qmxocynjca

Подтверждаю. Тоже развлекался вчера и пришёл к выводу что в opkg теперь по дефолту питон 3.11, а сборка HA от @TheBB рассчитана на 3.10. На этой волне пытался установить HA руками через pip, но всё оказалось тщетным, т.к. один из пакетов затребовал rust компилятор, чего на кинетике пока нет. Попытки подтянуть его через rustup-init ни к чему не привели, т.к. бинарники тулчейна mipsel-unknown-linux-gnu отказались запускаться. Решил дальше не копать и дождаться обновления HA для работы с питоном 3.11. @TheBB все надежды на вас

Вижу тут достаточно много пользователей этого чуда, собираюсь тоже попробовать в ближайшее время. Подскажите, на девайсах со 128 мб оперативки оно нормально крутится? Понятно что swap надо на флешке иметь, но вопрос - не будет ли оно всё время этот свап туда-сюда использовать и ресурс флешки подъедать каждый день?

Автор поднял действительно существующую проблему, когда неактивная WG сессия не должна быть равна мёртвому интерфейсу. На примере ниже кинетик-клиент, т.е. тот кто инициирует соединение, в свойствах указан keepalive 3600. Без трафика это соединение становится "сереньким" после нескольких минут, то же самое получаем сразу, если поле keepalive просто оставить пустым: В таком состоянии я не могу достучаться до удалённых адресов, хотя они прописаны в интерфейсе, статические маршруты на эти адреса добавлены, сам интерфейс включён переключателем слева. Я ожидаю что любой запрос на прописанные подсети должен идти через WG, даже если кружок серый, т.е. WG должен начать хендшейк в этот момент. Судя по-всему, имплементация WG в кинетике немного отличается от подхода WG на обычном линуксе - там если wg up выполнен, то интерфейс всегда доступен и трафик пытается идти через него, даже если сам WG с другой стороной не связан (не важно - таймаут или просто выключен свет). В кинетике же, если WG связности нет (серый кружок вместо зеленого на пире), то интерфейс считается оффлайн и трафик через него перестаёт роутиться. Кажется, суть сводится к тому, чтобы иметь опцию а-ля "Пир всегда доступен" как раз на этот случай, чтобы маршруты были живы, но чтобы WG-пир мог быть в "оффлайне", пока через него не пойдёт трафик. Вполне вероятно что эта опция может быть автоматически установлена при пустом значении "Порт прослушивания", но надо быть аккуратным с "Использовать для выхода в интернет", т.к. в этом случае отвалившийся WG-пир всё-таки должен сносить маршруты, чтобы интернет мог фолбэкнуться на основного провайдера.

Операционка не ходит в роутер для доступа к вашим хитрым сетям из-за /22 маски, потому что она охватывает весь диапазон - и локальный, который доступен даже без роутера, и удалённый, в который всё-таки нужно ходить через роутер. Вам надо или маску подрезать на клиентах руками или научить роутер отдавать дополнительные маршруты через DHCP. В CLI есть такая штука, она позволяет DHCP серверу отдавать дополнительные данные клиентам: ip dhcp pool option смотрите значения опций 121 или 249, какой-то из них должен заработать. Поэкспериментируйте, надеюсь получится. http://docs.help.keenetic.com/cli/3.8/ru/cli_manual_kn-1010_ru.pdf Вот тут даже официальная дока есть https://help.keenetic.com/hc/ru/articles/115004467465-Инструкция-по-настройке-опций-DHCP-в-интернет-центрах

Что-то я так и не понял, можно ли сейчас делать usb power-cycle, если привязанного interface к usb порту нет? Судя по доке нет, то вдруг есть какой-то финт ушами.

+1. USB ведь можно использовать и просто в качестве питания для каких-то неуправляемых девайсов, которые хочется ребутать периодически.

Конфигурация клиентов динамическая, какие-то засыпают, какие-то перестают коннектиться в определённых Wi-Fi сетях. В связи с этим в логах очень много места занимают простыни подобного рода. Может сделать настройку уровня логгирования WG интерфейсов? Или на крайний случай явно приглушить конкретно эти события.

Возможно дело в маске /32, с ней маршрут 10.13.13.0/24 не прописывается. Или нужно установить маску /24 или добавить руками статический маршрут до 10.13.13.0/24 через это подключение.

Спасибо! Разобрался! Пропустил это в инструкции, на стороне сервера нужно прописывать /32 айпишник клиента. Все работает!

На всех клиентах 0.0.0.0/0 прописано, в самом роутере в пирах тоже 0.0.0.0/0 стоит. Хочу всех клиентов пускать через роутер в интернет. Как-то иначе надо настроить?

Настроил wireguard сервер на Giga, прописал одного клиента - всё ок, работает, интернет через себя пускает (security-level и nat Wireguard0 активированы). Дописываю второго клиента, на первом всё перестаёт работать (ключи разные, ip на клиентах разные). Дописываю третьего клиента, второй так же отваливается, т.е. рабочим остаётся один клиент, добавленный в список последним. Куда копать? В логах ничего странного не видно, есть хэндшейки от всех девайсов, но маршрутизация не работает вообще, даже до роутера не могу достучаться: C:\Users\user>tracert -d -w 50 192.168.2.1 Трассировка маршрута к 192.168.2.1 с максимальным числом прыжков 30 1 * * * Превышен интервал ожидания для запроса. 2 * * * Превышен интервал ожидания для запроса. 3 * * * Превышен интервал ожидания для запроса.

topology subnet как раз помогло.

#!/bin/sh [ "$id" != "GigabitEthernet0/Vlan2" ] && exit 0 [ "$change" != "connected" ] && exit 0 [ "$connected" != "yes" ] && exit 0 # Опциональная проверка на подключённость через нужный интерфейс. # У меня статический адрес, поэтому такой вариант мне подходит. # [ `ndmq -P tunnel-local-source -p "show interface Gre0"` == "1.2.3.4" ] && exit 0 logger "Reconnecting Gre0" ndmq -p "interface Gre0 down" ndmq -p "interface Gre0 up" Решение аналогичной проблемы. Скрипт поместить в /opt/etc/ndm/ifstatechanged.d

У меня аналогичная проблема, но немного другие исходные: GRE мост, настроен через no isolate-private. После апдейта, до устройств за роутером на 2.16 не достучаться. Прописал в правилах межсетевого экрана разрешения на все TCP, UDP, ICMP - заработало, но по идее должно и так работать, ведь no isolate-private для этого как раз.

При этом его можно оставить доступным и для локальной сети? Или вынос в отдельный порт предполагает отдельную подсеть со всеми вытекающими?

Но для этого нужно объединять сети в одну, правильно понимаю? А можно сделать так, чтобы без бриджа работало? Например, между сетями 192.168.1.0/24 и 192.168.2.0/24.

Кто-нибудь решал задачу прокидывания DLNA сервера с другого конца туннеля? В интернетах пишут [1], что есть очень простой вариант через smcroute, но у меня эта штука что-то не заводится, говорит интерфейс невалидный. Куда копать? Реально ли это сделать? root@home:/opt/etc# smcroutectl add br0 192.168.1.81 239.255.255.250 ngre0 smcroutectl: Invalid input interface root@home:/opt/etc# cat /proc/net/ip_mr_vif Interface BytesIn PktsIn BytesOut PktsOut Flags Local Remote 0 eth2.2 0 0 0 0 00008 0000000D 00000000 1 br0 0 0 0 0 00008 0000000F 00000000 root@home:/opt/etc# ip addr ... 15: br0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue link/ether xxx brd ff:ff:ff:ff:ff:ff inet 192.168.1.1/24 brd 192.168.1.255 scope global br0 16: ngre0: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1412 qdisc noqueue link/gre xxx peer xxx inet 192.168.101.1/24 scope global ngre0 [1] http://bda.ath.cx/blog/2009/01/24/multicast-routing-upnp-traffic-with-linux/comment-page-1/

Сложно сказать, возможно и wget развалился, т.к. действительно ставил его отдельно для работы с https. Откатил назад, теперь буду в курсе этого нюанса. Спасибо за инфу!

Вчера столкнулся с неочевидной проблемой, предостерегаю всех. Если у вас сделан полный dns-override, в котором выключенный dnsmasq отключает весь dns в роутере в принципе, то апдейт+апгрейд opkg может сделать харакири сам себе. В моём случае opkg остался в совершенно нерабочем состоянии и я никак не смог восстановить его, пришлось полностью переустанавливать.

Столкнулся примерно с той же проблемой, что и r13. В моём случае правила рефрешатся стабильно каждые 30 секунд, т.е. по сути каждые 30 секунд имею потерю пакетов из-за слетающих правил. Начал копать, включил self-test и по нему увидел, что каждые 30 секунд происходит какая-то история с IPv6. Выглядит это так: [I] May 6 19:32:52 ndm: Network::NeighbourTable: -> IPv6 (1): [fe80::cdd:967f:4ac4:32c7] - expired (LastSeen: 3). [I] May 6 19:32:52 ndm: Network::NeighbourTable: neighbour event: ID: 16, address: ipv6, action: new. [I] May 6 19:32:52 ndm: Network::NeighbourTable: neighbour event: ID: 8, address: ipv6, action: new. [I] May 6 19:32:52 ndm: Network::NeighbourTable: neighbour event: ID: 9, address: ipv6, action: new. [I] May 6 19:32:52 ndm: Network::NeighbourTable: neighbour event: ID: 11, address: ipv6, action: new. [I] May 6 19:32:52 ndm: Network::NeighbourTable: neighbour event: ID: 19, address: ipv6, action: new. [I] May 6 19:32:52 ndm: Network::NeighbourTable: neighbour event: ID: 12, address: ipv6, action: new. [I] May 6 19:32:52 ndm: Netfilter::Util::Conntrack: flushed 3 unreplied IPv4 connections. [I] May 6 19:32:52 root: Updating mark step 1 result: 0 ... [I] May 6 19:33:22 ndm: Network::NeighbourTable: neighbour event: ID: 16, address: ipv6, action: new. [I] May 6 19:33:22 ndm: Network::NeighbourTable: neighbour event: ID: 8, address: ipv6, action: new. [I] May 6 19:33:22 ndm: Network::NeighbourTable: neighbour event: ID: 9, address: ipv6, action: new. [I] May 6 19:33:22 ndm: Network::NeighbourTable: neighbour event: ID: 11, address: ipv6, action: new. [I] May 6 19:33:22 ndm: Network::NeighbourTable: neighbour event: ID: 19, address: ipv6, action: new. [I] May 6 19:33:22 ndm: Network::NeighbourTable: neighbour event: ID: 12, address: ipv6, action: new. [I] May 6 19:33:23 ndm: Netfilter::Util::Conntrack: flushed 4 unreplied IPv4 connections. [I] May 6 19:33:23 ipsec: 13[CFG] statistics was written [I] May 6 19:33:23 root: Updating mark step 1 result: 0 Последняя строка - лог из моего скрипта, лежащего в netfilter.d. Отключил IPv6 на уровне компонентов (провайдер всё-равно пока не поддерживает), всё стало тихо и спокойно. Товарищи разработчики, исправьте, пожалуйста, это поведение. Хочется иметь включённый IPv6 без постоянного 30 секундного сброса правил в iptables.

Я пробовал такой вариант. Через веб-интерфейс не работает, через telnet аналогично. Пробовал на другой адрес типа 127.0.0.2 или 127.255.255.1, тоже не работает. В веб-интерфейсе пишет: invalid IP address: 127.0.0.1. 22544386 Настройки сохранены В telnet: (config)> ip name-server 127.0.0.1 Dns::Manager error[22544386]: address: invalid IP address: 127.0.0.1 Я даже заморачивался перенаправлением всех портов с 192.168.255.255/32 на 192.168.1.1, добавлял DNS сервер 192.168.255.255, но внутри роутера, похоже, это перенаправление не работает как надо при хождении в DNS. Результат - тоже не взлетело Есть ещё варианты? Или может подложите соломку где-нибудь при активном opkg dns-override? @vasek00, спасибо за подсказки, но у меня dnsmasq уже успешно работает на всю внутреннюю сеть. Я лишь пытаюсь перенаправить все запросы внутри роутера на этот работающий dnsmasq, чтобы провайдер вообще не видел мои DNS запросы (dnsmasq запущен в связке с dnscrypt).

Подскажите, можно ли сейчас отключить провайдерские DNS и научить прошивку ходить исключительно в локальный DNS сервер типа dnsmasq? Прописано opkg dns-override, dnsmasq поднят и работает на 53 порту, в интерфейсы провайдеров прописываю ip dhcp client no name-servers, в "Прочих" прописываю DNS 192.168.1.1, перезагружаю роутер, получаю: [E] Nov 24 21:29:14 ndnproxy: Proxy loop detected: 192.168.1.1 <-> 192.168.1.1, request dropped. [E] Nov 24 21:29:14 ndnproxy: DNS server 192.168.1.1 inactivated. При этом не работает проверка обновлений внутри роутера, на соединениях пишет "Нет доступа к Интернету", не работает Ping checker, роутер переходит с основного на резервный коннект, потом связь отваливается совсем. Если Ping checker отключить, то связь вроде держится, но апдейты прошивки не проверяются и на коннектах пишет "Нет доступа к Интернету".

Нет, не менял. Поменял, всё завелось. В описании про это ни слова, а сам не сообразил. Извините

Новый веб-интерфейс, последняя альфа, настроил сервер, пытаюсь подключаться с iOS с той же конфигурацией, которая работала через IPsec VirtualIP, в итоге в логе вижу такое: Nov 24 21:43:32 ipsec: 16[IKE] linked key for crypto map '(unnamed)' is not found, still searching Nov 24 21:43:32 ipsec: 15[IKE] message parsing failed Nov 24 21:43:32 ipsec: 15[IKE] ID_PROT request with message ID 0 processing failed Nov 24 21:43:35 ipsec: 05[IKE] message parsing failed Nov 24 21:43:35 ipsec: 05[IKE] ID_PROT request with message ID 0 processing failed Nov 24 21:43:38 ipsec: 11[IKE] message parsing failed Заведён отдельный юзер, у него стоит галочка на L2TP/IPsec. Всё, связанное с crypto, выкашивал из startup-config, т.е. по сути всё настроил заново потом. Куда копать?

Спасибо за такие полезные штуки! Всё работает замечательно! Однако, на сколько я понял, всё что происходит внутри роутера в entware (curl, ping, ...), использует DNS из прошивки, и с этим пока ничего не поделать, верно? Или всё-таки есть решение?