-
Posts
937 -
Joined
-
Last visited
-
Days Won
3
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by dexter
-
-
А у вас точно Entware?
opkg update делали?
Ultra 1 с Entware.
~ # opkg update Downloading http://entware.zyxmon.org/binaries/mipsel/Packages.gz. Updated list of available packages in /opt/var/opkg-lists/entware-ng. Downloading http://ndm.zyxmon.org/binaries/keenetic/Packages.gz. Updated list of available packages in /opt/var/opkg-lists/ndm-keenetic. ~ # opkg list | grep nginx nginx - 1.9.9-2 - nginx is an HTTP and reverse proxy server, as well as a mail proxy server, written by Igor Sysoev. ~ #
-
Провайдеров у меня 1. Но для теста собрана виртуальная машина с двумя физическими интерфейсами.
-
Всё понятно. Будем ждать, а потом активно участвовать. Стенд собран. Ultra 2 ждет своего часа.
-
Поднял второй интерфейс eth3.9
Прописал такие команды
ip route add 192.168.105.0/24 dev eth2 src 192.168.105.5 table 101 ip route add default via 192.168.105.254 table 101 ip route add 192.168.106.0/24 dev eth3.9 src 192.168.106.3 table 102 ip route add default via 192.168.106.254 table 102 ip route add 192.168.105.0/24 dev eth2 src 192.168.105.5 ip route add 192.168.106.0/24 dev eth3.9 src 192.168.106.3 ip route add default via 192.168.105.254 ip rule add from 192.168.105.5 table 101 ip rule add from 192.168.106.3 table 102 ip route add 192.168.1.0/24 dev br0 table 101 ip route add 192.168.106.0/24 dev eth3.9 table 101 ip route add 127.0.0.0/8 dev lo table 101 ip route add 192.168.1.0/24 dev br0 table 102 ip route add 192.168.105.0/24 dev eth2 table 102 ip route add 127.0.0.0/8 dev lo table 102 ip route add default scope global nexthop via 192.168.105.5 dev eth2 weight 1 \ nexthop via 192.168.106.3 dev eth3.9 weight 1
Вывод таблиц "101" и "102"
~ # ip route show table 101 192.168.1.0/24 dev br0 scope link 192.168.105.0/24 dev eth2 scope link src 192.168.105.5 192.168.106.0/24 dev eth3.9 scope link 127.0.0.0/8 dev lo scope link default via 192.168.105.254 dev eth2 ~ # ip route show table 102 192.168.1.0/24 dev br0 scope link 192.168.105.0/24 dev eth2 scope link 192.168.106.0/24 dev eth3.9 scope link src 192.168.106.3 127.0.0.0/8 dev lo scope link default via 192.168.106.254 dev eth3.9
Вот вывод ip route
~ # ip route 192.168.100.254 via 192.168.105.254 dev eth2 192.168.101.1 via 192.168.105.254 dev eth2 192.168.1.0/24 dev br0 proto kernel scope link src 192.168.1.1 192.168.105.0/24 dev eth2 proto kernel scope link src 192.168.105.5 192.168.106.0/24 dev eth3.9 proto kernel scope link src 192.168.106.3 default via 192.168.105.254 dev eth2
И все пакеты бегают через eth2
Есть у кого какие мысли как допилить?
-
Я не могу понять почему не работает masquerade? Где ошибка?
-
Что-то я совсем ничего не понимаю
Настроил PPPTP сервер из пакетов Entware. Соединение устанавливается, кинетик я пингую и на вэб интерфейс попадаю по IP PPTP сервера.
А теперь самое интересное.
Включаем снифер на машине в которую воткнут кинетик и видим такую картину
22:00:24.849215 IP 192.168.105.5 > www.yandex.ru: ICMP echo request, id 512, seq 37121, length 40 22:00:24.853437 IP www.yandex.ru > 192.168.105.5: ICMP echo reply, id 512, seq 37121, length 40 22:00:25.849232 IP 192.168.105.5 > www.yandex.ru: ICMP echo request, id 512, seq 37377, length 40 22:00:25.853646 IP www.yandex.ru > 192.168.105.5: ICMP echo reply, id 512, seq 37377, length 40 22:00:26.856038 IP 192.168.105.5 > www.yandex.ru: ICMP echo request, id 512, seq 37633, length 40 22:00:26.860895 IP www.yandex.ru > 192.168.105.5: ICMP echo reply, id 512, seq 37633, length 40
192.168.105.5 IP на WAN порту кинетика, яндекс пингую с компа за натом. Все отлично.
Устанавливаю PPTP соединение и что же я вижу в снифере
22:00:26.856038 IP 192.168.105.5 > www.yandex.ru: ICMP echo request, id 512, seq 37633, length 40 22:00:26.860895 IP www.yandex.ru > 192.168.105.5: ICMP echo reply, id 512, seq 37633, length 40 22:00:27.884215 IP 192.168.40.20 > www.yandex.ru: ICMP echo request, id 1280, seq 256, length 40 22:00:33.017453 IP 192.168.40.20 > www.yandex.ru: ICMP echo request, id 1280, seq 512, length 40 22:00:38.508165 IP 192.168.40.20 > www.yandex.ru: ICMP echo request, id 1280, seq 768, length 40 22:00:44.004182 IP 192.168.40.20 > www.yandex.ru: ICMP echo request, id 1280, seq 1024, length 40
Появляется IP 192.168.40.20. Это IP выданный сервером PPTP клиенту. Т.е. форвард работает, а masquerade нет.
Прописал 4 правила iptables.
iptables -A INPUT -i ppp0 -j ACCEPT iptables -A FORWARD -i ppp0 -j ACCEPT iptables -A FORWARD -o ppp0 -j ACCEPT iptables -t nat -A POSTROUTING -o eth2 -s 192.168.40.0/24 -j MASQUERADE
Уже не знаю чего ещё придумать. Device Ultra 2.
-
Создал отдельный интерфейс на Port-1, но возможности добавить его к системному Bridge в веб интерфейсе нет. На 2.05 такая возможность есть.
Это недостаток вэб морды или этого и из CLI сделать нельзя?
Через CLI добавляется, а в вэб морде в списке доступных интрфейсов его нет.
-
Никогда не использовал `MASQUERADE' для OVPN, только форвардом обходился.
-
Балансировка канала или в один входящие в другой исходящие.
-
Так создайте эти папки.
"/opt/etc/openvpn"
-
О спасибо, теперь все понятно. Это надо в шапку вынести.
-
Спасибо, а можно несколько примеров правил для разных таблиц?
-
Правильно я ли я понимаю?
Создаем файл в каталоге /opt/etc/ndm/netfilter.d/forward.sh c содержимым
#!/bin/sh [ "$table" != "nat" ] && exit 0 iptables -I FORWARD -o tun0 -j ACCEPT iptables -I FORWARD -i tun0 -j ACCEPT
Это для FORWARD.
А для INPUT или OUTPUT /opt/etc/ndm/netfilter.d/input.sh
#!/bin/sh [ "$table" != "filter" ] && exit 0 iptables -I INPUT -i tun0 -j ACCEPT iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -I INPUT -s 1.1.1.1 -j DROP
-
Запустил tcpdump на интерфейсе ppp0 и включил ping 192.168.3.254 удаленный хост в туннеле.
До добавления маршрута
# tcpdump -i ppp0 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on ppp0, link-type LINUX_SLL (Linux cooked), capture size 65535 bytes 17:55:57.574508 IP 192.168.3.7 > 192.168.3.254: ICMP echo request, id 29961, seq 11, length 64 17:55:57.577276 IP 192.168.3.254 > 192.168.3.7: ICMP echo reply, id 29961, seq 11, length 64
После добавления мвршрута молниеносно и в огромных количествах начинает сыпать такое
17:58:57.321233 IP 192.168.105.5 > 31.129.192.22: GREv1, call 16896, seq 16170, length 1376: compressed PPP data 17:58:57.321388 IP 192.168.105.5 > 31.129.192.22: GREv1, call 16896, seq 16171, length 1376: compressed PPP data 17:58:57.321544 IP 192.168.105.5 > 31.129.192.22: GREv1, call 16896, seq 16172, length 1376: compressed PPP data 17:58:57.321699 IP 192.168.105.5 > 31.129.192.22: GREv1, call 16896, seq 16173, length 1376: compressed PPP data 17:58:57.321855 IP 192.168.105.5 > 31.129.192.22: GREv1, call 16896, seq 16174, length 1376: compressed PPP data 17:58:57.322010 IP 192.168.105.5 > 31.129.192.22: GREv1, call 16896, seq 16175, length 1376: compressed PPP data 17:58:57.322165 IP 192.168.105.5 > 31.129.192.22: GREv1, call 16896, seq 16176, length 1376: compressed PPP data 17:58:57.322365 IP 192.168.105.5 > 31.129.192.22: GREv1, call 16896, seq 16177, length 1376: compressed PPP data 17:58:57.322627 IP 192.168.105.5 > 31.129.192.22: GREv1, call 16896, seq 16178, length 1376: compressed PPP data 17:58:57.322876 IP 192.168.105.5 > 31.129.192.22: GREv1, call 16896, seq 16179, length 1376: compressed PPP data 17:58:57.323121 IP 192.168.105.5 > 31.129.192.22: GREv1, call 16896, seq 16180, length 1376: compressed PPP data 17:58:57.323373 IP 192.168.105.5 > 31.129.192.22: GREv1, call 16896, seq 16181, length 1376: compressed PPP data
Поднял pptp сервер из entware-ng. Все заработало, коннект устанавливается, но не пингуется ни сервер с клиента, ни клиент с сервера. Чую дело в фаерволе, но не знаю какие правила прописать. Те, что работали на V1 - не работают.
-
Мне это не удобно.
Ещё раз напишу для чего это нужно.
Поднимается pptp сервер на кинетике дома. Когда подключается определенный клиент к домашнему серверу, в скрипте ip-up срабатывает впн дозвон до удаленного сервера. Запускаем "call test" и прописываем маршрут на удаленную подсеть которая находится за тем pptp сервером.
Просто не могу понять чего не хватает(по видимому в фаерволе) для корректной работы данной связки.
-
Что выяснил.
Доступ до 192.168.3.254 пропадает сразу после задачи маршрута
ip route add 31.129.192.0/24 via 192.168.3.254
При этом, если соединение до сервера поднять через морду, а затем прописать этот же маршрут через консоль - все работает именно так как мне и надо.
-
А так нельзя
# Правила для 47 порта iptables -A INPUT -p 47 -j ACCEPT iptables -A OUTPUT -p 47 -j ACCEPT
В данном случае клиент(на Ultra 2) не пингует сервер. Хотя туннель поднялся и в ifconfig видны его параметры.
-
Соединение до удаленного сервера поднимается, маршрут прописался через ip route.
Но удаленный хост(он же сервер/шлюз) в тунеле не пингуется. Прописал правила фаервола, которые на V1 работали.
# Разрешаем внутрисетевой обмен iptables -I INPUT -i lo -j ACCEPT # Открываем доступ к vpn снаружи iptables -A INPUT -p tcp --dport 1723 -j ACCEPT # Правила для 47 порта iptables -A INPUT -p 47 -j ACCEPT iptables -A OUTPUT -p 47 -j ACCEPT # PPTP internet iptables -I INPUT -i ppp+ -j ACCEPT iptables -I FORWARD -i ppp+ -j ACCEPT iptables -I FORWARD -o ppp+ -j ACCEPT iptables -I OUTPUT -o ppp+ -j ACCEPT # pptp client-to-client iptables -I FORWARD -i ppp+ -o ppp+ -j ACCEPT
Тут ещё правила относящиеся к серверной части.
Есть мысли, чего ещё не так. Пинговал с самого сервера.
Почему поднимаю не из прошивки?
Этот коннект на удаленный сервер вызывается скриптом ip-up pptpd.
В архиве полностью конфа сервера и клиентского соединения. pptpd сервер пока не проверял, начал с клиента.
Повторюсь, эта связка работоспособна была на Entware + Keenetic V1 и сейчас работает на debian.
-
Синтаксис работал на Entware Keeetic V1.
-
А это даст возможность использовать "route" или будет работать через ndmq?
-
Как скриптом прописать маршрут?
#!/bin/sh PATH=/opt/sbin:/opt/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin #route add -net 31.129.192.0 netmask 255.255.255.0 gw 192.168.3.254 ndmq -p "ip route 31.129.192.0 255.255.255.0 192.168.3.254 auto" -P message
route add -net 31.129.192.0 netmask 255.255.255.0 gw 192.168.3.254
не работает. Вот такое получаю в консоле:
~ # route add -net 31.129.192.0 netmask 255.255.255.0 gw 192.168.3.254 route: SIOCADDRT: No such process
ndmq -p "ip route 31.129.192.0 255.255.255.0 192.168.3.254 auto" -P message
В терминале выполняется, а из скрипта не хочет.
-
У меня на ультре настроен bind как вторичный DNS.
(config)> interface ISP no ip dhcp client name-servers
этим игнорируются DNS от прова.
В самом роутере настроены два ДНС - один на основной, второй на сам роутер.
При настройке DNS руками из прошивки за, что отвечает поле "interface"?
-
Да, работает. Но не хотелось бы включать фтп, а cifs никакие файлы не видны из проводника. Можете настроить права доступа на ftp для конкретных пользователей.
-
А у Вас fs какая? У меня на ext3 наоборот никакие файлы не видны на флешке.
Помогите, не работает Python
in Вопросы по сборке и настройке Opkg
Posted
Entware ставится дополнительно. На работу прошивки и роутера не влияет.