[6to4 IPv6 DNS сервер]

@vst, подскажите, пожалуйста, есть ли в планах на будущее возможность задать для сегментов произвольные IPv6 DNS-сервера (до 3 из-за ограничения в radvd) = управлять полем RDNSS в radvd.conf? То есть, дать возможность резолвить имена по IPv6, минуя DNS proxy, индивидуально для каждого BridgeX.

[IPv6 firewall]

3 часа назад, Le ecureuil сказал:

В 2.16 по идее еще с версии 2.16.D.3.0-3 перенесено. Надо проверить значит.

Лимиты ICMPv6 перенесены, но вот правило для fe80::/10 в INPUT осталось + нет правил, добавленных в _NDM_INPUT.

 

[IPv6 firewall]

@Le ecureuil, перенесите, пожалуйста, в netfilter 2.16/2.11 изменения из этой темы помимо лимитов ICMPv6.

(config)> show ipv6 netfilter
<...>
==== Table: "filter" ====
== Chain INPUT ==
<...>
src: fe80::/10, dst: ::/0, in: "*", out: "*", proto: "any"; ACCEPT
<...>

(config)> show ver

          release: 2.16.D.3.0-5
<...>

 

[Web-интерфейс: описание на странице Wireless ACL]

@eralde, 3.5 Alpha 8. Сто́ит поправить на странице Wireless ACL описание на русском:

• как в описании на английском не упоминать конкретный алгоритм (ведь в кинетиках есть и могут использоваться не только WPA2);
• заменить кавычки на «ёлочки», как в остальных местах в web-интерфейсе.

[Web-интерфейс: selectbox Band Steering при смене языка]

@eralde, 3.5 Alpha 8. При смене языка до перезагрузки страницы "залипает" перевод в выпадающем списке Band Steering.

[Документация по командной строке]

@enpa, спасибо за исправления в 1.87! Только упущен момент в описании "ip ssh keygen default": с появлением ed25519 эта команда генерирует 3 ключа.

[Скрипты из /opt/etc/ndm/* выполняются даже без наличия +x]

Попробуйте так:

#!/bin/sh
 
[ ! -x "$0" ] && exit 0

<...>

Есть "+x" - выполнится, нет - exit 0.

[Документация по командной строке]

@enpa @MuKu, в текущих мануалах 1.86 для устройств с поддержкой 3.4:

• Нет команды "ip ssh cipher";
• В "ip ssh keygen" не упоминается ключ ed25519 в принципе, и его генерация default в частности.

Ещё заметил:

• Нет команды "whoami". Возможно намеренно, но в базовых командах не хватает "exec";
• В глоссарии ссылка на Entware в сноске ведёт к архивному репозиторию. Актуальная: https://github.com/Entware/Entware.

[possible DNS-rebind attack detected при использовании днс яндекса]

В 03.05.2020 в 22:03, Le ecureuil сказал:

Из-за того, что ломаются интернет-банки решено убрать loopback из rebind-protect в режиме auto.

Желающие обезопасить себя и не нуждающиеся в банкинге могут включить strict-режим, в нем и "комар носа не подточит".

@Le ecureuil, можно ли в таком случае добавить возможность ручного ввода блокируемых подсетей и отдельных адресов (/32)? Я бы тогда сам задал, что хочу блокировать, как это делают, например, в Unbound.

Защиты без loopback мне недостаточно, а strict слишком круто для RIPE Atlas: сразу полезли в логе блокировки служебных доменов.

Май 5 02:30:33 ndnproxy possible DNS-rebind attack detected: "ipv4only.arpa." IN A "192.0.0.171".
Май 5 02:30:33 ndnproxy possible DNS-rebind attack detected: "ipv4only.arpa." IN A "192.0.0.170".

 

[Авторизация в NDMS SSH по ключам]

18 минут назад, Dmitry Mukhach сказал:

Так сейчас есть возможность подключаться к ssh keenetic используя autorized_keys или нет?

К прошивочному dropbear — нет. Если есть возможность использовать Entware, то там authorized_keys работают. Подключаетесь, запускаете ndmc и вы в CLI.

[Блокируется внешний входящий DNS-трафик, но нужно с ним работать]

40 минут назад, REVERSE сказал:

Просниффил ещё на eth3, который 192.168.88.2 - статик к микротику. Тоже трафик летает, но в нём нет внешнего айпишника VPS, с которого я пробую резолвить домен.

Дёргайте провайдера насчёт настроек их оборудования.

[Блокируется внешний входящий DNS-трафик, но нужно с ним работать]

41 минуту назад, REVERSE сказал:

Только именно с ДНС это не работает.

3.4 Beta 2 (незарегистрированный хост в protected-сегменте):

~ # ndmc -c "sh run" | grep static
ip static udp GigabitEthernet1 53 10.1.30.43 !DNS-test
~ # tcpdump -v -i br1 port 53
tcpdump: listening on br1, link-type EN10MB (Ethernet), capture size 262144 bytes
20:17:50.718700 IP (tos 0x0, ttl 56, id 43324, offset 0, flags [none], proto UDP (17), length 81)
    pppoe-static.mosoblast.rt.ru.51823 > 10.1.30.43.domain: 37248+ [1au] A? keenetic.com. (53)
20:17:55.717505 IP (tos 0x0, ttl 56, id 44463, offset 0, flags [none], proto UDP (17), length 81)
    pppoe-static.mosoblast.rt.ru.51823 > 10.1.30.43.domain: 37248+ [1au] A? keenetic.com. (53)
20:18:00.717818 IP (tos 0x0, ttl 56, id 45527, offset 0, flags [none], proto UDP (17), length 81)
    pppoe-static.mosoblast.rt.ru.51823 > 10.1.30.43.domain: 37248+ [1au] A? keenetic.com. (53)
^C
3 packets captured
3 packets received by filter
0 packets dropped by kernel

Не стал поднимать сервер, но, я думаю, что проблем бы не возникло.

С зарегистрированным устройством (в ip static не IP, а MAC целевого хоста) в private-сегменте аналогично.

[Блокируется внешний входящий DNS-трафик, но нужно с ним работать]

2 часа назад, REVERSE сказал:

Но, кажется, я нашёл причину, эти пакеты, по-видимому, блокируются с помощью iptables:

Chain _NDM_IP_PROTECT (1 references)
 pkts bytes target     prot opt in     out     source               destination
   83  6008 _NDM_IP_PUBLIC  all  --  *      *       0.0.0.0/0            0.0.0.0/0
   82  5956 _NDM_SL_PROTECT  udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:53
    0     0 _NDM_SL_PROTECT  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:53

Эти правила нужны для работы с DNS-прокси роутера в сегменте с security-level protected.

2 часа назад, REVERSE сказал:

Можно ли как-то всё же разрешить им проходить, и идти на определённый IP в домашней сети?

Можно в вебе на странице переадресации портов.

[possible DNS-rebind attack detected при использовании днс яндекса]

2 часа назад, Le ecureuil сказал:

Все верно работает.

Не вижу ни одного положительного сценария, когда неявный rebind и backconnect шел бы на пользу, а не служил сомнительным целям.

Потому разумеется все оставим.

Полностью согласен. Даже не поленился и хотя бы в общих чертах посмотрел, для чего это нужно Яндексу.

Запустил Яндекс.Карты на Айфоне, открыл в Safari yandex.ru, а дальше вот такая красота:

Summary
URL: https://yandexmetrica.com:30103/p?t=UV%7CL7%2C!%22T%5Brwe%26D_%3EZIb%5CaW%2398Y.PC6k
Status: 200 OK
Source: Network
Address: 127.0.0.1:30103
Initiator: watch.js:88

Request
GET /p HTTP/1.1
Accept: */*
Origin: https://yandex.ru
Accept-Encoding: gzip, deflate, br
Host: yandexmetrica.com:30103
User-Agent: Mozilla/5.0 (iPhone; CPU iPhone OS 13_4_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.1 Mobile/15E148 Safari/604.1
Accept-Language: ru
Referer: https://yandex.ru/
Connection: keep-alive

Response
HTTP/1.1 200 OK
Content-Type: text/plain; charset=utf-8
Access-Control-Allow-Methods: GET
Content-Length: 364
Access-Control-Allow-Origin: *

Query String Parameters
t: UV|L7,!"T[rwe&D_>ZIb\aW#98Y.PC6k

Карты открыли на lo0 tcp/30103 (по Андроиду даже есть работа, где упоминают, откуда ноги у этих портов растут), а Safari через резолв yandexmetrica.com на него приконнектился и послал GET-запрос, на который ему выплюнули закодированный ответ:

Km+9nRZEtshkJfOmPHfAmEHn/D05k1mogQc9n3ZgFXCHH1fi4Nsfr/FFIZJ4V66gG15lXB8p2eB3dJoUwf9aH6pn0WBuLNlR6jLmEXw3/Cyo68Tcr0xeRFNFZGfuerT/HuJpYc8i4+LynkyWjDiN701zeM2qD3ghpO1MBMQBDnGc5IIWObvEnlZvMqnKachoJ4uGm6ZBbIWm1U/dMIKdJ4v+KHYP3RrWHVNlDDXO8iALNEjmTz0mHQzEZ2VBjMYjwsYS6fR4uiG4Pl7MQZVdqUnK2Vxio5z0t+FqEU+vLyuAQprlcI3SHXWz8YsKJ4PrLrbu4KQiLpnMcBgzZ15jT8lYYg1Yqwp3cCKbkPqq/I4=

 

[possible DNS-rebind attack detected при использовании днс яндекса]

2 часа назад, Le ecureuil сказал:

Подозрительный домен, подозрительный адрес.

Судя по "whois yandexmetrica.com" и "dig any yandexmetrica.com @8.8.8.8" - вполне себе зарегистрированный на Яндекс и обслуживаемый их NS-ами 

Что-то можно накопать при гуглении. Я для себя приметил, что лезет в логе при просмотре сайтов на смартфонах с незаблокированной рекламой.

[IPv6 firewall]

2 часа назад, Le ecureuil сказал:

А сколько вам нужно?

Менял так-сяк несколько часов и получилось:

ipv6-icmptype 3 limit: avg 15/sec burst 30
ipv6-icmptype 128 limit: avg 15/sec burst 30
ipv6-icmptype 129 limit: avg 15/sec burst 30

Оказалось, что и 128, 129 надо бы подтянуть

[IPv6 firewall]

@vst, можно попросить, пожалуйста, изменить (ослабить) лимит в цепочке _NDM_ICMPV6_POLICY для Time Exceeded (Type 3).

У меня за роутером стоит пробник RIPE Atlas, то есть через firewall проходит заметное количество транзитных ICMPv6-пакетов, и при traceroute'ах постоянно возникает ситуация, когда на WAN пакет пришёл, а через fw до хоста не добрался.

Ниже, скрытым постом, пример такой ситуации.

[Отключение проверки captive в Internet Checker]

1 минуту назад, r13 сказал:

Да выключите вы его в конце концов и успокойтесь ))

no service internet-checker

Зачем же рубить с плеча?

Пусть будет гибкость у работающего сервиса. И потом, это просто голосовалка, я лишь предлагаю.

[Отключение проверки captive в Internet Checker]

Предлагаю дополнить easyconfig check командой "easyconfig check exclude-captive" для отключения проверки доступности интернета через сервис NDM.

Хотелось бы иметь возможность (пусть это просто надпись и лампочка) не зависеть от одного ресурса при проверке: есть интернет или нет. В настоящий момент чекер игнорирует доступность ресурсов из списка hosts, когда "отвалился" captive.

Классическая картина:

(config)> show internet status

           checked: Thu Apr  2 13:23:04 2020
           enabled: yes
          reliable: yes
gateway-accessible: yes
    dns-accessible: yes
   host-accessible: yes
captive-accessible: no
          internet: no

 

[Проблемы с определением USB-флешки]

3 часа назад, rustrict сказал:

После перехода с 3.3 на 3.4 моя флешка с Entware (ext4) определяется с ошибками:

Мар 29 14:09:40 kernel usb 1-2: usbfs: USBDEVFS_CONTROL failed cmd ndm rqt 128 rq 6 len 2 ret -145
Мар 29 14:09:41 kernel usb 1-2: usbfs: USBDEVFS_CONTROL failed cmd ndm rqt 128 rq 6 len 2 ret -145
Мар 29 14:09:41 ndm Usb::Device: system failed [0xcffd00b0], operation timed out.
Мар 29 14:09:41 ndm Usb::Device: failed to get a string descriptor header.
Мар 29 14:09:41 ndm Usb::Device: unable to read available language IDs.

Ранее такого никогда не было.

Перезагрузки при этом не помогают. А вот если физически переподключить, тогда этих ошибок нет.

@sergeyk, а чем эти ошибки вызваны непонятно?

В 3.3 и раньше не сталкивался.

[Проблемы с определением USB-флешки]

@sergeyk @AndreBA, оказалось, что зависит от места, где отключаешь. Я пробовал только на странице "Приложения", а если в дашборде нажать на "Безопасное извлечение", то ок: и лампочка гаснет, и кеш SCSI сбрасывается.

Скрытый текст

Мар 29 17:37:40 ndm Core::FileSystem::Repository: unregistering "d2dd8fe7-c0da-d501-50d0-8ee7c0dad501:" filesystem...
Мар 29 17:37:40 ndm Storage::Manager: started "Media0" eject.
Мар 29 17:37:40 dropbear[13274] Early exit: Terminated by signal
Мар 29 17:37:40 ndm Opkg::Manager: /opt/etc/init.d/rc.unslung: exit code 1.
Мар 29 17:37:40 ndm Opkg::Manager: disk unmounted.
Мар 29 17:37:40 ndm Storage::Manager: "Media0": unregistered partition "d2dd8fe7-c0da-d501-50d0-8ee7c0dad501:".
Мар 29 17:37:40 sdetach Media0: synchronized SCSI device cache.
Мар 29 17:37:40 sdetach Media0: stopped a SCSI device.
Мар 29 17:37:40 sdetach Media0: brought a block device to offline.
Мар 29 17:37:40 kernel sd 0:0:0:0: [sda] Synchronizing SCSI cache
Мар 29 17:37:41 sdetach Media0: unbound a driver.
Мар 29 17:37:41 ndm Storage::Manager: "Media0": ejected.
Мар 29 17:37:41 ndm Storage::Manager: "Media0": removed partition "d2dd8fe7-c0da-d501-50d0-8ee7c0dad501:".
Мар 29 17:37:41 ndm Storage::Manager: removed "Media0", port 2.
Мар 29 17:38:29 kernel usb 1-2: USB disconnect, device number 4

 

Непонятно только, должно ли это работать именно так? Ну и ошибки после ребута на месте, приходится извлекать и вставлять обратно.

[Проблемы с определением USB-флешки]

32 минуты назад, sergeyk сказал:

Попробуйте подождать подольше (возможно даже после отмонтирования раздела остаются работающие приложения, запущенные с USB-диска).

Попробовал подождать после отмонтирования 10 минут - к сожалению, аналогично. Лампочка так и не погасла до извлечения, и то же сообщение в логе:

Мар 29 17:17:46 dropbear[1772] Early exit: Terminated by signal
Мар 29 17:17:46 ndm Opkg::Manager: disk unmounted.
Мар 29 17:17:46 ndm Core::FileSystem::Repository: "d2dd8fe7-c0da-d501-50d0-8ee7c0dad501:" unmounted.
<...>
Мар 29 17:27:31 kernel usb 1-2: USB disconnect, device number 3
Мар 29 17:27:31 kernel sd 0:0:0:0: [sda] Synchronizing SCSI cache
Мар 29 17:27:31 kernel sd 0:0:0:0: [sda] Synchronize Cache(10) failed: Result: hostbyte=0x01 driverbyte=0x00
Мар 29 17:27:31 ndm Core::FileSystem::Repository: unregistering "d2dd8fe7-c0da-d501-50d0-8ee7c0dad501:" filesystem...
Мар 29 17:27:31 ndm Storage::Manager: "Media0": unregistered partition "d2dd8fe7-c0da-d501-50d0-8ee7c0dad501:".
Мар 29 17:27:31 ndm Storage::Manager: "Media0": removed partition "d2dd8fe7-c0da-d501-50d0-8ee7c0dad501:".
Мар 29 17:27:31 ndm Storage::Manager: "Media0": a media was unsafely unplugged without ejecting.
Мар 29 17:27:31 ndm Storage::Manager: removed "Media0", port 2.

 

[Проблемы с определением USB-флешки]

@ndm @sergeyk, 3.4 Alpha 12. После перехода с 3.3 на 3.4 моя флешка с Entware (ext4) определяется с ошибками:

Мар 29 14:09:40 kernel usb 1-2: usbfs: USBDEVFS_CONTROL failed cmd ndm rqt 128 rq 6 len 2 ret -145
Мар 29 14:09:41 kernel usb 1-2: usbfs: USBDEVFS_CONTROL failed cmd ndm rqt 128 rq 6 len 2 ret -145
Мар 29 14:09:41 ndm Usb::Device: system failed [0xcffd00b0], operation timed out.
Мар 29 14:09:41 ndm Usb::Device: failed to get a string descriptor header.
Мар 29 14:09:41 ndm Usb::Device: unable to read available language IDs.

Ранее такого никогда не было.

Перезагрузки при этом не помогают. А вот если физически переподключить, тогда этих ошибок нет.

Выводы show usb:

Скрытый текст

 

До переподключения

usb: 
 device: 
       name: Media0
       DEVICE: /devices/platform/xhci-mtk/usb1/1-2/1-2:1.0
      DEVPATH: /devices/platform/xhci-mtk/usb1/1-2/1-2:1.0/host0/target0:0:0/0:0:0:0/block/sda
 manufacturer: General
      product: USB Flash Disk
       serial: 04KNU9GZ6QY8N5VN
    subsystem: media
         port: 2
power-control: yes

и после

usb: 
 device: 
       name: Media0
       DEVICE: /devices/platform/xhci-mtk/usb1/1-2/1-2:1.0
      DEVPATH: /devices/platform/xhci-mtk/usb1/1-2/1-2:1.0/host0/target0:0:0/0:0:0:0/block/sda
 manufacturer: General
      product: USB Flash Disk
       serial: 04KNU9GZ6QY8N5VN
    subsystem: media
         port: 2
power-control: yes
  usb-version: 2.00

 

Есть ещё странность с отмонтированием: кнопку "Отключить" нажал, но лампочка не погасла до тех пор, пока не извлёк. И при этом ругается в лог на "unsafely unplugged without ejecting":

Мар 29 14:17:15 ndm Opkg::Manager: disk unmounted.
Мар 29 14:17:15 ndm Core::FileSystem::Repository: "d2dd8fe7-c0da-d501-50d0-8ee7c0dad501:" unmounted.
Мар 29 14:17:29 kernel usb 1-2: USB disconnect, device number 2
Мар 29 14:17:29 kernel sd 0:0:0:0: [sda] Synchronizing SCSI cache
Мар 29 14:17:29 kernel sd 0:0:0:0: [sda] Synchronize Cache(10) failed: Result: hostbyte=0x01 driverbyte=0x00
<...>
Мар 29 14:17:29 ndm Storage::Manager: "Media0": a media was unsafely unplugged without ejecting.
Мар 29 14:17:29 ndm Storage::Manager: removed "Media0", port 2.

Селф-тесты постом ниже.

[Странное поведение InternetChecker]

@vst, кажется, что @enpa здесь был прав, в момент "потери" коннекта

Мар 10 17:20:49 ndm Network::InternetChecker: Internet access lost.
Мар 10 17:20:58 ndm Network::InternetChecker: Internet access detected.

отличия есть только тут

captive-accessible: no
          internet: no
<...>
       captive:
          response:
          location:

В дампе с фильтром "host captive.ndmsystems.com" подобные моменты выглядят как неожиданный RST со стороны сервера:

1	2020-03-10 17:51:52.010573	94.x.x.x	46.105.148.85	TCP	74	59566 → 80 [SYN] Seq=0 Win=29200 Len=0 MSS=1460 SACK_PERM=1 TSval=142975329 TSecr=0 WS=64
2	2020-03-10 17:51:52.056134	46.105.148.85	94.x.x.x	TCP	74	80 → 59566 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1460 WS=512 SACK_PERM=1 TSval=1954792551 TSecr=142975329
3	2020-03-10 17:51:52.056277	94.x.x.x	46.105.148.85	TCP	66	59566 → 80 [ACK] Seq=1 Ack=1 Win=29248 Len=0 TSval=142975341 TSecr=1954792551
4	2020-03-10 17:51:52.056647	94.x.x.x	46.105.148.85	TCP	88	59566 → 80 [PSH, ACK] Seq=1 Ack=1 Win=29248 Len=22 TSval=142975341 TSecr=1954792551 [TCP segment of a reassembled PDU]
5	2020-03-10 17:51:52.101728	46.105.148.85	94.x.x.x	TCP	60	80 → 59566 [RST] Seq=1 Win=0 Len=0

Мар 10 17:51:52 ndm Network::InternetChecker: Internet access lost.
Мар 10 17:51:55 ndm Network::InternetChecker: Internet access detected.

97	2020-03-10 18:14:39.361417	94.x.x.x	46.105.148.85	TCP	74	60864 → 80 [SYN] Seq=0 Win=29200 Len=0 MSS=1460 SACK_PERM=1 TSval=143317167 TSecr=0 WS=64
98	2020-03-10 18:14:39.406993	46.105.148.85	94.x.x.x	TCP	74	80 → 60864 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1460 WS=512 SACK_PERM=1 TSval=441113173 TSecr=143317167
99	2020-03-10 18:14:39.407166	94.x.x.x	46.105.148.85	TCP	66	60864 → 80 [ACK] Seq=1 Ack=1 Win=29248 Len=0 TSval=143317178 TSecr=441113173
100	2020-03-10 18:14:39.407591	94.x.x.x	46.105.148.85	TCP	88	60864 → 80 [PSH, ACK] Seq=1 Ack=1 Win=29248 Len=22 TSval=143317179 TSecr=441113173 [TCP segment of a reassembled PDU]
101	2020-03-10 18:14:39.452560	46.105.148.85	94.x.x.x	TCP	60	80 → 60864 [RST] Seq=1 Win=0 Len=0

Мар 10 18:14:39 ndm Network::InternetChecker: Internet access lost.
Мар 10 18:14:42 ndm Network::InternetChecker: Internet access detected.

Причём, судя по всему, тупит только 46.105.148.85, хотя, может быть, я просто мало наблюдал

 

[Подгрузка плэйлиста по HTTP]

15 часов назад, Space Alex сказал:

Собственно вопрос, есть какая то возможность дать доступ к файлу по протоколу HTTP штатными средствами?

Доступ можно дать через REST, но ответом будет массив JSON, который телевизор естественно не переварит. Других вариантов без авторизации или без использования Entware я найти не смог.