-
Posts
4,392 -
Joined
-
Last visited
-
Days Won
75
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by vasek00
-
-
edm, если стоит Entware то может стоит посмотреть на :
- заблокирован выход в интернет => пакетики заворачиваются на DROP в HOTSPOT_FWD, счетчик должен расти выхода нет
- разрешаем выход в интернет => пакетики на RETURN в HOTSPOT_FWD, счетчик растет выход есть
и проверьте сам файл конфиг на данную тему разделы
- ip hotspot
- ip dhcp host на клиента
-
Да только если будите снимать "сниф" в холостом режиме не загружайте сеть не чем (просто минут 10 не чего не гоняйте, а то мусора много). Можете в личику сслыки скидывать.
-
Повторюсь в Рабочий-не-рабочий-80211dgn-отвал-на-отметке-1205 происходило от ZyxelCom_00:7b:b8 фрейм "Beacon frame" (описание выше) то на 2412MHz, то на 2417MHz, то на 2427MHz, так же на 2452MHz.
т.е. выбрать жестко канал и на нем уже - 20 а потом 20/40 и попробовать "gn"
Посмотрю еще cap другим анализатором, wireshark что-то чудит немного..
-
19 минут назад, Dhampir113 сказал:
у меня 2 точки доступа (keenetic 2 и Huawei 5832 S), но на момент тестов Huawei всегда отключен, больше ничего нет, даже в округе
и huawei я начал пользоваться только из-за того, что keenetic стал ерунду с wi-fi творить, но к huawei у меня не все устройства подключаются (запомнены) а только мой телефон Sony и всё
updated: на момент тестов к wifi keenetic было подключено 2 смарта (Sony и Samsung), принтер epson и комп MSI, которым я и захватывал трафик
На счет округа интересно Beacon только от ZyxelCom_00:7b:b8 как AP:
AirgoNet_11:4f:08 IPv4mcast_7f:ff:fa с солидным сигналом " Channel: 1 Frequency: 2412MHz Signal strength (dBm): -30dBm"
Giga-Byt_4d:41:8c Broadcast с солидным сигналом "Channel: 1 Frequency: 2412MHz Signal strength (dBm): -34dBm "
Giga-Byt_4d:41:8c обмен Data c IntelCor_57:37:5d с сигналом "Channel: 1 Frequency: 2412MHz Signal strength (dBm): -30dBm"
это же устройство
ZyxelCom_00:7b:b8 обмен Data c IntelCor_57:37:5d c сигналом "Channel: 1 Frequency: 2412MHz Signal strength (dBm): -37dBm"
SeikoEps_2a:3e:ed Broadcast с сигналом "Channel: 1 Frequency: 2412MHz Signal strength (dBm): -32dBm"
ZyxelCom_00:7b:b8 IPv4mcast_7f:ff:fa с сигналом "Channel: 1 Frequency: 2412MHz Signal strength (dBm): -30dBm"
Так как ZyxelCom_00:7b:b8 меняет частоту при смене уровня сигналов до -31dBm переход и потом возврат, то определитесь с эфиром и выберите канал, потом ширина 20/40 или 20 для "n"
Устройство IntelCor_57:37:5d контактирует с Giga-Byt_4d:41:8c и с ZyxelCom_00:7b:b8
Уровни сигналов думаю ну очень -25dBm -32dBm, как будто в метре от них?
-
Как то все круто закручено с сеть у вас, да еще и несколько БС
Скрытый текстНе рабочий-80211n Стабильно Flags .p....F и нет .pm....F
Channel: 1 Frequency: 2412MHz Signal strength (dBm): -30dBm
….
192 24.669981400 ZyxelCom_00:7b:b8 Broadcast 802.11 286 Beacon frame, SN=1461, FN=0, Flags=........, BI=100, SSID=AstMedia
Channel: 3 Frequency: 2422MHz Signal strength (dBm): -43dBm
193 24.669981400 ZyxelCom_00:7b:b8 IntelCor_57:37:5d 802.11 464 QoS Data, SN=628, FN=0, Flags=.p....F.
Channel: 1 Frequency: 2412MHz Signal strength (dBm): -32dBm
194 24.741360100 ZyxelCom_00:7b:b8 Broadcast 802.11 286 Beacon frame, SN=1463, FN=0, Flags=........, BI=100, SSID=AstMedia
Channel: 1 Frequency: 2412MHz Signal strength (dBm): -23dBm
196 25.458421000 AirgoNet_11:4f:08 IPv4mcast_7f:ff:fa 802.11 217 Data, SN=790, FN=0, Flags=.p....F.
Channel: 1 Frequency: 2412MHz Signal strength (dBm): -30dBm
198 25.663293900 Giga-Byt_4d:41:8c Broadcast 802.11 136 Data, SN=792, FN=0, Flags=.p....F.
Data rate: 6.0 Mb/s Channel: 1 Frequency: 2412MHz Signal strength (dBm): -31dBm
199 25.765613800 AirgoNet_11:4f:08 IPv4mcast_7f:ff:fa 802.11 217 Data, SN=793, FN=0, Flags=.p....F.
Data rate: 6.0 Mb/s Channel: 1 Frequency: 2412MHz Signal strength (dBm): -31dBm
203 28.265481800 ZyxelCom_00:7b:b8 IntelCor_57:37:5d 802.11 118 QoS Data, SN=629, FN=0, Flags=.p....F.
Channel: 1 Frequency: 2412MHz Signal strength (dBm): -34dBm
206 28.266888300 ZyxelCom_00:7b:b8 IntelCor_57:37:5d 802.11 106 QoS Data, SN=630, FN=0, Flags=.p....F.
Data rate: 9.0 Mb/s Channel: 1 Frequency: 2412MHz Signal strength (dBm): -34dBm
226 32.236261500 Giga-Byt_4d:41:8c IntelCor_57:37:5d 802.11 156 QoS Data, SN=638, FN=0, Flags=.p....F.
Data rate: 9.0 Mb/s Channel: 1 Frequency: 2412MHz Signal strength (dBm): -34dBm
…
295 32.300168600 Giga-Byt_4d:41:8c IntelCor_57:37:5d 802.11 254 QoS Data, SN=673, FN=0, Flags=.p....F.
Data rate: 9.0 Mb/s Channel: 1 Frequency: 2412MHz Signal strength (dBm): -34dBm
297 33.036454100 AirgoNet_11:4f:08 IPv4mcast_fb 802.11 153 Data, SN=808, FN=0, Flags=.p....F.
Data rate: 6.0 Mb/s Channel: 1 Frequency: 2412MHz Signal strength (dBm): -30dBm
300 33.826571900 ZyxelCom_00:7b:b8 IntelCor_57:37:5d 802.11 118 QoS Data, SN=267, FN=0, Flags=.p....F.
Data rate: 9.0 Mb/s Channel: 1 Frequency: 2412MHz Signal strength (dBm): -33dBm
…
310 35.289181200 SeikoEps_2a:3e:ed Broadcast 802.11 110 Data, SN=811, FN=0, Flags=.p....F.
Data rate: 6.0 Mb/s Channel: 1 Frequency: 2412MHz Signal strength (dBm): -32dBm
…
311 35.391543300 ZyxelCom_00:7b:b8 Broadcast 802.11 286 Beacon frame, SN=1567, FN=0, Flags=........, BI=100, SSID=AstMedia
Data rate: 1.0 Mb/s Channel: 1 Frequency: 2412MHz Signal strength (dBm): -24dBm
312 35.391822500 AirgoNet_11:4f:08 IPv4mcast_7f:ff:fa 802.11 217 Data, SN=812, FN=0, Flags=.p....F.
Data rate: 6.0 Mb/s Channel: 1 Frequency: 2412MHz Signal strength (dBm): -32dBm
…
315 36.786416500 Giga-Byt_4d:41:8c IntelCor_57:37:5d 802.11 112 QoS Data, SN=675, FN=0, Flags=.p....F.
Data rate: 6.0 Mb/s Channel: 1 Frequency: 2412MHz Signal strength (dBm): -30dBm
…
322 38.316161500 ZyxelCom_00:7b:b8 IntelCor_57:37:5d 802.11 118 QoS Data, SN=677, FN=0, Flags=.p....F.
Data rate: 9.0 Mb/s Channel: 1 Frequency: 2412MHz Signal strength (dBm): -37dBm
… И так очень часто
…375 51.162480400 ZyxelCom_00:7b:b8 IPv4mcast_7f:ff:fa 802.11 502 Data, SN=830, FN=0, Flags=.pm...F.
Data rate: 6.0 Mb/s Channel: 1 Frequency: 2412MHz Signal strength (dBm): -32dBm
…
И опять на ...429 65.498784200 AirgoNet_11:4f:08 IPv4mcast_7f:ff:fa 802.11 217 Data, SN=870, FN=0, Flags=.p....F.
Data rate: 6.0 Mb/s Channel: 1 Frequency: 2412MHz Signal strength (dBm): -33dBm
…
2912 153.449707500 ZyxelCom_00:7b:b8 Broadcast 802.11 286 Beacon frame, SN=2718, FN=0, Flags=........, BI=100, SSID=AstMedia
Channel: 2 Frequency: 2417MHz Signal strength (dBm): -43dBm
2923 153.464785400 ZyxelCom_00:7b:b8 Broadcast 802.11 286 Beacon frame, SN=2720, FN=0, Flags=........, BI=100, SSID=AstMedia
Channel: 1 Frequency: 2412MHz Signal strength (dBm): -24dBm
….
И до конца Channel: 1 Frequency: 2412MHz
2644 111.479102600 ZyxelCom_00:7b:b8 IPv4mcast_7f:ff:fa 802.11 566 Data, SN=1009, FN=0, Flags=.pm...F.
Data rate: 6.0 Mb/s Channel: 1 Frequency: 2412MHz Signal strength (dBm): -30dBm
2645 111.479847700 ZyxelCom_00:7b:b8 IPv4mcast_7f:ff:fa 802.11 566 Data, SN=1010, FN=0, Flags=.pm...F.
Data rate: 6.0 Mb/s Channel: 1 Frequency: 2412MHz Signal strength (dBm): -33dBm
…
2654 111.487035300 ZyxelCom_00:7b:b8 IPv4mcast_7f:ff:fa 802.11 502 Data, SN=1019, FN=0, Flags=.p....F.
Data rate: 6.0 Mb/s Channel: 1 Frequency: 2412MHz Signal strength (dBm): -33dBm
Data rate: 6.0 Mb/s Channel: 1 Frequency: 2412MHz Signal strength (dBm): -47dBm
…
1121 85.350288900 ZyxelCom_00:7b:b8 IntelCor_57:37:5d 802.11 1444 QoS Data, SN=600, FN=0, Flags=.p....F.
Data rate: 6.0 Mb/s Channel: 1 Frequency: 2412MHz Signal strength (dBm): -32dBm
IEEE 802.11 QoS Data, Flags: .p....F.
1921 86.751788400 ZyxelCom_00:7b:b8 IntelCor_57:37:5d 802.11 1444 QoS Data, SN=1064, FN=0, Flags=.p....F.
Channel: 1 Frequency: 2412MHz Signal strength (dBm): -32dBm
Скрытый текстВ рабочий-80211n
5 3.031236800 ZyxelCom_00:7b:b8 Broadcast 802.11 286 Beacon frame, SN=1251, FN=0, Flags=........, BI=100, SSID=AstMedia
Channel: 1 Frequency: 2412MHz Signal strength (dBm): -30dBm
…
190 24.434214600 ZyxelCom_00:7b:b8 Broadcast 802.11 286 Beacon frame, SN=1460, FN=0, Flags=........, BI=100, SSID=AstMedia
Channel: 1 Frequency: 2412MHz Signal strength (dBm): -24dBm
192 24.669981400 ZyxelCom_00:7b:b8 Broadcast 802.11 286 Beacon frame, SN=1461, FN=0, Flags=........, BI=100, SSID=AstMedia
Channel: 3 Frequency: 2422MHz Signal strength (dBm): -43dBm
194 24.741360100 ZyxelCom_00:7b:b8 Broadcast 802.11 286 Beacon frame, SN=1463, FN=0, Flags=........, BI=100, SSID=AstMedia
Channel: 1 Frequency: 2412MHz Signal strength (dBm): -23dBm
…
И до упора уже не менялась
…
3266 184.595453200 ZyxelCom_00:7b:b8 Broadcast 802.11 286 Beacon frame, SN=3024, FN=0, Flags=........, BI=100, SSID=AstMedia
Channel: 1 Frequency: 2412MHz Signal strength (dBm): -31dBm
Скрытый текстРабочий-не-рабочий-80211dgn-отвал-на-отметке-1205
153 27.452524100 ZyxelCom_00:7b:b8 Broadcast 802.11 306 Beacon frame, SN=1537, FN=0, Flags=........, BI=100, SSID=AstMedia
Data rate: 1.0 Mb/s Channel: 1 Frequency: 2412MHz Signal strength (dBm): -31dBm
175 29.680245400 ZyxelCom_00:7b:b8 Broadcast 802.11 306 Beacon frame, SN=1557, FN=0, Flags=........, BI=100, SSID=AstMedia
Data rate: 1.0 Mb/s Channel: 4 Frequency: 2427MHz Signal strength (dBm): -50dBm
176 29.716048500 ZyxelCom_00:7b:b8 Broadcast 802.11 306 Beacon frame, SN=1559, FN=0, Flags=........, BI=100, SSID=AstMedia
Data rate: 1.0 Mb/s Channel: 1 Frequency: 2412MHz Signal strength (dBm): -29dBm
777 158.743921000 ZyxelCom_00:7b:b8 Broadcast 802.11 306 Beacon frame, SN=2819, FN=0, Flags=........, BI=100, SSID=AstMedia
Data rate: 1.0 Mb/s Channel: 1 Frequency: 2412MHz Signal strength (dBm): -28dBm
778 158.962646400 ZyxelCom_00:7b:b8 Broadcast 802.11 306 Beacon frame, SN=2820, FN=0, Flags=........, BI=100, SSID=AstMedia
Data rate: 1.0 Mb/s Channel: 2 Frequency: 2417MHz Signal strength (dBm): -36dBm
779 159.054182000 ZyxelCom_00:7b:b8 Broadcast 802.11 306 Beacon frame, SN=2822, FN=0, Flags=........, BI=100, SSID=AstMedia
Data rate: 1.0 Mb/s Channel: 1 Frequency: 2412MHz Signal strength (dBm): -27dBm
...
999 279.471277500 ZyxelCom_00:7b:b8 Broadcast 802.11 306 Beacon frame, SN=3998, FN=0, Flags=........, BI=100, SSID=AstMedia
Data rate: 1.0 Mb/s Channel: 1 Frequency: 2412MHz Signal strength (dBm): -22dBm
1000 279.764344800 ZyxelCom_00:7b:b8 Broadcast 802.11 306 Beacon frame, SN=3999, FN=0, Flags=........, BI=100, SSID=AstMedia
Data rate: 1.0 Mb/s Channel: 2 Frequency: 2417MHz Signal strength (dBm): -32dBm
1001 279.779192400 ZyxelCom_00:7b:b8 Broadcast 802.11 306 Beacon frame, SN=4001, FN=0, Flags=........, BI=100, SSID=AstMedia
Data rate: 1.0 Mb/s Channel: 1 Frequency: 2412MHz Signal strength (dBm): -24dBm
...
1129 343.982256900 ZyxelCom_00:7b:b8 Broadcast 802.11 306 Beacon frame, SN=531, FN=0, Flags=........, BI=100, SSID=AstMedia
Data rate: 1.0 Mb/s Channel: 9 Frequency: 2452MHz Signal strength (dBm): -88dBm
1130 343.993897000 ZyxelCom_00:7b:b8 Broadcast 802.11 306 Beacon frame, SN=532, FN=0, Flags=........, BI=100, SSID=AstMedia
Возврат на Frequency: 2412MHz
-
Только что, Dhampir113 сказал:
да это вам спасибо, что помогаете. Может быть докопаемся до причины
Для информации - аутентификация в IEEE 802.11 :
1.Клиент посылает фрейм "Probe Request" во все радиоканалы.
2. Каждая точка радиодоступа (AP) в зоне радиовидимости которой находится клиент, посылает в ответ "фрейм Probe Response".
3. Клиент выбирает предпочтительную для себя AP и посылает в ее радиоканал запрос на аутентификацию "Authentication Request".
4. АР посылает подтверждение аутентификации "Authentication Reply".
5. Если ОК по аутентификации клиент посылает АР фрейм ассоциации "Association Request".
6. АР в ответ отправляет фрейм подтверждения ассоциации "Association Response".
7. Клиент можно и обмен трафиком с АР.
Идентификатор SSID регулярно передается АР в фреймах Beacon.
-
-
2 часа назад, umka сказал:
Любой сервис в котором куча udp трафика. Теже ip-tv, dns сервера, vpn с UDP инкапсуляцией, ... Любой из этих сервисов будет забивать conntrack table, что будет требовать все больших ресурсов на обработку каждого входящего пакета и возможные отказы при обслуживании так как conntrack заблокировал создание нового соединения. Мы же не говорим о скоростях 1Мбит которые переживет всякий.
За всю практику которую прошел от ххКбит до 100Мбит (опять же не фанат торрента) - не было такого про то что вы говорите udp трафика...Любой из этих сервисов будет забивать conntrack table может конечно у кого-то что-то было, но про это молчек как на данном форуме, так на ixbt и на других по тематике роутеров, опять же не кто не заострял внимание, что тут проблема здесь на этом форуме. Опять же повторюсь UDP работает без подтверждение, т.е. ПО которое его используют сами учитывают эту специфику.
Может конечно у вас скорости по больше, но опять же тишина.
-
Это не то что хотелось бы, а хотелось бы уровень на уровни " фреймов Beacon " копнуть
Скрытый текст121 12:10:21 05.07.2017 78.5552258 [хххххх хххх2C] [хххххх хххх47] WiFi WiFi:[ ManagementProbe response] ....... RSSI = -55 dBm, Rate = 6.0 Mbps, SSID = Ext-II, Channel = 4
122 12:10:21 05.07.2017 78.5572564 [хххххх хххх2C] [*BROADCAST] WiFi WiFi:[ ManagementBeacon] ....... RSSI = -55 dBm, Rate = 1.0 Mbps, SSID = Ext-II, Channel = 4
...
123 12:10:22 05.07.2017 78.7686841 [хххххх хххх2C] [хххххх хххх47] WiFi WiFi:[ ManagementAuthentication] ....... RSSI = -55 dBm, Rate = 6.0 Mbps
124 12:10:22 05.07.2017 78.7723905 [хххххх хххх2C] [хххххх хххх47] WiFi WiFi:[ ManagementAssociation response] ....... RSSI = -55 dBm, Rate = 6.0 Mbps
....
131 12:10:22 05.07.2017 78.9185611 0.0.0.0 255.255.255.255 DHCP DHCP:Request, MsgType = REQUEST, TransactionID = 0x6042AE43 {DHCP:3, UDP:18, IPv4:17}
136 12:10:22 05.07.2017 78.9266382 EXT-II F-A DHCP DHCP:Reply, MsgType = ACK, TransactionID = 0x6042AE43 {DHCP:3, UDP:18, IPv4:17}
а точнее
Скрытый текстФрейм управления 802.11 - устанавливать/поддерживать коммуникации WiFi.
Пользовательские устройства работают в режимах поиска сети:- пассивного сканирования (Passive Scanning - тихо слушаем эфир). Последовательно прослушивать все частотные каналы поддерживаемого диапазона и выявить "биконы" AP.
- активного сканирования (Active Scanning - запросы в эфир). Устройство посылает фреймы "Probe Request" по всем частотным каналам в поддерживаемом диапазоне часот с указанием искомого SSID сети (direct probe request) или без SSID (null probe request).1. Association request
2. Association response
3. Reassociation request
4. Reassociation response
5. Probe request
6. Probe response
7. Beacon
8. ATIM (Announcement traffica indication mesage)
9. Disassiciation
10. Authentication
11. Deauthentication
12. Action
13. Action No Ack
14. Timing advertisement
Лучше тогда на клиенте ПК который имеет wi-fi и будет подключен к данной точке, смотреть на ней - "Microsoft Network Monitor 3.4" или типа "Sniffer Pro Wireless" => смотреть что вещается роутером в рабчем режиме и потом.
Родным анализатором (захват пакетов) не получиться.
-
21 минуту назад, umka сказал:
порт 6667 был выбран как пример правила, тут же был дан пример реального использования (и нужности) правил NOTRACK (так сказать из реального мира).
Извините за не скромный вопрос, который не имеет отношения к перегрузкам , а можно по конкретней - про реальность мира (посмотреть почитать) где применяется нужность правил NOTRACK (в примерах к сегодняшним роутерам).
-
Берите захват пакетов по Wi-fi на ПК который по LAN - для начала в рабочем режиме когда некоторое время все работает (лучше не чего не качать) и в режиме когда "отвал" произошел.
В первом варианте увидите стандартные пакеты по wi-fi (БС<->клиент) во втором варианте возможно уже проблему на клиенте который дурит.
-
13 часа назад, Shadow87 сказал:
Torrent - достаточно прожорливый протокол. Пока я у себя не обрезал в настройках transmission скорость до половины от входящей, коннект интернета периодически подвисал. Причём трафик идёт с другой машины. Так что, если раздач/сидов активных с Transmission много висит, то вот вам и "здрасьте". Плюс, если uTP фича включена в настройках коннекта Transmission, то лучше её отрубить. Тоже тот ещё DoS.
Торрент весит на ПК, т.е. транзит через точку - проблем нет при скорости 100Мбит на входе, так же при работе с интернетом только не большие заторможки при просмотре страниц с этого же ПК.
uTP - по барабану, так как использует UDP пакет на который подтверждение не требуется, если что не так торрент повторит блок, в отличие от TCP.
set net.ipv4.tcp_fin_timeout 30 set net.ipv4.tcp_keepalive_time 120 set net.netfilter.nf_conntrack_tcp_timeout_established 1200 ... set net.netfilter.nf_conntrack_max 16384 /proc/sys/net/ipv4/netfilter # cat ip_conntrack_udp_timeout 30 /proc/sys/net/ipv4/netfilter # cat ip_conntrack_udp_timeout_stream 180 /proc/sys/net/ipv4/netfilter # cat ip_conntrack_tcp_timeout_established 1200 /proc/sys/net/ipv4/netfilter #
так например при настройках торрента на ПК по умолчанию (и только управлять uTP) при скорости 6-8МБ кол-во записей в conntrack было от 550-680 или выборочно ниже
/proc/15438/net # cat ip_conntrack | grep udp | wc -l 399 /proc/15438/net # cat ip_conntrack | wc -l 614 220/536 : 221/422 : 150 / 305 : 108/233 : 126/219 : 179/422
Конечно не фанат торрентов но все же.
-
Так же добавлю помимо мультикаста например гостевая отключена, но "src=10.0.0.1" но как говориться го даже по ifconfig нету.
Скрытый текст/proc/1860/net # ifconfig | grep 10.0.0
/proc/1860/net # cat ip_conntrack | grep 10.0.0
unknown 2 493 src=10.0.0.1 dst=224.0.0.1 packets=95 bytes=3040 [UNREPLIED] src=224.0.0.1 dst=10.0.0.1 packets=0 bytes=0 mark=0 use=2
/proc/1860/net #/proc/1860/net # cat ip_conntrack | grep UNREPLIED
udp 17 12 src=192.168.1.200 dst=239.255.255.250 sport=58750 dport=1900 packets=22 bytes=10694 [UNREPLIED] src=239.255.255.250 dst=192.168.1.200 sport=1900 dport=58750 packets=0 bytes=0 mark=0 use=2
unknown 2 560 src=169.254.255.1 dst=239.255.255.250 packets=38 bytes=1216 [UNREPLIED] src=239.255.255.250 dst=169.254.255.1 packets=0 bytes=0 mark=0 use=2
udp 17 15 src=78.47.125.180 dst=78.255.255.255 sport=138 dport=138 packets=1 bytes=484 [UNREPLIED] src=78.255.255.255 dst=78.47.125.180 sport=138 dport=415 packets=0 bytes=0 mark=0 use=2
udp 17 15 src=127.0.0.1 dst=127.0.0.1 sport=51694 dport=1027 packets=2 bytes=968 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=1027 dport=51694 packets=0 bytes=0 mark=0 use=2
unknown 2 507 src=10.0.0.1 dst=224.0.0.1 packets=84 bytes=2688 [UNREPLIED] src=224.0.0.1 dst=10.0.0.1 packets=0 bytes=0 mark=0 use=2
unknown 2 552 src=192.168.1.100 dst=224.0.0.1 packets=176 bytes=4928 [UNREPLIED] src=224.0.0.1 dst=192.168.1.100 packets=0 bytes=0 mark=0 use=2
udp 17 15 src=192.168.1.100 dst=192.168.1.255 sport=138 dport=138 packets=2 bytes=968 [UNREPLIED] src=192.168.1.255 dst=192.168.1.100 sport=138 dport=138 packets=0 bytes=0 mark=0 use=2
unknown 2 73 src=192.168.1.2 dst=239.255.255.250 packets=92 bytes=2944 [UNREPLIED] src=239.255.255.250 dst=192.168.1.2 packets=0 bytes=0 mark=0 use=2
unknown 2 555 src=192.168.1.200 dst=239.255.255.250 packets=170 bytes=5440 [UNREPLIED] src=239.255.255.250 dst=192.168.1.200 packets=0 bytes=0 mark=0 use=2
udp 17 21 src=192.168.1.100 dst=239.255.255.250 sport=42290 dport=1900 packets=22 bytes=10694 [UNREPLIED] src=239.255.255.250 dst=192.168.1.100 sport=1900 dport=42290 packets=0 bytes=0 mark=0 use=2
udp 17 20 src=192.168.1.200 dst=192.168.1.255 sport=138 dport=138 packets=2 bytes=458 [UNREPLIED] src=192.168.1.255 dst=192.168.1.200 sport=138 dport=138 packets=0 bytes=0 mark=0 use=2
/proc/1860/net # netstat -ltunp
...
tcp 0 0 0.0.0.0:8200 0.0.0.0:* LISTEN 739/minidlna
tcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN 788/nqcs
tcp 0 0 127.0.0.1:41230 0.0.0.0:* LISTEN 159/ndm
tcp 0 0 127.0.0.1:79 0.0.0.0:* LISTEN 714/nginx
tcp 0 0 0.0.0.0:43888 0.0.0.0:* LISTEN 844/miniupnpd
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 714/nginx
tcp 0 0 78.47.125.180:8081 0.0.0.0:* LISTEN 714/nginx
...tcp 0 0 0.0.0.0:445 0.0.0.0:* LISTEN 788/nqcs
....udp 0 0 127.0.0.1:1026 0.0.0.0:* 674/nqnd
udp 0 0 127.0.0.1:1027 0.0.0.0:* 674/nqnd
udp 0 0 127.0.0.1:41231 0.0.0.0:* 159/ndm
udp 0 0 127.0.0.1:41232 0.0.0.0:* 159/ndm
....udp 0 0 0.0.0.0:54321 0.0.0.0:* 780/ndnproxy
udp 0 0 192.168.1.100:42290 0.0.0.0:* 844/miniupnpd
....udp 0 0 0.0.0.0:67 0.0.0.0:* 716/ndhcps
udp 0 0 127.0.0.1:4445 0.0.0.0:* 788/nqcs
udp 0 0 0.0.0.0:1900 0.0.0.0:* 844/miniupnpd
udp 0 0 239.255.255.250:1900 0.0.0.0:* 739/minidlna
....
udp 0 0 0.0.0.0:137 0.0.0.0:* 674/nqnd
udp 0 0 0.0.0.0:138 0.0.0.0:* 674/nqnd
udp 0 0 127.0.0.1:54666 0.0.0.0:* 159/ndm
udp 0 0 127.0.0.1:44725 0.0.0.0:* 788/nqcs
...udp 0 0 1хх.хх.хх.247:4043 0.0.0.0:* 159/ndm
udp 0 0 1хх.хх.хх.247:60117 0.0.0.0:* 159/ndm
udp 0 0 0.0.0.0:60377 0.0.0.0:* 780/ndnproxy
udp 0 0 192.168.1.100:5351 0.0.0.0:* 844/miniupnpd
udp 0 0 0.0.0.0:5355 0.0.0.0:* 674/nqnd
udp 0 0 0.0.0.0:35577 0.0.0.0:* 788/nqcs
udp 0 0 192.168.1.100:54014 0.0.0.0:* 739/minidlna
...2 часа назад, umka сказал:Простите - но "у вас". Connection tracking задумывался как средство фильтрации трафика исходя из состояния соединения. В тоже время протокол UDP таких состояний не имеет по определению, являясь state less протокол. Второе применение это protocol helpers - по определению применяется только для транзитного трафика, а не для трафика из цепочки Input.
Так что "положено" оно в строго определенных случаях, а не всегда и везде. Почему-то powerDNS рекомендует засовывать трафик по 53 порту в notrack если не хочется проблем.
Берем роутер не Zyxel получаем запрос DNS
cat ip_conntrack udp 17 116 src=хх.хх.хх.52 dst=хх.хх.хх.14 sport=29447 dport=53 packets=1 bytes=51 src=хх.хх.хх.14 dst=хх.хх.хх.52 sport=53 dport=29447 packets=1 bytes=198 mark=10240 use=2 udp 17 93 src=192.168.1.100 dst=239.255.255.250 sport=42290 dport=1900 packets=2068 bytes=1005236 [UNREPLIED] src=239.255.255.250 dst=192.168.1.100 sport=1900 dport=42290 packets=0 bytes=0 mark=0 use=2 ... udp 17 176 src=192.168.1.99 dst=192.168.1.99 sport=51982 dport=53 packets=2 bytes=102 src=192.168.1.99 dst=192.168.1.99 sport=53 dport=51982 packets=2 bytes=408 [ASSURED] mark=10240 use=2
Цепочки netfilter организованны в 4 таблицы одна из которых raw — пакет попал в нее до передачи системе состояний, использование редкое и НЕ должны обрабатываться системой определения состояний, для этого действие NOTRACK (применение для цепочек PREROUTING и OUTPUT).
-
В виду невозможности использовать конфиг для данного релиза DNSCrypt-proxy подправил dnsmasq и сам DNSCrypt-proxy (для пробы пока на два resolver - cisco и d0wn-ru-ns1)
Скрытый текстdnsmasq.conf
interface=br0
bind-interfaces
listen-address=127.0.0.1, 192.168.1.100
server=127.0.0.1#60053
server=127.0.0.1#60153
no-resolv
addn-hosts=/opt/tmp/hosts0
addn-hosts=/opt/tmp/malwaredom_block.host
addn-hosts=/opt/tmp/mvps_block.host
cache-size=1500log-queries
log-facility=/opt/var/log/dnsmasq.log
log-async=25S**dnscrypt-proxy (для проверки, пока такой командой star/restart)
#!/bin/sh
ENABLED=yes
PROCS=dnscrypt-proxy
PATH=/opt/sbin:/opt/bin:/opt/usr/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
ARGS="-p /opt/var/run/dnscrypt-proxy.60053.pid -a 127.0.0.1:60053 -d –e 1252 -l /opt/tmp/dnscrypt-proxy.60053.log -m 7 -R cisco"
PREARGS=""
DESC=. /opt/etc/init.d/rc.func
dnscrypt-proxy -p /opt/var/run/dnscrypt-proxy.60153.pid -a 127.0.0.1:60153 -d –e 1252 -l /opt/tmp/dnscrypt-proxy.60153.log -m 7 -T -R d0wn-ru-ns1
В результате получили два потока (шифрования) для DNS запросов на разные resolver с разными протоколами - cisco (поток UDP) и d0wn-ru-ns1 (поток TCP)
Скрытый текст/opt/var/log/dnsmasq.log
Jul 26 11:15:36 dnsmasq[8978]: started, version 2.77test4 cachesize 1500
Jul 26 11:15:36 dnsmasq[8978]: compile time options: IPv6 GNU-getopt no-RTC no-DBus no-i18n no-IDN DHCP DHCPv6 no-Lua TFTP conntrack ipset auth no-DNSSEC no-ID loop-detect inotify
Jul 26 11:15:36 dnsmasq[8978]: using nameserver 127.0.0.1#65153
Jul 26 11:15:36 dnsmasq[8978]: using nameserver 127.0.0.1#65053
Jul 26 11:15:36 dnsmasq[8978]: read /opt/etc/hosts - 2 addresses
Jul 26 11:15:36 dnsmasq[8978]: read /opt/tmp/mvps_block.host - 13273 addresses
Jul 26 11:15:36 dnsmasq[8978]: read /opt/tmp/malwaredom_block.host - 1157 addresses
Jul 26 11:15:36 dnsmasq[8978]: read /opt/tmp/hosts0 - 101 addresses/opt/etc/init.d # lsof -ni | grep dnscrypt
dnscrypt- 8642 root 9u IPv4 29373 0t0 UDP 127.0.0.1:60053
dnscrypt- 8642 root 10u IPv4 29374 0t0 UDP *:34077
dnscrypt- 8642 root 11u IPv4 29375 0t0 TCP 127.0.0.1:60053 (LISTEN)
dnscrypt- 8646 root 9u IPv4 29981 0t0 UDP 127.0.0.1:60153
dnscrypt- 8646 root 11u IPv4 29983 0t0 TCP 127.0.0.1:60153 (LISTEN)
/opt/etc/init.d #/ # ps | grep dns
5807 nobody 3948 S dnsmasq
8642 root 4068 S dnscrypt-proxy -p /opt/var/run/dnscrypt-proxy.60053.pid -a 127.0.0.1:60053 -d 1252 -l /opt/tmp/dnscrypt-proxy.60053.log -m 7 -
8646 root 4068 S dnscrypt-proxy -p /opt/var/run/dnscrypt-proxy.60153.pid -a 127.0.0.1:60153 -d 1252 -l /opt/tmp/dnscrypt-proxy.60153.log -m 7 -
/ #/opt/tmp/dnscrypt-proxy.60153.log
Wed Jul 26 11:01:45 2017 [NOTICE] Starting dnscrypt-proxy 1.9.5
Wed Jul 26 11:01:45 2017 [INFO] Generating a new session key pair
Wed Jul 26 11:01:45 2017 [INFO] Done
Wed Jul 26 11:01:45 2017 [INFO] Server certificate with serial #1501041 received
Wed Jul 26 11:01:45 2017 [INFO] This certificate is valid
Wed Jul 26 11:01:45 2017 [INFO] Chosen certificate #1501041 is valid from [2017-07-26] to [2017-07-27]
Wed Jul 26 11:01:45 2017 [INFO] Server key fingerprint is 2307:A5C1:A436:A2F7:1FA7:...:EE57
Wed Jul 26 11:01:45 2017 [NOTICE] Proxying from 127.0.0.1:60153 to 91.214.71.181:443/opt/tmp/dnscrypt-proxy.60053.log
Wed Jul 26 11:01:45 2017 [NOTICE] Starting dnscrypt-proxy 1.9.5
Wed Jul 26 11:01:45 2017 [INFO] Generating a new session key pair
Wed Jul 26 11:01:45 2017 [INFO] Done
Wed Jul 26 11:01:45 2017 [INFO] Server certificate with serial #1490488 received
Wed Jul 26 11:01:45 2017 [INFO] This certificate is valid
Wed Jul 26 11:01:45 2017 [INFO] Chosen certificate #1490488 is valid from [2017-03-24] to [2018-03-24]
Wed Jul 26 11:01:45 2017 [INFO] The key rotation period for this server may exceed the recommended value. This is bad for forward secrecy.
Wed Jul 26 11:01:45 2017 [INFO] Server key fingerprint is E7F8:4477:BF89:1434:1ECE:.....:F778
Wed Jul 26 11:01:45 2017 [NOTICE] Proxying from 127.0.0.1:60053 to 208.67.220.220:443/proc/8646/net # hostip -r 127.0.0.1 google.com
173.194.32.160
173.194.32.165
173.194.32.168
173.194.32.169
173.194.32.161
173.194.32.174
173.194.32.163
173.194.32.162
173.194.32.167
173.194.32.166
173.194.32.164
/proc/8646/net # -
Возможно ли поднять в OPKG lib библиотеку
/opt/etc/init.d # opkg list | grep libsodium libsodium - 1.0.12-1 - NaCl (pronounced "salt") is a new easy-to-use high-speed software library for network communication, encryption, decryption, signatures, etc. NaCl's goal is to provide all of the core operations needed to build higher-level cryptographic tools. Sodium is a portable, cross-compilable, installable, packageable fork of NaCl (based on the latest released upstream version nacl-20110221), with a compatible API. The design choices, particularly in regard to the Curve25519 Diffie-Hellman function, emphasize security (whereas NIST curves emphasize "performance" at the cost of security), and "magic constants" in NaCl/Sodium have clear rationales. The same cannot be said of NIST curves, where the specific origins of certain constants are not described by the standards. And despite the emphasis on higher security, primitives are faster across-the-board than most implementations of the NIST standards. /opt/etc/init.d #
до релиза 1.0.13
-
Прояснить ситуация по данной команде - SWNAT bind table cleared, в какой момент она происходит релиз - 2.10.
На роутере используется ip hotspot - т.е. не зарегистрированным клиентам не разрешен выход в интернет, но возникают моменты (когда долго не пользуешься интернетом, "фризы" на клиенте по просмотру страниц или к доступу на роутер WEB "фриз", решается ping на любой сайт на клиенте и потом все работает)
ip hotspot host хх:хх:хх:хх:хх:хх permit .... default-policy deny
На роутере стоит dnscrypt-proxy -> локальный сервис запущенный на 127.0.0.1:65553, т.е. работает пока есть запросы от клиента в интернет, если их нет долгое время то получаем "фриз" на клиенте, последний релиз 2.10 не исправляет ситуацию. Если опять же дать на клиенте ping на любой сайт то начинает работать. Попробую еще по наблюдать, так как dnscrypt-proxy все таки локальный сервис "не из коробки", но может есть какие либо ограничения на локальные сервисы, он весит на :
Скрытый текст/proc/854/net # netstat -tulap | grep dnscrypt-proxy
tcp 0 0 localhost:65553 0.0.0.0:* LISTEN 774/dnscrypt-proxy
udp 0 0 localhost:65553 0.0.0.0:* 774/dnscrypt-proxy
udp 0 0 0.0.0.0:48062 0.0.0.0:* 774/dnscrypt-proxy
/proc/854/net #Если ли какие timeout в данном сервисе ip hotspot например idle, keepalive, login или почему он считает что устройство не имеет разрешения на выход в интернет.
-
-
2 часа назад, Le ecureuil сказал:
Прошивка не использует tc.
Я в курсе что tc в ней нет, но в вашем ответном сообщение на сообщение ниже
14 часа назад, test test сказал:Есть ли возможность на данной модели настроить трафик шейпинг по отдельным портам(может быть из CLI), таким образом, чтобы был приоритет клиентов ходящим по 80/443 порту(веб страницы) перед клиентами ходящих по остальных портах (торренты, стримы и.т.д. и.т.п.) ?
Или все таки нужно будет шить до openwrt?ЦитатаСтавьте Entware/Debian и настраивайте.
т.е. ставим Entware и в нем есть tc => и какой вывод?
/opt/sbin # tc -h Usage: tc [ OPTIONS ] OBJECT { COMMAND | help } tc [-force] -batch filename where OBJECT := { qdisc | class | filter | action | monitor | exec } OPTIONS := { -s[tatistics] | -d[etails] | -r[aw] | -p[retty] | -b[atch] [filename] | -n[etns] name | -nm | -nam[es] | { -cf | -conf } path } /opt/sbin # /opt/sbin # tc qdisc add dev br0 root handle 1: htb default 25 /opt/sbin # tc class add dev br0 parent 1: classid 1:1 htb rate 50000kbit ceil 10000kbit quantum 1500 /opt/sbin # tc filter add dev br0 protocol ip pref 1 handle 0x64 fw classid 1:100 Кое что по умолчанию (дисциплина pfifo_fast) и после введеных примеров строк /opt/sbin # tc qdisc show qdisc pfifo_fast 0: dev ezcfg0 root refcnt 2 bands 3 priomap 1 2 2 2 1 2 0 0 1 1 1 1 1 1 1 1 qdisc pfifo_fast 0: dev eth2 root refcnt 2 bands 3 priomap 1 2 2 2 1 2 0 0 1 1 1 1 1 1 1 1 qdisc pfifo_fast 0: dev dsl_br0 root refcnt 2 bands 3 priomap 1 2 2 2 1 2 0 0 1 1 1 1 1 1 1 1 qdisc pfifo_fast 0: dev ra0 root refcnt 2 bands 3 priomap 1 2 2 2 1 2 0 0 1 1 1 1 1 1 1 1 qdisc pfifo_fast 0: dev eth2.1 root refcnt 2 bands 3 priomap 1 2 2 2 1 2 0 0 1 1 1 1 1 1 1 1 qdisc pfifo_fast 0: dev eth2.2 root refcnt 2 bands 3 priomap 1 2 2 2 1 2 0 0 1 1 1 1 1 1 1 1 qdisc pfifo_fast 0: dev eth2.3 root refcnt 2 bands 3 priomap 1 2 2 2 1 2 0 0 1 1 1 1 1 1 1 1 qdisc pfifo_fast 0: dev cdc_br0 root refcnt 2 bands 3 priomap 1 2 2 2 1 2 0 0 1 1 1 1 1 1 1 1 qdisc htb 1: dev br0 root refcnt 2 r2q 10 default 25 direct_packets_stat 13443 qdisc pfifo_fast 0: dev br1 root refcnt 2 bands 3 priomap 1 2 2 2 1 2 0 0 1 1 1 1 1 1 1 1 qdisc pfifo_fast 0: dev ppp0 root refcnt 2 bands 3 priomap 1 2 2 2 1 2 0 0 1 1 1 1 1 1 1 1 qdisc pfifo_fast 0: dev eth0 root refcnt 2 bands 3 priomap 1 2 2 2 1 2 0 0 1 1 1 1 1 1 1 1 /opt/sbin # /opt/sbin # tc class show /opt/sbin #
-
Он не нужен, т.е. например при использовании
tc qdisc add dev $IF root handle 1: htb default 25 tc class add dev $IF parent 1: classid 1:1 htb rate ${UL}kbit ceil ${UL}kbit quantum $((${4}+18)) tc class add dev $IF parent 1:1 classid 1:2 htb rate $((75*${UL}/100))kbit ceil ${UL}kbit quantum $((${4}+18)) ... tc class add dev $IF parent 1:2 classid 1:100 htb rate $((75*${UL}/100))kbit ceil ${UL}kbit prio 0 quantum $((${4}+18)) tc class add dev $IF parent 1:3 classid 1:10 htb rate $((50*${UL}/100))kbit ceil ${UL}kbit prio 1 quantum $((${4}+18)) ... tc filter add dev $IF protocol ip pref 1 handle 0x64 fw classid 1:100 tc filter add dev $IF protocol ip pref 3 handle 0x0A fw classid 1:10 ...
IF - нужный интерфейс проблем не будет?
- 1
-
12 минуты назад, Le ecureuil сказал:
Ставьте Entware/Debian и настраивайте.
И ни каких не стыковок не будет по netfilter или еще с чем-то подобным, а то настроишь а какой то сервис раз и все сбросит?
-
В системе два интерфейса выхода в интернет - стандартный конфиг, основной канал и резервный. В результате в системе появляется запись на странице #dashboard.status раздел DNS о всех известнаых серверах DNS на всех интерфейсах.
Берем пример Windows 7 - поочередно делает запросы на сервера DNS в порядке очередности, Windows 10 уже взяла на вооружение часть алгоритма из Windows 8 (Win8 уже может "Smart Multi-Homed Name Resolution" если она включена то запросы на все известные DNS серверы из списка сразу на случай того если предпочитаемый не ответит, то чтоб не ждать имеем уже второй ответ от другого сервера DNS из списка) отличие в Win10 в том что берется ответ который пришел быстрее и уже с любого интерфейса.
Суть предложения добавить функцию разрешения/запрещения посылать запрос DNS по основному и по резервному каналу, если с резервного пришел быстрее то его и использовать, но маршрут остается по основному каналу - при наличие в системе двух каналов. Если у пользователя лимитирован трафик или не желает ее использовать по каким либо причинам, то он всегда может ее не использовать. Тут все просто два канала хоть и в резерве, но за него заплачено и есть толк, то почему бы нет.
Теперь по поводу запроса на сервера DNS - тут есть варианты два или более :
1 - один публичный = все просто запрос по обоим, на каком канале быстрее ответит (этот был бы интересен)
2. - провайдерские = тут опять все просто пров1 на свой провайд. DNS, пров2 на свой провайд. DNS и опять же от кого быстрее получиться ответ.
Может конечно что и не так до понял в данном алгоритме.
-
Есть такое дело ExtraII 2.10.A.5.0-1 c Wi-fi
Jul 23 11:22:28wmond WifiMaster0/AccessPoint0: (MT7628) STA(хх:хх:0e:хх:хх:хх) had associated successfully. Jul 23 11:22:28wmond WifiMaster0/AccessPoint0: (MT7628) STA(хх:хх:0e:хх:хх:хх) set key done in WPA2/WPA2PSK. Jul 23 11:22:28ndhcps DHCPREQUEST received (STATE_INIT) for 192.168.1.21 from хх:хх:0e:хх:хх:хх. Jul 23 11:22:28ndhcps sending ACK of 192.168.1.21 to хх:хх:0e:хх:хх:хх. Jul 23 11:23:49ndm kernel: SWNAT bind table cleared Jul 23 11:24:02ndm Monitor::Manager: "WifiMaster0/AccessPoint0": capturing disabled. Jul 23 11:24:11wmond WifiMaster0/AccessPoint0: (MT7628) STA(хх:хх:0e:хх:хх:хх) had disassociated. Jul 23 11:27:52ndm kernel: SWNAT bind table cleared Интернет после 11:23 SWNAT bind table cleared второй заход аналогичен первому Jul 23 11:42:41wmond WifiMaster0/AccessPoint0: (MT7628) STA(хх:хх:0e:хх:хх:хх) had associated successfully. Jul 23 11:42:41wmond WifiMaster0/AccessPoint0: (MT7628) STA(хх:хх:0e:хх:хх:хх) set key done in WPA2/WPA2PSK. Jul 23 11:42:41ndhcps DHCPREQUEST received (STATE_INIT) for 192.168.1.21 from хх:хх:0e:хх:хх:хх. Jul 23 11:42:41ndhcps sending ACK of 192.168.1.21 to хх:хх:0e:хх:хх:хх. Jul 23 11:43:07ndm kernel: SWNAT bind table cleared заработал после 11:43
На клиенте подключенным к ExtraII адрес DNS стоит отличный от адреса ExtraII, так пакеты туда проходят, опять грабли на локальных сервисах.
Скрытый текст80 10.314633 192.168.1.21 192.168.1.100 DNS 80 Standard query 0xd66b A zj.dcys.ksmobile.com
83 10.375467 192.168.1.100 192.168.1.21 DNS 212 Standard query response 0xd66b A zj.dcys.ksmobile.com CNAME zj.dcys.ksmobile.com.cdn.dnsv1.com CNAME zj.dcys.ksmobile.com.cdnga.net A 31.173.206.14 A 31.173.206.5 OPTа на обычных пакетах затык
115 12.604345 192.168.1.21 74.125.232.232 TCP 74 53621 → 443 [SYN] Seq=0 Win=14600 Len=0 MSS=1460 SACK_PERM=1 TSval=43931355 TSecr=0 WS=128
116 12.619635 192.168.1.21 74.125.232.232 TCP 74 53622 → 443 [SYN] Seq=0 Win=14600 Len=0 MSS=1460 SACK_PERM=1 TSval=43931357 TSecr=0 WS=128
...
126 13.387395 192.168.1.21 31.173.206.5 TCP 74 [TCP Retransmission] 48477 → 80 [SYN] Seq=0 Win=14600 Len=0 MSS=1460 SACK_PERM=1 TSval=43931433 TSecr=0 WS=128
127 13.416125 192.168.1.21 23.236.120.216 TCP 74 [TCP Retransmission] 44450 → 80 [SYN] Seq=0 Win=14600 Len=0 MSS=1460 SACK_PERM=1 TSval=43931437 TSecr=0 WS=128
128 13.425978 192.168.1.21 34.208.217.188 TCP 74 [TCP Retransmission] 54322 → 443 [SYN] Seq=0 Win=14600 Len=0 MSS=1460 SACK_PERM=1 TSval=43931438 TSecr=0 WS=128ответа нет
239 20.278428 192.168.1.21 192.168.1.100 DNS 79 Standard query 0x19ce A clients3.google.com
240 20.279169 192.168.1.100 192.168.1.21 DNS 289 Standard query response 0x19ce A clients3.google.com CNAME clients.l.google.com A 173.194.44.66 A 173.194.44.64 A 173.194.44.65 A 173.194.44.68 A 173.194.44.73 A 173.194.44.70 A 173.194.44.67 A 173.194.44.69 A 173.194.44.71 A 173.194.44.78 A 173.194.44.72
...
246 20.701394 192.168.1.21 23.236.120.218 TCP 74 45668 → 80 [SYN] Seq=0 Win=14600 Len=0 MSS=1460 SACK_PERM=1 TSval=43932164 TSecr=0 WS=128
247 20.725757 192.168.1.21 74.125.232.229 TCP 74 [TCP Retransmission] 38905 → 443 [SYN] Seq=0 Win=14600 Len=0 MSS=1460 SACK_PERM=1 TSval=43932168 TSecr=0 WS=128
248 20.726007 192.168.1.21 74.125.232.229 TCP 74 [TCP Retransmission] 38906 → 443 [SYN] Seq=0 Win=14600 Len=0 MSS=1460 SACK_PERM=1 TSval=43932168 TSecr=0 WS=128и все заработало на 95.75 секунде
1037 95.751835 192.168.1.21 52.9.29.40 TCP 66 56766 → 443 [ACK] Seq=1 Ack=1 Win=14720 Len=0 TSval=43939670 TSecr=425961771
1038 95.773344 192.168.1.21 52.9.29.40 TLSv1 290 Client Hello
1039 95.851166 52.74.1.41 192.168.1.21 TCP 74 443 → 48141 [SYN, ACK] Seq=0 Ack=1 Win=26847 Len=0 MSS=1452 SACK_PERM=1 TSval=1032135775 TSecr=43939650 WS=256
1040 95.852437 192.168.1.21 52.74.1.41 TCP 66 48141 → 443 [ACK] Seq=1 Ack=1 Win=14720 Len=0 TSval=43939680 TSecr=1032135775
1041 95.867631 192.168.1.21 52.74.1.41 SSLv3 186 Client Hello...
На KII 2.10.A.5.0-1 для лог. сделал маленькую ошибку в /ndm/netfilter.d - start.sh и посыпались логи которые показывают кучу заходов туда (суть не в ошибке, а об кол-ве заходов)
ЦитатаJul 23 09:01:21ndm Opkg::Manager: /opt/etc/ndm/netfilter.d/Start.sh: iptables: Invalid argument. Run `dmesg' for more information.Jul 23 09:02:12ndm Opkg::Manager: /opt/etc/ndm/netfilter.d/Start.sh: iptables: Resource temporarily unavailable.Jul 23 09:02:12ndm Opkg::Manager: /opt/etc/ndm/netfilter.d/Start.sh: exit code 4.Jul 23 09:02:42ndm Opkg::Manager: /opt/etc/ndm/netfilter.d/Start.sh: iptables: Invalid argument. Run `dmesg' for more information.Jul 23 09:02:53ndm Opkg::Manager: /opt/etc/ndm/netfilter.d/Start.sh: iptables: Resource temporarily unavailable.Jul 23 09:03:54ndm Opkg::Manager: /opt/etc/ndm/netfilter.d/Start.sh: iptables: Resource temporarily unavailable.Jul 23 09:03:54ndm Opkg::Manager: /opt/etc/ndm/netfilter.d/Start.sh: exit code 4.Jul 23 09:04:45ndm Opkg::Manager: /opt/etc/ndm/netfilter.d/Start.sh: iptables: Invalid argument. Run `dmesg' for more information.Jul 23 09:05:56ndm Opkg::Manager: /opt/etc/ndm/netfilter.d/Start.sh: iptables: Invalid argument. Run `dmesg' for more information.Jul 23 09:05:56ndm Opkg::Manager: /opt/etc/ndm/netfilter.d/Start.sh: exit code 1.Jul 23 09:06:37ndm Opkg::Manager: /opt/etc/ndm/netfilter.d/Start.sh: iptables: Resource temporarily unavailable.Jul 23 09:06:37ndm Opkg::Manager: /opt/etc/ndm/netfilter.d/Start.sh: exit code 4.Jul 23 09:08:49ndm Opkg::Manager: /opt/etc/ndm/netfilter.d/Start.sh: iptables: Invalid argument. Run `dmesg' for more information.Jul 23 09:10:00ndm Opkg::Manager: /opt/etc/ndm/netfilter.d/Start.sh: iptables: Resource temporarily unavailable.Jul 23 09:11:52ndm Opkg::Manager: /opt/etc/ndm/netfilter.d/Start.sh: iptables: Resource temporarily unavailable.Jul 23 09:11:52ndm Opkg::Manager: /opt/etc/ndm/netfilter.d/Start.sh: exit code 4.Jul 23 09:13:24ndm Opkg::Manager: /opt/etc/ndm/netfilter.d/Start.sh: iptables: Invalid argument. Run `dmesg' for more information.Jul 23 09:13:24ndm Opkg::Manager: /opt/etc/ndm/netfilter.d/Start.sh: exit code 1.Jul 23 09:14:45ndm Opkg::Manager: /opt/etc/ndm/netfilter.d/Start.sh: iptables: Invalid argument. Run `dmesg' for more information.Jul 23 09:15:06ndm Opkg::Manager: /opt/etc/ndm/netfilter.d/Start.sh: iptables: Resource temporarily unavailable.Jul 23 09:15:06ndm Opkg::Manager: /opt/etc/ndm/netfilter.d/Start.sh: exit code 4.Jul 23 09:15:16ndm Opkg::Manager: /opt/etc/ndm/netfilter.d/Start.sh: iptables: Resource temporarily unavailable.Jul 23 09:15:57ndm Opkg::Manager: /opt/etc/ndm/netfilter.d/Start.sh: iptables: Invalid argument. Run `dmesg' for more information.Jul 23 09:16:17ndm Opkg::Manager: /opt/etc/ndm/netfilter.d/Start.sh: iptables: Invalid argument. Run `dmesg' for more information.как и говорили ранее - netfilter живет своей жизнью, только подозрение еще что и текущ. соединения то же теряются. Что такое может происходить если в данный момент времени - просто читал страницу на WEB сайте. Пока писал тут
ЦитатаJul 23 09:24:05ndm Opkg::Manager: /opt/etc/ndm/netfilter.d/Start.sh: iptables: Resource temporarily unavailable.Jul 23 09:26:08ndm Opkg::Manager: /opt/etc/ndm/netfilter.d/Start.sh: iptables: Invalid argument. Run `dmesg' for more information.Jul 23 09:26:08ndm Opkg::Manager: /opt/etc/ndm/netfilter.d/Start.sh: exit code 1.Jul 23 09:26:48ndm Opkg::Manager: /opt/etc/ndm/netfilter.d/Start.sh: iptables: Resource temporarily unavailable. -
Мне не помогло и проблема не ушла.
Клиент ----- (LAN)Zyxel1(LAN)------(LAN)Zyxel2-----Инет на обоих последняя прошивка А10А501
1. Zyxel1 DNS являеться Zyxel2. Пакет запроса DNS уходит но в ответ тишина (ниже приход на Zyxel2), Zyxel1 страница монитора показывает ошибка обновлений :
863 16.838035 192.168.1.20 192.168.1.100 DNS 88 Standard query 0xcf76 A ndss.11.zyxel.ndmsystems.com
2. Клиент ping на ndss.....com отрабатывает правильно и на Zyxel2 имеем
395 2.696321 192.168.1.2 192.168.1.100 DNS 88 Standard query 0x3666 A ndss.11.zyxel.ndm.system.com 495 2.865959 192.168.1.100 192.168.1.2 DNS 115 Standard query response 0x3666 A ndss.11.zyxel.ndm.system.com A 209.17.116.2 OPT
3. смена адреса DNS на 8.8.8.8 на Zyxel1 и все заработало, обновлений нет и на Zyxel2 имеем
3646 19.460053 192.168.1.20 8.8.8.8 DNS 88 Standard query 0x23c3 A ndss.11.zyxel.ndmsystems.com 3647 19.475776 8.8.8.8 192.168.1.20 DNS 136 Standard query response 0x23c3 A ndss.11.zyxel.ndmsystems.com A 46.105.148.85 A
4. возвращаю Zyxel1 DNS является Zyxel2, до поры до времени все работает показывает обновлений нет и
3859 14.112420 192.168.1.20 192.168.1.100 DNS 65 Standard query 0x60c0 A ya.ru 3861 14.166386 192.168.1.100 192.168.1.20 DNS 92 Standard query response 0x60c0 A ya.ru A 87.250.250.242 OPT
Разница двух вариантов что на Zyxel1 это локальный сервис делает запрос и получатель пакетов является Zyxel2, но в них разные адреса назначения :
- запрос Zyxel1 на адрес 8.8.8.8 не в локальный сегмент 192.168.х.х и ответ проходит
- запрос Zyxel1 на адрес локального сегмента 192.168.1.100 и ответ не проходит
Ну вот и пропало - на Zyxel1 - "Ошибка обновления" прошло мин.10 (начало поста 17:44) а в 17:54 уже нет (Zyxel1 DNS являеться Zyxel2), для того чтоб заработало достаточно выполнить на Zyxel1
/opt/etc/init.d # ping ndss.11.zyxel.ndmsystems.com PING ndss.11.zyxel.ndmsystems.com (46.105.148.85): 56 data bytes 64 bytes from 46.105.148.85: seq=0 ttl=55 time=74.900 ms 64 bytes from 46.105.148.85: seq=1 ttl=55 time=74.700 ms ^C --- ndss.11.zyxel.ndmsystems.com ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max = 74.700/74.800/74.900 ms /opt/etc/init.d #
и в мониторе видим Обновлений нет - которое говорит что все удачно.
На данном обновлении действительно на ping теперь нет фриза как было ранее, но мне это не помогло.
-
Защита DNS
in Каталог готовых решений Opkg
Posted
После недельного "тупизма" на роутере при связке dnsmasq+dnscrypt-proxy тупизм в том что при настройках (даже когда в схеме один роутер + интернет) когда по долгу читаешь страницы в интернете то появляются куча
no-resolv
interface=br0
bind-interfaces
listen-address=192.168.130.100
server=127.0.0.1#60053
dnscrypt-proxy => 127.0.0.1:65053 --d -R cisco
localhost:38552 localhost:domain TIME_WAIT
или
udp 17 26 src=127.0.0.1 dst=127.0.0.1 sport=56695 dport=60053 packets=10 bytes=680 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=60053 dport=56695 packets=0 bytes=0 mark=0 use=2 udp 17 16 src=127.0.0.1 dst=127.0.0.1 sport=56846 dport=60053 packets=10 bytes=570 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=60053 dport=56846 packets=0 bytes=0 mark=0 use=2 udp 17 9 src=127.0.0.1 dst=127.0.0.1 sport=38305 dport=60053 packets=10 bytes=610 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=60053 dport=38305 packets=0 bytes=0 mark=0 use=2 udp 17 12 src=127.0.0.1 dst=127.0.0.1 sport=13396 dport=60053 packets=10 bytes=630 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=60053 dport=13396 packets=0 bytes=0 mark=0 use=2 udp 17 9 src=127.0.0.1 dst=127.0.0.1 sport=10493 dport=60053 packets=2 bytes=112 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=60053 dport=10493 packets=0 bytes=0 mark=0 use=2 udp 17 5 src=127.0.0.1 dst=127.0.0.1 sport=41603 dport=60053 packets=10 bytes=710 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=60053 dport=41603 packets=0 bytes=0 mark=0 use=2 udp 17 3 src=127.0.0.1 dst=127.0.0.1 sport=9064 dport=60053 packets=10 bytes=600 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=60053 dport=9064 packets=0 bytes=0 mark=0 use=2
а так же пролет запроса DNS не туда куда надо
udp 17 20 src=IP_белый_Zyxel dst=IP_DNS_провайдера sport=48138 dport=53 packets=1 bytes=66 src=IP_DNS_провайдера dst=IP_белый_Zyxel sport=53 dport=48138 packets=1 bytes=116 mark=0 use=2 из-за dnsmasq 907 nobody 4u IPv4 2691 0t0 UDP 192.168.1.100:domain dnsmasq 907 nobody 5u IPv4 2692 0t0 TCP 192.168.1.100:domain (LISTEN) dnsmasq 907 nobody 6u IPv4 2693 0t0 UDP localhost:domain dnsmasq 907 nobody 7u IPv4 2694 0t0 TCP localhost:domain (LISTEN) dnsmasq 907 nobody 8u IPv6 2695 0t0 UDP [fe80::...:e2a8]:domain dnsmasq 907 nobody 9u IPv6 2696 0t0 TCP [fe80::...:e2a8]:domain (LISTEN) dnsmasq 907 nobody 10u IPv6 2697 0t0 UDP localhost:domain dnsmasq 907 nobody 11u IPv6 2698 0t0 TCP localhost:domain (LISTEN)
Решил попробовать другую связку с dnsmasq+https_dns_proxy (до следующих обновлений сервисов dnsmasq dnscrypt-proxy и библиотек для них в Entware)
2. https_dns_proxy насраивается на порт 60053 (сервера будут googla)
ARGS="-a 127.0.0.1 -p 65053 -d"
Итак имеем
9855 nobody 6256 S https_dns_proxy -a 127.0.0.1 -p 60053 -d tcp 0 0 localhost:domain 0.0.0.0:* LISTEN 907/dnsmasq tcp 0 0 192.168.1.100:domain 0.0.0.0:* LISTEN 907/dnsmasq tcp 0 0 localhost:domain :::* LISTEN 907/dnsmasq tcp 0 0 fe80::.........8:domain :::* LISTEN 907/dnsmasq udp 0 0 localhost:60053 0.0.0.0:* 9855/https_dns_prox udp 0 0 localhost:domain 0.0.0.0:* 907/dnsmasq udp 0 0 192.168.1.100:domain 0.0.0.0:* 907/dnsmasq udp 0 0 localhost:domain :::* 907/dnsmasq udp 0 0 fe80::................8:domain :::* 907/dnsmasq