Marat0Sh
-
Posts
13 -
Joined
-
Last visited
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by Marat0Sh
-
-
Добрый день!
При настройке site-to-site IPsec не работают дополнительные подсети, работает только самая первая. Например при такой настройке:
Будет доступна только подсеть 192.168.16.0/24, но остальные доступны не будут, если поставить на первое место к примеру 192.168.12.0/24, то доступ к ней появится, но пропадёт к 192.168.16.0/24 и всем остальным и так далее, то есть доступ имеется только к той подсети, которая будет указана самой первой, остальные доступны не будут. Self-test отдельным сообщением прилагаю.
-
15 часов назад, Tammy сказал:
Все это было уже давно сделано, работает все кроме ssh. Повторюсь еще раз, вылезает после установки поверх старой в логе
dropbear[8147]Early exit: Bad buf_getptrМне помогло удалить ключи из папки /opt/etc/dropbear (саму папку дропбир оставить) и пересоздать ключи заново, добавив флаг -R в init.d скрипт /opt/etc/init.d/S51dropbear в секцию start ()
start() { $DROPBEAR -R -p $PORT -P $PIDFILE
Ну и перевоткнуть флэшку.
После того, как ключи создадутся, флаг -R можно убрать.
- 1
- 1
-
В итоге поставил из репозитория entware версию 2.0.14 (просто скопировал в папку /opt/sbin с заменой) и заработало. До этого стояла версия 2.0.15 из официального репо, работала хорошо, почему вдруг перестало - не понятно, никакие настройки в роутере и в самом entware не менял. Тем не менее может кому пригодится.
-
Подскажите пожалуйста, сегодня перестал запускаться dnscrypt-proxy, в логах выдаёт:
[CRITICAL] Unable to use source [public-resolvers]: [Get https://download.dnscrypt.info/resolvers-list/v2/public-resolvers.md: x509: failed to load system roots and no roots provided]
Гугл говорит, что это из-за отсутствия корневых сертификатов, нужно ставить ca-certificates и ca-bundle, установив их ничего не изменилось, та же ошибка.
-
21 минуту назад, vlad сказал:
Спасибо за ответ. Попробую на строить в связке с dnscrypt-proxy2. Если не получится то придётся отказаться от этой идее и вернутся к статическим маршрутам через тор.
Если получится, напиши пожалуйста как настраивал.
-
10 часов назад, Le ecureuil сказал:
Роутер запрограммирован на автопродление сертификатов начиная с 61 дня его выдачи (то есть за 29 дней до окончания действия, как рекомендовано в официальном LE Guide). Он будет ежедневно предпринимать попытки переполучения, пока они не увенчаются успехом.
То есть 80ый порт снаружи должен быть всегда открыт, чтобы сертификат успешно выдался?
-
15 минут назад, Le ecureuil сказал:
@Marat0Sh Меня смущает вот эта штука:
>> ip static tcp PPPoE0 80 192.168.1.1 80
Что это такое?А вообще LE не может достучаться до вашего роутера чтобы проверить его работу. Проверьте, что снаружи 80 порт доступен для всех например через looking glass: http://www.dc77.ru/technical_information/lg/
Большое спасибо! Действительно снаружи порт 80 был закрыт, хотя из локалки через внешний IP на 80ый порт он меня пускал. Подкорректировал одно правило в межсетевом экране и доступ появился и сертификат также успешно сгенерировался. И ещё вопрос, правильно ли я понимаю, что сертификат сгенерировался только на 3 месяца? Если да, то потом нужно будет самому опять генерировать новый, или роутер сам его продлит?
-
23 минуты назад, Lordmaster сказал:
прикрутить Proxy Auto Configuration (PAC)
Не подскажите как прикрутили PAC?
-
Подскажите пожалуйста, пытаюсь настроить тор по данной инструкции, хочу чтобы в локальной сети через тор открывались только заблокированные или onion сайты, но что-то не срабатывает, не могу понять что, при попытке открыть допустим рутрекер вылезает:
файл /opt/etc/tor/torrc выглядит следующим образом:
PidFile /opt/var/run/tor.pid DataDirectory /opt/var/lib/tor ExcludeExitNodes {RU} VirtualAddrNetwork 10.192.0.0/10 # виртуальные адреса для .onion ресурсов AutomapHostsOnResolve 1 TransPort 9040 TransListenAddress 192.168.1.1 DNSPort 9053 DNSListenAddress 192.168.1.1
Для ipset создал файл в /opt/etc/init.d/S25ipset, туда поместил:
#!/bin/sh ipset -N rublack-dns iphash ipset -N rublack-ip iphash ipset -N rublack-ip-tmp iphash ipset -N onion iphash cat /opt/etc/runblock/runblock.ipset | ipset restore /opt/etc/init.d/S35tor restart
Правила iptables поместил вместе со скриптом, отвечающим за dnscrypt вот сюда /opt/etc/ndm/netfilter.d/010-intercept-dns.sh:
#!/bin/sh [ "$table" != "nat" ] && exit 0 lan_ip=$(ndmq -p 'show interface Bridge0' -P address) iptables -t nat -I PREROUTING -p udp -m udp --dport 53 -j DNAT --to-destination $lan_ip:65053 iptables -t nat -I PREROUTING -p tcp -m tcp --dport 53 -j DNAT --to-destination $lan_ip:65053 iptables -t nat -I PREROUTING -i br0 -p tcp -m set --match-set rublack-dns dst -j REDIRECT --to-ports 9040 iptables -t nat -I PREROUTING -i br0 -p tcp -m set --match-set rublack-ip dst -j REDIRECT --to-ports 9040 iptables -t nat -I PREROUTING -i br0 -p tcp -m set --match-set onion dst -j REDIRECT --to-ports 9040 iptables -t nat -I PREROUTING -i ppp0 -p tcp -m set --match-set rublack-dns dst -j REDIRECT --to-ports 9040 iptables -t nat -I PREROUTING -i ppp0 -p tcp -m set --match-set rublack-ip dst -j REDIRECT --to-ports 9040 iptables -t nat -I PREROUTING -i ppp0 -p tcp -m set --match-set onion dst -j REDIRECT --to-ports 9040
Соответственно первые 2 правила dnscrypt, остальные для перенаправления заблокированных сайтов в тор. После перезагрузки роутера правила командой iptables -L -n -v -t nat --line-numbers вижу в цепочке PREROUTING:
Chain PREROUTING (policy ACCEPT 27422 packets, 2062K bytes) num pkts bytes target prot opt in out source destination 1 0 0 REDIRECT tcp -- ppp0 * 0.0.0.0/0 0.0.0.0/0 match-set onion dst redir ports 9040 2 0 0 REDIRECT tcp -- ppp0 * 0.0.0.0/0 0.0.0.0/0 match-set rublack-ip dst redir ports 9040 3 0 0 REDIRECT tcp -- ppp0 * 0.0.0.0/0 0.0.0.0/0 match-set rublack-dns dst redir ports 9040 4 0 0 REDIRECT tcp -- br0 * 0.0.0.0/0 0.0.0.0/0 match-set onion dst redir ports 9040 5 0 0 REDIRECT tcp -- br0 * 0.0.0.0/0 0.0.0.0/0 match-set rublack-ip dst redir ports 9040 6 0 0 REDIRECT tcp -- br0 * 0.0.0.0/0 0.0.0.0/0 match-set rublack-dns dst redir ports 9040 7 1 52 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 to:192.168.1.1:65053 8 515 32758 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53 to:192.168.1.1:65053 9 29869 2199K _NDM_DNAT all -- * * 0.0.0.0/0 0.0.0.0/0
Команда lua /opt/usr/bin/rublupdate.lua создаёт 2 файла в директории /opt/etc/runblock: runblock.dnsmasq и runblock.ipset, в которых содержатся заблокированные домены и IP адреса. Вот кстати настройки dnsmasq.conf:
no-resolv conf-file=/opt/etc/runblock/runblock.dnsmasq server=/onion/127.0.0.1#9053 server=8.8.8.8 server=8.8.4.4
Системный днс сервер выключен в системе
opkg dns-override system configuration save
dnsmasq работает на 53 порту.
Модель Keenetic Ultra II, прошивка v2.09(AAUX.3)A0, установлена Entware-3x, список установленных компонентов:
~ # opkg list-installed curl - 7.51.0-1 dnscrypt-proxy - 1.7.0-1 dnscrypt-proxy-resolvers - 1.7.0+git-20161129-f17bace-1 dnsmasq-full - 2.76-7a dropbear - 2016.74-1 ext-ui-nginx - 0.1-5a fake-hwclock - 0.11-1 findutils - 4.6.0-1 glib2 - 2.49.7-1 ipset - 6.30-1 ipset-dns - 2013-05-03-6be3afd819a86136b51c5ae722ab48266187155b iptables - 1.4.21-2 ldconfig - 2.23-7 libattr - 20160302-1 libblkid - 2.28-1b libbz2 - 1.0.6-2 libc - 2.23-7 libcap - 2.24-1 libcurl - 7.51.0-1 libevent2 - 2.0.22-1 libffi - 3.2.1-2 libfreetype - 2.5.5-2 libgcc - 5.4.0-7 libiconv-full - 1.11.1-3 libintl-full - 0.19.8.1-1 libjpeg - 9a-1 liblua - 5.1.5-1 libmnl - 1.0.4-1 libmount - 2.28-1b libndm - 1.1.0-1a libnetfilter-conntrack - 1.0.6-1 libnfnetlink - 1.0.1-1 libopenssl - 1.0.2j-1a libpcre - 8.39-1 libpng - 1.2.56-1 libpthread - 2.23-7 librt - 2.23-7 libslang2 - 2.3.1-1 libsodium - 1.0.11-2 libssh2 - 1.7.0-1 libssp - 5.4.0-7 libstdcpp - 5.4.0-7 libuuid - 2.28-1b libxml2 - 2.9.4-1 locales - 2.23-7 lua - 5.1.5-1 luasocket - 3.0-rc1-20130909-3a mc - 4.8.18-1a ndmq - 1.0.2-1a net-tools-netstat - 2016-10-06-1 nginx - 1.10.1-2 opt-ndmsv2 - 1.0-6a php5 - 5.6.29-1 php5-cgi - 5.6.29-1 php5-cli - 5.6.29-1 php5-fastcgi - 5.6.29-1 php5-mod-curl - 5.6.29-1 php5-mod-dom - 5.6.29-1 php5-mod-exif - 5.6.29-1 php5-mod-gd - 5.6.29-1 php5-mod-json - 5.6.29-1 php5-mod-mbstring - 5.6.29-1 php5-mod-session - 5.6.29-1 php5-mod-simplexml - 5.6.29-1 php5-mod-xml - 5.6.29-1 php5-mod-xmlreader - 5.6.29-1 php5-mod-xmlwriter - 5.6.29-1 php5-mod-zip - 5.6.29-1 shellinabox - 2.20-20161109-1 terminfo - 6.0-1c tor - 0.2.8.9-1 tor-geoip - 0.2.8.9-1 vnstat - 1.15-1 zlib - 1.2.8-1 zoneinfo-asia - 2016j-1 zoneinfo-europe - 2016j-1
Помогите кто знает, в чём может быть проблема?
- 2
4.0 Alpha 15 KN-1711: Не работают дополнительные подсети в site-to-site IPsec
in Тестирование Dev-сборок
Posted · Edited by Marat0Sh
С обратной стороны доступ тоже есть, но только из подсети, которая первой указана в кинетике, стоит поставить другую и доступ пропадает. Например ставим 192.168.16.0/24 на первое место, из под неё доступы к хостам и кинетику 192.168.49.0/24 есть. Теперь ставим 192.168.12.0/24 на первое место, доступ из неё в 192.168.49.0/24 появляется, но пропадает из 192.168.16.0/24.
На той стороне стоит Kerio control, настройки такие же:
удаленные сети: 192.168.49.0/24
локальные сети: 192.168.12.0/24, 192.168.16.0/24, 192.168.100.0/24, 192.168.200.0/24