиске, то посмотрите вывод команды ip addr.
Сделайте скрипты исполняемыми:
chmod +x /opt/etc/init.d/S52ipset chmod +x /opt/etc/ndm/netfilter.d/010-bypass.sh chmod +x /opt/etc/ndm/netfilter.d/011-bypass6.sh
и переходите к финальному пункту.
Список доменов для обхода блокировок
Найдите в конфигурационном файле AGH /opt/etc/AdGuardHome/AdGuardHome.yaml строчку ipset_file: "" и поменяйте на ipset_file: /opt/etc/AdGuardHome/ipset.conf.
Файл /opt/etc/AdGuardHome/ipset.conf будет единственным, требующим редактирования время от времени, в зависимости от изменения вашего персонального списка доменов для разблокировки. Он имеет следующий синтаксис:
intel.com,ipinfo.io/bypass,bypass6 instagram.com,cdninstagram.com/bypass,bypass6 epicgames.com,gog.com/bypass,bypass6
Т.е. в левой части через запятую указаны домены, требующие обхода блокировок, справа после слэша — ipset, в который AGH складывает результаты разрешения DNS-имён. Можно указать всё в одну строчку, можно разделить логически на несколько строк как в примере. Домены третьего уровня и выше также включаются в обход блокировок, т.е. указание intel.com включает www.intel.com, download.intel.com и пр.
Рекомендую добавить какой-нибудь «сигнальный» сервис, показывающий ваш текущий IP-адрес (ipinfo.io в примере). Так вы сможете проверить работоспособность настроенного решения. Учтите, что AGH не перечитывает изменённый файл, поэтому после правки перезапустите его с помощью:
/opt/etc/init.d/S99adguardhome restart
Диагностика проблем
- Убедитесь в том, что набор ipset создан и наполняется в процессе работы:
# Проверка ipv4 ipset --list bypass # Проверка ipv6 ipset --list bypass6
Вывод должен быть не пустой.
- Посмотрите, существуют ли правила netfilter для пометки пакетов:
# Проверка ipv4 iptables-save | grep bypass # Проверка ipv6 ip6tables-save | grep bypass6
- После перезагрузки роутера проверьте в веб-интерфейсе Системный журнал, в нём не должно быть красных строк, связанных с настроенными скриптами.
В итоге:
- 1
- 6
-
36 минут назад, coolmen0509 сказал:
Как выяснить, если бы я понимал бы - не спрашивал бы
Добавлять по одному и смотреть на результат)
-
-
-
1 минуту назад, coolmen0509 сказал:
Конечно глупый вопрос, но в скрипте не написано - откидывать весь трафик, данной строчкой:
[ "$type" == "ip6tables" ] && exit
Нет, это проверка типа хука.
6 минут назад, coolmen0509 сказал:Префикс, остается - но сайты ipv6 не видятся..
Значит не отваливается.
Далее уже сложно без селфтеста угадывать...
Ну попробуем.
Какой выхлоп у команды:
show ipv6 route
-
1 час назад, coolmen0509 сказал:
У провайдера нативный ipv6, как только ввожу скрипт и перезагружаю роутер - во время загрузки он получает адрес и сразу же отваливается и больше ipv6 нет пока не убрать скрипты. Да и еще если честно с вашим решением и сайты маркированные не открываются... (но это я наверное что-то не то делаю)..
Понятнее не стало. Что значит отваливается? На интерфейсе поровайдера префикс остаётся?
-
24 минуты назад, coolmen0509 сказал:
У меня при таких настройках, да и на старых скриптах тоже - ipv6 от провайдера перестает получать. Может надо у скриптах строчку какую то модифицировать?
Тут нужно прдробнее, что не получает, что за провайдер.
Сервис KeenDNS при двух провайдерах
in Развитие
Posted
Если клиент позволяет указать server identity то думаю вариант с dyndns заведется.
Зы проще сделать основным линк с белым адресом, а локальных клиентов выводить наружу через серый линк используя политики кинетика.