Jump to content

dexter

Forum Members
  • Posts

    930
  • Joined

  • Last visited

  • Days Won

    3

Everything posted by dexter

  1. Правильно я ли я понимаю? Создаем файл в каталоге /opt/etc/ndm/netfilter.d/forward.sh c содержимым #!/bin/sh [ "$table" != "nat" ] && exit 0 iptables -I FORWARD -o tun0 -j ACCEPT iptables -I FORWARD -i tun0 -j ACCEPT Это для FORWARD. А для INPUT или OUTPUT /opt/etc/ndm/netfilter.d/input.sh #!/bin/sh [ "$table" != "filter" ] && exit 0 iptables -I INPUT -i tun0 -j ACCEPT iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -I INPUT -s 1.1.1.1 -j DROP
  2. Запустил tcpdump на интерфейсе ppp0 и включил ping 192.168.3.254 удаленный хост в туннеле. До добавления маршрута # tcpdump -i ppp0 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on ppp0, link-type LINUX_SLL (Linux cooked), capture size 65535 bytes 17:55:57.574508 IP 192.168.3.7 > 192.168.3.254: ICMP echo request, id 29961, seq 11, length 64 17:55:57.577276 IP 192.168.3.254 > 192.168.3.7: ICMP echo reply, id 29961, seq 11, length 64 После добавления мвршрута молниеносно и в огромных количествах начинает сыпать такое 17:58:57.321233 IP 192.168.105.5 > 31.129.192.22: GREv1, call 16896, seq 16170, length 1376: compressed PPP data 17:58:57.321388 IP 192.168.105.5 > 31.129.192.22: GREv1, call 16896, seq 16171, length 1376: compressed PPP data 17:58:57.321544 IP 192.168.105.5 > 31.129.192.22: GREv1, call 16896, seq 16172, length 1376: compressed PPP data 17:58:57.321699 IP 192.168.105.5 > 31.129.192.22: GREv1, call 16896, seq 16173, length 1376: compressed PPP data 17:58:57.321855 IP 192.168.105.5 > 31.129.192.22: GREv1, call 16896, seq 16174, length 1376: compressed PPP data 17:58:57.322010 IP 192.168.105.5 > 31.129.192.22: GREv1, call 16896, seq 16175, length 1376: compressed PPP data 17:58:57.322165 IP 192.168.105.5 > 31.129.192.22: GREv1, call 16896, seq 16176, length 1376: compressed PPP data 17:58:57.322365 IP 192.168.105.5 > 31.129.192.22: GREv1, call 16896, seq 16177, length 1376: compressed PPP data 17:58:57.322627 IP 192.168.105.5 > 31.129.192.22: GREv1, call 16896, seq 16178, length 1376: compressed PPP data 17:58:57.322876 IP 192.168.105.5 > 31.129.192.22: GREv1, call 16896, seq 16179, length 1376: compressed PPP data 17:58:57.323121 IP 192.168.105.5 > 31.129.192.22: GREv1, call 16896, seq 16180, length 1376: compressed PPP data 17:58:57.323373 IP 192.168.105.5 > 31.129.192.22: GREv1, call 16896, seq 16181, length 1376: compressed PPP data Поднял pptp сервер из entware-ng. Все заработало, коннект устанавливается, но не пингуется ни сервер с клиента, ни клиент с сервера. Чую дело в фаерволе, но не знаю какие правила прописать. Те, что работали на V1 - не работают.
  3. Мне это не удобно. Ещё раз напишу для чего это нужно. Поднимается pptp сервер на кинетике дома. Когда подключается определенный клиент к домашнему серверу, в скрипте ip-up срабатывает впн дозвон до удаленного сервера. Запускаем "call test" и прописываем маршрут на удаленную подсеть которая находится за тем pptp сервером. Просто не могу понять чего не хватает(по видимому в фаерволе) для корректной работы данной связки.
  4. Что выяснил. Доступ до 192.168.3.254 пропадает сразу после задачи маршрута ip route add 31.129.192.0/24 via 192.168.3.254 При этом, если соединение до сервера поднять через морду, а затем прописать этот же маршрут через консоль - все работает именно так как мне и надо.
  5. А так нельзя # Правила для 47 порта iptables -A INPUT -p 47 -j ACCEPT iptables -A OUTPUT -p 47 -j ACCEPT В данном случае клиент(на Ultra 2) не пингует сервер. Хотя туннель поднялся и в ifconfig видны его параметры.
  6. Соединение до удаленного сервера поднимается, маршрут прописался через ip route. Но удаленный хост(он же сервер/шлюз) в тунеле не пингуется. Прописал правила фаервола, которые на V1 работали. # Разрешаем внутрисетевой обмен iptables -I INPUT -i lo -j ACCEPT # Открываем доступ к vpn снаружи iptables -A INPUT -p tcp --dport 1723 -j ACCEPT # Правила для 47 порта iptables -A INPUT -p 47 -j ACCEPT iptables -A OUTPUT -p 47 -j ACCEPT # PPTP internet iptables -I INPUT -i ppp+ -j ACCEPT iptables -I FORWARD -i ppp+ -j ACCEPT iptables -I FORWARD -o ppp+ -j ACCEPT iptables -I OUTPUT -o ppp+ -j ACCEPT # pptp client-to-client iptables -I FORWARD -i ppp+ -o ppp+ -j ACCEPT Тут ещё правила относящиеся к серверной части. Есть мысли, чего ещё не так. Пинговал с самого сервера. Почему поднимаю не из прошивки? Этот коннект на удаленный сервер вызывается скриптом ip-up pptpd. В архиве полностью конфа сервера и клиентского соединения. pptpd сервер пока не проверял, начал с клиента. Повторюсь, эта связка работоспособна была на Entware + Keenetic V1 и сейчас работает на debian. ppp.rar
  7. А это даст возможность использовать "route" или будет работать через ndmq?
  8. Как скриптом прописать маршрут? #!/bin/sh PATH=/opt/sbin:/opt/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin #route add -net 31.129.192.0 netmask 255.255.255.0 gw 192.168.3.254 ndmq -p "ip route 31.129.192.0 255.255.255.0 192.168.3.254 auto" -P message route add -net 31.129.192.0 netmask 255.255.255.0 gw 192.168.3.254 не работает. Вот такое получаю в консоле: ~ # route add -net 31.129.192.0 netmask 255.255.255.0 gw 192.168.3.254 route: SIOCADDRT: No such process ndmq -p "ip route 31.129.192.0 255.255.255.0 192.168.3.254 auto" -P message В терминале выполняется, а из скрипта не хочет.
  9. У меня на ультре настроен bind как вторичный DNS. (config)> interface ISP no ip dhcp client name-servers этим игнорируются DNS от прова. В самом роутере настроены два ДНС - один на основной, второй на сам роутер. При настройке DNS руками из прошивки за, что отвечает поле "interface"?
  10. Да, работает. Но не хотелось бы включать фтп, а cifs никакие файлы не видны из проводника. Можете настроить права доступа на ftp для конкретных пользователей.
  11. А у Вас fs какая? У меня на ext3 наоборот никакие файлы не видны на флешке.
  12. Решил размножить систему на 2 флешки(entware-ng, флешки fs: ext3). Отмонтировал рабочую флешку, скопировал файлы с одной флешки на другую, вставил в роутер и получил такое сообщение: Dec 25 19:40:37ndmCifs::ServerNQ: a share record for "OPKG" already exists. Dec 25 19:40:37ndmCifs::ServerNQ: failed to automount "d6a0e5a0-b273-439a-9b63-739d8d7e55b5:", ignored. Dec 25 19:40:37ndmOpkg::Manager: /tmp/mnt/OPKG mounted to /tmp/mnt/OPKG. Dec 25 19:40:37ndmOpkg::Manager: /tmp/mnt/OPKG mounted to /opt/. Dec 25 19:40:37ndmOpkg::Manager: /tmp/mnt/OPKG initialized. Dec 25 19:40:37ndnproxyndnproxy stopped. Dec 25 19:40:37ndmDns::Manager: RPC-only mode enabled. Dec 25 19:40:37ndmOpkg::Manager: invalid initrc "/opt/etc/init.d/rc.unslung": no such file or directory, trying /opt/etc/init.d/. Хотя "/opt/etc/init.d/rc.unslung" проводником самого роутера видится и открывается его содержимое. Разобрался - дело в атрибутах. Тему можно снести.
  13. А ведь и правда работает. Адрес он получает. А когда делаешь "release/renew" в консоле ошибки выпадают. Спасибо за Ваш труд.
  14. В архиве схема сети, файл конфигурации dhcpd.conf и основная инфа по серверу. И ещё такое в логе. Dec 16 19:40:03agHTTP::CoreInterface: NDM core connection timeout. Вылезло это сообщение после загрузки роутера, когда на компе я делал "release/renew" Запустил tcpdump на сервере, ничего не прилетает со стороны роутера. Роутер не хорошо себя ведет в конфигурации из селф-теста. server.rar
  15. Хорошо, вечером приложу dhcpd.conf и сделаю графическое описание. А пока можете, если есть устройство, добавить интерфейс загнать его в другой bridge, включить DHCP Relay и посмотреть чем дело кончится.
  16. Вот, все как выше написано в момент выполнения "renew" на компе. self-test.rar
  17. Но, то ли лыжи не едут, то ли я ....... Имеем 2 бриджа в первом с 1 по 5 порт + обе точки Wifi и второй в нем 6 и 7 порт.(Все порты в разных Vlan). На одном бридже IP 192.168.1.1 на втором IP 192.168.110.254. Добавляем их как "Lan" к DHCP Relay и ничего не работает. Плюс словил вот это: "ag HTTP::CoreInterface: NDM core connection timeout", но тогда селф-тест устройство не выдало, а просто отвалилось. Ещё вот это в логе: Dec 15 18:41:38ndhcpcGigabitEthernet1: NDM DHCP client (version 3.0.5) started. Dec 15 18:41:39agHTTP::IO::LooseBuffer: timed out. Dec 15 18:41:39ndmlib::libndmCore: failed to send a source file. self-test.rar
  18. Извиняюсь, вы меня не правильно поняли. Там есть проблема и с самим DHCP Relay. Если его включить на дефолтном конфиге на бридж "Home", то он работает. Но если добавить ещё 1 "Lan"(интерфейс или бридж) то работать он перестает. Адреса не резолвятся ни на "Home", ни на другом "Lan"(интерфейс или бридж). И пока роутер до заводских не сбросишь и заново не включишь он не работает. Я в первом сообщении self-test.rar выкладывал именно из-за этого. Можете сами проверить создав интерфейс и попробовав добавить его как "Lan" к DHCP Relay. Из консоли нет возможности смотреть параметры DHCP Relay?
  19. Всё понял - спасибо. А про DHCP Relay, что можете сказать?
  20. Поставил прошивку v2.06(AAUX.0)A7. Создал на каждый порт по vlan (vlan3-vlan9). Добавил 7 интерфейсов по типу "interface GigabitEthernet0/Vlan3 - interface GigabitEthernet0/Vlan9". После создания 3его интерфейса вебморде такое: Так же не работает DHCP-Relay + существует лимит на роль "lan" равное 4. Логичнее сделать его равным количеству портов устройства. self-test - прилагаю. self-test.rar
  21. Ultra 2 cli: (config-if)> security-level pri Usage template: security-level (public | private | protected) А в инструкции упоминается только: Синопсис (config-if)> security-level (public | private) Так же нет в инструкции про (config-if)> role Usage template: role {role} [for {ifor}] Choose: inet iptv voip
  22. Спасибо, сделал. Больше не ругается.
  23. В архиве содержимое флешки и self-test. Перенес все на Ultra - отлично работает. На Ultra в журнале нет ошибок как на Giga 2, но есть: Nov 28 08:51:52ndmDynDns::Client: no such profile: _WEBADMIN.
  24. Спасибо, оттестировал на резервной Giga 2. Все работает. Завтра буду ставить на рабочую Ultra. Не понял только где искать и, что это такое "добавлен компонент trafficcontrol"? Небольшой оффтопик. Система у меня установлена Entware-ng. При загрузке роутера в логе есть 2 записи об ошибках: Тут мне не понятно о чем речь Nov 27 22:01:36ndmkernel: tntfs info: NTFS volume name 'OPKGp', version 3.1 (cluster_size 4096, PAGE_CACHE_SIZE 4096). Nov 27 22:01:36ndmCifs::ServerNQ: a share record for "OPKG" already exists. Nov 27 22:01:36ndmCifs::ServerNQ: failed to automount "500E053D0E051E1A:", ignored. И Nov 27 22:01:36ndmOpkg::Manager: invalid initrc "/opt/etc/init.d/S00telnetd": no such file or directory, trying /opt/etc/init.d/. Это объясняется отсутствием "/opt/etc/init.d/S00telnetd" в Entware-ng.
×
×
  • Create New...