["Сломался" entware и отвалился dropbear]

Движок съел теги, с третьей правки удалось вернуть текст назад. Почти весь. В процессе ...

["Сломался" entware и отвалился dropbear]

Намедни душа наконец не выдержала поэта и что-то наконец радикально наковырнулось. Всё началось, как это обычно водится, с флуда в syslog. В него по кругу сыпали однотипные сообщения

2019-02-04 08:54:01    Kernel.Warning    192.168.1.10    Feb  4 08:54:00 ndm: kernel: do_page_fault(): sending SIGSEGV to sh for invalid read access from 00000034
2019-02-04 08:54:01    Kernel.Warning    192.168.1.10    Feb  4 08:54:00 ndm: kernel: epc = 76fcc818 in libuClibc-1.0.17.so[76f92000+a1000]
2019-02-04 08:54:01    Kernel.Warning    192.168.1.10    Feb  4 08:54:00 ndm: kernel: ra  = 0042dac4 in busybox[400000+89000]

и

2019-02-04 08:54:01    User.Error    192.168.1.10    Feb  4 08:54:00 ndm: Opkg::Manager: /opt/etc/ndm/netfilter.d/002rules: exit соdе -1.
2019-02-04 08:54:01    User.Error    192.168.1.10    Feb  4 08:54:00 ndm: Opkg::Manager: /opt/etc/ndm/netfilter.d/001rules: exit соdе -1.
2019-02-04 08:54:01    User.Error    192.168.1.10    Feb  4 08:54:00 ndm: Opkg::Manager: /opt/etc/ndm/netfilter.d/002rules: exit соdе -1.

и dropbear при этом начисто отвалился. Попытки стрясти текущий лог у вебморды, как это в подобных случаях бывает успеха не возымели - загрузка /ci/log.txt ушла в глухой loop. После ребута флуд прекратился, но вот dropbear так и не зацепился - в логе мелькнула вот такая строчка

2019-02-04 09:05:47    User.Info    192.168.1.10    Jan 30 04:33:46 ndm: Opkg::Manager: /opt/etc/init.d/rc.unslung: dropbear already running.

если верить файлу self-теста процессов dropbear'a в наличии не было вообще. Я уж грешным делом подумал, что покрешилась ФС т.к. Омни в логах жаловался, что стоит флешку чекнуть т.к. что-то с ней не так, но таки нет - find I/O ошибок не выдавал, а e2fsck нашёл лишь одну слегка поломанную ноду

Inode 655373 is in use, but has dtime set.  Fix? yes

теперь вопрос - что это было, что поломалось и как "починить" ?

[Невостребованные фоновые процессы]

К слову, "воскресает" nllda с такими параметрами (MAC-адрес в примере изменён)

/usr/sbin/nllda -I Bridge0 -p Home -M 00:00:00:00:00:00 -x 13 -n Keenetic_Omni -D ZyXEL Keenetic Omni II (NDMS 2.13.C.0.0-1): kn_rf -m router -V 2.13.C.0.0-1 -u nobody -P 80 -A 192.168.0.1 -S private -b

[Размер zram?]

Пока немного не до конца понимаю данную технологию и интересует вопрос, куда пишется сжатое содержимое RAM ? Туда же в RAM (в отдельную область) ? Если это так, то имеет ли смысл использовать zRam для всего объёма RAM, при учёте, что там 50% занято текущими процессами ?

[Настройка Swap через веб-фейс ?]

Что-то я на 2.13 потерял настройку свопа через веб-фейс. Раньше она на 2.11 была в приложениях, теперь её там нет (да и не только там). В приниципе настроил всё через telnet, но просто интересно - эту настройку ликвидировали как класс или это у меня что-то отвалилось ?

[Невостребованные фоновые процессы]

5 часов назад, Le ecureuil сказал:

это процессы в скобочках - это процессы ядра для работы WiFi. Префикс RTMP используется драйверами ralink/mtk с незапамятных времен.

Ясно   Ну я то не в курсе ибо разработкой прошивок не занимаюсь )))

А nllda тем не менее продолжает воскресать, хотя в startup-конфиге значится деактивированным, а в running-конфиге эта запись даже не появляется.

[udpxy listen interface (ака "-a")]

5 часов назад, Le ecureuil сказал:

Очень редкая хотелка (вот я впервые за все время слышу о ней), потому и не сделано. 

Ну, у меня есть настроенный интерфейс eth2.2, который смотрит в провайдерскую сеть (на нём настроен dhcp клиент) из провайдерской сети на Омни из-за accepted clients 0.0.0.0 тоже могут "смотреть" на этот интерфейс. Поэтому я хотел ограничить запросы внутренним интерфейсом br0/адресом в моей локальной сети

5 часов назад, Le ecureuil сказал:

Вот для этого и есть opkg.

Ну, дефакто opkg я как таковой в данном случае не использовал - отключил старт через веб-морду и заюзал комплектную бинарь с нужным ключём через скрипт в автозапуске.

[ndmc и выполнение сценариев cli/применение конфига ?]

Ну так ndmq как раз и эмулирует запросы к веб-фейсу (я это делаю через curl), я же говорил о применение конфигов так сказать напрямую, без посредников.

За примеры тем не менее спасибо - возможно пригодятся в каких-либо костылях

[ndmc и выполнение сценариев cli/применение конфига ?]

Судя по хелпу ndmc, он умеет лишь выдавать версию, сам хелп и запускать сессию cli. Неплохо было бы, если бы он умел применять конфиг для cli или (и) выполнять cli-сценарии.

Можно конечно вывернуться и подсунуть конфиг веб-фейсу сэмулировав запросы, но это дополнительный гемморой

[Невостребованные фоновые процессы]

Мде. После ребута процесс nllda всё же реанимировался. При том, что в конфиге висит

interface Bridge0
    lldp disable

 

[Невостребованные фоновые процессы]

В 22.12.2018 в 18:21, r13 сказал:

вы эти команды в контексте интерфейса вводите или нет? Так же посмотрите текущее состояние в конфиге

Конкретно эти - без контекста 😅 т.к. показалось, что они не имеют какой-либо привязки

В 22.12.2018 в 18:21, r13 сказал:

Так же посмотрите текущее состояние в конфиге 

Про конфиг я совсем забыл (да и не заглядывал туда практически), а там оказывается сценарий для CLI, по которому можно составить откатные команды (как всё в итоге банально оказалось). Итого получилось следующее :

no ipv6 subnet Default
interface ISP no ipv6 address auto
interface ISP no ipv6 prefix auto
interface ISP no ipv6 name-servers auto

заминка возникла лишь с последней командой

(config)> interface ISP no ipv6 name-servers auto
name servers provided by the interface network aren't accepted

и процесс dhcp6s остался висеть, но после перезагрузки ушёл и он.

Помимо этого, после ребута воскрес процесс nllda, который я ранее дезактивировал командой

interface Bridge0 lldp disable

сейв конфига при этом я делал и в логах он зафиксирован (т.е. он реанимировался в том числе и в самый первый раз, когда я его грохал, о чём я писал выше и где удивлялся, что он не был дезактивирован).

Возможно проблема в этом ?

interface Bridge0
    rename Home
	

попробовал рубануть lldp командой

interface Home lldp disable

и процесс тоже грохнулся. Чуть позже погляжу после ребута не реанимировался ли процесс. В конфиге интерфейса сейчас есть строка

lldp disable

при дезактивации lldp по Bridge0 её не было (сливал конфиг в тот период и есть с чем сравнить), хотя процесс при этом прибивался.

[Дополнительные цепочки и правила iptables.]

В саппорте дали сводку по цепочкам iptables

_NDM_ACL_IN  правила на forward через кинетик
_NDM_ACL_IN_EXCEPTIONS цепочка для облачного сервиса
_NDM_ACL_OUTправила на forward через кинетик  
_NDM_BFD_INPUT  от перебора telnet,ftp,http
_NDM_FORWARD  собственно проходящий трафик
_NDM_FTP_INPUT  от перебора telnet,ftp,http связанные цепочки
_NDM_HOTSPOT_FWD хотспот который регулирует доступ в интернет пользователям локальной сети
_NDM_HTTP_INPUT от перебора telnet,ftp,http связанные цепочки
_NDM_INPUT трафик предназначенный самому роутеру
_NDM_IPSEC_FORWARD  
_NDM_IPSEC_INPUT 
_NDM_IPSEC_INPUT_FILTER 
_NDM_IPSEC_INPUT_FLT_BPS 
_NDM_IPSEC_OUTPUT_FILTER 
_NDM_IPSEC_OUTPUT_FLT_BPS 

Все выделенные касаются прохождению трафика IPsec чере роутер. 
первая понятно это проходящий
вторая понятна это самому роутеру
третья для подключения ipsec udp500/4500
_NDM_MULTICAST_INPUT для получения мультикаста
_NDM_OUTPUT от самого хоста
_NDM_SL_FORWARD 
_NDM_SL_PRIVATE 
_NDM_SL_PROTECT 

Выделенные:Данная конструкция обеспечивает реализацию разделения интерфейсов по уровню безопасности
_NDM_TELNET_INPUT от перебора telnet,ftp,http связанные цепочки
_NDM_TUNNELS_INPUT для GRE/IPIP туннелей

[Невостребованные фоновые процессы]

Так,  то ли лыжи не едут, то ли я ...

no ipv6 address auto
Command::Base error[7405600]: no such command: address.
no ipv6 prefix auto
Command::Base error[7405600]: no such command: prefix.
no ipv6 name-servers auto
Command::Base error[7405600]: no such command: name-servers.

А где брать "name" для"no ipv6 subnet" я вообще не понял 😕

[Встроенное хранилище (ака /storage) ?]

Ранее видать не обращал внимания, но после того как обновился на 2.13 заметил в списке накопителей "Встроенное хранилище" размером 512 кб

выхлоп df показывает лишь раздел /storage с такими габаритами, пустой судя по выхлопу ls (ls -lanh). Каково предназначение данного раздела на нынешних прошивках ? Такое же, как на прошивках первого поколения ? Почему такие миниатюрные габариты (против 1.8 мб на старых прошивках) ? Куда утекло 38% этого 512 кб-го раздела, если учесть то, что он "пустой" ?

[Невостребованные фоновые процессы]

Отключение lldp помогло лишь в устранении процесса nllda, nlldo продолжает висеть с ключём "nobody". До ipv6 пока руки не дошли.

[udpxy listen interface (ака "-a")]

Собственно сабж. Не нашёл возможности сконфигурировать udpxy для работы лишь с конкретной подсетью ни через веб-морду, ни через cli. Я конечно могу рубануть автозапуск udpxy и стартовать udpxy скриптом/вручную с нужными ключами, но хотелось бы более цивилизованного решения

[Невостребованные фоновые процессы]

20 минут назад, r13 сказал:

Да без проблем, просто паровозом лишитесь расширений netfilter opkg и все, если это не смущает, то просто удалить компонент ipv6.

Смущает, ибо касательно такого нюанса я был  не в курсе ))) Плюс оно ранее не удалялось, по крайней мере через веб-морду. Разве что через cli ...

29 минут назад, Mamay сказал:

Возьмите от любой актуальной модели, ваша в архиве. Команды одни и те же...

ОК

[Невостребованные фоновые процессы]

12 часа назад, Fandor сказал:

Где вы их смотрите, в логах?

optware => dropbear & ssh => busybox ps

11 час назад, r13 сказал:

ndnproxy это вроде dns proxy

nlldo/nlda - какой-то из них отключается через lldp disable на интерфейсах

radvd/dhcp6s - вычищать ipv6 subnet в конфигурации.

dhcp6c - no ipv6 address auto на интерфейсах а также prefix и dns по аналогии

Короче, читать в доке все про v6 и выключать.

Спасибо, пойду штудировать мануал 😕 Хотя меня конечно больше бы устроила возможность полностью выпилить ipv6 ибо провайдер поклал болт на него и сказал, что продолжит. А по wmond есть мысли ?

К слову, при повторном просматривании списка процессов наткнулся на тройку сервисов, которые тоже вызвали вопросы

[RtmpCmdQTask]
[RtmpWscTask]
[RtmpMlmeTask]

никакого софта по работе с видео или IP-камерами я у себя не припомню.

Кстати, а почему cli-мануал до сих пор рассситан на 2.08 ? http://files.keenopt.ru/cli_manual/Keenetic_Omni_II/2018-04-17/

Где найти свежий ? Команды отключения lldp там нет, но я её нашёл - ранее отрубал, но то ли не сохранил изменения, то ли рубанул лишь на одном из интерфейсов. По поводу ipv6 буду сейчас буду смотреть мануал.

[Невостребованные фоновые процессы]

Просматривая список процессов обнаружил кучу "левых" процессов, в частности, отвечающих за IPV6 (который я очень хотел бы убрать из списка компонентов, ибо ipv6 мне светит, но он зараза не убирается), а именно radvd (аж 2 копии), dhcp6s, rdisc6d и dhcp6c. Причём 2 последних, судя по ключам, смотрят на тот же интерфейс, на который смотрит ndhcpc -местный dhcp-клиент, как я понимаю (через cli был настроен определённый вендор для клиента dhcp на отдельном интерфейсе).

Ну и помимо IPV6 есть ещё пара процессов мозолящих глаза - nlldo и nllda, которые судя по гуглу, отвечают на zyxel'e за какие-то манипуляции не то с самбой, не то с netbios'ом (выяснять не стал), только вот нюанс - самбу я полностью исключил из списка компонентов.

Ну и напоследок - ещё хотелось бы понять, за что отвечают процессы wmond и ndnproxy.

[Блокировка url через iptables]

На Киннетиках с прошивкой первого поколения в комплекте iptables был (есть) модуль webstr, которым удобно банить конкретные линки (на чём собственно и строится встроенный механизм блокировки), по крайней мере http (чего впрочем зачастую хватает за глаза, хотя в последнее время ситуация конечно меняется). На нынешних прошивках/устройствах подобного модуля обнаружено не было, в связи с чем встал вопрос, есть ли на данный момент возможность банить линки (не хосты) через iptables иными средствами ?

p.s. Говоря про "иные средства" я подразумеваю их в контексте iptables (а именно модули или надстройки), а не какие-либо облачные решения или прокси типа сквида/privoxy. Интересует именно "автономный" вариант с iptables без привлечения дополнительного софта.

[Дополнительные цепочки и правила iptables.]

В 06.12.2018 в 22:48, Le ecureuil сказал:

Трогать никакие не стоит. Они все важны для работы той или иной функциональности.

Ей богу, прямо тайны Мадридского двора ))) Меня эта самая функциональность и ответственные за неё цепочки и интересуют, по причине чего собственно и была заведена тема. Одно дело видеть в выхлопе листинга iptables цепочки INPUT/FORWARD/OUTPUT (либо иные стандартные) и другое - частокол неясных субцепей.

Пользуясь случаем спрошу - что там за "механизм" такой наяривает, что таблица переписывается заново чуть ли не каждые 10-20 секунд ? Даже протестировать вменяемо правило невозможно - сбрасывается. А писать каждое правило в скрипт в /opt/etc/ndm/netfilter.d/ ради его банальной проверки сильно напрягает.

[Bad swap file entry]

В 11.12.2018 в 00:41, Le ecureuil сказал:

Если вам кроме модулей netfilter ничего не нужно, то 2.11 - это ваш выбор.

Эта та которая Legacy ? Просто уже реально надоели все эти падения и ребуты. Причём 2.11.C.0.0-2, которой я пользовался до апдейта на 
2.13.C.0.0-1 падала куда чаще 2.13.C.0.0-1 😕 Можно ли как-то экспортировать модули iptables для использования их на "обычной", не экспериментальной прошивке, в которой будут  все необходимые ограничения ?

В 11.12.2018 в 00:41, Le ecureuil сказал:

Она и помельче, и там не будет никаких автоапдейтов никогда

Надеюсь ))) https://forum.keenetic.net/topic/3523-автообновление-прошивки-на-zyxelях/

В 11.12.2018 в 00:41, Le ecureuil сказал:

Надежность swap через usb на самом деле крайне мала. Отвалился диск на пару секунд из-за плохого питания - все полетело или встало колом.

Ну про плохое питание даже не знаю. Разве может флешка SanDisk Cruzer Fit перегрузить usb по питанию (используется только она) ?

[Bad swap file entry]

В 07.12.2018 в 05:59, Le ecureuil сказал:

Возьмите 2.11, она поменьше.

Да походу всё к тому и идёт. Вот к слову текущий набор компонентов

base
storage
corewireless
opkg
opkg-kmod-fs
pppoe
usb
ppe
dhcpd
igmp
opkg-kmod-netfilter
opkg-kmod-netfilter-addons
pingcheck
udpxy
ftp
ip6

Как видите, совсем не густо. Так всё же - разве своп не поможет ? Или там используется исключительно RAM для работы ?

Меня на данный волнует вопрос стабильности. С самого момента покупки сей роутер только и знает, что падает и перезагружается. То сырая прошивка из коробки, у которой был ворох глюков и на которой пробу ставить было негде, потом неясные глюки которые переодически всплывали время от времени, потом недокументированный автоапдейт, потом ещё и ещё ...

Роутер всего один раз имел аптайм в 1 месяц, обычно это от 1 до 7 дней, изредка 2 недели

 

[Bad swap file entry]

23 часа назад, Fandor сказал:

Или удалять что-то из компонентов не нужное особо.

Так в том то и дело, что компонентов самый минимум. Только самое необходимое (комплектный cifs на пару с ntfs и fat и то отрубил, равно как и кучу других мелочей - весь софт практически из entware). Чуть позже могу скинуть список компонентов, если интересует.

6 часов назад, Le ecureuil сказал:

Мало места на flash -> используем squashfs с максимальным блоком и сжатием -> требуется много RAM для работы с ФС -> RAM перестает хватать -> все плохо.

Вот это уже проясняет дело. А своп решит проблему ?

6 часов назад, Le ecureuil сказал:

На самом деле лимиты в transmission и прочих вещах взяты не с потолка - если отрубить все лимиты, как сделано в draft, то на устройствах с ограниченными ресурсами будет работать так, как в первом посте.

Да мне draft нужен лишь из-за расширенной поддержки модулей iptables. Были бы они в satble-релизе я бы к draft даже близко не подходил.

[Bad swap file entry]

3 часа назад, Le ecureuil сказал:

Ну все, нет на omni II места ни под что. С этим нужно смириться.

Эээ ... Так в чём дело то ?