[4.1.A.19 KN2710 странное поведение клиента wifi5 (падение скорости)]

Этот же клиент A50 на KN1011 (ПО 4.1.А.19) такой же тест три раза, проблем нет со скоростью.

Скрытый текст

 

[4.1.A.19 KN2710 странное поведение клиента wifi5 (падение скорости)]

4.1.A.19 KN2710 странное поведение клиента wifi5 - падение скорости. Настройки по wifi

Скрытый текст

interface WifiMaster1
    country-code RU
    compatibility N+AC
    channel 36
    channel width 160
    power 50
    rekey-interval 86400
    beamforming explicit
    downlink-mumimo
    up


[I] Jan  1 03:00:10 kernel: MT7615 CPU 0 patch info:
[I] Jan  1 03:00:10 kernel:  Built date: 20180518100604a
[I] Jan  1 03:00:10 kernel: MT7615 CPU 0 firmware info:
[I] Jan  1 03:00:10 kernel:  Chip ID: 0x04
[I] Jan  1 03:00:10 kernel:  Eco version: 0x00
[I] Jan  1 03:00:10 kernel:  Built date: 20210224182030
[I] Jan  1 03:00:10 kernel: MT7615 CPU 1 firmware info:
[I] Jan  1 03:00:10 kernel:  Chip ID: 0x04
[I] Jan  1 03:00:10 kernel:  Eco version: 0x00
[I] Jan  1 03:00:10 kernel:  Built date: 20190415154149

 

После подключения через минуту или чуть более резкое падение скорости при тесте iperf3 .... -P30 -R на клиенте прием, сервер в локальной сети роутера iperf3 -s. Клиент Samsung A50 1х1/80 на Android 11 (обновления последние на текущую дату, проц exynos 9610 чип BT/WIFI/FM S5N5C20X00-6030 ). Повторил его несколько раз при RSSI=-64 и линке 1х1/80 по роутеру 433, при полосе 80 и при полосе 160.

Скрытый текст

 

Другой клиент так же samsung только на wifi чипе qca6750 проблем нет, тот же роутер KN2710 то же самое место и тот же самый локальный iperf3 -s (через LAN порт роутера).

Скрытый текст

 

Возможно конечно проблемы самого клиента Samsung A50.

 

[Доступ к сети за клиентом openvpn]

В 17.11.2023 в 21:13, xfnreg сказал:

Есть опенвпн-сервер в офисе (доступ к нему через просброс портов на файрволе).

Настроен в качестве опенвпн-клиента Keenetic 4G (4G (KN-1212) EAEU; Версия ОС 4.0.5). Доступ к серверу есть - пинг, смб-шары, рдп и пр. Маршруты подсетей в клиентской и серверной части прописаны.

Необходимо организовать доступ к устройствам (компы, контроллеры СКУД Sigur) за клиентской сетью, т.е. за роутером Keenetic 4G.

OpenVPN принципиален + еще проц MT7628N (речь про скорость через OpenVPN).

В 4.1 есть клиент ZeroTier

Цитата

https://habr.com/ru/companies/ruvds/articles/484178/

ZeroTier — интеллектуальный Ethernet-коммутатор. Это распределенный сетевой гипервизор, созданный на основе криптографически защищенной глобальной одноранговой (P2P) сети. Подобный корпоративному коммутатору SDN инструмент, предназначенный для организации виртуальных сетей поверх физических, как локальных, так и глобальных, c возможностью подключения практически любого приложения или устройства.
Сетевой гипервизор ZeroTier — автономный механизм виртуализации сети, эмулирующий сеть Ethernet, аналогично VXLAN, поверх глобальной шифрованной одноранговой (P2P) сети. Протоколы используемые в ZeroTier оригинальны, хотя с виду и подобны VXLAN и IPSec и состоят из двух концептуально отдельных, но тесно связанных уровней: VL1 и VL2.

Клиенты ZeroTier так же есть и для https://www.zerotier.com/download/

 

 

[Незарегистрированное устройство не в сети]

15 минут назад, Саша Г. сказал:

Как выше коллеги сказали, это Hikvision какой-то. То есть, устройство ранее было подключено, залипло в конфигурации роутера и не хочет уходить.

Оно залипнуть не может. У вас есть камера гостиной EC97E0 так же hikvision или ??????.

Еще вопрос нужен теперь лог, смотреть два MAC - EC97E0 и ECC89C. Лучше роутер перегрузить или даже выключить и включить и потом смотрите selftest.

Камеры на регистратор, случаем данная камера ECC89C не осталась в настройках.

 

[Незарегистрированное устройство не в сети]

Скрин всех клиентов которые включены.

[Маршрутизация разных сегментов сети на разные интерфейсы]

20 часов назад, zefi сказал:

Здравствуйте!

Помогите, пожалуйста, решить такую задачку.

Имеется роутер Keenetic Hero 4G, на котором есть два внешних интерфейса - подключение 4G и VPN-подключение. Настроены два сегмента сети, в каждом по точке доступа. К точкам доступа могут подключаться только зарегистрированные клиенты (ACL whitelist). 

Подскажите, пожалуйста, возможно ли сделать так, чтобы все клиенты, подключившиеся к первой точке доступа, выходили в интернет через подключение 4G, а все клиенты, подключившиеся ко второй точке доступа, выходили в интернет через VPN-подключение? Политиками доступа решить не удалось, поскольку для зарегистрированного клиента всегда установлена только одна политика, которая переопределяет политику, установленную для сегмента сети.

Заранее спасибо за помощь!

Не понятны тек.настройки вашей сети.

Пробую, на роутере несколько политик - основная/WARP/Proton, где в каждой политике только свой канал выхода в интернет.

Клиент1---Сегмент------------Роутер-------Интернет
Клиент1---Осной.сегмент--------+

Клиент1 (имя Клиент-О) зарег. по MAC/IP в основном сегменте и подключается к ней по Wifi ИМЯ-О и получает IP от этого сегмента 192.168.130.18, этот же клиент1 (имя Клиент-С) может подключаться к Сегменту по Wifi ИМЯ-С (тут уже у него другой MAC) и получает IP от Сегмент 192.168.150.60 (IP из пула DHCP данного сегмента). Просто хотел подчеркнуть что все на одном и том же клиенте но разные выходы в Интернет на основание его подключения по Wifi.

Беру данного Клиент-С и помещаю в профиль Proton, подключаюсь к сети ИМЯ-С (т.е. просто сегмент) - speedtest дает IP от Proton 185.xx.xx.xx

Меняю данному Клиент-С профиль на WARP, подключаюсь к сети ИМЯ-С (т.е. просто сегмент) - speedtest дает IP от WARP 104.xx.xx.xx

Если он подключится к Wifi ИМЯ-О то получит выход по основному профилю.

 

Ремарка в данном случае у вас каждая точка доступа это такой же клиент как и все, на Keenetic Hero 4G вы можете его зарегистрировать. Далее скорей всего у вас на ТД запущен DHCP сервер который раздает IP где есть параметр шлюз. В итоге клиент получает IP шлюза, двлее запросы на шлюз, а со шлюза в нужную политику на  Keenetic Hero 4G.

 

[Клиенты Wi-Fi 6 AX и их проблемы]

35 минут назад, Padavan сказал:

 

Возможно вас попросить посмотреть на

или просто причины ее возникновения "had deauthenticated by STA (reason: STA is leaving or has left BSS)" в двух словах о чем речь - умные выключатели 1х1/20, подключены в отдельный сегмент 2.4 (т.е. есть 2.4 сегмент Home и 2.4 сегмент Smart). Данные клиенты не куда не перемещаются т.е. сигнал хороший, не скажу что мешают соседи им.

[Клиенты Wi-Fi 6 AX и их проблемы]

11 час назад, GermanAW сказал:

Здравствуйте. Имею Xiaomi mi 11 lite 5g на Qualcomm 778G и Keenetic Hopper kn-3610. Всё описываемые проблемы с подключением к WiFi 6 на лицо. Цепляется только при перезагрузке телефона или при смене канала на роутере вручную. Смена региона телефона / роутера не помогает. Телефон рутован. Если могу чем-то быть полезен разработчикам, то я готов. Как я понял у разработчиков нет возможности зарутовать телефон. Я к вашим услугам

Вам наверное лучше в ТП с данным вопрос и попросить их переадресовать для Padavan Предварительно по просить их помочь/инструкцию по снятию джамп эфира.

[WireGuarg Как перенести настройки в другой кинетик?]

11 час назад, CRB Kyl сказал:

Добрый лень имею впн  WireGuard на кинетик гига. Покупаю кинетик пик для расширения впн. Вопрос -1. как можно конфиг WireGuard перенести в новый кинетик? 2. Возможно можно ли перенести всю конфигурацию старого кинетик на новый  ?

По переносу настроеек -

WG можно перенести - все настройки по WG в конф файле, как видно ниже то основного public-key нет, есть только клиента. Данные настройки в конф файле такие же как и для серверв WG на роутере. Если WG несколько то - Wireguard0 (первый) Wireguard1 (второй) и так далее

Скрытый текст

Блок разрешающих правил

access-list _WEBADMIN_Wireguard0
    permit udp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
    permit description WG-UDP
    permit tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
    permit description WG-TCP
    auto-delete

Сами настройки интерфейса

interface Wireguard0
    description WG-w
    security-level public
    ip address 10.10.12.1 255.255.255.255
    ip mtu 1320
    ip access-group _WEBADMIN_Wireguard0 in
    ip global 65309 ***** выход в интернет
    ip tcp adjust-mss pmtu
    wireguard listen-port 60100
    wireguard peer b.................................................o= !WG
        endpoint xx.xx.xx.xx:xxxx
        keepalive-interval 120
        allow-ips 0.0.0.0 0.0.0.0
        allow-ips 10.10.12.0 255.255.255.0
        allow-ips 10.10.13.29 255.255.255.255
        allow-ips 192.168.1.0 255.255.255.0
    !
    up

Если прописан DNS в настройках WG
ip name-server 8.8.8.8 "" on Wireguard0

Если для WG созданна политика
ip policy Policy0
    description Cl
    permit global Wireguard0 ***** основной канал данной политики
...

 

 

[4.1A16 перезапуск dot/doh клиентов на каждом продлении dhcp аренды у провайдера]

11 час назад, r13 сказал:

@admin

На 4.1A16 появился перезапрос ip адресв серверов dns перезапуск dot/doh клиентов при продлении dhcp аренды у провайдера, думаю это лишнее действие.

 

 

 Это так же на

Скрытый текст

    <release>4.00.C.5.0-2</release>
    <sandbox>stable</sandbox>
    <title>4.0.5</title>
    <arch>mips</arch>

[I] Oct 26 00:03:52 ndhcpc: GigabitEthernet1: received ACK for хх.хх.хх.хх from хх.хх.хх.1 lease 600 sec. 
[I] Oct 26 00:03:52 ndm: Dns::InterfaceSpecific: "GigabitEthernet1": adding a host route to name server 77.88.8.8 (via хх.хх.хх.1). 
[I] Oct 26 00:03:52 ndm: Dns::InterfaceSpecific: "GigabitEthernet1": host route for name server 77.88.8.8 added. 

 

И ранее

Скрытый текст

    <release>4.00.C.0.0-1</release>
    <sandbox>draft</sandbox>
    <title>4.0.0</title>
    <arch>mips</arch>

[I] Nov  5 14:40:48 ndhcpc: GigabitEthernet1: received ACK for хх.хх.хх.226 from хх.хх.хх.73 lease 10800 sec. 
[I] Nov  5 14:40:48 ndm: Dns::InterfaceSpecific: "GigabitEthernet1": adding a host route to name server 8.8.8.8 (via хх.хх.хх.хх). 
[I] Nov  5 14:40:48 ndm: Dns::InterfaceSpecific: "GigabitEthernet1": host route for name server 8.8.8.8 added. 

 

 

 

[Перенос настроек с одного роутера на другой]

В 20.10.2023 в 07:04, D@nge1 сказал:

Присоединяюсь к вопросу. Предстоит замена KN-1011 на KN-1811. Keenetic уже целая экосистема и миграция настроек между девайсами очень актуальна.

 

1 час назад, zavy сказал:

Вопрос актуален, нужно перенести с Giga на Giant

Как сделать это без сброса?

Вы можете ждать, а можете не ждать, что и как написано выше - было бы желание.

Два текстовых файла слева конф.файл одной модели, справа конф.файл другой модели.

Скрытый текст

Это только часть того как это выглядит, так как модели с гигабитными портами то проблем нет

и т.д.

Быть только ВНИМАТЕЛЬНЫМИ и под рукой всегда иметь текущий конф файл.

Маленькая ремарка ключей от VPN в конф файлах нет, так что предварительно сохранить их. Перед тем как начать не плохо бы посмотреть на справочник команд, если что-то вдруг не понятно или к чему относится тот или иной блок.

Специально оставил в некоторых скринах отличия, чтоб было видно что и как.

[Колонка алиса station gen 2 + Peak - постоянно отваливается инет]

2 часа назад, MaXiDRoM_90 сказал:

Поправил, роуминг был выключен, но колонка у меня подключена по проводу, как по поводу то решить?

Поднимите ее приоритет трафика, например на 4 остальные клиенты по default (6), можно попробовать на нее DNS по проще (от Yandex).

На lite с wifi 5GHz и при Adguardhome все нормально.

[WEB 4.1]

Плитка сетевые порты - при наведение на LAN порт мышкой появляется окно с краткой информацией по подключению.

Вопрос - можно на WAN порт сделать краткую информацию (может быть и два WAN порта). Что выводить наверное тот интерфейс/подключение которое использует default маршрут.

Второе

Плитка интернет. При наличие двух провайдеров и на каждом возможно какой то VPN хотелось бы увидить два графика рядом.

Скрытый текст

Третье

В разделе "клиенты" - "список клиентов", возможно ли увидеть уровень RSSI клиента WiFi, а то у меня две стены, а у меня три для оценки клиента не солидно. Данный уровень показывает как роутер слышит клиента. Или на страницу монитор wifi - раздел про клиентов Wifi.

Четвертое

Страница "Другие подключения", при наличие разных VPN чтоб добраться до нужно нужно листать страницу в низ, возможно ее сделать на базе закладок как на "Межсетевой экран"

[41А14 проблема с настройками в WEB - приоритетах подключений]

10 минут назад, vasek00 сказал:

41А14 проблема с настройками в WEB - приоритетах подключений на Peak.

При наличие двух wireguard каналах и созданых для них профилей нет возможности установить галку на нужном канале в созданном профиле, и как итог нет default маршрута в данном профиле на данный канал. Через Web cli например команда - "ip policy Policy2 permit global Wireguard4" и потом запись отрабатывает. Но теперь нужно сменить канал для данного профиля - WEB -> Приоритеты подключения -> нужный профиль выбираем канал ставим галку а на другом убираем галку, сохраняем но все остается по старому.

Перенастроил + перегрузил кажется работает.

[41А14 проблема с настройками в WEB - приоритетах подключений]

41А14 проблема с настройками в WEB - приоритетах подключений на Peak.

При наличие двух wireguard каналах и созданых для них профилей нет возможности установить галку на нужном канале в созданном профиле, и как итог нет default маршрута в данном профиле на данный канал. Через Web cli например команда - "ip policy Policy2 permit global Wireguard4" и потом запись отрабатывает. Но теперь нужно сменить канал для данного профиля - WEB -> Приоритеты подключения -> нужный профиль выбираем канал ставим галку а на другом убираем галку, сохраняем но все остается по старому.

[ZeroTier на Keenetic (проброс интернета)]

3 часа назад, Losteu сказал:

Есть ли у Вас возможность пингануть внутренний ip через другой провайдер и посмотреть какой пинг? Если он есть значит у Вас не блокируются входящие соединения и можете поднять WG где скорость больше чем в ZT

Как уже сказал ранее два провайдера один РТ на pppoe второй провейдер на проводе с серым ip. Подняты два WG  и работают уже давно. Вопрос пока в том, для чего добавлен ZT если есть много вариантов описанных в базе соединений сетей и удаленный доступ к ним.

[ZeroTier на Keenetic (проброс интернета)]

26 минут назад, Losteu сказал:

Добавил show interface. 
Вероятно вы можете также поднять wg используя напрямую ip сети провайдера 10.x.x.x, ранее как писал у меня был доступен локальный доступ к ip внутри провайдера 10.x.x.x и также серый ip 186.x.x.x теперь нет доступа для входящих соединений к ip внутри провайдера 10.x.x.x.

Также в другом доме имеется другой провайдер который на данный момент имеет серый ip и ip для входящих соединений внутри сети 10.x.x.x и там поднимается wg и попробовал zt который работает внутри сети, т.е пинг до 10-20 и скорость внутри сети провайдера внутри страны (также работает без галочки allow bridging) т.е там входящее соединение идет не через серый ip который в свою очередь идет через сервера zt и соответственно высокий пинг и ограничение по скорости которые ограничивает провайдер на внешние сайты страны. 

У вас проблема в настройках, сам ловил такой вывод и он не правильный. Не удобно смотреть такой вывод, но

Скрытый текст

с права ваш.

У вас нет блока IPv4. В моих настройках всем клиентам присвоен IP из сети ZT.

Первый раз не помню как лечил, второй раз генерировал заново (с теми же данными, опять на роутере).

[ZeroTier на Keenetic (проброс интернета)]

34 минуты назад, Losteu сказал:

роутер

  Скрыть содержимое

access-list _WEBADMIN_ZeroTier0
    permit tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
    permit description local-tcp
    permit udp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
    permit description local-udp
    auto-delete

interface ZeroTier0
    description ZeroTier0
    role inet
    security-level public
    ip dhcp client dns-routes
    ip access-group _WEBADMIN_ZeroTier0 in
    zerotier accept-addresses
    zerotier accept-routes
    zerotier network-id 6xxxxxxxxxxxxx
    zerotier connect via PPPoE0
    up

ip nat ZeroTier0

show interface ZeroTier0

  Скрыть содержимое

0.0.0.0/0 			via	10.хх.хх.1	
10.хх.хх.0/24 		(LAN)	
192.168.1.0/24	via	10.xx.xx.1
0.0.0.0 маршрут default на zt_br0 (на роутер)

10.xx.xx.0/24 сеть ZT

192.168.1.0/24 локальная сеть роутера

Как понял трафик идёт через сервера ZT в обход сети роутера, все из-за того что, серый ip который блокирует входящие соединения вот и пинг большой.

Пару месяцев назад был доступ к ip внутри провайдера который не блокировал входящие соединения, был настроен wg и работало напрямую через роутер, как заблокировали так сразу пропал доступ к роутеру из вне (серый ip и ip внутри сети провайдера - все работало через ip внутри провайдера)

Но все также без галочки на allow bridging в zt нет доступа к роутеру.

Имею провайдер в стране который предоставляет ограничение по скоростям:

1) скорость до 100мбс внутри страны

2) скорость до 10мбс на сайты и тд. которые находятся из вне

Соответственно имею скорость до 10мбс через zt 

1. show interface так и не показали

2. Я подключал/соединял два Keenetic, две их лок.сети. На одном из которых провайдер который дает 10.хх.хх.хх. Итого так же ок.

Посмотрел планшет, опять ZT уснул, на стороне планшета все маршруты были но нечего не работало, Разбудил только ping, но что интерсено ping с планшета или смартфона не помогают, только ping с роутера 101 или клиента в его лок.сети.

[ZeroTier на Keenetic (проброс интернета)]

Попробовал планшет (Android 12) который был ранее настроен - минут 20 с ним ковырялся ну ни в какую, беру смартфон он как не в чем не бывало работает (как описано выше).

Действия - удаляю данного клиента на ZT. На самом планшете :

1. чищу кеш и данные программы ZT

2. запускаю ZT на планшете, делаю настройку его - прописываю ID сети, разрешаю мобильные (allow mobile data), но запрещаю IPv6 (disable IPv6)

3. на контроллере ZT появился данный клиент - присвоил IP и разрешил Auth?

4. после нескольких минут - данный клиент заработал так же как и смартфон (выход в интернет есть через РT это показал speedtest), доступ есть к роутеру и к его HDD, так же доступ есть и к ПК который в LAN сети роутера)

НИКАКИХ bridge не делал.

Скрытый текст

На планшете

ip rule 
0: from all lookup local
...
13000: from all fwmark 0xc0109/0xcffff lookup 1049
....

ip ro show table 1049 ******************************** для ZT
default dev tun0 proto static scope link
10.xx.xx.0/24 dev tun0 proto static scope link
192.168.130.0/24 dev tun0 proto static scope link
224.0.0.0/4 dev tun0 proto static scope link

ip ro
10.xx.xx.0/24 dev tun0 proto static scope link src 10.xx.xx.18
10....229.0/24 dev tun0 proto static scope link src 10.xx.229.1

 

Посмотрю что завтра с утра будет с данным клиентом

[ZeroTier на Keenetic (проброс интернета)]

2 часа назад, Losteu сказал:

Сделал тоже самое у себя, опять без галочки Allow Ethernet Bridging нет подключения до роутера, ставлю галочку и работает, но с пингом что-то не так. Пинг не идёт в обход через сервера ZT, а не прямую, либо это связано с серым ip.

Не видя что у вас и как гадать можно сколько угодно. Росстелеком дает адреса 3 белых и один серый из. Все что выше показано адрес был серый.

[ZeroTier на Keenetic (проброс интернета)]

1 час назад, Losteu сказал:

Поставил галочку на allow Ethernet bridging на панеле zt на роутере и заработало, только конечно пинг до роутера высокий 

На сегодня 41А14

1. Разбудить канал ZT - ping на клиента

2. На роутере

Скрытый текст

isolate-private

access-list _WEBADMIN_ZeroTier0
    permit tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
    permit description local-tcp
    permit udp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
    permit description local-udp

interface ZeroTier0
    description hom-local
    role inet
    security-level public
    ip dhcp client dns-routes
    ip access-group _WEBADMIN_ZeroTier0 in
    zerotier accept-addresses
    zerotier accept-routes
    zerotier network-id b................f
    zerotier connect via PPPoE0
    up

ip nat ZeroTier0

show interface ZeroTier0

{
    "id": "ZeroTier0",
    "index": 0,
    "interface-name": "ZeroTier0",
    "type": "ZeroTier",
    "description": "hom-local",
    "traits": [
        "Mac",
        "Ethernet",
        "Ip",
        "Ip6",
        "Supplicant",
        "EthernetIp",
        "ZeroTier"
    ],
    "link": "up",
    "connected": "yes",
    "state": "up",
    "role": [
        "inet"	*************************************************
    ],
    "mtu": 1500,
    "tx-queue-length": 0,
    "address": "10.xx.xx.101",
    "mask": "255.255.255.0",
    "uptime": 99253,
    "global": false,
    "security-level": "public", *********************************
    "ipv6": {
        "addresses": [
            {
                "address": "fe80::xxxx:xxxx:xxxx:xxxx",
                "prefix-length": 64,
                "proto": "KERNEL",
                "valid-lifetime": "infinite"
            }
        ]
    },
    "mac": "be:xx:xx:xx:xx:58",
    "auth-type": "none",
    "zerotier": {
        "via": "PPPoE0",
        "local-id": "c........c",
        "network-id": "b...............f",
        "network-name": "",
        "status": "OK"
    },
    "summary": {
        "layer": {
            "conf": "running",
            "link": "running",
            "ipv4": "running",
            "ipv6": "disabled",
            "ctrl": "running"
        }
    },
    "prompt": "(config)"
}

 

3. ZT

Скрытый текст

0.0.0.0/0 			via	10.хх.хх.101	
10.хх.хх.0/24 		(LAN)	
192.168.130.0/24	via	10.xx.xx.101

0.0.0.0 маршрут default на zt_br0 (на роутер)

10.xx.xx.0/24 сеть ZT

192.168.130.0/24 локальная сеть роутера

4. Клиент смартфон

Скрытый текст

 

5. Копирование -> клиент смартфон и клиент в лок.сети роутера

Скрытый текст

На роутере интерфейс zt_br0 (ZT) и eth2.1 (LAN)

~ # ping 10.хх.хх.6
...
64 bytes from 10.хх.хх.6: seq=9 ttl=63 time=232.247 ms
^C
--- 10.хх.хх.6 ping statistics ---
10 packets transmitted, 10 packets received, 0% packet loss
round-trip min/avg/max = 73.746/215.990/338.063 ms
~ # traceroute 10.хх.хх.6
traceroute to 10.хх.хх.6 (10.хх.хх.6), 30 hops max, 38 byte packets
 1  192.168.130.101 (192.168.130.101)  0.571 ms  0.582 ms  0.366 ms
 2  10.хх.хх.6 (10.хх.хх.6)  432.614 ms  252.650 ms  64.358 ms
~ # 

ping с роутера

/opt/etc/init.d # ping 10.xx.xx.6
PING 10.xx.xx.6 (10.xx.xx.6): 56 data bytes
...
64 bytes from 10.xx.xx.6: seq=6 ttl=64 time=75.437 ms
64 bytes from 10.xx.xx.6: seq=7 ttl=64 time=395.439 ms
64 bytes from 10.xx.xx.6: seq=8 ttl=64 time=800.468 ms
...
^C
--- 10.xx.xx.6 ping statistics ---
12 packets transmitted, 12 packets received, 0% packet loss
round-trip min/avg/max = 75.437/325.579/800.468 ms
/opt/etc/init.d # 

 

6. Клиент смартфон выход в интернет

Скрытый текст

интерфейс на роутере zt_br0 (ZT) и pppoe (интернет)

speedtest прием на клиенте

 

[Загрузка ЦП в простое]

22 часа назад, phys byte сказал:

4.1 Alpha 13, тоже самое, плюс сломался чекбокс

Оказывается настройки через веб вообще не сохраняются теперь (через телефон не пробовал), пришлось через router_startup-config восстанавливать.

На управление WG каналах так же, только WEB/cli или править конфиг.

[4.14 alpha 13 выход в интернет сломался насовсем]

11 минуту назад, t800 сказал:

Селф-теста пока нет и не будет, мне надо оперативно восстановить интернет, откат на 4.0.4 не помог pppoe фатально не включается. Так качественно альфы мне ещё ни разу не ломали сеть

KN2710 c PPPoE без проблем, канал работает.

[Xkeen]

12 часа назад, Skrill0 сказал:

Доброго Вам вечера!

Из того, что вижу, в основном все маркируется с помощью CONNNDMMARK, кроме 1 клиента, которого поместила в профиль.

Но при рабоче через Mark никак не получается правильно пустить соединение на Tproxy.
Может, я чего-то не понимаю или не замечаю?

  Скрыть содержимое

# Вывод маркированных соединений из таблицы mangle
iptables -t mangle -L -v -n --line-numbers | grep MARK

# Правило 1: Маркировка соединений на основе состояния
1    23147   44M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED CONNNDMMARK match  0x20/0x0

# Правило 2: NDMMARK для всех соединений
1        7   364 NDMMARK    all  --  *      *       0.0.0.0/0            0.0.0.0/0            NDMMARK xor 0x4

# Цепочка _IPSEC_L2TPSERVER_MARK
# Правило 1: NDMMARK для соединений, проходящих через l2tp+
1        0     0 NDMMARK    all  --  l2tp+  *       0.0.0.0/0            0.0.0.0/0            NDMMARK xor 0x10

# Правило 2: CONNNDMMARK для соединений, прошедших через DNAT
1        0     0 CONNNDMMARK  all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate DNAT CONNNDMMARK xor 0x80

# Правило 3: NDMMARK для соединений, прошедших через DNAT
2        0     0 NDMMARK    all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate DNAT NDMMARK xor 0x80

# Правило 4: CONNNDMMARK для соединений с определенной маркировкой и ctstate DNAT
1        0     0 CONNNDMMARK  all  --  *      *       0.0.0.0/0            0.0.0.0/0            CONNNDMMARK match  0x80/0x0 CONNNDMMARK xor 0x80

# Правило 5: RETURN для соединений с определенной маркировкой
2        0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            CONNNDMMARK match  0x80/0x0

# Правило 6: CONNNDMMARK для адреса 192.168.1.65
1     2222  383K CONNNDMMARK  all  --  br0    *       192.168.1.65         0.0.0.0/0            CONNNDMMARK match  0x0/0x0 CONNNDMMARK and 0xff

# Правило 7: MARK для адреса 192.168.1.60 
6     2274  396K MARK       all  --  br0    *       192.168.1.60         0.0.0.0/0            MARK set 0xffffd00

# Правило 8: CONNMARK для адреса 192.168.1.60
7     2274  396K CONNMARK   all  --  br0    *       192.168.1.60         0.0.0.0/0            CONNMARK save

# Правило 9: CONNNDMMARK для TCP соединений на порту 443 с флагами SYN
1        0     0 CONNNDMMARK  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443 flags:0x02/0x02 CONNNDMMARK xor 0x20

# Правило 10: CONNNDMMARK для TCP соединений на порту 443 с флагами ACK
3        0     0 CONNNDMMARK  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443 flags:0x10/0x10 CONNNDMMARK xor 0x20

# Правило 11: CONNNDMMARK для TLS соединений с определенным серверным именем
1        0     0 CONNNDMMARK  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0             tls "*skrill.keenetic.link" CONNNDMMARK and 0xff

# Правило 13: CONNNDMMARK для соединений с определенной NDMMARK маркировкой
3        0     0 CONNNDMMARK  all  --  *      *       0.0.0.0/0            0.0.0.0/0            ndmmark match 0x1/0x0 CONNNDMMARK xor 0x1

# Правило 14: CONNNDMMARK для соединений с другой NDMMARK маркировкой
2        0     0 CONNNDMMARK  all  --  *      *       0.0.0.0/0            0.0.0.0/0            ndmmark match 0x2/0x0 CONNNDMMARK xor 0x2

# Последнее правило: NDMMARK для всех соединений
1    23949   44M NDMMARK    all  --  *      *       0.0.0.0/0            0.0.0.0/0            NDMMARK and 0xff

 

TProxy не заработает, так как для маркировки в iptables нужно отключить hw_nat

Берем например provixy чисто для пробы

listen-address  127.0.0.1:8118

/opt/etc/init.d # netstat -ntulp | grep 8118
tcp        0      0 127.0.0.1:8118          0.0.0.0:*               LISTEN      1880/privoxy
/opt/etc/init.d #


iptables -t mangle -A PREROUTING -i br0 -p tcp --dport 80 -j TPROXY --tproxy-mark 0x1/0x1 --on-port 8118 --on-ip 127.0.0.1
ip rule add fwmark 1 lookup 100
ip route add local 0.0.0.0/0 dev lo table 100

После этого перестает работат WEB 80 порт роутера, ну как бы так и должно быть. Клиент из лок сети просматривает сайты которые открываются.

   71  3692 TPROXY     tcp  --  br0    *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80 TPROXY redirect 127.0.0.1:8118 mark 0x1/0x1

-t mangle ... --tproxy-mark 0x1/0x1 --on-port 8118  изменяется пакет, устанавливает mark перед маршрутизацией  "ip rule add fwmark 1 ..." где все по умолчанию 0/0 идет в dev lo => помеченные пакеты идут в localhost на порт 8118 => тут просто смена маршрута. Проверял на скорую руку, но все работало, база 4.1.А.9 проц 7621

 

Прошивка классификация интернет-трафика + профиль по клиенту

Скрытый текст

  404 25945 CONNNDMMARK  all  --  br0    *       192.168.130.7        0.0.0.0/0            CONNNDMMARK match  0x0/0x0 CONNNDMMARK xor 0x10
 5886  780K RETURN     all  --  br0    *       192.168.130.7        0.0.0.0/0           
  869  186K CONNNDMMARK  all  --  br0    *       192.168.130.2        0.0.0.0/0            CONNNDMMARK match  0x0/0x0 CONNNDMMARK and 0xff
  869  186K MARK       all  --  br0    *       192.168.130.2        0.0.0.0/0            MARK set 0xffffaaa
  869  186K CONNMARK   all  --  br0    *       192.168.130.2        0.0.0.0/0            CONNMARK save
  869  186K RETURN     all  --  br0    *       192.168.130.2        0.0.0.0/0      

Это классификация интернет-трафика (4 - CONNNDMMARK match  0x0/0x0 CONNNDMMARK xor 0x10) по клиенту

Второй клиент классификация интернет по умолчанию и он сам клиент в профиле у которого MARK set 0xffffaaa

Делал еще хитрее

Скрытый текст

 iptables -t mangle -I _NDM_HOTSPOT_PRERT -i br0 -s 192.168.130.2/32 -j RETURN
 iptables -t mangle -I _NDM_HOTSPOT_PRERT -i br0 -s 192.168.130.2/32 -j CONNMARK --save-mark 
 iptables -t mangle -I _NDM_HOTSPOT_PRERT -i br0 -s 192.168.130.2/32 -m dscp --dscp 63 -j MARK --set-mark 0xffffd01
 iptables -t mangle -I _NDM_HOTSPOT_PRERT -i br0 -s 192.168.130.2/32 -j MARK --set-mark 0xffffd00

где --dscp 63 для сервиса торрента клинта ПК (windows) и для него профиль -set-mark 0xffffd01 в котором канал Инте2, а сам клиент ПК в профиле --set-mark 0xffffd00 в котором канал Инет1

HWNAT вообще не трогал не выше ни тут (включен по умолчанию и hard и soft).

Ремарка в 4.1 сменена нумерация table на 10,11,12 c 42,43 и т.д. и маркировка на 0xffffaaa с 0xffffd00

 

По RAY там как то хитро

https://gist.github.com/tossmilestone/b8ae168ae029e0a66da125b71979f5a2

https://dongdongbh.github.io/blog/tproxy/

 

 

[Xkeen]

17 минут назад, Skrill0 сказал:

TProxy не заработает, так как для маркировки в iptables нужно отключить hw_nat | Спасибо @avn.

А какже тогда маркировка в прошивке, которая практически везде используется, например клиент который помещен в профиль.