[Entware-3x. Проблемы с установкой, настройки...]

11 минуту назад, Lunoxod1 сказал:

Во время установки пакета "ndmq" произошла ошибка.

Пакет ndmq выпилен, как я понимаю.

[ENTWARE для Keenetic Peak]

10 часов назад, Александр Рыжов сказал:

В установщиках больше не будет ndmq.

Ну да, такого пакета больше нет. А как теперь взаимодействовать с CLI?

[Проблемы после обновления Entware]

29 минут назад, Mihail_Boyanskiy сказал:

Ну или как сделать чтоб ssh не умирал?

Можно попробовать вместо пакета dropbear пакет openssh-server.

И добавить раздел свопа, swap.

41 минуту назад, Mihail_Boyanskiy сказал:

Можно ли включить лог Entware?

Попробуйте поставить пакет syslog-ng.

[Автоматическая смена пароля Wi-Fi сети по расписанию]

В 24.08.2021 в 22:56, lascorpio сказал:

т.е. роутер бы генерил пароль, менял его и где-то публиковал.

1. Ставим и настраиваем OPKG

2. Заходим по SSH, ставим три пакета

   opkg install cron ndmq mc

    

3. FTP-сервер по вкусу, можно из коробки, можно из entware. Как по мне - так тот, что из компонента "FTP-сервер" удобнее, можно пользователей заводить в интерфейсе роутера.
4. Пишем скрипт 

   mcedit ./pw_gen

   
   Скрипт может быть примерно такой

   #!/bin/sh
   
   # Options
   FTP_DIR="/your/ftp/directory"
   FILE_PASSWORD="password"
   
   # Generate a pasword
   PASSWD_GEN=`dd if=/dev/urandom bs=16 count=1 oflag=direct|sha256sum|cut -c 1-8`
   
   # Put password to file
   echo $PASSWD_GEN > $FTP_DIR/$FILE_PASSWORD
   
   # Change WPA-PSK key
   ndmq -p "interface GuestWiFi authentication wpa-psk $PASSWD_GEN"

    

5. делаем скрипт исполняемым и помещаем его в директорию cron.daily (пакет cron установили выше)

   cp ./pw_gen /opt/etc/cron.daily
   chmod 755 /opt/etc/cron.daily

По поводу каталога /your/ftp/directory. Если в качестве FTP-сервера используется компонент "FTP-сервер"

Флэшку, или диск подключенный к роутеру, можно разбить на два раздела. Один под Entware, второй под файлы.

Оба раздела будут видны из Entware, но только один из них будет доступен простым пользователям по FTP - тот, что отведен под файлы.

Оба раздела монтируются в файловой системе роутера в директорию /tmp/mnt в виде, например, таком

/tmp/mnt/f612ceca-4826-45a6-af92-2ba3aa33ea77
/tmp/mnt/cd6ba69a-d125-4624-8bea-f4d80a2d5343

Под OPKG, допустим, выделен раздел /tmp/mnt/f612ceca-4826-45a6-af92-2ba3aa33ea77, тогда /your/ftp/directory будет /tmp/mnt/cd6ba69a-d125-4624-8bea-f4d80a2d5343, то есть

# Options
FTP_DIR=/tmp/mnt/cd6ba69a-d125-4624-8bea-f4d80a2d5343

 

[Автоматическая смена пароля Wi-Fi сети по расписанию]

Dropbear тоже поддерживает авторизацию по ключам, но файл authorized_keys при этом должен лежать в директории /opt/etc/dropbear.

Проще всего в Entware сделать симлинк файла /opt/root/.ssh/authorized_keys в директорию /opt/etc/dropbear

ln -s /opt/root/.ssh/authorized_keys /opt/etc/dropbear

После чего можно давать команды используя ssh.

[Автоматическая смена пароля Wi-Fi сети по расписанию]

  

7 часов назад, lascorpio сказал:

Стоит задача раз в сутки менять пароль гостевой вай-фай сети

Как вариант -

1. ставим компонент "Сервер SSH"
2. устанавливаем приложение Putty plink, так как к сожалению компонент не поддерживает авторизацию по ключу
3. команда в скрипте выглядит примерно так

   plink 192.168.100.1 -P 22 -l admin -pw YourAdminPassword -batch "interface GuestWiFi authentication wpa-psk 'test23445556'"

   -P - порт, если стандартный, 22, можно не указывать
   -l - пользователь (не root, а admin)
   -pw - пароль
   -batch - подавляет интерактивные запросы
   "interface GuestWiFi authentication wpa-psk 'test23445556'" - команда CLI, меняющая пароль сети Wi-Fi.

Если на роутер установлен Entware, то вместо штатного dropbear можно установить пакет openssh-server, он поддерживает авторизацию по ключу.

В этом случае компонент "Сервер SSH" устанавливать не надо. Но в entware надо установить пакет ndmq, это приложение, которое позволяет вводить команды CLI (для процессоров ARM64 пока не работает).

ssh root@192.168.100.1 ndmq "interface GuestWiFi authentication wpa-psk 'test23445556'"

В entware пользователь именно root.

 

[Проблемы после обновления Entware]

2 часа назад, Mihail_Boyanskiy сказал:

Ошибка - Network Connection Refused.

Приложений и сервисов много установлено? Или соединений? Памяти свободной сколько? Если войти не удается, скорее всего убивается сервис ssh. Изначально в качестве оного установлен dropbear. Вылетать может как сам по себе, так и при нехватке памяти он может убиваться механизмом OOM Killer.

[Бесшовный Wi-Fi роуминг с NWA1123-AC-HD, через Keenetic Giga]

В 17.08.2021 в 22:52, Herr Kaputt сказал:

впредь буду настаивать на старых добрых решениях/комплектах от МикроТика и Убикьюти

Я фигею... Значит некто подобрал оборудование абы как, не читая, ошибочно считая, что у него "общие корни" (хотя это ничерта не так, операционные системы совершенно разные), а виноват Keenetic.

Еще и ножками топают... Ну-ну.

 

[ENTWARE для Keenetic Peak]

18 часов назад, ShadoW сказал:

Попробуйте:

ndmq -x -p "show interface Bridge0"

Парсить строки оно обязано и без параметра -x, он отвечает за вывод.

Поэтому вполне ожидаемо -

ndmq -x -p "show interface Bridge0"
Error: unknown option ""

 

[ENTWARE для Keenetic Peak]

В 19.07.2021 в 20:08, snark сказал:

А с ndmq никаких проблем не наблюдается? А то при установке Entware таймзоны не встали и 'ndmq -p' выдает  у меня выдает Error: unknown option ""

Аналогично.

ndmq -p "show interface Bridge0"
Error: unknown option ""

Хотя та же команда в CLI выдает нормальный результат.

Пробовал и одинарные,  и двойные кавычки.

[Сделать возможность сброса кеша DNS без перезагрузки]

Можно ли? Кнопочку какую-нибудь, на худой конец, командочку в CLI?

[vpn-server, static-ip и проч]

12 часа назад, r13 сказал:

Да чего мелочиться, OSPF

 

"Не мелочатся" так - BGP!

[L2TP и добавление маршрута по умолчанию]

До последней версии (3.4.12) при подключении пользователя к роутеру keenetic по протоколу L2TP (в том числе через IPsec) маршрут по умолчанию через интерфейс ppp добавлялся только при установленной галочке "NAT для клиентов".

Сейчас это происходит всегда. Можно ли вернуть старое поведение, добавлять только маршрут до нужной сети, без маршрута по умолчанию?

$route
Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
default         0.0.0.0         0.0.0.0         U     50     0        0 ppp0
default         _gateway        0.0.0.0         UG    100    0        0 enp4s0
90.189.ххх.хх   _gateway        255.255.255.255 UGH   100    0        0 enp4s0
link-local      0.0.0.0         255.255.0.0     U     1000   0        0 virbr0
192.168.1.1     0.0.0.0         255.255.255.255 UH    50     0        0 ppp0
192.168.80.0    0.0.0.0         255.255.255.0   U     100    0        0 enp4s0
_gateway        0.0.0.0         255.255.255.255 UH    100    0        0 enp4s0
192.168.122.0   0.0.0.0         255.255.255.0   U     0      0        0 virbr0

 

[Dual WAN с возможностью выбора канала с компьютера]

57 минут назад, Krabik сказал:

А нельзя ли привязываться не к IP, а к интерфейсам?

В 3proxy я таких опций не нашел. Возможно в squid есть

 

53 минуты назад, keenet07 сказал:

Если вместо ip адреса WAN-интерфейса указать адрес полученный VPN соединением на роутере, тоже будет работать?

Mаршрутизируемый адрес нужен. Наиболее простой путь - делаем VPN-соединение, ставим при этом галочку "Использовать для выхода в Интернет", появляется еще одно соединение. Тогда адрес этого соединения можно указывать в 3proxy. Сложнее - надо будет мутить с маршрутами или iptables.

[Dual WAN с возможностью выбора канала с компьютера]

А безопаснее вот так (нет соединений на внешних интерфейсах):

daemon
pidfile /opt/var/run/3proxy.pid
nscache 65536
nserver 127.0.0.1

config /opt/etc/3proxy/3proxy.cfg
monitor /opt/etc/3proxy/3proxy.cfg
monitor /opt/etc/3proxy/counters
monitor /opt/etc/3proxy/passwd
monitor /opt/etc/3proxy/bandlimiters

log /opt/var/log/3proxy.log D
rotate 60
counter /opt/etc/3proxy/3proxy.3cf

#users $/opt/etc/3proxy/passwd

include /opt/etc/3proxy/counters
include /opt/etc/3proxy/bandlimiters

auth none
allow *
proxy -d -iLOCAL.IP.ADDRESS -pPORT_HTTP_HTTPS_FTP -eEXTERNAL.IP.ADDRESS -n
socks -d -iLOCAL.IP.ADDRESS -pPORT_SOCKS -eEXTERNAL.IP.ADDRESS
flush

allow admin
admin -iLOCAL.IP.ADDRESS -pPORT_ADMIN

LOCAL.IP.ADDRESS - локальный IP-адрес роутера (например, 192.168.1.1)

EXTERNAL.IP.ADDRESS - реальный IP-адрес WAN-интерфейса

PORT_HTTP_HTTPS_FTP - порт для проксирования протоколов HTTP, HTTPS, FTP, не занятый другими протоколами (например, 5080)

PORT_SOCKS - порт для проксирования SOCKS 4/5, не занятый другими протоколами (например, 5081)

PORT_ADMIN - порт страницы администрирования прокси-сервера, на которой, впрочем, нет почти ничего интересного.

Это простейший конфиг, в 3proxy много опций для запретов/разрешений, можно ограничивать доступ с некоторых IP, и прочее.

[Dual WAN с возможностью выбора канала с компьютера]

4 часа назад, keenet07 сказал:

Чтоб через второй неактивный интерфейс ходить через прокси?

Он всегда активен. Просто через него не проходит маршрут по умолчанию. А проксировать пакеты на него используя 3proxy можно. Желательно купить услугу "белый IP" для обоих WAN.

Вот рабочий конфиг 3proxy

daemon
pidfile /opt/var/run/3proxy.pid
nscache 65536
nserver 127.0.0.1

config /opt/etc/3proxy/3proxy.cfg
monitor /opt/etc/3proxy/3proxy.cfg
monitor /opt/etc/3proxy/counters
monitor /opt/etc/3proxy/passwd
monitor /opt/etc/3proxy/bandlimiters

log /opt/var/log/3proxy.log D
rotate 60
counter /opt/etc/3proxy/3proxy.3cf

#users $/opt/etc/3proxy/passwd

include /opt/etc/3proxy/counters
include /opt/etc/3proxy/bandlimiters

auth strong
deny * * 127.0.0.1
allow *
proxy -n

auth none
allow *
proxy -d -iLOCAL.IP.ADDRESS -p5080 -eEXTERNAL.IP.ADDRESS -n
socks -d -iLOCAL.IP.ADDRESS -p5081 -eEXTERNAL.IP.ADDRESS
flush

allow admin
admin -p8080

 

[Dual WAN с возможностью выбора канала с компьютера]

8 часов назад, Krabik сказал:

Беглый гуглинг не показал наличие Proxy Server в Keenetic.

Squid, 3proxy из Entware. Второй лучше, легкий, проще настраивается.

[Сломан монитор трафика]

3 часа назад, vrodetogo сказал:

А реально запилить сбор статистики потребления трафика за неделю?

Реально. На внешнем сервере - хоть по каждому клиенту в сети. Инструменты для этого есть - сенсор NetFlow, сервер SNMP.

[Как настроить телефонию?]

Ну тогда попробуйте вместо GigabitEthernet0/Vlan1010 вбить Bridge1010

interface Bridge1010
mac address YOUR:OLD:MAC
exit
system configuration save

 

[Как настроить телефонию?]

6 минут назад, Red Sparrow сказал:

Прошу прощения, что достаю.

Если у вас это GigabitEthernet0/Vlan1010, то именно его и надо настраивать.

interface GigabitEthernet0/Vlan1010
mac address YOUR:OLD:MAC
exit
system configuration save

 

[Как настроить телефонию?]

Только что, Red Sparrow сказал:

Спасибо, соответственно так можно делать любое количество раз?

А что там может ограничивать-то? Конечно, вы можете менять любые настройки сколько угодно раз.

[Как настроить телефонию?]

4 минуты назад, Red Sparrow сказал:

как прописать этому VLAN-интерфейсу MAC-адрес старого роутера

Командами

interface GigabitEthernet1/Vlan1010
mac address YOUR:OLD:MAC
exit
system configuration save

 

[Как настроить телефонию?]

23 минуты назад, Red Sparrow сказал:

Это оно?

Да, интерфейс есть, поднят, но подключения нет. Как вариант - идет проверка сетевого оборудования по MAC-адресу. Решить эту проблему можно двумя путями, первый - прописать этому VLAN-интерфейсу MAC-адрес старого роутера, второй - позвонить провайдеру и попросить перерегистрировать MAC.

[Как настроить телефонию?]

3 минуты назад, Red Sparrow сказал:

Насколько я понял там все автоматически

Судя по этому - да. Зайдите в CLI (используя Telnet) и посмотрите свойства интерфейса, в котором есть сочетание букв и цифр Vlan1010 (обычно он называется GigabitEthernet0/Vlan1010), командой show interface  GigabitEthernet0/Vlan1010

[Как настроить телефонию?]

28 минут назад, Red Sparrow сказал:

телефония приходит по отдельному VLAN

Конфигурируя отдельный VLAN, Вы создали новый сетевой интерфейс. Его надо настраивать отдельно. Вам выдали данные соединения в этом VLAN? IP-адрес интерфейса, шлюз, серверы имен?