Jump to content

Le ecureuil

Administrators
  • Posts

    8,666
  • Joined

  • Last visited

  • Days Won

    450

Community Answers

  1. Le ecureuil's post in Community Firmware was marked as the answer   
    В версии 3.7 появился Keenetic SDK.
  2. Le ecureuil's post in nf_conntrack: unable to save third interface ... was marked as the answer   
    В 3.6.B.0 должно стать лучше.
  3. Le ecureuil's post in Проблема с DNS на LAN-клиентах was marked as the answer   
    @Leksey118 прошу прощения за столь долгий ответ - был занят.
    Вообще, настройки очень странные - аж на трех интерфейсах одинаковые DNS-сервера...
    Но нашел небольшой баг, который приводил к неработоспособности в proxy - в следующем выпуске должно быть поправлено.
  4. Le ecureuil's post in Возможность выбора "TCP/UDP" при настройке правил NAT was marked as the answer   
    Реализовано в 3.5 Alpha 16
  5. Le ecureuil's post in IKEv2VPN: "VirtualIPServerIKE2": out of memory [0xcffe12f5] was marked as the answer   
    Причина найдена, должно быть поправлено в следующих сборках.
  6. Le ecureuil's post in выбор интерфейса подключения DoT was marked as the answer   
    Явно настроить совсем разные DNS для разных политик пока невозможно. Можно только указать, какие будут использованы в той или иной из общих.
  7. Le ecureuil's post in Циклическая перезагрузка IPSec туннелей was marked as the answer   
    Будет поправлено в следующих релизах.
  8. Le ecureuil's post in ip nat - не принимает маску цифрой was marked as the answer   
    Поправлено.
  9. Le ecureuil's post in "Timer": lock precedence violation: IPV6_SUBNETS (22) after NETFILTER_TABLE was marked as the answer   
    Поправлено, появится в следующей сборке.
  10. Le ecureuil's post in Трафик незарегистрированных устройств - 0 байт was marked as the answer   
    На публичной точке доступа ежедневная проходимость может быть и до десятка тысяч уникальных хостов в гостевом сегменте в день.
    Предлагаете для всех них хранить информацию и тратить процессор?
  11. Le ecureuil's post in контроль доступа was marked as the answer   
    Нашли хитрый и закопанный баг, починено. В следующих сборках будет поправлено.
  12. Le ecureuil's post in Лаги TCP на третий день аптайма was marked as the answer   
    Всем спасибо, найдено и починено.
    Если кратко, то причина была в росте размера структуры tcp_skb_cb, которая начала конфликтовать с флагами ppe software, из-за чего когда байт в skb->cb[46] становился равен 0x4 происходил отброс пакетов.
    Вообще нужно отметить странную политику расположения полей с tcp_skb_cb в ядре 4.9. Если поменять поля в union tx : оба skb_mstamp поставить в начале (они требуют выравнивания по 8), а u32 в конце, то структура будет занимать не 48, а 44 байта. И такой проблемы никогда бы ни было. Ну да ладно. И проявляется это кстати везде, а не только на 7621 - но на нем локальный трафик заметнее и чаще используем.
    Хочется сердечно поблагодарить всех за упорные репорты этой проблемы - без них мы бы не поняли реальную важность, и сочли бы ее возможным аппаратным багом или глюками ПО на клиентах - что, на нашей практике, бывает все же чаще.
    Но отдельная благодарность объявляется господину @KorDen за настойчивость, исследование и выделение минимального сетапа для воспроизведения ситуации. Также он был первым, кто обратил внимание на связь jiffies с потерями (мы и сами до самого конца не верили, что дело в этом) и выявил конкретный диапазон. И его догадка в итоге привела нас к разрешению ситуации. Еще раз хочется отметить, что это был не просто наброс в стиле "не работает, быстро чините, б...дь" или "после обновления не стоит, жена ушла к другому, сын гей"; а технически выверенный репорт с указанием как воспроизводить (и даже скриптом).
    За этот образцовый багрепорт @KorDen отблагодарим самым новым и крутым устройством, которое появится уже скоро.
    Еще раз всем спасибо.
  13. Le ecureuil's post in Занятый 78.47.125.180:80 was marked as the answer   
    Короче сделали команду
    > no ip http easy-access
    оно уже доступно в 3.01 beta, и отключает bind на :80 если порт сменен.
  14. Le ecureuil's post in Разрешение не стандартных доменов при включенном DoT/DoH was marked as the answer   
    Спасибо за подсветку проблемы.
    Сейчас этот функционал на самом деле работает, но провайдеры перехватывают нешифрованные dns и тупо их блокируют (в том числе и запросы в зону .lib).
    Потому нашел вам кучку opennic-серверов, которые умеют dot и doh.
    Добавляйте их к обычным dot/doh серверам, и все будет работать:
    https://servers.opennic.org/edit.php?srv=ns10.de.dns.opennic.glue
    https://servers.opennic.org/edit.php?srv=ns12.nh.nl.dns.opennic.glue
    https://servers.opennic.org/edit.php?srv=ns8.he.de.dns.opennic.glue
    https://servers.opennic.org/edit.php?srv=ns31.de.dns.opennic.glue
     
    Прямо сейчас не поддерживаются DoH-сервера с указанием порта в uri, но в следующих релизах это будет поправлено.
  15. Le ecureuil's post in Интернет-фильтр AdGuard не определяется was marked as the answer   
    Да, ситуация воспроизвелась, но, формально говоря, это не ошибка - это следствие работы фильтра.
    При включенных интернет-фильтрах у нас включается блокировка транзитного DoH и DoT - чтобы никто не смог убежать наружу сквозь фильтры.
    При этом adguard проверяет себя через https-запрос на 443 порт на свои же домены и сервера, используемые для DNS - а мы этот транзит блокируем, потому что считаем его "попыткой пробежать мимо".
    Вот он и не показывает сам себя.
    Потому призываю всех не беспокоиться, все работает как заявлено, и даже еще жестче в плане блокировки утечек 
  16. Le ecureuil's post in SSL сертификат на домены 4го уровня was marked as the answer   
    Начиная с 2.15 выдается wildcard-сертификат, который покрывает все домены 4 уровня автоматически.
  17. Le ecureuil's post in Не работает защита от брутфорса веб-интерфейса по HTTPS was marked as the answer   
    В итоге под пристальным взором нашли источник проблемы.
    Порт действительно блокируется на вход, и сессии все уничтожаются - тут вопросов нет.
    Однако web-сервер в таком случае не закрывает соединение, и пытается доотправить данные клиенту (или просто происходит TCP retransmit, что не суть важно).
    При этом побочно создается новая _исходящая_ сессия к браузеру, через который он все-таки умудряется пролезать и продолжать работать - из-за HTTP Keepalive сессии у браузера тоже завершаются не мгновенно.
    Поскольку сессия получается "исходящей", она не блокируется по условию и не очищается.
    Всем спасибо за репорты, в следующих релизах будет исправлено.
     
    Прямо сейчас это неактуально для ботов, потому что большинство из них закрывают TCP-сессию при отлупе, а это обрывает соединение.
  18. Le ecureuil's post in Приоритетное подключение для Transmission was marked as the answer   
    Реализовано только в 3.1.
  19. Le ecureuil's post in После обновления до 2.11.D.2.0-3 на Zyxel Keenetic DSL перестает работать веб-интерфейс. was marked as the answer   
    На 2.0-5 должно быть все нормально.
  20. Le ecureuil's post in Пользовательские скрипты was marked as the answer   
    Если вы включите Интернет-фильтр, то все запросы "мимо", включая даже dot/doh мимо - будет завернуты на роутер или дропнуты. Такая штука существует для plaintext udp/53 и tcp/53 еще с 2.06, а для dot/doh появилась в 3.0.
    Что еще осталось, кроме black-list?
    Запуск скриптов по cron считаю избыточным, потому что в системе без opkg это излишество (скрипты хранить негде), а с opkg вы так и так можете поставить cron.
  21. Le ecureuil's post in Настройка DoT/DoH was marked as the answer   
    Почти.
    Если поле SPKI пустое, то используется верификация сертификата сервера через встроенные корневые сертификаты в прошивке.
    Но может быть такой сценарий, что прошивка устарела или сертификат еще не добавлен, или самоподписанный сертификат на сервере.
    Тогда можно указать SPKI, и сервер будет валидироваться на основе этого значения - оно перекрывает корневые сертификаты.
    Для DOT SPKI и валидация по корневым сертификатам работают только если указать SNI.
     
    application/dns-message - это единственный формат DOH, стандартизованный в RFC 8484. Однако, Google не реализует dns-message, а вместо этого использует свой проприетарный формат application/dns-json.
    Потому правильный ответ таков: указывать надо то, что поддерживает сервер. В случае c Google это только JSON.
    Но некоторые серверы, в частности CloudFlare, поддерживают оба формата. В этом случае команда и URL выглядят так:
    > dns-proxy https upstream https://cloudflare-dns.com/dns-query dnsm
    > dns-proxy https upstream https://cloudflare-dns.com/dns-query?ct=application/dns-json& json
  22. Le ecureuil's post in DNScrypt из коробки was marked as the answer   
    В связи с реализацией DoT и DoH dnscrypt уходит на свалку истории.
  23. Le ecureuil's post in Windows 10 Pro не подключается к VPN IPSec was marked as the answer   
    У вас только Virtual IP сервер, это другое - он работать не будет. Вам нужен L2TP/IPsec.
  24. Le ecureuil's post in SSTP сервер циклически перезагружается was marked as the answer   
    В следующей сборке будет поправлена реакция на смену префикса IPv6.
  25. Le ecureuil's post in Ошибки разрешения имени для OCSP Stapling was marked as the answer   
    Да, это не ошибка, просто ocsp stapling не работает (в данном случае из-за dns).
    Раньше его не было, в 3.0 он появился.
×
×
  • Create New...