vasek00

1 апреля, 2024

10 минут назад, urbanboy сказал:

это мне понятно , по телефону мне так и сказали , что этого вполне достаточно , но ...

в телеге мне написали , что на сервере через connect via надо указывать на конкретное соединение , в противном случае пойти может через основное , я правда не вполне понимаю , как оно пойти может через основное , если я на клиенте указывают статику сервера , как оно может завернуть то не туда

У вас есть два варианта:

1 . сколько угодно можете рассуждать что и как

2. просто попробовать

1 апреля, 2024

1 час назад, urbanboy сказал:

Задача , со стороны сервера подключить резервный канал и пустить WireGuard через него

На стороне клиента вы указываете endpoint сервера - IP адрес, т.к. как WG это точка точка т.е. нужен стат.маршрут до сервера WG через нужный интерфейс.

Пример, рабочий только в обратную сторону, т.е. на клиенте два канала Инет. Keenetic1 сервер WG, Keenetic2 клиент WG. На Keenetic2 основной канал на Инет1, и Инет2 резервный. Суть всего по данному каналу Инет2 объединение двух локальных сетей роутеров

Keenetic1----Инет------[Инет1]Keenetic2[Инет2]

На Keenetic2 поднимаем клиента WG на белый IP ххх.ххх.ххх.226 сервера Keenetic1 (его удаленная сеть 192.168.1.0/24) - проверили что работает. Далее - добавляем стат маршрут до данного IP сервера через Инет2 (Vlan3).

Keenetic2 

interface FastEthernet0/Vlan3 ***** Инет2 резервный
    description V-loc
    security-level public
    ip address dhcp
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ip global 24575
    up
...

interface Wireguard1
...
        wireguard peer IoGU....azo= !Viva
        endpoint ххх.ххх.ххх.226:65503 !Viva
        ...

ip route ххх.ххх.ххх.226 FastEthernet0/Vlan3 auto
ip route 192.168.1.0 255.255.255.0 Wireguard1 auto

В ПО draft 4.1 есть возможность для Wireguard на каком интерфейсе его поднимать. Пока не совсем оно работает, т.е. на нормальных WAN каналах все ок, если же второй WAN поднят на каком то VLAN то пока не работает (хотя в конфиг команда прописывается например connect via GigabitEthernet0/Vlan9 но результата нет, в отличие например от "connect via ISP" или от "connect via PPPoE0" где ОК), приходится пока мудрить через ручную стат.маршрутизацию.

31 марта, 2024

13 часа назад, alexk6 сказал:

Подключитесь на public-vpn-232.opengw.net. Только проверил, Windows в отличии от роутера подключается по SSTP и VPN работает.

В интернете есть большой список публичных, бесплатных VPN по протоколу SSTP. Несколько из них я проверял на Wundows и все хорошо, а на роутере не работает.

В чем может выть проблема?

Если хотите, я могу выложить весь список сюда.

Два разных сервера. Проба на роутере который в схеме Keenetic2

Keenetic2[LAN]-----[LAN]Keenetic1[WAN]-----Интернет-----[сервер]SSTP

livepro порт по умолчанию видимо 443. По логам Keenetic2 - нет подключения

Скрытый текст

Мар 31 09:56:03 ndm Network::Interface::Base: "SSTP0": interface is up.
Мар 31 09:56:03 ndm Network::Interface::EndpointTracker: "SSTP0": remote endpoint is "119.195.167.144".
Мар 31 09:56:03 ndm Network::Interface::EndpointTracker: "SSTP0": connecting via "Home" (Bridge0).
Мар 31 09:56:03 ndm Network::Interface::EndpointTracker: "SSTP0": local endpoint is "ip_Keenetic2".
Мар 31 09:56:03 ndm Network::Interface::EndpointTracker: "SSTP0": added a host route to 119.195.167.144 via ip_Keenetic1 (Bridge0).
Мар 31 09:56:03 ndm Network::Interface::Ppp: "SSTP0": enabled connection via any interface.
Мар 31 09:56:05 pppd[8011] Plugin sstp-pppd-plugin.so loaded.
Мар 31 09:56:05 pppd[8011] pppd 2.4.4-4 started by root, uid 0
Мар 31 09:56:05 pppd[8011] using channel 22
Мар 31 09:56:05 pppd[8011] Using interface ppp0
Мар 31 09:56:05 pppd[8011] Connect: ppp0 <--> /dev/pts/0
Мар 31 09:56:06 sstpc_SSTP0[8012] Waiting for sstp-plugin to connect on: /var/run/sstpc/sstpc-SSTP0
Мар 31 09:56:06 sstpc_SSTP0[8012] Resolved 119.195.167.144 to 119.195.167.144
Мар 31 09:56:06 pppd[8011] sent [LCP ConfReq id=0x1 <asyncmap 0x0> <magic 0x6fa20e14>]
Мар 31 09:56:15 pppd[8011] Core::Syslog: last message repeated 3 times.
Мар 31 09:56:16 sstpc_SSTP0[8012] Connect timed out
Мар 31 09:56:16 sstpc_SSTP0[8012] Could not complete connect to the client
Мар 31 09:56:16 pppd[8011] Modem hangup
Мар 31 09:56:16 pppd[8011] sent [LCP TermReq id=0x2 "Hangup"]
Мар 31 09:56:16 pppd[8011] Script /etc/ppp/pre-up-ppp0 started (pid 8075)
Мар 31 09:56:16 ndm Network::Interface::EndpointTracker: "SSTP0": added a host route to 119.195.167.144 via ip_Keenetic1 (Bridge0).
Мар 31 09:56:16 pppd[8011] Script /etc/ppp/pre-up-ppp0 finished (pid 8075), status = 0x0
Мар 31 09:56:16 pppd[8011] Could not connect to sstp-client (/var/run/sstpc/sstpc-SSTP0), Connection refused (111)
Мар 31 09:56:16 pppd[8011] Exit.
Мар 31 09:56:16 ndm Service: "SSTP0": unexpectedly stopped.
Мар 31 09:56:16 ndm Network::Interface::Base: "SSTP0": interface is up.
Мар 31 09:56:16 ndm Network::Interface::EndpointTracker: "SSTP0": remote endpoint is "119.195.167.144".
Мар 31 09:56:16 ndm Network::Interface::EndpointTracker: "SSTP0": connecting via "Home" (Bridge0).
Мар 31 09:56:16 ndm Network::Interface::EndpointTracker: "SSTP0": local endpoint is "ip_Keenetic2".
Мар 31 09:56:16 ndm Network::Interface::EndpointTracker: "SSTP0": added a host route to 119.195.167.144 via ip_Keenetic1 (Bridge0).
Мар 31 09:56:16 ndm Network::Interface::Ppp: "SSTP0": enabled connection via any interface.
Мар 31 09:56:18 pppd[8086] Plugin sstp-pppd-plugin.so loaded.
Мар 31 09:56:18 pppd[8086] pppd 2.4.4-4 started by root, uid 0
Мар 31 09:56:18 pppd[8086] using channel 23
Мар 31 09:56:18 pppd[8086] Using interface ppp0
Мар 31 09:56:18 pppd[8086] Connect: ppp0 <--> /dev/pts/0
Мар 31 09:56:18 sstpc_SSTP0[8087] Waiting for sstp-plugin to connect on: /var/run/sstpc/sstpc-SSTP0
Мар 31 09:56:18 sstpc_SSTP0[8087] Resolved 119.195.167.144 to 119.195.167.144
Мар 31 09:56:19 pppd[8086] sent [LCP ConfReq id=0x1 <asyncmap 0x0> <magic 0xe660deec>]
Мар 31 09:56:28 pppd[8086] Core::Syslog: last message repeated 3 times.
Мар 31 09:56:28 sstpc_SSTP0[8087] Connect timed out
Мар 31 09:56:28 sstpc_SSTP0[8087] Could not complete connect to the client
Мар 31 09:56:28 pppd[8086] Modem hangup
Мар 31 09:56:28 pppd[8086] sent [LCP TermReq id=0x2 "Hangup"]
Мар 31 09:56:28 pppd[8086] Script /etc/ppp/pre-up-ppp0 started (pid 8159)
Мар 31 09:56:28 ndm Network::Interface::EndpointTracker: "SSTP0": added a host route to 119.195.167.144 via ip_Keenetic1 (Bridge0).
Мар 31 09:56:28 pppd[8086] Script /etc/ppp/pre-up-ppp0 finished (pid 8159), status = 0x0
Мар 31 09:56:28 pppd[8086] Could not connect to sstp-client (/var/run/sstpc/sstpc-SSTP0), Connection refused (111)
Мар 31 09:56:28 pppd[8086] Exit.
Мар 31 09:56:28 ndm Service: "SSTP0": unexpectedly stopped.
Мар 31 09:56:28 ndm Network::Interface::Base: "SSTP0": interface is up.
Мар 31 09:56:28 ndm Network::Interface::EndpointTracker: "SSTP0": remote endpoint is "119.195.167.144".
Мар 31 09:56:28 ndm Network::Interface::EndpointTracker: "SSTP0": connecting via "Home" (Bridge0).
Мар 31 09:56:28 ndm Network::Interface::EndpointTracker: "SSTP0": local endpoint is "ip_Keenetic2".
Мар 31 09:56:28 ndm Network::Interface::EndpointTracker: "SSTP0": added a host route to 119.195.167.144 ip_Keenetic1 (Bridge0).
Мар 31 09:56:28 ndm Network::Interface::Ppp: "SSTP0": enabled connection via any interface.
Мар 31 09:56:30 pppd[8182] Plugin sstp-pppd-plugin.so loaded.
Мар 31 09:56:30 pppd[8182] pppd 2.4.4-4 started by root, uid 0
...

Берем другой ipspeed - vpn983431236.opengw.net:1503 все ОК. Ниже лог при vpn978177792.opengw.net:995 так же все ОК.

Скрытый текст

...
Мар 31 10:17:08 ndm
Network::Interface::Base: "SSTP0": "base" changed "conf" layer state "disabled" to "running".
Мар 31 10:17:08 ndm Network::Interface::Base: "SSTP0": interface is up.
Мар 31 10:17:08 ndm Core::System::StartupConfig: saving (http/rci).
Мар 31 10:17:08 ndm Network::Interface::PppTunnel: "SSTP0": interface state is changed, reconnecting.
Мар 31 10:17:09 ndm Network::Interface::EndpointTracker: "SSTP0": remote endpoint is "125.25.111.149".
Мар 31 10:17:09 ndm Network::Interface::EndpointTracker: "SSTP0": connecting via "Home" (Bridge0).
Мар 31 10:17:09 ndm Network::Interface::EndpointTracker: "SSTP0": local endpoint is "IP_Keenetic2".
Мар 31 10:17:09 ndm Network::Interface::EndpointTracker: "SSTP0": added a host route to 125.25.111.149 via IP_Keenetic1 (Bridge0).
Мар 31 10:17:09 ndm Network::Interface::Ppp: "SSTP0": enabled connection via any interface.
Мар 31 10:17:11 pppd[11690] Plugin sstp-pppd-plugin.so loaded.
Мар 31 10:17:11 pppd[11690] pppd 2.4.4-4 started by root, uid 0
Мар 31 10:17:11 pppd[11690] using channel 29
Мар 31 10:17:11 pppd[11690] Using interface ppp0
Мар 31 10:17:11 pppd[11690] Connect: ppp0 <--> /dev/pts/0
Мар 31 10:17:11 sstpc_SSTP0[11691] Waiting for sstp-plugin to connect on: /var/run/sstpc/sstpc-SSTP0
Мар 31 10:17:11 sstpc_SSTP0[11691] Resolved 125.25.111.149 to 125.25.111.149
Мар 31 10:17:11 sstpc_SSTP0[11691] Connected to 125.25.111.149 (host: vpn978177792.opengw.net)
Мар 31 10:17:12 ndm Core::System::StartupConfig: configuration saved.
Мар 31 10:17:12 pppd[11690] sent [LCP ConfReq id=0x1 <asyncmap 0x0> <magic 0xb8800c80>]
Мар 31 10:17:12 sstpc_SSTP0[11691] Sending Connect-Request Message
Мар 31 10:17:12 sstpc_SSTP0[11691] SEND SSTP CRTL PKT(14)
Мар 31 10:17:12 sstpc_SSTP0[11691] TYPE(1): CONNECT REQUEST, ATTR(1):
Мар 31 10:17:12 sstpc_SSTP0[11691] ENCAP PROTO(1): 6
Мар 31 10:17:12 sstpc_SSTP0[11691] RECV SSTP CRTL PKT(48)
Мар 31 10:17:12 sstpc_SSTP0[11691] TYPE(2): CONNECT ACK, ATTR(1):
Мар 31 10:17:12 sstpc_SSTP0[11691] CRYPTO BIND REQ(4): 40
Мар 31 10:17:12 sstpc_SSTP0[11691] Started PPP Link Negotiation
Мар 31 10:17:12 pppd[11690] rcvd [LCP ConfReq id=0x0 <auth pap>]
Мар 31 10:17:12 pppd[11690] sent [LCP ConfAck id=0x0 <auth pap>]
Мар 31 10:17:15 pppd[11690] sent [LCP ConfReq id=0x1 <asyncmap 0x0> <magic 0xb8800c80>]
Мар 31 10:17:15 pppd[11690] rcvd [LCP ConfRej id=0x1 <asyncmap 0x0> <magic 0xb8800c80>]
Мар 31 10:17:15 pppd[11690] sent [LCP ConfReq id=0x2]
Мар 31 10:17:15 pppd[11690] rcvd [LCP ConfRej id=0x1 <asyncmap 0x0> <magic 0xb8800c80>]
Мар 31 10:17:15 pppd[11690] rcvd [LCP ConfAck id=0x2]
Мар 31 10:17:15 pppd[11690] sent [LCP EchoReq id=0x0 magic=0x0]
Мар 31 10:17:15 pppd[11690] sent [PAP AuthReq id=0x1 user="vpn" password=<hidden>]
Мар 31 10:17:16 pppd[11690] rcvd [LCP EchoRep id=0x0 magic=0x0]
Мар 31 10:17:16 pppd[11690] rcvd [PAP AuthAck id=0x1]
Мар 31 10:17:16 pppd[11690] PAP authentication succeeded
Мар 31 10:17:16 pppd[11690] Script /etc/ppp/pre-up-ppp0 started (pid 11717)
Мар 31 10:17:16 ndm Network::Interface::EndpointTracker: "SSTP0": added a host route to 125.25.111.149 via IP_Keenetic2 (Bridge0).
Мар 31 10:17:16 pppd[11690] Script /etc/ppp/pre-up-ppp0 finished (pid 11717), status = 0x0
Мар 31 10:17:16 sstpc_SSTP0[11691] Received callback from sstp-plugin
Мар 31 10:17:16 sstpc_SSTP0[11691] Got MPPE/HLAK keys
Мар 31 10:17:16 sstpc_SSTP0[11691] Received callback from sstp-plugin
Мар 31 10:17:16 sstpc_SSTP0[11691] Got ip-up, send Connected
Мар 31 10:17:16 sstpc_SSTP0[11691] Sending Connected Message
Мар 31 10:17:16 sstpc_SSTP0[11691] SEND SSTP CRTL PKT(112)
Мар 31 10:17:16 sstpc_SSTP0[11691] TYPE(4): CONNECTED, ATTR(1):
Мар 31 10:17:16 sstpc_SSTP0[11691] CRYPTO BIND(3): 104
Мар 31 10:17:16 sstpc_SSTP0[11691] Connection Established
Мар 31 10:17:16 pppd[11690] sent [IPCP ConfReq id=0x1 <addr 0.0.0.0> <ms-dns1 0.0.0.0> <ms-dns3 0.0.0.0>]
Мар 31 10:17:16 sstpc_SSTP0[11691] RECV SSTP CRTL PKT(8)
Мар 31 10:17:16 sstpc_SSTP0[11691] TYPE(8): ECHO REQUEST, ATTR(0):
Мар 31 10:17:16 sstpc_SSTP0[11691] Sending Echo-Reply Message
Мар 31 10:17:16 sstpc_SSTP0[11691] SEND SSTP CRTL PKT(8)
Мар 31 10:17:16 sstpc_SSTP0[11691] TYPE(9): ECHO REPLY, ATTR(0):
Мар 31 10:17:16 pppd[11690] rcvd [IPCP ConfReq id=0x1 <addr 1.0.0.1>]
Мар 31 10:17:16 pppd[11690] sent [IPCP ConfAck id=0x1 <addr 1.0.0.1>]
Мар 31 10:17:16 pppd[11690] rcvd [IPCP ConfNak id=0x1 <addr 10.211.1.27> <ms-dns1 10.211.254.254> <ms-dns3 8.8.8.8>]
Мар 31 10:17:16 pppd[11690] sent [IPCP ConfReq id=0x2 <addr 10.211.1.27> <ms-dns1 10.211.254.254> <ms-dns3 8.8.8.8>]
Мар 31 10:17:17 pppd[11690] rcvd [IPCP ConfAck id=0x2 <addr 10.211.1.27> <ms-dns1 10.211.254.254> <ms-dns3 8.8.8.8>]
Мар 31 10:17:17 pppd[11690] local IP address 10.211.1.27
Мар 31 10:17:17 pppd[11690] remote IP address 1.0.0.1
Мар 31 10:17:17 pppd[11690] primary DNS address 10.211.254.254
Мар 31 10:17:17 pppd[11690] secondary DNS address 8.8.8.8
Мар 31 10:17:17 pppd[11690] Script /etc/ppp/ip-up-ppp0 started (pid 11724)
Мар 31 10:17:17 ndm Network::Interface::Base: "SSTP0": interface is up.
Мар 31 10:17:17 ndm Network::Interface::Base: "SSTP0": "ppp" changed "link" layer state "connecting" to "running".
Мар 31 10:17:17 ndm Network::Interface::Base: "SSTP0": interface is up.
Мар 31 10:17:17 ndm Network::Interface::Ip: "SSTP0": interface "SSTP0" is global, priority 175.
Мар 31 10:17:17 ndm Network::Interface::Ip: "SSTP0": adding default route via SSTP0.
Мар 31 10:17:17 ndm Dns::InterfaceSpecific: "SSTP0": adding name server 10.211.254.254.
Мар 31 10:17:17 ndm Dns::InterfaceSpecific: "SSTP0": adding a host route to name server 10.211.254.254 (via 0.0.0.0).
Мар 31 10:17:17 ndm Dns::InterfaceSpecific: "SSTP0": host route for name server 10.211.254.254 added.
Мар 31 10:17:17 ndm Dns::InterfaceSpecific: "SSTP0": name server 10.211.254.254 added, domain (default).
Мар 31 10:17:17 ndm Dns::InterfaceSpecific: "SSTP0": adding name server 8.8.8.8.
Мар 31 10:17:17 ndm Dns::InterfaceSpecific: "SSTP0": adding a host route to name server 8.8.8.8 (via 0.0.0.0).
Мар 31 10:17:17 ndm Dns::InterfaceSpecific: "SSTP0": host route for name server 8.8.8.8 added.
Мар 31 10:17:17 ndm Dns::InterfaceSpecific: "SSTP0": name server 8.8.8.8 added, domain (default).
Мар 31 10:17:17 ndm Network::Interface::Base: "SSTP0": "ip" changed "ipv4" layer state "disabled" to "running".
Мар 31 10:17:17 ndm Network::Interface::Ip: "SSTP0": IP address is 10.211.1.27/32.
Мар 31 10:17:17 ndm Network::InterfaceFlusher: flushed IPv4 Bridge0 conntrack and route cache.
Мар 31 10:17:17 ndm Network::InternetChecker: Internet access lost (status: 0x0000).
....

Скрытый текст

31 марта, 2024

В продолжение поста выше.

Если после всех приведенных выше настроек исправляем доступ клиентов и сохраним конфиг, то при обратной его заливки получаем опять проблему с доступом клиентов (появлением опять "conform" на клиентах).

30 марта, 2024

33 минуты назад, Andr S сказал:

Проблема решилась включением доступа в интернет для незарегистрированных устройств, хотя все устройства зарегистрированы

Скорей всего это из той же серии

29 марта, 2024

4.1 в любой draft и даже в последней 4.1.2 не наблюдал.

Есть два сегмента =основной и в нем клиенты, дополнительный и в нем свои клиенты. В настройках обоих сегмент присутствует раздел "Правила использования интернет-трафика" стоит "Без доступа в интернет".

ip hotspot
    policy Home deny
    policy HomeSmart deny
...

Клиентов в основном сегменте раскидываю по политикам для клиентов, повторюсь все работает.

После перехода на 4.2 в которой

Цитата

Hotspot: реализована политика сегмента по умолчанию для хостов (включена по умолчанию) [NDM-2237]:

ip hotspot host conform"

Есть проблема на клиентах по выходу в интернет из своих политик, в WEB приходится перекидывать клиента/клиентов в любую политику потом возвращать их обратно и тогда может быть все заработает с первого раза. Но это пол беды, если в разделе "Политика доступа в интернет" выбираем какую-то созданную для смены канала (вниз или вверх или галку на другом) то МОЖЕТ нарушиться ранее настроенная политика на клиенте, т.е. он теряет выход в интернет.

Стабильность ее появления или закономерность по действиям не нашел, но путем сохрания конф файл при разных действиях нашел ненужные строки в "ip hotspot" а именно с "conform".

Скрытый текст

Для того что восстановить все (исправить от "conform") всех клиентов загоняю в политику по умолчанию, а потом через 30сек. перекидываю клиентов в нужную политику.

Команду

Цитата

Hotspot: реализована автоматическая регистрация хостов в сегменте Home (включена по умолчанию) [NDM-3101]:

ip hotspot auto-register disable — отключить автоматическую регистрацию

Не пробовал.

Думаю решение проблемы так же можно с помощью "Правила использования интернет-трафика" поставить "Политика по умолчанию", но не пробовал.

До 4.2. проблем с таким поведением не было.

24 марта, 2024

14 часа назад, Lixeiden сказал:

vasek00
Пытался уловить Вашу мысль, увы - не смог🙂
Если Вы хотели сказать, что sftp дает такую нагрузку на CPU роутера, что он "не тянет" высокую скорость обмена с диском, почему тогда нагрузка на CPU роутера при использовании sftp как раз таки низкая?
А если SMB не дает нагрузку на CPU, то почему тогда при использовании примонтированного SMB скорость тоже низкая? А при использовании "непримонтированного" SMB скорость высокая?

Цитата

Однако если использовать для обмена данными с диском:

утилиту sftp

примонтированную с помощью sshfs sftp-шару

автоматически примонтированную средствами KDE smb-шару (/run/user/1000/kio-fuse-vGjTDr/smb/keenetic-2407.local/path/to/my/files)

автоматически примонтированную средствами macOS smb-шару (/Volumes/...)

Схема и испытуемый KN1011 и без всяких "kio-fuse" только "sshfs"

[SSD-USB3]KN1811[LAN]---SSHFS---[LAN]KN1011[LAN]---SMB---[LAN]PS

1. На KN1011 ставим "opkg install sshfs" (libfuse3 (3.16.2-1) to root... fuse3-utils (3.16.2-1) to root...)

2. На KN1011 делаю монтирование диска от KN1811

"sshfs root@IP-1811:/tmp/mnt/f95...folder....901 /tmp/mnt/01.....70/98"

3. На 1011 - df видим примонтированный folder с 1811 в /tmp/mnt/01....70/98

Filesystem           1K-blocks      Used Available Use% Mounted on
/dev/root                23680     23680         0 100% /
tmpfs                   256960         8    256952   0% /dev
...
root@IP-1811:/tmp/mnt/f9......01
                       9812592   1686374   7593738  18% /tmp/mnt/01....70/98

4. На PS Windows через SMB видим 1011/..../98 папку, копирую файл из нее, физически копирование файла с 1811 --> [sshfs-folder] --> 1011 --> SMB --> PS

5. Делаю копирование этого файла что и в п.4 "cp" на самом роутере 1011 из /tmp/mnt/01....70/98 в локал. /tmp/mnt/01.....70 1011

(физически с 1811 --> [sshfs-folder] 1011 --> 1011 в /tmp/mnt/01.....70)

Скрытый текст

23 марта, 2024

В 22.03.2024 в 01:39, Lixeiden сказал:

Keenetic Giga KN-1011.

В веб-интерфейсе включена раздача по SMB и SFTP.

Скорость обращения к диску, если использовать визуальный интерфейс ОС (например, KDE или macOS) составляет вполне приличные 40-90 МиБ/сек на запись/чтение.

Однако если использовать для обмена данными с диском:

утилиту sftp

то скорость наблюдается в печальном диапазоне 10-20 МБ/сек на запись и чтение соответственно. 😥

В чем может быть дело?
Речь о программном ограничении?

Для начала вспомним что SFTP (Secure File Transfer Protocol) протокол передачи работающий поверх безопасного канала SSH т.е. шифрование

4 часа назад, Lixeiden сказал:

Так когда я наблюдаю 20-30% загрузку скорость как раз таки вполне нормальная. 🙂
Почему при копировании другими способами (более естественными и удобными) - загрузка CPU низкая, как и скорость?

KN1011 запись на HDD который на USB3 к роутеру, клиент LAN на Windows 11 c WinSCP (SFTP) и Проводник (SMB), сам проц роутера ниже, так же сервис TSMB/SMB работает в пространстве ядра в отличие от SSH.

Скрытый текст

2 ядерный проц, но 4 потока CPU

Ниже 4 потока CPU

22 марта, 2024

1 час назад, Поминов Дмитрий сказал:

!

Не показывайте значение в поле network-id

Теперь перегрузите роутер и подождите мин2-3. Далее смотрим в логе в самом его конце

[I] Mar 22 17:25:39 ndm: Network::Interface::EndpointTracker: "ZeroTier0": remote endpoint is "151.ZT.91". 
[I] Mar 22 17:25:39 ndm: Network::Interface::EndpointTracker: "ZeroTier0": connecting via "GigabitEthernet0/Vlan9" (GigabitEthernet0/Vlan9). 
[I] Mar 22 17:25:39 ndm: Network::Interface::EndpointTracker: "ZeroTier0": local endpoint is "10.10.10.10". 
[I] Mar 22 17:25:41 kernel: IPv6: ADDRCONF(NETDEV_CHANGE): zt_br0: link becomes ready
[I] Mar 22 17:25:51 ndm: Network::Interface::Base: "ZeroTier0": "zt" changed "link" layer state "pending" to "running". 
[I] Mar 22 17:25:51 ndm: Network::Interface::Base: "ZeroTier0": "ip" changed "ipv4" layer state "disabled" to "running". 
[I] Mar 22 17:25:52 ndm: Network::Interface::Ip: "ZeroTier0": IP address is 10.14х.ххх.ххх/24.

имеем

- удаленную точку "remote endpoint is 151.ZTххххххх.91" где "151.ZTххххххх.91" IP адрес сервера ZT - какой то IP должен быть, не обязательно такой

- c роутера его интерфейс "connecting via GigabitEthernet0/Vlan9" и адрес "local endpoint is 10.10.10.10", тут ваш IP на ISP

- поднялся интерфейс zt_br0 и адрес "IP address is 10.14х.ххх.ххх/24" тут ваш IP в зависимости от настройки на https://my.zerotier.com/

Описание данного роутера должно появится на странице вашей сети в WEB zerotier.

Если в логе этого нет, то поднимаемся выше по логу и смотрим, что там у вас с интерфейсом ZeroTier0 происходит.

22 марта, 2024

2 часа назад, Поминов Дмитрий сказал:
в моем случае интерфейс zerotier самостоятельно не поднимается . начианет все рабтать после команды
 interface ZeroTier0 up
как сделать таким образом что бы интерфейс поднимался автоматически?

Покажите конф файл иначе будем гадать.

21 марта, 2024

41 минуту назад, Rea0911 сказал:

(config)> show interface ZeroTier0

Для начала проще - сохранить конф файл роутера (WEB/Общие настройки -> startup-config) в нем есть раздел ZT вот его и покажите + настройка межсетевого access-list.

Поле local-id: хххххххххххх и network-id: ххххххххххххххх пометить крестиками.

access-list _WEBADMIN_ZeroTier0
    permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
    permit description ZT-IP
    permit icmp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
    permit description ZT-ICMP
    auto-delete

interface ZeroTier0
    description ИМЯ_для_WEB_роутера
    role inet
    security-level public
    ip dhcp client dns-routes
    ip access-group _WEBADMIN_ZeroTier0 in
    zerotier accept-addresses
    zerotier accept-routes
    zerotier network-id bxxxxxxxxxxxxxxx
    up  ********************************** должен быть в UP т.е. включен, если down то не включен

_WEBADMIN_ZeroTier0 - правила межсетевого экрана, настройка в WEB роутера. Настройка для ICMP не принципиальна, можно не создавать, только для IP протокола.

удалит данные строки 

permit icmp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
permit description ZT-ICMP

"role inet" выход в интернет, "security-level public" политика интерфейса по умолчанию.

connect via ISP

Не принципиально, по умолчанию будет выбран основной профиль (политика по умолчанию и его default маршрут, который самый верхний -> Приоритеты подключений - Политики доступа в интернет - Политика по умолчанию.

Можно заставить ZT соединятся например через второго провайдера если он есть

interface ZeroTier0
....
    zerotier connect via GigabitEthernet0/Vlan9
    up

после via - "via GigabitEthernet0/Vlan9" это сетевой интерфейс на котором поднят второй провайдер если хотим на другом, а не на основном.

18 марта, 2024

4 часа назад, Igorka777 сказал:

Добрый день! Возможно ли сохранять поток с IP камеры на жесткий диск подключенный к USB разьему Keenetic Hopper?

Если да то подскажите как это сделать? Желательно поподробнее.

Иметь камеру которая может быть клиентом SMB/FTP.

Или поиск по RTSP

18 марта, 2024

9 часов назад, MarShaLL22 сказал:

Делай, и нормально будет работать. Единственный момент, Entware ставь на нормальную флешку, качественную.

Потому, что флехи плохого качества, кинетик быстро выводит из строя.

Не поделитесь вашим опытом использования, что значит нормально (каков поток и какой канал) и какие настройки используете ?

13 марта, 2024

35 минут назад, Dmitry Mukhach сказал:

Как так !?

Есть такие ТВ которые при роутер пишет что скорость 780 Мбит/с WPA2, 11ac 2x2 80 МГц а в реале схема на ТВ

1. Поток данных ----- wifi -------- [wifi-USB]---[USB]проц ТВ

2. Поток данных ----- LAN ----------[]проц ТВ

Физически получают "затыки" по первой схеме и удачно работаю по второй, так как в первой схеме стоит "свисток wifi" + драйвера для него (вопрос качества их написания) от которых зависит загрузка проца, т.е. например потока 50Мбит по wifi уже может привести в ступор проц ТВ.

4 марта, 2024

1 час назад, Dimbas сказал:
У меня вот так, т.е. весь траффик с SSTP идет через локальный TOR. Вопрос в том, как бы я не добавлял маршрутизацию на 192.168.1.100, она не хочет работать.
Клиент[SSTP]----Интернет----[SSTP]Keenetic[LAN]------[TOR]Keenetic

Если у вас 4.1. попробуйте вот такую команду, на своем примере (тут именно 120, для начала)

была
ip rule add from 172.16.130.29/32 table 12

стала

ip rule add pref 120 from 172.16.130.29/32 table 12
или она же 
ip rule add from 172.16.130.29/32 table 12 pref 120

для удаления введенной - точно такая же только вместо "add" нужно "del"

3 марта, 2024

47 минут назад, Kazantsev сказал:

это adguard home opkg?

Да

3 марта, 2024

1 час назад, zyxmon сказал:

2. В мой схеме DoT на кинетике + AdGuarв Home использующая в качестве Upstream DNS-сервера 127.0.0.1:40500 (DoT кинетика)

Вопрос а зачем использовать прошивочный DoT если в AGH можно сразу указать сервер DoT.

1 марта, 2024

7 часов назад, Dimbas сказал:

когда мы настроили для клиента с IP 172... маршрутизацию интернета через VPN все заработало, но пропал доступ к серверу Homeassistant, который находится на 192.168.1.100. Вопрос в том, может ли одновременно работать интернет, как мы настроили выше и еще добавить доступ к Homeassistant?

но пропал доступ к серверу Homeassistant

В моем случае

Клиент[SSTP]----Интернет----[SSTP]Keenetic1[LAN]------[LAN]Keenetic2

на обоих Keenetic Entware + SMB и сами WEB роутеров, Keenetic1 запущен AGH (его WEB) - проблем с доступом нет. В обоих вариантах подключения одинаково. Пользователю SSTP разрешено

user U*****N
    password md5 ***
    password nt ***
    home SSD1:
    tag sstp
    tag vpn
    tag ipsec-xauth
    tag http
    tag opt
    tag sftp
    tag cifs
    tag printers
    tag http-proxy

У вас в данном профиле какой стоит канал основной ?

При этом стоит "isolate-private" что это написано ниже

https://help.keenetic.com/hc/ru/articles/360001434079-Настройка-правил-межсетевого-экрана-из-командного-интерфейса

1 марта, 2024

41 минуту назад, Dimbas сказал:

Еще вопрос, при таком сценарии, возможно ли добавить маршрут, чтобы была видна сеть 192.168.1.0?

О чем идет речь?

29 февраля, 2024

8 часов назад, Dimbas сказал:

Спасибо, все замечательно работает. Но после перезагрузки маршрут пропадает. Как его можно сохранить постоянно?

На вскидку.

Вариант 1.

Так как все скрипты Entware запускаются через /opt/etc/init.d то можно создать скрип запуска с одной командой после некоторой задержки

Скрытый текст

#!/bin/sh
PATH=/opt/sbin:/opt/bin:/opt/usr/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin

sleep 30;
ip rule add from 172.16.130.29/32 table 12;

Файл должен иметь имя Snnnхххххх, где

S - обязательно, так как это Start

nnn - цифра, скрипты в данном каталоге запускаются по порядку с 1 и будут по nnn, например S102-SSTP. Далее "chmod 755 S102-SSTP".

Вариант 2.

Считаем что профиль готов к работе, а именно таблица маршрутизации для него после того как в нем будет установлен default маршрут в нем.

Скрытый текст

Для примера имеем профиль и в нем только один WG, тогда

#!/bin/sh

PATH=/opt/sbin:/opt/bin:/opt/usr/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin

COUNTER=0
LIMIT=30
while [ -z "`ndmc -c show ip policy Policy2 | grep destination | awk '/0.0.0.0/ {print $2}'`" -a "$COUNTER" -le "$LIMIT" ]; do
        sleep 1;
	COUNTER=`expr $COUNTER + 1`
done

ip rule add from 172.16.130.29/32 table 12;

Policy2 это профиль с WG каналом который нужен, поиск в нем default маршрута - destination 0.0.0.0/0. В данном примере S102-SSTP получаем при COUNTER=16 появляется маршрут default в таблице маршрутизации. Добавим далее IP клиента который будет по SSTP (172.16.130.29/32) в данную таблицу 12 маршрутизации данного профиля. В настройках SSTP сервера для пользователя зарезервирован IP адрес.

LIMIT=30 это для ARM, можно и 45 и 60. Сколько точно можно проверить добавив команду

echo " $COUNTER " >> /opt/tmp/count_12
ip rule add from 172.16.130.29/32 table 12;

Посмотреть потом в /opt/tmp/count_12

В место ndmc можно использовать

curl -kfsS http://localhost:79/rci/show/ip/policy/Policy2 | grep destination | awk '/0.0.0.0/ {print $2}'

или

curl ... http://localhost:79/rci/show/ip/policy/Policy2 | jq ....

Поверяем вариант2.

1. Без скрипта S102-SSTP. Клиент подключается по SSTP к роутеру. Speedtest на клиенте показывает IP от провайдера который в основном профиле/по умолчанию профиль.

2. Используем скрипт, перезапускаем роутер. Клиент подключается по SSTP к роутеру. Speedtest на клиенте показывает IP от WG который в профиле Policy2.

Ремарка - по команде "ip ro show table 12" ip адреса клиента видно не будет, до тех пор пока он не появится/подключится к роутеру и будет висеть в данной таблице пока клиент не отключится. Если потом опять подключится то данный стат маршрут будет опять активен и он выйдет в интернет опять через нужный нам профиль Policy2.

27 февраля, 2024

1 час назад, avn сказал:
В таблице имеет значение только это, остальное косвенное
default dev ppp0  scope link 

Речь выше шла про то и не про какой он в списке интерфейс, первый WAN или не первый, или br0 второй или он последний - просто пример их расположение от IP.

27 февраля, 2024

9 минут назад, Петька и Василий Иванович сказал:

У меня есть сторонний vpn-клиент платный, в том числе поддерживает WG.

Проверил WG на скорую руку в итоге как вы и хотите. WG Android использовал из Google Play (но он уже стоял ранее), настройка 30минут.

Самсунг[WG] ---- wifi/4G --- Keenetic1 ------------- [WG]Keenetic2

Почему хочу IKEv2? Только он реализован во встроенном клиенте Самсунга, а это значит есть нормальная поддержка в "Режимы и сценарии" Самсунга.

Тут да

27 февраля, 2024

10 часов назад, zyxmon сказал:
PS Создал политику по имени скрипта запуска S99sing-box. `show ip polycy` всегда выдает
                "route": [
                    {
                        "destination": "10.0.0.0/24",
                      ...
                    },
                    {
                        "destination": "172.16.250.0/30",
                        ...
                    },
                    {
                        "destination": "192.168.1.0/24",
                        ...
                    }
                
Первый маршрут всегда wan (10.0.0.0), второй tun0 (sing-box), третий lan (bridge). Или так и должно быть?

Все просто не имеет значения WAN или TUN или PPP, а имеет значение

default dev ppp0  scope link 
10.10.xxх.0/24 dev eth2.9 ...
10.147.ххх.0/24 dev zt_br0 ...
104.21.ххх.ххх dev nwg4 ...
109.126.ххх.ххх dev ppp0 ...
185.107.ххх.ххх dev ppp0 ...
188.114.ххх.ххх dev ppp0 ...
192.168.100.0/24 via 10.147.ххх.ххх dev zt_br0 ....
192.168.130.0/24 dev br0 ...
192.168.150.0/24 dev br1 ...
...

27 февраля, 2024

8 часов назад, Петька и Василий Иванович сказал:

Вот и я говорю, что как минимум про "Always-on VPN" c IKEv2 на Кинетике можно забыть. Или костылить.

А на PPPoE то же будет косяк/костыль, когда пустит вторично после некого тайм аута.

Попробуйте другой вариант - на WG, на Keenetic2 поднимите сервер WG, на клиенте смартфоне так же WG. Далее попробовать п.1-4. На вскидку должно работать.

А почему вы такой вариант используете, а не соедините два роутера Keenetic1 и Keenetic2. Клиент у вас будет висеть на Keenetic1 - то на wifi то на 4G но с Keenetic1.

26 февраля, 2024

34 минуты назад, Петька и Василий Иванович сказал:

Это Самсунг - Wi-Fi - Кинетик1_(IP 94.29.*.* его провайдера, у роутера серый) - Интернет - Кинетик2_с_IKEv2-сервером.

Проверил данную схему и ваши п.1-4 - нет проблем но при таймауте 3минуты, между п.3 и п.4., галки множественный доступ нет.

Профили

Форумы

Галерея

Загрузки

Блоги

События

Сообщения, опубликованные vasek00

Важная информация