Le ecureuil
-
Posts
9,482 -
Joined
-
Last visited
-
Days Won
543
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by Le ecureuil
-
-
21 час назад, sakhard сказал:
Здравствуйте! На трех компах с Windows 10 вдруг перестало работать VPN SSTP подключение (keenDNS). До этого все работало.
При попытке подключения пишет "Истек/не наступил срок действия требуемого сертификата при проверке по системным часам или по отметке времени в подписанном файле".
Роутер Keenetic 4G III, прошивка последняя 2.15.С.6.0-1. Часы настроены верно. На компах Windows с последними обновлениями. Никакие настройки за это время не менялись.
При подключении вручную через браузер к <host>.keenetic.name также выдает ошибку ssl сертификата. Можно подключиться, подтвердив исключение безопасности.
Пробовал переустановить сертификат ISRG Root (RSA 4096, O 😃 Internet Security Research Group, CN = ISRG Root X1) - не помогло.
В чем может быть дело?
Покажите вывод
ip http ssl acme list-
1
-
-
connect via спроектирован так, что исходящий трафик он стремится пускать по определенному WAN, но входящий разрешен отовсюду. Для ZT такое поведение, конечно, недопустимо - он лезет везде. Для Wireguard, учитывая, что он сам всегда является инициатором обмена - это ок.
-
В 02.04.2024 в 13:13, Denis P сказал:
Точно так же как и описано в первом посте темы, указанием dns сервер'а в wg подключении
Ну вот смотрите.
Приходит DNS запрос из локальной сети от клиента 192.168.1.5 на 192.168.1.1:53 (этот клиент в основной политике) и приходит DNS запрос из локальной сети от клиента 192.168.1.6 на 192.168.1.1:53 (этот клиент в политике Wireguard). Подскажите, как без редиректа второго клиента "разделить" потоки DNS запросов и обслуживать их "персонально"? Сейчас для разделения весь трафик DNS с хоста 192.168.1.6 направляется редиректом в другой порт, а там слушает другой экземпляр DNS-proxy с другими апстримами. Если убрать редирект, они пойдут все в основной.
-
Нет людских ресурсов для старых веток. Я даже сейчас legacy отложил совсем, потому что нет времени. delta тоже страдает, задержка по паре месяцев.
-
3 часа назад, Alexey104 сказал:
Обновился до 4.1.3 - проблема не устранена:
[I] Apr 3 14:47:44 ndm: Dns::Manager: updating DNS-over-HTTPS servers addresses. [I] Apr 3 14:47:44 ndm: Dns::Secure::Tools: fallback to recursive DNS to resolve "dns.cloudflare.com". [I] Apr 3 14:47:44 ndm: Dns::Secure::Tools: unable to obtain addresses for "dns.cloudflare.com". [I] Apr 3 14:47:44 ndm: Dns::Secure::DohConfigurator: "System": skip service "https://dns.cloudflare.com/dns-query", wait for bootstrap. [I] Apr 3 14:47:44 ndm: Dns::Secure::Tools: fallback to recursive DNS to resolve "anycast.dns.nextdns.io". [I] Apr 3 14:47:44 ndm: Dns::Secure::Tools: unable to obtain addresses for "anycast.dns.nextdns.io". [I] Apr 3 14:47:44 ndm: Dns::Secure::DohConfigurator: "System": skip service "https://anycast.dns.nextdns.io/dns-query", wait for bootstrap.Ну, ладно, подождём ещё тогда.
self-test нужен.
Причем в случае с рекурсивным бутстрапом это иногда занимает пару минут, попробуйте подождать.
-
Покажите-ка self-test, возможно UPnP 443 порт прокидывает.
-
17 часов назад, vasek00 сказал:
ОК
1. Два канала + WG. Профиль по умолчанию - RT (основной) далее Inet-2 (резервный). Есть еще один профиль в котором только WG.
2. И так клиент в отдельном профиле в котором только олин канал WG (согласно настроек он должен идти по каналу Inet-2 - "connect via GigabitEthernet0/Vlan9"
3. Проверяем, speedtest показывает да 104.28.xx.xx т.е. клиент вышел через нужный WG. Но посмотрим через какой канал он выходит
traceroute на сервер WG показывает так же канал через PPPoE0.
Где еще что нужно посмотреть.
Есть еще один на FineVPN для пробы там сервер на мнемонике, но если ставим его IP (после определения) - WG так же работает на основном канале. Стоит сменить его на interface Wireguard4 wireguard peer y0OzAW7+o2ZJEysGQSqs19zTtWKh0TELxmTmEX8IkD8= connect via GigabitEthernet0/Vlan9
interface Wireguard4 wireguard peer y0.....D8= connect via GigabitEthernet0/Vlan9Устанавливаться вообще не хочет. Вкл./выкл. ползунка на WG не помогает.
Апр 2 14:49:52 ndm Network::Interface::EndpointTracker: "Wireguard4": "y0......D8=": remote endpoint is "141.98.87.10". Апр 2 14:49:52 ndm Network::Interface::EndpointTracker: "Wireguard4": "y0......D8=": connecting via "GigabitEthernet0/Vlan9" (GigabitEthernet0/Vlan9). Апр 2 14:49:52 ndm Network::Interface::EndpointTracker: "Wireguard4": "y0......D8=": local endpoint is "10.10.98.12". Апр 2 14:49:52 kernel wireguard: Wireguard4: peer "y0....D8=" (16) created Апр 2 14:49:54 ndm Core::System::StartupConfig: configuration saved. Апр 2 14:49:57 kernel wireguard: Wireguard4: handshake for peer "y0....D8=" (16) (141.98.87.10:хххх) did not complete after 5 seconds, retrying (try 2) Апр 2 14:50:02 kernel wireguard: Wireguard4: handshake for peer "y0....D8=" (16) (141.98.87.10:хххх) did not complete after 5 seconds, retrying (try 3)Стоит добавить "connect" на данный WG то все ОК.
interface Wireguard4 wireguard peer y0.....D8= connectЭто на последней 4.2 такое?
-
Реализовано открытие порта и bind только на актуальный адрес.
Будет доступно уже в следующей 4.2.
Давайте проверим, возможно удастся обойтись и без команды.
-
1
-
-
В 09.02.2024 в 08:52, vasek00 сказал:
Решено частично, т.е. при перезагрузке роутера все ОК, но при ручном выкл/вкл WG в WEB роутера он WG не поднимается.
Канал проводной на DHCP и выделенный LAN порт - "GigabitEthernet0/Vlan9"
Если же в место "connect via GigabitEthernet0/Vlan9" просто "connect" и со стат маршрутом до данного сервера "from 212.ххх.ххх.ххх" через интерфейс Inet-2 вопросов не возникает как при перезапуске, так и при вкл/выкл в Web роутера.
Пробовал много раз, не воспроизводится.
Нужна дополнительная информация.
-
19 часов назад, Denis P сказал:
предполагалось что dns-override полностью отключает прокси для клиентов и запросы должны ходить напрямую к тем днс, которые указаны в подключении из "не основной" политики
собственно как и чекбокс "транзит запросов"
А как вы прописываете DNS в "не основную" политику?
-
А вы резервный канал сделали security-level private с другой стороны (на сервере)? А включили на нем NAT?
Проще вам еще один WG между точками поднять, но только для интернета - и его уже сделать private, и на нем сделать NAT.
-
2 часа назад, gaaronk сказал:
И еще зеротир на старте слушает рандомный порт. Но этот порт не открывается на вход на WAN интерфейсах. И если другой узел стучится к нам напрямую - беда-печаль.
Приходится задавать статичные secondaryPort и tertiaryPort и их прописывать в ACL руками на вход в WAN интерфейс...
Ok, это тоже приделаем.
-
2
-
-
1 час назад, SySOPik сказал:
Ну отчасти правда, дешевый Китай работает очень так себе. Прошивки раз в год, если повезет, может и того меньше.
Однако кинетик в плане стабильности прошивок за последний год-два тоже субъективно прям не айс. То обновление кривое на серверах положило все кинетики, то глюк пинг-чека с отвалом гейта (кстати новые узлы проверки в авторежиме, за год, так и не добавились), то DOT/DOH с WG/IP-Sec периодически с "фичами". Причем много глюков инфраструктуры тянут за собой отвал работы роутера, то есть при нештатной работе клауд сервисов он превращается в "кирпич" и например кнопкой FN временно его превратить в "тупой роутер" не получится.
PS. Прошу прощения за оффтоп, конструктивная критика о наболевшем.
Прошу как можно раньше на этапе драфтов тестировать и сообщать, "узкие" фичи кроме как силами энтузиастов протестировать невозможно.
-
1 час назад, KeyYerS сказал:
Имелось ввиду, что у них в продаже для клиентов нет Кинетиков. Что "ставят" клиенту при подключении к услуге "Инет" самый дешман - понятно.
Исключительно маркетинговое дело провайдеров. Они хотят дешево от производителя, а самим наценку конскую в карман класть. Нам это невыгодно. К технической части имеет отношение в пятой-десятой степени.
-
UDP поправлен.
-
22 часа назад, Denis P сказал:
да, действительно воспроизводится, если в дополнительном сегменте назначить политику не по умолчанию.
Если же политику назначать отдельным клиентам, подобного поведения нет
Это, скажем так, известная особенность. Альтернативой ей может быть просто блокировка всего DNS в политике.
Предложите ваше видение, как dns-override должен сосуществовать с политиками.
-
-
1 час назад, gaaronk сказал:
Абсолютно не спасает
interface ZeroTier0 security-level public ip dhcp client dns-routes ip access-group _WEBADMIN_ZeroTier0 in zerotier accept-addresses zerotier no accept-routes zerotier network-id ХХХХХХХХХХХ zerotier connect via PPPoE0 lldp disable up !Слушает на всех IP на ВСЕХ интерфейсах
посмотрел WG туннель через
tcpdump -nvi nwg1 udp
Зеротир туда гонит трафик.
Понял, спасибо, будем работать.
-
1
-
-
А разве connect via не спасает?
-
You can obvoiusly speedup integration by showing us opensource pure-C implementation of DoQ proxy. Go is not an option.
Вы можете ускорить интеграцию, показав нам открытую реализацию DoQ-прокси на C. Go не подходит.
-
В 30.03.2024 в 11:35, keenet07 сказал:
Действительно, перенос "Домашняя сеть" из "Без доступа в интернет" в "Политика по умолчанию" в Приоритетах подключений помогло. Интернет появился.
Хотя тоже, все целевые устройства были зарегистрированы.
На 4.2 Alpha 2 ошибка всё ещё присутствует. Ждем исправлений.
Пришлите self-test когда не работает, и когда работает.
-
В 30.03.2024 в 23:50, KeyYerS сказал:
Никто из провайдеров Кинетики клиентам не предлагает и у себя не продаёт - есть только "д-линки", "тэпэлинки" или "сиэнэры".
Провайдеры выдают что подешевле и одной ногой сделанное, и наплевать на качество.
-
1
-
-
20 часов назад, snark сказал:
В текущей настройке udp остаётся на порту который указан в конфиге ocserv.conf. Приходится для него отдельно открывать порт
+ иногда появляется ошибка
На новом draft таймауты немного подправлены, больше быть не должно. А вот про UDP - поправлю.
-
Да, не хочу туда лезть просто так.
-
1
-
SSTP-сервер и клиент
in Обсуждение IPsec, OpenVPN и других туннелей
Posted
Нужно зайти на Keenetic через telnet, например через putty.