avn
-
Постов
928 -
Зарегистрирован
-
Посещение
-
Победитель дней
8
Тип контента
Профили
Форумы
Галерея
Загрузки
Блоги
События
Сообщения, опубликованные avn
-
-
1 минуту назад, Sano сказал:
Не верите, не надо )))
А что кстати не верите? Технологии NAT туева куча лет. И как то же работают p2p соединения в телефонии, торрента и т.д. и т.п. )))
Не поверите, белыми ип работают.
-
6 минут назад, Sano сказал:
Это как раз очень важно.
Ау меня работает и с серым ))
Покажите дамп трафика. Не верю.
-
51 минуту назад, Sano сказал:
Не обязательно. Все зависит от типа nat провайдера.
Это неважно. Работать будет только с белым IP. По серому Вы не найдете нужный "дом" в интернете.
-
В 21.10.2024 в 11:04, Le ecureuil сказал:
@avnпоправил эту мелочь, в следующем выпуске можно будет проверить.
Все получилось. Спасибо.
А что делаю команды:
openconnect accept-addresses openconnect accept-routesКо мне приходит куча маршрутов, но они все игнорируются. Так и запланировано?
Еще бы научиться DTLS отключать, а то спамит сообщениями
[I] Oct 28 00:43:51 openconnect: DTLS handshake timed out [I] Oct 28 00:43:51 openconnect: DTLS handshake failed: Resource temporarily unavailable, try again.Совет от разработчиков по поводу DTLS
Since TCP over TCP is very suboptimal, OpenConnect tries to always use PPP-over-DTLS, and will only fall over to the PPP-over-TLS tunnel if that fails, or if disabled via the --no-dtls argument. -
10 часов назад, Артем Головачев сказал:
Доброй ночи, сопартийцы!
У меня, как и всех, предполагаю, достаточно сильно начинал грузиться процессор при запуске скрипта по крону (каждые 5 минут), который пополнял ipset.
Так как сейчас активно перепрыгиваю с python на Go, решил имплементировать собственно данный скриптик уже на Go (предварительно оптимизировав то, что было на shell).
После оптимизации на Shell табличка стала пополняться вместо 23-24 секунд 3-4 секунды (все кроется в асинхронном резолве полного списка хостов kdig`ом по подготовленной пачке $host_list, а не в последовательном резолве каждого хоста в цикле)Результат виден в 01:40 соотвественно (после 1:35 очистил unblock ручками, чтобы посмотреть на полное заполнение 54 доменами)
После этого решил подключить свои неокрепшие навыки на Go, и результат получился следующий:
На дату и время КВАС-GO не смотрите, пожалуйста, там все еще UTC+0 зона, уже поправил, однако же, тестировал уже на предварительно заполненный лист (в 01:55 заполнен оптимизирванным на шелле скриптом)
Время резолва + заполнения таблички unblock упало до 0.8 секунд, при этом нагрузка на процессор упала с того, что было слева (около 40%), до того, что стало справа на графике (да, он не очень суперпоказательный, однако все же) - видим падение нагрузки процессора до 2-7%.
Я хочу протестировать решение хотя бы несколько суток, после чего, если сообщество будет заинтересовано, могу представить как исходный код, там и скомпиленный под linux/mips бинарник, который я повесил в крон вместо main/ipset
P.S. Связка с AGH, поднятого на роутере, у которого в настройках rate-limit=80. Если доменов будет больше - работать будет медленнее из-за ожидания ответа от днс ровно в N=Nдоменов/80 раз. Лечится повышение rate-limit`а
P.S.S. Предположу, что, т.к. это первое мое поделие на GO, есть что оптимизировать, поэтому, предположу, что еще где-то можно выиграть по оптимизацииА зачем их вообще резолвить кроном? Они резолвятся в момент запроса к днс и кладутся в ipset. Все в режиме онлайн. Это лишний функционал. В ipset в ручную нужно добавлять только то, что не требует резолва. Например диапазон ип адресов
-
В 06.08.2024 в 08:27, Migel сказал:
В настройках поставьте принудительно 1 Гбит.
Так и сделано. Линк не поднимается, помогает только передёргивает разьема.
-
2 часа назад, Le ecureuil сказал:
Было бы здорово, спасибо.
После очистки куков воспроизвести не удалось.
-
20 минут назад, Le ecureuil сказал:
А что вы делали до того, как не удалось залогиниться? Устройство перезагружалось? Как долго вы на него до этого не заходили?
Обновился. Первый заход успешный. Второй и последующие не успешные. По времени, 20 мин между сессиями. Перезагрузка помогает для первого входа, далее история повторяется. Сегодня ещё раз проверю.
-
24 минуты назад, Le ecureuil сказал:
А что у вас за браузеры?
Аналогичная проблема на firefox. Почистил куки, все стало ок. В http запросе было 400 bad request
-
49 минут назад, Le ecureuil сказал:
Создание интерфейса - это только вершина айсберга. Еще нужно выставить флаги о том, что он подключен или нет, поставить на него адрес и прописать роуты. И все это нужно будет сделать посредством NDM, иначе политики работать не будут. Вы точно уверены, что сможете все это реализовать?
А ядро не может отслеживать состояние/изменение tun интерфейса? И если такое изменение произошло, синхронизировать ndm.
Мы же не знаем когда от упал, поднялся интерфейс, ип адрес изменился и т.д. У нас нету этой информации. Она есть, только у самих приложений, которые поднимают tun интерфейс.
-
4 минуты назад, М. Мik сказал:
Я пользовался немного не так, у меня есть доступ к серверу где поднят дефолтный WG, если подключаться по дефолту работает пару дней и блочиться по порту сервера на сколько я понял, потому что спустя некоторое время над другом порту работает. Я где то нашел инфу, что можно к дефолтному WG можно подключиться клиентом AWG:
скачал приложение AWG включив обфускацию подсоединился к серваку с дефолтным WG? пару дней потестил работает стабильно
выкачал конфиг из AWG клиента а именно параметры {jc} {jmin} {jmax} {s1} {s2} {h1} {h2} {h3} {h4}
вбил их в настройки кинетика и все заработало, однако не так стабильно как через приложение AWG. На роутере заметны просадки в игрухи не поиграешь но для просмотра контента достаточно более чем, так же часто бывало что приходилось вручную реконектить чтобы заработало, но в клиенте AWG работает как часики(к сожалению как там смотреть логи и есть ли они вообще незнаю). К примеру дергаю подключение на роутере - не конектиться, выключаю, тут же пробую через приложение AWG четко коннект и все стабильно, тут же выключаю приложение и включаю в роутере опять не коннект.
Поэтому отчасти мне кажется что со встройкой параметра wireguard asc закрались ошибки/баги вызывающие we stopped hearing back after 2406938528 seconds. , хотя возможно я и ошибаюсь и это действительно DPI.
И так к вашему вопросу о смене параметров, я не знаю почему, но любые другие параметры кроме выкачанных мной из конфига AWG не работают.
Покажите свои параметры asc. Скорее всего, проблема в них. Можно ещё дамп траффика приложить в момент коннекта.
-
В 10.10.2024 в 10:59, avn сказал:
@Le ecureuil А как можно задать параметр
--prot=fortinet?[I] Oct 10 10:54:20 openconnect: POST https://portal.testdomain.ru:10443/ [I] Oct 10 10:54:20 openconnect: Attempting to connect to server 16.11.1.10:10443 [I] Oct 10 10:54:20 openconnect: Connected to 16.11.1.10:10443 [I] Oct 10 10:54:20 openconnect: SSL negotiation with portal.testdomain.ru [I] Oct 10 10:54:21 openconnect: Certificate from VPN server "portal.testdomain.ru" failed verification. Reason: signer not found [I] Oct 10 10:54:21 openconnect: Connected to HTTPS on portal.testdomain.ru with ciphersuite (TLS1.3)-(ECDHE-SECP384R1)-(RSA-PSS-RSAE-SHA256)-(AES-256-GCM) [I] Oct 10 10:54:21 openconnect: Got HTTP response: HTTP/1.1 405 Method Not Allowed [I] Oct 10 10:54:21 openconnect: Date: Thu, 10 Oct 2024 07:54:21 GMT [I] Oct 10 10:54:21 openconnect: Server: xxxxxxxx-xxxxx [I] Oct 10 10:54:21 openconnect: Transfer-Encoding: chunked [I] Oct 10 10:54:21 openconnect: Content-Type: text/html [I] Oct 10 10:54:21 openconnect: X-Frame-Options: SAMEORIGIN [I] Oct 10 10:54:21 openconnect: Content-Security-Policy: frame-ancestors 'self'; object-src 'none'; script-src 'self' https 'unsafe-eval' 'unsafe-inline'; [I] Oct 10 10:54:21 openconnect: X-XSS-Protection: 1; mode=block [I] Oct 10 10:54:21 openconnect: X-Content-Type-Options: nosniff [I] Oct 10 10:54:21 openconnect: Strict-Transport-Security: max-age=31536000 [I] Oct 10 10:54:21 openconnect: HTTP body chunked (-2) [I] Oct 10 10:54:21 openconnect: Error in chunked decoding. Expected '', got: '<HEAD>'
Есть возможность задать параметр protocol?
-
@Le ecureuil А как можно задать параметр
--prot=fortinet?Скрытый текст[I] Oct 10 10:54:20 openconnect: POST https://portal.testdomain.ru:10443/ [I] Oct 10 10:54:20 openconnect: Attempting to connect to server 16.11.1.10:10443 [I] Oct 10 10:54:20 openconnect: Connected to 16.11.1.10:10443 [I] Oct 10 10:54:20 openconnect: SSL negotiation with portal.testdomain.ru [I] Oct 10 10:54:21 openconnect: Certificate from VPN server "portal.testdomain.ru" failed verification. Reason: signer not found [I] Oct 10 10:54:21 openconnect: Connected to HTTPS on portal.testdomain.ru with ciphersuite (TLS1.3)-(ECDHE-SECP384R1)-(RSA-PSS-RSAE-SHA256)-(AES-256-GCM) [I] Oct 10 10:54:21 openconnect: Got HTTP response: HTTP/1.1 405 Method Not Allowed [I] Oct 10 10:54:21 openconnect: Date: Thu, 10 Oct 2024 07:54:21 GMT [I] Oct 10 10:54:21 openconnect: Server: xxxxxxxx-xxxxx [I] Oct 10 10:54:21 openconnect: Transfer-Encoding: chunked [I] Oct 10 10:54:21 openconnect: Content-Type: text/html [I] Oct 10 10:54:21 openconnect: X-Frame-Options: SAMEORIGIN [I] Oct 10 10:54:21 openconnect: Content-Security-Policy: frame-ancestors 'self'; object-src 'none'; script-src 'self' https 'unsafe-eval' 'unsafe-inline'; [I] Oct 10 10:54:21 openconnect: X-XSS-Protection: 1; mode=block [I] Oct 10 10:54:21 openconnect: X-Content-Type-Options: nosniff [I] Oct 10 10:54:21 openconnect: Strict-Transport-Security: max-age=31536000 [I] Oct 10 10:54:21 openconnect: HTTP body chunked (-2) [I] Oct 10 10:54:21 openconnect: Error in chunked decoding. Expected '', got: '<HEAD>'
-
В 26.09.2024 в 12:06, Le ecureuil сказал:
Сделал. Теперь если h1/h2/h3/h4 меньше или равны 0xFF, то сосуществование с client-id работает. Если хоть один из них больше - работает только ASC.
Поверил. Все работает отлично. Спасибо.
-
3
-
1
-
-
1 час назад, spatiumstas сказал:
Пожелание направлено на сохранение состояния карточек дашборда в cfg(?). При смене устройств нередко бывает что карточки сбрасываются в дефолтное состояние (ловится не всегда, очистка localstorage не сбрасывает, поэтому не ясно в какой момент происходит сброс). А так же сохранение раскрытие списка/списков, например подключений
Справа инкогнито
На данный момент точно ловится кейс с виджетом О Системе.
1. Скрыть в нём какое-либо поле, например о доменном имени
2. Открыть в инкогнито или другом браузере
AR
Пункт с доменом снова показывается
Справа инкогнито
Против такой фичи, т.к каждый чих будет писаться во Флэш. Предлагаю сохранять состояние в /tmp
-
2
-
-
28 минут назад, Le ecureuil сказал:
Да с чего вы берете? В запросе на resolve сразу стоит только поле A, потому никакого резолва AAAA и в помине нет.
Причем там не так просто, как может показаться: нужно решить, а через какие же адреса идти, если доступны и те, и другие. Также выбор соединения, когда на самом высокоприоритетном есть ipv4, но нет ipv6 может показаться контринтуитивным.
Оставьте приоритетом ipv4. Пока нормального решения не придумаете. Многие будут довольны. А то сейчас какой-то обрубок ipv4 endpoint.
-
4 часа назад, Le ecureuil сказал:
Это "новая фича", а не "баг". И "исправлено" это будет в запланированное время, и "ближайшая версия" точно к ней не относится.
Отрезолвить ipv6 и не отдать его, это bug
-
7 минут назад, Le ecureuil сказал:
Что именно поправить-то? Я так и не понял, что вы хотите, и что там раньше работало.
Резолв ipv6 добавить.
-
@Le ecureuil Не получится добавить исправление в ближайшую версию?
-
1 час назад, Vladislav Kravchenko сказал:
А нужен то как раз EndPoint Ipv6, чтобы не гонять трафик на серых Ipv4 через промежуточный сервер. Через Entware совсем не кошерно такое делать, там производительности не будет.
Какой производительности? Через entware задаётся только endpoint.
-
Недавно пробовал, через entware задать адрес можно.
-
Только что, Gonzik сказал:
Это мусор к пакетам данных, отсылаемый перед началом сессии (кол-во, мин и макс размеры). А S1 и S2, как я понял, дополнительный мусор к хендшейкам.
Все правильно. Так и есть. Когда вижу js=120, думаю, товарищ тебя скоро забанят за 120 пакетов спама.
s1,s1 мусок к handshake
u16 init_packet_junk_size;
u16 response_packet_junk_size;jc - кол-во пакетов, jmin - минимальная длина, jmax - максимальная
Поэтому стандартные обмены по WG c ASC:
jc jmin jmax 0 0 0 0 0 0 jc jmin jmax 0 0 1 2 3 4-
1
-
1
-
-
Оставлю комментарий для себя на будущее. Думаю, что проблема в цепочке
wg_packet_receive->prepare_skb_header->validate_header_len. validate_header_len возвращает 0. И далее все падает.
-
13 минуты назад, Le ecureuil сказал:
Попробуйте все же задать параметры с client-id внутри, может и заработает )
Не работает, т.к. дешифровка пакета не происходит. Я уже трейсы снял. На скриншоте видно.
Без ASC все работает отлично.
С ASC примерно так:
client_id=0x00000. Приходит пакет 0x02000000 SKB_TYPE_LE32 = 0x02000000 & 0xFFFFFFFF = 0x02000000 => MESSAGE_HANDSHAKE_RESPONSE
client_id=0x112233. Приходит пакет 0x02112233 SKB_TYPE_LE32 = 0x02112233 & 0xFFFFFFFF = 0x02112233 !=> MESSAGE_HANDSHAKE_RESPONSE
ASC выключен:
client_id=0x00000. Приходит пакет 0x02000000 SKB_TYPE_LE32 = 0x02000000 & 0xFF000000 = 0x02000000 => MESSAGE_HANDSHAKE_RESPONSE
client_id=0x112233. Приходит пакет 0x02112233 SKB_TYPE_LE32 = 0x02112233 & 0xFF000000= 0x02000000 => MESSAGE_HANDSHAKE_RESPONSE
Кто может помочь, написать скрипт для автоматизации подключения по WG при смене WAN IP
в Обсуждение IPsec, OpenVPN и других туннелей
Опубликовано
У Вас серый, у провайдера белый. В интернете, только белые ип. В сети провайдера серые и белые. По другому никак.