-
Posts
9,872 -
Joined
-
Last visited
-
Days Won
576
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Everything posted by Le ecureuil
-
"Машина уже в пути" (ц)
-
зачем вы загоняете в conttrack весь локальный трафик?
Le ecureuil replied to umka's question in Обмен опытом
В conntrack попадает весь транзитный L3 трафик, но между хостами в локалке L2. Поясните, пожалуйста, с примером, что загоняется конкретно. как минимум там трафик к самой точке, мультикаст из локалки, и был трафик от NAS подключенного по зернету (сейчас нету, но видел) root@Keenetic_Giga:/opt/root# grep src=192.168.1. /proc/net/nf_conntrack | grep dst=192.168 ipv4 2 udp 17 16 src=192.168.1.36 dst=192.168.1.1 sport=57476 dport=53 src=192.168.1.1 dst=192.168.1.36 sport=53 dport=57476 mark=0 nfm_marker = 0 use=2 ipv4 2 udp 17 12 src=192.168.1.36 dst=192.168.1.1 sport=57458 dport=53 src=192.168.1.1 dst=192.168.1.36 sport=53 dport=57458 mark=0 nfm_marker = 0 use=2 ipv4 2 udp 17 14 src=192.168.1.36 dst=192.168.1.1 sport=52105 dport=53 src=192.168.1.1 dst=192.168.1.36 sport=53 dport=52105 mark=0 nfm_marker = 0 use=2 ipv4 2 unknown 2 431 src=192.168.1.36 dst=224.0.0.2 [uNREPLIED] src=224.0.0.2 dst=192.168.1.36 mark=0 nfm_marker = 0 use=2 ipv4 2 unknown 2 582 src=192.168.1.2 dst=224.0.0.22 [uNREPLIED] src=224.0.0.22 dst=192.168.1.2 mark=0 nfm_marker = 0 use=2 ipv4 2 udp 17 4 src=192.168.1.36 dst=192.168.1.1 sport=55056 dport=53 src=192.168.1.1 dst=192.168.1.36 sport=53 dport=55056 mark=0 nfm_marker = 0 use=2 ipv4 2 udp 17 28 src=192.168.1.36 dst=192.168.1.1 sport=50030 dport=53 src=192.168.1.1 dst=192.168.1.36 sport=53 dport=50030 mark=0 nfm_marker = 0 use=2 ipv4 2 tcp 6 1199 ESTABLISHED src=192.168.1.34 dst=192.168.1.1 sport=50850 dport=22 src=192.168.1.1 dst=192.168.1.34 sport=22 dport=50850 [ASSURED] mark=0 nfm_marker = 0 use=2 ipv4 2 udp 17 20 src=192.168.1.36 dst=192.168.1.1 sport=50763 dport=53 src=192.168.1.1 dst=192.168.1.36 sport=53 dport=50763 mark=0 nfm_marker = 0 use=2 ipv4 2 udp 17 20 src=192.168.1.36 dst=192.168.1.1 sport=57699 dport=53 src=192.168.1.1 dst=192.168.1.36 sport=53 dport=57699 mark=0 nfm_marker = 0 use=2 ipv4 2 udp 17 10 src=192.168.1.34 dst=192.168.1.1 sport=58345 dport=53 src=192.168.1.1 dst=192.168.1.34 sport=53 dport=58345 mark=0 nfm_marker = 0 use=2 ipv4 2 udp 17 12 src=192.168.1.33 dst=192.168.1.1 sport=57291 dport=53 src=192.168.1.1 dst=192.168.1.33 sport=53 dport=57291 mark=0 nfm_marker = 0 use=2 ipv4 2 udp 17 9 src=192.168.1.1 dst=192.168.1.255 sport=138 dport=138 [uNREPLIED] src=192.168.1.255 dst=192.168.1.1 sport=138 dport=138 mark=0 nfm_marker = 0 use=2 ipv4 2 unknown 2 575 src=192.168.1.1 dst=224.0.0.1 [uNREPLIED] src=224.0.0.1 dst=192.168.1.1 mark=0 nfm_marker = 0 use=2 ipv4 2 unknown 2 575 src=192.168.1.1 dst=224.0.0.1 [uNREPLIED] src=224.0.0.1 dst=192.168.1.1 mark=0 nfm_marker = 0 use=2 ipv4 2 udp 17 3 src=192.168.1.36 dst=192.168.1.1 sport=49447 dport=53 src=192.168.1.1 dst=192.168.1.36 sport=53 dport=49447 mark=0 nfm_marker = 0 use=2 ipv4 2 udp 17 11 src=192.168.1.36 dst=192.168.1.1 sport=54243 dport=53 src=192.168.1.1 dst=192.168.1.36 sport=53 dport=54243 mark=0 nfm_marker = 0 use=2 скорее всего в конфете ядра забыто проверять локальный трафик. А это потребление памяти - которого можно избежать без потери функциональности. В этом нет ничего страшного, и это необходимо для работы ip hotspot. -
Как исправить transmissiond Error loading config file?
Le ecureuil replied to PROPit's question in Обмен опытом
Удалите settings.json с usb-диска. -
Не наглейте DNS и http трафик точно не будут включены в обозримом будущем, поскольку в случае с http вступают в роль ppe software и ppe hardware. Второй вообще невозможно настроить на мониторинг трафика по UDP/TCP портам, так как он аппаратный.
-
Интерфейсы будут без сомнения.
-
Настройка IPsec для NDMS
Le ecureuil replied to steils's topic in Обсуждение IPsec, OpenVPN и других туннелей
Хотелось бы уточнить, в данном ограничении учитываются только IPsec-туннели, или же L2TPoverIPsec тоже считаются? На данный момент есть два IPsec-туннеля между кинетиками, + туннель на OpenVPN, который думаю перевести на L2TPoverIPSec ради повышения производительности (кстати, он же тоже использует crypto engine hardware?). Дополнительно вопрос - по-умолчанию домашние адреса будут натироваться в L2TPoverIPSec? Как я понимаю, инструкция по предотвращению натирования аналогична https://zyxel.ru/kb/3252/ - но она работает только если есть один WAN со статическим IP? А что делать в случае с динамическим IP и/или резервированием? L2TPoverIPSec не считаются. Использует crypto engine hardware. В скором времени функция будет немного переделана, изменится и конфигурация, будьте внимательны. Да, отключение NAT делается именно как в статье, и работает только для статического IP. Для динамического (по крайней мере пока) нет. -
Есть идеи по реализации в ближайшие полгода (а может и раньше, но загадывать не будем, понятно, что пользователи draft-прошивок все получат первыми ) (по состоянию примерно как в посте viewtopic.php?p=5951#p5951 ), если кто еще что напишет - постараемся принять к сведению. Сейчас самая очевидная проблема - при реализации статуса портов свича на устройствах с MT7628 (то есть Start II) не будет расширенной статистики (навроде сколько на каждом порту принято/отправлено байт, ошибок, мультикастных пакетов, коллизий - все эти параметры будут присутствовать, но будут равны нулю). Он позволяет получить только информацию о количестве пройденных RT/TX пакетов. На остальных устройствах сильных сложностей не предвидится..
-
Как сменить часовой пояс
Le ecureuil replied to Илья Ганжин's topic in Вопросы по сборке и настройке Opkg
Эта строка называется "shebang", и правильное ее написание таково: #!/bin/sh У вас же пропущен символ '#' в начале, потому некорректно работает. -
Пока нет, пользуйтесь Opkg/Entware.
-
У процессора роутера в отличие от компьютерного нет расширенных режимов энергосбережения и ACPI, который используется для отключения системы. Он может только жарить на 100%, и все. А из-за отсутствия ACPI (или его аналога) программное управление питанием системы не предусмотрено (кроме USB-портов, где можно снять / подать питание).
-
Именно! Это невозможно, поскольку после полной остановки системы происходит автоматическая перезагрузка по watchdog.
-
Да, должно.
-
«Белый» IP от Ростелеком с помощью Entware
Le ecureuil replied to Khaninea's topic in Вопросы по сборке и настройке Opkg
Ну попробуйте, с РТ судиться - дело неподъемное, у них все отмазы везде мелким шрифтом прописаны и юристы соответствующей квалификации. -
Настройка IPsec для NDMS
Le ecureuil replied to steils's topic in Обсуждение IPsec, OpenVPN и других туннелей
Нет, выдрать нельзя. Это вообще разные технологии. У нас пока нет возможности работать по сертификатам. -
«Белый» IP от Ростелеком с помощью Entware
Le ecureuil replied to Khaninea's topic in Вопросы по сборке и настройке Opkg
Временный бан от них легко можно получить за частые реконнекты. -
Надо на самом модеме прописать роут к 192.168.1.0 через VPN-интерфейс Ultra II. На модеме нет роута к 192.168.1.0, и потому от отвечает в default route, то есть в мобильную сеть Как вариант - на Ultra II включить NAT на VPN-интерфейсе.
-
«Белый» IP от Ростелеком с помощью Entware
Le ecureuil replied to Khaninea's topic in Вопросы по сборке и настройке Opkg
Если вы будете использовать свой роутер, а не ростелековский, это будет крайне тяжело сделать, практически невозможно. Говорю вам как бодавшийся с ними из-за низкокачественного ADSL с 2007 по 2011. -
Верните вкладку "Клиенты Wi-Fi"
Le ecureuil replied to Le ecureuil's question in Реализованные пожелания
я понадеялся, что легко найду здесь ответ - "как в CLI увидеть недостающую информацию по Wi-Fi клиентам"... в упор не вижу. Прошу модератора в шапку кинуть. Помогите люди добрые. (config)> show associations (config)> show ip arp -
Это невозможно. Кнопка "Выключение" работает чисто аппаратно, разрывая линии питания. Выключить роутер программно невозможно, только перезагрузить.
-
у меня на смарте стареньком флешка криптуется трюкриптом и вообще ни разу не тупит :-/ Можем добавить модули ядра для LUKS и dm-crypt, а дальше сами разбирайтесь.
-
Настройка IPsec для NDMS
Le ecureuil replied to steils's topic in Обсуждение IPsec, OpenVPN и других туннелей
Настроил соединение L2TP over IPSec таким образом между своим RB1100AHx2 в датацентре и домашним Keenetic Ultra II. Параметры шифрования получаются такие: L2TPoverIPsec0[10]: IKE proposal: 3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# L2TPoverIPsec0{11}: INSTALLED, TRANSPORT, reqid 3, ESP SPIs: cab4addc_i 026ff67b_o L2TPoverIPsec0{11}: AES_CBC_128/HMAC_SHA1_96/MODP_1024, 98395 bytes_i (725 pkts, 64s ago), 139863 bytes_o (770 pkts, 4s ago), rekeying in 7 hours Вопрос чисто теоретический, так как в принципе вполне хватит и AES_CBC_128, но все же, можно ли поменять это на AES_CBC_256? В Mikrotik я могу изменить настройки Proposal, здесь это можно как-то сделать? В общем же впечатления сугубо положительные, настройка шифрованного канала между домом и дата-центром была одна из целей покупки этого роутера. Мой канал 100 мегабит/с используется полностью, при практически нулевой загрузке процессоров с обеих сторон (crypto engine hardware прописано в Keenetic, RB1100AHx2 тоже использует аппаратный модуль шифрования). Но все таки, можно ли менять параметры шифрования, именно для туннеля L2TP over IPsec? Версия прошивки, кстати, v2.07(AAUX.11)B0, свеженький draft. Пока нельзя. Эта функция будет переработана в ближайшие пару месяцев, тогда и посмотрим. -
И yandex.dns.
-
Лучше всего использовать винты с внешним питанием, тогда любой хаб подойдет.
-
Напишите-ка сабсет snmp, который вам нужен. Только аргументированно и по возможности минимальный, а не "так везде, значит и вы делайте". Конкретно список элементов данных.
-
Как скрыть избыточные сообщения от transmission
Le ecureuil replied to AndreBA's question in Обмен опытом
(config)> system log suppress transmissiond (config)> system configuration save