Jump to content

Le ecureuil

Forum Members
  • Posts

    9,310
  • Joined

  • Last visited

  • Days Won

    533

Community Answers

  1. Le ecureuil's post in Отвал PPTP клиентов was marked as the answer   
    Попробуйте на vpn-сервере увеличить интервал lcp эхо через 
    > vpn-server lcp echo 180 6
    > system configuration save
  2. Le ecureuil's post in [REQ] NextDNS Profile Button was marked as the answer   
    It's rather strange to insert link just to login page. We are considering to add personal links to all profiles. Stay tuned )
  3. Le ecureuil's post in На KN1810 не выгружается selftest 2 was marked as the answer   
    Благодаря @r13 найдена причина, будет исправлено в выпуске 3.6.A12.
  4. Le ecureuil's post in dns-proxy: задваивается вывод информации в cli was marked as the answer   
    Второй - он из Policy0. Но там видимо запросов нет, потому и нулевые значения.
    Запускается по одному серверу DNS для каждой политики, потому их может быть много.
  5. Le ecureuil's post in Baddy 5s - отсутсвует компонент wpa-enterprise was marked as the answer   
    В 3310/3410 случайно оказался отключен в сборке. В следующих релизах все будет.
  6. Le ecureuil's post in Community Firmware was marked as the answer   
    В версии 3.7 появился Keenetic SDK.
  7. Le ecureuil's post in nf_conntrack: unable to save third interface ... was marked as the answer   
    В 3.6.B.0 должно стать лучше.
  8. Le ecureuil's post in Проблема с DNS на LAN-клиентах was marked as the answer   
    @Leksey118 прошу прощения за столь долгий ответ - был занят.
    Вообще, настройки очень странные - аж на трех интерфейсах одинаковые DNS-сервера...
    Но нашел небольшой баг, который приводил к неработоспособности в proxy - в следующем выпуске должно быть поправлено.
  9. Le ecureuil's post in Возможность выбора "TCP/UDP" при настройке правил NAT was marked as the answer   
    Реализовано в 3.5 Alpha 16
  10. Le ecureuil's post in IKEv2VPN: "VirtualIPServerIKE2": out of memory [0xcffe12f5] was marked as the answer   
    Причина найдена, должно быть поправлено в следующих сборках.
  11. Le ecureuil's post in выбор интерфейса подключения DoT was marked as the answer   
    Явно настроить совсем разные DNS для разных политик пока невозможно. Можно только указать, какие будут использованы в той или иной из общих.
  12. Le ecureuil's post in Циклическая перезагрузка IPSec туннелей was marked as the answer   
    Будет поправлено в следующих релизах.
  13. Le ecureuil's post in ip nat - не принимает маску цифрой was marked as the answer   
    Поправлено.
  14. Le ecureuil's post in "Timer": lock precedence violation: IPV6_SUBNETS (22) after NETFILTER_TABLE was marked as the answer   
    Поправлено, появится в следующей сборке.
  15. Le ecureuil's post in Трафик незарегистрированных устройств - 0 байт was marked as the answer   
    На публичной точке доступа ежедневная проходимость может быть и до десятка тысяч уникальных хостов в гостевом сегменте в день.
    Предлагаете для всех них хранить информацию и тратить процессор?
  16. Le ecureuil's post in контроль доступа was marked as the answer   
    Нашли хитрый и закопанный баг, починено. В следующих сборках будет поправлено.
  17. Le ecureuil's post in Лаги TCP на третий день аптайма was marked as the answer   
    Всем спасибо, найдено и починено.
    Если кратко, то причина была в росте размера структуры tcp_skb_cb, которая начала конфликтовать с флагами ppe software, из-за чего когда байт в skb->cb[46] становился равен 0x4 происходил отброс пакетов.
    Вообще нужно отметить странную политику расположения полей с tcp_skb_cb в ядре 4.9. Если поменять поля в union tx : оба skb_mstamp поставить в начале (они требуют выравнивания по 8), а u32 в конце, то структура будет занимать не 48, а 44 байта. И такой проблемы никогда бы ни было. Ну да ладно. И проявляется это кстати везде, а не только на 7621 - но на нем локальный трафик заметнее и чаще используем.
    Хочется сердечно поблагодарить всех за упорные репорты этой проблемы - без них мы бы не поняли реальную важность, и сочли бы ее возможным аппаратным багом или глюками ПО на клиентах - что, на нашей практике, бывает все же чаще.
    Но отдельная благодарность объявляется господину @KorDen за настойчивость, исследование и выделение минимального сетапа для воспроизведения ситуации. Также он был первым, кто обратил внимание на связь jiffies с потерями (мы и сами до самого конца не верили, что дело в этом) и выявил конкретный диапазон. И его догадка в итоге привела нас к разрешению ситуации. Еще раз хочется отметить, что это был не просто наброс в стиле "не работает, быстро чините, б...дь" или "после обновления не стоит, жена ушла к другому, сын гей"; а технически выверенный репорт с указанием как воспроизводить (и даже скриптом).
    За этот образцовый багрепорт @KorDen отблагодарим самым новым и крутым устройством, которое появится уже скоро.
    Еще раз всем спасибо.
  18. Le ecureuil's post in Занятый 78.47.125.180:80 was marked as the answer   
    Короче сделали команду
    > no ip http easy-access
    оно уже доступно в 3.01 beta, и отключает bind на :80 если порт сменен.
  19. Le ecureuil's post in Разрешение не стандартных доменов при включенном DoT/DoH was marked as the answer   
    Спасибо за подсветку проблемы.
    Сейчас этот функционал на самом деле работает, но провайдеры перехватывают нешифрованные dns и тупо их блокируют (в том числе и запросы в зону .lib).
    Потому нашел вам кучку opennic-серверов, которые умеют dot и doh.
    Добавляйте их к обычным dot/doh серверам, и все будет работать:
    https://servers.opennic.org/edit.php?srv=ns10.de.dns.opennic.glue
    https://servers.opennic.org/edit.php?srv=ns12.nh.nl.dns.opennic.glue
    https://servers.opennic.org/edit.php?srv=ns8.he.de.dns.opennic.glue
    https://servers.opennic.org/edit.php?srv=ns31.de.dns.opennic.glue
     
    Прямо сейчас не поддерживаются DoH-сервера с указанием порта в uri, но в следующих релизах это будет поправлено.
  20. Le ecureuil's post in Интернет-фильтр AdGuard не определяется was marked as the answer   
    Да, ситуация воспроизвелась, но, формально говоря, это не ошибка - это следствие работы фильтра.
    При включенных интернет-фильтрах у нас включается блокировка транзитного DoH и DoT - чтобы никто не смог убежать наружу сквозь фильтры.
    При этом adguard проверяет себя через https-запрос на 443 порт на свои же домены и сервера, используемые для DNS - а мы этот транзит блокируем, потому что считаем его "попыткой пробежать мимо".
    Вот он и не показывает сам себя.
    Потому призываю всех не беспокоиться, все работает как заявлено, и даже еще жестче в плане блокировки утечек 
  21. Le ecureuil's post in SSL сертификат на домены 4го уровня was marked as the answer   
    Начиная с 2.15 выдается wildcard-сертификат, который покрывает все домены 4 уровня автоматически.
  22. Le ecureuil's post in Не работает защита от брутфорса веб-интерфейса по HTTPS was marked as the answer   
    В итоге под пристальным взором нашли источник проблемы.
    Порт действительно блокируется на вход, и сессии все уничтожаются - тут вопросов нет.
    Однако web-сервер в таком случае не закрывает соединение, и пытается доотправить данные клиенту (или просто происходит TCP retransmit, что не суть важно).
    При этом побочно создается новая _исходящая_ сессия к браузеру, через который он все-таки умудряется пролезать и продолжать работать - из-за HTTP Keepalive сессии у браузера тоже завершаются не мгновенно.
    Поскольку сессия получается "исходящей", она не блокируется по условию и не очищается.
    Всем спасибо за репорты, в следующих релизах будет исправлено.
     
    Прямо сейчас это неактуально для ботов, потому что большинство из них закрывают TCP-сессию при отлупе, а это обрывает соединение.
  23. Le ecureuil's post in Приоритетное подключение для Transmission was marked as the answer   
    Реализовано только в 3.1.
  24. Le ecureuil's post in После обновления до 2.11.D.2.0-3 на Zyxel Keenetic DSL перестает работать веб-интерфейс. was marked as the answer   
    На 2.0-5 должно быть все нормально.
  25. Le ecureuil's post in Пользовательские скрипты was marked as the answer   
    Если вы включите Интернет-фильтр, то все запросы "мимо", включая даже dot/doh мимо - будет завернуты на роутер или дропнуты. Такая штука существует для plaintext udp/53 и tcp/53 еще с 2.06, а для dot/doh появилась в 3.0.
    Что еще осталось, кроме black-list?
    Запуск скриптов по cron считаю избыточным, потому что в системе без opkg это излишество (скрипты хранить негде), а с opkg вы так и так можете поставить cron.
×
×
  • Create New...