Jump to content

PoliceMan

Forum Members
  • Content Count

    53
  • Joined

  • Last visited

  • Days Won

    1

Everything posted by PoliceMan

  1. PoliceMan

    Нет, порт должен быть 443. keendns.net вроде не дает ssl сертификаты. См скриншоты. mtproto висит на порту 5443. Ссылка для телеги вида tg.<domain>.keenetic.link&port=443
  2. PoliceMan

    В веб-интерфейсе есть доступ к внутренним ресурсам по имени. Там можно выбрать на какой ресурс внутри сети давать доступ (в том числе и сам кинетик), по какому домену четвертого уровня и на какой порт внутри сети пробрасывать. Поднимаете mtprotoproxy на любом порту, настраиваете правило и ресурс становится доступным по указанному имени, на 443 порту. Не факт что взлетит, но попробовать стоит.
  3. PoliceMan

    А если попробовать в сторону публикации ресурса на домене четвертого уровня?
  4. А человек выше пишет про баг в хардварном крипто модуле, это не оно же?
  5. Продолжаю эксперименты на тему EoIP. Проблема с SMB. С компьютера за новой ультрой, пытаюсь установить связь до старой ультры с включенным smb. Судя по дампам траффика, сессия устанавливается нормально, пакеты бегут, но когда доходит дело до обмена данными, старая ультра отвечает SMB-пакетом размером 15к с установленным DF и до клиента он не доходит, клиент запрашивает ретрансмиты, старая ультра бьет на пакеты по 1514, но они так же не доходят до цели. Я правильно понимаю, что net.core.eoip_allow_fragment 1 должен такую проблему решать? Но толи лыжи не едут, толи проблема в другом?
  6. Поигрался с mtu, потом вернул все на место, без ребутов, скорость стала 60 мегабит. Мистика какаято) Вообще первая ультра у меня держит в аппаратно ускоренном ipsec'е скорости выше 20 мегабит, поэтому я грешил на mtu или eoip, вон у человека постом выше, скорости пободрее. ~ # iperf -m -c 10.0.0.101 ------------------------------------------------------------ Client connecting to 10.0.0.101, TCP port 5001 TCP window size: 20.7 KByte (default) ------------------------------------------------------------ [ 3] local 10.0.0.1 port 54458 connected with 10.0.0.101 port 5001 [ ID] Interval Transfer Bandwidth [ 3] 0.0-10.1 sec 71.1 MBytes 59.4 Mbits/sec [ 3] MSS size 1440 bytes (MTU 1500 bytes, ethernet)
  7. Сделал EoIP туннель, между новой ультрой и первой ультрой с ipsec в автоматическом режиме. Забриджевал с home, включил фрагментацию. С одной стороны интернет ipoe, с другой pppoe. mtu на стороне ipoe на всех интерфейсах 1500, на стороне pppoe 1492 (кроме isp, там 1500). Скорость не поднимается выше 20 мегабит в туннеле. Напрямую, через интернет, скорость поднимается до 100 мегабит. Подскажите плз в какую сторону копнуть?
  8. Использовать PPTP небезопасно уже около шести лет: https://technet.microsoft.com/library/security/2743314 Можно митигировать используя PEAP, но лучше перейти на более безопасные протоколы.
  9. PoliceMan

    Вроде починилось на билайне. И правда, сутки почти были какие-то проблемы.
  10. Потестировал еще, какая-то нестабильная фигня. ip static помогло, но ненадолго. Некоторое время работает, затем пакеты начинают прилетать с адресом внутреннего интерфейса без nat. Заработало так же и при ip nat, сразу после перезагрузки, но через некоторое время отваливается и пакеты начинают опять прилетать с адресом 77.77.77.77, но для 8.8.8.8 прилетают с внешним IP, а пинги на 8.8.4.4 работают и все ок, причем для одного внутреннего хоста так, а для хоста подключающегося к кинетику по l2tp/ipsec все продолжает работать нормально. Похоже на какой-то кеш, который работает не совсем корректно. Вот сейчас, не трогая никаких настроек, опять заработало. Чудеса какие-то)
  11. Всем привет! Есть роутер кинетик ультра и сервер в облаке в интернете, на сервере установлен openvpn, конфиг сервера простейший: # cat /etc/openvpn/server.conf dev tun ifconfig 172.31.255.253 172.31.255.254 cipher AES-256-CBC verb 3 <secret> # # 2048 bit OpenVPN static key # </secret> Конфиг на кинетике: dev tun remote 66.66.66.66 ifconfig 172.31.255.254 172.31.255.253 cipher AES-256-CBC verb 3 <secret> # # 2048 bit OpenVPN static key # </secret> У кинетика статический белый IP, пусть будет 77.77.77.77. Тунель устанавливается без проблем, пинги с домашних устройств за кинетиком ходят до 172.31.255.253. Теперь хочется, например, пустить трафик до гугл днс через VPN. Добавляем в кинетике маршрут 8.8.8.8/32 via 172.31.255.254 и с самого кинетика все начинает отлично работать. Но вот с домашних устройств не работает. Если смотреть tcpdump на сервере, то пакеты на него прилетают с src=77.77.77.77 через тунель, помогите разобраться почему, плз) Теперь фокус, если на сервере указать push "route 8.8.8.8 255.255.255.255" а на кинетике поставить опцию "получать маршруты от удаленной стороны", то при установке туннеля маршрут не поялвяется, но если прописать его опять вручную, то все работает! Даже с хостов за кинетиком, пакеты на сервер прилетают с адресом 172.31.255.254, т.е. как и должны, но такое у меня получилось только с одним хостом, если в push route указать подсеть, то магия пропадает) Я правильно понимаю, что проблема в ip nat и ip static мне поможет? Если да, то вопрос, почему это работает с единичным IP и может всетаки можно обойтись без полного отключения ip nat? Интернет на кинетике через pppoe, галка использовать это подключение для выхода в интернет на соединении openvpn не установлена. Заранее благодарен!
  12. PoliceMan

    Может проще использовать проброс портов в ssh? Или VPN на кинетике настроить.
  13. PoliceMan

    Однозначно за!
  14. Поддерживаю, не хватает фильтрации по mac-адресам в вебе. Как для 2.4, так и для 5.
  15. День добрый! При использовании функции "Доступ к веб-приложениям домашней сети" получается домен четвертого уровня, но https сертификат выписан на домен третьего, и при заходе выдается ошибка сертификата, можно это как то решить? Например выписыванием отдельных сертификатов или wildicard'ом? Что бы при добавлении имени на него делался сертификат например.
  16. Подскажите а SSTP-сервер, я так понимаю аппаратно не ускоряется? И не ожидается такой функционал?
  17. #!/opt/bin/sh INTERFACE=br0 HOST_IP=127.0.0.1 HOST_MAC=AA:BB:CC:DD:EE:FF /opt/bin/ping -c 1 $HOST_IP > /dev/null 2>&1 if [ "$?" != 0 ] then /opt/bin/etherwake -i $INTERFACE $HOST_MAC > /dev/null 2>&1 fi Но я бы тупо раз в минуту посылал wol-пакет без лишних проверок, хуже от него не будет все равно и нагрузка никакая.
  18. DarkCat, это не особенность etherwake или кинетика. Это принцип работы технологии wol, посылается пакет на бродкастовый мак ff:ff:ff:ff:ff:ff что и видно на вашем скриншоте внизу окна в сырых данных пакета.
  19. PoliceMan

    Есть подозрение, что вместо nginx можно использовать lighttpd/apache, а вместо mysql/sqlite - postgresql Mysql и postgresql это клиент-серверные БД. sqlite это просто библиотека, работающая с файлом БД. так что связка php > tcp/socket > db > file врятли будет быстрее php > lib > file По поводу веб сервера, хотя я сам склоняюсь к lighttpd (и поставил torrentmonitor на нем), тесты в интернете утверждают что у него с nginx примерно одинаковая производительность. Apache это слишком тяжелый монстр. Так что связка lighttpd/nginx с sqlite наиболее подходит для кинетика.
  20. PoliceMan

    Есть подозрение, что использовать легкий sqlite, предпочтительнее mysql. #opkg install php5-mod-pdo-sqlite sqlite3-cli #cat /opt/share/www/tm/db_schema/sqlite.sql | sqlite3 /opt/share/www/tm/tm.sqlite /opt/share/www/tm/config.php: Config::write('db.type', 'sqlite'); Config::write('db.basename', '/opt/share/www/tm/tm.sqlite');
×
×
  • Create New...