gaaronk

Sunday at 04:27 PM

7 часов назад, middlegear сказал:

Буду благодарен за любой намёк куда копать дальше. Спасибо.

Поставить разные SSID для 2,4 и 5

April 19

2 часа назад, Oleg Nekrylov сказал:

В неконтролируемой сетевой активности zerotier, я об этом где-то в соседних темах писал. Если в IPSec у вас точка-точка, то в Zerotier, кто рулит хабом, тот рулит вашей сеткой, хотите вы этого или нет.

Ну если параноите - сделайте интересы ZeroTier level public и пускайте внутри него wireguard

April 9

4 часа назад, keenet07 сказал:
так не работает?
no ip nat wan
И прописать статический маршрут.

Так не работает. У кинетика вообще плохо с NAT'ом. Надо выключить nat на Home

no ip nat Home

и включить куда надо

ip static Home <внешний интерфейс 1>

ip static Home <внешний интерфейс 2>

April 8

2 минуты назад, r13 сказал:

@Le ecureuil Опять дискриминация! Дырка открыта в ipv4, в ipv6 закрыто

А вы как я сделайте...

system
    set net.ipv6.conf.all.forwarding 0
    set net.ipv6.conf.all.disable_ipv6 1
    set net.ipv6.conf.default.disable_ipv6 1

... и нет никакого IPv6

April 8

Если к отдельному хосту в сегменте protected или ко всему сегменту целиком применить политику Без доступа в Интернет, то доступ блокируется к такому хосту из других protected интерфейсов (VPN туннелей).

Например сегмент IoT переводим в Без интернет. И доступ в этот сегмент из доверенного Wireguard туннеля попадает. NAT везде выключен.

В iptables это хорошо видно… Тем есть правила - из сегмента, в сегмент. Для IoT там будет DROP.

А вот private туннельные интерфейсы в этой цепочке отсутствуют.

April 8

2 минуты назад, Le ecureuil сказал:

То есть, если выполнить no zerotier network-id, то запись пропадет, а если опять вступить в сеть, то не появляется?

Скорее так. Вносим в конфиг. Сохраняемся. Ребутаем роутер. После загрузки бридж интерфейс уже есть. И запись в арп тоже есть. А процесс зеротир еще даже не запускался. Потом он стартует. И когда переходит в состояние up (сам зеротир) то арп запись из таблицы попадает.

April 8

В 02.04.2024 в 17:10, Le ecureuil сказал:

Реализовано открытие порта и bind только на актуальный адрес.

Будет доступно уже в следующей 4.2.

Давайте проверим, возможно удастся обойтись и без команды.

Что еще заметил

Команда ip arp на зеротире не работает правильно.

При включении/ребуте статическая запись появляется, но потом видимо интерфейс меняет свой статус и все... все пропадает.

April 6

В 02.04.2024 в 17:10, Le ecureuil сказал:

Реализовано открытие порта и bind только на актуальный адрес.

Будет доступно уже в следующей 4.2.

Давайте проверим, возможно удастся обойтись и без команды.

Добрый день!

По быстрому проверил. Да, работает bind на интерфейс. Порт открывается.

По сути слушается стандартный порт 41500. Так же ZT слушает дополнительный рандомный UDP порт, но это дело такое.

Например

# netstat -anp | i zero
tcp        0      0 10.184.101.197:63916    0.0.0.0:*               LISTEN      1116/zerotier-one
tcp        0      0 10.184.101.197:41500    0.0.0.0:*               LISTEN      1116/zerotier-one
tcp        0      0 127.0.0.1:41500         0.0.0.0:*               LISTEN      1116/zerotier-one
tcp        0      0 ::1:41500               :::*                    LISTEN      1116/zerotier-one
udp        0      0 10.184.101.197:63916    0.0.0.0:*                           1116/zerotier-one
udp        0      0 10.184.101.197:41500    0.0.0.0:*                           1116/zerotier-one

Если интерфейсу сделать down - из firewall порт не убирается. Но опять же это не no interface .... а просто down.

Со сменой адреса на IP WAN интерфейсе отрабатывает корректно

April 4

12 минуты назад, vasek00 сказал:

Вы о чем, если поменять два канала интернет :

- PPPoE0 основной (Инет1 провод) и GigabitEthernet0/Vlan9 (Инет2 провод)

на

- GigabitEthernet0/Vlan9 основной и PPPoE резервный

и так же в настройках на "zerotier connect via PPPoE" то проблем с выходом по данному каналу нет, по крайней мере было проверено ранее на draft 4.1.

При моем использование ZT (подключение клиента к лок.сети роутера) как то по барабану, что он ZT на роутере слушает все интерфейсы, которые есть в системе.

В данной ветке теме описано применение команды "connect via ......".

я об этом

April 4

40 минут назад, vasek00 сказал:
Что еще вспомнил про Zerotier если есть настройки
interface ZeroTier0
    role inet
    security-level public
...
    zerotier connect via GigabitEthernet0/Vlan9
    up
то при подключении клиента ZT и например набираю speedtest то вижу IP от основного канала, хотя по show

Пока зеротир использует все существующие в системе интерфейсы. Я писал об этом, обещали исправить.

April 2

12 минуты назад, Le ecureuil сказал:

Реализовано открытие порта и bind только на актуальный адрес.

Будет доступно уже в следующей 4.2.

Давайте проверим, возможно удастся обойтись и без команды.

Спасибо! Проверю и отпишусь.

April 1

@Le ecureuil

И еще зеротир на старте слушает рандомный порт. Но этот порт не открывается на вход на WAN интерфейсах. И если другой узел стучится к нам напрямую - беда-печаль.

Приходится задавать статичные secondaryPort и tertiaryPort и их прописывать в ACL руками на вход в WAN интерфейс...

April 1

27 минут назад, Le ecureuil сказал:

А разве connect via не спасает?

Абсолютно не спасает

interface ZeroTier0
    security-level public
    ip dhcp client dns-routes
    ip access-group _WEBADMIN_ZeroTier0 in
    zerotier accept-addresses
    zerotier no accept-routes
    zerotier network-id ХХХХХХХХХХХ
    zerotier connect via PPPoE0
    lldp disable
    up
!

Слушает на всех IP на ВСЕХ интерфейсах

посмотрел WG туннель через

tcpdump -nvi nwg1 udp

Зеротир туда гонит трафик.

April 1

В 22.02.2024 в 22:04, gaaronk сказал:
Хорошо бы на интерфейсах по аналогии с командой ipsec ignore использовать команду zerotier ignore

И тогда linux имена интерфейсов добавлялись бы в /var/run/ztrun-ZeroTier0/local.conf (или другой номер интерфейса) в секцию
{
	"settings": {
		"interfacePrefixBlacklist": ["ezcfg0", "ngre1"]
	}
}

@Le ecureuil не посмотрите?

February 23

Ну или если мы делаем zerotier connect via PPPoE0

то можно и так в в /var/run/ztrun-ZeroTier0/local.conf

{
    "settings": {
        "bind": [ "<IP address>"]
    }
}

тут все параметры описаны

February 22

Ну и ezcfg0 туда по умолчанию

February 22

Хорошо бы на интерфейсах по аналогии с командой ipsec ignore использовать команду zerotier ignore

И тогда linux имена интерфейсов добавлялись бы в /var/run/ztrun-ZeroTier0/local.conf (или другой номер интерфейса) в секцию

{
	"settings": {
		"interfacePrefixBlacklist": ["ezcfg0", "ngre1"]
	}
}

January 13

exFAT не поддерживает права доступа

January 11

Ну вот вам надо создать ipset для российских сетей

в файлик /opt/etc/ipset/ipset.conf сначала строка

сreate russia hash:net family inet hashsize 1024 maxelem 1048576

потом 13 тыс ваших

add russia <адрес>

и потом в примере вместо 192.168.21.1 используйте дефолт вашего VPN

December 5, 2023

Что то типа такого

в файле

/opt/etc/iproute2/rt_tables

200     russia

в /opt/etc/ipset/ipset.conf

create russia hash:net family inet hashsize 1024 maxelem 1048576

в /opt/etc/iptables.raw

*raw
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:SET-MARK - [0:0]
:VPN-MARK - [0:0]
-A PREROUTING -i br0 -m state --state NEW -j VPN-MARK
-A PREROUTING -i br0 -m connmark --mark 0x777 -j CONNMARK --restore-mark --nfmask 0xffffffff --ctmask 0xffffffff
-A SET-MARK -j CONNMARK --set-xmark 0x777/0xffffffff
-A VPN-MARK -d 192.168.0.0/16 -j RETURN
-A VPN-MARK -d 10.0.0.0/8 -j RETURN
-A VPN-MARK -m set --match-set russia dst -g SET-MARK
COMMIT

делаете скрипт, и делаете его исполняемым

/opt/etc/init.d/S01system

PATH=/opt/bin:/opt/sbin:/sbin:/bin:/usr/sbin:/usr/bin

[ "$1" != "start" ] && exit 0

# iproute2

ip rule | grep -q russia

if [ $? -ne 0 ]; then
    ip rule add pref 200 from 192.168.0.0/16 fwmark 0x777 lookup russia
fi

# ipset

if [ -f /opt/etc/ipset/ipset.conf ]; then
        /opt/sbin/ipset -X
        /opt/sbin/ipset restore < /opt/etc/ipset/ipset.conf
fi

insmod /lib/modules/$(uname -r)/iptable_raw.ko

/opt/sbin/iptables -L -n -t raw | grep -q "VPN-MARK"

if [ $? -ne 0 ]; then
    /opt/sbin/iptables-restore -T raw < /opt/etc/iptables.raw
fi

ip route  default via 192.168.21.1 table russia

exit 0

Ну и пакеты поставить все необходимые.

Итого для каждой новой сессии для первого пакета мы смотрим в ipset, и на весь connection вешаем метку (и не гоним через ipset каждый пакет!)

Согласно метки ищем маршрут в таблице russia

А в этой таблице дефолт указан на ваш 192.168.21.1

А как уж наполнять ipset - динамически или один раз статически - сами решайте. В примере он пустой

December 5, 2023

Entware + маркировка пакетов по базе geoip или ipset с вашими сетями, а далее отдельная таблица маршрутизации и ip rule что бы маркированные пакеты в нее совало.

Вот та таком ipset - Number of entries: 151258 никаких тормозов нет

August 16, 2023

А можно наряду с delta, stable, beta и т.д. сделать канал oldstable?

Что бы можно было бы менять набор компонентов на предыдущей стабильной ветке?

То есть для 4.0.х oldstable - 3.9.8

May 19, 2023

А зачем вот этот wget и все остальное?

Можно же просто

ndmc -c show log once

March 3, 2023

Это врядли уберут. На эту логику с уровнями много что завязано.

March 3, 2023

Было бы хорошо иметь костыль в виде команды

ip network-private <CIDR>

Sign In

Profiles

Forums

Gallery

Downloads

Blogs

Events

Posts posted by gaaronk