Jump to content

vadimbn

Forum Members
  • Posts

    433
  • Joined

  • Last visited

  • Days Won

    7

Everything posted by vadimbn

  1. Ставим и настраиваем OPKG Заходим по SSH, ставим три пакета opkg install cron ndmq mc FTP-сервер по вкусу, можно из коробки, можно из entware. Как по мне - так тот, что из компонента "FTP-сервер" удобнее, можно пользователей заводить в интерфейсе роутера. Пишем скрипт mcedit ./pw_gen Скрипт может быть примерно такой #!/bin/sh # Options FTP_DIR="/your/ftp/directory" FILE_PASSWORD="password" # Generate a pasword PASSWD_GEN=`dd if=/dev/urandom bs=16 count=1 oflag=direct|sha256sum|cut -c 1-8` # Put password to file echo $PASSWD_GEN > $FTP_DIR/$FILE_PASSWORD # Change WPA-PSK key ndmq -p "interface GuestWiFi authentication wpa-psk $PASSWD_GEN" делаем скрипт исполняемым и помещаем его в директорию cron.daily (пакет cron установили выше) cp ./pw_gen /opt/etc/cron.daily chmod 755 /opt/etc/cron.daily По поводу каталога /your/ftp/directory. Если в качестве FTP-сервера используется компонент "FTP-сервер" Флэшку, или диск подключенный к роутеру, можно разбить на два раздела. Один под Entware, второй под файлы. Оба раздела будут видны из Entware, но только один из них будет доступен простым пользователям по FTP - тот, что отведен под файлы. Оба раздела монтируются в файловой системе роутера в директорию /tmp/mnt в виде, например, таком /tmp/mnt/f612ceca-4826-45a6-af92-2ba3aa33ea77 /tmp/mnt/cd6ba69a-d125-4624-8bea-f4d80a2d5343 Под OPKG, допустим, выделен раздел /tmp/mnt/f612ceca-4826-45a6-af92-2ba3aa33ea77, тогда /your/ftp/directory будет /tmp/mnt/cd6ba69a-d125-4624-8bea-f4d80a2d5343, то есть # Options FTP_DIR=/tmp/mnt/cd6ba69a-d125-4624-8bea-f4d80a2d5343
  2. Dropbear тоже поддерживает авторизацию по ключам, но файл authorized_keys при этом должен лежать в директории /opt/etc/dropbear. Проще всего в Entware сделать симлинк файла /opt/root/.ssh/authorized_keys в директорию /opt/etc/dropbear ln -s /opt/root/.ssh/authorized_keys /opt/etc/dropbear После чего можно давать команды используя ssh.
  3. Как вариант - ставим компонент "Сервер SSH" устанавливаем приложение Putty plink, так как к сожалению компонент не поддерживает авторизацию по ключу команда в скрипте выглядит примерно так plink 192.168.100.1 -P 22 -l admin -pw YourAdminPassword -batch "interface GuestWiFi authentication wpa-psk 'test23445556'" -P - порт, если стандартный, 22, можно не указывать -l - пользователь (не root, а admin) -pw - пароль -batch - подавляет интерактивные запросы "interface GuestWiFi authentication wpa-psk 'test23445556'" - команда CLI, меняющая пароль сети Wi-Fi. Если на роутер установлен Entware, то вместо штатного dropbear можно установить пакет openssh-server, он поддерживает авторизацию по ключу. В этом случае компонент "Сервер SSH" устанавливать не надо. Но в entware надо установить пакет ndmq, это приложение, которое позволяет вводить команды CLI (для процессоров ARM64 пока не работает). ssh root@192.168.100.1 ndmq "interface GuestWiFi authentication wpa-psk 'test23445556'" В entware пользователь именно root.
  4. Приложений и сервисов много установлено? Или соединений? Памяти свободной сколько? Если войти не удается, скорее всего убивается сервис ssh. Изначально в качестве оного установлен dropbear. Вылетать может как сам по себе, так и при нехватке памяти он может убиваться механизмом OOM Killer.
  5. Я фигею... Значит некто подобрал оборудование абы как, не читая, ошибочно считая, что у него "общие корни" (хотя это ничерта не так, операционные системы совершенно разные), а виноват Keenetic. Еще и ножками топают... Ну-ну.
  6. Парсить строки оно обязано и без параметра -x, он отвечает за вывод. Поэтому вполне ожидаемо - ndmq -x -p "show interface Bridge0" Error: unknown option ""
  7. Аналогично. ndmq -p "show interface Bridge0" Error: unknown option "" Хотя та же команда в CLI выдает нормальный результат. Пробовал и одинарные, и двойные кавычки.
  8. Можно ли? Кнопочку какую-нибудь, на худой конец, командочку в CLI?
  9. До последней версии (3.4.12) при подключении пользователя к роутеру keenetic по протоколу L2TP (в том числе через IPsec) маршрут по умолчанию через интерфейс ppp добавлялся только при установленной галочке "NAT для клиентов". Сейчас это происходит всегда. Можно ли вернуть старое поведение, добавлять только маршрут до нужной сети, без маршрута по умолчанию? $route Таблица маршутизации ядра протокола IP Destination Gateway Genmask Flags Metric Ref Use Iface default 0.0.0.0 0.0.0.0 U 50 0 0 ppp0 default _gateway 0.0.0.0 UG 100 0 0 enp4s0 90.189.ххх.хх _gateway 255.255.255.255 UGH 100 0 0 enp4s0 link-local 0.0.0.0 255.255.0.0 U 1000 0 0 virbr0 192.168.1.1 0.0.0.0 255.255.255.255 UH 50 0 0 ppp0 192.168.80.0 0.0.0.0 255.255.255.0 U 100 0 0 enp4s0 _gateway 0.0.0.0 255.255.255.255 UH 100 0 0 enp4s0 192.168.122.0 0.0.0.0 255.255.255.0 U 0 0 0 virbr0
  10. В 3proxy я таких опций не нашел. Возможно в squid есть Mаршрутизируемый адрес нужен. Наиболее простой путь - делаем VPN-соединение, ставим при этом галочку "Использовать для выхода в Интернет", появляется еще одно соединение. Тогда адрес этого соединения можно указывать в 3proxy. Сложнее - надо будет мутить с маршрутами или iptables.
  11. А безопаснее вот так (нет соединений на внешних интерфейсах): daemon pidfile /opt/var/run/3proxy.pid nscache 65536 nserver 127.0.0.1 config /opt/etc/3proxy/3proxy.cfg monitor /opt/etc/3proxy/3proxy.cfg monitor /opt/etc/3proxy/counters monitor /opt/etc/3proxy/passwd monitor /opt/etc/3proxy/bandlimiters log /opt/var/log/3proxy.log D rotate 60 counter /opt/etc/3proxy/3proxy.3cf #users $/opt/etc/3proxy/passwd include /opt/etc/3proxy/counters include /opt/etc/3proxy/bandlimiters auth none allow * proxy -d -iLOCAL.IP.ADDRESS -pPORT_HTTP_HTTPS_FTP -eEXTERNAL.IP.ADDRESS -n socks -d -iLOCAL.IP.ADDRESS -pPORT_SOCKS -eEXTERNAL.IP.ADDRESS flush allow admin admin -iLOCAL.IP.ADDRESS -pPORT_ADMIN LOCAL.IP.ADDRESS - локальный IP-адрес роутера (например, 192.168.1.1) EXTERNAL.IP.ADDRESS - реальный IP-адрес WAN-интерфейса PORT_HTTP_HTTPS_FTP - порт для проксирования протоколов HTTP, HTTPS, FTP, не занятый другими протоколами (например, 5080) PORT_SOCKS - порт для проксирования SOCKS 4/5, не занятый другими протоколами (например, 5081) PORT_ADMIN - порт страницы администрирования прокси-сервера, на которой, впрочем, нет почти ничего интересного. Это простейший конфиг, в 3proxy много опций для запретов/разрешений, можно ограничивать доступ с некоторых IP, и прочее.
  12. Он всегда активен. Просто через него не проходит маршрут по умолчанию. А проксировать пакеты на него используя 3proxy можно. Желательно купить услугу "белый IP" для обоих WAN. Вот рабочий конфиг 3proxy daemon pidfile /opt/var/run/3proxy.pid nscache 65536 nserver 127.0.0.1 config /opt/etc/3proxy/3proxy.cfg monitor /opt/etc/3proxy/3proxy.cfg monitor /opt/etc/3proxy/counters monitor /opt/etc/3proxy/passwd monitor /opt/etc/3proxy/bandlimiters log /opt/var/log/3proxy.log D rotate 60 counter /opt/etc/3proxy/3proxy.3cf #users $/opt/etc/3proxy/passwd include /opt/etc/3proxy/counters include /opt/etc/3proxy/bandlimiters auth strong deny * * 127.0.0.1 allow * proxy -n auth none allow * proxy -d -iLOCAL.IP.ADDRESS -p5080 -eEXTERNAL.IP.ADDRESS -n socks -d -iLOCAL.IP.ADDRESS -p5081 -eEXTERNAL.IP.ADDRESS flush allow admin admin -p8080
  13. Squid, 3proxy из Entware. Второй лучше, легкий, проще настраивается.
  14. Ну тогда попробуйте вместо GigabitEthernet0/Vlan1010 вбить Bridge1010 interface Bridge1010 mac address YOUR:OLD:MAC exit system configuration save
  15. Если у вас это GigabitEthernet0/Vlan1010, то именно его и надо настраивать. interface GigabitEthernet0/Vlan1010 mac address YOUR:OLD:MAC exit system configuration save
  16. А что там может ограничивать-то? Конечно, вы можете менять любые настройки сколько угодно раз.
  17. Командами interface GigabitEthernet1/Vlan1010 mac address YOUR:OLD:MAC exit system configuration save
  18. Да, интерфейс есть, поднят, но подключения нет. Как вариант - идет проверка сетевого оборудования по MAC-адресу. Решить эту проблему можно двумя путями, первый - прописать этому VLAN-интерфейсу MAC-адрес старого роутера, второй - позвонить провайдеру и попросить перерегистрировать MAC.
  19. Судя по этому - да. Зайдите в CLI (используя Telnet) и посмотрите свойства интерфейса, в котором есть сочетание букв и цифр Vlan1010 (обычно он называется GigabitEthernet0/Vlan1010), командой show interface GigabitEthernet0/Vlan1010
  20. Конфигурируя отдельный VLAN, Вы создали новый сетевой интерфейс. Его надо настраивать отдельно. Вам выдали данные соединения в этом VLAN? IP-адрес интерфейса, шлюз, серверы имен?
  21. Извиняюсь, у вас другая задача. По постановке задачи в заголовке можно было подумать, что внешнему интерфейсу присвоено несколько белых IP, и нужно пробросить порт только по одному из них. У вас же надо разрешить доступ к порту одному из адресов в интернете, здесь да, решается с помощью файрвола.
  22. Ну да, каждый сходит с ума по своему. На самом деле все там прозрачно, если смотреть не в веб-интерфейс (где как раз ничего не прозрачно), а в файл конфигурации.
  23. Не проще ли было бы сделать проброс не на интерфейс ISP, а именно на конкретный адрес этого интерфейса, командой ip static?
×
×
  • Create New...