[Выключение и шифрование фс]

~ # cryptsetup tcryptOpen /dev/sda crypt
Enter passphrase:
Required kernel crypto interface not available.

Это же заработает тогда?

Да, должно.

[«Белый» IP от Ростелеком с помощью Entware]

Это подсудное дело, за ненадлежащее оказание услуг

Ну попробуйте, с РТ судиться - дело неподъемное, у них все отмазы везде мелким шрифтом прописаны и юристы соответствующей квалификации.

[Настройка IPsec для NDMS]

L'ecureuil, спрошу на всякий (я не знаком с настройками IPSec). Если я хочу подключится к своей рабочей сети (Cisco ASA, вход по сертификату плюс LDAP аккаунт), то я пока не смогу этого сделать? Или как-то можно вытащить/сгенерировать PSK из сертификата?

Нет, выдрать нельзя.

Это вообще разные технологии.

У нас пока нет возможности работать по сертификатам.

[«Белый» IP от Ростелеком с помощью Entware]

Что они сделают, забанят

Временный бан от них легко можно получить за частые реконнекты.

[Машрутизация в сеть VPN клиента]

Возвращаясь к вопросу удаленного доступа к модему.

Есть Ultra2(подсеть 192.168.1.0) 2.07(AAUX.11)B0 На ней поднят PPTP сервер

К нему подсоединяется Гига2(подсеть 192.168.2.0) v2.06(AAFS.5)B3

Интернет на гиге через usb модем, адрес модема 192.168.0.1

PPTP Клиент на гиге плучает постоянный адрес 172.16.1.2

На ультре добавлен маршрут к подсети 192.168.0.0 через шлюз 172.16.1.2

[attachment=2]Ultra.JPG[/attachment]

На гиге добавлен маршрут к подсети 192.168.0.0 добавлен автоматически

[attachment=1]Giga.JPG[/attachment]

При этом доступа к модему из сети ультры нет.

Судя по трейсу маршрутизация кривая где то за гигой

[attachment=0]trace.JPG[/attachment]

Куда копать чтоб получить доступ к модему?

Надо на самом модеме прописать роут к 192.168.1.0 через VPN-интерфейс Ultra II.

На модеме нет роута к 192.168.1.0, и потому от отвечает в default route, то есть в мобильную сеть

Как вариант - на Ultra II включить NAT на VPN-интерфейсе.

[«Белый» IP от Ростелеком с помощью Entware]

Т.е. прикрыть свою задницу, чтобы не наглели, будет доказательство, что они вам мучают, а не вы их. К ому же - как услуги ненадлежащего качества, там юридически можно бодаться.

Если вы будете использовать свой роутер, а не ростелековский, это будет крайне тяжело сделать, практически невозможно.

Говорю вам как бодавшийся с ними из-за низкокачественного ADSL с 2007 по 2011.

[Верните вкладку "Клиенты Wi-Fi"]

Тема раскрыта, вопросов нет...

4. Общие вопросы

Где вкладка "Клиенты Wi-Fi"? Ответ тут: viewtopic.php?p=4894#p4894

я понадеялся, что легко найду здесь ответ - "как в CLI увидеть недостающую информацию по Wi-Fi клиентам"... в упор не вижу. Прошу модератора в шапку кинуть.

Помогите люди добрые.

(config)> show associations

(config)> show ip arp

[Выключение и шифрование фс]

Очень не хватает на кинетике этих двух функций? Может есть уже варианты решения? В идеале что-то типа halt -p или что тут предусмотрено повесить на аппаратную кнопку,

Это невозможно.

Кнопка "Выключение" работает чисто аппаратно, разрывая линии питания.

Выключить роутер программно невозможно, только перезагрузить.

[Выключение и шифрование фс]

чтоб "... столько данных в открытую..." не валялись, почему бы не складывать их в запароленых архивах или криптоконтейнерах, а при необходимости, забирать на комп и работать локально, ибо, столь конфиденциальные данные должны храниться в другом месте? Тут, ув. Zyxmon, затеял замеры "папугаев", перспектива не очень...

у меня на смарте стареньком флешка криптуется трюкриптом и вообще ни разу не тупит :-/

Можем добавить модули ядра для LUKS и dm-crypt, а дальше сами разбирайтесь.

[Настройка IPsec для NDMS]

В Web L2TP over IPsec пока не настраивается, потому нужны такие команды (компоненты IPsec и L2TP должны уже быть установлены):

(config)> interface L2TPoverIPsec0

(config-if)> peer 1.1.1.1 {внешний адрес DFL}

(config-if)> authentication identity {Имя}

(config-if)> authentication password {Пароль}

(config-if)> ip global 2000 {если хотите, чтобы это соединение стало маршрутом по умолчанию и через него был доступ в Интернет}

(config-if)> ipsecure preshared-key 12345678 {ваш ключ PSK}

(config-if)> up

(config-if)> connect

Настроил соединение L2TP over IPSec таким образом между своим RB1100AHx2 в датацентре и домашним Keenetic Ultra II. Параметры шифрования получаются такие:

L2TPoverIPsec0[10]: IKE proposal: 3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#
L2TPoverIPsec0{11}:  INSTALLED, TRANSPORT, reqid 3, ESP SPIs: cab4addc_i 026ff67b_o
L2TPoverIPsec0{11}:  AES_CBC_128/HMAC_SHA1_96/MODP_1024, 98395 bytes_i (725 pkts, 64s ago), 139863 bytes_o (770 pkts, 4s ago), rekeying in 7 hours

Вопрос чисто теоретический, так как в принципе вполне хватит и AES_CBC_128, но все же, можно ли поменять это на AES_CBC_256? В Mikrotik я могу изменить настройки Proposal, здесь это можно как-то сделать?

В общем же впечатления сугубо положительные, настройка шифрованного канала между домом и дата-центром была одна из целей покупки этого роутера. Мой канал 100 мегабит/с используется полностью, при практически нулевой загрузке процессоров с обеих сторон (crypto engine hardware прописано в Keenetic, RB1100AHx2 тоже использует аппаратный модуль шифрования).

Но все таки, можно ли менять параметры шифрования, именно для туннеля L2TP over IPsec? Версия прошивки, кстати, v2.07(AAUX.11)B0, свеженький draft.

Пока нельзя.

Эта функция будет переработана в ближайшие пару месяцев, тогда и посмотрим.

[URL-фильтрация]

И yandex.dns.

[Выбор USB hub'а для Keenetic]

Лучше всего использовать винты с внешним питанием, тогда любой хаб подойдет.

[SNMP мониторинг]

Напишите-ка сабсет snmp, который вам нужен.

Только аргументированно и по возможности минимальный, а не "так везде, значит и вы делайте".

Конкретно список элементов данных.

[Как скрыть избыточные сообщения от transmission]

(config)> system log suppress transmissiond

(config)> system configuration save

[Как сменить часовой пояс]

Странно у меня не выходит ничего

/root # echo CST-06 > /opt/etc/TZ                                                                                                                    
/root # date                                                                                                                                         
Thu Jun 23 15:19:08 UTC 2016                                                                                                                                                                                                                                             
/root # cat /opt/etc/TZ                                                                                                                              
CST-06
/root # date                                                                                                                                         
Thu Jun 23 15:19:33 UTC 2016

И где же тут противоречие? Вы же не записали в /opt/etc/TZ другую таймзону и не вывели значение времени в ней.

Пока все выглядит нормально.

[А вот такой лог что означает? Кто-то подбирает пароль?]

Я уже писал, но еще раз напишу что интенсивность слишком мала.

Скорее похоже на гаджет, который периодически пытается подцепиться к точке, но не может (например в нем уже забита точка с SSID как у вас, но с другим паролем).

[Открытие файлов по HTTP]

Увидел сообщение ув. L'ecureuil http://forum.ixbt.com/topic.cgi?id=14:63096:2575#2575

Решил попробовать.

Дерево каталога доступно а дальше 403- Forbitten

USB disk NTFS kenopt+dlna , IE11 FFPortable

Дал права доступа чтение\запись для admin так же 403

Например http://192.168.1.101/storage/Data/etc/ доступен, а папка dlna нет

Jun 22 14:54:47keenetic_u2 nginx2016/06/22 14:54:47 [error] 899#0: *2 "/var/mnt/Data/media/index.html" is forbidden (13: Permission denied), client: 192.168.1.13, server: my.keenetic.net, request: "GET /storage/Data/media/ HTTP/1.1", host: "192.168.1.101", referrer: "http://192.168.1.101/storage/Data/"

Что не так ?

У вас на диске скорее всего права на доступ к каталогу выставлены в "Запрещено для всех, кроме некоторых пользователей". Пока не сделана нормальная поддержка acl, нужно дать полный доступ на чтение _всем_ (Полный доступ / Access to everyone вроде это называется), в том числе и подкаталогам, и нужно это сделать не через кинетиковский web, а в винде, подключив туда диск.

nginx работает от пользователя nobody в целях безопасности, и скорее всего он не может получить доступ к файлу.

Попробуйте на флешке с fat32, если все заработает - проблема именно в правах.

[Развитие прошивки для Keenetic II, Giga II, Ultra на RT6856]

Купили в офис пачку кинетик 2. И сразу вопрос, предложение, можно ли сделать или есть где-нибудь стабильная прошивка? Потому, что на сайте одна последняя, её установили, сразу ошибку нашли. Установили последнюю доступную в самом роутере, так по истории версий они обновляются раз в пару месяцев и их стабильность тоже сомнительна.

Пока можно использовать последнюю из 2.05. Они обновляются так редко, потому что в них реально мало проблем.

[Общие вопросы по opkg]

Подскажите такой вопрос - хочу купить веб-камеру и подключить её к роутеру. Главная задача - детект по движению. Ну или хотя бы запись на внешний/сетевой HDD. Как бы это настроить и где об этом почитать? Плюс, я не понял что такой музыкальная станция. Даже загуглил - не понял. А тем более про роутер-музыкальную станцию.

Программа motion: https://habrahabr.ru/post/125216/

Есть в Entware-Keenetic.

[owncloud]

Пока потерпите, решаем более общую задачу, которая возможно и ваш случай закроет.

[Ядерный nfs сервер на кинетике]

Если что нужно подкрутить в дефолтах - агрментировано пишите в тему про модули, сделаем.

[Openssh вместо dropbear, настройка и использование]

Ага, Tuxera до сих пор никак не разродится финальной версией с поддержкой posix acl в своих драйверах, хотя бета-версию давала еще в прошлом году.

Как только выйдет - так сразу будет обнародовано.

[owncloud]

Создать скрипт навроде

#!/bin/sh
#
# store this script in /opt/etc/init.d if you've installed entware

start() {
      logger -t mount "mounting CIFS share..."
      mount -t cifs //192.168.1.254/Toshiba2Tb/data /opt/data -o username=guest,iocharset=utf8
      return 0
}

##########################start here##########################
case "$1" in
 start)
       start
       ;;
 *)
       echo $"Usage: $0 {start}"
       exit 1
esac
exit

И закинуть его в /opt/etc/init.d/S999CifsMount, сделав исполняемым через chmod +x /opt/etc/init.d/S999CifsMount

Cкрипт запускается перед сервисом CIFS

Jun 18 22:01:09mount
mounting CIFS share...
Jun 18 22:01:09ndm
kernel:  CIFS VFS: Error connecting to IPv4 socket. Aborting operation
Jun 18 22:01:12ndm
Cifs::ServerNQ: service started.

Как лечить?

Вы что, с одного и того же устойства соединяетесь прямо к нему же? Ну и извращенство. Даже хз что тут советовать.

Может все-таки конечную цель озвучите, а не какие-то странные попытки ее решения?

[«Белый» IP от Ростелеком с помощью Entware]

Подскажите, пожалуйста, команду для рестарта PPPoE соединения

> no interface PPPoE0 connect

> interface PPPoE0 connect

[source (policy) based routing или как пустить через vpn только одного клиента]

В 2.07 CONFIG_IP_ADVANCED_ROUTER и CONFIG_IP_MULTIPLE_TABLES включены везде (причем еще во времен 2.06), поскольку нужны для IPsec.