Oleg Nekrylov
-
Posts
623 -
Joined
-
Last visited
-
Days Won
4
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by Oleg Nekrylov
-
-
Посоветовали написать сюда.
Прошивка 3.8a1, но это касается и всех предыдущих (релизных и отладочных) прошивок.
Схема такова:
DNS1 (xx:xx:xx:xx:xx:xx)<-->Keenetic1<-->Internet<-->Keenetic2<-->DNS2(yy:yy:yy:yy:yy:yy)
xx:xx:xx:xx:xx:xx - зоны domain1.ru (master), domain2.ru (slave)
yy:yy:yy:yy:yy:yy - зоны domain1.ru (slave), domain2.ru (master)
Хост xx:xx:xx:xx:xx:xx/yy:yy:yy:yy:yy:yy находится на "солокейшен" в "Домашней сети" (живет в ней, но к ней не относится (своего рода DMZ, но за NAT), выполняет роль web/mail/dns standalone сервера (естественно порты 53TCP/UDP, а так же остальные необходимые, прокинуты на него)
'dns-proxy intercept enable' у меня не используется
но dns-proxy все-равно лезет в трафик предназначенный хосту xx:xx:xx:xx:xx:xx/yy:yy:yy:yy:yy:yy (в секции dns-proxy, показанной ниже его нет), в итоге не работает синхронизация зон - долго не понимал в чём дело, пока не увидел в логах DNS-сервера, что в TSIG прилетает мусор и виновником сего торжества оказывается компонент dns-proxy, он подменяет оригинальный TSIG от/к удаленного(ому) DNS-сервера(у), чем-то своим.
Вот секция моего конфига:
dns-proxy
rebind-protect auto
tls upstream 1.1.1.1 853 sni cloudflare-dns.com
tls upstream 1.0.0.1 853 sni cloudflare-dns.com
https upstream https://dns.quad9.net/dns-query dnsm
https upstream https://ordns.he.net/dns-query dnsm
filter assign host preset aa:aa:aa:aa:aa:aa adguard-default
filter assign host preset bb:bb:bb:bb:bb:bb adguard-default
filter assign interface preset Guest cleanbrowsing-security
filter engine public
!Хотелось бы что-нибудь такое: filter assign host preset xx:xx:xx:xx:xx:xx no-filter
Чтобы и остальные хосты фильтровались (особенно интересует детский фильтр) и DNS-сервер исключался из фильтрации полностью. -
Понял в чем дело: у вас поднят не Site-to-Site VPN, иначе бы вы могли напрямую пробросить порт XXXX:41111->192.168.35.120:41111. У меня, например, вместо вашего "L2TP VPN" кинут Wireguard, а в конфиге Keenetic сидит: ip nat WireguardX, остается только на Mikrotik настроить NAT (в моем случае стоит тоже Keenetic с таким же ip nat WireguardX, ну и не забыть маршруты указать на обоих концах) и все будут довольны.
А так, без conntrack не обойтись
-
5 часов назад, Sereja Smirnoff сказал:
Adguard отключил - не помогло
Adguard относится только к портам 53 (DNS) и ни каким другим.
PS: Не понимаю, в чем заключена сложность? AIR: XXXX:41111->172.16.30.2:41111; Mikrotik: 172.16.30.2:41111->192.168.35.120:41111
-
Хорошая идея, но не во всех редакциях работает.
-
В 3.7 Beta 1 такая же хрень
Скрытый текст[W] Aug 17 16:34:12 https-dns-proxy: reload, cleanup memory
[I] Aug 17 16:34:12 https-dns-proxy: shutting down
[I] Aug 17 16:34:12 https-dns-proxy: stopped
[E] Aug 17 16:34:12 ndm: Service: "DoH "System" proxy #1": unexpectedly stopped.
[I] Aug 17 16:34:15 https-dns-proxy: Starting.
[I] Aug 17 16:34:15 https-dns-proxy: Using DNS-wire DoH request format
[I] Aug 17 16:34:15 https-dns-proxy: DNS polling initialized for 'ordns.he.net'И с CloudFlare и с остальными провайдерами, а также проблемы с DoT.
В общем компонент https-dns-proxy валится постоянно (цепляя за собой всё остальное), из за чего на устройствах в локалке пригодиться в пользоваться внешними DNS (а не DNS роутера), чтобы "хоть какой-то был интернет", особенно это касается Apple TV/Dune...
-
2
-
-
9 часов назад, keenet07 сказал:
не по теме
Согласен! Писал с телефона, а там только эта тема отображалась.
-
KN-1810/1910, 3.7 Beta 0.2, периодически перестают резолвиться некоторые домены, причём после некоторой паузы (несколько часов), все становиться нормально, zram включён Если в момент данного казуса опросить вышестоящие DNS, то всё резолвится, отсюда делаю вывод - проблема с локальным DNS (на кинетике). Про Beta 0.1 сказать не могу, тк она у меня простояла не более суток, но на Alpha xx таких проблем небыло. Закономерности в названии доменов нет, они рандомны.
-
1
-
-
А если так: ip nat Wireguard0/1, а далее через ip global или Policy завернуть?
-
Извиняюсь, затупил, тяжелый день был, сам же ответ и написал в последнем предложении
-
Вопрос, надо ли делать “ip nat OpenVPNx”, для tap, если мне надо попасть внутрь сети подключённого клиента (на стороне клиента входящий трафик разрешён). Точнее, будет ли в принципе работать, тк в таблице маршрутизации tap не виден, тк сидит на Bridge0? При этом я тоже являюсь клиентом и в конфигурации сервера клиент-клиент разрешён.
-
В 29.06.2021 в 15:57, Mamay сказал:
Если я всё верно понял, ТС просит запилить сервис, позволяющий инженерам вашей компании удалённо управлять keenetic-ами
Всё верно. Одно дело, когда юзер ползает по роутеру по просьбе, другое дело, когда спец подключиться и сам выяснит то, что ему надо - тем самым перестаём играть в "испорченный телефон".
-
Будет ли возможность подключения ваших сервисных специалистов для "разбора полётов" к устройствам?
Мне вот например, до сих пор не дает покоя тема с OpenVPN tap и если бы ваши специалисты сами могли поковыряться в потрохах, думаю всем бы от этого стало хорошо.
-
Такая же хрень, только в моем случае, провайдер менял оборудование на кроссе (апгрейд) основного канала.
И вот пока менял (~3-4 часа), KN-1810 переключился на резервный канал, а обратно ни в какую, прошивка 3.5.6
Пришлось сбросить на заводские настройки и настроить с "нуля", тк после восстановления из сохранённого конфига, автоматом опять переключался на резервный канал.
Странно.
-
1 час назад, r13 сказал:
Так это и есть l2 агрегация
Вы не понимаете о чем говорите, интерфейс bond0 неактивен и не сконфигурирован и трафик на нем RX/TX 0!!! У меня не используется агрегация LAN-портов!!! Или вы не видите разницу между LAN и WAN?
Судя по всему вы даже не понимаете об уровнях OSI: как вы на втором уровне собираетесь рулить пакетами (не кадрами) прилетающими с разных интерфейсов? L2 агрегация предполагает объединение портов в один, здесь же независимые WAN-порты, и весь трафик разруливается на L3/L4.
К сожалению прав нет, чтобы глубже залезть в SRM (в отличие от DSM, нет ни sudo, ни su - пока занимаюсь этим вопросом), но пока могу предположить, что они используют для этих целей ~teql, тк в балансировку (на странице Smart WAN, на скриншоте выше, вместо LAN1 возможно задать и PPPoE/LTE/VPN-туннели.... - это комбобокс) можно включить интерфейсы с разной топологией, а не только ethernet (bonding же предполагает агрегацию интерфейсов с одинаковой топологией) .
-
1
-
-
16 часов назад, Le ecureuil сказал:
У С там L2-агрегация, у нас же L3+L4. Это совсем разные вещи, как это можно сравнивать-то?
Вы ошибаетесь, нет там агрегации (L2), единственный интерфейс bond0 предназначен для агрегации LAN-портов, а не WAN
-
21 минуту назад, aarnet сказал:
взять что ли ? за 160 usd счас есть возможность с доставкой... вроде железо топовое, но дизайн ни фига не нравится... а куда весь остальной зоопарк девать ?
Смысла нет: дизайн посредственный, с туннелями (в отличие от Keenetic) скудновато..., Safe Access/Threat Prevention сначала радовали, а сейчас вызывают лишь раздражение (и иногда злость), причем в Safe Access невозможно отключить фильтрацию для определенного хоста (даже если создать профиль без фильтров и туда засунуть нужное устройство, все равно трафик фильтруется).
-
2 часа назад, aarnet сказал:
в общем сделать "красиво", как у того же Синолоджи, из web интерфейса пока не судьба.... ok - жаль
Думаю, если есть нужда в балансировке 3+ WAN, то я бы рассматривал устройства другого уровня, в конце-концов, можно посмотреть многопортовый ПК (формата Intel NUC) на али (ищите по ключевому слову pfsense) и собрать свой балансер, хоть на том же pfSense..или если сделать "по красоте": можно и Ideco UTM (для SMB он бесплатен) запихнуть. А IDECO SX+, вообще копия девайсов с али
-
14 часа назад, aarnet сказал:
насколько выходит ?
Пирометра под рукой не было, поэтому точных цифр не приведу, но руку держать на верхней крышке, в районе SFP, не сможете - обжигает, да и пластик начинает характерно прогибаться. Причем ситуация идентичная на обоих KN-1810 (куплены с разницей ~ в полгода, в разных городах, так что это "не брак одной партии"), в независимости от типа SFP
14 часа назад, aarnet сказал:PS а синолоджи только 2 порта умеет балансировать ?
К сожалению только 2 (из web-морды), но я пробовал засунуть и 3-й, через ssh, но тогда в web-морду (на страницу Smart WAN) не зайти - сразу выбивает.
-
7 часов назад, aarnet сказал:
был бы SFP
в нем - а так в кинетиках есть SFP но нет умной балансировки, а в Синолоджи нет SFP Вот как раз по поводу SFP я бы и не беспокоился. Если в Keenetic поставить SFP-модуль (без разницы оптика/медь), то его температура выходит за "пределы комфорта" (не хотелось бы устроить пожар в собственном жилище), а вот это уже более существенно, поэтому медиаконвертер (видел даже с питанием от USB) - наше все.
Кстати, в июле (как раз были грозы) был случай: пропал интернет, буквально за неделю до этого, я воткнул SFP-медь (если что-то и прилетит от провайдера, то сдохнет копеечный SFP [у меня их "как грязи"], а не KN-1810), нет интернета и все, Keenetic показывает обрыв. Я всю голову сломал (все приборы к сожалению на работе, поэтому проверить нечем), уже кабель весь выдрал и заменил на категорию 6A (представляете мои мучения, когда я его прокладывал в плинтусах), не помогает, в итоге случайно втыкаю кабель не в SFP, а в WAN и "о чудо!", интернет появился, но какой-то вялый, смотрю, скорость 10Мб/с полудуплекс (ни один имеющийся у меня SFP, не умеет работать на такой скорости). Итогом оказалось, у провайдера полностью сгорел кросс, даже часть стенок шкафа в виде металлических брызг красиво украсило закопченное помещение, а я еще 2 недели сидел на 10Мб/с полудуплекс, и сейчас, вместо старого канала 1Гб/с, имею 2 новых, но только по 100Мб/с
9 часов назад, aarnet сказал:я правильно понял, что балансировки нет на данный момент ?
есть VDSL, и два "кабеля", без балансировки как без рук
Ну какое-то подобие все-таки есть, но вот устроит ли оно вас? Меня нет.
-
Вот о чем я говорил. iSCSI на Synology RT2600ac разлетается (все остальное естественно тоже), а на Keenetic Ultra KN-1810 ни в какую, выше 9Мб/с не выжать.
На скриншоте видна общая нагрузка (на одном канале тариф 100Мб/с, на другом 70-100Мб/с), тренд кривоватенький, но все-таки показательный.
На Upload не смотрите - это я чего-то с QoS наигрался, не могу понять единицы измерения используемые Synology (в правилах QoS, КБ/с - это килобайт или килобит, ни то ни другое не подходит, в результате хрень получается)
-
Вот я и говорю, что нужна балансировка, на данный момент, весь трафик iSCSI бежит только через основной канал, при этом если запустить торрент (на этом же хосте), то он спокойно разлетается по обоим каналам.
Пытался делать и по весу, все равно идет только через основной. Даже Steam и тот разлетается, а iSCSI ни в какую.
В конце концов, думаю, придется отдать основной канал iSCSI, а все остальные девайсы придется пересадить на резервный - ну если уж совсем не получается (SRX5308/UTM150 дома гонять не будешь - тк они своими вентиляторами весь мозг съедят)
-
13 часа назад, vasek00 сказал:
Два провайдера, на KN1010 один PPPoE на WAN порту (имя на скрине интерфейса ppp0), второй поднят на одном из LAN портов и как итог vlan eth2.4+pptp (имя на скрине интерфейса ppp2). К LAN порту ПК на котором поднят торрент, скачивает файл себе на диск (через интерфейс c именем eth2.1).
ip policy Policy0 description Dual_WAN permit global PPPoE0 ------ ppp0 permit global PPTP0 ------- ppp2 multipath ip hotspot ... host 70:LAN_ПК:e2 policy Policy0eth2 - сетевой интерфейс switch в котором eth2.1 vlan для LAN1-3, eth2.4 vlan для LAN4 на котором поднят pptp на провайдера.
Ничего удивительного, я об этом уже писал выше.
ip policy Policy0 description torrent-multipath permit global ISP ------------------------------------- main permit global GigabitEthernet0/Vlan4 ------------------- backup multipath ip hotspot policy Home permit host 0c:c4:7a:dc:49:06 permit host 0c:c4:7a:dc:49:06 policy Policy0
Все тоже самое, что и у вас, вот только торрент != MPIO iSCSI!
-
В 20.09.2020 в 19:57, Alexander Kudrevatykh сказал:
В инструкциях вроде пишут, что это "работает только для torrent-протокола"
Сегодня специально проверил - только для torrent (запустил Download Station на Synology DS2419+), для MPIO iSCSI фокус не проходит (Windows 2016/2019, Debian, Synology NAS, Dell/IBM SAN). А на D-Link DFL-860e/1500, Netgear SRX5308/UTM150 - MPIO iSCSI работает, к сожалению на Ubiquiti ER-10X проверить не смог, девайс окончательно сдох.
-
44 минуты назад, r13 сказал:
(настройка доступна через CLI командой ip policy {name} multipath);
Может когда-то это и работало, но по факту, начиная с 3.3 (а у меня 3.5 beta 4) - не работает, так же как и OpenVPN TAP (ходит только ICMP), так же как и IKEv2 (коннект есть, а трафик не ходит - никакой).
А что касается балансировки, то мне нужна именно балансировка, а не ручное рассаживание устройств по каналам - у меня большая часть трафика генерируется iSCSI (Hyper-V, ESX) с SAN/NAS
в нем - а так в кинетиках есть SFP но нет умной балансировки, а в Синолоджи нет SFP 
3.8 alpha 1, dns-proxy: white hole
in Тестирование Dev-сборок
Posted
Вот о чем речь.
У сегмента 'Домашняя сеть', по умолчанию установлен Системный профиль, в Системном профиле указаны только DNS провайдеров (2 WAN), у хоста установлено использование только системного профиля.
Но TSIG все равно изменяется! TSIG перестаёт изменяться только тогда, когда снята галка с компонента "Cloud-based Content Filtering and Ad Blocking", т.е. при удалении компонента.