Jump to content

ankar84

Forum Members
  • Posts

    403
  • Joined

  • Last visited

  • Days Won

    3

Everything posted by ankar84

  1. Супер! Большое спасибо! Как сообщите, перейду на драфт и протестирую.
  2. Доброго дня! Имею проблему с недоступностью webui по зарегистрированному имени KeenDNS с автоматическим получением сертификата Let's Encrypt. Так же по этой проблеме создан тикет #400857 в официальную поддержку, где коллеги уточнили, что с текущим уровнем журналирования происходящего с KeenDNS и в целом webui сложно диагностировать мою проблему и попросили обратится к разработчикам тут, на форуме, чтобы те добавили расширенную диагностику работы webui в том числе и по KeenDNS FQDN. От себя добавлю, что было бы очень здорово, если бы эта расширенная диагностика была опциональной, а не обязательной. То есть выполняешь в CLI что-то типа set http.debug=1 и у тебя включается эта самая расширенная диагностика. В целом, считаю данную функцию очень нужной. Притом и самим разработчикам для более точной диагностики возникающих проблем. Прошу поддержать голосованием. Спасибо!
  3. Нужно проверить, работает ли приземление DNS запросов клиентов на роутер, например, командой ~ # iptables-save | grep " --dport 53 -j DNAT --to-destination 192.168.1.1" Can't find library for target `CONNNDMMARK' -A PREROUTING -p udp -m udp --dport 53 -j DNAT --to-destination 192.168.1.1:53 Так же с помощью tcpdump host IP_проверяемого_девайса посмотреть куда именно проходят запросы, на какой сервер.
  4. Обновился до релиза 2.14 и проблема резко обострилась. Даже после перезагрузки роутер не доступен по KeenDNS FQDN. Напомню, Запрос #400857 Селф будет ниже. Большая просьба @Le ecureuil обратить внимание. Спасибо!
  5. @vlad @rotor я сегодня обновился до 2.14 релиза и подтверждаю проблему со скриптом приземления всех DNS запросов на резолвер роутера: Дек 3 22:46:51 ndm Opkg::Manager: /opt/etc/ndm/netfilter.d/01-ClientDNS-Redirect.sh: Can't find library for target `CONNNDMMARK'. Взываю на помощь @Александр Рыжов и @Le ecureuil Каких-то библиотек не находит простой скрипт #!/bin/sh [ "$type" == "ip6tables" ] && exit 0 [ "$table" != "nat" ] && exit 0 [ -z "$(iptables-save | grep " --dport 53 -j DNAT --to-destination 192.168.1.1")" ] && iptables -t nat -I PREROUTING -p udp --dport 53 -j DNAT --to-destination 192.168.1.1:53 exit 0
  6. @Le ecureuil @eralde ок, если это by design, то тему, думаю, можно закрывать. Спасибо за объяснения.
  7. Действительно, начиная с версии 2.11.A.6.0-0 где явно указано, что защита от перебора https есть.
  8. Тоже считаю, что защищать http, но не защищать https, который keenetic os даёт из коробки (за что огромное спасибо, это большая работа) это весьма странно.
  9. Так как с недавних пор лежит зеркало rutor в зоне lib я начал искать способы простого обхода блокировки основного адреса в зоне info. Обход блокировок в данной теме это слегка оффтоп, но о нем чуть ниже. Так как критичность разрешения зоны lib уменьшилась, я оставил возможность разрешения данной зоны через фичу forwarding в dnscrypt-proxy2. В файле forwarding-rules.txt добавил нужные сайты в зоне lib и указал несколько серверов из России со страницы всех серверов проекта OpenNIC и начал использовать общий список [sources.'public-resolvers'] тем самым получил и максимальную скорость резолвинга всех адресов и возможность резолвинга адресов зоны lib. Теперь про обход. Пробовал красить пакеты из определенного ipset и отправлять их в таблицу маршрутизации, где шлюзом указан интерфейс OpenVPN подключения по инструкции @Александр Рыжов вот отсюда. Но сайты не открывались, хоть traceroute правильно показывал, что вторым хопом раскрашенные пакеты уходили в туннель. Сейчас рабочим решением оказалось просто по крону раз в час запускать скрипт, который берет построчно все адреса сайтов из заданного файла, с помощью nslookup разрешит их IP адреса, для которых с помощью route добавит статический маршрут через интерфейс ovpn_br0 в OpenVPN туннель. И данное решение у меня работает стабильно. Так же добавленные маршруты можно отследить на странице Маршрутизация в WebGui Кинетика. #!/bin/sh for i in `cat /opt/root/vpnsitelist.txt`; do #по каждой строке из файла с ресурсами (FQDN), на которые нужно подключаться через VPN сервер for j in `nslookup $i | egrep -v 192.168.1.1 | awk '/Addr/ {print $3}'`; do #получаем только результаты резолвинга и их добавляем в качестве статического маршрута через интерфейс ovpn_br0 #в данном случае, в качестве DNS сервера используется локальный адрес роутера - 192.168.1.1 #по IPv6 адресам из резолвинка получаем сообщение вида "route: resolving IPv6 address" route add -host $j dev ovpn_br0 done done
  10. @rotor, @vlad у себя в логах такой записи не вижу. Давайте "сверять время", а точнее окружение. У меня сейчас 2.13.C.0.0-3 на Giga (KN-1010), Entware обновлял последний раз где-то с месяц или чуть больше назад. # dnscrypt-proxy --version 2.0.16 # iptables --version iptables v1.4.21
  11. В общем, именно так реализовать вряд ли получится. Так как зону lib умеют разрешать ТОЛЬКО серверы проекта OpenNIC, то только у них и нужно спрашивать об этой зоне. Если использовать общий список серверов, который так же включает в себя серверы opennic, то разрешить узлы зоны lib скорее всего не получится, так как есть гораздо более быстрые серверы, которые и будут отвечать на ваши запросы, а они в свою очередь ничего не знают про зону lib. Поэтому решением в лоб будет использовать только серверы opennic (я именно так и делаю). Так же можно решить это проблему средствами dnsmasq (как вы и указали) или же средствами самого dnscrypt-proxy (я имею ввиду forwarding). Но в обоих случаях, насколько я понимаю, будут выполняться обычные dns запросы, а не dnscrypt шифрованные запросы.
  12. По сообщению коллег из технической поддержки, на их экземпляре смартфона моей модели никаких проблем с воспроизведением видео историй в Инстаргам с включенным блютузом нет, что на самом деле очень странно, так как в гостях были друзья с таким же смартфоном и проблема проявлялась стабильно. Но тем не менее, было решено, что это у меня с женой такие не удачные образцы смартфонов и проблемы как таковой нет. Да и у меня за все время решения данной проблемы теперь есть, как говорят заокеанские коллеги, workaround в виде выключения блютуза дома для супруги и использования только 5ГГц точки для меня. На этом тему можно считать закрытой, хоть и не решенной. Если кто-то все же столкнется с такой же или подобной проблемой на своем девайсе, желаю удачи?
  13. Сейчас по запросу ТП проверил воспроизведение проблемы по своему алгоритму на всех каналах 1-2-3-4-5-6-7-8-9-10-11-12-13 и абсолютно на всех были зависания более 5 секунд. Переключался на следующий тестируемый канал после того как "ловил" зависание секунд в 5-10. Кстати, начиная с 12 канала мой внешний адаптер Alfa AWUS036NH на роутбуке уже не мог подключиться к роутеру, поэтому с 12 на 13 канал пришлось менять на тестируемом смартфоне - Xiaomi Redmi Note 4X Snapdragon 4\64 через браузер. Так же еще по статистике данной проблемы, проверил лично у родственников на их роутере от Ростелекома Eltex NTU-RG-1402G-W - проблема воспроизводится. Ранее мне жена говорила, что не замечала на нем проблем. В посте со статистикой информация обновил.
  14. На самом деле это странный баг/фича. Всегда использовал шифрование ещё с времён дефолтного интерфейса transmission, наверное, на 2.06 и всё качало/раздавало. Даже было видно, что все соединения с замочком (шифрованы). А сейчас при включении обязательного шифрования transmission просто не качает. Имхо, так быть не должно.
  15. Сегодня у друга проверил по алгоритму на своем телефоне с роутером MikroTik hAP ac. Результат - проблемы нет. В общей пост информацию добавил.
  16. За все телефоны отвечать не могу, лично тестировал только Xiaomi Redmi Note 5,Samsung S8, Xiaomi Mi5 и Xiaomi Redmi 4X 4\64 с Xiaomi Redmi Note 4X Snapdragon 4\64 разумеется. Так же могу с уверенностью сказать, что на проблему не влияет ни канал, ни его ширина, ни опции (TX Burst, 256-QAM) ни мощность сигнала. Суть в том, что на проблемных девайсах просто при включении блютуза начинает плохо работать WiFi 2.4ГГц, но только от Гиги. Пока ни на одном другом роутере кроме Гиги это не проявилось, что говорит о том, что решение может быть со стороны роутера. И это более правильно, имхо.
  17. На данный момент собралась следующая статистика. Устройства на которых наблюдаются зависания при подключении к точке доступа 2.4ГГц интернет-центра Keenetic Giga (KN-1010) и включенном на телефоне Bluetooth Xiaomi Redmi 4X 4\64 Xiaomi Redmi Note 4X Snapdragon 4\64 Список роутеров, при подключении к которым проблемных девайсов из списка выше наблюдается не стабильная работа WiFi при включенном на телефоне Bluetooth Keenetic Giga (KN-1010) Eltex NTU-RG-1402G-W Список роутеров\точек доступа, при подключении к которым проблемных девайсов из списка выше проблем не наблюдается Zyxel Keenetic Ultra UniFi AP AC Pro MikroTik hAP ac Список проверенных девайсов, при подключении которых к точке доступа 2.4ГГц интернет-центра Keenetic Giga (KN-1010) и включенном на телефоне Bluetooth никаких проблем не наблюдается: Xiaomi Redmi Note 5 Xiaomi Mi5 Samsung S8 Neken N6 Xiaomi Redmi 4 Prime Xiaomi Redmi 3s Надеюсь пост будет обновляемым, если будет возможность редактировать это сообщение.
  18. Большое спасибо за отзыв! А если не сложно, можете по алгоритму из этого поста проверить? Просто на определенных сторис данный эффект более стабильный.
  19. Доброго всем дня! Наконец-то мне удалось полностью локализовать и формализовать мою проблему. По тикету в ТП мне заменили мою Гигу KN-1010 на абсолютно новую. Но проблему это не решило, значит мой экземпляр не был бракованным и проблема более широкая. Последним советом уважаемого @enpa был попробовать прошить сматфон супруги на другую прошивку с другой версией Андроид\модема\ядра. Сегодня этим весь день и занимался. В итоге прошил ей кастумную прошивку на Android 9 Pie После прошивки сразу проверил свою проблему по описанному выше алгоритму - и, о чудо, проблема не проявилась!! Какова была моя радость, вы бы знали. Отдал смартфон супруге и через пару часов приходит с зависающей 3-4 раза сторис на экране. Давно у меня так радость не сменялась отчаянием. Начал опять читать тему, наткнулся даже на патч, который снимает ограничение в 20МГц для смарта и впервые увидел в WEBUI Гиги цифру в 150Мбит напротив смартфона супруги. Проверяем - зависает. Даже на 150Мбит канальной скорости,Карл! А на Ультре работает на любых скоростях. Стал думать дальше, тестировать. На кастомной прошивке кнопки включения\выключения WiFi и Bluetooth оказались рядом и я заметил, что сейчас Bluetooth включен и вспомнил, что как только перепрошил телефон, я bluetooth не включал когда проводил тестирование проблемы. Выключил БТ, выгрузил ИГ из памяти, почистил кэш сторис, запустил те сторис, с которыми супруга приходила час назад с 3-4 зависаниями на одной 15ти секундной истории... и.... не зависает! Вообще! Все гладко и без зависаний, все как на Ультра! Включаю БТ - и сразу зависания, притом плюс-минус в тех же местах. Выключил БТ, выгрузил ИГ из памяти, почистил кэш сторис, проверяю проблемные сторис - все плавно и ровно, ничего не зависает. Отключить БТ не вариант, так как у и меня и у супруги есть смарт браслеты Xiaomi MiBand 2. Кстати, супруга еще даже не успела подключить браслет после перепрошивки, так что наличие подключенных девайсов для проблемы, кажется, не обязательно. Достаточно просто включить БТ - сторис зависают. Как всегда записал подтверждающее видео. Записывал со своего смарта, так как у меня так же воспроизводится, и есть из коробки запись экрана, а в новой прошивке смартфона супруги этого кажется нет. Кстати, проблема с БТ отвечает на все вопросы. БТ работает на тех частотах, что и WiFI 2.4ГГц, поэтому проблемы и не наблюдается на 5ГГц даже на том же телефоне, где есть проблема на 2.4ГГц @Padavan.очень нужна ваша помощь! Напомню, на Zyxel Keenetic Ultra этой проблемы нет, БТ включен все время - ничего не зависает Итого - включение БТ на телефоне вызывает зависания при просмотре некоторых сторис в Инстаграм при подключении к точке доступа 2.4ГГц интернет-центра Keenetic Giga KN-1010
  20. Подскажите, вот это выше ваш действительный Link-Local IPv6 адрес роутера? Могу ошибаться, но может быть имя интерфейса у вас не br0. Получается ли работать с IPv6, если указать сервер как было по-умолчанию в файле конфигурации [::1]:53?
  21. Можно попробовать вот это решение, вообще средствами прошивки.
  22. Доброго дня! Предлагаю совсем небольшую, но,на мой взгляд достаточно полезную доработку - поменять местами Проверка сетевого соединения и Системный журнал. За время пользования Кинетиками выполнял проверку сетевого соединения от силы раза 2, а вот логи смотреть приходится довольно часто. Да и здесь на форуме при оформлении любой проблемы проблемы требуются выдержки из журнала. А у меня и на ноутбуке и на смартфоне при открытии раздела Диагностика чтобы получить доступ к кнопке Показать журнал нужно воспользоваться прокруткой вниз. Дело секундное, конечно, но все же. Кому так же как мне хотелось бы получать доступ к кнопке Показать журнал сразу при открытии страницы Диагностика, прошу голосовать - нажимаем стрелочку вверх слева от заголовка темы.
  23. Доброго всем дня! Наконец-то я нашел более-менее воспроизводимый способ демонстрации своей проблемы. У пользователя daria_trrrr у которой открытый профиль есть сохраненные сторис. Я взял для примера вот этот набор, а точнее 2 первых видео сторис в данном наборе. 1. Подключаемся к сети giga (2.4ГГц) KN-10102. Выгружаем из памяти приложение Инстаграм (обычно это делается свайпом на списке запущенных приложений) 3. Удаляем папку с кэшем сторис /Android/data/com.instagram.android/cache/ExoPlayerCacheDir/videocache/ 4. Запускаем сохраненный сторис sp (два первых видео сторис) 5. Смотрим результат. У меня дома нашелся старенький китайский телефон из ноунеймов Neken N6 на MTK Так вот на нем изучаемой проблемы нет. Сам он подвисает и нагревается при просмотре видео сторис в Инстаграм, но не зависает так как наши с супругой смартфоны - по 3-4 раза (а то и больше) за сторис на 5 и более секунд. Сегодня около часа смотрел разные сторис на Neken N6 и именно таких зависаний не заметил. Были фризы при первоначальной загрузке сториса, были микрофризы (видно что железо уже не очень справляется), но таких жестких зависаний не было. Ролик сравнения воспроизведения видео сторис по описанному выше алгоритму на смартфонах Neken N6 (слева) и Xiaomi Redmi Note 4 Snapdragon (справа). Так же сейчас записал очень, на мой взгляд, наглядный ролик на своем Xiaomi Redmi Note 4 Snapdragon демонстрирующий мою проблему. Сначала подключился к точке giga5 - это KN-1010 5ГГц, затем к точке ultra - это Zyxel Keenetic Ultra (для которой сеть giga это WISP) и затем к сети giga - это KN-1010 2.4ГГц. Перед запуском сторис чистил кэш /Android/data/com.instagram.android/cache/ExoPlayerCacheDir/videocache/ Исходя из всего изложенного, можно сделать вывод - есть проблема взаимодействия некоторых клиентских устройств (SoC, прошивка - в данном случае MIUI9 или еще что-то) на определенном трафике (некоторые видео сторис) с точкой доступа 2.4ГГц Интернет-центра Keenetic Giga (KN-1010) Пользователей форума - владельцев смартфонов Xiaomi на SoC Snapdragon и KN-1010 прошу проверить воспроизведение проблемы по описанному мной алгоритму. Большое спасибо!
  24. ~ # ls -la /opt/etc/dnscrypt/ drwxr-xr-x 2 root root 4096 Sep 27 21:59 . drwxr-xr-x 19 root root 4096 Sep 14 10:16 .. -rw-r--r-- 1 root root 2138019 Sep 17 04:04 blacklist-domains.txt -rwxrw-rw- 1 root root 194 Sep 14 23:04 cloaking-rules.txt -rwxrw-rw- 1 root root 15433 Sep 16 17:56 dnscrypt-proxy.toml -rw-r--r-- 1 root root 3758 Aug 10 21:28 domains-blacklist-all.conf -rwxrw-rw- 1 root root 3070 Aug 10 21:31 domains-blacklist-local-additions.txt -rwxrw-rw- 1 root root 5147 Aug 10 21:34 domains-blacklist.conf -rw-r--r-- 1 root root 229 Aug 10 21:28 domains-time-restricted.txt -rwxrw-rw- 1 root root 381 Aug 28 23:16 domains-whitelist.txt -rwxrw-rw- 1 root root 165 Sep 15 11:06 forwarding-rules.txt -rwxr-xr-x 1 root root 5808 Aug 10 21:28 generate-domains-blacklist.py -rw-r--r-- 1 root root 4233 Sep 27 21:59 opennic.md -rw-r--r-- 1 root root 298 Sep 27 21:59 opennic.md.minisig -rw-r--r-- 1 root root 1809 Sep 16 15:28 quad9-resolvers.md -rw-r--r-- 1 root root 306 Sep 16 15:28 quad9-resolvers.md.minisig Скрипт запуска ~ # cat /opt/etc/init.d/S09dnscrypt-proxy2 #!/bin/sh ENABLED=yes PROCS=dnscrypt-proxy ARGS="-config /opt/etc/dnscrypt/dnscrypt-proxy.toml" PREARGS="" DESC=$PROCS PATH=/opt/sbin:/opt/bin:/opt/usr/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin . /opt/etc/init.d/rc.func Конфиг Скрипт генерации блек листа в кроне ~ # cat /opt/etc/cron.daily/1-generate-blacklist #!/opt/bin/sh cd /opt/etc/dnscrypt/ python generate-domains-blacklist.py -i > list.txt.tmp && mv -f list.txt.tmp /opt/etc/dnscrypt/blacklist-domains.txt /opt/etc/init.d/S09dnscrypt-proxy2 restart Скрипт приземления клиентских запросов ~ # cat /opt/etc/ndm/netfilter.d/01-ClientDNS-Redirect.sh #!/bin/sh [ "$type" == "ip6tables" ] && exit 0 [ "$table" != "nat" ] && exit 0 [ -z "$(iptables-save | grep " --dport 53 -j DNAT --to-destination 192.168.1.1")" ] && iptables -t nat -I PREROUTING -p udp --dport 53 -j DNAT --to-destination 192.168.1.1:53 exit 0 Если нужны какие-то еще, пишите, дополню.
×
×
  • Create New...