Le ecureuil
-
Posts
9,486 -
Joined
-
Last visited
-
Days Won
544
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by Le ecureuil
-
-
Keenetic II, прошивка kn_rb_draft_2.06.B.3.0-4. Ядерные модули в компонентах прошивки все включил. Поставил "звуковую станцию" (http://keenopt.ru/viewtopic.php?p=4519#p4519 и ниже пару постов). Музыка играет но урывками, загрузка проца 100%.
А что будет, если эти модули не ставить, а просто поставить звуковую станцию? Тогда работает нормально?
-
Непонятна такая категоричность...
Модули же можно запросто скопировать из прошивки после ее установки. А вот этим-то как раз и лень заниматься.
Но если вы говорите, что с 2.6 на 2.5 они не подойдут, то я вам верю.
Спасибо!
Мы беспокоимся именно за бинарную совместимость, потому модули поставляются не в составе Entware например, а полностью привязанными к версии прошивки.
Просто в случае если ваша система начнет падать и перезагружаться в совсем непонятных местах и на ровном месте - будет очень неприятно, и помочь мы ничем не сможем.
Здесь же заботу о совместимости и минимальной работоспособности мы берем на себя.
-
1
-
-
Выложите, плз, модули для nfs отдельно.
Хотелось бы попробовать их на официальной v2.05(AAFS.0)C4 на гига2.
Нет, не выложим. И вообще поддержку модулей вне прошивки скорее всего прекратим, хотя и обеспечим возможность сборки для желающих - но полностью на свой страх и риск.
Основная цель этих мероприятий - обеспечить полную бинарную совместимость для модулей. И между версиями 2.06 и 2.05 они однозначно будут несовместимы.
Сейчас готовится релиз 2.06 для Giga II, и тогда эти модули войдут в состав официальной прошивки.
-
Подскажите пожалуйста, а сколько туннелей поддерживает ULTRA II ?
Не могу построить больше 2-х.
Задача принять на ULTRA II три туннеля от трёх GIGA 3.
2 работают прекрасно, третий не подключается.
ULTRA II - v2.06(AAUX.5)A7
GIGA III - v2.06(AAUW.5)A7
На ULTRA II идентификаторы разные для трёх пиров:
1. FQDN
2. адрес
3. email
Везде IKE v2,
По IKE v1 вообще не подключается никак.
Делал по примеру:
На ULTRA II пишет:
Log: invalid message format: unable to use more than %1 crypto maps concurrently, skip crypto map "%1".
На GIGA III пишет
15[iKE] received AUTHENTICATION_FAILED notify error
Jun 11 14:48:46ndmIpSec::Configurator: remote peer rejects to authenticate our IPsec crypto map "XXXX".
Jun 11 14:48:46ndmIpSec::Configurator: (possibly because of wrong local/remote ID).
Jun 11 14:48:46ndmIpSec::Configurator: fallback peer is not defined for IPsec crypto map "XXXX", retry.
Как только удаляю один из работающих, то третий сразу подключается нормально.
Может больше 2-х туннелей не поддерживается и я зря трачу время?
Да, именно.
Может быть настроено сколько угодно туннелей, но работать в один и тот же момент могут только два.
Это ограничение связано с тем, что устройства не являются настолько мощными, чтобы их можно было использовать в качестве полноценных VPN-хабов, потому легко перегружаются (особенно версии на процессоре 7620 без аппаратного ускорения IPsec).
-
Итак, состоялся первый пробный релиз draft-прошивки с включенными в нее дополнительными модулями ядра, которые можно использовать в Opkg (и в keenopt, и в Entware, и еще где угодно).
Целью этого микропроекта является предоставление дополнительных модулей ядра, полностью бинарно совместимых с ядром, которые будет легко поддерживать в актуальном состоянии.
На данный момент ( 13.07.2016 ) модули выпущены для:
- Keenetic II, Giga II, Ultra, версия прошивки 2.06-draft, ядро 2.6.22 (2.06.B.3.0-4 и выше)
- Keenetic Omni, Keenetic Omni II, Keenetic Viva, Keenetic Extra, Keenetic Giga III, Keenetic Ultra II, версия прошивки 2.07-draft, ядро 3.4 (2.07.B.0.0-10 и выше)
По мере обкатки модули будут выпущены для всех актуальных устройств и версий, выкладываемых в draft, и потом это будет доступно и в официальном канале обновлений.
Модули ставятся пакетами, сгруппированными по назначению на странице "Обновление".
На текущий момент доступный набор модулей следующий:
- opkg-kmod-fs (Opkg kernel filesystems modules / Ядерные модули поддержки файловых систем для открытых пакетов)
- fuse.ko : FUSE
- cifs.ko : CIFS / Samba клиент
- nfs.ko, lockd.ko : NFS клиент
- nfsd.ko, exportfs.ko : NFS сервер
- opkg-kmod-video (Opkg kernel USB video modules / Ядерные модули поддержки USB видео для открытых пакетов)
- video-core : V4L1-compat, V4L2
- usb-uvc : поддержка USB видео и вебкамер
Перед стартом видеокамеры нужно вручную загружать модули в таком порядке:
insmod /lib/modules/3.4.113/videodev.ko
insmod /lib/modules/3.4.113/videobuf2-core.ko
insmod /lib/modules/3.4.113/videobuf2-memops.ko
insmod /lib/modules/3.4.113/videobuf2-vmalloc.ko
insmod /lib/modules/3.4.113/uvcvideo.ko
- opkg-kmod-audio (Opkg kernel USB audio modules / Ядерные модули поддержки USB аудио для открытых пакетов)
- alsa-core : Базовый набор ALSA
- alsa-oss : Модуль поддержки OSS в ALSA
- usb-audio: Модуль поддержки USB-звуковых карт
- opkg-kmod-netfilter (Opkg kernel netfilter modules / Ядерные модули подсистемы netfilter для открытых пакетов)
- arptables
- модули для conntrack
- модули для IPsec
- модули для iprange
- и.т.д., набор длинный, все таргеты и матчи из ядер 2.6.22 (2.06) и 3.4 (2.07) включены в поставку
- ipset 4.5 для 2.06 и ipset 6.27 для 2.07.
- opkg-kmod-tc (Opkg kernel trafficcontrol modules / Ядерные модули подсистемы trafficcontrol для открытых пакетов)
Модули для 2.6.22 @ 2.06:
CONFIG_NET_SCHED=y \
CONFIG_NET_SCH_PRIO \
CONFIG_NET_SCH_SFQ \
CONFIG_NET_SCH_CBQ \
CONFIG_NET_SCH_HTB \
CONFIG_NET_SCH_HFSC \
CONFIG_NET_SCH_RED \
CONFIG_NET_SCH_ESFQ \
CONFIG_NET_SCH_ESFQ_NFCT=y \
CONFIG_NET_SCH_TEQL \
CONFIG_NET_SCH_TBF \
CONFIG_NET_SCH_GRED \
CONFIG_NET_SCH_DSMARK \
CONFIG_NET_SCH_NETEM \
CONFIG_NET_SCH_INGRESS \
CONFIG_NET_CLS=y \
CONFIG_NET_CLS_FW \
CONFIG_NET_CLS_BASIC \
CONFIG_NET_CLS_TCINDEX \
CONFIG_NET_CLS_ROUTE4 \
CONFIG_NET_CLS_U32 \
CONFIG_CLS_U32_PERF=n \
CONFIG_CLS_U32_MARK=y \
CONFIG_NET_CLS_ACT=y \
CONFIG_NET_ACT_POLICE \
CONFIG_NET_ACT_GACT \
CONFIG_GACT_PROB=y \
CONFIG_NET_ACT_MIRRED \
CONFIG_NET_ACT_IPT \
CONFIG_NET_ACT_PEDIT \
CONFIG_NET_ACT_SIMP=n \
CONFIG_NET_CLS_IND=y \
CONFIG_NET_ESTIMATOR \
CONFIG_IFB
Модули для 3.4 @ 2.07:
CONFIG_NET_SCHED=y \
CONFIG_NET_SCH_HFSC \
CONFIG_NET_SCH_INGRESS \
CONFIG_NET_SCH_CODEL \
CONFIG_NET_SCH_FQ_CODEL \
CONFIG_NET_CLS=y \
CONFIG_NET_CLS_ACT=y \
CONFIG_NET_CLS_FLOW \
CONFIG_NET_CLS_FW \
CONFIG_NET_CLS_ROUTE4 \
CONFIG_NET_CLS_TCINDEX \
CONFIG_NET_CLS_U32 \
CONFIG_NET_ACT_MIRRED \
CONFIG_NET_ACT_SKBEDIT \
CONFIG_NET_EMATCH=y \
CONFIG_NET_EMATCH_U32 \
CONFIG_NET_EMATCH_STACK=32
CONFIG_NET_ACT_CONNMARK
CONFIG_NET_SCH_ESFQ \
CONFIG_NET_SCH_ESFQ_NFCT=y
CONFIG_NET_SCH_DSMARK \
CONFIG_NET_SCH_HTB \
CONFIG_NET_SCH_FIFO=y \
CONFIG_NET_SCH_GRED \
CONFIG_NET_SCH_PRIO \
CONFIG_NET_SCH_RED \
CONFIG_NET_SCH_TBF \
CONFIG_NET_SCH_SFQ \
CONFIG_NET_SCH_TEQL \
CONFIG_NET_CLS_BASIC \
CONFIG_NET_ACT_POLICE \
CONFIG_NET_ACT_IPT \
CONFIG_NET_EMATCH_CMP \
CONFIG_NET_EMATCH_NBYTE \
CONFIG_NET_EMATCH_META \
CONFIG_NET_EMATCH_TEXT
- opkg-kmod-usbip (Opkg kernel USB over IP modules / Ядерные модули подсистемы USB over IP для открытых пакетов) (только для ядра 3.4, начиная с версии 2.08.A.8.0-1)
- usb-ip client
- usb-ip server
- opkg-kmod-netfilter-addons (Opkg kernel Xtables-addons modules / Ядерные модули Xtables-addons для открытых пакетов) (только для ядра 3.4, начиная с версии 2.09.A.3.0-7, версия пакета 1.47.1)
Список модулей:
Скрытый текстrawpost
account
chaos
condition
delude
dhcpmac
dnetmap
fuzzy
geoip
iface
ipmark
ipp2p
ipv4options
length2
logmark
lscan
psd
quota2
rawnat
steal
sysrq
tarpitiptable_raw
xt_CT
xt_NOTRACK
Начиная с 2.11 стоит учитывать, что таблица raw монопольно захватывается компонентом netflow и не загружается автоматически.
Если она вам нужна - удалите компонент netflow, и загружайте руками iptable_raw.ko.
Предлагаем всем желающим попробовать и отписаться сюда о результатах.
Мы рады всем отзывам, в том числе если чего-то не хватает или что-то собрано / работает не так, как ожидается.
Писать строго по теме, то есть о том как работают и как не работают (может быть) модули ядра, для обсуждения настроек userspace и прочего флуда идите в другие темы.
-
BanePain а у вас устройства в простое не отключаются от wi-fi? Должны же...
с чего вдруг они должны отключаться?)на других роутерах они не отключаются и всё нормально)здесь же на гиге2 жор бешеный)
я знаю,что есть функции на телефоне wifi в спящем режиме "не выключать,только при питании от сети,всегда выключать"
И смысл мне отключать,если роутер не должен запросы отправлять так часто на смартфон?другие роутеры не отправляют же и спокойно спят
На Keenetic II, Ultra и Giga II используется очень древний по современным меркам чип WiFi (2010 года разработки), поддержка драйвера производителем давно закончена. Потому приходится подтыкать тут и там нетрадиционными методами
-
> interface WifiMaster0 rekey-interval 3600
В 2.05 такой команды нет и добавление не планируется.
А с чем это связано?
Развитие прошивки версии 2.05 законечно, готовится официальный релиз 2.06 для Giga II, Keenetic II и Ultra.
Потому нет смысла перетаскивать это в устаревшую версию, которая скоро уйдет на покой.
Если вы сидите на 2.05 из-за того, что вас что-то не устраивает в 2.06, то лучше помогите нам это поправить, чтобы всем была польза.
-
В свежем билде 2.06 в пятницу (10.06.2016) этот флаг везде по умолчанию будет взведен в 1.
-
В пятницу (10.06.2016) выйдет очередная тестовая draft прошивка 2.06 для Giga II, попробуйте поставить ее.
В ней появилась команда
> interface WifiMaster0 rekey-interval 3600
которая позволяет задать интервал пересогласования сессионных ключей и которая заметно улучшает время жизни подключенных устройств.
Попробуйте задать значение в 3600 или 7200, что означает время в секундах (раз в час или в два).
Слишком большое время тоже ставить не стоит из-за опасности проведения атаки на шифрование посредством собирания большого количества пакетов с одним сессионным ключом.
После этого не забудьте сохранить настройки через
>system configuration save
В 2.05 такой команды нет и добавление не планируется.
А в 2.07 такая команда появится?
Есть с самого рождения.
-
Спасибочки вроди все вышло!
(config)> no ppe hardware Network::Interface::Rtx::Ppe: Hardware PPE disabled. (config)> no ppe software Command::Base error[7405602]: argument parse error. (config)> system set net.ipv4.netfilter.ip_conntrack_fastnat 0 FileSystem::Proc: System setting saved. (config)> system configuration save Core::ConfigurationSaver: Saving configuration...
Base error[7405602] это наверно потому что он уже выключен?
Нет, скорее всего пробел или другой непечатный символ перед "no".
Попробуйте ввести руками, без копирования.
(config)> no ppe software Command::Base error[7405602]: argument parse error.
без изменений! а это сильно может повлиять на трафик? мне, в принципе, нужен примерный подсчет куда стрелять
Тогда попробуйте так
> system set net.core.swnat 0
> system configuration save
Если и тут будет ошибка, то значит программного ускорителя нет и все будет хорошо.
Повлиять может очень сильно, вплоть до того, что трафик не будет захватываться через pcap и утилиты будут показывать погоду на Марсе.
-
Как то не понимаю где писать эти команды? в ssh не то.
В консоли ndmc, которая доступна через telnet.
Спасибочки вроди все вышло!
(config)> no ppe hardware Network::Interface::Rtx::Ppe: Hardware PPE disabled. (config)> no ppe software Command::Base error[7405602]: argument parse error. (config)> system set net.ipv4.netfilter.ip_conntrack_fastnat 0 FileSystem::Proc: System setting saved. (config)> system configuration save Core::ConfigurationSaver: Saving configuration...
Base error[7405602] это наверно потому что он уже выключен?
Нет, скорее всего пробел или другой непечатный символ перед "no".
Попробуйте ввести руками, без копирования.
-
Попробую тогда поставить завтра эту прошивку.
А сейчас по умолчанию сколько стоит интервал на 2.05?
Точное значение не помню, но буквально минуты, что конечно очень безопасно, но вызывает расход батарей.
-
В пятницу (10.06.2016) выйдет очередная тестовая draft прошивка 2.06 для Giga II, попробуйте поставить ее.
В ней появилась команда
> interface WifiMaster0 rekey-interval 3600
которая позволяет задать интервал пересогласования сессионных ключей и которая заметно улучшает время жизни подключенных устройств.
Попробуйте задать значение в 3600 или 7200, что означает время в секундах (раз в час или в два).
Слишком большое время тоже ставить не стоит из-за опасности проведения атаки на шифрование посредством собирания большого количества пакетов с одним сессионным ключом.
После этого не забудьте сохранить настройки через
>system configuration save
В 2.05 такой команды нет и добавление не планируется.
-
1
-
-
Если используете решения из Entware полностью отключите все ускорялки через команды:
> no ppe hardware
> no ppe software
> system set net.ipv4.netfilter.ip_conntrack_fastnat 0
> system configuration save
При этом весь трафик будет идти через обычный netfilter, это будет заметно медленнее (и отжирать больше ЦПУ), но зато все счетчики будут работать максимально корректно.
Как то не понимаю где писать эти команды? в ssh не то.
В консоли ndmc, которая доступна через telnet.
-
Здравствуйте . Ск. пож. для Keenetic Giga 2 существует поддержка ? И где найти её найти ?
3 июня в этой теме я уже отвечал, что в 2.06 для Giga II уже есть поддержка.
Нужно поставить прошивку 2.06 с этого форума, из темы "Тестирование 2.06".
-
Giga II очень массовое устройство, и как бы нам не было сложно, приходится на него тащить многие вещи
-
Огромное спасибо!
Можно еще один вопрос? (возможно глупый)
После организации туннеля возможно ли будет прокинуть порты от роутера с белым ip таким образом, чтобы получить доступ к устройствам за LTE6101 из интернета (присвоить им постоянный внешний ip).
Или IPSec так не работает и доступ будет только из сети за Giga 2?
Пока пробросить порты и использовать IPsec для выхода в Интернет невозможно (это касается особенностей реализации), но в следующие полгода возможно будут подвижки в эту сторону.
-
Добрый день!
Пожалуйста, подскажите, будет ли работать туннель IPSec между Giga II и LTE6101 , если Giga II (сервер) находится за другим роутером? Порты UDP 50 и 500 до него я пробросил, но будет ли этого достаточно?
Нужно обязательно пробросить 500/UDP и 4500/UDP. 50/UDP не нужен.
При этом обязательно нужно использовать в качестве идентификаторов сторон не IP-адреса, а FQDN или e-mail идентификаторы, в противном случае работать не будет.
-
Хоть IPSec и не был активен и никак не отражался в списке маршрутов роутера, все равно как-то влиял на маршрутизацию, не работало.
Ога, это специальная защита.
Если настроено IPsec соединение, то даже если оно не активно, то трафик из сетей, которые совпадают с удаленными для IPsec и трафик, уходящий в сети, которые совпадают с удаленными для IPsec полностью блокируется.
Это сделано чтобы случайно обмен не пошел по открытому каналу и не утекли важные данные.
-
Если используете решения из Entware полностью отключите все ускорялки через команды:
> no ppe hardware
> no ppe software
> system set net.ipv4.netfilter.ip_conntrack_fastnat 0
> system configuration save
При этом весь трафик будет идти через обычный netfilter, это будет заметно медленнее (и отжирать больше ЦПУ), но зато все счетчики будут работать максимально корректно.
-
Превосходно, что вы раскопали tc, однако он не решает проблему, указанную пользователем в первом посте.
Трафик от провайдера все равно будет идти на полной скорости, и только потом уже в роутере будет дропаться/приоритезироваться.
В итоге самая главная проблема - перегрузка канала на download - никак не решена, только создается видимость наличия ограничений для пользователя, при том что кино все равно будет лагать.
И вторая по важности проблема - простая для пользователя настройка - тоже никак не вяжется с tc. Для его успешной работы все параметры надо подбирать для каждого провайдерского канала индивидуально, иначе он либо не будет работать, либо будет это делать сильно неэффективно.
Если так хочется - в entware есть tc, флаг вам в руки.
Ну что ж ладно, благо руки есть интернет под боком так же, да и роутеров в продаже по боле, а не один только вид.
Только вот еще есть один "антиквариат" http://www.allnet.de/de/allnet-brand/pr ... an-router/ на железе с RT6856, в котором функций по более.
- Hardware: MTK RT6856-700MHz; 16MB Flash; 128MB DRAM
- Schnittstellen:
1~2x WAN Port
3~4x LAN 10/100 Mbps RJ45
- QoS Bandbreitenmanagement:
Smart QoS; Bandwidth Management; Session Control by IP
- L7 Management:
L7 Management Blocking; VIP Priority Channel; L7 QoS
- NAT:
One-to-One NAT/DMZ/Virtual Server; UPnP Support; Static Routing
- Firewall:
SPI/DoS Detect; Attack Logging; Access Control; URL/Keyword Filter
- DDNS:
DynDNS; NO-IP
Если взять GPL то можно увидеть ядро на 2.6.36МТ.х и так же :
...bool 'Software QoS' CONFIG_RALINKAPP_SWQOS
if [ "$CONFIG_RALINKAPP_SWQOS" = "y" ]; then
define_bool CONFIG_USER_IPROUTE2 y
define_bool CONFIG_USER_IPROUTE2_TC y
fi
...
tc (точнее соответствующая ему ядерная часть) есть и в 2.6.22, и в 2.6.36, и в 3.4. В этом ни у кого нет сомнений.
Что сказать-то хотели?
-
Это тупой пропуск Ethernet-фреймов c Ethertype 0x86DD (IPv6) с одного интерфейса на другой и обратно.
IPv6 Firewall в этом не участвует.
-
Жду конструктивных предложений по эффективной и простой для настройки со стороны пользователя реализации этой фичи.
Например так как на скрине.
Вопрос только это все реализовывается через сервис "tc" => но его нет ?
tc qdisc add dev root handle 1: htb default 30 tc class add dev $WAN parent 1: classid 1:1 htb rate ${UP}kbit prio 1 quantum 1518 (MTU+18) tc class add dev $WAN parent 1:1 classid 1:100 htb rate ${UP}kbit prio 1 quantum 1518 tc class add dev $WAN parent 1:1 classid 1:2 htb rate ${UP}kbit prio 3 quantum 1518 tc class add dev $WAN parent 1:2 classid 1:10 htb rate $((70*${UP}/100))kbit ceil ${UL}kbit prio 3 quantum 1518 ... tc filter add dev $WAN protocol ip pref 1 handle 0x64 fw classid 1:100 tc filter add dev $WAN protocol ip pref 3 handle 0x0A fw classid 1:10 ...tc qdisc add dev $5 root handle 1: htb default 30 tc class add dev $imq_wan parent 1: classid 1:1 htb rate ${DW}kbit prio 1 quantum 1518 tc class add dev $imq_wan parent 1:1 classid 1:100 htb rate ${DW}kbit prio 1 quantum 1518 tc class add dev $imq_wan parent 1:1 classid 1:2 htb rate ${DW}kbit prio 3 quantum 1518 tc class add dev $imq_wan parent 1:2 classid 1:10 htb rate $((70*${DW}/100))kbit ceil ${DW}kbit prio 3 quantum 1518 ... tc filter add dev $imq_wan protocol ip pref 1 handle 0x64 fw classid 1:100 tc filter add dev $imq_wan protocol ip pref 3 handle 0x0A fw classid 1:10 ...Превосходно, что вы раскопали tc, однако он не решает проблему, указанную пользователем в первом посте.
Трафик от провайдера все равно будет идти на полной скорости, и только потом уже в роутере будет дропаться/приоритезироваться.
В итоге самая главная проблема - перегрузка канала на download - никак не решена, только создается видимость наличия ограничений для пользователя, при том что кино все равно будет лагать.
И вторая по важности проблема - простая для пользователя настройка - тоже никак не вяжется с tc. Для его успешной работы все параметры надо подбирать для каждого провайдерского канала индивидуально, иначе он либо не будет работать, либо будет это делать сильно неэффективно.
Если так хочется - в entware есть tc, флаг вам в руки.
-
Товарищи, не планируется ли реализация полноценного сервера vpn на наших девайсах, а не тот куцый что есть сейчас только с PPTP, хотелось бы l2tp шифрование и ему подобное.
Что такое "l2tp шифрование"? Что такое "ему подобное"?
запятую пропустил, а насчет ему подобного ipsec не не слышал??
Не, вы что, вообще в первый раз все эти слова вижу.
-
2
-
Настройка IPsec для NDMS
in Обсуждение IPsec, OpenVPN и других туннелей
Posted
Я обычно не особо в курсе насчет того, что обещает людям менеджмент, но вот тут они явно захотели ограничение в два туннеля. Думал что где-то это отражено.