-
Posts
4,383 -
Joined
-
Last visited
-
Days Won
74
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by vasek00
-
-
36 минут назад, Mapuk37 сказал:
Подскажите, а у всех кто настроил эти методом переодически отваливаются vpn подключения?
Смотрите на данный момент времени логи роутера.
-
5 часов назад, over сказал:
Доброе время.
Поделитесь идеей, как можно настроить роутер так, чтобы он ходил только через vpn. У меня настроено постоянное wireguard vpn подключение, хочу настроить роутер так, чтобы если оно перестанет работать, интернет на двух других интернет каналах не раздавался, пока vpn не поднимется. Есть ли такая возможность?
В текущий реализации ПО wireguard поднимается на том канале который default. Второе если несколько каналов выхода в интернет то они имеют приоритеты у которого он выше он же основной и он же defualt, а второй просто в резерве. Wireguard это по барабану т.е. канал пропал основной как итог произошла смена defàult маршрута - переписался стат маршрут на сервер wireguard на тот интерфейс который debfault. Время на столько мало что wireguard это может даже нё заметить..
Создание профиля в котором wireguard один и в этом профиле только клиенты в итоге пока wireguard работает то клиенты профиля выходят в интерне, проблемы на wireguard (из за например на канале интерна) и клиенты не выходят в интернет. Это поможет если време восстановления каналов интернет большое.
На пальцах - два канала поднят wireguard warp, создан прьфиль с одним каналом в котором только wireguard warp и клиенты. Все работает идем в web и делаем смену одного канала на другой - клиент этого даже не заметил как и сам wireguard, параметр alive на warp стоит 120.
-
15 минут назад, Liqul сказал:
Здравствуйте. У меня есть DHCP-сервер, который раздает IP адреса и интернет, и мне нужно присоединить к ней роутер Keeneticи сделать Mesh через него. Никак не получается это сделать, пробовал отключать DHCP-сервер на роутере или делать Relay через свой DHCP, но интернета тогда нет.
DHCP сервер который раздает адреса клиентов и интернет это разные вещи за исключением одного у них один IP. DHCP сервер передает клиенту и IP адрес шлюза. Например - сервер DHCP и он же шлюз для выхода в интернет 192.168.11.100, тогда клиент клиент должен получить какой то IP для себя например 192.168.11.222 и адрес шлюза 192.168.11.100. DNS так же должен быть иначе ни как.
Не понятно что вы хотите - схема ????
-
15 минут назад, Novarg сказал:
Здравствуйте, можно ли как-то принудительно пускать весь траффик от transmission через встроенный wireguard vpn?
Есть реализация использования локального сервиса через профиль multipath
ip policy Policy1 description In-2 permit global GigabitEthernet0/Vlan9 permit global PPPoE0 multipath torrent rpc-port 8090 peer-port 51413 directory D3-1:/Torrnet policy Policy1
то кто мешает его пустить через профиль в котором только один канал WG.
Меняем
torrent rpc-port 8090 peer-port 51413 directory D3-1:/Torrnet policy Policy0 ip policy Policy0 description Cloud permit global Wireguard0 ...
Создайте профиль с нужным каналом и далее в WEB cli - 192.168.1.1/a или исправление в конф файле роутера.
- 1
-
В свое время пробовал "хитрую" схему, но может она не хитрая, а как то мудрено или наоборот проще - по возможности контроль оставить ПО прошивки.
1. Есть профили :
- основной
- WG от WARP (в итоге "MARK set 0xffffd00" и table 42 в которой "default dev nwg0 scope link") актив канал только он
- WG от Proton (в итоге "MARK set 0xffffd02" и table 44 в которой "default dev nwg4 scope link") актив канал только он
Важная ремарка которую нужно учитывать - MARK пакетов будет только после наличия клиента в данном/нужном профиле, нет клиента нет и маркировки (но ее можно и руками)
2. Нужно было обеспечить доступ к netflix сайту для клиента -> это позволяет профиль от Proton.
Задача на клиенте использовать выход по WARP но на сайт netflix через Proton
Скрытый текстскрипт в /opt/etc/ndm/netfilter.d #!/bin/sh [ "$table" != "mangle" ] && exit 0 if [ -z "$(iptables-save | grep 'netflix')" ]; then iptables -t mangle -I _NDM_HOTSPOT_PRERT -i br0 -s 192.168.130.2/32 -j RETURN iptables -t mangle -I _NDM_HOTSPOT_PRERT -i br0 -s 192.168.130.2/32 -j CONNMARK --save-mark iptables -t mangle -I _NDM_HOTSPOT_PRERT -i br0 -s 192.168.130.2/32 -m set --match-set netflix dst -j MARK --set-mark 0xffffd02 iptables -t mangle -I _NDM_HOTSPOT_PRERT -i br0 -s 192.168.130.2/32 -j MARK --set-mark 0xffffd00 fi exit 0 Настройки AdguardHome ipset: [] ipset_file: /opt/home/AdGuardHome/ipset.conf И само содержимое файла flxvpn.net,netflix.ca,netflix.com,netflix.com.au,netflixdnstest10.com,netflixdnstest1.com,netflixdnstest2.com,netflixdnstest3.com,netflixdnstest4.com,netflixdnstest5.com,netflixdnstest6.com,netflixdnstest7.com,netflixdnstest8.com,netflixdnstest9.com,netflixinvestor.com,netflix.net,netflixstudios.com,netflixtechblog.com,nflxext.com,nflximg.com,nflximg.net,nflxso.net,nflxvideo.net/netflix Единственную команду ipset create netflix hash:ip hashsize 4096 Можно поместить в /opt/etc/init.d/105-Start.sh например скрипт
Пояснения
_NDM_HOTSPOT_PRERT - это место как раз для HOTSPOT PREROUTING
Она будет выглядеть так
Chain _NDM_HOTSPOT_PRERT (1 references) pkts bytes target prot opt in out source destination 490 84052 MARK all -- br0 * 192.168.130.2 0.0.0.0/0 MARK set 0xffffd00 79 26503 MARK all -- br0 * 192.168.130.2 0.0.0.0/0 match-set netflix dst MARK set 0xffffd02 490 84052 CONNMARK all -- br0 * 192.168.130.2 0.0.0.0/0 CONNMARK save 490 84052 RETURN all -- br0 * 192.168.130.2 0.0.0.0/0
и должна выглядеть именно так
т.е. у нас для клиента есть два варианте - на все сайты это WARP (mark 0xffffd00) а на сайт netflix это Proton (mark 0xffffd02) маршрутизация согласно профилям для данных маркировок.
Примечание чтоб остальное не нарушить для данного клиента он так же помещен в профиль WARP, хотя можно его и оставить в основном профиле, тогда это только
#!/bin/sh [ "$table" != "mangle" ] && exit 0 if [ -z "$(iptables-save | grep 'netflix')" ]; then iptables -t mangle -I _NDM_HOTSPOT_PRERT -i br0 -s 192.168.130.2/32 -j RETURN iptables -t mangle -I _NDM_HOTSPOT_PRERT -i br0 -s 192.168.130.2/32 -j CONNMARK --save-mark iptables -t mangle -I _NDM_HOTSPOT_PRERT -i br0 -s 192.168.130.2/32 -m set --match-set netflix dst -j MARK --set-mark 0xffffd02 fi exit 0
/opt/etc/init.d # ipset list netflix
/opt/etc/init.d # ipset list netflix Name: netflix Type: hash:ip Revision: 4 Header: family inet hashsize 4096 maxelem 65536 Size in memory: 1008 References: 2 Members: 54.246.79.9 54.74.73.31 46.137.171.215 45.57.0.158 3.251.50.149 34.252.74.1 45.57.90.1 45.57.91.1 54.73.148.110 18.200.8.190 198.38.115.173 54.170.196.176 198.38.115.168 52.31.48.193 45.57.0.163 198.38.115.185 54.155.178.5 52.214.181.141 54.155.246.232 /opt/etc/init.d #
***
Еще один пример на этом же методе но с " dscp "
iptables -t mangle -I _NDM_HOTSPOT_PRERT -i br0 -s 192.168.130.2/32 -j RETURN iptables -t mangle -I _NDM_HOTSPOT_PRERT -i br0 -s 192.168.130.2/32 -j CONNMARK --save-mark iptables -t mangle -I _NDM_HOTSPOT_PRERT -i br0 -s 192.168.130.2/32 -m dscp --dscp 63 -j MARK --set-mark 0xffffd01 iptables -t mangle -I _NDM_HOTSPOT_PRERT -i br0 -s 192.168.130.2/32 -j MARK --set-mark 0xffffd00
-m dscp --dscp 63 - это маркировка для приложения на клиенте торрент качалки которая выходит по профилю multipath (его маркировка mark 0xffffd01 и его table 43), а все остальное на WARP профиль. Опять именно в такой последовательности -> сначала mark для профиля WARP и если пакет не для торрент то идем далее, если же он для торрента то устанавливаем mark для профиля multipath
Как и сказал выше суть его в том как можно больше использовать уже готовый функционал в ПО :
1. не надо строить ни каких своих table (WEB создаст профиль и table для него);
2. для поддержания актуальности таблицы роутинга поддержка ее на плечах ПО роутера, так как есть профиль -> есть и table
3. осталась только маркировка но тут как говориться вариантов много, кому как нравится
Как то так, все оба варианта проверены :
- по первому speedtest показал IP от WARP 104.28.ххх.ххх, и netflix открылся по Proton (так как регион RU заблокирован для него)
- по второму торрент качалка с клиента шла на multipath (видно было по системному монитору на двух каналах) а тот же speedtest с этого клиента по WARP.
Был замечен глюк не глюк (может просто накладка была) при втором варианте с применением
net.ipv4.fib_multipath_hash_policy 1
для multipath
***
DNS тут везде завернут на AGH, т.е. на любом интерфейсе IP DNS указывает на роутер, так как он вертится на
dns: bind_hosts: - 192.168.130.101 - 127.0.0.1 port: 53
и пока работает такая схема где 192.168.130.101 это сам роутер
ip name-server 192.168.130.101 "" on Wireguard0 ip name-server 192.168.130.101 "" on Wireguard4 где Wireguard0 это профиль WARP, а Wireguard4 это профиль Proton
Фильтры ни какие не используются и даже не рассматривались.
-
8 минут назад, Freedom сказал:
Как вариант (плохой), сделать cron, который раз в час будет резолвить все домены и добавлять ip-адреса в ipset, или даже в статические маршруты (не знаю как лучше)
Смотрите в сторону
- 1
-
Откатил на KN-2710_draft_4.00.C.2.0-1_firmware.bin -> проблема ушла.
Все ОК
Скрытый текст<process> <comm>tsmb-server</comm> <oom-adj>4</oom-adj> <oom-score>251</oom-score> <oom-score-adj>250</oom-score-adj> <arg>-c</arg> <arg>/var/run/tsmb/tsmb.conf</arg> <state>S (sleeping)</state> <pid>902</pid> <ppid>510</ppid> <vm-size>11532 kB</vm-size> <vm-rss>4656 kB</vm-rss> <vm-data>6332 kB</vm-data> <vm-stk>132 kB</vm-stk> <vm-exe>780 kB</vm-exe> <vm-lib>3680 kB</vm-lib> <vm-swap>0 kB</vm-swap> <threads>43</threads> <fds>85</fds> <statistics> <interval>30</interval> <cpu> <now>207.776869</now> <min>0</min> <max>0</max> <avg>0</avg> <cur>0</cur> </cpu> </statistics> <object> <id>CIFS</id> <state>RUNNING</state> </object> <service> <configured>yes</configured> <alive>yes</alive> <started>yes</started> <state>STARTED</state> </service> </process>
и ни каких
<process> <comm>tsmb-server</comm> ... <state>Z (zombie)</state> <pid>914</pid> <ppid>510</ppid> ... <process> <comm>tsmb_release</comm> ... <state>S (sleeping)</state>
-
2 часа назад, defrag сказал:
Понял, а если не писать логи? Или... Возможно ли писать логи на Synology? AGH на роутере, а логи чтобы писал по сети в Syno? У меня флешка стояла с entware, но грелась от одного AGH кошмарно просто. 4 месяца и сдохла. Жесткий диск подключать – чисто эстетически на стене в коридоре будет очень странно выглядеть. А рядом по сути стоит Syno. Если реально писать логи туда, то подскажите, пожалуйста?
А может вообще логи просто отключить? У вас AGH на роутере без логов?
1. Вариант А
2. Вариант B
Подключаете flash (но лучше HDD), OPKG может оставить в памяти, далее переносите ваш AdGuardHome на flash/HDD. Правите скрипт запуска на место где у вас будет AdGuardHome в место где например у меня /opt/home/AdGuardHome укажите свое после подключения flash/HDD (для начала команда df)
ARGS="-w /opt/home/AdGuardHome -l /opt/tmp/AdGuardHome.log --pidfile /opt/var/run/adguardhome.pid --no-check-update"
почему так, потому что querylog.json файлы пишутся в каталог .../AdGuardHome/data
- 1
-
Еще прикольней
1. перезапуск Peak
Скрытый текст~ # ps | grep tsmb 914 root 11468 S /sbin/tsmb-server -c /var/run/tsmb/tsmb.conf 922 root 0 SW [tsmb_core] 1029 root 0 SW [tsmb_transport0] ~ # <process> <comm>tsmb-server</comm> <oom-adj>4</oom-adj> <oom-score>251</oom-score> <oom-score-adj>250</oom-score-adj> <arg>-c</arg> <arg>/var/run/tsmb/tsmb.conf</arg> <state>S (sleeping)</state> <pid>914</pid> <ppid>510</ppid> <vm-size>11468 kB</vm-size> <vm-rss>4520 kB</vm-rss> <vm-data>6240 kB</vm-data> <vm-stk>132 kB</vm-stk> <vm-exe>776 kB</vm-exe> <vm-lib>3720 kB</vm-lib> <vm-swap>0 kB</vm-swap> <threads>42</threads> <fds>85</fds> <statistics> <interval>30</interval> <cpu> <now>692.831120</now> <min>0</min> <max>0</max> <avg>0</avg> <cur>0</cur> </cpu> </statistics>
на клиенте Windows данный роутер виден
2. Обращение к данному роутеру из Windows клиента, а в ответ тишина и ошибка Windows
Скрытый текст~ # ps | grep tsmb 914 root 0 Z [tsmb-server] 922 root 0 SW [tsmb_core] 1029 root 0 SW [tsmb_transport0] 2179 root 0 SW [tsmb_release] ~ # <process> <comm>tsmb-server</comm> <oom-adj>4</oom-adj> <oom-score>0</oom-score> <oom-score-adj>250</oom-score-adj> <state>Z (zombie)</state> <pid>914</pid> <ppid>510</ppid> <threads>2</threads> <fds>0</fds> <statistics> <interval>30</interval> <cpu> <now>1331.831120</now> <min>0</min> <max>0</max> <avg>0</avg> <cur>0</cur> </cpu> </statistics> <object> <id>CIFS</id> <state>RUNNING</state> </object> <service> <configured>yes</configured> <alive>yes</alive> <started>yes</started> <state>STARTED</state> </service> </process> а было <process> <comm>tsmb-server</comm> <oom-adj>4</oom-adj> <oom-score>251</oom-score> <oom-score-adj>250</oom-score-adj> <arg>-c</arg> <arg>/var/run/tsmb/tsmb.conf</arg> <state>S (sleeping)</state> <pid>914</pid> <ppid>510</ppid> <vm-size>11468 kB</vm-size> <vm-rss>4520 kB</vm-rss> <vm-data>6240 kB</vm-data> <vm-stk>132 kB</vm-stk> <vm-exe>776 kB</vm-exe> <vm-lib>3720 kB</vm-lib> <vm-swap>0 kB</vm-swap> <threads>42</threads> <process> <comm>tsmb_release</comm> <oom-adj>0</oom-adj> <oom-score>0</oom-score> <oom-score-adj>0</oom-score-adj> <state>S (sleeping)</state> <pid>2179</pid> <ppid>2</ppid> <threads>1</threads> <fds>0</fds> <statistics> <interval>30</interval> <cpu> <now>1331.831402</now> <min>0</min> <max>0</max> <avg>0</avg> <cur>0</cur> </cpu> </statistics> </process>
-
При переходе на 4.1 Alpha 1 с 403 на Peak при добавление нового WEB в итоге не запустился сервис "service cifs"
Страница "Приложения" - Эта страница находится в стадии разработки и скоро будет готова. Перехожу в старый и как итог "Сервер SMB" включен но по факту
~ # ps | grep tsmb 915 root 0 Z [tsmb-server] 924 root 0 SW [tsmb_core] 1022 root 0 SW [tsmb_transport0] 1480 root 0 SW [tsmb_release] ~ #
Нет самого сервиса - tsmb-server запущенного с конф файлом
/sbin/tsmb-server -c /var/run/tsmb/tsmb.conf
при налияие самого конф файла
Скрытый текст/sbin # cat /var/run/tsmb/tsmb.conf [global] userdb_type = text userdb_file = /var/run/tsmb/users_db.txt privilegedb = /var/run/tsmb/privilege.txt runstate_dir = /var/run/tsmb enable_ipc = true domain = WORKGROUP dialect_max = SMB3.1.1 allow_guest = true null_session_access = true require_message_signing = false encrypt_data = false enable_oplock = true reject_unencrypted_access = false unix_extensions = false log_destination = syslog open_files_max = 0 sess_open_files_max = 0 listen = ANY,192.168.130.101,IPv4,445,DIRECT_TCP listen = ANY,192.168.130.101,IPv4,137,NBNS listen = ANY,192.168.130.101,IPv4,138,NBDS listen = br0,::,IPv6,445,DIRECT_TCP listen = ANY,192.168.130.101,IPv4,3702,WSD listen = ANY,192.168.130.101,IPv4,5355,LLMNR listen = ANY,192.168.130.101,IPv4,139,NBSS listen = br0,::,IPv6,139,NBSS log_level = 1 [/global] /sbin #
Скрытый текстservice cifs cifs share D3-1 D3-1: automount permissive <process> <comm>tsmb-server</comm> <oom-adj>4</oom-adj> <oom-score>0</oom-score> <oom-score-adj>250</oom-score-adj> <state>Z (zombie)</state> <pid>915</pid> <ppid>510</ppid> <threads>2</threads> <fds>0</fds> <statistics> <interval>30</interval> <cpu> <now>37573.839777</now> <min>0</min> <max>0</max> <avg>0</avg> <cur>0</cur> </cpu> </statistics> <object> <id>CIFS</id> <state>KILLING</state> </object> <service> <configured>yes</configured> <alive>yes</alive> <started>yes</started> <state>RESTARTING</state> </service> </process> [W] Aug 5 21:50:33 ndm: Process: "CIFS" has been killed. [I] Aug 5 21:50:43 kernel: Disable SMB fastpath [I] Aug 5 21:50:43 ndm: Cifs::ServerTsmb: enabled.
Пока на 4.1 Alpha 1 оживить TSMB не получилось, переключение в WEB (старый) в итоге просто
Авг 6 08:18:38 kernel Disable SMB fastpath Авг 6 08:18:38 ndm Cifs::ServerTsmb: enabled. Авг 6 08:18:38 kernel Enable SMB fastpath for 192.168.1.1/255.255.255.0 Авг 6 08:18:38 ndm Core::System::StartupConfig: saving (http/rci). а по факту /sbin # ps | grep tsmb 915 root 0 Z [tsmb-server] 924 root 0 SW [tsmb_core] 1022 root 0 SW [tsmb_transport0] 1480 root 0 SW [tsmb_release] 13082 root 5984 R grep tsmb /sbin # в место ~ # ps | grep tsmb 897 root 11684 S /sbin/tsmb-server -c /var/run/tsmb/tsmb.conf 906 root 0 SW [tsmb_core] 1205 root 0 SW [tsmb_transport0]
- 1
-
7 часов назад, VitalityV1nT сказал:
А внутреннюю память лучше не трогать и оставить в покое. Использовать ее рекомендуется только на крайний случай.
Не первый год использую внутреннюю память с Entware без проблем, но как писал выше сервисы без логов и записи чего бы то ни было на нее.
-
8 часов назад, defrag сказал:
Не делают так, подключайте hdd и пишите свои логи на него, это относиться к любым приложениям которые ведут логи.
-
1 час назад, defrag сказал:
а у вас тоже доступная память всего 55 Мб?
О какой памяти идет речь если о памяти роутера то 256 для его использования маловато, тогда нужны миним.настройки для AdGyardHome. Второе - логи :
1. логи querylog
drwxr-xr-x 2 root root 1024 Aug 4 06:30 filters -rw-r--r-- 1 root root 5147125 Aug 5 16:07 querylog.json -rw-r--r-- 1 root root 13866955 Aug 4 17:12 querylog.json.1 -rw-r--r-- 1 root root 32768 Aug 4 05:55 sessions.db -rw-r--r-- 1 root root 262144 Aug 5 16:00 stats.db querylog.json ************** {"T":"2023-08-05T16:07:51.94723024Z","QH":"clck.yandex.ru","QT":"A","QC":"IN","CP":"","Answer":"WIeBgwAB......AAADhAAJOoAAAVGA","IP":"192.168.1.1","Result":{"Rules":[{"Text":"||clck.yandex.ru^$~other","FilterListID":1680111111}],"Reason":3,"IsFiltered":true},"Elapsed":282240} {"T":"2023-08-05T16:07:58.26618776Z","QH":"ds-blobs-3.cdn.devapps.ru","QT":"A","QC":"IN","CP":"","Upstream":"tls://dns.google.com:853","Answer":"kL+B....ej24=","IP":"192.168.1.1","Result":{},"Elapsed":57264000} {"T":"2023-08-05T16:07:58.39150784Z","QH":"ds-blobs-3.cdn.devapps.ru","QT":"A","QC":"IN","CP":"","Upstream":"tls://dns.google.com:853","Answer":"45GBg.....j24=","IP":"192.168.1.1","Result":{},"Elapsed":133800240}
2. обычные - /opt/tmp/AdGuardHome.log
Третье - размер используемой/занимаемой памяти -> сохраните selftest файл и сделайте в нем поиск AdGuardHome
<process> <comm>AdGuardHome</comm> <oom-adj>0</oom-adj> <oom-score>14</oom-score> <oom-score-adj>0</oom-score-adj> <arg>-w</arg> <arg>/opt/home/AdGuardHome</arg> <arg>-l</arg> <arg>/opt/tmp/AdGuardHome.log</arg> <arg>--pidfile</arg> <arg>/opt/var/run/adguardhome.pid</arg> <arg>--no-check-update</arg> <state>S (sleeping)</state> <pid>974</pid> <ppid>1</ppid> <vm-size>748868 kB</vm-size> <vm-rss>45308 kB</vm-rss> <vm-data>102688 kB</vm-data> <vm-stk>132 kB</vm-stk> <vm-exe>7412 kB</vm-exe> <vm-lib>4 kB</vm-lib> <vm-swap>0 kB</vm-swap> <threads>8</threads> <fds>34</fds> <statistics> <interval>30</interval> <cpu> <now>409.747969</now> <min>0</min> <max>3</max> <avg>0</avg> <cur>3</cur> </cpu> </statistics> </process>
- VmPeak — пиковый размер использования виртуально памяти;
- VmSize — размер виртуальной памяти в данный момент;
- VmHWM — пиковый размер использования резидентной памяти;
- VmRSS — размер резидентной памяти в данный момент;
- VmExe — код приложения;
- VmLib — используемые библиотеки;
- VmSwap — часть данных сброшенная на раздел подкачки;
- VmData — размер сегмента данных процесса.
Скрытый текст967 - это pid процесса AdGuardHome (в примере выше он <pid>974</pid> -> 964), на роутере с 512 Озу, есть пару больших фильтров как раз для теста расхода памяти /proc/967 # cat status Name: AdGuardHome Umask: 0022 State: S (sleeping) Tgid: 967 Ngid: 0 Pid: 967 PPid: 1 TracerPid: 0 Uid: 0 0 0 0 Gid: 0 0 0 0 FDSize: 64 Groups: VmPeak: 885228 kB VmSize: 885228 kB VmLck: 0 kB VmPin: 0 kB VmHWM: 176736 kB VmRSS: 93548 kB RssAnon: 78396 kB RssFile: 15152 kB RssShmem: 0 kB VmData: 206280 kB VmStk: 132 kB VmExe: 7412 kB VmLib: 4 kB VmPTE: 404 kB VmPMD: 20 kB VmSwap: 0 kB Threads: 8
Есть еще один жирный процесс для роутера это "Классификация трафика и IntelliQoS" его расходы по памяти :
Скрытый текст/proc/2340 # cat status Name: ntce-pace2 Umask: 0022 State: S (sleeping) Tgid: 2340 Ngid: 0 Pid: 2340 PPid: 510 TracerPid: 0 Uid: 65534 65534 65534 65534 Gid: 65534 65534 65534 65534 FDSize: 128 Groups: VmPeak: 80724 kB VmSize: 80704 kB VmLck: 0 kB VmPin: 0 kB VmHWM: 78096 kB VmRSS: 78076 kB RssAnon: 68512 kB RssFile: 9564 kB RssShmem: 0 kB VmData: 68828 kB VmStk: 132 kB VmExe: 104 kB VmLib: 6916 kB VmPTE: 172 kB VmPMD: 12 kB VmSwap: 0 kB Threads: 1 SigQ: 0/1955 SigPnd: 0000000000000000 ShdPnd: 0000000000000000 SigBlk: fffffffc7ffbba54 SigIgn: 0000000000001000 SigCgt: 0000000000004002 CapInh: 0000000000000000 CapPrm: 0000000000000000 CapEff: 0000000000000000 CapBnd: 0000003fffffffff CapAmb: 0000000000000000 Speculation_Store_Bypass: unknown Cpus_allowed: 3 Cpus_allowed_list: 0-1 voluntary_ctxt_switches: 27263 nonvoluntary_ctxt_switches: 3 /proc/2340 #
Необходимо это учитывать - что важнее или что нужно.
-
29 минут назад, Monstr86 сказал:
А зачем так сложно? разве это не будет работать просто с профилями как вы и описали, в нужный профиль добавляем зарегистрированного клиента и все, весь трафик идет через него от определенного клиента.
В вашем вопросе есть вводная - весь трафик идет через него
В описанном случае выше клиент один 192.168.1.100 но он хочет :
1. для приложения ААААААА выход через канал - например инет1
2. остальные приложения пустить через канал - например инет2
все это на одном клиенте
Попробуйте удаленного клиента который подключен к роутеру по VPN каналу - добавьте его в нужный профиль.
-
12 часа назад, baddyt сказал:
Добрый день. Какие образом можно реализовать маршрутизацию трафика от конкретного клиента только в конкретный тоннель, как на энтерпрайз устройствах? То есть необходимо, чтобы трафик устройства 192.168.1.10 (условно) всегда направлялся в тоннель wireguard, а трафик устройства 192.168.1.11 (условно) всегда направлялся в тоннель ipsec
Поищите посты на данном форуме
Далее необходимы чуток познания в установке Entware + написания скрипта для автом.работы.
На пальцах - на роутере создаются профили (в нужный профиль включен нужный канал) -> для каждого профиля создается таблица маршрутизации -> необходимо поместить данного клиента ОН ИМЕЕТ IP в нужную таблицу маршрутизации. Первая часть все делает прошивка, вторая поиск нужной table через WEB-cli (команда "show ip policy" параметры "description": "WG", "mark": "ffffd00", "table4": 42), третья поместить данного клиента в table 42.
Маленькая ремарка - маркировка пакетов для данного профиля создается только тогда когда будет подключен клиент, но можно и все сделать самому написав эти правила маркировки.
Тут на форуме много примеров для использования table маршрутизации.
******
Так например пример - на клиенте локальной сети Windows есть приложение например торрент клиент (это приложение, хотя можно и любое другое, Windows настройках оно определяется как имя запуска файла) которое нужно завернуть в нужный нам канал (выхода в интернет) отличный от канала для самого клиента/ Ниже пример когда клиент весь в профиль 0xffffd00 а приложение в профиль 0xffffd01 или можно оставить клиента в основном профиле а приложение в один единственный профиль. Приложение может быть любым например бразур A по одному каналу, а браузер B по другому.
1. Настройки Windows для маркировки пакетов данного приложения (есть в интернете с полным описанием что и как это сделать)
2. Скрипт для роутера будет выглядеть как пример
Скрытый текст/opt/etc/ndm/netfilter.d -> 100-fwmarks.sh #!/bin/sh [ "$table" != "mangle" ] && exit 0 if [ -z "$(iptables-save | grep 'dscp')" ]; then iptables -t mangle -I _NDM_HOTSPOT_PRERT -i br0 -s 192.168.1.20/32 -j RETURN iptables -t mangle -I _NDM_HOTSPOT_PRERT -i br0 -s 192.168.1.20/32 -j CONNMARK --save-mark iptables -t mangle -I _NDM_HOTSPOT_PRERT -i br0 -s 192.168.1.20/32 -m dscp --dscp 63 -j MARK --set-mark 0xffffd01 iptables -t mangle -I _NDM_HOTSPOT_PRERT -i br0 -s 192.168.1.20/32 -j MARK --set-mark 0xffffd00 fi exit 0 Chain _NDM_HOTSPOT_PRERT (1 references) pkts bytes target prot opt in out source destination 1899 295K MARK all -- br0 * 192.168.1.20 0.0.0.0/0 MARK set 0xffffd00 316 42283 MARK all -- br0 * 192.168.1.20 0.0.0.0/0 DSCP match 0x3f MARK set 0xffffd01 1914 297K CONNMARK all -- br0 * 192.168.1.20 0.0.0.0/0 CONNMARK save 1918 298K RETURN all -- br0 * 192.168.1.20 0.0.0.0/0 ~ # lsmod | grep dscp xt_dscp 1953 1 ~ #
где
-s 192.168.1.20/32 = источник, клиент локальной сети
-m dscp --dscp 63 = пакеты от приложения Windows клиента
--set-mark 0xffffd01 = профиль созданный в ПО роутера и в котором канал выхода в интернет например А
--set-mark 0xffffd00 = профиль созданный в ПО роутера и в котором канал выхода в интернет например B
NDM_HOTSPOT_PRERT = цепочка в которой будет размещены данные правила
В итоге маркированные пакеты будут уходить через нужные table по нужным каналам.
Скрытый текстshow ip policy "Policy0": { "description": "Cloud", "mark": "ffffd00", "table4": 42 ... }, "Policy1": { "description": "In-2", "mark": "ffffd01", "table4": 43 ... }, "Policy2": { "description": "Tor", "mark": "ffffd02", "table4": 44 ...
Ваш вопрос для темы развития - так как по моему в ПО для этого уже все имеется.
- 1
-
1 час назад, ANDYBOND сказал:
Я опираюсь на работу конечных изделий (маршрутизаторов). А вот те, кто захочет повторить успех своих крупных конкурентов, будут регулярно ревизировать внутренности маршрутизаторов своих крупных конкурентов, ибо микросхемы там меняются со временем (не всем же по 10 лет на одном и том же процессоре и прочем железе маршрутизаторы производить), но результат (гигабит при гигабите) остаётся неизменным. А на Вашу уловку я, естественно, не повёлся, которая в том заключается, чтобы я назвал конкретную микросхему, а Вы, как только её крупный конкурент какой-либо сменит на другую, процитировали бы меня и сказали, мол, дезинформация с моей стороны. И технически Вы даже были бы правы. Вот чтоб такой подарок Вам и согласным с Вами не делать, я и поступил более разумно.
А на Вашу уловку я, естественно, не повёлся, которая в том заключается, чтобы я назвал конкретную микросхему,
не выдумайте того чего не было, просто привык когда общаются фактами а не "льют воду" типа бла-бла и т.д.
-
Как то странно вы отвечаете на вопрос вы сможете порекомендовать в место микросхемы общие фразы
В 26.07.2023 в 13:10, ANDYBOND сказал:То, что используют гораздо более крупные конкуренты, у которых подключение всегда происходит на гигабите без кинетиковских капризов.
Что же они используют раз вы на них ссылаетесь ?
Мной был описан трансивер RTL8211FS и возможно причина его выбора вы же опять уверенно
3 часа назад, ANDYBOND сказал:Он к делу не относится, ибо у всех гигабитных маршрутизаторов Кинетик WAN - большая беда при любом чихе.
Странно как то, хотя вы в курсе конечно как устроен WAN порт в роутерах Keenetic и при чем тут SFP так же в курсе.
Читаем дальше ваш пост
ЦитатаПосмотрите гигабитные Tenda, TP-Link, ASUS. Если интересно.
опять кто-то должен что-то посмотреть и найти то на что вы опираетесь излагая свои мысли.
Думаю ваш пост просто не о чем, так как не несет ни какой полезной/информационной нагрузки.
- 1
-
19 часов назад, ANDYBOND сказал:
То, что используют гораздо более крупные конкуренты, у которых подключение всегда происходит на гигабите без кинетиковских капризов.
что используют гораздо более крупные конкуренты - не в курсе, так же как и вы не представили.
Второе - если захотите представить то сразу обратите внимание чтоб SFP
Цитатастал известен трансивер RTL8211FS
а что так плохо? древнючий реалтек, у меня этот чип ещё на материнке nforse2 был распаян, у которой к настоящему времени все дорожки отслоились а ёмкости полопались от времени. На атерос, как в ubiqti lite не хватило, или на такой же чип от броадком?
в нашем колхозном DNS появилась Giga (KN-1010) в свободной продаже. цена 7500, мне это дорого. в ситилинке дешевле 7110, но только под заказ, но это всё равно дорого. еслиб 6000 тысяч стоил, но наверное этой цены я не дождусь.Ответ разработчика
Скрытый текстhttps://forum.ixbt.com/topic.cgi?id=14:64881:358#358
ЦитатаGPHY RTL8211F вышел в 2014 году
Combo-GPHY RTL8211FS (SGMII/Serdes) вышел еще позднее его.На атерос, как в ubiqti lite не хватило, или на такой же чип от броадкомПредложите аналог с SGMII/Serdes <-> RGMII конвертором.
Ubiquiti edge router lite - если про него речь, то это действительно бородища с древними GPHY Atheros AR8035-A, потому что у Октеона нет на кристалле ни PHY, ни свитча (только RGMII MAC-и). AR8035 - печка и ничем не лучше обычного RTL8211F, не говоря уже о том что там нет SGMII интерфейса.https://forum.ixbt.com/topic.cgi?id=14:64881:378#378
ЦитатаНа Edge Router-X SFP установлен чип AR8033-AL1A. Тоже PHY + медиаконвертор. По характеристикам он примерно соответствует RTL8211FS. Это тупой RGMI/SGMII конвертер + PHY. Стоят они примерно одинаково, да и там цена не имела значение - важнее поставки у конкретной фабрики.
Если уж цепляться к маркировке - AR8033 вышел в 2011 году. AL1A - более новая модификация. Можно также ляпнуть что сменили техпроцесс и все. Но это явно не соответствует действительности.
Этот чип в режиме SFP только конвертирует RGMII в SGMII и выполняет это на отлично. В режиме SFP куда важнее сам PHY конкретного SFP модуля. В режиме MDI (синий порт) работает как тупой PHY, MAC при этом используется от чипа MT7621. PHY этот точно не хуже чем встроенные PHY в свитч MT7530 (интегрированный в MT7621).
-
Посмотрел внимательно разводку и компоновку платы Edge Router-X SFP, к нему как раз есть вопросы, там SGMII трасса от SFP модуля до медиаконвертора идет через всю плату. Инженер похоже что-то курнул.И для интереса или получения доп.информации конечно же почитать посты от Padavan
Третье - почему сейчас, да наверное потому что от него в курсе что ждать (наработки с 2018года).
-
36 минут назад, Игорь Викторович Булатов сказал:
насколько он реально в моем случае нужен?
Есть устройствами умного дома правда не Xiaomi но по работе устраивают. Wifi сеть 2.4 для них своя отдельная, кроме них ни кого в ней нет и стоит WPA2 и g/n. Второе "Интервал обновление групповых ключей Wi-Fi" проходит без проблем как и положено раз в сутки стоит "rekey-interval 86400", третье мало того что основная сеть 2.4 сидит на schedule так она тянет за собой так же и сегмент для умного дома в нем то же 2.4 -> даже тут проблем нет с устройствами умного дома - в 24-00 выкл wifi в 06-00 вкл. Wifi роутера.
- 1
-
11 час назад, Vitaliy_35 сказал:
Всем привет.
Помогите пожалуйста разобраться, всю голову сломал. Есть 2 сети (А и Б). В каждой есть по своему кинетику. Они соединены кабелем между собой в lan порты. На кинетике А есть доступ в интернет, на кинетике Б - нет. Как необходимо настроить кинетики, что бы интернет был в обоих сетях (А и Б). Схема сетей на рисунке:
При такой схеме второй Б должен тогда выполнять функцию маршрутизатора, а это порт WAN.
Для самой простой схемы реализации LAN-LAN и клиенты в одной сети всего две строчки в настройках :
1. на втором Б прописать маршрут по умолчанию, его в WEB не прописать так как НУЖЕН интерфейс bridge (основной) а не любой как дает его WEB. Можно только WEB/cli - 192.168.1.1/a - команда
ip route default 192.168.1.1_IP_основного Home
Где Home имя вашего основного интерфейса, можно увидеть из команды
show interface Bridge0
параметр - "interface-name": "Home"
2. И прописать DNS
ip name-server 192.168.1.1_IP_основного "" on Home
3. DHCP оставить на основном и параметры в нем - шлюз 192.168.1.1 и DNS 192.168.1.1
-
Для начала что значит
ЦитатаТак вот....Те устройства, к которым применена политика доступа в интернет НЕ по умолчанию, в случае подключения к роутеру по LAN-у, перестают ходить на те домены, которые прописаны в ipset.conf. С ними вообще теряется соединение.
Если эти же устройства подключить по Wi-Fi, то всё работает стабильно.
Второе какие настройки получают ваши клиенты при подключение от роутера.
-
Уже описывал тут на форуме данную схему - только на базе смартфона
Смартфон[WG-клиент]---Инет---[WG-сервер]Роутер[LAN]-----[LAN]PS[Win-шара диск]
Total com на смартфоне через плагин LAN-Windows получает доступ к шаре на ПК (одна всего настройка указать сервер где шара 192.168.130.10).
При настройки нужно обратить внимание только на правило для данного WG интерфейса - "IP Любой на Любой" на роутере и плюсом "private/nat".
interface Wireguard0 security-level private ip nat Wireguard0
ну естественно тот Wireguard0 который нужен, у меня он Wireguard3. В моем случае стоит "public" и "isolate-private".
Второе
Параметр "allow-ips" я прописываю всегда (в данном случае) три значения :
1. "allow-ips 10.16.130.6 255.255.255.255" - сам тоннель
2. "allow-ips 192.168.130.0 255.255.255.0" - лок.сеть роутера
3. "allow-ips 0.0.0.0 0.0.0.0" - все
Ниже вся настройка данного WG на роутере по конф файлу
Скрытый текстaccess-list _WEBADMIN_Wireguard3 permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 *** правило сетевого permit description KN-WG auto-delete interface Wireguard3 description KN-WG security-level public ip address 10.16.130.101 255.255.255.0 **** туннель для клиента ip mtu 1324 ip access-group _WEBADMIN_Wireguard3 in ip global 8191 ip tcp adjust-mss pmtu wireguard listen-port ...2 wireguard peer Z8c.....nbTY= !A73 endpoint 10.16.130.6:...2 keepalive-interval 60 allow-ips 10.16.130.6 255.255.255.255 **** клиент allow-ips 192.168.130.0 255.255.255.0 **** лок.сеть allow-ips 0.0.0.0 0.0.0.0 *** все ! wireguard peer y09....MCA= !T505 endpoint 10.16.130.18:...2 ... ip name-server 192.168.130.101 "" on Wireguard3 *** по желанию DNS ip nat Wireguard3
- 1
-
8 часов назад, Keenetic сказал:
На 1 PC клиенте где ax/k/v 2x2 160МГц выдает максимум 622 мегабита, средняя 558
На 2 PC клиенте где aс/k/v 2x2 160МГц выдает максимум 511 мегабита, средняя 482
При одновременном запуске на двух РС выдает 322\292 мегабита каждый.
Так и так уж детально, при использование двух LAN портов на KN1811 роутер вытягивает по iperf3 (-P30 -R) 1.5-1.6Gb.
При подключение клиента по wifi AX200 (iperf3 -c -P 30 -R) -- wifi -- KN1811 --- 2*LAN --- iperf3 -s получаю до 1.23Gb
Скрытый текстПри подключение клиента по wifi AX200 (iperf3 -c -P 30 -R) -- wifi -- KN1811 ----- LAN --- iperf3 -s то не более 920-950Мb
Смотрите настройки на своем клиенте wifi своей сетевой.
-
К скрину выше.
Итого для подключения к WG серверу всего две настройки :
1. настроить сервер и клиента
2. настроить сетевой экран одной строчкой, которая разрешить IP для данного соединения ....WG
Бонус - данный клиент (смартфон) может выходить в интернет через данный канал WG (роутер имеет провайдер Rostelecom):
- speedtest на смартфоне выход через Rostelecom
- speedtest на смартфоне через MTS при выключенном канале WG на клиенте
Резервный канал через Mesh
in Обмен опытом
Posted
Если только уберете mesh, у вас будет два роутера в основном режиме которые будут со своими каналами интернета. Основной роутер 4G и дополнительный start . На 4G войдите в WISP далее обзор сетей и найдите свой start, далее сделайте этот канал основным, а 4G у вас будет резервным. В переводе на простой язык это типа
Инет1----start[LAN]------[WAN1]4G[WAN2]-----Инет2
но придется все перестроить касается start так же и дом.сеть на нем.
Самое простое это провод от start к 4G