vadimbn

Ну да, каждый сходит с ума по своему. На самом деле все там прозрачно, если смотреть не в веб-интерфейс (где как раз ничего не прозрачно), а в файл конфигурации.

Не проще ли было бы сделать проброс не на интерфейс ISP, а именно на конкретный адрес этого интерфейса, командой ip static?

Что вы имеете в виду? То, что в Proposals?

Если нужна сеть за кинетиком, и если там при создании туннеля есть трансляция адресов - да. Для чего - у вас в политиках указаны конкретные сети, которые должны быть доступны с обеих сторон. А маскарадинг подменяет, маскирует внутреннюю сеть IP-адресом роутера. Поэтому сеть будет недоступна. IPsec-соединение там устанавливается автоматически. Например - На стороне микротика: /interface ipip add allow-fast-path=no comment="IPIP tunnel" ipsec-secret=secret_key keepalive=10s,3 local-address=1_Local_White_IP name=Name_of_interface remote-address=2_Remote_White_IP /ip address add address=172.16.1.2/30 comment="Address for Name_of_interface interface" interface=Name_of_interface network=172.16.1.0 На стороне кинетика как-то так: (config)> interface IPIP0 (config-if)> tunnel destination 1_Remote_White_IP (config-if)> ip address 172.16.1.1 255.255.255.252 (config-if)> ipsec preshared-key secret_key (config-if)> up (config-if)> exit (config)> no isolate-private secret_key должен быть и там, и там одинаковый. После этого у вас должен создаться ipip-туннель over ipsec. Появятся два интерфейса. На стороне mikrotik - Name_of_interface (может быть произвольным), на стороне Keenetic - IPIP0. Дальше можно прописать маршруты на обоих устройствах в удаленные сети через эти интерфейсы.

Со стороны микротика кроме собственно настроек IPsec больше ничего не делали? В микротике, как я помню, надо было создавать разрешающее srcnat правило из одной сети в другую, для обхода маскарадинга... И наверное вам будет таки проще настроить ipip over ipsec.

А как настраивали-то? Чистый туннель IPsec, или что-то over IPsec?

Так и надо писать прямо так, буквально как написано, "limit", словом. А не цифрами. Это все параметры и их значения команды iptables. Например --limit - это параметр. А параметра --40 там не существует. Читайте документацию по iptables.

Вы вот это где взяли? И чего хотите добиться?

Голосуйте в той теме, может быть прислушаются.

Посредством самого маршрутизатора, его ПО, это не реализуемо. Я просил в МСЭ добавить списки IP-адресов. Имея такие списки можно было бы реализовать правила блокировки множественных адресов и подсетей, но разработчикам, очевидно, это не нужно. Устанавливайте Entware, там есть функционал IPset. Ну и помните, что от грамотно организованной именно DDOS (то есть распределенной атаки) роутер не спасет.

GPON?

Я привел информацию из Wikipedia, она общедоступна, находится за пару секунд, для этого в любом поисковике надо просто ввести #!. Вот так. Каких именно? Написание скриптов - это слишком обширная тема, придется тратить много времени и приводить очень много ссылок. В Unix/Linux существует очень много разнообразных интерпретаторов, на языках которых можно писать скрипты. Это и разнообразные оболочки-shell (bash, sh, tcsh, ksh, zsh и другие), и интерпретируемые языки программирования (python, perl, php, ruby - это только самые известные из них). Скрипты на shell могут содержать много строк, часть из которых содержит команды самого shell, а часть - команды операционной системы Unix/Linux, которые всегда присутствуют в ней либо в виде сборки busybox (набор команд для встраиваемых систем, обычно это одна программа и куча символических ссылок на нее), либо в виде отдельных приложений. Можно писать интерактивные приложения, можно писать скрипты автозагрузки, скрипты для автоматизации вашей деятельности. Написание программ на скриптовых языках - это тема для многих и многих весьма объемных томов. Хотите найти как писать скрипты на bash - ну так и пишите в поисковике "bash скрипты". Скрипты для автозапуска демонов в системе могут писаться с использованием некоторых соглашений, проверок, переменных среды. При этом хорошо бы руководствоваться здравым смыслом. Если вам для запуска вашего приложения будет достаточно одной строки - путь/до/приложения/приложение -некие -параметры -приложения и оно не требует корректного завершения (то есть, например, не пишет информацию ни в какие файлы), то зачем городить огород? Достаточно будет этой одной строчки. Если нужны корректные start/stop скрипта - то для этого надо вводить проверки текущего состояния приложения. Лучше проанализировать как созданы уже имеющиеся скрипты, использовать их в качестве примеров. Без этих проверок ваши команды не имеют смысла, ваш скрипт содержит только одну строку для запуска приложения, которая всегда выполняется, независимо от параметров stop и start. Это и приводит к появлению ошибки Error: Address already in use так как приложение уже работает и занимает сокет.

#! - после этого так называемого шебанга ставится программа-интерпретатор скрипта. Скрипт может быть написан на bash, тогда строка примет вид #!/bin/bash или на perl, тогда строка будет такой #!/usr/bin/perl Иными словами, если у скрипта есть права на запуск, то при его запуске загрузчик анализирует эту строку и передает скрипт на исполнение интерпретатору, указанному в этой строке. Строка PATH=/opt/bin:/opt/sbin:/sbin:/bin:/usr/sbin:/usr/bin инициирует переменную окружения PATH для этого скрипта. Эта переменная есть и в Windows, если вы давно пользуетесь этой системой, то могли сталкиваться с ней. Эта переменная описывает пути, где нужно искать исполняемые файлы - программы и скрипты. Эта информация есть в общем доступе и легко находится поиском. Наличие высшего образования подразумевает умение самостоятельного поиска информации, умение ее анализировать, выявление ложной информации, поиск первоисточников. Таким образом, если у вас есть высшее образование, и вы задаете подобные элементарные вопросы, это вполне можно расценить как попытку троллинга.

У вас над графиком написано "CPU Load Percent", а под ним - единицы "(%) CPU Load".

Как загружает? У вас ось Y - это загрузка процессора в процентах. То есть, судя по графику, загрузка процессора составляет всего 0,5%.

Конечно. Активируйте только те, которые вам нужны. Если строка закомментирована, работает значение по умолчанию, как правило оптимальное.

Решетка делает строку конфига комментарием. Естественно, чтобы эта строка работала, символ комментирования надо удалить в ее начале, это касается и любых других строк в конфиге.

Нет. Можете показать скриншот настройки прокси в браузере?

Strace хорош, когда приложение крэшится, падает. Он может помочь понять причину падения, например показать, что нехватает какой-либо библиотеки, либо она есть, но находится в другой директории, возможные неправильные права на файлы и каталоги, к которым обращается приложение, и так далее. Использовать его просто - после команды strace пишете имя программы или скрипта запуска, stracе построчно будет показывать этапы загрузки этой программы. Вам strace вряд ли поможет, сквид у вас запускается (это можно увидеть программой ps), и слушает заданный вами порт (это можно увидеть программой netstat) Вы вот на что обратите внимание - какие протоколы (http, https) не работают в сквиде, какие настройки прокси-сервера вы сделали в вашем браузере.

Лично у меня этот squid заработал нормально, после указания порта, на котором слушать запросы. Единственно что - по умолчанию он не видит файл /opt/etc/squid/mime.conf - поэтому делаем или chmod 644 /opt/etc/squid/mime.conf, либо chown nobody /opt/etc/squid/mime.conf . Да, и с первого раза он не останавливается, надо два раза запустить скрипт /opt/etc/init.d/S22squid с параметром stop.

Естественно нет, порт каждый устанавливает сам, по своему усмотрению, порт по умолчанию может быть использован другими приложениями. Вы вообще хотите настроить сквид, или нет? Почему игнорируете мои вопросы? Диапазон вашей локальной сети действительно 192.168.0.0/24? Я больше полутора десятков лет администрирую Linux-серверы, в том числе настраивал и Squid. Умерьте пыл, с отвечайте на вопросы, если хотите помощи.

Я к тому, что он вам нужен, вы и читайте документацию и ищите в интернете примеры настройки. Пакеты во всех дистрибутивах обычно поставляются с настройками по умолчанию, коль скоро вы взялись это установить - вам это и настраивать под ваши условия. Сеть дома у вас 192.168.0.0/24? Если вы комментируете какие-то настройки, то применяются настройки по умолчанию, они далеко не всегда оптимальны. Если прописано то должно быть так - http_access allow localnet http_access deny all

Ну это... Кому нужен прокси? Мне вроде нет, я и без него справляюсь. Давайте конфиг. И еще - вам принципиально ставить именно squid? Это сложная система, ее надо настраивать, что довольно-таки нетривиально.

То есть ни различные acl, ни cache_dir, ни memory_pools, ни http_access не настраивались? Что содержат эти директивы?

А вы в настройках сквида ограничились только указанием порта? Что-то еще настраивалось?