vasek00

Жестко вы организуем кратковременный DDoS на кинетик и забиваем канал до упора. Вы не могли бы глянуть на "фишку" которую увидел в данном случае связанную с DNS при отключенном opkg dns-override

Начну сразу с того что если речь идет про работу, то догадываюсь наличие N кол-во пк, то в данном случае поставил бы dnsmasq и с его помощью (точнее правка конф файл) настроил бы его на обслуживание своей локальной зоны, то что вам надо. Далее уверен что через несколько дней у вас возникнут еще пожелания - ограничить клиентов, защитить от рекламы, блокировать что-то и т.д. 1. USB флэш (или раздел на HDD) подключить к роутеру, поднять Entware-3х (поиск по данному форуму) или на http://forums.zyxmon.org/viewtopic.php?f=5&t=5399 2. установка приложения dnsmasq Примеры из конфига : название домена domain=mydomain.com для определенной подсети например отдельное имя домена domain=off1.mydomain.com,192.168.1.0/24 имя домена для интервала адресов domain=off1.mydomain.com,192.168.1.11,192.168.1.12 указать для определенных доменов адреса DNS-серверов, на которые отравляються запросы server=/remoteoff.org/192.168.3.10 указать соответствие имени IP-адресу address=/extdomain.net/127.0.0.1 использование совместно с /etc/hosts еще и свой addn-hosts=/path/to/file и т.д. полное описание есть в интернете, кое что и тут есть DHCP лучше не трогать оставить из прошивки так как многое на него завязано (хотя можно и из dnsmasq сделать)

А если их например 3шт.? Если для "баловства" то наверное да, если для чего-то серьезного то наверное лучше подойти к данному вопросу с точки зрения в переводе на рубли - это стоимость IP камеры которая все умеет это делать, еще плюсом нагрузка на проц будет от как всегда нужной функции в таком деле "зашифрованного" туннеля до камеры (ведь доступ удаленный мало ли что) или VPN. В магазине самая дешевая камера IP с 0.3Мп которая умеет FTP-клиент/HTTP/HTTPS стоит от 2500р., естественно повышая рубли получаем пикселы/разрешение/+... Samba-клиент/SMTP + H.264/MPEG-4, M-JPEG и т.д.

Самый простой вариант наверное - это при покупке устройства учитывать его характеристики и возможности при подключении => приобретать нужную камеру с нужными параметрами.

Попробовать Dnsmasq (только именно работу с DNS, DHCP оставить от прошивки). В конфиге Dnsmasq есть много вариантов для работы с локальными ресурсами. Но если только для того чтоб по мнемонике обратиться к ресурсу то возможно файл hosts при установке Entware /etc # ls -l | grep host lrwxrwxrwx 1 root root 18 Aug 31 08:24 host.conf -> /opt/etc/host.conf lrwxrwxrwx 1 root root 10 Aug 31 08:24 hosts -> /var/hosts /etc # cat /var/hosts 127.0.0.1 localhost ::1 localhost /etc # так как lrwxrwxrwx 1 root root 4 Aug 31 08:24 var -> /tmp а /tmp можно писать то можете получить доступ к данному файлу. Или искать пути как написано выше CLI

LEDE тяжеловата в настройке будет. А из Entware не подходит что-то типа http://entware-3x.zyxmon.org/binaries/mipsel/Packages.html / # opkg list | grep rtsp openrtsp - 2017.05.24-1 - LIVE555 Streaming Media (openRTSP) / # opkg list | grep motion motion - 3.4.0-20141018-9479d910f2149b5558788bb86f97f26522794212-3a - webcam motion sensing and logging / # opkg list | grep ffmpeg ffmpeg - 3.2.4-1 - FFmpeg is a a software package that can record, convert and stream digital audio and video in numerous formats. . This package contains the FFmpeg command line tool. libffmpeg-audio-dec - 3.2.4-1 - FFmpeg is a a software package that can record, convert and stream digital audio and video in numerous formats. . This package contains FFmpeg shared libraries for audio decoding libffmpeg-full - 3.2.4-1 - FFmpeg is a a software package that can record, convert and stream digital audio and video in numerous formats. . This package contains full-featured FFmpeg shared libraries. libffmpegthumbnailer - 2.2.0-1 - libffmpegthumbnailer is a library that can be used to create thumbnails for your video files / #

Так же без проблем уже несколько лет IP камеры пишут на внешний диск, пройдя с записи V1.11 на USB винт, да записи с использование V2 (но в последующем переход на NAS) - через SMB, пробовал по FTP но остановился на SMB (пишет каждая в свой каталог /.../IP/дата/файл) отдельно скрипт "подтирает" по циклу дни старше 7 дней, с NAS уже проще там спец.ПО но только кол-во камер меньше, поэтому опять скрипт для подтирки на камеры которые остались в не данного ПО, только уже запуск скрипта уже с NAS (в настоящие время так и не реализована возможность монтирования томов или дисков к роутеру с устройств в сети - в варианте из коробки, хотя например в некоторых роутерах есть - страница WEB где вводиться строка //хх.хх.хх.хх/каталог). Проблем с форматом нет, так как SMB, на NAS так же нет проблем (но видео уже в базе, вытащить часть видео дата/время только через функцию в самом ПО NAS, в отличие от прямой записи с камеры на диск)

Вы o решение на Zyxel ?

Да не будет тут желающих, пока не распишут что и как и где применить. А по поводу функционала скажу по проще так, иногда и Windows стоит переустановить на ПК в месте с ПО, а когда переустановишь оказывается многое на нем и не нужно было и как то лучше работать стало. если нельзя отдельным *.ko знать не судьба. Для начало хотелось только 2 LAN вывести из switch (Ноme) поднять на них связку и в другой роутер.

Возможно ли компиляция ядра с опцией "Bonding driver support" ее включение как установка компонента (размер bonding.ko например для ядра 3.10.ххх всего 115060байт). Утилиту управления можно будет использовать ifenslave (пока ее там нет в Entware-3х но https://github.com/Entware-ng/entware-oldpackages-ports )

Что хотелось бы Инет >100 ----роутер1(LAN)=========(LAN)Zyxel2 роутер1 может bonding, Zyxel (порты switch 100) bonding неимеется, канал между двумя роутерами при bonding через два интерфейса LAN при 4парном кабеле разведен на две сотки. Так же учтем что USB порт при тестах может давать более 100Мбит. Второй Инет >100 ----(Eth-USB)Zexel1(LAN)=========(LAN)Zyxel2 Третий под вопросом, так как возможности сотового оператора Инет >100 ----(Модем-USB)Zexel1(LAN)=========(LAN)Zyxel2 Инет >100 ----(Модем-USB)Zexel1(LAN)=========(LAN)Клиент При всех вариантах Zyxel2 сможет удовлетворить скоростью интернета клиентов лучше чем при входном 100Мбит и повторюсь USB порт скорость его работы не будет ограничена 100Мбит портами LAN. Не забываем про wi-fi - может у кого и получилось на его оборудовании 2,4 разогнать выше 100Мбит у меня нет максимум на iperf это 90Мбит. Про 5Гц речь понятна. Данные варианты предпочтительней на роутерах при портах 100Мбит, при желании так как прошивка однотипная и чипы так же то можно и для 1Гб портов.

По поводу нафиг, вы о пять про себя и про свой роутер, я рад за вас что у вас Ultra2/Ultra но есть у вас и ExtraII у которой порты LAN слабее Wi-fi 2,4 и 5, вы опять смотрите не глобально, а только то что написано, но можно еще кучу примеров написать где можно использовать. Так же по поводу нужности "Это нафиг не нужно при гигабитной сетевой" вы уверены : - вход 50Мбит - роутер(LAN100)-----Клиент - вход 50Мбит - роутер(LAN1000)-----Клиент будет разница? Так же по поводу можно ссылку про это возможно пропустил что-то про Extra II, а что наличие 4 LAN портов не поможет в данном случае или так же много и других роутеров с 100Мбит. Мне вот так же интересно например на KII при наличии USB подключить к нему USB-Ethernet скажем на 1000Base и выжать например 200Мбит, ну по сравнению с туннелями это конечно никому не нужно. Для примера с DNS речь шла не о bonding, а о нужности для клиента или нет (просто частный случай), но если не частный то проверены два варианта : 1. - один канал с двумя DNS в стандартной настройке resolv (по порядку если первый не ответит) 2.- один канал с двумя DNS серверами разными один cisco + dnscrypt.eu-dk при одновременном запросе 3.- два канала с двумя DNS серверами разными один cisco (на один канал) + dnscrypt.eu-dk (на другой) так вот п.2 и п.3 показали скорость с которой п.1 даже и сравнить стыдно, но не мало важную роль тут оказывает, а не скорость канала, а то что запрос на определение мнемоники ушел сразу по двум каналам и на два сервера DNS.

Речь не о том, что падают - а о времени ответа или времени запрос ушел, ответ пришел. Про гиг понятно, другого и не ожидал ответа. А для bonding скажу примером для Mikrotik куда используют - https://netflow.by/blog/net/278-agregaciya

1% из 100 понимаю, если вам оказалось это нужно, но не всем. Пример нужности следующего решения решать вам : - стандартная работа DNS на роутере - послать запрос по адресу из resolv (от провадйера) если нет ответа то по списку по порядку, т.е. следующему. - или послать сразу запрос на несколько (желательно два) но адреса не с одного места где будет быстрее? По поводу 4 интерфейсов скажу примером - некоторые пользователи когда спрашиваю зачем вам дома 1GB говорят гонять файлы, тоже наверное нужная функция для дома (от себя имею ПК, NAS и роутер с портами 1GB). Опять в догонку, извиняюсь за не внимательно читаю, а функция для дома-дача-загородные дома ---- можно пример. В городе проводной инет, дача\загородный дом интернет от сотового?

А у меня например 100Мбит и хочу более, есть два входа интернета ? Для справки и кто не хочет читать что это : mode=0 (balance-rr) Этот режим используется по-умолчанию, если в настройках не указано другое. balance-rr обеспечивает балансировку нагрузки и отказоустойчивость. В данном режиме пакеты отправляются "по кругу" от первого интерфейса к последнему и сначала. Если выходит из строя один из интерфейсов, пакеты отправляются на остальные оставшиеся.При подключении портов к разным коммутаторам, требует их настройки. mode=1 (active-backup) При active-backup один интерфейс работает в активном режиме, остальные в ожидающем. Если активный падает, управление передается одному из ожидающих. Не требует поддержки данной функциональности от коммутатора. mode=2 (balance-xor) Передача пакетов распределяется между объединенными интерфейсами по формуле ((MAC-адрес источника) XOR (MAC-адрес получателя)) % число интерфейсов. Один и тот же интерфейс работает с определённым получателем. Режим даёт балансировку нагрузки и отказоустойчивость. mode=3 (broadcast) Происходит передача во все объединенные интерфейсы, обеспечивая отказоустойчивость. mode=4 (802.3ad) Это динамическое объединение портов. В данном режиме можно получить значительное увеличение пропускной способности как входящего так и исходящего трафика, используя все объединенные интерфейсы. Требует поддержки режима от коммутатора, а так же (иногда) дополнительную настройку коммутатора. mode=5 (balance-tlb) Адаптивная балансировка нагрузки. При balance-tlb входящий трафик получается только активным интерфейсом, исходящий - распределяется в зависимости от текущей загрузки каждого интерфейса. Обеспечивается отказоустойчивость и распределение нагрузки исходящего трафика. Не требует специальной поддержки коммутатора. mode=6 (balance-alb) Адаптивная балансировка нагрузки (более совершенная). Обеспечивает балансировку нагрузки как исходящего (TLB, transmit load balancing), так и входящего трафика (для IPv4 через ARP). Не требует специальной поддержки коммутатором, но требует возможности изменять MAC-адрес устройства. И учтем что должно быть два устройства, а если оба или более Zyxel. И в догонку если так подходить то - точно так же как и туннели для дома.

И не только в Asus. По скрину ниже так же 1Gb порты, где eth0 - шина внешний switch (vlan1-LAN, vlan2-WAN), br0=wi-fi+LAN Пока не скажу про Ultra II и необходимость на 1Gb портах, хотя Asus 88u имеет такую фишку https://www.asus.com/ru/support/faq/1016088 Или Cisco - http://img.nag.ru/projects/setup/15c/745a932f489445f33d20ec3be7d97804.pdf

ДА.

Возможно ли реализация механизма bonding (агрегации нескольких сетевых интерфейсов в единый логический интерфейс). http://vasilisc.com/ethernet-bonding https://wiki.mikrotik.com/images/f/f7/X1-Bondingv01.2006.pdf http://www.k-max.name/linux/teaming-bonding-na-debian-linux/

Не большой тест на примере двух resolv и двух каналах при применении dnscrypt при сравнении работы на одном канале и с одним resolv на cisco и близко не было к такому результату. Скрины с клиента в локальной сети роутера и с установленном на нем IP DNS -роутера.

При первом приближение все работает на два канала при В итоге, запрос от клиента локальной сети попадает на роутер c него уходят запросы сразу же на два resolv - cisco и dnscrypt.eu-dk и два есть прихода ответов на эти запросы, очередность запросов всегда одна а вот очередность прихода ответов на эти запросы бывают разные (т.е. то с одного канала первым приходит, то со второго канала приходит)

На релизе dnscrypt-proxy 1.9.5 есть возможность использовать списки блокировки используя plugins например строка запуска ARGS="--local-address=127.0.0.2:65053 --daemonize –edns-payload-size=1252 -R cisco -l /opt/tmp/dnscrypt-proxy.65053.log -m 7 \ --plugin=libdcplugin_example_ldns_blocking.so,--ips=/opt/tmp/blk-ips,--domains=/opt/tmp/blk-names" где в файлах /opt/tmp/blk-names и /opt/tmp/blk-ips естественно лежат имена и адреса нужных для блокировки в формате - адреса IPv4 и IPv6, а для имен групповые символы (*) пример *xxx*, *.example.com, ads.* простой пример блокировки youtube.com -> в файле /opt/tmp/blk-names прописать youtube.com Можно использовать как альтернативу в место dnsmasq addn-hosts=/opt/tmp/hosts0 addn-hosts=/opt/tmp/malwaredom_block.host addn-hosts=/opt/tmp/mvps_block.host Другие примеры: # dnscrypt-proxy --plugin=libdcplugin_example_ldns_opendns_set_client_ip.so,192.30.252.130 # dnscrypt-proxy --plugin=libdcplugin_example_ldns_opendns_deviceid.so,/opt/etc/umbrella-password.txt так же возможен вариант например использовать не один а два резолва: ARGS1="--local-address=127.0.0.2:65053 --daemonize .... -R cisco -l /opt/tmp/dnscrypt-proxy.65053.log -m 7 ...." ARGS2="--local-address=127.0.0.2:65153 --daemonize .... -R ns0.dnscrypt.is -l /opt/tmp/dnscrypt-proxy.65153.log -m 7 ...." тогда в dnsmasq конфиге server=127.0.0.2#65053 server=127.0.0.2#65153 А если добавить в конфиг строчку all-servers то можно получить одновременно запрос на все сервера которые имеются в строчках server (порождает чуток избыточный трайик, но по моему у кого безлим не принципиально). А если еще и два канала то запросы можно развернуть один на один канал, другой на другой (хоть он например и в резерве весит) информация по IP для маршрута можно взять из файла dnscrypt-resolvers-conf ищется нужная запись и на против нее поиск Ip адреса или любым приложением которое есть в opkg или в системе.

Релиз 2.10 Проверьте еще раз настройку (можно конфиг посмотреть для достоверности, а то может WEB что-то начудил, при не однократной настройке), отключите pingchek. Должно все работать. Для системы по барабану основной или резервный - только default маршрут, а вот переключение его и что считать основным и резервным это уже доп.функция основанная на приоритете интерфейса и доступности другой стороны на нем.

С 15.08 с того что выше по логам Tue Aug 15 11:50:21 2017 [DEBUG] resolver timeout (UDP) Tue Aug 15 11:51:21 2017 [DEBUG] resolver timeout (UDP) по 17.08 13:23 тишина - все ОК, 15.08 после этой ошибки в 12:00 вернулся на cisco resolv, до этого был cypherpunks.ru

Словил ошибку, все больше склоняюсь что все таки на роутере что-то забывает соединения, после продолжительного времени без действия клиента (не пользованием браузером минут 40) вчера сменил cisco на dnscrypt-proxy --local-address=127.0.0.2:65053 --daemonize dns-payload-size=1252 -R cypherpunks.ru dnscrypt-proxy Tue Aug 15 10:23:57 2017 [INFO] Server key fingerprint is CC02:411D:EA4B:F44D:0E5F:7A18:957B:E8DD:F059:C259:B504:473E:4453:F3BB:CB95:8203 Tue Aug 15 11:23:59 2017 [INFO] Refetching server certificates Tue Aug 15 11:23:59 2017 [INFO] Server certificate with serial #1493333335 received Tue Aug 15 11:23:59 2017 [INFO] This certificate is valid Tue Aug 15 11:23:59 2017 [INFO] Chosen certificate #14933333335 is valid from [2017-05-26] to [2018-05-26] Tue Aug 15 11:23:59 2017 [INFO] The key rotation period for this server may exceed the recommended value. This is bad for forward secrecy. Tue Aug 15 11:23:59 2017 [INFO] Server key fingerprint is CC02:411D:EA4B:F44D:0E5F:7A18:957B:E8DD:F059:C259:B504:473E:4453:F3BB:CB95:8203 Tue Aug 15 11:50:20 2017 [DEBUG] resolver timeout (UDP) Tue Aug 15 11:50:20 2017 [DEBUG] resolver timeout (UDP) Tue Aug 15 11:50:20 2017 [DEBUG] resolver timeout (UDP) Tue Aug 15 11:50:21 2017 [DEBUG] resolver timeout (UDP) Tue Aug 15 11:50:21 2017 [DEBUG] resolver timeout (UDP) Tue Aug 15 11:50:21 2017 [DEBUG] resolver timeout (UDP) Tue Aug 15 11:51:21 2017 [DEBUG] resolver timeout (UDP) По Dnsmasq Aug 15 11:50:24 dnsmasq[789]: query[A] dns.msftncsi.com from 192.168.130.2 Aug 15 11:50:24 dnsmasq[789]: forwarded dns.msftncsi.com to 127.0.0.2 ... Aug 15 11:50:26 dnsmasq[789]: query[A] avatars.mds.yandex.net from 192.168.130.2 Aug 15 11:50:26 dnsmasq[789]: forwarded avatars.mds.yandex.net to 127.0.0.2 Aug 15 11:50:26 dnsmasq[789]: query[A] yastatic.net from 192.168.130.2 Aug 15 11:50:26 dnsmasq[789]: forwarded yastatic.net to 127.0.0.2 ... Aug 15 11:50:30 dnsmasq[789]: query[A] forum.keenetic.net from 192.168.130.2 Aug 15 11:50:30 dnsmasq[789]: forwarded forum.keenetic.net to 127.0.0.2 Aug 15 11:50:30 dnsmasq[789]: query[A] forum.keenetic.net from 192.168.130.2 Aug 15 11:50:30 dnsmasq[789]: forwarded forum.keenetic.net to 127.0.0.2 сегодня в 11:50 попытка просмотреть страницу которая открылась спустя наверное 1-1,5минуту после повторного нажатия открытия. Дерганье netfilter.d Tue Aug 15 11:14:46 MSK 2017 track --- tables = filter Tue Aug 15 11:57:07 MSK 2017 track --- tables = filter Log роутера Aug 15 11:14:46ndm kernel: IPv4 conntrack lan: flushed 1 entries with address 192.168.130.19 Aug 15 11:14:46ndm kernel: SWNAT bind table cleared Aug 15 11:57:07ndm kernel: SWNAT bind table cleared

За Aug 11 всего один раз, за Aug 12 не разу.