Jump to content

qmxocynjca

Forum Members
 View Profile  See their activity

  • Posts

    31

  • Joined

 Content Type 

Posts posted by qmxocynjca

    Home Assistant

    in Вопросы по сборке и настройке Opkg

    Posted · Edited by qmxocynjca

    В 04.06.2023 в 06:04, alexps70 сказал:

    Но самое интересное, что мне удалось понять -  таких файлов нет по пути /opt/lib/python3.11/importlib/metadata/

    Подтверждаю. Тоже развлекался вчера и пришёл к выводу что в opkg теперь по дефолту питон 3.11, а сборка HA от @TheBB рассчитана на 3.10.

    На этой волне пытался установить HA руками через pip, но всё оказалось тщетным, т.к. один из пакетов затребовал rust компилятор, чего на кинетике пока нет. Попытки подтянуть его через rustup-init ни к чему не привели, т.к. бинарники тулчейна mipsel-unknown-linux-gnu отказались запускаться. Решил дальше не копать и дождаться обновления HA для работы с питоном 3.11.

    @TheBB все надежды на вас :)

    Home Assistant

    in Вопросы по сборке и настройке Opkg

    Posted

    Вижу тут достаточно много пользователей этого чуда, собираюсь тоже попробовать в ближайшее время. Подскажите, на девайсах со 128 мб оперативки оно нормально крутится? Понятно что swap надо на флешке иметь, но вопрос - не будет ли оно всё время этот свап туда-сюда использовать и ресурс флешки подъедать каждый день?

    Выключить Persistent keepalive в Wireguard

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted · Edited by qmxocynjca

    Автор поднял действительно существующую проблему, когда неактивная WG сессия не должна быть равна мёртвому интерфейсу. На примере ниже кинетик-клиент, т.е. тот кто инициирует соединение, в свойствах указан keepalive 3600. Без трафика это соединение становится "сереньким" после нескольких минут, то же самое получаем сразу, если поле keepalive просто оставить пустым:

    image.thumb.png.7928250f7e5eab83cb59ae45b317bfa7.png

    В таком состоянии я не могу достучаться до удалённых адресов, хотя они прописаны в интерфейсе, статические маршруты на эти адреса добавлены, сам интерфейс включён переключателем слева. Я ожидаю что любой запрос на прописанные подсети должен идти через WG, даже если кружок серый, т.е. WG должен начать хендшейк в этот момент.

    Судя по-всему, имплементация WG в кинетике немного отличается от подхода WG на обычном линуксе - там если wg up выполнен, то интерфейс всегда доступен и трафик пытается идти через него, даже если сам WG с другой стороной не связан (не важно - таймаут или просто выключен свет). В кинетике же, если WG связности нет (серый кружок вместо зеленого на пире), то интерфейс считается оффлайн и трафик через него перестаёт роутиться.

    Кажется, суть сводится к тому, чтобы иметь опцию а-ля "Пир всегда доступен" как раз на этот случай, чтобы маршруты были живы, но чтобы WG-пир мог быть в "оффлайне", пока через него не пойдёт трафик. Вполне вероятно что эта опция может быть автоматически установлена при пустом значении "Порт прослушивания", но надо быть аккуратным с "Использовать для выхода в интернет", т.к. в этом случае отвалившийся WG-пир всё-таки должен сносить маршруты, чтобы интернет мог фолбэкнуться на основного провайдера.

    Маршрутизация

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted · Edited by qmxocynjca

    Операционка не ходит в роутер для доступа к вашим хитрым сетям из-за /22 маски, потому что она охватывает весь диапазон - и локальный, который доступен даже без роутера, и удалённый, в который всё-таки нужно ходить через роутер. Вам надо или маску подрезать на клиентах руками или научить роутер отдавать дополнительные маршруты через DHCP.

    В CLI есть такая штука, она позволяет DHCP серверу отдавать дополнительные данные клиентам: 

    ip dhcp pool option

    смотрите значения опций 121 или 249, какой-то из них должен заработать. Поэкспериментируйте, надеюсь получится. http://docs.help.keenetic.com/cli/3.8/ru/cli_manual_kn-1010_ru.pdf

    Цитата

    Опция 121, Бесклассовые статические маршруты.
    Опция 249, MS маршруты

    Вот тут даже официальная дока есть https://help.keenetic.com/hc/ru/articles/115004467465-Инструкция-по-настройке-опций-DHCP-в-интернет-центрах

    • Upvote 1

    Настройка логгирования Wireguard

    in Развитие

    Posted · Edited by dippnsk

    Конфигурация клиентов динамическая, какие-то засыпают, какие-то перестают коннектиться в определённых Wi-Fi сетях. В связи с этим в логах очень много места занимают простыни подобного рода. Может сделать настройку уровня логгирования WG интерфейсов? Или на крайний случай явно приглушить конкретно эти события.

    Цитата

    [I] Sep 22 20:27:40 kernel: wireguard: Wireguard0: handshake for peer "0y3ulX1Jwf68BPj71BXpJMSamPPaujixP58dk+/BIl4=" (7) (x.x.x.x:65181) did not complete after 5 seconds, retrying (try 11)
    [I] Sep 22 20:27:46 kernel: wireguard: Wireguard0: handshake for peer "0y3ulX1Jwf68BPj71BXpJMSamPPaujixP58dk+/BIl4=" (7) (x.x.x.x:65181) did not complete after 5 seconds, retrying (try 12)
    [I] Sep 22 20:27:51 kernel: wireguard: Wireguard0: handshake for peer "0y3ulX1Jwf68BPj71BXpJMSamPPaujixP58dk+/BIl4=" (7) (x.x.x.x:65181) did not complete after 5 seconds, retrying (try 13)
    [I] Sep 22 20:27:56 kernel: wireguard: Wireguard0: handshake for peer "0y3ulX1Jwf68BPj71BXpJMSamPPaujixP58dk+/BIl4=" (7) (x.x.x.x:65181) did not complete after 5 seconds, retrying (try 14)
    [I] Sep 22 20:28:02 kernel: wireguard: Wireguard0: handshake for peer "0y3ulX1Jwf68BPj71BXpJMSamPPaujixP58dk+/BIl4=" (7) (x.x.x.x:65181) did not complete after 5 seconds, retrying (try 15)
    [I] Sep 22 20:28:07 kernel: wireguard: Wireguard0: handshake for peer "0y3ulX1Jwf68BPj71BXpJMSamPPaujixP58dk+/BIl4=" (7) (x.x.x.x:65181) did not complete after 5 seconds, retrying (try 16)

    • Thanks 1

    Wireguard сервер, работает только последний добавленный клиент

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted

     

    11 час назад, werldmgn сказал:

    Allowed ip у пиров не пересекаются?

    На всех клиентах 0.0.0.0/0 прописано, в самом роутере в пирах тоже 0.0.0.0/0 стоит. Хочу всех клиентов пускать через роутер в интернет. Как-то иначе надо настроить?

    Wireguard сервер, работает только последний добавленный клиент

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted · Edited by dippnsk

    Настроил wireguard сервер на Giga, прописал одного клиента - всё ок, работает, интернет через себя пускает (security-level и nat Wireguard0 активированы). Дописываю второго клиента, на первом всё перестаёт работать (ключи разные, ip на клиентах разные). Дописываю третьего клиента, второй так же отваливается, т.е. рабочим остаётся один клиент, добавленный в список последним. Куда копать?

    В логах ничего странного не видно, есть хэндшейки от всех девайсов, но маршрутизация не работает вообще, даже до роутера не могу достучаться:

    C:\Users\user>tracert -d -w 50 192.168.2.1

    Трассировка маршрута к 192.168.2.1 с максимальным числом прыжков 30

      1     *        *        *     Превышен интервал ожидания для запроса.
      2     *        *        *     Превышен интервал ожидания для запроса.
      3     *        *        *     Превышен интервал ожидания для запроса.

     

     

    wg.png

    Quagga

    in Вопросы по сборке и настройке Opkg

    Posted

    В 20.05.2019 в 04:17, thefox сказал:

    Спасибо за пинок в верном направлении, перерыл все что можно было, в итоге помогло убрать в конфиге сервера: client-config-dir, client-to-client и добавление topology subnet. Точнее, topology  не факт что помогло, но проверять уже желания нет :)

    А еще нашелся сервис https://antifilter.network/bgp Работает, как мне показалось получше и у них телеграмм есть.

     

    topology subnet как раз помогло.

    IPsec-подключение не хочет возвращатся с резервного на основной канал.

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted · Edited by dippnsk 

    #!/bin/sh

[ "$id" != "GigabitEthernet0/Vlan2" ] && exit 0
[ "$change" != "connected" ] && exit 0
[ "$connected" != "yes" ] && exit 0

# Опциональная проверка на подключённость через нужный интерфейс.
# У меня статический адрес, поэтому такой вариант мне подходит.
# [ `ndmq -P tunnel-local-source -p "show interface Gre0"` == "1.2.3.4" ] && exit 0

logger "Reconnecting Gre0"

ndmq -p "interface Gre0 down"
ndmq -p "interface Gre0 up"

    Решение аналогичной проблемы. Скрипт поместить в /opt/etc/ndm/ifstatechanged.d

     

    Клиенты PPTP и L2TP/Ipsec не видят друг друга

    in 2.16 [legacy]

    Posted

    У меня аналогичная проблема, но немного другие исходные: GRE мост, настроен через no isolate-private. После апдейта, до устройств за роутером на 2.16 не достучаться. Прописал в правилах межсетевого экрана разрешения на все TCP, UDP, ICMP - заработало, но по идее должно и так работать, ведь no isolate-private для этого как раз.

    DLNA через туннель

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted

    В 15.07.2019 в 17:35, Кинетиковод сказал:

    Да, но вы можете выделить отдельный порт для объединения с удалённой сетью и туда воткнуть DLNA клиента или даже порты не трогать, если клиент wifi. 

    При этом его можно оставить доступным и для локальной сети? Или вынос в отдельный порт предполагает отдельную подсеть со всеми вытекающими?

    DLNA через туннель

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted

    Кто-нибудь решал задачу прокидывания DLNA сервера с другого конца туннеля? В интернетах пишут [1], что есть очень простой вариант через smcroute, но у меня эта штука что-то не заводится, говорит интерфейс невалидный.

    Куда копать? Реально ли это сделать? 

    root@home:/opt/etc# smcroutectl add br0 192.168.1.81 239.255.255.250 ngre0
smcroutectl: Invalid input interface

root@home:/opt/etc# cat /proc/net/ip_mr_vif
Interface      BytesIn  PktsIn  BytesOut PktsOut Flags Local    Remote
 0 eth2.2            0       0         0       0 00008 0000000D 00000000
 1 br0               0       0         0       0 00008 0000000F 00000000
 
root@home:/opt/etc# ip addr
...
15: br0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue
    link/ether xxx brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.1/24 brd 192.168.1.255 scope global br0
16: ngre0: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1412 qdisc noqueue
    link/gre xxx peer xxx
    inet 192.168.101.1/24 scope global ngre0

    [1] http://bda.ath.cx/blog/2009/01/24/multicast-routing-upnp-traffic-with-linux/comment-page-1/

    Защищаем DNS запросы с помощью dnscrypt-proxy2. Бонусом блокировка рекламы.

    in Каталог готовых решений Opkg

    Posted · Edited by dippnsk

    Вчера столкнулся с неочевидной проблемой, предостерегаю всех. Если у вас сделан полный dns-override, в котором выключенный dnsmasq отключает весь dns в роутере в принципе, то апдейт+апгрейд opkg может сделать харакири сам себе.

    В моём случае opkg остался в совершенно нерабочем состоянии и я никак не смог восстановить его, пришлось полностью переустанавливать.

    • Thanks 1

    Как правильно использовать netfilter в opkg

    in Вопросы по сборке и настройке Opkg

    Posted · Edited by dippnsk

    Столкнулся примерно с той же проблемой, что и r13. В моём случае правила рефрешатся стабильно каждые 30 секунд, т.е. по сути каждые 30 секунд имею потерю пакетов из-за слетающих правил.

    Начал копать, включил self-test и по нему увидел, что каждые 30 секунд происходит какая-то история с IPv6. Выглядит это так: 

    [I] May  6 19:32:52 ndm: Network::NeighbourTable: -> IPv6 (1): [fe80::cdd:967f:4ac4:32c7] - expired (LastSeen: 3).
[I] May  6 19:32:52 ndm: Network::NeighbourTable: neighbour event: ID: 16, address: ipv6, action: new.
[I] May  6 19:32:52 ndm: Network::NeighbourTable: neighbour event: ID: 8, address: ipv6, action: new.
[I] May  6 19:32:52 ndm: Network::NeighbourTable: neighbour event: ID: 9, address: ipv6, action: new.
[I] May  6 19:32:52 ndm: Network::NeighbourTable: neighbour event: ID: 11, address: ipv6, action: new.
[I] May  6 19:32:52 ndm: Network::NeighbourTable: neighbour event: ID: 19, address: ipv6, action: new.
[I] May  6 19:32:52 ndm: Network::NeighbourTable: neighbour event: ID: 12, address: ipv6, action: new.
[I] May  6 19:32:52 ndm: Netfilter::Util::Conntrack: flushed 3 unreplied IPv4 connections.
[I] May  6 19:32:52 root: Updating mark step 1 result: 0
...
[I] May  6 19:33:22 ndm: Network::NeighbourTable: neighbour event: ID: 16, address: ipv6, action: new.
[I] May  6 19:33:22 ndm: Network::NeighbourTable: neighbour event: ID: 8, address: ipv6, action: new.
[I] May  6 19:33:22 ndm: Network::NeighbourTable: neighbour event: ID: 9, address: ipv6, action: new.
[I] May  6 19:33:22 ndm: Network::NeighbourTable: neighbour event: ID: 11, address: ipv6, action: new.
[I] May  6 19:33:22 ndm: Network::NeighbourTable: neighbour event: ID: 19, address: ipv6, action: new.
[I] May  6 19:33:22 ndm: Network::NeighbourTable: neighbour event: ID: 12, address: ipv6, action: new.
[I] May  6 19:33:23 ndm: Netfilter::Util::Conntrack: flushed 4 unreplied IPv4 connections.
[I] May  6 19:33:23 ipsec: 13[CFG] statistics was written 
[I] May  6 19:33:23 root: Updating mark step 1 result: 0

    Последняя строка - лог из моего скрипта, лежащего в netfilter.d.

    Отключил IPv6 на уровне компонентов (провайдер всё-равно пока не поддерживает), всё стало тихо и спокойно.

    Товарищи разработчики, исправьте, пожалуйста, это поведение. Хочется иметь включённый IPv6 без постоянного 30 секундного сброса правил в iptables.

    • Upvote 2

    Маршрут по-умолчанию на хост в Home в режиме "Роутер"

    in Обмен опытом

    Posted · Edited by dippnsk

    В 30.11.2017 в 15:29, Le ecureuil сказал:

    В прочих прописывайте 127.0.0.1, там же и dnsmasq повесьте.

    Я пробовал такой вариант. Через веб-интерфейс не работает, через telnet аналогично. Пробовал на другой адрес типа 127.0.0.2 или 127.255.255.1, тоже не работает.

    В веб-интерфейсе пишет:

    invalid IP address: 127.0.0.1. 22544386
    Настройки сохранены

    В telnet:

    (config)> ip name-server 127.0.0.1
    Dns::Manager error[22544386]: address: invalid IP address: 127.0.0.1

    Я даже заморачивался перенаправлением всех портов с 192.168.255.255/32 на 192.168.1.1, добавлял DNS сервер 192.168.255.255, но внутри роутера, похоже, это перенаправление не работает как надо при хождении в DNS. Результат - тоже не взлетело :) 

    Есть ещё варианты? Или может подложите соломку где-нибудь при активном opkg dns-override?

    @vasek00, спасибо за подсказки, но у меня dnsmasq уже успешно работает на всю внутреннюю сеть. Я лишь пытаюсь перенаправить все запросы внутри роутера на этот работающий dnsmasq, чтобы провайдер вообще не видел мои DNS запросы (dnsmasq запущен в связке с dnscrypt).

    Маршрут по-умолчанию на хост в Home в режиме "Роутер"

    in Обмен опытом

    Posted

    Подскажите, можно ли сейчас отключить провайдерские DNS и научить прошивку ходить исключительно в локальный DNS сервер типа dnsmasq? Прописано opkg dns-override, dnsmasq поднят и работает на 53 порту, в интерфейсы провайдеров прописываю ip dhcp client no name-servers, в "Прочих" прописываю DNS 192.168.1.1, перезагружаю роутер, получаю:

    [E] Nov 24 21:29:14 ndnproxy: Proxy loop detected: 192.168.1.1 <-> 192.168.1.1, request dropped.
    [E] Nov 24 21:29:14 ndnproxy: DNS server 192.168.1.1 inactivated.

    При этом не работает проверка обновлений внутри роутера, на соединениях пишет "Нет доступа к Интернету", не работает Ping checker, роутер переходит с основного на резервный коннект, потом связь отваливается совсем. Если Ping checker отключить, то связь вроде держится, но апдейты прошивки не проверяются и на коннектах пишет "Нет доступа к Интернету".

    L2TP/IPsec сервер

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted · Edited by dippnsk
    удалил self-test

    Новый веб-интерфейс, последняя альфа, настроил сервер, пытаюсь подключаться с iOS с той же конфигурацией, которая работала через IPsec VirtualIP, в итоге в логе вижу такое:

    Nov 24 21:43:32 ipsec: 16[IKE] linked key for crypto map '(unnamed)' is not found, still searching 
    Nov 24 21:43:32 ipsec: 15[IKE] message parsing failed 
    Nov 24 21:43:32 ipsec: 15[IKE] ID_PROT request with message ID 0 processing failed 
    Nov 24 21:43:35 ipsec: 05[IKE] message parsing failed 
    Nov 24 21:43:35 ipsec: 05[IKE] ID_PROT request with message ID 0 processing failed 
    Nov 24 21:43:38 ipsec: 11[IKE] message parsing failed 

    Заведён отдельный юзер, у него стоит галочка на L2TP/IPsec. Всё, связанное с crypto, выкашивал из startup-config, т.е. по сути всё настроил заново потом.

    Куда копать?

     

    Ping check и сброс правил в netfilter

    in 2.09

    Posted

    Спасибо за подробное описание!

    Хочу добавить, что в итоге проблема была не столько в работе Ping check, сколько во включённом fastnat. Как я понял, какая-то часть пакетов маркировалась корректно, а какая-то нет. Выглядело это так, что сайт открывался наполовину, но дальнейшая загрузка подвисала. Как только отключил fastnat, всё сразу заработало идеально!

    Подробности про fastnat и особенности работы с iptables fwmark в Кинетике тут:

     

    • Thanks 1
×
×
  • Create New...