gaaronk

Одно лечим, другое калечим Версия 4.0 Alpha 2 1. Проблема с 4мя пресогласованиями решена 2. Для GRE интерфейса задан ipsec encryption-level strong, на другой стороне задано AES_CBC_128/HMAC_SHA1_96/MODP_2048. Этот набор согласно документации для пресет strong поддерживается. Но пока не настроишь AES_CBC_128/HMAC_SHA1_96/MODP_1536 - ничего не работает. MODP_2048 для PFS не используется

Добрый день! Есть Giga III с софтом 3.8.5.4 - новее просто нет. GRE туннель с IPSec. В момент IPsec SA rekey происходит пересогласование CHILD_SA После 4х пересогласований IPsec рестартует. В логе появляется запись ndm: IpSec::CryptoMapInfo: "Gre1": too many active IKE/CHILD SA: 0/4. В моменты пересогласований (lifetime 60 секунд для тестов) в логе такое I [Jan 6 22:29:50] ndm: IpSec::CryptoMapInfo: "Gre1": crypto map active IKE SA: 1, active CHILD SA: 0. I [Jan 6 22:29:50] ndm: IpSec::CryptoMapInfo: "Gre1": crypto map active IKE SA: 1, active CHILD SA: 1. I [Jan 6 22:30:27] ndm: IpSec::CryptoMapInfo: "Gre1": crypto map active IKE SA: 0, active CHILD SA: 1. I [Jan 6 22:30:27] ndm: IpSec::CryptoMapInfo: "Gre1": crypto map active IKE SA: 0, active CHILD SA: 2. I [Jan 6 22:30:37] ndm: IpSec::CryptoMapInfo: "Gre1": crypto map active IKE SA: 0, active CHILD SA: 2. I [Jan 6 22:30:37] ndm: IpSec::CryptoMapInfo: "Gre1": crypto map active IKE SA: 0, active CHILD SA: 2. I [Jan 6 22:31:01] ndm: IpSec::CryptoMapInfo: "Gre1": crypto map active IKE SA: 0, active CHILD SA: 2. I [Jan 6 22:31:01] ndm: IpSec::CryptoMapInfo: "Gre1": crypto map active IKE SA: 0, active CHILD SA: 3. Такое поведение исправлено в ветке 3.9?

Это я сам дурак. После подготовки бинарников на внешней машине для гиги надо их конвертировать в little endian. А вот на Duo big endian, а файлики все равно ищутся в каталоге /opt/share/xt_geoip/LE, а не /opt/share/xt_geoip/BE

И еще вопрос. А как автоматический IPSec для GRE сделать routed в терминологии strongswan?

А можно ли для interface ipsec encryption-level задавать собственные наборы алгоритмов? А то встроенные не совсем устраивают....

А это я сам дурак. Надо проверять не только $table но и $type А то IPv6 firewall часто дергает mangle

Идут года, а хуками netfilter пользоваться все так же невозможно... Вот с такой частотой продолжает вызываться скрипт для таблицы mangle Fri Jun 24 06:41:47 MSK 2022 Fri Jun 24 06:46:25 MSK 2022 Fri Jun 24 06:46:59 MSK 2022 Fri Jun 24 06:51:47 MSK 2022 Fri Jun 24 06:51:47 MSK 2022 Fri Jun 24 06:54:14 MSK 2022 Fri Jun 24 06:55:47 MSK 2022 Fri Jun 24 06:59:15 MSK 2022 Fri Jun 24 07:00:47 MSK 2022 Fri Jun 24 07:01:22 MSK 2022 Fri Jun 24 07:02:47 MSK 2022 Fri Jun 24 07:04:17 MSK 2022 Версия 3.7.4

Странное дело. Есть Giga III и Duo. На обоих 3.7.4 (на гиге из delta). На обоих используется модуль xt_geoip Бинарные файлики стран которые готовятся xt_geoip_build делаются на внешней машине и одновременно загружаются в гигу и дуо. На Duo все работает как надо. На гиге под правило, например с параметрами -m geoip --dst-cc RU - попадает весь трафик. Если вместо RU выбрать любую другую страну - все равно матчит все.

Массовые врядли. Но strongswan + freeradius вполне. У меня дома все это так и поднято.

А вот так # lsmod | grep geoip xt_geoip 3414 0 - Live 0x82d2c000 (O) # iptables -m geoip --help iptables v1.4.21: Couldn't load match `geoip':No such file or directory Try `iptables -h' or 'iptables --help' for more information. И правила тоже не добавляет... Хотя вот вполне работает # iptables -m esp --help

Спасибо! Подключу туда IoT железку на 10 мегабит.

Добрый день! Скажите пожалуйста, я правильно понимаю что в Hero 4G WAN порт сидит через RGMII на отдельном MAC, а LAN порты через встроенный коммутатор? И если мы превращаем WAN в LAN, то между бывшим WAN и LAN портами будет программный бриджинг? Если это не так и все аппаратно - то почему на GigabitEthernet1/0 нельзя сделать switchport mode trunk ?

Надо Feature Request пилить

Печально что тема 2017 года, а изменений нет =(

Оно работает так Chain _NDM_STATIC_SNAT (1 references) num pkts bytes target prot opt in out source destination 4 0 0 SNAT all -- * ppp0 10.0.10.0/30 0.0.0.0/0 ndmmark match 0x4/0x4 to:x.x.x.x Что верно. Я не помню переделывали ли логику netfilter в кинтетиках, но в стандартом линуксе в этой цепочке нельзя делать match по входному интерфейсу. Поэтому тут надо явно задавать сети. А вот тот то оно добавляет сети в DNAT - в том и печаль.

Ну да, как тут правильно отписали ip static <in-iface> <out-iface> еще в source добавляет сеть прибитую к интерфейсу. Я проблему подпер костылем - делаю NAT по нужным условиям на другом конце туннеля. Там просто линукс. Использовать руки Opkg тоже невозможно =(

Вот это "network соответствует интерфейсу c уровнем безопасности public" крайне расплывчато. Назначена на интерфейсе? Маршрутизируется в интерфейс? Непонятно но что что значит public. Да и потом. О какой сети/интерфейсе идет речь? Для команды ip static 192.168.0.0 255.255.0.0 PPPoE0 Мы говорим про 192.168.0.0 255.255.0.0 или про PPPoE0 ?

Сеть 192.168.0.0/16 не соответствует никакому интерфейсу. Она маршрутизируется в сторону интерфейса Wireguard0. На нем стыковочный адрес с маской /30. Он private interface Wireguard0 description VPN security-level private ip address 10.0.10.2 255.255.255.252 ip mtu 1400 ip tcp adjust-mss pmtu wireguard listen-port x.x.x.x wireguard peer <key> endpoint x.x.x.x:yyy keepalive-interval 10 preshared-key <key> allow-ips 0.0.0.0 0.0.0.0 ! up ! ip route 192.168.0.0 255.255.0.0 10.0.10.1 Wireguard0

Добрый день! Что то никак не могу решить задачу через web-ui или cli. Для сети 192.168.0.0/16 (доступной через туннель) при выходе в интернет и только туда, надо делать SNAT в адрес интерфейса. Для пример - команда CLI ip static 192.168.0.0 255.255.0.0 PPPoE0 прописывает не только SNAT, но и DNAT правило типа такого Chain _NDM_STATIC_DNAT (1 references) num pkts bytes target prot opt in out source destination 1 8 512 DNAT all -- * * 0.0.0.0/0 192.168.0.0/16 to:1.9.5.31 Что совсем мешает жить и работать

Есть DUO с 3.5.6 GRE туннель, который потом шифруется IPSec в ручном режиме. Ping-check привязанный к другому адресу туннеля, и маршрут со свойством auto Примерно так ping-check profile ipsec-gre host 192.168.10.21 update-interval 3 mode icmp min-success 3 max-fails 3 timeout 3 ip route 192.0.2.0 255.255.255.0 192.168.10.21 Test auto interface Gre1 rename Test security-level private ip address 192.168.10.22 255.255.255.252 ip mtu 1400 ip tcp adjust-mss pmtu ping-check profile ipsec-gre ipsec ignore tunnel source PPPoE0 tunnel destination x.x.x.x up Когда туннель в up, все отлично. Если туннель падает, то интерфейс переходит в состояние "connected: no", маршрут из таблицы маршрутизации уходит. Но при этом процесс ndm начинает есть 50% CPU и весле лог забивается записями C [Jan 14 15:29:25] ndm: Network::Util::Route4: system failed [0xcffd025a]. C [Jan 14 15:29:25] ndm: Network::Util::Route4: system failed [0xcffd0407]. C [Jan 14 15:29:25] ndm: Network::Util::Route4: system failed [0xcffd025a]. C [Jan 14 15:29:25] ndm: Network::Util::Route4: system failed [0xcffd0407]. C [Jan 14 15:29:25] ndm: Network::Util::Route4: system failed [0xcffd025a]. C [Jan 14 15:29:25] ndm: Network::Util::Route4: system failed [0xcffd0407]. C [Jan 14 15:29:31] ndm: Network::Util::Route4: system failed [0xcffd025a]. C [Jan 14 15:29:31] ndm: Network::Util::Route4: system failed [0xcffd0407]. C [Jan 14 15:29:31] ndm: Network::Util::Route4: system failed [0xcffd025a]. C [Jan 14 15:29:31] ndm: Network::Util::Route4: system failed [0xcffd0407]. C [Jan 14 15:29:31] ndm: Network::Util::Route4: system failed [0xcffd025a]. C [Jan 14 15:29:31] ndm: Network::Util::Route4: system failed [0xcffd0407]. Есть правда маршруты добавленные через shell ip route replace blackhole 10.0.0.0/8 ip route replace blackhole 172.16.0.0/12 ip route replace blackhole 192.168.0.0/16 Есть маршруты которые добавляет bird

Хорошая мысль, да. Проклятый Silicon Power. В помойку его.

Товарищи учёные! У меня в подвале происходит подземный стук... Keenetic DUO. 3.5.6 Пять раз ставил entware. На разные разделы. Форматировал ext2, ext3, ext4. Линуксом и самим entware. Флешка 8 гиг, раздел создается размером в 1 гиг. Ставится пачка пакетов. Занято порядка 40 мегабайт. Все хорошо. пакеты ставятся, все конфигурируется. Команда sync отрабатывает.В логах чисто. Каждый раз после смены перезагрузки файловая система разлетается на куски. Директория etc читается частично. Внезапно показывает занятого места 300-400 мегабайт Куча ошибок вида EXT4-fs error (device sda1): ext4_mb_generate_buddy:756: group 1, block bitmap and bg descriptor inconsistent: 30068 vs 30073 free clusters EXT4-fs (sda1): initial error at time 1610570814: ext4_lookup:1591: inode 15649 EXT4-fs (sda1): last error at time 1610573351: ext4_mb_generate_buddy:756 EXT4-fs error (device sda2): __ext4_new_inode:864: comm mkdir: reserved inode found cleared - inode=5 EXT4-fs error (device sda1): ext4_mb_generate_buddy:756: group 1, block bitmap and bg descriptor inconsistent: 29955 vs 29978 free clusters EXT4-fs error (device sda1): ext4_mb_generate_buddy:756: group 2, block bitmap and bg descriptor inconsistent: 32273 vs 32274 free clusters До ребута все хорошо. Делаешь sync - все хорошо. Перезагрузка и кранты.

А скажите пожалуйста. В свежей прошивке 3.5.х этих строк уже нет. Только EIP93: AES acceleration registered EIP93: DES/3DES acceleration registered EIP93: CryptoAPI started (v 0.11, ring size: 256) Это нормально?

Ох. Заголовок неверный. Так проблема только с HTTPS. Просто HTTP, ssh, telnet в тот же самый момент работают юзе проблем.

Если такие вложенные замены можно делать, то конечно можно ужать. Я просто копипастил из linksys с конвертацией из его формата. Вопрос решится так же тем что цена трубка + донгл оказалось больше чем новый Panasonic TGP500 (удалось найти).