Jump to content

gaaronk

Forum Members
 View Profile  See their activity

  • Posts

    299

  • Joined

  • Days Won

    3

 Content Type 

Posts posted by gaaronk

    Функциональность Keenetic DECT

    in Обсуждение Keenetic Plus DECT

    Posted

    5 hours ago, des said:

    @gaaronkМы сейчас делаем новый USB донгл для подключения проводных телефонов, поэтому любые примеры того, что в текущей реализации неудобно, будут очень полезными.

    Ну у меня специфические задачи. Мне гарное аппарате (dect или проводной) довести до asterisk, который и держит все линии и сам везде маршрутизирует. С учетом что звонки внутренние, офис, РФ, Украина, то пока вот так:

    2xxx|8[3-9]xxxxxxxxx|71[027]x|715xx|7[2-5]xxxxxx|70[1-9]xxxxxxxx|0441[027]x|04415xx|0[1-9]xxxxxxxx|9xxxx|(81038>)0[1-9]xxxxxxxx|810xxxxxxxx.

     

    • Upvote 1

    3.4.6 - доступ по HTTP

    in Обмен опытом

    Posted

    Обновил верси 3.1.12 до версии 3.4.6 на двух маршрутизатора Start и Giga III

    При доступе по HTTPS постоянная картина - web интерфейс не открывается какое то время, чего то ждет. Потом через пару минут - можно попасть в админку. 

    Снял дам трафика. Начинается обычная TCP сессия, потом в какой то момент в пакетах от кинетика получаю TCP Spurious Retransmission.  Дальше непрерывно DUP ACK  и TCP Retransmission порядка минуты.

    Видно что броузер делает сессии reset и начинает заново. И сразу же DUP ACK  и TCP Retransmission непрерывно. Снова рвет сессию и в третий раз все чудесно работает.

     

    Откатил на Giga III - все паузы ушли.

     

    Могу выложить dump трафика.

    Функциональность Keenetic DECT

    in Обсуждение Keenetic Plus DECT

    Posted

    2 hours ago, des said:

    Надо было как-то ограничить. А что Вы с ним делаете, что не влезает? Какое оно у Вас?

    В принципе я разобрался уже. Все равно сам сервер телефонии ограничивает. Такое развесистое правило набора нужно было для проводных телефонов где подняли трубку и жмем клавиши. что бы не ждать паузы - окончания набора номера, а набирать мгновенно. 

    В DECT это не играет роли. номер набрали - зеленую кнопку нажали.

    Правила IPtables mangle

    in Обмен опытом

    Posted

    А скажите, работа с iptables планируется к изменению? Версия 3.4.6

    Вот простой скрипт  

    #!/bin/sh

[ "$table" != "mangle" ] && exit 0

echo `date` >> /tmp/mangle.tstmp

exit 0

     

    Вот вывод скрипта. Нормально и корректно добавить свои правила в таблицу mangle через хук реально невозможно.  Или может есть вариант сказать прошивке что я хочу добавлять и она сама будет это вписывать при каждом передёргивании? 

    Sun Jun 14 23:04:31 MSK 2020
Sun Jun 14 23:04:31 MSK 2020
Sun Jun 14 23:04:31 MSK 2020
Sun Jun 14 23:04:31 MSK 2020
Sun Jun 14 23:04:31 MSK 2020
Sun Jun 14 23:04:31 MSK 2020
Sun Jun 14 23:04:31 MSK 2020
Sun Jun 14 23:04:31 MSK 2020
Sun Jun 14 23:04:31 MSK 2020
Sun Jun 14 23:04:31 MSK 2020
Sun Jun 14 23:04:31 MSK 2020
Sun Jun 14 23:04:31 MSK 2020
Sun Jun 14 23:04:31 MSK 2020
Sun Jun 14 23:04:31 MSK 2020
Sun Jun 14 23:04:31 MSK 2020
Sun Jun 14 23:04:31 MSK 2020
Sun Jun 14 23:04:31 MSK 2020
Sun Jun 14 23:04:31 MSK 2020
Sun Jun 14 23:04:32 MSK 2020
Sun Jun 14 23:04:32 MSK 2020
Sun Jun 14 23:04:32 MSK 2020
Sun Jun 14 23:04:32 MSK 2020
Sun Jun 14 23:04:32 MSK 2020
Sun Jun 14 23:04:32 MSK 2020
Sun Jun 14 23:04:32 MSK 2020
Sun Jun 14 23:04:32 MSK 2020
Sun Jun 14 23:04:32 MSK 2020
Sun Jun 14 23:04:32 MSK 2020
Sun Jun 14 23:04:32 MSK 2020
Sun Jun 14 23:04:32 MSK 2020
Sun Jun 14 23:04:32 MSK 2020
Sun Jun 14 23:04:32 MSK 2020
Sun Jun 14 23:04:32 MSK 2020
Sun Jun 14 23:04:33 MSK 2020
Sun Jun 14 23:04:33 MSK 2020
Sun Jun 14 23:04:33 MSK 2020
Sun Jun 14 23:04:33 MSK 2020
Sun Jun 14 23:04:33 MSK 2020
Sun Jun 14 23:04:33 MSK 2020
Sun Jun 14 23:04:33 MSK 2020
Sun Jun 14 23:04:33 MSK 2020
Sun Jun 14 23:04:33 MSK 2020
Sun Jun 14 23:04:33 MSK 2020
Sun Jun 14 23:04:33 MSK 2020
Sun Jun 14 23:04:33 MSK 2020
Sun Jun 14 23:04:33 MSK 2020
Sun Jun 14 23:04:33 MSK 2020
Sun Jun 14 23:04:33 MSK 2020

     

    Wireguard always UP

    in Развитие

    Posted

    Хорошо. Насчет state я ошибся. Не проблема. Посмотрел не туда. Туда это вот - link: down. Не суть.

    Суть что пропадает маршрут, это да.

    Wireguard always UP

    in Развитие

    Posted

    Для того что бы в интерфейс пошел трафик,  он стал  link up, connected yes надо что бы трафик туда попал. Хост изнутри пингует дальнюю с сторону. Маршрута нет, и пинг идет не в интерфейс wireguard,  а в дефолт. Нет трафика - нет маршрута. А нет маршрута - нет трафика.

    Wireguard always UP

    in Развитие

    Posted

    Изнутри инициируют соединение не в подсеть на интерфейсе, а сеть лежащую за интерфейсом. И это как раз проблема. Конечно пинги на стыковочные адреса работают.

    Wireguard always UP

    in Развитие

    Posted

    Как же не идет, когда идет?

    было state: up стало state: down

    Это никак не связанно с netfilter. Вообще никак. 

    А трафик изнутри не пойдет. Нет маршрута в интерфейс. Да, это видимо внутрення логика - state стал down - убрали маршрут. Тут два варианта - обвешивать эту логику всякими if на предмет - это интерфейс Wireguard или нет.

    Или отключить выключение состояния интерфейса, что проще, как мне кажется.

    Wireguard always UP

    in Развитие

    Posted

    Ну тогда процитирую.

     

    PersistentKeepalive — a seconds interval, between 1 and 65535 inclusive, of how often to send an authenticated empty packet to the peer for the purpose of keeping a stateful firewall or NAT mapping valid persistently.

    Между пирами у меня нет ни NAT, ни stateful firewall.

    Wireguard always UP

    in Развитие

    Posted

    Нет, Keepalives это для пробития NAT. А тут оба пира на белых адресах. На кинетике когда нет хендшейка - интерфейс идет в down, и из таблицы попадает маршрут привязанный к этому интерфейсу.

    На linux - нет хендшейка и нет себе. 

    Хочется по ряду причин не использовать keepalive. Трафик бегает в этом туннеле очень редко. И хочется объем трафика минимизировать по максимуму.

    Start и IPSec vs Wireguard

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted

    Читаю читаю документации  и пытаюсь понять.

    Если у меня на роутере два GRE туннеля, то мне аналогично надо будет сделать два wireguarg интерфейса (каждый на своем listen port), каждый с одним пиром и AllowedIPs 0.0.0.0 ?

    Потому что я не могу создать один wg интерфейс, с адресом с маской /24 и несколькими пирами у которых AllowedIPs 0.0.0.0 ? Потому что заранее казать какие чета лежат за пиром невозможно, как маршрутизация ляжет.

    Как то так  

      interface Wireguard0
   description "VPN 1"
   security-level public
   ip address 172.16.1.1 255.255.255.248
   wireguard listen-port 1501
   
   wireguard peer 11111....
   endpoint 1.1.1.1:1501
   keepalive-interval 15
   allow-ips 0.0.0.0 0.0.0.0
   
  
  interface Wireguard1
   description "VPN 2"
   security-level public
   ip address 172.16.2.1 255.255.255.248
   wireguard listen-port 1502
   
   wireguard peer 2.2.2.2....
   endpoint 2.2.2.2:1502
   keepalive-interval 15
   allow-ips 0.0.0.0 0.0.0.0

     

    Ну а дальше рулить маршрутизацией?

    Start и IPSec vs Wireguard

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted

    Добрый день!

     

    Есть Kennetic Start KN-1110. Для соединения двух сетей сейчас используется GRE туннель с IPSec. Аппаратный ускоритель обрабатывает только шифрование, хэширование как я понимаю делается программно. 

    Поэтому для ESP настроено AES128-SHA1

    Если заменить IPSec на Wireguard (который полностью программный) - будет ли снижение нагрузки на систему? Проверить самостоятельно сложно - рутер стоит далеко с ограниченным доступом.

    Обновление dropbear - ECDSA

    in Вопросы по сборке и настройке Opkg

    Posted · Edited by gaaronk

    Недавно в entware обновился dropbear. Добавили поддержку ed25519.

    Вот только авторы dropbear для большей совместимости перешли для ecdsa на nistp256 вместо nistp512

    В ходе обновления генерируется dropbear_ed25519_host_key, но не трогается существующий dropbear_ecdsa_host_key. А он уже не того формата. Dropbear его не грузит с ошибкой.

     

    В итоге вместо host key algorithms: ssh-ed25519,ecdsa-sha2-nistp256,ssh-rsa предлагается только host key algorithms: ssh-rsa

      

    Если dropbear_ecdsa_host_key перегенировать руками то все приходит в норму

    Route-based IPSec

    in Развитие

    Posted

    Так в чем проблема делать через GRE туннели? У меня так и сделано. GRE интерфейсы, шифруются strongswan в транспортном режиме. Внутри GRE и статическая маршрутизация и динамическая.

    IPv6 DHCP mode

    in Обмен опытом

    Posted

    Добрый день. 
     

    Включён IPv6 segment в режиме mode dhcp

     

    Судя по всему разным клиентам выдаются одинаковые адреса. Как посмотреть dhcp6 lease для домашнего сегмента?

    IPv6 firewall

    in Обмен опытом

    Posted

    Вопрос. А зачем при включённом ipv6 firewall открыты все порты на вход со стороны оборудования провайдера?

    В цепочке INPUT есть правило разрешающее все для source fe80::/10

    В том числе и со стороны WAN интерфейса. По сути с link local адресов провайдера есть полный доступ к маршрутизатору. 
     

    версия 3.1.10

    • Thanks 1

    Правила IPtables mangle

    in Обмен опытом

    Posted · Edited by gaaronk

    Прошу прощения за задержку с ответом.

    Нет, полиси роутинга нет, но есть IPSec site-to-site. Такое впечатление что дергается в момент перестроения IKE SA, а не IPSec SA. 

     

    Насчёт -w спасибо, попробую. 

    Правила IPtables mangle

    in Обмен опытом

    Posted

    Подскажите пожалуйста, как правильно добавлять правила в цепочку PREROUTING в таблицу mangle ?

    Надо добавить три правила. Через скрипт в /opt/etc/ndm/netfilter.d/ это сделать НЕ ПОЛУЧАЕТСЯ.

    Скрипт дергается 5-6 раз в секунду. Вот например время когда вызывался скрипт.

    Mon Jul 8 06:10:36 MSK 2019
    Mon Jul 8 06:10:36 MSK 2019
    Mon Jul 8 06:10:36 MSK 2019
    Mon Jul 8 06:10:36 MSK 2019
    Mon Jul 8 06:10:36 MSK 2019
    Mon Jul 8 06:10:49 MSK 2019
    Mon Jul 8 06:10:49 MSK 2019
    Mon Jul 8 06:10:49 MSK 2019
    Mon Jul 8 06:10:49 MSK 2019
    Mon Jul 8 06:10:49 MSK 2019
    Mon Jul 8 06:10:50 MSK 2019

    В итоге получается полная каша. Правила или дублируются, или не вставляются. Или вставляется 1-2 из трех.

    Как ПРАВИЛЬНО это делать? 

    Настройка IPsec для NDMS

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted

    11 hours ago, Alexander Eerie said:

    а если нет усб?) да наверное надо свой мод прошивки делать...

     

     

    квага привычней.. ну можно и бёрд.)
    насчёт белых.. для gre нужен удаленный адрес на обоих концах знать для transport mode, а туннель внутри тунеля - опять вручную прописывать айпишники на сервере и на клиенте. В этом случае проще l2tp гонять - там все настройки в одном месте
     

    Нет не надо.

    В центре для удаленных точек которые за NAT можно не указывать адрес удаленной точки. 

    tunnel source <WAN> или tunnel source auto

    а tunnel destination вообще не выставляем.

    Именно так все и работает, адрес автоматически выставляется на основе политики, полученной от IPsec.

    Можно даже автотуннели настроить, главное что бы имена интерфейсов на разных концах туннеля совпадали. 

    То есть  центре создаете интерфейсы Gre1 и Gre2.

    На первой удаленной точке делаете Gre1 интерфейс, на второй соотвественно Gre2

    Все работает. Все описано. Каждая точка стучится в центр, при смене адреса у нее туннель переподнимается автоматом. 

    Настройка IPsec для NDMS

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted

    On 9/18/2018 at 11:55 PM, Alexander Eerie said:

    как же мне звезду сделать....

    Натяните везде GRE туннели и их шифруйте IPSec'ом. А там внутрь туннеля по маршрутизации что хотите то и отправляйте. У меня внутри туннелей бегает ospf на базе bird.

×
×
  • Create New...