[Открытие портов, часть открыто, часть нет.]

34 минуты назад, Keenetic сказал:

Добрый день.

Поделитесь опытом, как правильно открыть порты на keenetic, так как у меня получается открыть только часть портов.

 

1. Keenetic (доменное имя в режиме прямого доступа), за ним NAS (с доменым именем), так же в локальной сети есть Apple TV.

2. Белый IP.

3. Для ряда приложений\сервисов открыл порты методом перенаправления - 443, 25, 5000, 50001 - все ок. Включая приложения для Apple TV.

4. Но, для 1 приложения на Apple TV не могу никак открыть порты что бы оно работало. Поддержка NAS сообщает что порты закрыты, проверил, действительно закрыты, хотя открывал таким же образом как и выше 443, 25, 5000, 5001.

5. Провайдер сообщил что портов не закрывал на своей стороне.

6. Проверяю через https://www.yougetsignal.com/tools/open-ports/

7. NAT для устройств локальной сети включен.

8.  В фаерволе нет правил.

9. Устройство назначения Apple TV не дает нужно результата, так же закрытые порты.

Срикрин

  Скрыть содержимое

 

Приходится ковыряться в настройках Keenetic, но ни один метод не открывает нужные порты.  Любой порт, после первых 4 указанных выше - закрыт.

Куда смотреть?

Input - это что за соединение?

[SpeedTest]

12 минуты назад, krass сказал:

Ранее был тест скорости: 

https://help.keenetic.com/hc/ru/articles/360000438160-Служба-IntelliQoS-для-версий-KeeneticOS-3-6-и-более-ранних-

 

Но убрали...

Тогда помечтаем, хотелось бы красиво - с графиками. А малоли через N лет и сделают?

[SpeedTest]

9 минут назад, MaXaoH сказал:

Что мешает сделать на другой архитектуре? У спидтеста ведь вроде даже API есть, если не ошибаюсь. Это можно заставить работать на любом роутере. Либо поднять собственный сервак (как с серверами обновлений и KeenDNS) и реализовать работу уже непосредственно с ним. Пусть скорость будет неточная и пинг более высоким из-за большого расстояния до него, но бывает нужно проверить хоть что-то, чтобы понять, что работа сети стабильная

Если все так просто, то напишите speedtest для mipsel архитектуры, а разработчики включат это в дистрибутив роутера? Для приблизительных цифр могу рулетку предложить. api у speedtest-а нету, а если и есть, то не бесплатно. Есть проект на python, но и тот дает приблизительные цифры, т.к. процессор на роутере слабоват и python имеет размер XXL и жрет памяти over-size.

Для справки. В свое время перепробовал кучу сервисов\программ для измерения скорости на роутере. Отличные результаты дает именно софт от speedtest.net. У остальных - средняя температура по больнице.

[4.0 Alpha 1 Изменили переменную $change в триггере ifstatechanged.d]

Триггеры выполняются по два раза. Из параметров запуска триггера непонятно какое состояние изменилось. В примере, нижние две строки - одинаковые. Почему триггер вызвался два раза, что изменилось?

Opkg::Manager: /opt/etc/ndm/ifstatechanged.d/00-ifstatechanged.sh: Run ifstatechanged.d\id=Wireguard1,system_name=nwg1,link=up,connected=yes,up=down,change=up.
Opkg::Manager: /opt/etc/ndm/ifstatechanged.d/00-ifstatechanged.sh: Run ifstatechanged.d\id=Wireguard1,system_name=nwg1,link=down,connected=no,up=down,change=connected.
Opkg::Manager: /opt/etc/ndm/ifstatechanged.d/00-ifstatechanged.sh: Run ifstatechanged.d\id=Wireguard1,system_name=nwg1,link=down,connected=no,up=down,change=link.
Opkg::Manager: /opt/etc/ndm/ifstatechanged.d/00-ifstatechanged.sh: Run ifstatechanged.d\id=Wireguard1,system_name=nwg1,link=down,connected=no,up=down,change=config.

Opkg::Manager: /opt/etc/ndm/ifstatechanged.d/00-ifstatechanged.sh: Run ifstatechanged.d\id=Wireguard1,system_name=nwg1,link=down,connected=no,up=up,change=up.
Opkg::Manager: /opt/etc/ndm/ifstatechanged.d/00-ifstatechanged.sh: Run ifstatechanged.d\id=Wireguard1,system_name=nwg1,link=down,connected=no,up=up,change=config.
Opkg::Manager: /opt/etc/ndm/ifstatechanged.d/00-ifstatechanged.sh: Run ifstatechanged.d\id=Wireguard1,system_name=nwg1,link=up,connected=no,up=up,change=link.
Opkg::Manager: /opt/etc/ndm/ifstatechanged.d/00-ifstatechanged.sh: Run ifstatechanged.d\id=Wireguard1,system_name=nwg1,link=up,connected=yes,up=up,change=connected.
Opkg::Manager: /opt/etc/ndm/ifstatechanged.d/00-ifstatechanged.sh: Run ifstatechanged.d\id=Wireguard1,system_name=nwg1,link=up,connected=yes,up=up,change=connected.

 

[Пробуем КВАС]

13 минуты назад, Zeleza сказал:

Здравствуйте,

Нет, такой возможности нет. При наличии только доменной зоны (ru, com, eu и пр.), нет возможности определить ip. А в Квасе используется механизм работы, основанный на ipset, таблицы которой состоят из ip адресов, которые затем обрабатываются dnsmasq или AGH .
Потому без возможности получения IP здесь не получится. 

Разницы нету никакой. Здесь же работает wildcard. Запросили домен ya.ru, он попадает под настройку /ru/ адрес резолвится в ipset, далее работает маршрутизация. На этом же принципе построено открытие доменов /onion/ через tor

[Wireguard и политики доступа]

13 минуты назад, Igora1505 сказал:

А есть ли возможность через openwrt завернуть весь исходящий траффик с определенного ip локальной сети на интерфейс wg? через маркировку пакетов iptables и прочее? Есть ли у кого то работающие примеры?

Читай про ip rule

[4.0.1 Сломали команду ipv6 prefix auto]

3 часа назад, r13 сказал:

Пока заметил что если перезагрузить роутер, команда волшебным образом появляется на интерфейсе и v6 работает. Стоит попытаться перенастроить интерфейс и все, прощай prefix auto. Надо снова перезагружать. 

Перезагрузка мне не помогает. Только-что проверил. :-((

[4.0.1 Сломали команду ipv6 prefix auto]

@Le ecureuil, @adminесть мысли куда копать, на 3.9.1 все было отлично. Команда ipv6 route auto игнорируется системой на интерфейсе isp.

[4.0 Alpha 1: Не задаются IPv6 адреса в Wireguard]

2 часа назад, Denis P сказал:

alpha 2 - не исправлено

У меня получилось задать адрес.

 

[4.0.1 Сломали команду ipv6 prefix auto]

@Le ecureuilХоть намекните куда копать?

[4.0.1 Сломали команду ipv6 prefix auto]

alpha 2 - не исправлено. ipv6 не работает. prefix не получаю.

interface GigabitEthernet1 no ipv6 name-servers auto
interface GigabitEthernet1 ipv6 prefix auto
interface GigabitEthernet1 ipv6 address auto

После ввода команд, указанных выше, running config выглядит так:

interface GigabitEthernet1
    rename ISP
    mac address factory wan
    security-level public
    ip address dhcp
    ip dhcp client dns-routes
    ip dhcp client no name-servers
    ip access-group _WEBADMIN_ISP in
    ip global 700
    ipv6 address auto
    ipv6 name-servers auto
    up
!

В логе все идеально, но это только на бумаге. В running confige prefix auto строки нету.

[Внешний SSd сильно греется]

1 минуту назад, drfischer сказал:

Добрый день. Купил внешний SSD netac z9 на 2tb, отформатировать в NTFS, удалил скрытый раздел вначале диска (без этого роутер не хотел его "видеть") и подключил в usb 3.0.

Чкрез Wifi по smb больших скоростей не наблюдаю (максимум 5мб/сек), но удивило,что диск постоянно очень горячий. Не замерял точно,но явно нагрев ощущается. И это происходит не только во время записи/чтения, а все время.

В связи с этим 2 вопроса:

1. Нормален ли постоянный нагрев, он же так из строя выйдет быстро, почему не "отпускает" его роутер без нагрузки?

2. Имеет ли значение какую использовать файловую систему на SSD? NTFS или exFat? Есть ли разница в производительности, живучести для SSD ?

У меня были samsung evo 970 pro так у них температура 70 градусов, это норма. Даже для простоя.

[4.0 Alpha 1: Не задаются IPv6 адреса в Wireguard]

3 минуты назад, Denis P сказал:

Но с allow ips засада, в v6 формате не принимает

Ждемс :((((((((

[4.0 Alpha 1 Изменили переменную $change в триггере ifstatechanged.d]

Изменилось поведение переменной $change в триггере ifstatechanged.d при установке коннекта. Раньше (3.9.1) значение было link, сейчас - connected. Это теперь норма?

Opkg::Manager: /opt/etc/ndm/ifstatechanged.d/000-unblock-vpn.sh: Wireguard2-link-no-up-up.
Opkg::Manager: /opt/etc/ndm/ifstatechanged.d/000-unblock-vpn.sh: Wireguard2-connected-yes-up-up. 

[4.0.1 Сломали команду ipv6 prefix auto]

Невоскрешаемая команда

ipv6 prefix auto

Правильная команда (убиваемая, воскрешаемая)

ipv6 address auto

Неубиваемая команда

ipv6 name-servers auto

[4.0.1 Сломали команду ipv6 prefix auto]

Не могу получить префикс ipv6, т.к. в running confige - исчезает команда ipv6 prefix auto на интерфейсе провайдера (GigabitEthernet1 kn-1011), а вместо нее появляется команда ipv6 name-servers auto.

startup

interface GigabitEthernet1
    rename ISP
    mac address factory wan
    security-level public
    ip address dhcp
    ip dhcp client dns-routes
    ip dhcp client no name-servers
    ip access-group _WEBADMIN_ISP in
    ip global 700
    ipv6 address auto
    ipv6 prefix auto
    up
!

running

interface GigabitEthernet1
    rename ISP
    mac address factory wan
    security-level public
    ip address dhcp
    ip dhcp client dns-routes
    ip dhcp client no name-servers
    ip access-group _WEBADMIN_ISP in
    ip global 700
    ipv6 address auto
    ipv6 name-servers auto
    up
!

Команды через cli проходят, но running-конфиг не меняется. Жду alpha2....

interface GigabitEthernet1 ipv6 prefix auto
interface GigabitEthernet1 no ipv6 name-servers auto

 

[4.0 Alpha 1: Не задаются IPv6 адреса в Wireguard]

2 часа назад, Denis P сказал:

при попытке добавить через веб

 

через cli 

Так вы не адрес задаете, а prefix. Для префикса другая команда

 

    ipv6 address 2a05:358::97

 

[ipset]

Или добавить настройку к штатному dns, которая будет позволять полученный ip адрес от dns-сервера положить в ipset.

[Пробуем КВАС]

2 минуты назад, lliax сказал:

При установке пакета opkg install /opt/app/kvas_1.0-beta_21_all.ipk, получил ошибку pkg_init_from_file: Malformed package file /opt/app/kvas_1.0-beta_21_all.ipk. Могли бы подсказать причину этой ошибки?

В чем замысел отключения встроенного DNS сервера? opkg dns-override

Потому-что маршрутизация происходит по доменным именам через ipset. А шататный dns ipset заполнять не умеет.

[2 кинетика по Wireguard]

10 минут назад, Werld сказал:

Спасибо за совет. Порекомендую вам того же, далеко, кстати говоря, ходить не надо. Вон у ТС на скринах таблицы маршрутизации как раз адреса с 0 на конце увидите. То, что этот адрес маршрутизируется наверное мне привиделось да?

Обмен пакетами с 188.168.15.0 по с 32 байтами данных:
Ответ от 188.168.15.0: число байт=32 время=18мс TTL=58
Ответ от 188.168.15.0: число байт=32 время=18мс TTL=58
Ответ от 188.168.15.0: число байт=32 время=18мс TTL=58
Ответ от 188.168.15.0: число байт=32 время=18мс TTL=58

Статистика Ping для 188.168.15.0:
    Пакетов: отправлено = 4, получено = 4, потеряно = 0

Попробовал три калькулятора по ipv4, все умерли от 0-ля. Вам шашечки или ехать?

[Wireguard ipv6]

2 минуты назад, krass сказал:

Я запутался уже. Поясните, пожалуйста, а разве это всё  ( allow-ips в ipv6-формате и прочее) будет не в  keen os 3.10 ? 

Я вообще рассчитываю на версии 3.8.4.5(6)/3.9, что бы задавать allow-ips в ipv6 формате через cli. Смущают фразы "уже появилась опять" и "можно задавать"

[Wireguard ipv6]

10 минут назад, avn сказал:

Для истории и тех, кто держит wg-server. Для того, что бы избавиться от ната, надо:

1.  Прописать sysctl

net.ipv4.ip_forward=1
net.ipv6.conf.all.forwarding=1

net.ipv6.conf.eth0.forwarding=1
net.ipv6.conf.eth0.proxy_ndp=1

2. Модифицировать скрипт запуска Wireguard, добавив в него строки с "proxy", где ipv6 - адреса из Вашего диапазона у поставщика wg

[Unit]
Before=network.target
[Service]
Type=oneshot
ExecStart=/usr/sbin/iptables -A FORWARD -i eth0 -o wg0 -j ACCEPT
ExecStart=/usr/sbin/iptables -A FORWARD -i wg0 -j ACCEPT
ExecStart=/usr/sbin/iptables -A POSTROUTING -t nat -o eth0 -j MASQUERADE
ExecStop=/usr/sbin/iptables -D FORWARD -i eth0 -o wg0 -j ACCEPT
ExecStop=/usr/sbin/iptables -D FORWARD -i wg0 -j ACCEPT
ExecStop=/usr/sbin/iptables -D POSTROUTING -t nat -o eth0 -j MASQUERADE
ExecStart=/usr/sbin/ip6tables -A FORWARD -i wg0 -j ACCEPT
#ExecStart=/usr/sbin/ip6tables -A POSTROUTING -t nat -o eth0 -j MASQUERADE
ExecStart=/usr/sbin/ip -6 neigh add proxy 2a00:bbbb:1000:1022::97:91 dev eth0 nud permanent
ExecStop=/usr/sbin/ip6tables -D FORWARD -i wg0 -j ACCEPT
#ExecStop=/usr/sbin/ip6tables -D POSTROUTING -t nat -o eth0 -j MASQUERADE
ExecStop=/usr/sbin/ip -6 neigh del proxy 2a00:bbbb:1000:1022::97:91 dev eth0
RemainAfterExit=yes
[Install]
WantedBy=multi-user.target

3. Модифицировать серверный и клиентский конфиги wg, прописав туда адреса, указанные выше в п.2

[Interface]
PrivateKey = ....
Address = 172.16.97.91/32, 2a00:bbbb:1000:1022::97:91/128
DNS = 1.1.1.1, 8.8.8.8

[Peer]
PublicKey = ....
Endpoint = aa.bb.cc.dd:993
AllowedIPs = 0.0.0.0/0, 2000::/3
PersistentKeepalive = 25

4. Ну и поиск по proxy_ndp в google.

 

P/S/ В принципе вариантов использования proxy_ndp море. Можно к примеру раскидать из домашней сети - кинетика адреса для клиентов wg-кинетик-сервера аналогичным способом.

@Le ecureuil Будет ли возможность штатно раздать ipv6-адреса клиентам сети кеенетик-а?

[Wireguard ipv6]

Для истории и тех, кто держит wg-server. Для того, что бы избавиться от ната, надо:

1.  Прописать sysctl

net.ipv4.ip_forward=1
net.ipv6.conf.all.forwarding=1

net.ipv6.conf.eth0.forwarding=1
net.ipv6.conf.eth0.proxy_ndp=1

2. Модифицировать скрипт запуска Wireguard, добавив в него строки с "proxy", где ipv6 - адреса из Вашего диапазона у поставщика wg

[Unit]
Before=network.target
[Service]
Type=oneshot
ExecStart=/usr/sbin/iptables -A FORWARD -i eth0 -o wg0 -j ACCEPT
ExecStart=/usr/sbin/iptables -A FORWARD -i wg0 -j ACCEPT
ExecStart=/usr/sbin/iptables -A POSTROUTING -t nat -o eth0 -j MASQUERADE
ExecStop=/usr/sbin/iptables -D FORWARD -i eth0 -o wg0 -j ACCEPT
ExecStop=/usr/sbin/iptables -D FORWARD -i wg0 -j ACCEPT
ExecStop=/usr/sbin/iptables -D POSTROUTING -t nat -o eth0 -j MASQUERADE
ExecStart=/usr/sbin/ip6tables -A FORWARD -i wg0 -j ACCEPT
#ExecStart=/usr/sbin/ip6tables -A POSTROUTING -t nat -o eth0 -j MASQUERADE
ExecStart=/usr/sbin/ip -6 neigh add proxy 2a00:bbbb:1000:1022::97:91 dev eth0 nud permanent
ExecStop=/usr/sbin/ip6tables -D FORWARD -i wg0 -j ACCEPT
#ExecStop=/usr/sbin/ip6tables -D POSTROUTING -t nat -o eth0 -j MASQUERADE
ExecStop=/usr/sbin/ip -6 neigh del proxy 2a00:bbbb:1000:1022::97:91 dev eth0
RemainAfterExit=yes
[Install]
WantedBy=multi-user.target

3. Модифицировать серверный и клиентский конфиги wg, прописав туда адреса, указанные выше в п.2

[Interface]
PrivateKey = ....
Address = 172.16.97.91/32, 2a00:bbbb:1000:1022::97:91/128
DNS = 1.1.1.1, 8.8.8.8

[Peer]
PublicKey = ....
Endpoint = aa.bb.cc.dd:993
AllowedIPs = 0.0.0.0/0, 2000::/3
PersistentKeepalive = 25

4. Ну и поиск по proxy_ndp в google.

 

P/S/ В принципе вариантов использования proxy_ndp море. Можно к примеру раскидать из домашней сети - кинетика адреса для клиентов wg-кинетик-сервера аналогичным способом.

[Wireguard ipv6]

В 09.11.2022 в 13:45, Le ecureuil сказал:

Все будет в версии 4.0.

interface ipv6 address уже появилась опять, и работает правильно + можно задавать allow-ips в ipv6-формате + роутинг через force-default позволяет сделать дефолтным.

Осталось доделать NAT66, но тут больше вопросов компоновки чем технических проблем.

Спасибо. @Le ecureuil На версии 3.8.4.5/3.9 можно задавать allow-ips в ipv6 формате? Смущают фразы "уже появилась опять" и "можно задавать"

[Wireguard ipv6]

1 минуту назад, koctik-2017 сказал:

root@Keenetic-2488 ~# wg setconf nwg0 /tmp/fix-Wireguard0.conf
root@Keenetic-2488 ~# wg show nwg0
interface: nwg0
  public key: z+ritbWSDJCgQ/SnR8z8fpYfGyMVNp/tqJI/toMq1jM=
  private key: (hidden)
  listening port: 59705

peer: bmXOC+F1FxEMF9dyiK2H5/1SUtzH0JuVo51h2wPfgyo=
  endpoint: [2606:4700:d0::a29f:c001]:1701
  allowed ips: 0.0.0.0/0, ::/0
  latest handshake: 16 seconds ago
  transfer: 1.26 KiB received, 8.64 KiB sent
 

Тоже все хорошо, появилось ::/0. Только ipv6 адрес надо свой брать, а не мой. Он присваивается на этапе генерации конфигурации wg. А так все гуд. И так далее разбирайтесь по цепочке.