-
Posts
228 -
Joined
-
Last visited
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by OmegaTron
-
-
Намедни душа наконец не выдержала поэта и что-то наконец радикально наковырнулось. Всё началось, как это обычно водится, с флуда в syslog. В него по кругу сыпали однотипные сообщения
2019-02-04 08:54:01 Kernel.Warning 192.168.1.10 Feb 4 08:54:00 ndm: kernel: do_page_fault(): sending SIGSEGV to sh for invalid read access from 00000034 2019-02-04 08:54:01 Kernel.Warning 192.168.1.10 Feb 4 08:54:00 ndm: kernel: epc = 76fcc818 in libuClibc-1.0.17.so[76f92000+a1000] 2019-02-04 08:54:01 Kernel.Warning 192.168.1.10 Feb 4 08:54:00 ndm: kernel: ra = 0042dac4 in busybox[400000+89000]
и
2019-02-04 08:54:01 User.Error 192.168.1.10 Feb 4 08:54:00 ndm: Opkg::Manager: /opt/etc/ndm/netfilter.d/002rules: exit соdе -1. 2019-02-04 08:54:01 User.Error 192.168.1.10 Feb 4 08:54:00 ndm: Opkg::Manager: /opt/etc/ndm/netfilter.d/001rules: exit соdе -1. 2019-02-04 08:54:01 User.Error 192.168.1.10 Feb 4 08:54:00 ndm: Opkg::Manager: /opt/etc/ndm/netfilter.d/002rules: exit соdе -1.
и dropbear при этом начисто отвалился. Попытки стрясти текущий лог у вебморды, как это в подобных случаях бывает успеха не возымели - загрузка /ci/log.txt ушла в глухой loop. После ребута флуд прекратился, но вот dropbear так и не зацепился - в логе мелькнула вот такая строчка
2019-02-04 09:05:47 User.Info 192.168.1.10 Jan 30 04:33:46 ndm: Opkg::Manager: /opt/etc/init.d/rc.unslung: dropbear already running.
если верить файлу self-теста процессов dropbear'a в наличии не было вообще. Я уж грешным делом подумал, что покрешилась ФС т.к. Омни в логах жаловался, что стоит флешку чекнуть т.к. что-то с ней не так, но таки нет - find I/O ошибок не выдавал, а e2fsck нашёл лишь одну слегка поломанную ноду
Inode 655373 is in use, but has dtime set. Fix? yes
теперь вопрос - что это было, что поломалось и как "починить" ?
-
К слову, "воскресает" nllda с такими параметрами (MAC-адрес в примере изменён)
/usr/sbin/nllda -I Bridge0 -p Home -M 00:00:00:00:00:00 -x 13 -n Keenetic_Omni -D ZyXEL Keenetic Omni II (NDMS 2.13.C.0.0-1): kn_rf -m router -V 2.13.C.0.0-1 -u nobody -P 80 -A 192.168.0.1 -S private -b
- 1
-
Пока немного не до конца понимаю данную технологию и интересует вопрос, куда пишется сжатое содержимое RAM ? Туда же в RAM (в отдельную область) ? Если это так, то имеет ли смысл использовать zRam для всего объёма RAM, при учёте, что там 50% занято текущими процессами ?
-
Что-то я на 2.13 потерял настройку свопа через веб-фейс. Раньше она на 2.11 была в приложениях, теперь её там нет (да и не только там). В приниципе настроил всё через telnet, но просто интересно - эту настройку ликвидировали как класс или это у меня что-то отвалилось ?
-
5 часов назад, Le ecureuil сказал:
это процессы в скобочках - это процессы ядра для работы WiFi. Префикс RTMP используется драйверами ralink/mtk с незапамятных времен.
Ясно Ну я то не в курсе ибо разработкой прошивок не занимаюсь )))
А nllda тем не менее продолжает воскресать, хотя в startup-конфиге значится деактивированным, а в running-конфиге эта запись даже не появляется.
-
5 часов назад, Le ecureuil сказал:
Очень редкая хотелка (вот я впервые за все время слышу о ней), потому и не сделано.
Ну, у меня есть настроенный интерфейс eth2.2, который смотрит в провайдерскую сеть (на нём настроен dhcp клиент) из провайдерской сети на Омни из-за accepted clients 0.0.0.0 тоже могут "смотреть" на этот интерфейс. Поэтому я хотел ограничить запросы внутренним интерфейсом br0/адресом в моей локальной сети
5 часов назад, Le ecureuil сказал:Вот для этого и есть opkg.
Ну, дефакто opkg я как таковой в данном случае не использовал - отключил старт через веб-морду и заюзал комплектную бинарь с нужным ключём через скрипт в автозапуске.
-
Ну так ndmq как раз и эмулирует запросы к веб-фейсу (я это делаю через curl), я же говорил о применение конфигов так сказать напрямую, без посредников.
За примеры тем не менее спасибо - возможно пригодятся в каких-либо костылях
-
Судя по хелпу ndmc, он умеет лишь выдавать версию, сам хелп и запускать сессию cli. Неплохо было бы, если бы он умел применять конфиг для cli или (и) выполнять cli-сценарии.
Можно конечно вывернуться и подсунуть конфиг веб-фейсу сэмулировав запросы, но это дополнительный гемморой
-
Мде. После ребута процесс nllda всё же реанимировался. При том, что в конфиге виситinterface Bridge0 lldp disable
-
В 22.12.2018 в 18:21, r13 сказал:
вы эти команды в контексте интерфейса вводите или нет? Так же посмотрите текущее состояние в конфиге
Конкретно эти - без контекста 😅 т.к. показалось, что они не имеют какой-либо привязки
В 22.12.2018 в 18:21, r13 сказал:Так же посмотрите текущее состояние в конфиге
Про конфиг я совсем забыл (да и не заглядывал туда практически), а там оказывается сценарий для CLI, по которому можно составить откатные команды (как всё в итоге банально оказалось). Итого получилось следующее :
no ipv6 subnet Default interface ISP no ipv6 address auto interface ISP no ipv6 prefix auto interface ISP no ipv6 name-servers auto
заминка возникла лишь с последней командой
(config)> interface ISP no ipv6 name-servers auto name servers provided by the interface network aren't accepted
и процесс dhcp6s остался висеть, но после перезагрузки ушёл и он.
Помимо этого, после ребута воскрес процесс nllda, который я ранее дезактивировал командой
interface Bridge0 lldp disable
сейв конфига при этом я делал и в логах он зафиксирован (т.е. он реанимировался в том числе и в самый первый раз, когда я его грохал, о чём я писал выше и где удивлялся, что он не был дезактивирован).
Возможно проблема в этом ?
interface Bridge0 rename Home
попробовал рубануть lldp командой
interface Home lldp disable
и процесс тоже грохнулся. Чуть позже погляжу после ребута не реанимировался ли процесс. В конфиге интерфейса сейчас есть строка
lldp disable
при дезактивации lldp по Bridge0 её не было (сливал конфиг в тот период и есть с чем сравнить), хотя процесс при этом прибивался.
-
В саппорте дали сводку по цепочкам iptables
_NDM_ACL_IN правила на forward через кинетик
_NDM_ACL_IN_EXCEPTIONS цепочка для облачного сервиса
_NDM_ACL_OUTправила на forward через кинетик
_NDM_BFD_INPUT от перебора telnet,ftp,http
_NDM_FORWARD собственно проходящий трафик
_NDM_FTP_INPUT от перебора telnet,ftp,http связанные цепочки
_NDM_HOTSPOT_FWD хотспот который регулирует доступ в интернет пользователям локальной сети
_NDM_HTTP_INPUT от перебора telnet,ftp,http связанные цепочки
_NDM_INPUT трафик предназначенный самому роутеру
_NDM_IPSEC_FORWARD
_NDM_IPSEC_INPUT
_NDM_IPSEC_INPUT_FILTER
_NDM_IPSEC_INPUT_FLT_BPS
_NDM_IPSEC_OUTPUT_FILTER
_NDM_IPSEC_OUTPUT_FLT_BPS
Все выделенные касаются прохождению трафика IPsec чере роутер.
первая понятно это проходящий
вторая понятна это самому роутеру
третья для подключения ipsec udp500/4500
_NDM_MULTICAST_INPUT для получения мультикаста
_NDM_OUTPUT от самого хоста
_NDM_SL_FORWARD
_NDM_SL_PRIVATE
_NDM_SL_PROTECT
Выделенные:Данная конструкция обеспечивает реализацию разделения интерфейсов по уровню безопасности
_NDM_TELNET_INPUT от перебора telnet,ftp,http связанные цепочки
_NDM_TUNNELS_INPUT для GRE/IPIP туннелей- 1
-
Так, то ли лыжи не едут, то ли я ...
no ipv6 address auto Command::Base error[7405600]: no such command: address. no ipv6 prefix auto Command::Base error[7405600]: no such command: prefix. no ipv6 name-servers auto Command::Base error[7405600]: no such command: name-servers.
А где брать "name" для"no ipv6 subnet" я вообще не понял 😕
-
Ранее видать не обращал внимания, но после того как обновился на 2.13 заметил в списке накопителей "Встроенное хранилище" размером 512 кб
выхлоп df показывает лишь раздел /storage с такими габаритами, пустой судя по выхлопу ls (ls -lanh). Каково предназначение данного раздела на нынешних прошивках ? Такое же, как на прошивках первого поколения ? Почему такие миниатюрные габариты (против 1.8 мб на старых прошивках) ? Куда утекло 38% этого 512 кб-го раздела, если учесть то, что он "пустой" ?
-
Отключение lldp помогло лишь в устранении процесса nllda, nlldo продолжает висеть с ключём "nobody". До ipv6 пока руки не дошли.
-
Собственно сабж. Не нашёл возможности сконфигурировать udpxy для работы лишь с конкретной подсетью ни через веб-морду, ни через cli. Я конечно могу рубануть автозапуск udpxy и стартовать udpxy скриптом/вручную с нужными ключами, но хотелось бы более цивилизованного решения
-
20 минут назад, r13 сказал:
Да без проблем, просто паровозом лишитесь расширений netfilter opkg и все, если это не смущает, то просто удалить компонент ipv6.
Смущает, ибо касательно такого нюанса я был не в курсе ))) Плюс оно ранее не удалялось, по крайней мере через веб-морду. Разве что через cli ...
29 минут назад, Mamay сказал:Возьмите от любой актуальной модели, ваша в архиве. Команды одни и те же...
ОК
-
12 часа назад, Fandor сказал:
Где вы их смотрите, в логах?
optware => dropbear & ssh => busybox ps
11 час назад, r13 сказал:ndnproxy это вроде dns proxy
nlldo/nlda - какой-то из них отключается через lldp disable на интерфейсах
radvd/dhcp6s - вычищать ipv6 subnet в конфигурации.
dhcp6c - no ipv6 address auto на интерфейсах а также prefix и dns по аналогии
Короче, читать в доке все про v6 и выключать.
Спасибо, пойду штудировать мануал 😕 Хотя меня конечно больше бы устроила возможность полностью выпилить ipv6 ибо провайдер поклал болт на него и сказал, что продолжит. А по wmond есть мысли ?
К слову, при повторном просматривании списка процессов наткнулся на тройку сервисов, которые тоже вызвали вопросы
[RtmpCmdQTask] [RtmpWscTask] [RtmpMlmeTask]
никакого софта по работе с видео или IP-камерами я у себя не припомню.
Кстати, а почему cli-мануал до сих пор рассситан на 2.08 ? http://files.keenopt.ru/cli_manual/Keenetic_Omni_II/2018-04-17/
Где найти свежий ? Команды отключения lldp там нет, но я её нашёл - ранее отрубал, но то ли не сохранил изменения, то ли рубанул лишь на одном из интерфейсов. По поводу ipv6 буду сейчас буду смотреть мануал.
- 1
-
Просматривая список процессов обнаружил кучу "левых" процессов, в частности, отвечающих за IPV6 (который я очень хотел бы убрать из списка компонентов, ибо ipv6 мне светит, но он зараза не убирается), а именно radvd (аж 2 копии), dhcp6s, rdisc6d и dhcp6c. Причём 2 последних, судя по ключам, смотрят на тот же интерфейс, на который смотрит ndhcpc -местный dhcp-клиент, как я понимаю (через cli был настроен определённый вендор для клиента dhcp на отдельном интерфейсе).
Ну и помимо IPV6 есть ещё пара процессов мозолящих глаза - nlldo и nllda, которые судя по гуглу, отвечают на zyxel'e за какие-то манипуляции не то с самбой, не то с netbios'ом (выяснять не стал), только вот нюанс - самбу я полностью исключил из списка компонентов.
Ну и напоследок - ещё хотелось бы понять, за что отвечают процессы wmond и ndnproxy.
-
На Киннетиках с прошивкой первого поколения в комплекте iptables был (есть) модуль webstr, которым удобно банить конкретные линки (на чём собственно и строится встроенный механизм блокировки), по крайней мере http (чего впрочем зачастую хватает за глаза, хотя в последнее время ситуация конечно меняется). На нынешних прошивках/устройствах подобного модуля обнаружено не было, в связи с чем встал вопрос, есть ли на данный момент возможность банить линки (не хосты) через iptables иными средствами ?
p.s. Говоря про "иные средства" я подразумеваю их в контексте iptables (а именно модули или надстройки), а не какие-либо облачные решения или прокси типа сквида/privoxy. Интересует именно "автономный" вариант с iptables без привлечения дополнительного софта.
-
В 06.12.2018 в 22:48, Le ecureuil сказал:
Трогать никакие не стоит. Они все важны для работы той или иной функциональности.
Ей богу, прямо тайны Мадридского двора ))) Меня эта самая функциональность и ответственные за неё цепочки и интересуют, по причине чего собственно и была заведена тема. Одно дело видеть в выхлопе листинга iptables цепочки INPUT/FORWARD/OUTPUT (либо иные стандартные) и другое - частокол неясных субцепей.
Пользуясь случаем спрошу - что там за "механизм" такой наяривает, что таблица переписывается заново чуть ли не каждые 10-20 секунд ? Даже протестировать вменяемо правило невозможно - сбрасывается. А писать каждое правило в скрипт в /opt/etc/ndm/netfilter.d/ ради его банальной проверки сильно напрягает.
-
В 11.12.2018 в 00:41, Le ecureuil сказал:
Если вам кроме модулей netfilter ничего не нужно, то 2.11 - это ваш выбор.
Эта та которая Legacy ? Просто уже реально надоели все эти падения и ребуты. Причём 2.11.C.0.0-2, которой я пользовался до апдейта на
2.13.C.0.0-1 падала куда чаще 2.13.C.0.0-1 😕 Можно ли как-то экспортировать модули iptables для использования их на "обычной", не экспериментальной прошивке, в которой будут все необходимые ограничения ?В 11.12.2018 в 00:41, Le ecureuil сказал:Она и помельче, и там не будет никаких автоапдейтов никогда
Надеюсь ))) https://forum.keenetic.net/topic/3523-автообновление-прошивки-на-zyxelях/
В 11.12.2018 в 00:41, Le ecureuil сказал:Надежность swap через usb на самом деле крайне мала. Отвалился диск на пару секунд из-за плохого питания - все полетело или встало колом.
Ну про плохое питание даже не знаю. Разве может флешка SanDisk Cruzer Fit перегрузить usb по питанию (используется только она) ?
-
В 07.12.2018 в 05:59, Le ecureuil сказал:
Возьмите 2.11, она поменьше.
Да походу всё к тому и идёт. Вот к слову текущий набор компонентов
base storage corewireless opkg opkg-kmod-fs pppoe usb ppe dhcpd igmp opkg-kmod-netfilter opkg-kmod-netfilter-addons pingcheck udpxy ftp ip6
Как видите, совсем не густо. Так всё же - разве своп не поможет ? Или там используется исключительно RAM для работы ?
Меня на данный волнует вопрос стабильности. С самого момента покупки сей роутер только и знает, что падает и перезагружается. То сырая прошивка из коробки, у которой был ворох глюков и на которой пробу ставить было негде, потом неясные глюки которые переодически всплывали время от времени, потом недокументированный автоапдейт, потом ещё и ещё ...
Роутер всего один раз имел аптайм в 1 месяц, обычно это от 1 до 7 дней, изредка 2 недели
-
23 часа назад, Fandor сказал:
Или удалять что-то из компонентов не нужное особо.
Так в том то и дело, что компонентов самый минимум. Только самое необходимое (комплектный cifs на пару с ntfs и fat и то отрубил, равно как и кучу других мелочей - весь софт практически из entware). Чуть позже могу скинуть список компонентов, если интересует.
6 часов назад, Le ecureuil сказал:Мало места на flash -> используем squashfs с максимальным блоком и сжатием -> требуется много RAM для работы с ФС -> RAM перестает хватать -> все плохо.
Вот это уже проясняет дело. А своп решит проблему ?
6 часов назад, Le ecureuil сказал:На самом деле лимиты в transmission и прочих вещах взяты не с потолка - если отрубить все лимиты, как сделано в draft, то на устройствах с ограниченными ресурсами будет работать так, как в первом посте.
Да мне draft нужен лишь из-за расширенной поддержки модулей iptables. Были бы они в satble-релизе я бы к draft даже близко не подходил.
-
3 часа назад, Le ecureuil сказал:
Ну все, нет на omni II места ни под что. С этим нужно смириться.
Эээ ... Так в чём дело то ?
"Сломался" entware и отвалился dropbear
in Обмен опытом
Posted · Edited by OmegaTron
Движок съел теги, с третьей правки удалось вернуть текст назад. Почти весь. В процессе ...