Jump to content

dmitry.a

Forum Members
  • Posts

    64
  • Joined

  • Last visited

Posts posted by dmitry.a

  1. Пробовал сие, но были постоянные проблемы. Тут кто во что горазд. Клиента отпинывают, а он все равно лезет в тот же диапазон. В итоге ничего не работает.

    А вообще лучше бы множество направленных антенн поставили в корпус, хоть связь была бы получше.

    • Upvote 1
  2. В 12.12.2020 в 18:13, Joe D сказал:

    Поддержу, идея интересная. Банально можно находясь в гостях или в отеле легко получить доступ к своим ресурсам, при этом вполне безопасно.  
    Некоторые участники накидали каких то страхов и штампов, в которых кажется сами до конца не разобрались. RDP как священная корова, что-то где то слышали и срочно нужно транслировать.
    Разумеется дырки везде есть но конкретно проблема RDP - неправильно настроенная терминалка, слабые пароли и дырки в протоколе. Но это вообще никакого отношения не имеет к предлагаемой фиче/

    И понятно что VPN более безопасно, но описанная тут фича мне кажется подходит для ряда сценариев и гораздо удобнее VPN. А реализовать должно быть не сложно.

    Мне кажется вполне такая неплохая киллер фича, и не зря другие вендоры догадались это использовать

    Только Вас не пустят на непонятный порт в некоторых отелях и проч. организациях. А все сервисы завязать на один порт не получится.

    А какой тайм-аут выбрать? Слишком короткий - неудобно, большой - небезопасно. Вот так в отеле вы отключитесь, а сосед подключится а того же IP адреса. Это хорошо, если сервис с шифрованием, а если нет? Так вы по открытой wifi все пароли засветите. В отелях обычно нет шифрования wifi.

    Удобства мало. А ещё IP адрес могут вам сменить, и вам снова простукивать придется.

    У меня настроен vpn, настраивается просто, работает отлично. Только кнопочку нажать, и уже в сети. Заодно можно весть трафик завернуть, чтоб не бояться открытых wifi.

  3. А вот мне неясно, чем opkg так не угодил. Если надо что-то сверху доставить, для этого как раз и есть opkg.

    Второй момент. Почему программисты не могут сделать так, что на их компьютерах все эти putty и проч. запускались бы автоматически.

    Третий момент. Домашняя сеть вовсе не является доверенной. Любое взломанные устройство будет иметь доступ на удалённую машину.

  4. 23 минуты назад, vst сказал:

    Это внутренний признак, он используется для отладки, но смысл он имеет.

    Признак global означает, что префикс маршрутизируем в глобальной сети. В частности он принадлежит интерфейсу(ISP), который имеет действующий шлюз.

    А не знаете, почему он может быть no?

    • Need more info 1
  5. Добрый день,

    подскажите, откуда берется global: no  в выводе show ipv6 prefixes:

    (config)> show ipv6 prefixes 
    
               prefix: 
                     prefix: xxxx:xxxx:xxxx:xxxx::/64
                  interface: ISP
             valid-lifetime: 6485
         preferred-lifetime: 4685
                     global: no

    Мне не очень понятно, на каком основании Keenetic считает, что префикс неглобальный. Или что это поле означает?

  6. Заметил вот такое в логах:

    Апр 22 19:07:21
    ndm
    Core::Watchdog: Component lister holds NDSS (87) lock 61 seconds acquired Apr 22 19:06:20.
    Апр 22 19:07:21
    ndm
    Main: "Component lister": backtrace:
    Апр 22 19:07:21
    ndm
    Main: <unknown>+0x0
    Апр 22 19:07:21
    ndm
    Main: poll()+0xa8
    Апр 22 19:07:22
    ndm
    Main: Io::SocketBase::DoSslRetry_(CString const&, unsigned long&, int, int)()+0x240
    Апр 22 19:07:22
    ndm
    Main: Io::SocketBase::SysRead(void*, unsigned long, unsigned long&)()+0xf0
    Апр 22 19:07:22
    ndm
    Main: Io::PollableBase::SysRead(void*, unsigned long, unsigned long&)()+0x124
    Апр 22 19:07:22
    ndm
    Main: Io::Buffer::Read(void*, unsigned long, unsigned long&)()+0xb8
    Апр 22 19:07:22
    ndm
    Main: Io::Http::Base::SysRead(void*, unsigned long, unsigned long&)()+0x58
    Апр 22 19:07:22
    ndm
    Main: Io::Buffer::Read(void*, unsigned long, unsigned long&)()+0xb8
    Апр 22 19:07:22
    ndm
    Main: Io::IStreamBuffer::ReadAll(void*, unsigned long)()+0x48
    Апр 22 19:07:22
    ndm
    Main: Core::Ndss::RunRequest_(CString const&, CString const&, CString const&, StringMap const&, Io::Http::Method const&, CBuffer const&, Time::Span const&, Core::Ndss::RedirectT, Buffer&, unsigned long&, Io::Http::Response::StatusCodeT*) const()+0x5b8
    Апр 22 19:07:22
    ndm
    Main: Core::Ndss::Call(CString const&, StringMap const&, Io::Http::Method const&, CBuffer const&, Buffer*, Log::VerboseT, Core::Ndss::RedirectT, Io::Http::Response::StatusCodeT*, int) const()+0x14c
    Апр 22 19:07:22
    ndm
    Main: Components::Lister::Run()()+0xf8
    Апр 22 19:07:22
    ndm
    Main: Thread::StartRoutine_(void*)()+0x158
    Апр 22 19:07:22
    ndm
    Main: start_thread()+0x118
    Апр 22 19:08:03
    ndm

     

    Цитата
    Цитата

     

     

     

     

  7. Простите, но многие говорят полную глупость.

    Во-первых, отличие белого от серого адресов я и так знаю, не стоит тыкать статейками и выставлять меня дураком.

    Во-вторых, вы совершенно не знаете ситуации. Мой текущий провайдер самый лучший в районе по цене/качеству, и менять я его не собираюсь (хотя, видимо, местные знатоки хотят мне выделить пару тысяч рубликов каждый месяц на другого провайдера). А еще нет гарантий, что у другого провайдера не будет NAT'а.

    В-третьих, людям дешевле вернут роутер и купить другой, написав отрицательный отзыв, чем менять провайдера и переплачивать ежемесячно. Еще раз повторю, что смена провайдера гораздо дороже смены роутера.

    В-четвертых, фактически услуга выделенного адреса означает, что доступ из Интернета будет по этому адресу, но не подразумевает, что оконечному оборудованию выдадут белый IP. И поскольку все работает, кроме KeenDNS, то и нет оснований полагать, что провайдер как-то нарушает Закон. Зато есть основания полагать, что KeenDNS работает неправильно, и я нахожу это багом, а не улучшением.

    В-пятых, Тут писали, что пользователи слезно просили добавть прямой доступ с серым адресом. Вот, уважаемые знатоки, объясните мне, почему разработчики идут на поводу и добавляют хотелку, но не исправляют очевидный баг? Чем я хуже?

    В-шестых, это не фича, а самый настоящий баг. При имеющимся прямом доступе KeenDNS не работает. А что если у меня роутер находится за другим роутером? Тоже предложите пробрасывать белый адрес с первого роутера на второй?

    • Upvote 1
    • Y'r wrong 1
  8. 7 часов назад, keenet07 сказал:

    А может он про ограничение памяти не более чем половина ОЗУ при записи файлов спросил.

    Мне вот интересно, почему на других протоколах с этим вроде как проблем нет. В чем тут разность подхода?

     

    Я думаю, что в будущих моделях надо предусмотреть слот для вставки ddr4 памяти, чтоб сразу вставил гигабайт так 8 - и хватило на все.

  9. Хотел узнать, почему люди хотят использовать webdav на роутере. Может, и я начну пользоваться. Может, я что-то упускаю в этой жизни... Вообще роутер - довольно слабенькое устройство, потому меня и интересует, почему для хранения данных не использовать отдельный сервер/nas с поддержкой кучи протоколов.

  10. 1 час назад, vk11 сказал:

    Еще раз - 10.* - это НЕ НОРМАЛЬНЫЙ белый адрес. Это СЕРЫЙ адрес. Купите уже наконец НОРМАЛЬНЫЙ БЕЛЫЙ. Если где-то как-то работают некоторые костыли, то они не отменяют RFC 1918.

    Еще раз повторяю, адрес куплен, все работает напрямую (openvpn, wireguard, etc), текущий  NO-IP определяет адрес правильно и прописывает, что надо, но он условно бесплатный. А вот KeenDNS не уметь это при явном указании "Прямой доступ". Хватит мне рассказывать про серые адреса. Если у вас белый на роутере - это еще не значит, что у всех так. И я полагаю, что люди из NO-IP про это прекрасно знают, что схемы подключения пользователей к Интернету есть разные и ситуации разные. Или вы лично хотите мне организовать доступ в Интернет и выдать белый адрес?

    Может оказаться так, что keendns не будет нормально работать за пределами РФ, т.к. там вполне может окзатаься статический NAT у многих провайдеров. А это проблема выхода на международный рынок.

    • Upvote 1
  11. 47 минут назад, MDP сказал:

     ТС может говорит, что у провайдера настроен SNAT?...static Nat???

    Ну типа белый адрес жестко привязан в маршрутизаторе провайдера с его серым адресом?

    Не могу сказать, как это точно называется, но так и есть. Адрес жестко привязан ко мне. Все, у кого не статический адрес, скорее всего делят внешние адреса провайдеора между собой, но за отдельную услугу можно у провайдера получить фиксированный адрес в личное пользование. Я уже это повторял несколько раз. Более того, я полагаю, что такая практика вполне распространена в мире, и именно поэтому NO-IP работает, как надо, но NO-IP не является полноценно бесплатным, в отличие от KeenDNS.

  12. В 13.02.2020 в 08:42, vk11 сказал:

    10.* - это НЕ белый адрес, как бы он не был "организован" провайдером. Выше разработчики уже объяснили почему при серых адресах, они все-таки не заблокировали "пупочку"  "Прямой доступ".

    Так мне как раз и нужен прямой доступ, только адрес нормальный, чтоб из Интернета все работало.

  13. В 13.02.2020 в 00:04, Oleg Nekrylov сказал:

    Вы не понимаете о чем говорите - то что вы бегаете изнутри (из локальной сети провайдера) наружу (в интернет) - это вовсе не означает, что вы сможете пойти в обратном направлении.

    Не думайте, что вы один такой исключительный, что имеется у провайдера: прилетел пакет снаружи (мы не рассматриваем conntrack, пакет реально снаружи), дальше что с ним делать, кому посылать? Васе-1, Васе-2 Васе-3...?

    Вы поставили "Прямой доступ" находясь за NAT, что вы еще хотите? Что поставили, то и получили - адрес WAN-порта роутера. Вам надо ставить "Через облако".

    Не знаю как работает KeenDNS (не разбирался, не было необходимости - у меня белые IP, а серый IP и так работает без проблем), но предполагаю 2 варианта:

    1) Обратный туннель L2 (собственно я о нем намекал в предыдущем посте), но это чревато большим оверхедом. 

    2) Обратный туннель L3

    Я прекрасно понимаю, о чем я говорю. То, что я бегаю изнутри из сети провайдера наружу в Интернет через NAT вовсе не доказывеет, что обратный путь закрыт. Давайте поставим точку надо этим всем - я такой исключительный и у меня есть доступ из Интернета. Васей тут нет, белый адрес дан лично мне и никому другому.

    Я поставил "Прямой доступ" потому, что я знаю, что он есть. Мне надо, чтобы KeenDNS прописал в DNS белый адрес, т.е. точно так же, как это умеет делать NO-IP. Как они это делают - точно не знаю, но думаю, что они имеют больше опыта в этом направлении.

     

    • Upvote 1
  14. Вот у меня сейчас планшет через Wireguard upload 104 Mb/s, download 78 Mb/s. Wireguard показывает, что перекачено больше 100 Мб.

    Если я отключаю wireguard, то уже 200-250.

    Включаю openVPN и уже 15-17. Разница уж сильно большая.

     

     

  15. Тоже недавно настроил параллельно с OpenVPN. Могут ли разработчики проверить скорость в лабе, как это сделали с OpenVPN. У меня OpenVPN максимально разгонялся до 23 Mb/s, а вот Wireguard выжимает больше.


    А вообще keepalive с роутера нет смысла делать, т.к. адрес прямой. Разработчики пишут, что keepalive нужен в частности для работы через NAT/Firewall, чтобы разрешались входящие udp пакеты. Так что у меня настройка keepalive только на клиентах. И я не очень понял, зачем делать security-level private, если и без него все роутится через роутер.

     

  16. В 17.12.2019 в 18:38, Le ecureuil сказал:

    Небольшие новости.

    По результатам моих тестов выяснилась такая картина :

      7621 7513 7628
    NONE 68 40 23
    BF-CBC 23.3 16.4 10.7
    AES-128-CBC 25 18.2 10.6
    AES-GCM-128 23.8 17.9 10
    AES-128-OFB 28.2 21.2 11.3
    AES-128-CFB 30.5 19.8 11.3
    CHACHA20-POLY1305 38.3 26.5 14.4

     

    Краткие выводы (цифры сами говорят за себя, но все же):

     - NONE - это теоретически максимальная скорость OpenVPN на данном ЦПУ без шифрования и аутентификации трафика вообще. Быстрее точно не будет.

     - BF-CBC - старый кал, он не оправдывает надежд как "быстрейший шифр".

    - если вам прямо сейчас нужен быстрейший шифр, то на обеих сторонах туннеля выберите "cipher AES-128-CFB / auth SHA1" и можете получить прирост до 8 Мбит нахаляву.
    - прямо сейчас везде добавлен шифр CHACHA20-POLY1305, который кладет всех на лопатки (пользователи Wireguard уже это увидели). Он появится в следующих выпусках 3.4, 3.3 beta 7, 2.16 и 2.11. Настроить его просто: "cipher CHACHA20-POLY1305 / auth none" (на обоих сторонах канала!). Из сервисов VPN его уже поддерживает как минимум AirVPN (тема с рекомендациями по настройке, рабочий конфиг в конце).

    А можно сравнить с Wireguard? Интересна разница.

  17. В 06.02.2020 в 13:20, Oleg Nekrylov сказал:

    Приватные сети ("серые"):

    10.0.0.0 – 10.255.255.255
    172.16.0.0 – 172.31.255.255
    192.168.0.0 – 192.168.255.255

    Если ваш адрес находится в этих диапазонах, то ни о каком "белом" адресе речи быть не может, вы выходите в интернет через NAT провайдера, так что KeenDNS тут абсолютно прав, вам стоит обратиться к вашему провайдеру и получить "белый" IP.

    Но можно изловчиться (если у вас есть пул свободных адресов, например принадлежащий вашей компании и доступ к шлюзу) и кинуть внутрь туннель, и из свободных адресов организовать себе "домашний" сегмент  - когда нельзя, но очень хочется 😁

    От того, что у провайдера NAT, ничего не меняется. Если есть доступ через белый IP, то нужно использовать именно его.

    • Upvote 1
  18. 1 час назад, keenet07 сказал:

    А вы не пробовали вместо автоматического серого прописать вручную адрес, маску, шлюз внешнего. Уточните у техподдержки провайдера будет ли так работать. Если вы платите за белый IP. Если нет, то этот внешний в любой момент могут поменять на другой.

    За адрес я плачу отдельно. Он привязан ко мне, и никто другой через него не ходит в интернет. Сейчас я использую no-ip, хотел попробовать keendns для dns, но не работает, к сожалению.

×
×
  • Create New...