vasek00

С этим все ясно, не ясно с другим постом, который был не вам. Вообще "защищать" свою сеть с их помощью — бесполезное занятие, если учесть, что блокируемые клиенты могут менять свои MAC-адреса.

Можно уточнить что имеется ввиду, если есть режим блокировки по белому списку, т.е. пользователь знает MAC адрес устройства клиента данной БС (просканировал сеть), а дальше что?

Соглашусь с вариантом выше - берем готовый блок с MAC из config - giga ii и вставляем его в config - giga iii

Попробовал на другие сервера - получил на не стандартных портах UDP на 443 QUIC. Возможно так и есть.

Как и написано выше /opt/etc/init.d - оставьте только запуск S**vpnserver на остальных смените "S" на K**vpnclient и K**vpnbridge

Сегодня наткнулся на следующие при --local-address=127.0.0.1:65553 --daemonize -R cisco (с Yandex так и не получилось, причина в том что через некоторое время на посылку от роутера по UDP пакета на его IP:порт от него не приходили ответы или они были но роутер их не показал, так как ppe software/ppe hardware или ни ужто провайдер стал не пропускать пакеты, ну да ладно), далее еще интересней с cisco и вот в чем : cisco,Cisco OpenDNS,....,208.67.220.220,2.dnscrypt-cert.opendns.com... 4 2.577539 IP_роутера 208.67.220.220 QUIC 556 Payload (Encrypted), PKN: 104181ххххххххх7 5 2.789365 208.67.220.220 IP_роутера QUIC 456 443 → 57933 Len=412[Malformed Packet] видимо Wireshark не готов к такому повороту или готов но тогда в пакете проблема 6 2.794738 IP_роутера 208.67.220.220 QUIC 556 Payload (Encrypted), PKN: 104181ххххххххх7 7 2.834409 IP_роутера 208.67.220.220 QUIC 556 Payload (Encrypted), PKN: 104181ххххххххх7 8 2.994772 208.67.220.220 IP_роутера QUIC 348 443 → 57933 Len=304[Malformed Packet] 9 3.447203 208.67.220.220 IP_роутера QUIC 412 443 → 57933 Len=368[Malformed Packet] 10 3.455360 IP_роутера 208.67.220.220 QUIC 556 Payload (Encrypted), PKN: 104181ххххххххх7 11 3.513705 208.67.220.220 IP_роутера QUIC 284 443 → 57933 Len=240[Malformed Packet] Удивило применение QUIC как альтернатива UDP в новой редакции или https://habrahabr.ru/company/infopulse/blog/315172/ но если на это не смотреть то все работает и страницы как то открываются, но огорчает что QUIC_INVALID_PACKET_HEADER: The sender received a malformed packet header. QUIC_INVALID_FEC_DATA: FEC data is malformed. QUIC_INVALID_RST_STREAM_DATA: Stream rst data is malformed QUIC_INVALID_CONNECTION_CLOSE_DATA: Connection close data is malformed. QUIC_INVALID_ACK_DATA: Ack data is malformed. Все таки ошибка. https://docs.google.com/document/d/1WJvyZflAO2pq77yOLbp9NsGjC1CHetAXV8I0fQe-B_U/edit#heading=h.cs6n3upsak3e

Ну так тут на форуме было по моему уже описание как отлавливать нужный IP на интерфейсе.

Т.е. вы хотите сказать - что для вас важно белый или серый в ракурсе то что быстрее (10 узлов) или медленнее (12 узлов) до сервера с которого просмотреть страницу или же белый для другого сервиса?

Чем сложнее система выбора чего либо, тем больше шансов получать "грабли" в том или ином виде.

А разработчик залил fsck Еще не видел такого роутера у которого в прошивке есть chkdsk если вы знаете такой то готов услышать.

Вы внимательно смотрели если нет то смотрим /sbin# ls -l | grep fsck -rwxr-xr-x 1 root root 241096 Jul 8 2017 e2fsck -rwxr-xr-x 1 root root 41528 Jul 8 2017 fsck lrwxrwxrwx 1 root root 6 Jul 8 2017 fsck.ext2 -> e2fsck lrwxrwxrwx 1 root root 6 Jul 8 2017 fsck.ext3 -> e2fsck lrwxrwxrwx 1 root root 6 Jul 8 2017 fsck.ext4 -> e2fsck lrwxrwxrwx 1 root root 6 Jul 8 2017 fsck.ext4dev -> e2fsck /sbin#

На счет смысла - scandisk, chkdsk проверяются в Windows. Повторюсь оптимальная установка Entware это раздел на диске хотя бы 1GB, а не весь диск объемом 1TB в формате ext. Попробуйте проверить Ext4 ?

попробуем еще поковырять заинтересовался # BlackList domains:"/etc/dnscrypt-blacklist-domains.txt" logfile:"/var/log/dnscrypt-blocked.log" # BlackList ips:"/etc/dnscrypt-blacklist-ips.txt" logfile:"/var/log/dnscrypt-blocked.log" # BlackList domains:"/etc/dnscrypt-blacklist-domains.txt" ips:"/etc/dnscrypt-blacklist-ips.txt" logfile:"/var/log/dnscrypt-blocked.log"

То же подумал, поставил на cisco по стабильней, но так же бывает. Как бы на 1.94 dnscrypt-proxy попробовать обратно, может получше будет. Пока существенно лучше на 793 root 4068 S dnscrypt-proxy --local-address=127.0.0.1:65353 --daemonize --tcp-only -R cisco увел.число пакетов ~ до 8 = 3 пакета TCP, плюс SSL, плюс TCP, плюс SSL, плюс 2 пакета TCP, по UDP было на много меньше.

Наткнулся на проблемку маленькую (думаю прошивка не причем, так как использую схему ниже уже давно, а проблема дня 3-4), проблема с resolv при схеме dnsmasq весит на 53 и у него в конфиге строка server=127.0.0.1#65353 далее запуск dnscrypt-proxy --local-address=127.0.0.1:65053 --daemonize -R yandex все работает, но на короткое время (несколько минут) перестает работать resolv (сайты не открываются), но потом опять работает и так повторяется, как будто что-то блокируете udp так как данная схеме использует по умолчанию udp протокол (он так же удобен если есть два канала которые оба активны, меньше подтверждений у данного протокола перед TCP). Хотел подключить загрузку через conf файл но не тут то было нет такой возможности. Оставлял одну запись в dnscrypt-resolvers.csv сервера yandex,"Yandex","Yandex public DNS server","Anycast",....:14D4:07B6:AD36:01E1:AEDC:06D5:6D49:6327, аналогичен результат. По захвату пакетов пакеты с интерфейса роутера в интернет UDP уходят, но не видно получения, может отбрасываются, а может не приходят, менял сервер на cisco получше но не настолько. Проверю на TCP работу dnscrypt-proxy --local-address=127.0.0.1:65353 --daemonize --tcp-only -R yandex Есть возможность использовать конфиг от dnscrypt-proxy с хорошими настройками но проблема с запускам с конф файлом, просто с dnscrypt-proxy /opt/etc/dnscrypt-proxy.conf ругнулся на Support for plugins hasn't been compiled in .... .

Раз уж предусмотрена подключение к USB порту роутера носителей, то все таки не помешало бы добавить в прошивку функционал fsck.ext4 проверка на ошибки - хотя бы ручным способом, речь идет не о том чтоб проверять диск 500GB или 1000GB. Объясню в роутере стоит флэшка на 2GB чисто для Entware с одним разделом, в лог изредка появляются ошибки с просьбой проверить ее, но у пользователя под рукой нет не чего что могло бы помочь проверить ее, даже если вы установите пакет из Entware на данный раздел то это вам не поможет, так как тот раздел который проверяется нужно раз монтировать. Пример : /sbin# ls -l | grep fsck -rwxr-xr-x 1 root root 241096 Jul 8 2017 e2fsck -rwxr-xr-x 1 root root 41528 Jul 8 2017 fsck lrwxrwxrwx 1 root root 6 Jul 8 2017 fsck.ext2 -> e2fsck lrwxrwxrwx 1 root root 6 Jul 8 2017 fsck.ext3 -> e2fsck lrwxrwxrwx 1 root root 6 Jul 8 2017 fsck.ext4 -> e2fsck lrwxrwxrwx 1 root root 6 Jul 8 2017 fsck.ext4dev -> e2fsck /sbin# Можно через WEB а можно и ручной метод, а кто захочет может попытаться и 1TB прогнать => это будет его дело, мне например как писал раздел 2GB.

Может усилия (человеко-часы) направить на что-то новое.

Только опять замечу, что вы с ней опоздали на N-кол-во лет.

О каком слете настроек может идти речь если сам конфиг его лежит в каталоге /opt/libexec/softethervpn будет файл конфигурации vpn_server.config LOG файлы -> /opt/libexec/softethervpn/packet_log/ИМЯ_HUB /opt/libexec/softethervpn/security_log/ИМЯ_HUB /opt/libexec/softethervpn/server_log/

Для информации при схеме Keenetic ( dnscrypt-proxy ) --- Провайдер --- DNS сервер (указанный в dnscrypt-proxy) запросы от dnscrypt-proxy до сервера DNS будут иметь шифрованные данные уложенные в пакет UDP единственное что только может чуток указать на это так это порт приема DNS сервером (правда он не 53 но по виду будет понятно)

т.е. https://wiki.openwrt.org/doc/uci/dhcp Name Type Default Option Description addnhosts list of file paths (none) -H Additional host files to read for serving DNS responses или так в конфиге addn-hosts=/opt/tmp/hosts0 addn-hosts=/opt/tmp/malwaredom_block.host addn-hosts=/opt/tmp/mvps_block.host Jun 16 22:10:57dnsmasq[8116] using nameserver 127.0.0.1#хх053 Jun 16 22:10:57dnsmasq[8116] read /opt/etc/hosts - 2 addresses Jun 16 22:10:57root Started dnsmasq from . Jun 16 22:10:57dnsmasq[8116] read /opt/tmp/mvps_block.host - 13273 addresses Jun 16 22:10:58dnsmasq[8116] read /opt/tmp/malwaredom_block.host - 1157 addresses Jun 16 22:10:58dnsmasq[8116] read /opt/tmp/hosts0 - 13355 addresses В догонку для проверки как уже писал ранее три строчки ##log log-queries log-facility=/opt/var/log/dnsmasq.log log-async=25 и результат для проверки на клиенте набрать адрес например из какого либо файла и посмотреть запрос, log только после перезапуска или остановки dnsmasq Jun 16 22:45:45 dnsmasq[10775]: query[A] cms.ad2click.nl from 192.168.1.2 Jun 16 22:45:45 dnsmasq[10775]: /opt/tmp/mvps_block.host cms.ad2click.nl is 127.0.0.1

А кто мешает например - ожидать подъема vpn_sether и дать ему IP адрес самому. ifconfig vpn_sether IP_адрес netmask MASK-MASK такая же петрушка есть и при zerotier, например как то так while ! ifconfig vpn_sether > /dev/null 2>&1; do echo -en '.'; sleep 1; done

list addnhosts '/path/to/file'