HuduGuru
-
Posts
51 -
Joined
-
Last visited
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by HuduGuru
-
-
fake-hwclock для сохранения времени использует команду date с ключём -u, т.е. время сохраняется как UTC (от московского это -3 часа).
При восстановление тоже используется ключ -u, но время при этом восстанавливается без учёта часового пояса, т.е. те же -3 часа от московского.Рекомендация в больших Linux-ах - время в аппаратных часах должно быть UTC, а "программное время" - в соответствии с локалями.
Как это соблюсти пока не придумал, просто убрал ключи -u в сценарии fake-hwclock для порядка. -
В наборе пакетов OPKG появился пакет chrony (демон chronyd) - альтернатива NTP, в настоящее время рекомендованная к применению в "больших" Linux-ах вместо ntp. В частности, chronyd, в отличие от NTP:
- не умирает молча, обнаружив слишком большое отклонение времени, а пытается исправить ситуацию;
- работает в ситуациях, когда порт 123 закрыт для исходящих запросов (т.к. для своих запросов использует непривилегированные порты, а в ntp порт 123 для исходящих запросов зашит жёстко).
Установка стандартная (перед установкой не забудьте удалить ntp, если он был установлен):
opkg install chrony
Может запускаться с настройками "по умолчанию" без конфигурационного файла. Примеры конфигурационных файлов лежат в каталоге /opt/etc/crony, сам конфигурационный файл с именем /opt/etc/chrony/chrony.conf при необходимости нужно создать (можно скопировать и исправить какой-нибудь из примеров).
При установке не создаётся юнит для атоматического запуска, при необходимости создать вручную например файл /opt/etc/init.d/S78chronyd:
#!/bin/sh ENABLED=yes PROCS=chronyd ARGS="" PREARGS="" DESC=$PROCS PATH=/opt/sbin:/opt/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin . /opt/etc/init.d/rc.func
и не забыть сделать созданный файл исполняемым:
chmod +x /opt/etc/init.d/S78chronyd
Ошибки после запуска
Wrong permissions on /opt/var/run/chrony Disabled command socket /opt/var/run/chrony/chronyd.sock
лечатся удалением каталога /opt/var/run/chrony - он будет создан автоматически с нужными правами доступа при следующем запуске (или права поменять на 750 и перезапустить).
Ошибка
Could not open temporary driftfile /var/lib/chrony/drift.tmp for writing
лечится исправлением значения параметра driftfile в конфигурационом файле на /opt/var/lib/chrony/drift.tmp и созданием этого каталога /opt/var/lib/chrony/.
Проверить состояние сервиса и качество синхронизации времени можно командой chronyc (интерфейс командной строки, входящий в пакет chrony), см. документацию в Интернет.
- 3
-
11 минуту назад, vasek00 сказал:
Включил dnscrypt-proxy2 проверку на "счет виновника" и не нашел нечего :
/opt/etc/init.d # netstat -ntulp | grep dnscrypt-proxy tcp 0 0 192.168.1.1:53 0.0.0.0:* LISTEN 2355/dnscrypt-proxy tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 2355/dnscrypt-proxy udp 0 0 192.168.1.1:53 0.0.0.0:* 2355/dnscrypt-proxy udp 0 0 127.0.0.1:53 0.0.0.0:* 2355/dnscrypt-proxy /opt/etc/init.d #
Да, у меня это выглядело примерно так же, а трафик был.
Важный нюанс я, однако, забыл упомянуть в первом сообщении: у меня роутер с белым адресом в Интернете торчит.
-
В 10.02.2020 в 19:14, Albram сказал:
Сегодня нашел причину "дыры" описанной мной в этой теме ранее
Напомню: DNS сервер откликался на запросы снаружи на udp/53 на внешний адрес кинетика. Firewall включен, nmap не показывал этот порт открытым. Обходным решением тогда оказалось, как ни странно, указание в настройках dnscrypt-proxy2 слушать на любом порту, вместо 127.0.0.1:53 и 192.168.1.1:53, как было у меня раньше. При этом, при внешних запросах, ответов от dns сервера не было (на внешнем клиенте был таймаут ответа от сервера), но в активных подключениях кинетика всё равно появлялось это соединение.
Обнаружил у себя аналогичную проблему - огромный исходящий трафик, видимый в странице "Системный монитор" в WEB-интерфейсе. Методом исключения нашёл виновника: dnscrypt-proxy2. Нашел эту ветку на форме. Никакие указанные здесь команды типа "tcpdump port 53 -n -nn -v" никакого ненормального трафика не показывают, показывает только "Системный монитор". После чтения темы добавил через WEB-интерфейс "первыми" два правила запрета входящих пакетов на 53-й порт: 1) для TCP и 2) для UDP. Исходящий трафик исчез.
-
Giga II в списке совместимости нет. Тоже всё?
-
В 28.03.2018 в 12:50, gamych сказал:
Как долго должна длиться работа скрипта? Уже четвёртый час пошёл, как точки с плюсами по экрану бегут. Может что-то пошло не так?
Для ускорения генерации ключей рекомендую перед запуском скрипта ставить пакет haveged - генератор энтропии.
opkg install haveged
/opt/etc/init.d/S02haveged start -
Восстанавливаю Entware, пара копеек про установку dnscypt-proxy2 на "чистую" систему:
Для того, чтобы блэклисты нормально скачивались, сначала нужно установить пакет ca_certificates:
opkg update && opkg install ca_certificates- 1
-
На всякий случай моя копеечка:
Для меня появление в логах сообщения
"PPTP0": unexpectedly stopped.
крайние несколько лет обозначает, что у провайдера Интернет на клиенте закончился оплаченный период.
Проверяю баланс, закидываю денег провайдеру, и проблема решается.Клиентом была Giga, сейчас Omni
Сервером была Omni, сейчас Giga II, всё прошито самым свежим.Картина от перестановки устройств и смены прошивок не менялась: денег провайдеру, и проблема решается.
Поясняю: провайдер, когда заканчивается оплаченный период, снижает скорость подключения.
Не отключает совсем, а просто режет скорость до практической неработоспособности всего подключенного.
И, в частности, в Зухелях это снижение скорости проявляется описанной выше диагностикой.- 1
- 1
-
12 часа назад, ankar84 сказал:
Файл opennic.md создался рядом с файлом конфига?
Вроде заработало.
-
В 05.06.2018 в 19:33, ankar84 сказал:
[sources.'opennic'] url = 'http://download.dnscrypt.info/resolvers-list/v2/opennic.md' minisign_key = 'RWQf6LRCGA9i53mlYecO4IzT51TGPpvWucNSCh1CBM0QTaLn73Y7GFO3' cache_file = 'opennic.md' format = 'v2' refresh_delay = 24 prefix = ''
После замены sources на opennic всё перестаёт работать.
-
После обрыва VPN-соединения VPN-сервер не позволяет клиенту автоматически переподключиться, заявляя в логе, что соединение с этим клиентом уже установлено.
Клиент - другой Zyxel Keenetic.
Да, в настройках сервера стоит запрет повторных подключений, и убрать его не могу, так как тогда клиенту не будет выдаваться постоянный адрес.Лечится, конечно, выключением-включением VPN-сервера.
Наблюдалось и раньше, в более старых прошивках, просто руки дошли написать.
Что-то можно с этим сделать?
-
4 часа назад, Le ecureuil сказал:
Если я правильно все понял, то это из-за того, что security-level у Home - private.
Дело в том, что DNAT с интерфейсом в ip static работает только если у входящего интерфейса security-level == public (то есть ISP, PPP*, еще что). А для приватных и защищенных интерфейсов нужно прописывать именно сеть источника.
Спасибо А какую-то документацию про эти знания можно где-то посмотреть?
Просто, чтобы меньше наступать на разложенные грабли.А в ВЭБ-морде запретить выбирать неработающие варианты - никак?
А в лог писать причину отказа - тоже нет? -
С динамическим DNS (это не KeenDNS), похоже, разобрался - мой косяк.
Но правило "home" не работает в локалке, и DNS тут вроде не при чём:
ip static tcp Home номер_порта MAC 22 !SSH - правило не работает
ip static tcp 192.168.1.0 255.255.255.0 номер_порта MAC 22 !SSH - правило работает
-
Ага, пинг по имени не работает, а по статическому адресу - работает. После перезаписи правила - немножко работает по имени, потом перестаёт.Как-то так это выглядит.
-
Опять проблемы с определением IP для динамического DNS.
Что-то такое уже было, менял галку в "Automatically detect my IP address".
Но я её с тех пор не прогал, а опять адрес выдаётся неправильный.
Там какой-то не очевидный смысл у этой галки.Поменял галку обратно, продолжаю наблюдение.
-
6 часов назад, Equalizer сказал:
Пересохраните правило, мне помогло
Действительно, с пингом помогло. И что, после каждой перезагрузки все правила пересохранять?
-
По-моему, перестали нормально работать firewall и forwarding.
ip static tcp Home номер_порта MAC 22 !SSH - правило не работает
ip static tcp 192.168.1.0 255.255.255.0 номер_порта MAC 22 !SSH - правило работает
При включенном правиле
access-list _WEBADMIN_ISP
permit icmp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0пинги по внешнему интерфейсу не отдаются,
проброс портов с внешнего интерфейса тоже перестал работать:
ip static tcp ISP номер_порта MAC !SSH
-
2.13.A.1.0-1 - не работает кнопка "Install the update", после нажатия ничего не происходит.
-
Перезагрузился через reboot в Entware, после перезагрузки заработали Telnet и WEB-морда.
Все права пользователей на месте, просто примерно за неделю аптайма система деградирует до такого состояния.
Обновился на 2.12.B.1.0-4
-
Телнет входит, но команды не выполняет,
SSH входит только через WEB-морду, команда ndmq ничего не пишет, сама Энтварь пока работает нормально.
Samba, или чем там файлы по сети расшариваются, отвалилась.
Интернет работает, VPN-клиент подключен нормально.
Логи пишутся в сислог Энтвари на флешку, в логах из любопытного только netdata (почему-то со сбитой на ноль тайм-зоной, -3 часа) ругается на потерянный heartbeat.
Если логи надо кому - обращайтесь.
Перезагружать пока не буду - Инет есть, и ладно.
-
Возможно, только права какие-либо после крайнего обновления я не выставлял, всё вставлено давным-давно.
Причем, если у пользователя нет прав - то что мешает об этом сообщить? Но не происходит ничего.
-
Добрый день,
Не могу войти в web-интерфейс.
Только работающая форма запроса логина/пароля, после ввода ничего не происходит.
Всё остальное работает нормально.Ubuntu, Firefox и Opera.
Скрытый текстrelease: 2.12.B.1.0-1
arch: mipsndm:
exact: 0-19d49d6
cdate: 18 Jun 2018bsp:
exact: 0-14179ba
cdate: 18 Jun 2018ndw:
version: 1.1.1
features: wifi_button
components: acl,adguard-dns,base,cifs,config-client,
config-repeater,corewireless,ddns,dhcpd,dlna,dpi,eoip,
fat,ftp,gre,hfsplus,igmp,ip6,ipip,ipsec,l2tp,miniupnpd,
monitor,nathelper-ftp,nathelper-h323,nathelper-pptp,
nathelper-rtsp,nathelper-sip,netflow,ntfs,openvpn,opkg,
opkg-kmod-audio,opkg-kmod-dvb-tuner,opkg-kmod-fs,opkg-
kmod-netfilter,opkg-kmod-netfilter-addons,opkg-kmod-tc,
opkg-kmod-usbip,opkg-kmod-video,pingcheck,ppe,pppoe,pptp,
ssh,storage,trafficcontrol,transmission,udpxy,usb,usblte,
usbmodem,usbnet,vpnserver,vpnserver-l2tpmanufacturer: ZyXEL
vendor: ZyXEL
series: Keenetic series
model: Keenetic
hw_version: 15620000-B
hw_id: kng_rb
device: Keenetic Giga II
class: Internet Center -
ndmq -x -p "more flash:startup-config" | sed -e "/^[[:space:]]*<.*>[[:space:]]*$/d"
-
Затем, что одним клиентам нужен фикс, а другим - множественный вход.
И что сохранять? Привязка если есть - её в любом случае сохранять, адрес перед выдачей всё равно проверять, не выдан ли он ранее.
chrony (chronyd) - сервер времени
in Каталог готовых решений Opkg
Posted
Добавочка:
С дефолтными настройками chronyd работает только как клиент.
Чтобы он начал работать как сервер времени (т.е. отвечал другим клиентам на запросы), нужно
allow
или подробнее см. man chrony.conf в Интернете