-
Posts
9,482 -
Joined
-
Last visited
-
Days Won
543
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by Le ecureuil
-
-
@snark в self-test не включен debug на OpenConnect0.
-
В 13.04.2024 в 19:40, keenet07 сказал:
4.2 Alpha 4
В веб-интерфейсе ещё ничего не присутствует? Ни сервер, ни клиент?
Пока еще нет.
-
В 13.04.2024 в 12:56, Dr.ZuLuS сказал:
А подскажите полный список команд для коннекта клиента openconnect к серверу.
Сделал openconnect upstream ip port
openconnect authenticate identy username
openconnect authenticate password password
Интерфейс поднимается, но Коннект Стейт down.
interface Openconnect1 up делал
Пробовал прописать ip для интерфейса, это тоже не помогло.
Вам все то же самое - включить debug и снимать логи.
-
1 час назад, snark сказал:
Кинетик OpenConnect клиент - работать не хочет, сервер к которому подключаюсь рабочий, селф приложил,
Апр 13 11:11:33
ndmNetwork::Interface::Ip: "OpenConnect0": IP address cleared.Апр 13 11:11:36ndmService: "OpenConnect0": unexpectedly stopped.Апр 13 11:11:36Попробуйте с
interface OpenConnect0 debug
снять self-test. -
Спасибо за репорт!
Пока можете попробовать "почнить" через установку DNS руками: скажем 8.8.8.8 или 1.1.1.1 именно на 6to4 подключении, скорее всего поможет. Туда же и IPv6 можно добавить:
2001:4860:4860::88882001:4860:4860::8844
- 1
-
В итоге в выходящем 4.2 будет включено на всех устройствах с более чем 32 МБ flash - то есть на всех, кроме моделей на MT7628 и KN-3010.
- 1
- 1
-
10 часов назад, vasek00 сказал:
Это еще пол беды, при заливки конф файла обратно (рабочего после исправления всех настроек, клиенты работают) - все возвращается опять на свое место, т.е. при установленной для сегмента настроена политика "без доступа в интернет", а зарег. имеют.
ip hotspot policy Home deny ******************* host хх:хх:хх:хх:хх:68 permit host хх:хх:хх:хх:хх:68 conform
снова и снова "confotm" прописывается для каждого зарег устройства.
conform всегда ставится автоматически, если нет другой политики. Это нормально и правильно.
А вот то, что не работает запрет доступа - это другое, conform по идее этому ортогонален. Это будем чинить.
- 2
-
11 час назад, dimon27254 сказал:
@Le ecureuil и ещё один небольшой вопросик к вам.
Параметр conform предназначен только для раздельного управления политиками доступа к интернету зарегистрированным и незарегистрированным устройствам сегмента, или с его использованием возможны (или ожидаются) ещё какие-то фичи?
В случае с conform хост следует за политиками сегмента, если же не conform, а есть выделенная политика для этого хоста, то применяется только она. Все, больше без хитростей.
- 1
-
2 минуты назад, Ruslan Y сказал:
Прискорбно, пора обновлять виву на что-то новое. Вот прям сейчас протыкал (РБ)
dnslookup example.org h3://dns.google/dns-query - пока ещё работает
dnslookup example.org https://dns.google/dns-query - не работает
dnslookup example.org tls://dns.google - не работает
Подозреваю что DoT будет резаться вообще весьА полез я в это всё тыкаться потому что после обновления до 4.1.3 на Viva 1910 спустя несколько часов после ребута все запросы к DNS начинают возвращать таймауты
Viva тоже будет добавлена, но попозже - у нас очень много моделей, нужно по всем пробежаться, чтобы выяснить что там с размером flash.
-
Нет там никакого quiche, openssl + nghttp3 + curl. Однако места все это добро занимает на flash, и на SPI-устройства я это включать не буду (потому что DoH всходит в рекомендованный набор, и он перестанет влезать у многих), только на те, где flash 128 и выше.
- 1
-
Поддержка DoH HTTP/3 появится на устройствах с >= 256 Мбайт ОЗУ в следующей версии 4.02.
- 1
- 5
-
DoH support for HTTP/3 will appear for models with >= 256 MB RAM in the next 4.2 release.
- 2
-
19 часов назад, r13 сказал:
и на том спасибо!
Открыл, в следующей 4.2 будет.
- 1
-
В 04.04.2024 в 12:29, ValdikSS сказал:
Если бы было именно так, то и проблемы бы не было.
А проблема в том, что запросы на любой_ip_адрес:53 перенаправляются на 192.168.1.1:53.
Готово, в следующей 4.2 будет.
- 1
-
19 часов назад, r13 сказал:
@Le ecureuil Опять дискриминация! Дырка открыта в ipv4, в ipv6 закрыто
У нас connect via толком не умеет в IPv6, потому дырку откроем, но bind() на ipv6-адреса все равно не будет работать.
-
22 часа назад, Sergey_3861661 сказал:
Здравствуйте. А есть ли руководство как поднять OpenConnect на Keenetic "от "А" до "Я". Что бы не разбираться в глубинах технологий.
Если не хочется от а до я, то чуть обождите - он скоро появится в веб в таком же простом виде, как и SSTP.
- 2
-
Была обнаружена проблема с truncated-битом при рекурсивном резолвинге, в следующих версиях 4.1 и 4.2 будет поправлено.
- 2
- 3
-
В 04.04.2024 в 12:29, ValdikSS сказал:
Если бы было именно так, то и проблемы бы не было.
А проблема в том, что запросы на любой_ip_адрес:53 перенаправляются на 192.168.1.1:53.
Ok, теперь стало понятнее. Попробуем это решить.
-
K PPTP подключается клиент из локалки, или тот же самый кинетик?
-
Пока никак, будет чуть позже реализовано.
-
Конечно все также и останется, пока self-test не пришлете.
-
В 06.04.2024 в 10:19, gaaronk сказал:
Добрый день!
По быстрому проверил. Да, работает bind на интерфейс. Порт открывается.
По сути слушается стандартный порт 41500. Так же ZT слушает дополнительный рандомный UDP порт, но это дело такое.
Например
# netstat -anp | i zero tcp 0 0 10.184.101.197:63916 0.0.0.0:* LISTEN 1116/zerotier-one tcp 0 0 10.184.101.197:41500 0.0.0.0:* LISTEN 1116/zerotier-one tcp 0 0 127.0.0.1:41500 0.0.0.0:* LISTEN 1116/zerotier-one tcp 0 0 ::1:41500 :::* LISTEN 1116/zerotier-one udp 0 0 10.184.101.197:63916 0.0.0.0:* 1116/zerotier-one udp 0 0 10.184.101.197:41500 0.0.0.0:* 1116/zerotier-one
Если интерфейсу сделать down - из firewall порт не убирается. Но опять же это не no interface .... а просто down.
Со сменой адреса на IP WAN интерфейсе отрабатывает корректно
Да, порт резервируется сразу при создании интерфейса и он его "держит" до удаления. Другое ничего там не появится, потому не страшно.
Насчет secondary port - пусть будет, жить не мешает.
-
6 часов назад, gaaronk сказал:
Что еще заметил
Команда ip arp на зеротире не работает правильно.
При включении/ребуте статическая запись появляется, но потом видимо интерфейс меняет свой статус и все... все пропадает.
То есть, если выполнить no zerotier network-id, то запись пропадет, а если опять вступить в сеть, то не появляется?
-
Покажите дамп трафика к роутеру с запросами NTP, посмотрим что отвечает Keenetic. А пока дампа нет, то и "неработащего NTP" нет.
QUIC DNS
in Feature Requests
Posted
Нет, слишком много возни и усилий ради очень узкой прослойки. Работает он нормально, но поскольку dns-https находится в базовой версии, то он появится у всех, и вызовет проблемы при автообновлении из-за возросшего размера. Отдельные же компоненты придется поддерживать, и обьяснять владельцам других моделей, почему у них один, а не два. Рост бестолковой нагрузки на поддержку нам не нужен.