Jump to content

Денис Илютин

Forum Members
  • Posts

    15
  • Joined

  • Last visited

Everything posted by Денис Илютин

  1. Возникла необходимость сделать следующее: * Создать три группы подключаемых устройств - две для зарегистрированных и одну для всех незарегистрированных. * Выдать группам разные квоты траффика на день/месяц на всю группу. (скажем, 500 Мб, 50 Мб, неограниченно) * По достижении ими этой квоты отключать доступ в интернет до сброса квоты. Основное в этом списке - выставление квот и отключение доступа во внешнюю сеть по их достижении. Группы - дополнительная плюшка. Методом "из коробки" не нашел как это сделать. Стоит Optware, версия прошивки 2.07, но в optware в списке пакетов тоже не увидел. Прошу ткнуть носом в инструменты с помощью которых можно это сделать.
  2. Ладно, сделал костыльно, Rsh-запрос отправляется с другого устройства локальной сети, которое 24/7 работает.
  3. Проблема в том, что ipcad использует именно rsh. Тогда вопрос чем считать, если не ipcad-ом, если netflow в entware используют только ipcad и fprobe
  4. Собственно, в чем дело. Появилась необходимость мониторить сетевую активность через шлюз. Для этих целей идеально подходил ipcad, который распространяется в entware, все прекрасно. Установил на тестовой машине, попробовал - все работает, вся статистика выгружается так, как нужно, в общем чудо, а не программка. Установил на keenetic, скопировал конфиг, изменив интерфейсы и настройки агрегации. Он даже, вроде как, запускается: /opt/etc # ipcad -c ipcad.conf -rds Opening lte*... [LCap] [DYNAMIC] Initialized as 0 Aggregate network 192.168.1.0/255.255.255.0 -> 255.255.255.255 Aggregate network 192.168.3.0/255.255.255.0 -> 255.255.255.255 Aggregate network 192.168.137.0/255.255.255.0 -> 255.255.255.255 Aggregate network 0.0.0.0/0.0.0.0 -> 255.255.255.0 Configured RSH Server listening at 127.0.0.1 Can't open dump file /opt/var/log/ipcad/ipcad.dump /opt/etc # Daemonized. Дамп файла еще нет, поэтому и не может. Но никакие запросы передать rsh я не могу: /opt/etc # rsh localhost dump -sh: rsh: not found И вроде бы ясно, что говорит об отсутствии rsh команды, да и поиск об этом говорит: # find / -name "*rsh*" /proc/sys/net/ipv4/igmp_max_memberships /sys/devices/virtual/net/br0/bridge/multicast_membership_interval /sys/devices/virtual/net/br1/bridge/multicast_membership_interval Вот только откуда ее взять - ума не приложу. Заранее спасибо за наводящие советы. Если вдруг пригодится - конфиг ipcad:
  5. Всем спасибо, все заработало. Действительно, основных правил было достаточно. После добавления строчки iptables -t nat -A POSTROUTING --dst 192.168.137.0/24 -p tcp -j SNAT --to-source 192.168.1.1 в роутер основной сети (где сервер), трафик из внешней сети пошел.
  6. Вопрос еще в одном. Проблема внешней недоступности в правилах файервола, как я понял. Но если для родных интерфейсов кинетика можно настроить межсетевой экран из веб-интерфейса, то тут - только через iptables, как я понимаю. Ситуация: Если я выхожу с компа 192.168.1.203 (подсеть сервера) - веб-интерфейс кинетика открыт. Если выхожу из удаленной сети - нет. Какие правила прописать, чтобы заработало? Пробовал на роутере 192.168.1.1 маскарадить запросы - не вышло.
  7. А вот это помогло! Скрипты применяются, в логах ругани нет.
  8. Насчет во-первых сделал, ничего не поменялось. Насчет во-вторых: ~ # find / -name "iptables" /usr/lib/iptables /usr/sbin/iptables Но ни так, ни так не работает. Поставил полностью ваш скрипт (кроме путей к iptables, которых он не находил), на выходе ~ # /opt/etc/ndm/netfilter.d/051-openvpn-iptables.sh /opt/etc/ndm/netfilter.d/051-openvpn-iptables.sh: line 1: /opt/root: Permission denied /opt/etc/ndm/netfilter.d/051-openvpn-iptables.sh: line 11: /opt/root: Permission denied /opt/etc/ndm/netfilter.d/051-openvpn-iptables.sh: line 12: /opt/root: Permission denied /opt/etc/ndm/netfilter.d/051-openvpn-iptables.sh: line 13: /opt/root: Permission denied /opt/etc/ndm/netfilter.d/051-openvpn-iptables.sh: line 14: /opt/root: Permission denied На кинетике серый IP - это раз. Из локальной сети сервера кинетик я вижу - это два. Да, на кинетике клиент.
  9. Так. Проблема видимости локализована, ибо из локалки сервера веб-интерфейс keenetic открывается. Так что да, вы правы - там надо в таблицах маршрутизации смотреть. А вот вопрос с SegFault открыт. Дописал #/opt/bin/sh вначале и пути "/usr/sbin/iptables"/. Теперь это выглядит так: # /opt/bin/sh /usr/sbin/iptables -A INPUT -p tcp -i br0 --dport 1:13000 -j ACCEPT /usr/sbin/iptables -A INPUT -i tun0 -j ACCEPT /usr/sbin/iptables -A POSTROUTING --table nat -s 192.168.3.0/24 -o br0 -j MASQUERADE /usr/sbin/iptables -A OUTPUT -j ACCEPT /usr/sbin/iptables -A FORWARD -o tun0 -j ACCEPT /usr/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT /usr/sbin/iptables -A FORWARD -i tun0 -o br0 -m state --state NEW -j ACCEPT Однако лог точно такой же как в первом сообщении.
  10. Еще tracelog до двух портов 12345 (работает подключение, проброс на устройство в локалке) и 11111 (не работает, openvpn->keenetic морда). Очень извиняюсь за то, что картинками. порт 12345 порт 11111
  11. Извиняюсь, сейчас подправлю оформление. А насчет ошибки, вот же, под первым катом строка 1, 4 и т.д.: Opkg::Manager: /opt/etc/ndm/netfilter.d/051-openvpn-iptables.sh: Segmentation fault. Да и exit code 139 - Segfault, насколько я знаю.
  12. Продолжение из http://forum.keenetic.net/topic/61-правила-iptables-для-openvpn/?do=findComment&comment=11451 Лог в прикрепленном файле При этом если запускаешь вручную (sh 051-openvpn-iptables.sh) - все в порядке. Содержание скриптов: Если не запускать - пинга до кинетика с сервера нет. Запуск filter.sh этого не меняет. Запуск 051-openvpn-iptables.sh - дает пинг. iptables: Таблицы маршрутизации: 192.168.1.0/24 - локалка, где находится сервер(192.168.1.5) 192.168.137.0/24 - локалка, где находится клиент(192.168.137.1) 192.168.3.0/24 - VPN-локалка.(192.168.3.1-сервер, 192.168.3.4 - клиент) P.S. Был вопрос про проброс - это в локальной сети сервера. log.txt
  13. На этот топик натыкался, но безуспешно. Сейчас еще раз перезабил, все равно. Дабы не быть голословным. Сервер openVPN расположен на 192.168.1.5. Пинг с произвольного устройства сети сервера и traceroute: На роутере прописан проброс 80 порта при обращении на порт 11111 (порты ниже 1000 блокирует провайдер, а 8080 занят): Запрашиваем страничку: Такие дела. P.S. и еще, у меня постоянно ругается на Segmentation fault скрипты файервола, как уйти от этого?
  14. Увы, не сработало. Видимо, поэтому Opkg::Manager: /opt/etc/ndm/netfilter.d/filter.sh: /opt/etc/ndm/netfilter.d/filter.sh: line 4: /opt/sbin/iptables: not found. Sep 29 21:54:17ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/filter.sh: /opt/etc/ndm/netfilter.d/filter.sh: line 5: /opt/sbin/iptables: not found. Sep 29 21:54:17ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/filter.sh: /opt/etc/ndm/netfilter.d/filter.sh: line 6: /opt/sbin/iptables: not found.
  15. Вечер добрый! Второй день бьюсь, не могу ничего придумать. На кинетике крутиться openVPN-клиент, сервер замечательно пингует как внутреннюю, так и локальную сеть, в обратную сторону все тоже работает. Однако не могу зайти на веб-морду кинетика с внутренней сети сервера (хотя, повторюсь, пинг проходит). Дано: tcp, tun соединение, интерфейс везде tun0. Правила iptable для кинетика: насобирал из разных тем. Сеть OpenVPN 192.168.3.0/24, адрес keenetic - 192.168.3.6 Сеть Keenetic - 192.168.137.0/24, адрес кинетика 192.168.137.1 соответственно. Скрипт в папке netfilter.d, chmod +x выполнен, прошивка официальная v2.07, пакет entware3 -> openvpn-openssl.
×
×
  • Create New...