vasek00

Для информации при схеме Keenetic ( dnscrypt-proxy ) --- Провайдер --- DNS сервер (указанный в dnscrypt-proxy) запросы от dnscrypt-proxy до сервера DNS будут иметь шифрованные данные уложенные в пакет UDP единственное что только может чуток указать на это так это порт приема DNS сервером (правда он не 53 но по виду будет понятно)

т.е. https://wiki.openwrt.org/doc/uci/dhcp Name Type Default Option Description addnhosts list of file paths (none) -H Additional host files to read for serving DNS responses или так в конфиге addn-hosts=/opt/tmp/hosts0 addn-hosts=/opt/tmp/malwaredom_block.host addn-hosts=/opt/tmp/mvps_block.host Jun 16 22:10:57dnsmasq[8116] using nameserver 127.0.0.1#хх053 Jun 16 22:10:57dnsmasq[8116] read /opt/etc/hosts - 2 addresses Jun 16 22:10:57root Started dnsmasq from . Jun 16 22:10:57dnsmasq[8116] read /opt/tmp/mvps_block.host - 13273 addresses Jun 16 22:10:58dnsmasq[8116] read /opt/tmp/malwaredom_block.host - 1157 addresses Jun 16 22:10:58dnsmasq[8116] read /opt/tmp/hosts0 - 13355 addresses В догонку для проверки как уже писал ранее три строчки ##log log-queries log-facility=/opt/var/log/dnsmasq.log log-async=25 и результат для проверки на клиенте набрать адрес например из какого либо файла и посмотреть запрос, log только после перезапуска или остановки dnsmasq Jun 16 22:45:45 dnsmasq[10775]: query[A] cms.ad2click.nl from 192.168.1.2 Jun 16 22:45:45 dnsmasq[10775]: /opt/tmp/mvps_block.host cms.ad2click.nl is 127.0.0.1

А кто мешает например - ожидать подъема vpn_sether и дать ему IP адрес самому. ifconfig vpn_sether IP_адрес netmask MASK-MASK такая же петрушка есть и при zerotier, например как то так while ! ifconfig vpn_sether > /dev/null 2>&1; do echo -en '.'; sleep 1; done

list addnhosts '/path/to/file'

Просто для работы можно использовать в данных программах протокол SFTP для которых нужен был для запуска /opt/libexec/sftp-server

Вы про что, я про то что OpenVPN использует конфиг в своем запуске после запуска он не нужен. О каком "единообразно" идет речь и что тут не правильного. Наверное ошибся в каталоге Или мы не идем легкими путями.

А почему нельзя через файлы pkcs12 /tmp...openvpn/keys/clientvpn11.p12 dh /tmp...openvpn/keys/dh1024.pem tls-auth /tmp/...openvpn/keys/ta.key 1 а уж кто там в /tmp создаст дело третье

Дополнительная информация по командам -> zerotier-cli /network и zerotier-cli /status и zerotier-cli /controller

Поднимем на втором устройстве ZeroTier One, в результате

Решил попробовать - zerotier. ZeroTier One - Open source приложение для создания Ethernet-сетей c end-to-end шифрованием всего трафика, возможно использование коммерческой и бесплатной версии. Основной плюс - работает через сервер-посредник (т.е. не нужен "белый" IP). Возможно соединение bridge (т.е. бродкаст/мультикаст, "Обозреватель сети", автоопределение UPnP-устройств и т.п. будут работать). 1. нужно зарегистрироваться https://www.zerotier.com/admin.html и создать свою сеть (хоть все на англ. но не очень сложно) и создать свою сеть. После регистрации зайти на страницу "Network" и создать свою сеть (я сменил Short Name, Auto-Assign from Range диапазон, Flow Rules - устроят по умолчанию. После этого в левом верхнем углу нужен Network ID. 1. На роутере / # opkg list | grep zerotier zerotier - 1.2.4-1 - ZeroTier creates a global provider-independent virtual private cloud network. / # opkg install zerotier ... / # zerotier -p60600 -d & / # ERROR: unable to add ip address 192.168.хх.17/24 по DHCP получить адрес не получилось, попробуем поднять руками / # ifconfig ... zt0 Link encap:Ethernet HWaddr хх:хх:хх:хх:A1:30 inet6 addr: fe80::хххх:хххх:хххх:хх30/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:2800 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:4 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:500 RX bytes:0 (0.0 B) TX bytes:408 (408.0 B) / # ifconfig zt0 192.168.хх.17 netmask 255.255.255.0 / # ifconfig zt0 zt0 Link encap:Ethernet HWaddr хх:хх:хх:хх:A1:30 inet addr:192.168.хх.17 Bcast:192.168.хх.255 Mask:255.255.255.0 inet6 addr: fe80::хххх:хххх:хххх:хх30/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:2800 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:4 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:500 RX bytes:0 (0.0 B) TX bytes:408 (408.0 B) / # / # zerotier-cli listnetworks 200 listnetworks <nwid> <name> <mac> <status> <type> <dev> <ZT assigned ips> 200 listnetworks ххххNetwork_IDххх Ex_Kii хх:хх:хх:хх:a1:30 OK PRIVATE zt0 192.168.хх.17/24 / # zerotier-cli info 200 info хххххххх9e 1.2.4 ONLINE / # / # ip ro default dev ppp0 scope link ... 192.168.хх.0/24 dev zt0 proto kernel scope link src 192.168.хх.17 2. на https://my.zerotier.com/network в самом низу получаем наше устройство активным где можно усидеть наши параметрами : Auth, Address, Name/Description, Managed IPs, Last Seen, Version, Physical IP. 3. произвести настройки маршрутов Примечание возможно изменение Flow Rules из тех что по умолчанию на странице вашего https://my.zerotier.com/network/ Приложение под Windows https://www.zerotier.com/download.shtml под Android так же есть .

KII все завелось с полпинка, conf взял ранее который описывал тут от OpenVPN

И каталог монтирования конечно на месте?

KII на последней 209B с Entware3

принято /opt/var/run/mount.davfs # yes | mount -t davfs https://webdav.yandex.ru /opt/home/yandex -o rw mount.davfs: the server certificate is not trusted issuer: Yandex Certification Authority, Yandex LLC, RU subject: Russian Federation, Moscow, ITO, Yandex LLC, RU identity: *.disk.yandex.net fingerprint: e1:a6:........:da You only should accept this certificate, if you can verify the fingerprint! The server might be faked or there might be a man-in-the-middle-attack. Accept certificate for this session? [y,N] yes: Broken pipe /opt/var/run/mount.davfs # /opt/var/run/mount.davfs # df Filesystem 1K-blocks Used Available Use% Mounted on rootfs 13312 13312 0 100% / ..... /dev/sda2 928987 55688 823738 6% /opt https://webdav.yandex.ru 10485756 15784 10469972 0% /opt/home/yandex /opt/var/run/mount.davfs #

в посте выше все работает и диск есть и служба весит 21534 nobody 7364 S mount.davfs https://webdav.yandex.ru /opt/home/yandex /opt/etc/davfs2 # cat dav.inp y /opt/etc/davfs2 # /opt/home/yandex # ls -l -rw-r--r-- 1 root root 57450 Jun 9 15:17 davfs2_1.5.4-2_mipsel-3x.ipk -rw-r--r-- 1 root root 4004779 May 29 12:36 iperf3cygwingui-3.0b4-03.zip drwx------ 2 root root 0 Jun 9 15:24 lost+found -rw-r--r-- 1 root root 5918723 Jun 1 15:15 syncthing-linux-mips-v0.14.29.tar.gz -rw-r--r-- 1 root root 6066706 Jun 1 15:15 syncthing-windows-386-v0.14.29.zip /opt/home/yandex #

После установки проверить davfs2.conf и подправить при необходимости cache_dir /opt/var/cache/davfs2 # system wide cache файл secrets /opt/home/yandex userххххх passwdхххххх создать файл с любым именем в котором одна буква - dav.inp y /opt/etc/davfs2 # ls -l drwxr-xr-x 3 root root 1024 Jun 9 15:16 certs -rw-r--r-- 1 root root 2 Nov 16 2012 dav.inp -rw------ 1 root root 2295 Jul 7 2016 davfs2.conf -rw------- 1 root root 33 Jun 9 15:23 secrets /opt/etc/davfs2 # создать каталог куда монтировать например /opt/home/yandex /opt/home # ls -l ... drwxr-xr-x 3 root root 72 Apr 5 2012 yandex /opt/home # проверить на запуск mount -t davfs https://webdav.yandex.ru /opt/home/yandex -o rw < /opt/etc/davfs2/dav.inp

Там hotspot все что есть, в отличие от arp - где текущие клиенты. При первом приближение данный выше вызов например подправив можно получить " ndmq -x -p "show ip hotspot" | sed -n '/<mac>/p; /<ip>/p; /<name>/p' "

Если уж идти еще дальше то DnsMasq может и DHCP, где например возможно в conf В данном же случае так же можно использовать информацию из " cat /proc/net/arp " - активные клиенты или " ndmq -x -p "show ip arp" | sed -n '/ip/p; /mac/p; /name/p' " (тут на любителя, какую информацию вытаскивать). В прошивке есть один плюс от сканирование домашнего сегмента сети arp запросами, т.е. таблица будет актуальна, если только на клиенте не вкл.функция отключения wi-fi при неактивном экране, для экономии батарейки но это уже дело третье. Если SMS будут надоедать, то при использовании например webdav от Yandex диска можно любую информацию писать на примонтированный диск в файл (так же дата время и т.д.), а любым клиентом уже смотреть данную иформацию из это файла/файлов.

Не знаю что вы имели ввиду под captive portal и каком то перенаправителе трафика идет речь, да еще и ложное срабатывание - тут всего навсего необходимо проверить канал доступа в интернет и принять решение, зачем пользователю что-то куда перенаправлять. Microsoft использует данный метод со времен Vista, напомню принцип его работы кратко : 1. из свойств сетевой берем IP адрес шлюза, делаем запрос ARP запрос получаем MAC => вывод шлюз провайдера доступен и канал до него работает 2. проверяем DNS и сам канал это загрузка страницы с нужного ресурса, в данном случае сервер тот же что отвечает за KeenDNS - www.ххххх.хх:80 : 2.1. " HTTP:Request, GET /test.txt" и ответ "HTTP:Response, HTTP/1.1, Status: Ok, URL: /test.txt", в фале test.тхт хоть OK хоть не чего, важно его наличие на нужном месте. по итогу данного пункта 2.1 принимаем решение, что DNS работает и маршрут до скажем до KeenDNS есть, то маршрут через данный интерефейс (имеется ввиду и default маршрут) активен и доступен и провайдер работает. Любое изменение п.2.1 - интернета на данном канале нет. Вопрос только во временных параметрах так как TCP протокол с подтверждением и времени переключения между каналами, да и не зачем дергать каналы каждую сек или минуту, к примеру рекомендованных 5минут по умолчанию, но если пользователь хочет то пусть каждую минуту делает (тут уже в ступает в силу если хочет то пусть ставит, мы рекомендовали столько то).

Добавлю сюда из соседней ветки про ping check

otets-grigoriy если посмотреть на роутер то настройки минимальны : защита сети тут понятно, SSID то же, ключи сети ну уж очень длинный он у вас, стандарт/канал/ширина/мощность - в зависимости от ваших клиентов и их возможности, про мощность лучше не на всю (но тут нужно смотреть самое близкое устройство к роутеру и самое дальнее) На клиенте - "preamble-short" лучше короткая, "compatibility" только то что необходимо. Уж как то вы серьезно относитесь к безопасности rekey-interval = начните с установок по умолчанию на клиенте. Ну и на форуме кое что по читать и т.д.

Ну наверное раз у вас Keenetic то может лучше даты статей май-июнь 2017 https://help.zyxel.ru/hc/ru/articles/214536685-Общие-рекомендации-по-построению-беспроводных-сетей https://help.keenetic.net/hc/ru/articles/213968709 https://help.keenetic.net/hc/ru/articles/213968749 Настройка роутера это еще пол беды, "остальное это возможности клиента"