Jump to content

sabretoothedhamster

Forum Members
  • Posts

    16
  • Joined

  • Last visited

Everything posted by sabretoothedhamster

  1. День добрый! Поделитесь, у кого какие есть наработки в управлении встроенным firewall-ом в кинетиках? Чтобы можно было загружать адреса списком из файлов, включать/выключать правила по группам и т.п.
  2. Знатоки, подскажите, есть ли какие-нибудь тонкости в настройке и использовании функции port forwarding у кинетиков? У меня есть модем/раутер, через который я получаю интернет, и который умеет отмечаться в syslog, есть Keenetic Giga III 3.5.10, через который в интернет выходит локальная сеть (т.е. он тоже в режиме router), в которой работает сервер, собирающий syslog-логи. Модем выдаёт локальный адрес кинетику (это сегмент ISP), плюс сам кинетик управляет локалкой (сегмент Home, NAT+DHCP). Модем, увы, не умеет правильно посылать syslogи в локальную сеть, поэтому я задал ему в качестве syslog-сервера - адрес кинетика, а на кинетике завел port forwarding rule, которое должно из сегмента ISP форвардить пакеты UDP/514 на стоящий в локальной сети (сегмент Home) syslog-север, на тот же порт 514. Однако, вся эта машинерия не достигает требуемого результата. При включении packet capture (и на модеме, и на кинетике), видны правильные UDP пакеты, идущие от модема к кинетику, а packet capture в сегменте Home показывает, что эти пакеты пропадают где-то внутри кинетика (т.е. это правило прекрасно захватывает пакеты, которые посылает сам кинетик (он тоже настроен сливать свои логи на тот же syslog-сервер), но не видит никаких пакетов, которые, предположительно, должны быть зафорваржены от модема). В логе кинетика никаких ошибок и предупреждений нет. Может, у кого-нибудь возникнут идеи, куда ещё можно потыкать/посмотреть, чтобы понять причины этого казуса? Как, например, включить на кинетике расширенную диагностику/логирование именно для port forwarding?
  3. Торрент запускается на ноуте (причём, как правило, на любом из двух имеющихся), подключенном (обычно) в ведомому кинетику.
  4. Я не прошу решить мою проблему. Я прошу подсказать, куда мне самому стоит посмотреть, чтобы понять её причины. Особенно, если кто-то сталкивался с подобным, и по симптомам узнает знакомую ситуацию...
  5. Спасибо! Интересные вводные. Прошивки обновил, буду наблюдать за blocking state - в логах он встречается, но, на первый взгляд, с "залипаниями" кинетика никак не связан. Про mesh я, конечно, читал... Повесить Air на кабель пока не получается, хотя в отдалённых планах - есть. А чем нарисованы ваши графики? P.S. На что ещё имеет смысл обращать внимание в self-test.txt в моём случае (кроме счётчиков ошибок на интерфесах)?
  6. Приветствую почтенное сообщество! Подскажите, пожалуйста, куда можно посмотреть, чтобы понять источник вот таких проблем: Keenetic Giga III, 3.4.3, интернет приходит по ethernet (WAN port) из Микротика, работающего по LTE. Обычно он даёт 5-10Mbit трафика, но иногда бывают всплески (по ночам подпрыгивает до 15-20, днём падает до 3-5). Локально в качестве удлиннителя подключен ведомым (по WiFi) Keenetic Air, и на них обоих висит 5-10 WiFi устройств. IntelliQoS включен, и сконфигурирован на 5Mbit/s Обычно всё это нормально работает, но иногда начинает аццки тормозить. Как правило, если запустить торрент. Сам торрент занимает 2-3Mbit полосы, а вся остальная активность в локалке практически прекращается. Все устройства начинают "лагать". Даже просто пинги до самого кинетика выглядят так: Reply from 192.168.0.1: bytes=32 time=937ms TTL=64 Reply from 192.168.0.1: bytes=32 time=608ms TTL=64 Reply from 192.168.0.1: bytes=32 time=135ms TTL=64 Reply from 192.168.0.1: bytes=32 time=370ms TTL=64 Reply from 192.168.0.1: bytes=32 time=594ms TTL=64 Reply from 192.168.0.1: bytes=32 time=289ms TTL=64 Reply from 192.168.0.1: bytes=32 time=71ms TTL=64 Reply from 192.168.0.1: bytes=32 time=2ms TTL=64 Reply from 192.168.0.1: bytes=32 time=44ms TTL=64 Reply from 192.168.0.1: bytes=32 time=507ms TTL=64 Reply from 192.168.0.1: bytes=32 time=821ms TTL=64 Reply from 192.168.0.1: bytes=32 time=540ms TTL=64 Reply from 192.168.0.1: bytes=32 time=264ms TTL=64 Reply from 192.168.0.1: bytes=32 time=19ms TTL=64 Reply from 192.168.0.1: bytes=32 time=408ms TTL=64 Reply from 192.168.0.1: bytes=32 time=1271ms TTL=64 Reply from 192.168.0.1: bytes=32 time=784ms TTL=64 Reply from 192.168.0.1: bytes=32 time=7ms TTL=64 Reply from 192.168.0.1: bytes=32 time=18ms TTL=64 Reply from 192.168.0.1: bytes=32 time=253ms TTL=64 Reply from 192.168.0.1: bytes=32 time=203ms TTL=64 Reply from 192.168.0.1: bytes=32 time=295ms TTL=64 Reply from 192.168.0.1: bytes=32 time=1084ms TTL=64 Reply from 192.168.0.1: bytes=32 time=1021ms TTL=64 Reply from 192.168.0.1: bytes=32 time=342ms TTL=64 Reply from 192.168.0.1: bytes=32 time=68ms TTL=64 Reply from 192.168.0.1: bytes=32 time=380ms TTL=64 Reply from 192.168.0.1: bytes=32 time=29ms TTL=64 Reply from 192.168.0.1: bytes=32 time=615ms TTL=64 Reply from 192.168.0.1: bytes=32 time=80ms TTL=64 Reply from 192.168.0.1: bytes=32 time=1ms TTL=64 Reply from 192.168.0.1: bytes=32 time=868ms TTL=64 Reply from 192.168.0.1: bytes=32 time=1ms TTL=64 Reply from 192.168.0.1: bytes=32 time=749ms TTL=64 Reply from 192.168.0.1: bytes=32 time=4ms TTL=64 Reply from 192.168.0.1: bytes=32 time=23ms TTL=64 Reply from 192.168.0.1: bytes=32 time=193ms TTL=64 Reply from 192.168.0.1: bytes=32 time=369ms TTL=64 Reply from 192.168.0.1: bytes=32 time=105ms TTL=64 Если при этом удаётся зайти в web-интерфейс кинетика (который тоже начинает аццки тормозить), то CPU usage крутится около 15-20%, RAM usage около 25-30%, график трафика показывает примерно то же, что и в самом torrent клиенте (2-3Mbit с пиками не более 5). В логах ничего криминального не видно. Идёт обычная сетевая жизнь, обновляются dhcp, upnp и всё такое. Единственное не вполне понятное: kernel: br0: port 5(rai4.1) received tcn bpdu kernel: br0: topology change detected, propagating иногда раз в несколько часов, а иногда несколько раз за минуту. Что за топология может меняться в моём случае - ума не приложу. Куда смотреть, чтобы найти причину этих тормозов?
  7. Я готов и CLI и opkg использовать, только с ходу не нашёл ни одной инструкции на эту тему :(
  8. Обновился... Что такого должно было появиться, что упростит мою задачу?
  9. "он работает сам" в конфигурации по умолчанию. Если я хочу учинить белый список (т.е. запрещено всё то, что явно не разрешено), ничего работать не будет, если его явно не разрешить.
  10. Приветствую! "В связи с ухудшением эпидемиологической обстановки", и переходом детей на домашнее обучение, остро встал вопрос учёта и контроля. Подскажите, пожалуйста, может кто уже делал - можно ли (и как?) сделать две вещи: 1. Как-нибудь автоматизировать конфигурирование файрвола (нужно сделать "белый список" для определённого домашнего IP; когда дело дошло до воплощения, оказалось, что некоторым приложениям (типа skype или zoom) нужно открывать по 50+ подсетей, и делать это руками через web-интерфейс - приключение для мазохиста; хочется хотя бы возможности группировать/именовать правила, как-нибудь загружать заранее подготовленный список, и включать/выключать правила по группам) 2. Мониторить вредную активность (скидывать куда-нибудь в файл, или на страницу, пречень IPшников, к которым обращались с конкретного домашнего адреса, разрезолвленные имена, а в идеале - посылка какого-нибудь сигнала, если произошло обращение по контролируемуму адресу в заданный интервал времени (ребёнок во врема урока полез в steam или в телегу...) P.S. Понятно, что сформулировал очень пространно, но я и не жду готовых рецептов (хотя и был бы им очень рад). Достаточно просто направления движения (типа opkg + название пакетов, которые помогут в построении цифрового ГУЛАГа, или ссылки на статьи, где рассматриваются решения подобных задач именно на кинетиках) Всем откликнувшимся - заранее спасибо!
  11. До какой-то степени я его настроил, но в итоге получил кучу разных глюков, оказавшихся несовместимыми с моими потребностями (оно калечило RTSP траффик, делало петли в раутинге и ещё что-то, чего я сейчас не помню), выключил, и забросил. Пользуюсь теперь OpenVPN...
  12. Что, и вправду никто не знает/не может помочь? Или я как-то не так спросил? Или каких-то данных не хватает?
  13. Здравствуйте! Подскажите, пожалуйста, как добраться к внутренностям кинетика через поднятый на нём openvpn client? Под внутренностями я имею в виду ssh и web-gui, которые доступны по адресу my.keenetic.net/78.47.125.180 изнутри сети, обслуживаемой раутером. У меня есть свой openvpn сервер, куда я подключил кинетика, но по vpn адресу, выдаваемому сервером кинетику, он откликается только "сам в себя". Т.е. зайдя на кинетик по ssh на 78.47.125.180 можно открыть там ssh сессию на него самого на его vpn адрес, но с других машин - клиентов этого же vpn server'а, попытка зайти по vpn адресу кинетика обламывается (timeout). P.S. У меня KN-1010, 2.13.C.0.0-1, OpenVPN 2.4.5 (подключается через dev tap, если это имеет какое-то значение) других пакетов не установлено
  14. Добрый день, уважаемые! Потерпев небольшое фиаско в битве за SoftEther VPN Client я, начитавшись его доков, решил, что мне нужнее L2 bridge (вообще, стоит задача наладить видеонаблюдение на даче, имея там Keenetic Giga III v2.08(AAUW.0)C2 c 4G свистком, и в другом месте - свой VDS). Но и на этом фронте обнаружилась странная засада. На VDS я поднял сервер, сделал Bridge со специально созданным tap_sether интерфейсом, выключил SecureNAT, включил раутинг, и настроил dnsmasq на выдачу IP на этот интерфейс в диапазоне1. У tap_sether присвоен руками IP в конце подсети, назначенной на br0. На кинетике сделал бридж к br0, и Virtual HUB с каскадным коннектом к серверу VDS. Для br0 через менюшки задал DHCP диапазон2, который не пересекается с диапазоном1. В итоге, всё вроде запускается, VPN коннектится и адреса пингуются в разные стороны, но IP-камера, но воткнутая в кинетик, показывает только клиентам, которые подключены непосредственно к этому кинетику. Причём происходит это странно. Если, например, запускать wget "изнутри" кинетиковской сети (т.е. подключившись к кинетику проводом или по WiFi, и получив адрес из диапазона2), то получается нормально: а если то же самое делать, подключившись клиентом к vpn серверу (или с самого сервера, т.е. получив свой адрес из диапазона1) то получается так: и на получении этого index.html (корневой страницы веб-интерфейса камеры) всё встаёт намертво, пока не отвалится по таймауту. При этом пингуется камера прекрасно user@vds:~# traceroute 192.168.253.100 traceroute to 192.168.253.100 (192.168.253.100), 30 hops max, 60 byte packets 1 192.168.253.100 (192.168.253.100) 97.704 ms 97.700 ms 97.681 ms Вот так выглядят сетевые настройки со стороны кинетика: а вот так - на VDS сервере 192.168.253.0/24 - это как раз та сетка, которую я хочу построить из двух "половинок" с помощью SoftEther VPN L2 bridge. Что я упустил в настройках? Куда ещё можно/нужно посмотреть? UPD: На камере адрес прописан руками, и в качестве gw указан 192.168.253.254 (т.е. tap интерфейс на сервере)
  15. Здравствуйте! Я пытаюсь разобраться с SoftEther VPN, причём в варианте клиента. Прошёл этап установки и настройки, и даже получил в итоге виртуальный интерфейс и сообщения об успешном соединении в логах с обеих сторон (с сервера, на линуксе, и с клиента, на кинетике). Осталась единственная проблема - этот виртуальный интерфейс остаётся без IP адреса (хотя клиент с такими же настройками, но под виндой, свой IP адрес и раутинг без дополнительных приседаний получает). Вот так про него пишет ifconfig: vpn_sether Link encap:Ethernet HWaddr 00:AC:53:F5:BD:E3 inet6 addr: fe80::2ac:53ff:fef5:bde3/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:1793 errors:0 dropped:0 overruns:0 frame:0 TX packets:934 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:500 RX bytes:181823 (177.5 KiB) TX bytes:77300 (75.4 KiB) Файла /etc/network/interfaces я не нашёл, и хочется понять, как устроена (авто)конфигурация интерфейсов в кинетике? В списке процессов виден /sbin/ndhcpc -f -n UsbLte0 -i lte_br0 -s /var/run/ndhcpc-lte_br0 -p /var/run/ndhcpc-lte_br0.pid -H Keenetic_Giga Я попробовал, по аналогии, сделать симлинк /var/run/ndhcpc-vpn_sether на /bin/ndmf и запустить /sbin/ndhcpc -f -n SEVPN -i vpn_sether -s /var/run/ndhcpc-vpn_sether -p /var/run/ndhcpc-vpn_sether.pid -H Keenetic_Giga но, видать, дело не только в бобине... адрес не появился, а в логах появилось: Jun 15 05:40:05ndhcpc SEVPN: NDM DHCP client (version 3.1.13) started. Jun 15 05:40:05ndm FeedbackListener: unknown feedback source: /var/run/ndhcpc-vpn_sether. Jun 15 05:40:05ndhcpc SEVPN: NDM feedback failed (input/output error). Jun 15 05:40:05ndm FeedbackListener: unknown feedback source: /var/run/ndhcpc-vpn_sether. Jun 15 05:40:05ndhcpc SEVPN: NDM feedback failed (input/output error). Чего ещё не хватает в этой "каше из топора"? P.S. У меня Keenetic Giga III, с последней прошивкой (2.08) и entware
  16. Что-то не нашлось желающих поделиться опытом Я вот тоже ткнулся, и застрял. Пакет поставился, первоначальные настройки выполнил, как везде написано, даже интерфейс поднялся (я пытаюсь заставить работать vpnclient), но ему не присваеватеся ip4 адрес по dhcp. Стандартное решение (прописать в /etc/network/interfaces "iface vpn_vpn inet dhcp") не подходит, так как interfaces тут я не нашёл. И как заставить softher'овский интерфейс запрашивать себе IP (причём, автоматически, при каждом подъёме) - не догоняю. Подскажите?
×
×
  • Create New...