Jump to content

gaaronk

Forum Members
  • Posts

    274
  • Joined

  • Days Won

    3

Everything posted by gaaronk

  1. Оно работает так Chain _NDM_STATIC_SNAT (1 references) num pkts bytes target prot opt in out source destination 4 0 0 SNAT all -- * ppp0 10.0.10.0/30 0.0.0.0/0 ndmmark match 0x4/0x4 to:x.x.x.x Что верно. Я не помню переделывали ли логику netfilter в кинтетиках, но в стандартом линуксе в этой цепочке нельзя делать match по входному интерфейсу. Поэтому тут надо явно задавать сети. А вот тот то оно добавляет сети в DNAT - в том и печаль.
  2. Ну да, как тут правильно отписали ip static <in-iface> <out-iface> еще в source добавляет сеть прибитую к интерфейсу. Я проблему подпер костылем - делаю NAT по нужным условиям на другом конце туннеля. Там просто линукс. Использовать руки Opkg тоже невозможно =(
  3. Вот это "network соответствует интерфейсу c уровнем безопасности public" крайне расплывчато. Назначена на интерфейсе? Маршрутизируется в интерфейс? Непонятно но что что значит public. Да и потом. О какой сети/интерфейсе идет речь? Для команды ip static 192.168.0.0 255.255.0.0 PPPoE0 Мы говорим про 192.168.0.0 255.255.0.0 или про PPPoE0 ?
  4. Сеть 192.168.0.0/16 не соответствует никакому интерфейсу. Она маршрутизируется в сторону интерфейса Wireguard0. На нем стыковочный адрес с маской /30. Он private interface Wireguard0 description VPN security-level private ip address 10.0.10.2 255.255.255.252 ip mtu 1400 ip tcp adjust-mss pmtu wireguard listen-port x.x.x.x wireguard peer <key> endpoint x.x.x.x:yyy keepalive-interval 10 preshared-key <key> allow-ips 0.0.0.0 0.0.0.0 ! up ! ip route 192.168.0.0 255.255.0.0 10.0.10.1 Wireguard0
  5. Добрый день! Что то никак не могу решить задачу через web-ui или cli. Для сети 192.168.0.0/16 (доступной через туннель) при выходе в интернет и только туда, надо делать SNAT в адрес интерфейса. Для пример - команда CLI ip static 192.168.0.0 255.255.0.0 PPPoE0 прописывает не только SNAT, но и DNAT правило типа такого Chain _NDM_STATIC_DNAT (1 references) num pkts bytes target prot opt in out source destination 1 8 512 DNAT all -- * * 0.0.0.0/0 192.168.0.0/16 to:1.9.5.31 Что совсем мешает жить и работать
  6. Есть DUO с 3.5.6 GRE туннель, который потом шифруется IPSec в ручном режиме. Ping-check привязанный к другому адресу туннеля, и маршрут со свойством auto Примерно так ping-check profile ipsec-gre host 192.168.10.21 update-interval 3 mode icmp min-success 3 max-fails 3 timeout 3 ip route 192.0.2.0 255.255.255.0 192.168.10.21 Test auto interface Gre1 rename Test security-level private ip address 192.168.10.22 255.255.255.252 ip mtu 1400 ip tcp adjust-mss pmtu ping-check profile ipsec-gre ipsec ignore tunnel source PPPoE0 tunnel destination x.x.x.x up Когда туннель в up, все отлично. Если туннель падает, то интерфейс переходит в состояние "connected: no", маршрут из таблицы маршрутизации уходит. Но при этом процесс ndm начинает есть 50% CPU и весле лог забивается записями C [Jan 14 15:29:25] ndm: Network::Util::Route4: system failed [0xcffd025a]. C [Jan 14 15:29:25] ndm: Network::Util::Route4: system failed [0xcffd0407]. C [Jan 14 15:29:25] ndm: Network::Util::Route4: system failed [0xcffd025a]. C [Jan 14 15:29:25] ndm: Network::Util::Route4: system failed [0xcffd0407]. C [Jan 14 15:29:25] ndm: Network::Util::Route4: system failed [0xcffd025a]. C [Jan 14 15:29:25] ndm: Network::Util::Route4: system failed [0xcffd0407]. C [Jan 14 15:29:31] ndm: Network::Util::Route4: system failed [0xcffd025a]. C [Jan 14 15:29:31] ndm: Network::Util::Route4: system failed [0xcffd0407]. C [Jan 14 15:29:31] ndm: Network::Util::Route4: system failed [0xcffd025a]. C [Jan 14 15:29:31] ndm: Network::Util::Route4: system failed [0xcffd0407]. C [Jan 14 15:29:31] ndm: Network::Util::Route4: system failed [0xcffd025a]. C [Jan 14 15:29:31] ndm: Network::Util::Route4: system failed [0xcffd0407]. Есть правда маршруты добавленные через shell ip route replace blackhole 10.0.0.0/8 ip route replace blackhole 172.16.0.0/12 ip route replace blackhole 192.168.0.0/16 Есть маршруты которые добавляет bird
  7. Хорошая мысль, да. Проклятый Silicon Power. В помойку его.
  8. Товарищи учёные! У меня в подвале происходит подземный стук... Keenetic DUO. 3.5.6 Пять раз ставил entware. На разные разделы. Форматировал ext2, ext3, ext4. Линуксом и самим entware. Флешка 8 гиг, раздел создается размером в 1 гиг. Ставится пачка пакетов. Занято порядка 40 мегабайт. Все хорошо. пакеты ставятся, все конфигурируется. Команда sync отрабатывает.В логах чисто. Каждый раз после смены перезагрузки файловая система разлетается на куски. Директория etc читается частично. Внезапно показывает занятого места 300-400 мегабайт Куча ошибок вида EXT4-fs error (device sda1): ext4_mb_generate_buddy:756: group 1, block bitmap and bg descriptor inconsistent: 30068 vs 30073 free clusters EXT4-fs (sda1): initial error at time 1610570814: ext4_lookup:1591: inode 15649 EXT4-fs (sda1): last error at time 1610573351: ext4_mb_generate_buddy:756 EXT4-fs error (device sda2): __ext4_new_inode:864: comm mkdir: reserved inode found cleared - inode=5 EXT4-fs error (device sda1): ext4_mb_generate_buddy:756: group 1, block bitmap and bg descriptor inconsistent: 29955 vs 29978 free clusters EXT4-fs error (device sda1): ext4_mb_generate_buddy:756: group 2, block bitmap and bg descriptor inconsistent: 32273 vs 32274 free clusters До ребута все хорошо. Делаешь sync - все хорошо. Перезагрузка и кранты.
  9. А скажите пожалуйста. В свежей прошивке 3.5.х этих строк уже нет. Только EIP93: AES acceleration registered EIP93: DES/3DES acceleration registered EIP93: CryptoAPI started (v 0.11, ring size: 256) Это нормально?
  10. Ох. Заголовок неверный. Так проблема только с HTTPS. Просто HTTP, ssh, telnet в тот же самый момент работают юзе проблем.
  11. Если такие вложенные замены можно делать, то конечно можно ужать. Я просто копипастил из linksys с конвертацией из его формата. Вопрос решится так же тем что цена трубка + донгл оказалось больше чем новый Panasonic TGP500 (удалось найти).
  12. Ну у меня специфические задачи. Мне гарное аппарате (dect или проводной) довести до asterisk, который и держит все линии и сам везде маршрутизирует. С учетом что звонки внутренние, офис, РФ, Украина, то пока вот так: 2xxx|8[3-9]xxxxxxxxx|71[027]x|715xx|7[2-5]xxxxxx|70[1-9]xxxxxxxx|0441[027]x|04415xx|0[1-9]xxxxxxxx|9xxxx|(81038>)0[1-9]xxxxxxxx|810xxxxxxxx.
  13. Обновил верси 3.1.12 до версии 3.4.6 на двух маршрутизатора Start и Giga III При доступе по HTTPS постоянная картина - web интерфейс не открывается какое то время, чего то ждет. Потом через пару минут - можно попасть в админку. Снял дам трафика. Начинается обычная TCP сессия, потом в какой то момент в пакетах от кинетика получаю TCP Spurious Retransmission. Дальше непрерывно DUP ACK и TCP Retransmission порядка минуты. Видно что броузер делает сессии reset и начинает заново. И сразу же DUP ACK и TCP Retransmission непрерывно. Снова рвет сессию и в третий раз все чудесно работает. Откатил на Giga III - все паузы ушли. Могу выложить dump трафика.
  14. В принципе я разобрался уже. Все равно сам сервер телефонии ограничивает. Такое развесистое правило набора нужно было для проводных телефонов где подняли трубку и жмем клавиши. что бы не ждать паузы - окончания набора номера, а набирать мгновенно. В DECT это не играет роли. номер набрали - зеленую кнопку нажали.
  15. Скажите пожалуйста, почему "Правило набора" ограничено всего ста символами? У меня правило не влезает =(
  16. А скажите, работа с iptables планируется к изменению? Версия 3.4.6 Вот простой скрипт #!/bin/sh [ "$table" != "mangle" ] && exit 0 echo `date` >> /tmp/mangle.tstmp exit 0 Вот вывод скрипта. Нормально и корректно добавить свои правила в таблицу mangle через хук реально невозможно. Или может есть вариант сказать прошивке что я хочу добавлять и она сама будет это вписывать при каждом передёргивании? Sun Jun 14 23:04:31 MSK 2020 Sun Jun 14 23:04:31 MSK 2020 Sun Jun 14 23:04:31 MSK 2020 Sun Jun 14 23:04:31 MSK 2020 Sun Jun 14 23:04:31 MSK 2020 Sun Jun 14 23:04:31 MSK 2020 Sun Jun 14 23:04:31 MSK 2020 Sun Jun 14 23:04:31 MSK 2020 Sun Jun 14 23:04:31 MSK 2020 Sun Jun 14 23:04:31 MSK 2020 Sun Jun 14 23:04:31 MSK 2020 Sun Jun 14 23:04:31 MSK 2020 Sun Jun 14 23:04:31 MSK 2020 Sun Jun 14 23:04:31 MSK 2020 Sun Jun 14 23:04:31 MSK 2020 Sun Jun 14 23:04:31 MSK 2020 Sun Jun 14 23:04:31 MSK 2020 Sun Jun 14 23:04:31 MSK 2020 Sun Jun 14 23:04:32 MSK 2020 Sun Jun 14 23:04:32 MSK 2020 Sun Jun 14 23:04:32 MSK 2020 Sun Jun 14 23:04:32 MSK 2020 Sun Jun 14 23:04:32 MSK 2020 Sun Jun 14 23:04:32 MSK 2020 Sun Jun 14 23:04:32 MSK 2020 Sun Jun 14 23:04:32 MSK 2020 Sun Jun 14 23:04:32 MSK 2020 Sun Jun 14 23:04:32 MSK 2020 Sun Jun 14 23:04:32 MSK 2020 Sun Jun 14 23:04:32 MSK 2020 Sun Jun 14 23:04:32 MSK 2020 Sun Jun 14 23:04:32 MSK 2020 Sun Jun 14 23:04:32 MSK 2020 Sun Jun 14 23:04:33 MSK 2020 Sun Jun 14 23:04:33 MSK 2020 Sun Jun 14 23:04:33 MSK 2020 Sun Jun 14 23:04:33 MSK 2020 Sun Jun 14 23:04:33 MSK 2020 Sun Jun 14 23:04:33 MSK 2020 Sun Jun 14 23:04:33 MSK 2020 Sun Jun 14 23:04:33 MSK 2020 Sun Jun 14 23:04:33 MSK 2020 Sun Jun 14 23:04:33 MSK 2020 Sun Jun 14 23:04:33 MSK 2020 Sun Jun 14 23:04:33 MSK 2020 Sun Jun 14 23:04:33 MSK 2020 Sun Jun 14 23:04:33 MSK 2020 Sun Jun 14 23:04:33 MSK 2020
  17. Ну это тоже ответ. Если фича нужна одному пользователю - смысла тратится на нее действительно нет.
  18. Хорошо. Насчет state я ошибся. Не проблема. Посмотрел не туда. Туда это вот - link: down. Не суть. Суть что пропадает маршрут, это да.
  19. Для того что бы в интерфейс пошел трафик, он стал link up, connected yes надо что бы трафик туда попал. Хост изнутри пингует дальнюю с сторону. Маршрута нет, и пинг идет не в интерфейс wireguard, а в дефолт. Нет трафика - нет маршрута. А нет маршрута - нет трафика.
  20. Изнутри инициируют соединение не в подсеть на интерфейсе, а сеть лежащую за интерфейсом. И это как раз проблема. Конечно пинги на стыковочные адреса работают.
  21. Как же не идет, когда идет? было state: up стало state: down Это никак не связанно с netfilter. Вообще никак. А трафик изнутри не пойдет. Нет маршрута в интерфейс. Да, это видимо внутрення логика - state стал down - убрали маршрут. Тут два варианта - обвешивать эту логику всякими if на предмет - это интерфейс Wireguard или нет. Или отключить выключение состояния интерфейса, что проще, как мне кажется.
  22. Ну тогда процитирую. PersistentKeepalive — a seconds interval, between 1 and 65535 inclusive, of how often to send an authenticated empty packet to the peer for the purpose of keeping a stateful firewall or NAT mapping valid persistently. Между пирами у меня нет ни NAT, ни stateful firewall.
  23. Нет, Keepalives это для пробития NAT. А тут оба пира на белых адресах. На кинетике когда нет хендшейка - интерфейс идет в down, и из таблицы попадает маршрут привязанный к этому интерфейсу. На linux - нет хендшейка и нет себе. Хочется по ряду причин не использовать keepalive. Трафик бегает в этом туннеле очень редко. И хочется объем трафика минимизировать по максимуму.
  24. А можно опцию для Wireguard интереса что бы не делать ему down, если не было хендшейка и не было трафика более 120 секунд?
  25. Читаю читаю документации и пытаюсь понять. Если у меня на роутере два GRE туннеля, то мне аналогично надо будет сделать два wireguarg интерфейса (каждый на своем listen port), каждый с одним пиром и AllowedIPs 0.0.0.0 ? Потому что я не могу создать один wg интерфейс, с адресом с маской /24 и несколькими пирами у которых AllowedIPs 0.0.0.0 ? Потому что заранее казать какие чета лежат за пиром невозможно, как маршрутизация ляжет. Как то так interface Wireguard0 description "VPN 1" security-level public ip address 172.16.1.1 255.255.255.248 wireguard listen-port 1501 wireguard peer 11111.... endpoint 1.1.1.1:1501 keepalive-interval 15 allow-ips 0.0.0.0 0.0.0.0 interface Wireguard1 description "VPN 2" security-level public ip address 172.16.2.1 255.255.255.248 wireguard listen-port 1502 wireguard peer 2.2.2.2.... endpoint 2.2.2.2:1502 keepalive-interval 15 allow-ips 0.0.0.0 0.0.0.0 Ну а дальше рулить маршрутизацией?
×
×
  • Create New...