Werld
-
Posts
436 -
Joined
-
Last visited
-
Days Won
6
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by Werld
-
-
4 минуты назад, AndreBA сказал:
У Вас Ростелеком?
Судя по всему да. KeenDNS имя из переписки с техподдержкой резолвится в ip 31.180.xxx.xxx
Название провайдера: OJSC Rostelecom Macroregional Branch South -
Только что, Максим_ сказал:
Ещё месяц назад, все работало.
Вы прям цитируете из той ссылки, что я привел)) Чудес не бывает, раз техподдержка, посмотрев конфиг, сообщила, что порт открыт, никаких правил взапрещающих в межсетевом экране нет, то что остается?
-
40 минут назад, Максим_ сказал:
с оф поддержкой топчусь на месте уже две недели.
Я думаю ответ прост - блокирует провайдер. Вот есть похожие случаи на ростелекоме https://www.nn.ru/community/techno/internet/rostelekom_blokiruet_podklyucheniya_na_80_port.html
-
1 минуту назад, gaaronk сказал:
Для того что бы в интерфейс пошел трафик, он стал link up, connected yes надо что бы трафик туда попал. Хост изнутри пингует дальнюю с сторону. Маршрута нет, и пинг идет не в интерфейс wireguard, а в дефолт. Нет трафика - нет маршрута. А нет маршрута - нет трафика.
Когда вы пингуете "стыковочный адрес" трафик тоже идет в интерфейс wireguard. Я не понимаю, что вы мне пытаетесь доказать? Маршруты пропадают, с этим я согласен, здесь нужна реакция разработчиков. Но интерфейс не идет в down, говоря, что "было state: up стало state: down" - вы ошибаетесь, в посте выше я вам продемонстрировал.
-
Ну то есть вы теперь согласны, что интерфейс остается up? Проблему с пропаданием маршрутов я не отрицал.
4 минуты назад, gaaronk сказал:Изнутри инициируют соединение не в подсеть на интерфейсе, а сеть лежащую за интерфейсом.
Вы пытаетесь буквоедствовать, тем не менее неверно. прочитайте внимавтельно, я написал "в подсеть, обозначенную маской на интерфейсе", да наверное коряво выразился, но, тем не менее, я не писал "в подсеть на интерфейсе"
-
14 минуты назад, gaaronk сказал:
Как же не идет, когда идет?
было state: up стало state: down
Вот прошло время, маршруты исчезли, пир стал "сереньким"
Но интерфейс все равно up:
(config)> show interface Wireguard0
id: Wireguard0
index: 0
type: Wireguard
description: Waffle
interface-name: Wireguard0
link: down
connected: no
state: up
mtu: 1420
tx-queue: 50
address: 10.15.57.2
mask: 255.255.254.0
uptime: 936
global: no
security-level: publicwireguard:
public-key: mAS
listen-port: 49112
status: up
Интерфейс не выключается, и если в него пойдет траффик, он снова скажет link up, connected yes -
3 минуты назад, gaaronk сказал:
А трафик изнутри не пойдет.
Вот специально убрал PersistentKeepalive, на другом конце его тоже нет. Маршруты добавленые через этот интерфейс ушли, как вы и сказали. Но вот я посылаю пинг, и другая сторона мне сразу отвечает, т.к.маршрут в подсеть, обозначенную маской на интерфейсе остается. Так что трафик изнутри пойдет. Вопрос и остается только с пропаданием маршрутов.
-
17 минут назад, gaaronk сказал:
Ну тогда процитирую.
PersistentKeepalive — a seconds interval, between 1 and 65535 inclusive, of how often to send an authenticated empty packet to the peer for the purpose of keeping a stateful firewall or NAT mapping valid persistently.
Между пирами у меня нет ни NAT, ни stateful firewall.
Ну а я не это же самое вам и написал? Ладно опустим PersistentKeepalive. Вот вы пишете, что интерфейс идет в down, но это же не так, вам не придется включать его снова. Как только трафик пойдет в него он его прекрасно отработает. Проблема насколько я понимаю именно в этом: "из таблицы попадает маршрут привязанный к этому интерфейсу". Ну так и пишите об этом, а не о том, что интерфейс видите ли идет в down. Никуда он не идет, как я написал выше, он просто сидит и ждет когда снова в него трафик пустите. А вот то, что из таблицы пропадают маршруты, это и связано, насколько я понимаю, с тем, что кинетик судит о состоянии соединения по state, т.к. внутри там все тот же линуксовый netfilter - statefull firewall. Можно ли сделать, чтобы маршрут не пропадал из таблицы при простое интерфейса вот это, как раз, вопрос к разработчикам. Попробуем спросить @Le ecureuil
-
Это не для "пробития NAT", а как раз для того, чтобы state соединения оставался up, что и приводит к тому, что statefull фаерволлы считают что соединение продолжается. Wireguard,как пишут его авторы, старается оставаться как можно более тихим, это by design.
-
16 минут назад, gaaronk сказал:
А можно опцию для Wireguard интереса что бы не делать ему down, если не было хендшейка и не было трафика более 120 секунд?
Вот как раз для этого создатели wireguard предусмотрели опцию Persistent Keepalives, в вебе кинетика она называется "Проверка активности" в настройках пира.
-
Число клиентских подключений ограничивается выделенным служебным размером раздела памяти объемом 24 Кбайта для хранения VPN-конфигураций. Особенно это актуально для OpenVPN-соединений, т.к. суммарный размер их конфигураций не должен превышать 24 Кбайта.
Взял отсюда https://help.keenetic.com/hc/ru/articles/115005342025-Типы-VPN-соединений-в-Keenetic
- 1
- 1
-
3 часа назад, vovec79 сказал:
из-за провалов абсолютно не повод не ставить эту версию...
А какой есть повод ее ставить? Чем она настолько лучше текущей в рамках использования в роутере, какие проблемы решает, что нужно все бросать и срочно ее внедрять?
- 4
-
Честно говоря, не совсем понятно чего вы хотите добиться, то у вас openvpn, то вдруг gre. Но если все же вам "нужно что бы адреса не транслировались!", то попробуйте отключить глобальный нат: no ip nat Home
Далее включаем обратно нат, но только для интерфейсов, которым он нужен, командой вида: ip static Home ISP - включает трансляцию адресов домашней сети Home в о внешний интерфейс ISP. Если у вас подключение к провайдеру через pppoe, к примеру, то тогда еще команда: ip static Home pppoe0 ит.д включаем нат отдельно только через нужные интерфейсы.
-
9 часов назад, g0dzilla сказал:
Не уверен в теме заголовка, но суть в следующем:
Кинетик без белого адреса коннектится с удаленному VPN L2TP серверу Mikrotik.
Делается проброс порта 50000 -> 50000 на IP VPN клиента Keenetic и далее на локальный ПК 50000 -> 3389
Внешний ip VPN Сервера 1.2.3.4:5000 -> 172.16.16.254 L2tp SERVER - > 172.16.16.100 IP VPN Keenetic - > 192.168.1.100:3389 ПК с RDP
НА ПК с RDP стоит программа блокировки перебора логинов паролей - но проблема в том что видит она подключение с одного IP -> 172.16.16.254, а нужно с 4.3.2.1 того кто коннектится...
Такая же схема с Mikrotik - Mikrotik передает IP корректно до клиента... Как сделать так что бы что бы передавался корректно IP соединяющегося с RDP сервером...
Заранее спасибо!
Сдется мне, что snat происходит на микротике, раз пакет прилетает с sourceIP 172.16.16.254, который, судя по вашему описанию, на интерфейсе микротика. Думаю, стоит сделать захват входящих пакетов на интерфейсе l2tp Кинетика, с помощью одноименного компонента. Убедится что на l2tp интерфейс кинетика пакет действительно прилетает с sourceIP 172.16.16.254 и искать проблему на микротике, очевидно какое-то правило snat'a
-
3 минуты назад, bzda сказал:
сейчас в разделе "менеджер opkg" создал пользователей, дал им пароль и поставил галку "доступ"
при попытке залогиниться по ssh опять доступ не дает,
и посмотрел содержимое диска, ни какие файлы от opkg не появились, папки bin, etc и т.д. пустые, получается не установился opkg?
В "менеджере opkg" сценарии initrc должно быть что нибудь вписано ? Припоминаю что когда первый раз ставил opkg и выбирал носитель там было что то вписано.
Сдается мне, вы путаете прошивочный ssh сервер и тот, который устанавливается при развертывании entware. Прошивочный висит на стандартном порту 22. Если прошивочный ssh установлен, то в момент разворачивания entware вешает свой на 222 порт.
- 1
-
1 час назад, Max Che сказал:
1. Клиент webdav, предпочтительно вшить настройки для популярных сервисов, типа Dropbox
Dropbox не поддерживает доступ по webdav
-
55 минут назад, bzda сказал:
мож че не так делаю, но через кнопку на попе сбросить не получилось, пришлось сброс делать через вебморду
все настроил зановов, данные с харда не удалял, сами тоже не потерлись
поставил прошивку 3.5.3, opkg ставить не стал, под рутом не пускает
в путти пишу адрес root@192.168.1.1, пароли все свои перепробовал, также пароль от вебморды, keenetic и zyxel
не принимает, порт 22
без оpkg должен пускать под рутом?
под админом пускает, но в кли, мож из нее как то можно под рутом залогинится?
root есть только в opkg. Без opkg в прошивочном cli этот пользователь никогда не был доступен. Только admin и любой другой пользователь, которого вы создадите и дадите нужные права
-
Hello. 802.11 standard defines 20MHz channels, and as long as you wish to remain standard, it will be 20/40MHz and AP has to allow devices to use only single channel. Same for 802.11ac with 20/40/80
- 2
-
1 минуту назад, Mamay сказал:
Не будем спорить. Дождёмся гуру!
Полностью согласен
-
1 минуту назад, Mamay сказал:
Да всё верно, но "дополнительные параметры" не синхронизируются. Я веду речь о них. И не надо ими управлять, коли такая реализация. Их нужно разово, при добавлении устройства в mesh взять у контроллера и положить экстендеру.
Что я говорю не так?
Взять у контроллера и положить экстендеру и есть "синхронизация". Она не делится на типы, нет такого, что синхронизация при захвате, одно, а при смене настроек на контроллере - другое. Она происходит в заданном объеме при любом чихе же. А если начать разделять эти вещи, при захвате - синхронизация одна, полная, с доп параметрами, а при перезагрузке устройства уже другая синхронизация без этих параметров, то как раз и вылезают вопросы о реализации. Поэтому я и позволил себе заметить, что "Тут тоже есть о чем подумать" и "не уверен, что организация такой логики проста в реализации..."
-
3 минуты назад, Mamay сказал:
Речь идёт о ПЕРВОНАЧАЛЬНОЙ настройке при захвате. Захватил контроллер - перелей всё до TX-Burst. Точка.
А уже тюнинговать/не тюнинговать - второй вопрос.
В текущей реализации экстендеры переинициализируют настройки с контроллера при любом чихе. Иначе смена пароля или ssid на контроллера не приводила бы к смене этих параметров на экстендерах. Поэтому нет никакой первоначальной настройки при захвате, настройки переезжают постоянно, даже просто после перезагрузки любого устройства.
-
С другой стороны, а как экстендер будет понимать брать настройки с контроллера или оставлять свои? Тут тоже есть о чем подумать. Одно дело, тупо перенимать настройки с контроллера в 100% случаев, а другое прикрутить какую-то систему приоритетов, когда какие настройки важнее. Типа если настройки сделаны вручную - оставлять, если нет - перенимать с контроллера, но не уверен, что организация такой логики проста в реализации...
-
1 минуту назад, Mamay сказал:
Вы не так поняли. Никто не просит отменять доп. настройки на ТД. Я прошу по умолчанию скопировать всё что уже преднастроено на контроллере, а там уже настраивайте как хотите и как вам угодно. Для вас с 3 устройствами минутное дело, с 33/133 устройствами это уже не так мало. И явно нигде не указано, что дотюнинговывать нужно ручками самому. Это вводит в некое заблуждение пользователя...
Тогда да, не так понял. Если при такой реализации возможность изменять эти доп настройки на экстендерах все равно оставят, то ничего не имею против)
-
Тогда и канал будет тоже копироваться с контроллера, а это не нужно. К примеру, у вас частный дом, свободный эфир, три кинетика, соединены кабелем, вы на них в 2.4 выставили 1, 6 и 11 канал - красота. Или, к примеру, есть старый девайс, который умеет только 802.11g и всегда стоит на втором этаже. Вы на нужном экстендере выставили g,n а на остальных оставили n-only - опять красота. То есть, ради мизерного удобства, избавляющего при конфигурировании wifi-системы от минутной доп настройки на экстендерах , мы теряем львиную долю гибкости возможных настроек.
Подключение Wireguard
in 3.3
Posted
Если Кинетик у вас в wireguard выступает "сервером", то просто не выставляйте в нем пункт "Проверка активности" для пиров.