Jump to content

vasek00

Forum Members
 View Profile  See their activity

  • Posts

    4,392

  • Joined

  • Last visited

  • Days Won

    75

 Content Type 

Posts posted by vasek00

    ftp и startup-config

    in 2.11

    Posted

    59 минут назад, r13 сказал:

    А все остальное не понятно зачем нужно, только чтобы конфиг почистить? Если мне это  надо то я через cli это сделаю. А для подавляющего большинства это чревато лишними проблемами и неудобствами.

    Тогда применем такой же подход, а зачем мне cli - есть проще вариант описанный выше да и не только он, а для большинства пользователей набор команд cli это темный лес => для каждого свой метод привычнее. Если вам нравиться держать "ненужный" хлам в конфиге то это ваше право и желание, так же учтем

    Цитата

    если вы временно отключили сервис, то зачем удалять по нему все настройки?

    это один сервис, если их будет по более и так же можно пример для временных сервисов из области для большинства пользователей, им надо купили->включили->настроили->и не трогай.

     

    ftp и startup-config

    in 2.11

    Posted · Edited by vasek00

    42 минуты назад, r13 сказал:

    И зачем мне как пользователю этот доп геморрой? Профит в чем?

    Наверное плохо прочитали сообщение выше или значит не поняли сути вопроса, а так же ответа на ваше сообщение.

    Или в кратце, давайте все включим в конфиг сразу - мало ли что.

    ftp и startup-config

    in 2.11

    Posted · Edited by vasek00

    22 минуты назад, r13 сказал:

    Не, удалять считаю неправильно, если вы временно отключили сервис, то зачем удалять по нему все настройки? Потом все придется заполнять по новой.

    Ну на это есть самый простой ответ - сохраните ваш конфиг и потом восстановите. К такому действие прибегают многие пользователи в настоящее время (далеко ходить не надо, даже тут на форуме) в 3-4 клика мышкой. Можно и сразу блоком из конфига вставить в новый если знать какой блок и за что отвечает.

    Думаю вы так же иногда поступаете с конфигом.

    При использовании других роутеров и марок - в моем случае запоминает Firefox, даже когда делается сброс роутера к заводским и потом заход на страницу WEB и ввода параметров то они уже были готовы после нажатия первой буквы или цифры в нужном поле остается только перебрать все поля.

    ftp и startup-config

    in 2.11

    Posted

    При включении и настройки FTP через WEB а потом ее выключении в startup-config остаются метки от его использования : 

    ip ftp
    security-level private
    user Usrххх root Data:/Pg/

    Так же попробовал торрент встроенный (подсовывать ссылке с облако - dropbox, хорошо что файл его конфига лежит на USB носителе, а на внутри например /tmp), а потом его выключение через WEB (просто снял галку) в startup-config остались метки использования : 

    torrent
    rpc-port 8090
    peer-port 51413
    directory Data:/Pg/

мало того осталась запись в _NDM_INPUT
   0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:51413

    Еще пример "bandwidth-limit 100000" пробовал так же через WEB, потом галку убираем в конф строчка остается, но сам сервис "service ..." естественно не запущен, так как этой строчки нет. Да наличие строк в конфиге еще не значит что сервисы запущены так как нет команд "service ....", но например правило с портом 51413 весит так же вроде бы не мешает потому что на входе "0", такое было и на 2.09-2.10

    При выключенной Guest по WEB и так же отключенного DHCP на нем (и так же для Guest Wi-fi ) остатки в конфиге 

    ip dhcp pool _WEBADMIN_GUEST_AP
    enable

ip nat Guest

и т.д.

    Ведь не всем же 100% покупателям нужен включенный автоматом данный сервис Guest сети.

    Вопрос мелочный, но стоит ли этому придавать значение или как раз при создании нового WEB как-то продумать данный механизм, ведь строчка сервиса удаляется почему тогда не убирать другие настройки относящиеся к этому сервису.

    • Upvote 1

    Просмотр устройства на /#home.hosts

    in Реализованные пожелания

    Posted

    1 час назад, Mamay сказал:

    Ни в коей мере не хотел умалить Ваших достоинств. Но факт упрямая вещь. И от нашего желания он не станет ничем иным, кроме факта.

    P.S. Если вы так бурно реагируете на дизлайк, я лайкну Ваш философский пост, что над моим, и мы выйдем на нулевой баланс...

    Значит я не знаю что в настоящие время вкладывают в понятие - "лайк" и где ставить или не ставить.

    Скрытый текст

    Ну видимо только у вас не и было. Я по линку на repeater хожу с 2.07...

     

    Фильтрация сайтов

    in Мобильное приложение

    Posted

    53 минуты назад, Mamay сказал:

    А может это правило что Home имеет уровень security-level-private?

    Вернемся к истокам

    Цитата
    В 23.06.2017 в 11:40, Le ecureuil сказал:

    В вашем конфиге нужно смотреть только на Bridge0 (кстати у которого вы забыли параметр include WifiMaster0/AccessPoint0), который полностью поглощает все включенные в него интерфейсы FE0/Vlan1 и WM0/AP0 (они выглядят единым целым), ISP и PPPoE0. В таком случае у вас всего один интерфейс в private, потому смысла в этой команде для вашего конфига нет.

    Ну и если на интерфейсе отсутствует адрес, то он не может передавать L3-данные (только L2 в составе Bridge).

    тут все логично, но тогда нелогичен сам конфиг выше где повторюсь данные команды не кто в ручную не добавлял.

    Так же для справки

    Цитата

    isolate-private запрещает только трафик между private L3 интерфейсами, при этом трафик между private интерфейсом и private сервисом разрешен (эта настройка на этот доступ не влияет)

    Суть того вопроса (и всех последующих по данной теме) была использовать фильтрацию в bridge0 т.е. если есть два роутера K1 и K2 соединенные LAN  и с клиентами K1.1 и K2.1 - нужно было развязать этих клиентов от всей Bridge0-Home.

    Просмотр устройства на /#home.hosts

    in Реализованные пожелания

    Posted

    33 минуты назад, Mamay сказал:

    Ну видимо только у вас не и было. Я по линку на repeater хожу с 2.07... 

    О сколько нам открытий чудных 
Готовят просвещенья дух
И Опыт, сын ошибок трудных,
И Гений, парадоксов друг,
И Случай, бог изобретатель

    Могу так же привести примеры (про себя) где у меня работает, а других баги с данного форума.

    Думаю и сами можете найти кучу примеров из своей практики, да и не из своей. Так что это не аргумент.

    Мне так же нравится ставить лайки но не да такой же степени.

    • Upvote 1

    Фильтрация сайтов

    in Мобильное приложение

    Posted

    34 минуты назад, Mamay сказал:

    ИМХО посмотреть в startup-config и найти/не найти соответствующую строку Яндекс/SkyDNS и только после этого писать/не писать в лог ошибку - выход...

    Да это выход, а потом опять так как не даю гарантии, что он не измениться после посещения WEB страницы именно посещения.

    Пример как то уже обсуждал тут на форуме на примере интерфейсов так как Bridge0 и он основной то зачем тогда на Home VLAN/WifiMaster0/AccessPoint0 стоит "private"
      

    interface FastEthernet0/Vlan1
    description "Home VLAN"
    security-level private

interface WifiMaster0/AccessPoint0
    rename AccessPoint
    security-level private

interface Bridge0
    rename Home
    security-level private

    можно удалять security-level private на остальных кроме Bridge, но потом они все равно там появятся, это частный пример можно поднять и еще привемр.

    Фильтрация сайтов

    in Мобильное приложение

    Posted

    2 часа назад, Alex Sh. сказал:

    Что касается сообщений в логах, посмотрим, что можно с ними сделать: либо убрать сообщения, либо добавить все же проверку.

    Наверное второе лучше и не мешало бы как то конф файл контролировать (только не решением делать сброс к заводским с последующей настройкой)

    Фильтрация сайтов

    in Мобильное приложение

    Posted

    В смысле то что у меня стоят и что - флага на их использования или запуска НЕТ (используется по мере надобности или опробование разных вариантов/задач). В WEB для данных сервисов галка отключена, в логе есть строки об их применении

    Например

    Скрытый текст
    Sep 27 20:25:39ndm SkyDns::Client: SkyDNS is available.
    Sep 27 20:25:39ndm SkyDns::Client: login is not set.
    Sep 27 20:25:39ndm SkyDns::Client: login and password are not set.
    Sep 27 20:25:44ndm YandexDns::Client: Yandex.DNS is available.

    Второе заметил если что-то использовали ранее например ipsec а потом отказались то он "наглухо" сохранит настройки в конфиге

    Скрытый текст

    crypto engine hardware
    crypto ipsec mtu auto
    service ipsec

    Хотя должен был бы подчистить конфиг.

    Просмотр устройства на /#home.hosts

    in Реализованные пожелания

    Posted

    11 час назад, AndreBA сказал:

    В 2.07 точно уже было(у меня второй keenetic в это время появился)/ 

    Не было такого как и в 2.09-2.10 так же на KII. Значит в моей схеме что-то блокировало.

    Как например switch (другой роутер) в локальной сети из-за которого была ромашка при просмотре в разделе /#home.hosts, как только убрали и просмотр заработал. Так что все может быть.

    Просмотр устройства на /#home.hosts

    in Реализованные пожелания

    Posted · Edited by vasek00

    2.11A3-1 интересное новшество (наверное связанное c LLDP) на данной странице /#home.hosts если у вас в сети есть еще один роутер zyxel (или их несколько) то в списке устройств появиться url ссылка на данное устройство, хорошо бы наверное тогда всплывающее (при подведение мышки к данной позиции) не большое окно в котором была бы информация раз она уже есть по LLDP (релиз прош.текущий).

    Версия WEB старая.

    Определение состояния доступа в Интренет

    in 2.11

    Posted

    В моей ситуации не починили.

    Скрытый текст

    ПК---ExtII(LAN)----(LAN)KII-----Инет

    1. На ПК проблем нет для него шлюзом DNS является KII

    2. На ExtII(200) - default на KII и так же добавлен DNS адрес на KII(100). Например ping rrrrr.ru проходит. Входим на страницу ExtII обновления и тишина, видно что DNS запрос на KII (100) пришел куда надо

    55    3.962242    192.168.1.200    192.168.1.100    DNS    92    Standard query 0xbefb A ndss.11.zyxel.ndmsystems.com

    а в ответ тишина от KII. В то же время от клиента ПК на KII с обработкой все нормально, а если на ExtII набрать ping lenta.ru так же все в порядке на KII видно приход и уход DNS запроса для ping

    320    23.263884    192.168.1.200    192.168.1.100    DNS    72    Standard query 0x67af A lenta.ru

    328    23.326924    192.168.1.100    192.168.1.200    DNS    179    Standard query response 0x67af A lenta.ru A 81.19.72.39 .....

    3. Интересные локальные запрос KII которые идут не так как надо для DNS а на прямую на провайдера (на KII запущен dnsmasq c dnscrypt-proxy и резолвы не на провайдера, т.е. все DNS запросы завернуты на них, т.е. 53 порт строго на dnsmasq, с ПК все запросы через KII идут так как запланировано) странные запросы от KII

    63    4.592723    KII    DNS1_пров    DNS    77    Standard query 0x6a03 A ya.ru 

    64    4.596791    DNS1_пров    KII    DNS    242    Standard query response 0x6a03 A ya.ru A 87.250.250.242 ...

    берем на KII и набираем ping google.com и что видим

    307    16.071467    KII    DNS1_пров    DNS    82    Standard query 0x5a0f A google.com

    309    16.075532    DNS1_пров    KII    DNS    314    Standard query response 0x5a0f A google.com A 64.233.164.113 ....

    4. Установка на ExtII адреса DNS 8.8.8.8 так же не спасает, обновления для прошивки не доступны, но при установке DNS1_пров - режим обновления работает.

     

    Вот такие дела. Съем пакетов на основном eth2 интерфейсе KII.

     

    Борьба с "любителями" nmap и прочими :)

    in Каталог готовых решений Opkg

    Posted

    В 04.07.2017 в 22:25, Dorik1972 сказал:

    Вводная инструкция - https://xakep.ru/2011/08/23/58089/#toc02. + http://www.linuxcertif.com/man/8/xtables-addons/364384/ ... А дальше каждый "под себя" ... тут нет общего рецепта .. некой "кремлевской таблетки" от всех болезней

    p.s. на сколько я понимаю то с марта была добавлена поддержка на уровне ядра ... а вот остальное появилось чуть позже в виде opkg install xtables-addons_legacy

    Интересен RAWDNAT 

    RAWDNAT
The RAWDNAT target will rewrite the destination address in the IP header, much like the NETMAP target.

--to-destination addr[/mask]
    Network address to map to. The resulting address will be constructed the following way: All 'one' bits in the mask are filled in from the new address. All bits that are zero in the mask are filled in from the original address.

See the RAWSNAT help entry for examples and constraints.

    Самое простое если две сети которые связываются находятся в одном поле IP адресов 

    192.168.1.2--роутер-------инет-------роутер-192.192.168.1.100
    Скрытый текст

    /opt/lib/iptables # ls -l
    -rwxr-xr-x    1 root     root          6056 Jun  2 15:53 libxt_ACCOUNT.so
    -rwxr-xr-x    1 root     root          4520 Jun  2 15:53 libxt_CHAOS.so
    -rwxr-xr-x    1 root     root          3736 Jun  2 15:53 libxt_DELUDE.so
    -rwxr-xr-x    1 root     root          5288 Jun  2 15:53 libxt_DHCPMAC.so
    -rwxr-xr-x    1 root     root          7684 Jun  2 15:53 libxt_DNETMAP.so
    -rwxr-xr-x    1 root     root          3736 Jun  2 15:53 libxt_ECHO.so
    -rwxr-xr-x    1 root     root          6388 Jun  2 15:53 libxt_IPMARK.so
    -rwxr-xr-x    1 root     root          5424 Jun  2 15:53 libxt_LOGMARK.so
    -rwxr-xr-x    1 root     root          6784 Mar  6  2017 libxt_NOTRACK.so
    -rwxr-xr-x    1 root     root          6384 Jun  2 15:53 libxt_RAWDNAT.so
    -rwxr-xr-x    1 root     root          6336 Jun  2 15:53 libxt_RAWSNAT.so
    -rwxr-xr-x    1 root     root          3736 Jun  2 15:53 libxt_STEAL.so
    -rwxr-xr-x    1 root     root          3736 Jun  2 15:53 libxt_SYSRQ.so
    -rwxr-xr-x    1 root     root          4664 Jun  2 15:53 libxt_TARPIT.so
    -rwxr-xr-x    1 root     root          4820 Jun  2 15:53 libxt_condition.so
    -rwxr-xr-x    1 root     root          5288 Jun  2 15:53 libxt_dhcpmac.so
    -rwxr-xr-x    1 root     root          5168 Jun  2 15:53 libxt_fuzzy.so
    -rwxr-xr-x    1 root     root          8568 Jun  2 15:53 libxt_geoip.so
    -rwxr-xr-x    1 root     root          4340 Jun  2 15:53 libxt_gradm.so
    -rwxr-xr-x    1 root     root          9600 Jun  2 15:53 libxt_iface.so
    -rwxr-xr-x    1 root     root          7864 Jun  2 15:53 libxt_ipp2p.so
    -rwxr-xr-x    1 root     root          6320 Jun  2 15:53 libxt_ipv4options.so
    -rwxr-xr-x    1 root     root          6796 Jun  2 15:53 libxt_length2.so
    -rwxr-xr-x    1 root     root          4936 Jun  2 15:53 libxt_lscan.so
    -rwxr-xr-x    1 root     root          9608 Jun  2 15:53 libxt_pknock.so
    -rwxr-xr-x    1 root     root          6192 Jun  2 15:53 libxt_psd.so
    -rwxr-xr-x    1 root     root          6232 Jun  2 15:53 libxt_quota2.so
    -rwxr-xr-x    1 root     root         14748 Mar  6  2017 libxt_state.so
    /opt/lib/iptables #

     

    Определение состояния доступа в Интренет

    in 2.11

    Posted

    Подправлю как и было сказано это биты от

    Скрытый текст

       - Flags:  Query, Opcode - QUERY (Standard query), RD, RA, Rcode - Success
         QR:                (0...............) Query
         Opcode:            (.0000...........) QUERY (Standard query) 0
         AA:                (.....0..........) Not authoritative
         TC:                (......0.........) Not truncated
         RD:                (.......1........) Recursion desired
         RA:                (........1.......) Recursive query support available
         Zero:              (.........0......) 0
         AuthenticatedData: (..........0.....) Not AuthenticatedData
         CheckingDisabled:  (...........0....) Not CheckingDisabled
         Rcode:             (............0000) Success 0
       

         RD:                (.......1........) Recursion desired
         RA:                (........1.......) Recursive query support available
     

    или

    RD флаг -1 значит "Запрос Рекурсии" типа когда bla.bla.com просит ns.bla.com разрешить имя и говорит DNS принять этот запрос.
    RA флаг -1 значит, что рекурсия доступна (бит устан. 1 в ответе сервера имен, если он поддерживает рекурсию).

     

    Определение состояния доступа в Интренет

    in 2.11

    Posted

    1 минуту назад, r13 сказал:

    Там есть различия в dns запросах(приложил ниже пикап). Возможно генеримые тестом отвергаются dnscpypt-proxy за вышестоящим роутером.

    А после пинка адреса уже берутся из кеша и как бы все ок.

    Почему флаги в запросах разные и что они означают, я хз :)

    Все то же самое даже без dnscpypt-xxxx и на родном так же, на обоих роутерах режим ИНТЕРНЕТ ЦЕНТРА - ОСНОВНОЙ, только default на лок.шлюз.

    Повторюсь осталась так же не понятка в одном вопросе думаю кто-то ее поймает в другом месте - при отключенном "opkg dns-override" локальные сервисы все равно могут обращаться к DNS провайдерским на прямую, вопрос только как если должно быть ОТКЛЮЧЕНИЕ ЯКОБЫ происходит

    Скрытый текст

    Sep 25 18:54:36pppd[662] Connect: ppp0 <--> eth2.2

    установка канала интернет

    Sep 25 18:54:36ndm Network::Interface::Ppp: "PPPoE0": adding nameserver DNS1_пров
    Sep 25 18:54:36ndm Dns::Manager: name server DNS1_пров is disregarded while Opkg is active.
    Sep 25 18:54:36ndm Network::Interface::Ppp: "PPPoE0": adding nameserver DNS2_пров
    Sep 25 18:54:36ndm Dns::Manager: name server DNS1_пров is disregarded while Opkg is active.
    ...
    Sep 25 18:55:37ndnproxy ndnproxy stopped.
    Sep 25 18:55:37ndm Dns::Manager: RPC-only mode enabled.
    ... якобы все переключили по запросам
    Sep 25 18:55:38cron[776] (CRON) STARTUP (V5.0)
    ... самая первая служба у меня из OPKG -  это CRON далее dnsmasq
    Sep 25 18:55:41dnsmasq[803] started, version 2.77test4 cachesize 1500
     
    но если набрать с данного роутера что-то типа ya.ru то запрос уйдет на DNS1_пров
    считаю багом  и не правильной работой
     
    т.е. продолжает весеть служба которой наплевать на настройки она использует DNS1_пров.

     

    Определение состояния доступа в Интренет

    in 2.11

    Posted · Edited by vasek00

    В 22.09.2017 в 12:38, r13 сказал:

    @sergeyk У меня тоже какая то ерунда с резолвером на последней версии

    Start2 подключен к вышестоящей Ультре так что DNS единственный 192.168.1.1

    После загрузки типа интернета нет, ничего не резолвится(в том числе и сервер обновлений и т.д.):

      Показать содержимое

    (config)> show internet status
              checked: Thu Sep 21 23:01:30 2017
              reliable: yes
              gateway-accessible: yes
              dns-accessible: no
              host-accessible: no
              internet: no
              
              gateway:
              interface: FastEthernet0/Vlan2
              address: 192.168.1.1
              failures: 0
              accessible: yes
              excluded: no

              hosts:
              host:
              name: ya.ru
              failures: 0
              resolved: no
              accessible: no
              
                    host:
                    name: google.com
                    failures: 0
                    resolved: no
                    accessible: no
                    
                    host:
                    name: facebook.com
                    failures: 0
                    resolved: no
                    accessible: no

    При этом если пнуть в тойже консоли пинг то url без проблем резолвится и проверка статуса интернета сразу же проходит:

      Показать содержимое

    (config)> tools ping ya.ru

    sending ICMP ECHO request to ya.ru...
    PING ya.ru (87.250.250.242) 56 (84) bytes of data.84 bytes from ya.ru (87.250.250.242): icmp_req=1, ttl=56, time=8.50 ms.
    84 bytes from ya.ru (87.250.250.242): icmp_req=2, ttl=56, time=8.42 ms.
    84 bytes from ya.ru (87.250.250.242): icmp_req=3, ttl=56, time=8.43 ms.
    84 bytes from ya.ru (87.250.250.242): icmp_req=4, ttl=56, time=8.44 ms.
    84 bytes from ya.ru (87.250.250.242): icmp_req=5, ttl=56, time=8.37 ms.
    --- ya.ru ping statistics ---
    5 packets transmitted, 5 packets received, 0% packet loss,
    0 duplicate(s), time 4613.43 ms.
    und-trip min/avg/max = 8.37/8.43/8.50 ms.

    (config)> show internet status

              checked: Thu Sep 21 23:02:16 2017
              reliable: yes
              gateway-accessible: yes
              dns-accessible: yes
              host-accessible: yes
              internet: yes

              gateway:
              interface: FastEthernet0/Vlan2
              address: 192.168.1.1
              failures: 0
              accessible: yes
              excluded: no
              
              hosts:
                    host:
                    name: ya.ru
                    failures: 0
                    resolved: yes
                    accessible: yes

                    host:
                    name: google.com
                    failures: 0
                    resolved: no
                    accessible: no
                    host:
                    name: facebook.com
                    failures: 0
                    resolved: no
                    accessible: no

    (config)> 

    селфтест прилагаю.

     

    Так же писал про это ранее и на 2.10 и именно так же про настройку ExtII (только в своих схемах использования) аж от 08.06.2017 нашел.

    При этом если пнуть в тойже консоли пинг то url без проблем резолвится и проверка статуса интернета сразу же проходит

    Проверим на счет поправили так же.

     

    Ссылка на файл которого нет AS2.png

    in 2.11

    Posted

    2.11.A.3.0-1 - ExtII и KII 

    Sep 25 12:34:06Keen-ext-ii nginx (conn: *20) open() "/usr/share/htdocs/assets/img/AS2.png" failed (2: No such file or directory), client: 192.168.1.2
Sep 25 12:34:06Keen-ext-ii nginx(conn: *18) open() "/usr/share/htdocs/assets/img/PM2.png" failed (2: No such file or directory), client: 192.168.1.2

Sep 25 12:35:03 keen-II nginx (conn: *1614) open() "/usr/share/htdocs/assets/img/AS2.png" failed (2: No such file or directory), client: 192.168.1.2
Sep 25 12:35:03 keen-II nginx (conn: *1617) open() "/usr/share/htdocs/assets/img/PM2.png" failed (2: No such file or directory), client: 192.168.1.2
    SkyDns приложение стоит но не должно быть активно #security.skydns - галки нет 
    Sep 25 12:35:06 ndm SkyDns::Client: login is not set.

    Аналогично и с #usb.cloudcontrol 

    Sep 25 12:10:17 ndm Cloud::Agent: can not connect to the cloud server.

     

    LLDP

    in 2.11

    Posted

    Опечатки MAC нет так как обычно WAN и LAN отличаются на +1.

    14 часа назад, arbayten сказал:

    а здесь все же ачепятка или по одному линку выходят пакеты от "двух источников в две стороны" ... если так, то с LLC, скорее всего, тоже уже все не гладко.

    А какая может быть проблема c LLC если из примера выше как и положено летают на ISP (WAN)

    Скрытый текст

    136    7.306012    HuaweiTe_хх:хх:ed    ZyxelCom_хх:хх:a9    PPP LCP    64    Echo Request

    137    7.306127    ZyxelCom_хх:хх:a9    HuaweiTe_хх:хх:ed    PPP LCP    34    Echo Reply

    144    7.605513    D-LinkIn_хх:хх:e6    Ethernet-Configuration-Test-protocol-(Loopback)    LOOP    64    Unknown function (256)

    в этой же LAN есть еще ZyxelCom_хх:хх:2c и с его LAN порта

    581    45.619579    ZyxelCom_хх:хх:2c    Broadcast    LLDP    167    TTL = 120 System Name = Mxxxxx-EII System Description = Zyxel Keenetic Extra II (NDMS 2.11.A.2.0-0): ki_rb

    как видно после роутера Zyxel -> стоит D-Link switch -> потом провайдер.

     

    LLDP

    in 2.11

    Posted · Edited by vasek00

    Ну тут наверное просто ситуация - узнать "окружение" роутера, а так как ISP и Bridge0 по умолчанию. 

    Port Subtype = Interface name, Id: FastEthernet0/Vlan2

Port Subtype = Interface name, Id: Bridge0

    а если считать что это еще только начало и будет что-то типа "show lldp neighbors" то можно увидеть соседа  - его MAC+IP+Sysname+System+Port/interface+что_он_роутер, потом на страницу WEB. В Entware есть сервис lldpd и cli для него - lldpcli. Можно попробовать поставить на двух и посмотреть что можно увидеть.

    Скрытый текст 
    
Interface: eth0
    ChassisID: sw-b-48 (local)
    SysName:   sw-b-48
    SysDescr:
     cisco WS-C2960-48TT-L running on
     Cisco IOS Software, C2960 Software (C2960-LANBASE-M)
     Copyright (c) 1986-2007 by Cisco Systems, Inc.
     Compiled Thu 19-Jul-07 20:06 by nachen
    MgmtIP:    172.16.25.48
    Caps:      Bridge(E)
    PortID:    FastEthernet0/4 (ifName)
    PortDescr: FastEthernet0/4

    и так же

    https://tobrunet.ch/articles/LLDPd-Know-your-network-neighbors/

    https://habrahabr.ru/post/312236/

     

    LLDP

    in 2.11

    Posted

    12 часа назад, Roman_Petrov сказал:

    Все конечно в теории хорошо, да... Но в теории принимающая сторона не должна увидеть что у меня Zyxel и т.д. Свич стоит пассивный оптический, не думаю что он способен что то отсекать до провайдерского оборудования. Т.е. в теории я таки думаю, что по lldp они могли засветить что у меня другой роутер стоит и кортануть данные. И я еще не все знаю в теории, может есть еще что-то, как они переодически чекуют. Но это все только догадки конечно, не будем углублятся, если все работает. Кортанул передачу lldp и склонировал MAC, заработало и замечательно....

    То что я показал - это не теория а практика реальной работы - от провайдера после их switch тишина в сторону роутера Zyxel. Легко можете проверить, если есть Entware то tcpdump на основном eth.

    Т.е. в теории я таки думаю, что по lldp они могли засветить что у меня другой роутер стоит и кортануть данные.

    Думаю в настоящий момент так не делают, если только у провайдера не закуплено большое кол-во оборудования.

    LLDP

    in 2.11

    Posted

    1 час назад, Roman_Petrov сказал:

    Сейчас все работает, сессия PPPoE не причем, возможно что-то передалось на уровне ISP-VLAN, по которой уходило LLPD. По маку вроде привязки не было, но сейчас на всякий случай я и его склонировал. Сложно сейчас понять, как там что работает, если месяцами до этого был uptime и ничего, а тут прям перестало работать. Может они переодически вручную смотрят оборудование у абонентов и я засветился, я сам не уловил логики. Возможно конечно что так совпало и просто по случаю как раз в этот момент упала сеть. Будем посмотреть как дальше будет.

    Да там вообще проблем не должно быть, уходят два пакета 

    1. первый пакет на МАС - LLDP_Multicast (01:80:c2:00:00:0e)
ZyxelCom_хх:хх:a9	LLDP_Multicast	LLDP	133	TTL = 120 System Name = Mххххх System Description = ZyXEL Keenetic II (NDMS 2.11.A.2.0-0): kn_rb 
---
    Type: 802.1Q Virtual LAN (0x8100)
802.1Q Virtual LAN, PRI: 0, DEI: 0, ID: 2
...
    Type: 802.1 Link Layer Discovery Protocol (LLDP) (0x88cc)
Link Layer Discovery Protocol
    Chassis Subtype = MAC address, Id: хх:хх:хх:хх:хх:a9
...
    Port Subtype = Interface name, Id: FastEthernet0/Vlan2
...
    System Name: Mххххх
    System Description = ZyXEL Keenetic II (NDMS 2.11.A.2.0-0): kn_rb


2. второй пакет на Broadcast (ff:ff:ff:ff:ff:ff)
ZyxelCom_хх:хх:хх	Broadcast	LLDP	162	TTL = 120 System Name = Mххххх System Description = ZyXEL Keenetic II (NDMS 2.11.A.2.0-0): kn_rb 
---
Ethernet II, Src: ZyxelCom_хх:хх:a8 (хх:хх:хх:хх:хх:a8), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
    Destination: Broadcast (ff:ff:ff:ff:ff:ff)
    Source: ZyxelCom_хх:хх:a8 (хх:хх:хх:хх:хх:a8)
    Type: 802.1Q Virtual LAN (0x8100)
    802.1Q Virtual LAN, PRI: 0, DEI: 0, ID: 1
...
Type: 802.1 Link Layer Discovery Protocol (LLDP) (0x88cc)
Link Layer Discovery Protocol
    Chassis Subtype = MAC address, Id: xx:xx:xx:xx:xx:a8
...
    Port Subtype = Interface name, Id: Bridge0
...
    System Name: Mххххх
    System Description = ZyXEL Keenetic II (NDMS 2.11.A.2.0-0): kn_rb
...

    и как бы до "фонаря" принимающей стороне и до первого switch обычно в доме (если многоквартирный и есть клиенты провайдера)

    Скрытый текст

    http://xgu.ru/wiki/LLDP

    В сообщениях LLDP содержатся несколько TLV (Type, Value, Length):

    • Type — описывает тип информации, которая передается этой частью сообщения (7 бит);
    • Length — размер поля Value (9 бит);
    • Value — описывает определенную характеристику устройства.

     

     

    LLDP

    in 2.11

    Posted · Edited by vasek00

    8 часов назад, Roman_Petrov сказал:

    В моем конкретном случае мне провайдер после установки оптики выдал опт свитч и роутер-обрубок в виде Sercom Vox 2.5 с его ущербной возможностями прошивкой и быстродействием. Мне очень быстро надоело иметь связку из трех железок опт свичь<>провайдерский роутер-обрубок<>Keenetic Ultra II. Пришлось хакнуть пароль пров роутера и все настройки, пароль Pppoe и т.д, что не совсем легально, но позволило его выкинуть. Самое главное, что Keneetic прямо в паблик сеть смотрит сейчас всеми мне нужными портами, а не как провайдер навязал, зарезервировав за собой порты :80 , :23 и т.д. А после установки прошивки 2.11 с вещанием LLDP я словил затык: больше не устанавливалось соединение с провайдером по Pppoe,  пока я не воткнул обратно на время пров обмылок и, таким образом, не заработало все снова. Я уже начинаю думать, не сыграло ли злую штуку со мной LLDP,  и пров оборудование начало вредничать? :) Пока на ISP-VLAN отключил LLDP, вроде все работает снова, черт его знает что :)

     

    P.S. Xотя искренне считаю, что совсем вырезать эту возможность не нужно, кому-то наоборот это будет суперполезно, просто по умолчанию на public интерфейсах он мог бы быть по умолчанию выключен llpd disable, но с возможностью включения в случае необходимости.

    А как такое может быть если по умолчанию на Keenetic - при запущенных трех сервисах : nlldo и nllda (на двух интерфейсах - ISP и Home) какое отношение имело к PPPoE ЕСЛИ только не было привязки к MAC или к опросу оборудования, если оно не Sercom на ISP то нет связи. MAC отпадает, но это тогда противоречит

    Пока на ISP-VLAN отключил LLDP, вроде все работает снова, черт его знает что

    как LLDP может влиять, если якобы алгоритм по стандарту.

    Для этой оценки хорошо бы снять dump пакетиков (захват на ISP при подключении Keenetic с включенным LLDP на ISP).

×
×
  • Create New...