Albram

Спасибо за ответы. Да, в версиях прошивок 3.x DoH/DoT есть из коробки. И с недавнего времени WireGuard тоже. WireGuard тем и хорош, что быстрый. И настраивается несложно. Но я медиаконтент по туннелю не гоняю. Видимо, туннели в офисы на кинетиках буду делать. На все ситуации «коробок» не хватит) в смысле, всё не предусмотришь. Но здесь на форуме есть раздел с предложениями для добавления функционала в прошивку. И да, если поставите Entware, то официальная техподдержка его не поддерживает.

Начало, прямо скажем, интригующее)) По существу, по первому пункту, без установки Entware вряд ли получится, но и как-то смысла особого нет блочить всех, кто хоть раз в порт постучался. А из похожего есть такое решение. 2. Элементарно указываете любой номер входящего порта и перенаправляете его на любой адрес:порт в локалке. 3. Про эту микротиковскую фишку знаю, но применения ей ни разу не находил, т.к. я предпочитаю держать всё порты закрытыми и настроить на кинетик vpn туннель. После этого заодно отпадет надобность и в пунктах 1 и 2. P.S.: Не сочтите за труд ответить на несколько вопросов по микротикам, и в частности по hap ac^2 (причину вопросов поясню ниже). Как там с DoT/DoH, не завезли ещё? Поддержки Wireguard нет? Сейчас выбираю оборудование между keenetic и mikrotik для связывания туннелями трёх офисов, в одном будет wifi. Хотел сделать на микротиках. Там где wifi нужен поставить hap ac^2, где не нужен - hex. Планировал Wireguard использовать, но оказалось, что микротики в него не могут.

Я сам паял TTL-RS232 переходники, правда не USB, а COM порт, для ремонта hdd. И с 5V уровнями, и с 1,8V. И дело не в цене было, а ждать от китайцев долго было, а надо было срочно. Пара транзисторов, пяток резисторов и всё уместилось в корпус разъёма COM порта. Так что, иногда можно не покупать.

У меня оба облачных клиента включены в настройках, и старый, и новый (видно на предыдущем моём скриншоте коннекты на обе службы), и проблем нет, оба работают. И при недавнем падении канала у провайдера сообщение из приложения прислал только новый. Будет жаль, если новый выпилите, а старый не будет информировать в подобных случаях.

Если вы про CoAP, то вряд ли это причина проблемы. Протокол CoAP создавался для устройств с ограниченными ресурсами, например для беспроводных датчиков. Посматривайте в "Диагностика -> Активные соединения", есть ли там коннекты на порт udp/5683. Этот порт используется этим протоколом. Хотя, похоже, что и облачная служба его использует, т.к. у меня в коннектах висит вот такое соединение: И в обратную сторону есть коннект с этого порта:

У вас, наверное, SSTP VPN-сервер установлен. Без него доступен для удаления:

Модем в HiLink? Если да, то DHCP на модеме включён?

Сканирую из внешней сети, подключаясь ноутбуком к телефону в режиме модема. В локалке, конечно, куча открытых портов.

Вы вводите команды в CLI, а эта статья про установку dnscrypt в Entware. Если у вас ещё не установлен Entware, то начинать нужно отсюда.

А зачем, если в 3.x версиях есть DoT/DoH в прошивке? Читали?

Давно заметил, что при сканировании портов wan интерфейса nmap показывает что tcp/21 открыт. FTP сервер поднят, но "галка" "Разрешить доступ из Интернета" не отмечена, и правил, открывающих порт наружу нет. И хотя коннекты снаружи на ftp сервер не проходят, всё равно, как-то не нравится это. Так было на прошивках 2.15 так же и сейчас на 2.16.D.1.0-1. nmap тоже был разных версий, службу он определяет правильно, как pure-ftpd. Возможно это из-за того, что pure-ftpd слушает на всех интерфейсах? Как-то можно указать прошивочному ftp не слушать на интерфейсе ppp0 ?

Всем спасибо за ответы. Сегодня уже показывает что локальный sandbox отличается: Обновился через CLI. Всё ОК.

Спасибо! Взлетело.

Видимо тоже в этом проблема. Хотя... каналы совпадают - delta: Если в WEB переключаю канал с "Отладочная" на "Бета-версия", то все компоненты помечаются на удаление. Похоже через WEB не судьба. Вы через CLI обновляли?

"...Он в другой раз закинул невод, Пришел невод с травой морскою." (с) А.С.Пушкин Не помогло второе обновление. Версия осталась 2.16.D.1.0-0.

Обновил Entware где-то с неделю назад, сегодня обнаружил что не работает redsocks. Не запускается, т.к. не находит старую версию либы: А redsocks нужен...

Обновился с 2.16.D.1.0-0 на 2.16.D.1.0-1 из WEB интерфейса, но вроде как и не обновлялся, т.к. после процесса обновления и перезагрузки версию показывает старую 2.16.D.1.0-0 и пишет, что доступно обновление. Второй раз обновляться не рискнул. Через CLI пока тоже. До этого, начиная где-то с 2.11 обновлялся через WEB без проблем.

Толком негде пока проверить, по мобильной сети пока только, и то в зоне не лучшего приема. В сторону закачки с сервера 20 мбит/сек. Без туннеля напрямую тоже 20Мбит/сек. Т.е. падения не видно. Загрузку процессора в это время более 47% в пике не видел.

В итоге, wireguard работает на старичке ультре. Конфиги следующие: В отличие от конфигов роутеров cо встроенным Wireguard, добавил правила: iptables -C FORWARD -i wg0 -j ACCEPT 2>/dev/null || iptables -I FORWARD -i wg0 -j ACCEPT - для хождения пакетов от клиента в локальную сеть за роутером (без него даже пинг в сторону роутера не идет) iptables -C INPUT -i wg0 -j ACCEPT 2>/dev/null || iptables -I INPUT -i wg0 -j ACCEPT - без этого правила туннель создавался, пинги ходили, но никакие сервисы (web, ftp) не были доступны в локальной сети сервера. По этому правилу у меня есть сомнения, интересно бы посмотреть в кинетиках со встроенной поддержкой Wireguard правила, которые обеспечивают работу. iptables -t nat -C PREROUTING -p udp --dport 15415 -j DNAT --to-destination 192.168.1.1:15415 2>/dev/null || iptables -t nat -I PREROUTING -p udp --dport 15415 -j DNAT --to-destination 192.168.1.1:15415 - тут всё ясно, открываем порт c wan в lan (средствами WEB GUI на роутере это не получилось, т.к. правило создаётся в цепочке "@PPP0" и wireguard не хочет создавать туннель). При данных настройках клиенты будут ходить через туннель только в локальную сеть за роутером. Хождение всего трафика через туннель в этих правилах не настроено, т.к. пока не требуется.

Спасибо! Очень оперативно! Запускается без ошибок. Теперь конфиг wg0.conf буду править.

Я понял, я те файлы сначала пробовал, потом подсмотрел на wireguard.com инструкцию по быстрому запуску и адаптировал. Я не увидел разницы в wireguard и wireguard-go, т.к.: ~ # cat /opt/lib/opkg/info/wireguard-go.list /opt/bin/wireguard Т.е., что wireguard wg0, что /opt/bin/wireguard wg0, дают одинаковый результат.

С кем не бывает))

В принципе, вручную интерфейс создается/удаляется, адрес присваивается, делал вот так: wireguard wg0 ip addr add 10.7.7.1/24 dev wg0 ip link set wg0 up Но как только дело доходит до wg, причем в любых комбинациях wg set, wg setconf, wg addconf, то "Unable to modify interface: Protocol not supported" ~# wg setconf wg0 /opt/etc/wireguard/wg0.conf С вашими файлами, естественно тоже самое: Ждём с нетерпением new ipk files...

Первое сообщение "RTNETLINK answers: Operation not supported" из-за отсутствия type wireguard Второе "Unable to modify interface: Protocol not supported" в ответ, как уже писали выше, на: wg setconf wg0 /opt/etc/wireguard/wg0.conf Остальное, это уже следствие первых ошибок.

При запуске S01wireguard руками: Содержимое S01wireguard и wg-up: