[4.0 Alpha 15 KN-1711: Не работают дополнительные подсети в site-to-site IPsec]

С обратной стороны доступ тоже есть, но только из подсети, которая первой указана в кинетике, стоит поставить другую и доступ пропадает. Например ставим 192.168.16.0/24 на первое место, из под неё доступы к хостам и кинетику 192.168.49.0/24 есть. Теперь ставим 192.168.12.0/24 на первое место, доступ из неё в 192.168.49.0/24 появляется, но пропадает из 192.168.16.0/24.

На той стороне стоит Kerio control, настройки такие же:

удаленные сети: 192.168.49.0/24

локальные сети: 192.168.12.0/24, 192.168.16.0/24, 192.168.100.0/24, 192.168.200.0/24

[4.0 Alpha 15 KN-1711: Не работают дополнительные подсети в site-to-site IPsec]

Добрый день!

При настройке site-to-site IPsec не работают дополнительные подсети, работает только самая первая. Например при такой настройке:

Будет доступна только подсеть 192.168.16.0/24, но остальные доступны не будут, если поставить на первое место к примеру 192.168.12.0/24, то доступ к ней появится, но пропадёт к 192.168.16.0/24 и всем остальным и так далее, то есть доступ имеется только к той подсети, которая будет указана самой первой, остальные доступны не будут. Self-test отдельным сообщением прилагаю.

[Entware-3x и Entware-ng объединились. Новый проект называется просто Entware]

15 часов назад, Tammy сказал:

Все это было уже давно сделано, работает все кроме ssh. Повторюсь еще раз, вылезает после установки поверх старой в логе

dropbear[8147]

Early exit: Bad buf_getptr

Мне помогло удалить ключи из папки /opt/etc/dropbear (саму папку дропбир оставить) и пересоздать ключи заново, добавив флаг -R в init.d скрипт /opt/etc/init.d/S51dropbear в секцию start ()

start()
{
	$DROPBEAR -R -p $PORT -P $PIDFILE

Ну и перевоткнуть флэшку.

После того, как ключи создадутся, флаг -R можно убрать.

[Защищаем DNS запросы с помощью dnscrypt-proxy2. Бонусом блокировка рекламы.]

В итоге поставил из репозитория entware версию 2.0.14 (просто скопировал в папку /opt/sbin с заменой) и заработало. До этого стояла версия 2.0.15 из официального репо, работала хорошо, почему вдруг перестало - не понятно, никакие настройки в роутере и в самом entware не менял. Тем не менее может кому пригодится.

[Защищаем DNS запросы с помощью dnscrypt-proxy2. Бонусом блокировка рекламы.]

Подскажите пожалуйста, сегодня перестал запускаться dnscrypt-proxy, в логах выдаёт:

[CRITICAL] Unable to use source [public-resolvers]: [Get https://download.dnscrypt.info/resolvers-list/v2/public-resolvers.md: x509: failed to load system roots and no roots provided]

Гугл говорит, что это из-за отсутствия корневых сертификатов, нужно ставить ca-certificates и ca-bundle, установив их ничего не изменилось, та же ошибка.

[Tor на Keenetic]

21 минуту назад, vlad сказал:

Спасибо за ответ. Попробую на строить в связке с dnscrypt-proxy2. Если не получится то придётся отказаться от этой идее и вернутся к статическим маршрутам через тор. 

Если получится, напиши пожалуйста как настраивал.

[Клиент ACME для получения бесплатного сертификата Let's Encrypt]

10 часов назад, Le ecureuil сказал:

Роутер запрограммирован на автопродление сертификатов начиная с 61 дня его выдачи (то есть за 29 дней до окончания действия, как рекомендовано в официальном LE Guide). Он будет ежедневно предпринимать попытки переполучения, пока они не увенчаются успехом.

То есть 80ый порт снаружи должен быть всегда открыт, чтобы сертификат успешно выдался?

[Клиент ACME для получения бесплатного сертификата Let's Encrypt]

15 минут назад, Le ecureuil сказал:

@Marat0Sh Меня смущает вот эта штука:
>> ip static tcp PPPoE0 80 192.168.1.1 80
Что это такое?

А вообще LE не может достучаться до вашего роутера чтобы проверить его работу. Проверьте, что снаружи 80 порт доступен для всех например через looking glass: http://www.dc77.ru/technical_information/lg/

Большое спасибо! Действительно снаружи порт 80 был закрыт, хотя из локалки через внешний IP на 80ый порт он меня пускал. Подкорректировал одно правило в межсетевом экране и доступ появился и сертификат также успешно сгенерировался. И ещё вопрос, правильно ли я понимаю, что сертификат сгенерировался только на 3 месяца? Если да, то потом нужно будет самому опять генерировать новый, или роутер сам его продлит?

[Tor на Keenetic]

23 минуты назад, Lordmaster сказал:

прикрутить Proxy Auto Configuration (PAC)

Не подскажите как прикрутили PAC?

[Tor на Keenetic]

Подскажите пожалуйста, пытаюсь настроить тор по данной инструкции, хочу чтобы в локальной сети через тор открывались только заблокированные или onion сайты, но что-то не срабатывает, не могу понять что, при попытке открыть допустим рутрекер вылезает:

файл /opt/etc/tor/torrc выглядит следующим образом:

PidFile /opt/var/run/tor.pid
DataDirectory /opt/var/lib/tor
ExcludeExitNodes {RU}
VirtualAddrNetwork 10.192.0.0/10  # виртуальные адреса для .onion ресурсов
AutomapHostsOnResolve 1
TransPort 9040
TransListenAddress 192.168.1.1
DNSPort 9053
DNSListenAddress 192.168.1.1

Для ipset создал файл в /opt/etc/init.d/S25ipset, туда поместил:

#!/bin/sh

ipset -N rublack-dns iphash
ipset -N rublack-ip iphash
ipset -N rublack-ip-tmp iphash
ipset -N onion iphash

cat /opt/etc/runblock/runblock.ipset | ipset restore
/opt/etc/init.d/S35tor restart

Правила iptables поместил вместе со скриптом, отвечающим за dnscrypt вот сюда /opt/etc/ndm/netfilter.d/010-intercept-dns.sh:

#!/bin/sh

[ "$table" != "nat" ] && exit 0

lan_ip=$(ndmq -p 'show interface Bridge0' -P address)

iptables -t nat -I PREROUTING -p udp -m udp --dport 53 -j DNAT --to-destination $lan_ip:65053
iptables -t nat -I PREROUTING -p tcp -m tcp --dport 53 -j DNAT --to-destination $lan_ip:65053
iptables -t nat -I PREROUTING -i br0 -p tcp -m set --match-set rublack-dns dst -j REDIRECT --to-ports 9040
iptables -t nat -I PREROUTING -i br0 -p tcp -m set --match-set rublack-ip dst -j REDIRECT --to-ports 9040
iptables -t nat -I PREROUTING -i br0 -p tcp -m set --match-set onion dst -j REDIRECT --to-ports 9040
iptables -t nat -I PREROUTING -i ppp0 -p tcp -m set --match-set rublack-dns dst -j REDIRECT --to-ports 9040
iptables -t nat -I PREROUTING -i ppp0 -p tcp -m set --match-set rublack-ip dst -j REDIRECT --to-ports 9040
iptables -t nat -I PREROUTING -i ppp0 -p tcp -m set --match-set onion dst -j REDIRECT --to-ports 9040

Соответственно первые 2 правила dnscrypt, остальные для перенаправления заблокированных сайтов в тор. После перезагрузки роутера правила командой iptables -L -n -v -t nat --line-numbers вижу в цепочке PREROUTING:

Chain PREROUTING (policy ACCEPT 27422 packets, 2062K bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 REDIRECT   tcp  --  ppp0   *       0.0.0.0/0            0.0.0.0/0            match-set onion dst redir ports 9040
2        0     0 REDIRECT   tcp  --  ppp0   *       0.0.0.0/0            0.0.0.0/0            match-set rublack-ip dst redir ports 9040
3        0     0 REDIRECT   tcp  --  ppp0   *       0.0.0.0/0            0.0.0.0/0            match-set rublack-dns dst redir ports 9040
4        0     0 REDIRECT   tcp  --  br0    *       0.0.0.0/0            0.0.0.0/0            match-set onion dst redir ports 9040
5        0     0 REDIRECT   tcp  --  br0    *       0.0.0.0/0            0.0.0.0/0            match-set rublack-ip dst redir ports 9040
6        0     0 REDIRECT   tcp  --  br0    *       0.0.0.0/0            0.0.0.0/0            match-set rublack-dns dst redir ports 9040
7        1    52 DNAT       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:53 to:192.168.1.1:65053
8      515 32758 DNAT       udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:53 to:192.168.1.1:65053
9    29869 2199K _NDM_DNAT  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Команда lua /opt/usr/bin/rublupdate.lua создаёт 2 файла в директории /opt/etc/runblock: runblock.dnsmasq и runblock.ipset, в которых содержатся заблокированные домены и IP адреса. Вот кстати настройки dnsmasq.conf:

no-resolv
conf-file=/opt/etc/runblock/runblock.dnsmasq
server=/onion/127.0.0.1#9053
server=8.8.8.8
server=8.8.4.4

Системный днс сервер выключен в системе

opkg dns-override
system configuration save

dnsmasq работает на 53 порту.

Модель Keenetic Ultra II, прошивка v2.09(AAUX.3)A0, установлена Entware-3x, список установленных компонентов:

~ # opkg list-installed
curl - 7.51.0-1
dnscrypt-proxy - 1.7.0-1
dnscrypt-proxy-resolvers - 1.7.0+git-20161129-f17bace-1
dnsmasq-full - 2.76-7a
dropbear - 2016.74-1
ext-ui-nginx - 0.1-5a
fake-hwclock - 0.11-1
findutils - 4.6.0-1
glib2 - 2.49.7-1
ipset - 6.30-1
ipset-dns - 2013-05-03-6be3afd819a86136b51c5ae722ab48266187155b
iptables - 1.4.21-2
ldconfig - 2.23-7
libattr - 20160302-1
libblkid - 2.28-1b
libbz2 - 1.0.6-2
libc - 2.23-7
libcap - 2.24-1
libcurl - 7.51.0-1
libevent2 - 2.0.22-1
libffi - 3.2.1-2
libfreetype - 2.5.5-2
libgcc - 5.4.0-7
libiconv-full - 1.11.1-3
libintl-full - 0.19.8.1-1
libjpeg - 9a-1
liblua - 5.1.5-1
libmnl - 1.0.4-1
libmount - 2.28-1b
libndm - 1.1.0-1a
libnetfilter-conntrack - 1.0.6-1
libnfnetlink - 1.0.1-1
libopenssl - 1.0.2j-1a
libpcre - 8.39-1
libpng - 1.2.56-1
libpthread - 2.23-7
librt - 2.23-7
libslang2 - 2.3.1-1
libsodium - 1.0.11-2
libssh2 - 1.7.0-1
libssp - 5.4.0-7
libstdcpp - 5.4.0-7
libuuid - 2.28-1b
libxml2 - 2.9.4-1
locales - 2.23-7
lua - 5.1.5-1
luasocket - 3.0-rc1-20130909-3a
mc - 4.8.18-1a
ndmq - 1.0.2-1a
net-tools-netstat - 2016-10-06-1
nginx - 1.10.1-2
opt-ndmsv2 - 1.0-6a
php5 - 5.6.29-1
php5-cgi - 5.6.29-1
php5-cli - 5.6.29-1
php5-fastcgi - 5.6.29-1
php5-mod-curl - 5.6.29-1
php5-mod-dom - 5.6.29-1
php5-mod-exif - 5.6.29-1
php5-mod-gd - 5.6.29-1
php5-mod-json - 5.6.29-1
php5-mod-mbstring - 5.6.29-1
php5-mod-session - 5.6.29-1
php5-mod-simplexml - 5.6.29-1
php5-mod-xml - 5.6.29-1
php5-mod-xmlreader - 5.6.29-1
php5-mod-xmlwriter - 5.6.29-1
php5-mod-zip - 5.6.29-1
shellinabox - 2.20-20161109-1
terminfo - 6.0-1c
tor - 0.2.8.9-1
tor-geoip - 0.2.8.9-1
vnstat - 1.15-1
zlib - 1.2.8-1
zoneinfo-asia - 2016j-1
zoneinfo-europe - 2016j-1

 

Помогите кто знает, в чём может быть проблема?