[Entware-3x. Проблемы с установкой, настройки...]

Это был косяк с хостингом пакетов. Проверьте, сейчас доступен.

[Как настроить разделение трафика от разных приложений?]

Windows умеет раскрашивать разными DSCP-метками трафик разных приложений. Можно этим воспользоваться.

[php8-pecl-mcrypt]

1. Быстрый — попытаться установить нужный модуль из архива,
2. Правильный — переписать зависимый софт,
3. Нереальный — призвать назад мейнтейнера.

[Корректное изменение таблицы маршрутизации]

Точно. Я исходил из того, что таблицы роутинга вряд ли станут меняться без изменения статусов интерфейсов.

[Корректное изменение таблицы маршрутизации]

Так это ровно тот же костыль из первого поста.

[Странная проблема с curl]

44 минуты назад, MonoBOY сказал:

разве в entware ipv6 завезли? и почему игнорируется настройка кинетика "не использовать ipv6" ?

1. Завезли от рождения, она там всегда была,
2. Настройки Кинетика не связаны с настройками opkg,
3. Как и в других системах, по умолчанию приоритет за ipv6 и это иногда действительно вызывает проблемы. 

Приоритет ipv6 vs ipv4 для libc (т.е. почти всего) можно задать в файле /opt/etc/gai.conf

 

[Защита от перехвата DNS-трафика с помощью dnscrypt-proxy]

@Gourry любая инструкция актуальна на момент написания.

Кроме того, нет авторов, готовых поддерживать актуальность инструкций бесконечно долго.

[ipset-dns для выборочного роутинга]

3 часа назад, Konstantine352 сказал:

В чем может быть проблема?

Посмотрите в логах веб-интерфейса, нет ли ошибок при срабатывании скриптов /opt/etc/ndm.d.

[Альтернативный вариант получения событий "/opt/etc/ndm/***"]

@Ponywka, почему способ с вызовом чего-либо в /opt/etc/ndm.d выглядит костыльным? Есть желание взаимодействовать с прошивкой без этой прослойки?

Вижу, что в самой прошивке аналогичным образом сделаны вызовы скриптов для ppp в /var/ppp.

[Jackett]

Тулчейн мы менять не станем.

musl — это в прошивке, в Entware обычная glibc.

Но версия glibc arm64 всё равно не взлетает:

 

 # ldd ./Jackett/jackett
	linux-vdso.so.1 (0x0000007fa3f49000)
	libpthread.so.0 => /opt/lib/libpthread.so.0 (0x0000007fa3eab000)
	libdl.so.2 => /opt/lib/libdl.so.2 (0x0000007fa3e97000)
	libstdc++.so.6 => /opt/lib/libstdc++.so.6 (0x0000007fa3d2c000)
	libm.so.6 => /opt/lib/libm.so.6 (0x0000007fa3c68000)
	libgcc_s.so.1 => /opt/lib/libgcc_s.so.1 (0x0000007fa3c45000)
	libc.so.6 => /opt/lib/libc.so.6 (0x0000007fa3ad6000)
	/lib/ld-linux-aarch64.so.1 => /opt/lib/ld-linux-aarch64.so.1 (0x0000007fa3f1b000)

~ # ./Jackett/jackett --version
-sh: ./Jackett/jackett: not found

~ # strace ./Jackett/jackett
execve("./Jackett/jackett", ["./Jackett/jackett"], 0x7fc5d637c0 /* 17 vars */) = -1 ENOENT (No such file or directory)
strace: exec: No such file or directory
+++ exited with 1 +++

 

[fail2ban, как настроить для блокировке переборщиков паролей]

57 минут назад, VecH сказал:

как смотреть списки заблокированных?

Для www проще всего будет включить отображение блокировок в системном логе средствами прошивки. Для остальных см. соотв. наборы ipset в Entware, пример: 

ipset list _NDM_BFD_Ssh4

[fail2ban, как настроить для блокировке переборщиков паролей]

См. документацию CLI. Для веб-интерфейса это 

ip http lockout-policy ‹threshold› [‹duration› [‹observation-window›]]

[fail2ban, как настроить для блокировке переборщиков паролей]

TL;DR: Прошивочные сервисы уже защищены, а для ssh в Entware проще настроить авторизацию по ключу и закрыть вопрос.

 

Защита от брутфорса в прошивке есть и для telnet/ssh, и для веб-интерфейса, при необходимости правила можно подкрутить самостоятельно. Если в Entware надо прикрыть только ssh, то проще отказаться от парольной авторизации. Если по какой-то причине не подходит, то использовать sshguard.

Полное классическое решение fail2ban здесь смотрится сильно избыточным. Для его настройки придётся:

• настроить сущность для выгрузки логов в /opt/var/log (klogd, syslog-ng и пр.),
• настроить ротацию логов для того, чтобы не переполнить диск,
• настроить интеграцию fail2ban c netfilter с помощью хуков /opt/etc/ndm/netfilter.d.

…в итоге получив почти то же самое и кучу новых точек отказа.

 

Другими словами: решения, которые органично смотрятся на большом ПК иногда слабо подходят для embedded устройств. В частности, fail2ban на роутере я бы стал использовать только от полной безысходности.

[ipset-dns для выборочного роутинга]

Порт желательно поменять с 5353 на другой, скажем 5350, чтобы избежать конфликта с одной из встроенных служб.

[Автозапуск скрипта в случае отвала]

Можно с помощью виртуального терминала screen или dtach. Пример можно найти здесь.

[KN-3010, есть ли возможность устанавливать opkg?]

Никак.

Никаких.

 

Да.

Все с USB-портами, кроме модели 4G с определённой версией прошивки.

[Как получить UNIX имя интерфейса из REST API роутера?]

В 03.01.2025 в 17:48, maksimkurb сказал:

…однако чтобы понять, что nwg1 это то же самое, что и WireGuard1, нужно их соотностить по какому-то полю.

/opt/etc/ndm/ifstatechanged.d/ отдаёт оба имени интерфейса: прошивочное и линуксовое.

~ # cat /opt/etc/ndm/ifstatechanged.d/000-gather-iflist.sh 
#!/bin/sh

list='/tmp/iflist.txt'
interface="$id: $system_name"

if [ ! -f $list ]; then
    echo $interface > $list
else
    echo $interface | cat $list - | sort -u > $list.tmp
    mv $list.tmp $list
fi
exit 0

Как вариант, можно надёргать соответствий там:

~ # cat /tmp/iflist.txt 
Bridge0: br0
Bridge1: br1
Bridge2: br2
GigabitEthernet0/0: eth2
GigabitEthernet0/1: eth2
GigabitEthernet0/2: eth2
GigabitEthernet0/3: eth2
GigabitEthernet0/4: eth2
GigabitEthernet0/5: eth2
GigabitEthernet0/6: eth2
GigabitEthernet0/7: eth2
GigabitEthernet0/8: eth2
GigabitEthernet0/Vlan1: eth2.1
GigabitEthernet0/Vlan2: eth2.2
GigabitEthernet0/Vlan3: eth2.3
GigabitEthernet0: eth2
GigabitEthernet1/0: eth3
GigabitEthernet1: eth3
Gre0: ngre0
PPTP0: ppp0
TunnelSixInFour0: tun6in4_0
UsbQmi0: qmi_br0
WifiMaster0/AccessPoint0: ra0
WifiMaster0/AccessPoint1: ra1
WifiMaster0: ra0
WifiMaster1/AccessPoint0: rai0
WifiMaster1/AccessPoint1: rai1
WifiMaster1: rai0
Wireguard0: nwg0
Wireguard4: nwg4

 

[Ansible для opkg]

В 24.04.2022 в 12:14, TheBB сказал:

А точно оно надо, может есть другие варианты?

Признаться, да. Штука годная. Самые тяжёлые из requirements у нас уже есть.

[ipset-dns для выборочного роутинга]

29 минут назад, fateev сказал:

Как то можно исключить адрес DNS (8.8.8.8) из списка?

Из /opt/etc/init.d/S52ipset-dns убрать строчку ipset add $SET_NAME $DNS.

[qBittorrent - встречаем новый продвинутый торрент клиент]

@Dalex, в репозитории пока можете не ждать. Выпилен Qt5, нужны фичи C++20.

Проще найти статически собранный бинарник и попытаться запустить на роутере.

[Установка opkg на встроенную память]

Пыль. Уж лучше тогда слинковать /opt/var/log и /opt/tmp в недра tmpfs.

[ipset-dns для выборочного роутинга]

2 часа назад, Host Di сказал:

Есть альтернативные решения?

Через любое другое VPN соединение. Решение не привязано к какому-то типу VPN'а.

[ipset-dns для выборочного роутинга]

Проговорю очевидную вещь: любой мануал актуален на момент написания. Ни у одного автора нет цели поддерживать его актуальность бесконечно долго.

Если способны развить идею, не стесняйтесь начать новую тему. А что до этой, ей осталось недолго. По известным причинам её придётся удалить.

В 05.08.2024 в 10:32, Drafted сказал:

@Александр Рыжов можно Вас попросить добавить ссылку на мой способ через dnsmasq в шапку темы? Что-то тут все очень сильно оживилось и мой пост уже где-то в середине темы.

В 08.08.2024 в 22:48, keenet07 сказал:

@Александр Рыжов и другие.

Может кто-нибудь переписать эту приблуду таким образом чтоб она работала сразу с несколькими VPN (шлюзами, интерфейсами)?

15 часов назад, applick сказал:

@Александр Рыжов Измените информацию в шапке по поводу порта или дополните.

[OPKG on Speedster]

You can use OPKG component with SDK, if necessary. 

Thats the only way to use addition packages on non-USB models.

[автоудаление файлов]

Вам понадобится составить строчку для cron'а, чтобы определить момент для периодического запуска команды для удаления, и параметры самой команды для поиска и удаления.