[Помогите, не работает Python]

Entware ставится дополнительно. На работу прошивки и роутера не влияет.

[Веб-сервер на кинетике]

А у вас точно Entware?

opkg update делали?

Ultra 1 с Entware.

~ # opkg update
Downloading http://entware.zyxmon.org/binaries/mipsel/Packages.gz.
Updated list of available packages in /opt/var/opkg-lists/entware-ng.
Downloading http://ndm.zyxmon.org/binaries/keenetic/Packages.gz.
Updated list of available packages in /opt/var/opkg-lists/ndm-keenetic.
~ # opkg list | grep nginx
nginx - 1.9.9-2 - nginx is an HTTP and reverse proxy server, as well as a mail proxy server, written by Igor Sysoev.
~ #

[Multiple WAN routing policy]

Провайдеров у меня 1. Но для теста собрана виртуальная машина с двумя физическими интерфейсами.

[Multiple WAN routing policy]

Всё понятно. Будем ждать, а потом активно участвовать. Стенд собран. Ultra 2 ждет своего часа.

[Multiple WAN routing policy]

Поднял второй интерфейс eth3.9

Прописал такие команды

ip route add 192.168.105.0/24 dev eth2 src 192.168.105.5 table 101
ip route add default via 192.168.105.254 table 101
ip route add 192.168.106.0/24 dev eth3.9 src 192.168.106.3 table 102
ip route add default via 192.168.106.254 table 102


ip route add 192.168.105.0/24 dev eth2 src 192.168.105.5
ip route add 192.168.106.0/24 dev eth3.9 src 192.168.106.3
ip route add default via 192.168.105.254
ip rule add from 192.168.105.5 table 101
ip rule add from 192.168.106.3 table 102


ip route add 192.168.1.0/24    dev br0 table 101
ip route add 192.168.106.0/24     dev eth3.9 table 101
ip route add 127.0.0.0/8 dev lo   table 101
ip route add 192.168.1.0/24     dev br0 table 102
ip route add 192.168.105.0/24     dev eth2 table 102
ip route add 127.0.0.0/8 dev lo   table 102 	  


ip route add default scope global nexthop via 192.168.105.5 dev eth2 weight 1 \
nexthop via 192.168.106.3 dev eth3.9 weight 1

Вывод таблиц "101" и "102"

~ # ip route show table 101
192.168.1.0/24 dev br0  scope link
192.168.105.0/24 dev eth2  scope link  src 192.168.105.5
192.168.106.0/24 dev eth3.9  scope link
127.0.0.0/8 dev lo  scope link
default via 192.168.105.254 dev eth2
~ # ip route show table 102
192.168.1.0/24 dev br0  scope link
192.168.105.0/24 dev eth2  scope link
192.168.106.0/24 dev eth3.9  scope link  src 192.168.106.3
127.0.0.0/8 dev lo  scope link
default via 192.168.106.254 dev eth3.9

Вот вывод ip route

~ # ip route
192.168.100.254 via 192.168.105.254 dev eth2
192.168.101.1 via 192.168.105.254 dev eth2
192.168.1.0/24 dev br0  proto kernel  scope link  src 192.168.1.1
192.168.105.0/24 dev eth2  proto kernel  scope link  src 192.168.105.5
192.168.106.0/24 dev eth3.9  proto kernel  scope link  src 192.168.106.3
default via 192.168.105.254 dev eth2

И все пакеты бегают через eth2

Есть у кого какие мысли как допилить?

[pppd и pptpd Entware на Keenetic]

Я не могу понять почему не работает masquerade? Где ошибка?

[pppd и pptpd Entware на Keenetic]

Что-то я совсем ничего не понимаю

Настроил PPPTP сервер из пакетов Entware. Соединение устанавливается, кинетик я пингую и на вэб интерфейс попадаю по IP PPTP сервера.

А теперь самое интересное.

Включаем снифер на машине в которую воткнут кинетик и видим такую картину

22:00:24.849215 IP 192.168.105.5 > www.yandex.ru: ICMP echo request, id 512, seq 37121, length 40
22:00:24.853437 IP www.yandex.ru > 192.168.105.5: ICMP echo reply, id 512, seq 37121, length 40
22:00:25.849232 IP 192.168.105.5 > www.yandex.ru: ICMP echo request, id 512, seq 37377, length 40
22:00:25.853646 IP www.yandex.ru > 192.168.105.5: ICMP echo reply, id 512, seq 37377, length 40
22:00:26.856038 IP 192.168.105.5 > www.yandex.ru: ICMP echo request, id 512, seq 37633, length 40
22:00:26.860895 IP www.yandex.ru > 192.168.105.5: ICMP echo reply, id 512, seq 37633, length 40

192.168.105.5 IP на WAN порту кинетика, яндекс пингую с компа за натом. Все отлично.

Устанавливаю PPTP соединение и что же я вижу в снифере

22:00:26.856038 IP 192.168.105.5 > www.yandex.ru: ICMP echo request, id 512, seq 37633, length 40
22:00:26.860895 IP www.yandex.ru > 192.168.105.5: ICMP echo reply, id 512, seq 37633, length 40
22:00:27.884215 IP 192.168.40.20 > www.yandex.ru: ICMP echo request, id 1280, seq 256, length 40
22:00:33.017453 IP 192.168.40.20 > www.yandex.ru: ICMP echo request, id 1280, seq 512, length 40
22:00:38.508165 IP 192.168.40.20 > www.yandex.ru: ICMP echo request, id 1280, seq 768, length 40
22:00:44.004182 IP 192.168.40.20 > www.yandex.ru: ICMP echo request, id 1280, seq 1024, length 40

Появляется IP 192.168.40.20. Это IP выданный сервером PPTP клиенту. Т.е. форвард работает, а masquerade нет.

Прописал 4 правила iptables.

iptables -A INPUT -i ppp0 -j ACCEPT
iptables -A FORWARD -i ppp0 -j ACCEPT
iptables -A FORWARD -o ppp0 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth2 -s 192.168.40.0/24 -j MASQUERADE

Уже не знаю чего ещё придумать. Device Ultra 2.

[Функционал VLAN в Ultra II]

Создал отдельный интерфейс на Port-1, но возможности добавить его к системному Bridge в веб интерфейсе нет. На 2.05 такая возможность есть.

Это недостаток вэб морды или этого и из CLI сделать нельзя?

Через CLI добавляется, а в вэб морде в списке доступных интрфейсов его нет.

[Правила iptables для openvpn]

Никогда не использовал `MASQUERADE' для OVPN, только форвардом обходился.

[Multiple WAN routing policy]

Балансировка канала или в один входящие в другой исходящие.

[openvpn]

Так создайте эти папки.

"/opt/etc/openvpn"

[Правила iptables для openvpn]

О спасибо, теперь все понятно. Это надо в шапку вынести.

[Правила iptables для openvpn]

Спасибо, а можно несколько примеров правил для разных таблиц?

[Правила iptables для openvpn]

Правильно я ли я понимаю?

Создаем файл в каталоге /opt/etc/ndm/netfilter.d/forward.sh c содержимым

#!/bin/sh

[ "$table" != "nat" ] && exit 0

iptables -I FORWARD -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -j ACCEPT

Это для FORWARD.

А для INPUT или OUTPUT /opt/etc/ndm/netfilter.d/input.sh

#!/bin/sh

[ "$table" != "filter" ] && exit 0

iptables -I INPUT -i tun0 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -s 1.1.1.1 -j DROP

[pppd и pptpd Entware на Keenetic]

Запустил tcpdump на интерфейсе ppp0 и включил ping 192.168.3.254 удаленный хост в туннеле.

До добавления маршрута

 # tcpdump -i ppp0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ppp0, link-type LINUX_SLL (Linux cooked), capture size 65535 bytes
17:55:57.574508 IP 192.168.3.7 > 192.168.3.254: ICMP echo request, id 29961, seq 11, length 64
17:55:57.577276 IP 192.168.3.254 > 192.168.3.7: ICMP echo reply, id 29961, seq 11, length 64

После добавления мвршрута молниеносно и в огромных количествах начинает сыпать такое

17:58:57.321233 IP 192.168.105.5 > 31.129.192.22: GREv1, call 16896, seq 16170, length 1376: compressed PPP data
17:58:57.321388 IP 192.168.105.5 > 31.129.192.22: GREv1, call 16896, seq 16171, length 1376: compressed PPP data
17:58:57.321544 IP 192.168.105.5 > 31.129.192.22: GREv1, call 16896, seq 16172, length 1376: compressed PPP data
17:58:57.321699 IP 192.168.105.5 > 31.129.192.22: GREv1, call 16896, seq 16173, length 1376: compressed PPP data
17:58:57.321855 IP 192.168.105.5 > 31.129.192.22: GREv1, call 16896, seq 16174, length 1376: compressed PPP data
17:58:57.322010 IP 192.168.105.5 > 31.129.192.22: GREv1, call 16896, seq 16175, length 1376: compressed PPP data
17:58:57.322165 IP 192.168.105.5 > 31.129.192.22: GREv1, call 16896, seq 16176, length 1376: compressed PPP data
17:58:57.322365 IP 192.168.105.5 > 31.129.192.22: GREv1, call 16896, seq 16177, length 1376: compressed PPP data
17:58:57.322627 IP 192.168.105.5 > 31.129.192.22: GREv1, call 16896, seq 16178, length 1376: compressed PPP data
17:58:57.322876 IP 192.168.105.5 > 31.129.192.22: GREv1, call 16896, seq 16179, length 1376: compressed PPP data
17:58:57.323121 IP 192.168.105.5 > 31.129.192.22: GREv1, call 16896, seq 16180, length 1376: compressed PPP data
17:58:57.323373 IP 192.168.105.5 > 31.129.192.22: GREv1, call 16896, seq 16181, length 1376: compressed PPP data

Поднял pptp сервер из entware-ng. Все заработало, коннект устанавливается, но не пингуется ни сервер с клиента, ни клиент с сервера. Чую дело в фаерволе, но не знаю какие правила прописать. Те, что работали на V1 - не работают.

[pppd и pptpd Entware на Keenetic]

Мне это не удобно.

Ещё раз напишу для чего это нужно.

Поднимается pptp сервер на кинетике дома. Когда подключается определенный клиент к домашнему серверу, в скрипте ip-up срабатывает впн дозвон до удаленного сервера. Запускаем "call test" и прописываем маршрут на удаленную подсеть которая находится за тем pptp сервером.

Просто не могу понять чего не хватает(по видимому в фаерволе) для корректной работы данной связки.

[pppd и pptpd Entware на Keenetic]

Что выяснил.

Доступ до 192.168.3.254 пропадает сразу после задачи маршрута

ip route add 31.129.192.0/24 via 192.168.3.254

При этом, если соединение до сервера поднять через морду, а затем прописать этот же маршрут через консоль - все работает именно так как мне и надо.

[pppd и pptpd Entware на Keenetic]

А так нельзя

# Правила для 47 порта
iptables -A INPUT -p 47 -j ACCEPT
iptables -A OUTPUT -p 47 -j ACCEPT

В данном случае клиент(на Ultra 2) не пингует сервер. Хотя туннель поднялся и в ifconfig видны его параметры.

[pppd и pptpd Entware на Keenetic]

Соединение до удаленного сервера поднимается, маршрут прописался через ip route.

Но удаленный хост(он же сервер/шлюз) в тунеле не пингуется. Прописал правила фаервола, которые на V1 работали.

# Разрешаем внутрисетевой обмен
iptables -I INPUT -i lo -j ACCEPT

# Открываем доступ к vpn снаружи
iptables -A INPUT -p tcp --dport 1723 -j ACCEPT

# Правила для 47 порта
iptables -A INPUT -p 47 -j ACCEPT
iptables -A OUTPUT -p 47 -j ACCEPT

# PPTP internet
iptables -I INPUT -i ppp+ -j ACCEPT
iptables -I FORWARD -i ppp+ -j ACCEPT
iptables -I FORWARD -o ppp+ -j ACCEPT
iptables -I OUTPUT -o ppp+ -j ACCEPT

# pptp client-to-client
iptables -I FORWARD -i ppp+ -o ppp+ -j ACCEPT

 

Тут ещё правила относящиеся к серверной части.

Есть мысли, чего ещё не так. Пинговал с самого сервера.

Почему поднимаю не из прошивки?

Этот коннект на удаленный сервер вызывается скриптом ip-up pptpd.

В архиве полностью конфа сервера и клиентского соединения. pptpd сервер пока не проверял, начал с клиента.

Повторюсь, эта связка работоспособна была на Entware + Keenetic V1 и сейчас работает на debian.

ppp.rar

[Использование репозитория Entware]

Синтаксис работал на Entware Keeetic V1.

[Использование репозитория Entware]

А это даст возможность использовать "route" или будет работать через ndmq?

[Использование репозитория Entware]

Как скриптом прописать маршрут?

#!/bin/sh

PATH=/opt/sbin:/opt/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin

#route add -net 31.129.192.0 netmask 255.255.255.0 gw 192.168.3.254

ndmq -p "ip route 31.129.192.0  255.255.255.0 192.168.3.254 auto" -P message

route add -net 31.129.192.0 netmask 255.255.255.0 gw 192.168.3.254

не работает. Вот такое получаю в консоле:

~ # route add -net 31.129.192.0 netmask 255.255.255.0 gw 192.168.3.254
route: SIOCADDRT: No such process

ndmq -p "ip route 31.129.192.0  255.255.255.0 192.168.3.254 auto" -P message

В терминале выполняется, а из скрипта не хочет.

[Отключение dns-proxy в CLI Giga 2]

У меня на ультре настроен bind как вторичный DNS.

(config)> interface ISP no ip dhcp client name-servers

этим игнорируются DNS от прова.

В самом роутере настроены два ДНС - один на основной, второй на сам роутер.

При настройке DNS руками из прошивки за, что отвечает поле "interface"?

[Запретить доступ к opkg флешке или каталогам]

Да, работает. Но не хотелось бы включать фтп, а cifs никакие файлы не видны из проводника. Можете настроить права доступа на ftp для конкретных пользователей.

[Запретить доступ к opkg флешке или каталогам]

А у Вас fs какая? У меня на ext3 наоборот никакие файлы не видны на флешке.