vasek00

Про пользователей сразу могу сказать, что таких будут единицы.

Возможно ли такое в данный момент времени. https://github.com/betolj/ndpi-netfilter https://github.com/ntop/nDPI

В интернете есть сервера на которых можно диагн. по iperf. В каком то из проектов для 7621 на github встречал утилиту по моему в реализации *speednet.ipk (по внутренностям ее, тест на speednet)

/ # uname -a Linux My-Keen 3.4.113 #1 SMP Sat May 13 01:26:17 MSK 2017 mips GNU/Linux / # mount | grep ext4 /dev/sda2 on /tmp/mnt/OPT_L type ext4 (rw,relatime,data=ordered) /dev/sda2 on /opt type ext4 (rw,relatime,data=ordered) / #

Стандартный набор настроек LAN портв и wi-fi, по "home.bridges" странице где в данном случае основной IP и его имя "Home" описание "Home VLAN" и DHCP включен. Прошивка 2.09, по логам каких либо замечаний нет.

Как видно на картинке ниже c клиентом Acer, DHCP отработал штатно выдав на два разных MAC разные IP согласно регистрации устройств. Далее клиент согласно своих настроек сетевых карт - приоритет у него по LAN сбросит свое второе соединение по Wi-fi => в результате подключений останется только одно на LAN.

Все как то забыли принцип работы DHCP и использование в его работе MAC адрес устройства которому выдан IP - может предложить новый или тот который был ранее в аренде у данного устройства если он свободен. Разберитесь с регистрацией данного устройства (его интерфейсами потому что wi-fi и LAN имеют разные MAC)

ToLive Была такая оказия на K-II (правда давно уже) - когда в настроенном режиме "Точка доступа" (баловался) залил совой рабочий конфиг "Основной режим" - минут 10 ковырялся (сбросом, восстановлением было не раз, так же пришлось подчищать хвосты по arp на ПК на котором восстанавливал, так как IP был другой), а нужно то было сначала сменить режим, а потом уж конфиг заливать. Решение у меня вылилось - через рековери по схеме "ZyXEL Keenetic II v2.06(AAFG.2)B3" потом подъем до 2.09 и через обновление до тек.на тот момент релиз, но потом выяснилось что была нажата кнопка Wi-fi - по умолчанию длительное нажатие вкл/выкл. Когда задышал 192.168.1.1 влил свой рабочий конфиг от "Основной режим". Может пригодятся переменные uboot данного роутера KII если использовать TFTP для прошивки : ethaddr=00:AA:BB:CC:DD:10 ipaddr=192.168.1.1 serverip=192.168.1.2 bootfile=k2_recovery.bin

Ну во первых - для чего данное ПО шлет броадкаст, второе вспомним теорию, которая говорит Возможно это нужно пользователю, что-то для WINS или как всегда что-то для игрового сервера В догонку на всех интерфейсах роутера по умолчанию proxy_arp = 0.

Это потому что любому ПО помимо IP нужен еще и порт, а для под сетей есть маршруты.

Из всего прочитанного если вы сделаете сброс к заводским потом настройки то все будет нормально. Сохраните тек.конфиг, потом настройте систему и проверьте. Если так не хотите то посмотрите свой текущий конфиг.

При использовании двух каналов - основной и резер в системе подняты оба, но работа идет по default (тут на форуме есть куча ссылок и примеров как это выглядит в системе) Основной L2TP он же в системе будет ppp0 и он же будет default по данному каналу, т.е. если DNS (от IPoE провайдера) то он не сработает на default канале DNS сервер сочтет вас за чужого. 1. решение данного вопроса простое стат маршрут для данных серверов DNS от второго провайдера направлять на нужный канал, а не на default пример ниже для двух провайдеров на ppp default dev ppp1 scope link IP_DNS1 dev ppp0 scope link IP_DNS2 dev ppp1 scope link 2. но так как страница интернет выглядит очень сложно, а браузер может вытаскивать предварительно сразу несколько страниц, а там куча ссылок где нужен DNS запрос, то вариант 1 не есть гуд . Я остановился на удобном для меня варианте не зависимо от кол-ва провайдеров, так как все запросы идут только по default (основным в данный момент времени каналу) interface=br0 bind-interfaces server=127.0.0.1#65053 no-resolv addn-hosts=/opt/tmp/hosts0 resolv-file=/opt/etc/resolv-dnsmasq.conf cache-size=350 тут resolv-file на всякий случай для отладок, там одна строчка "nameserver 127.0.0.1" пока так следом за dnsmasq запускается dnscrypt-proxy dnscrypt-proxy с командой запуска "--local-address=127.0.0.1:65053 --daemonize -R yandex" т.е. считается что DNS сервер который "yandex" будет доступен не зависимо от кол-ва каналов на данный роутер - default + резерв или default1 + default2 (в место yandex есть еще 70 серверов) любые запросы на DNS будут кодированы . Не забываем про "dns override".

1. 0.0.0.0:53 порту ndnproxy 2. 0.0.0.0:65053 порту dnsmasq мне нравятся 0.0.0.0 => слушать на всех интерфейсах (ну со всех сторон) 3. сама строчка "server" сервера для обработки запросов тут обращаю внимание что вы хотели этим добиться если включив все сервера от провайдера имея один маршрут пр умолчанию (например на провайдера1,а резерв на провайдера2), будет ли обрабатывать ваш запрос DNS сервер провайдера 2 из сегмента чужой сети провайдера1 или наоборот. Сервера то вбили но маршрут до них не написали, что имею ввиду DNS2 должны идти по своему маршруту на канал2 а не по default (что активно и в какой последовательности у вас идут DNS сервера тут уже смотреть надо, тем более что "no-resolv" отключен - брать текущие от провайдера). 4. А с пере направлением портом уже потом. Сначала разобраться с каналами и с серверами DNS. tcpdump есть примеры в интернете, какие интерфейсы через команду ifconfig, для "холостого режима" хватит и собственного обработчика - захват пакетов на сетевом, но тут будет один интерфейс, все зависит от того какие у вас каналы провайдеров?.

Теперь оказывается, что есть еще одно подключение к провайдеру в первом посту не было. Настройка /opt/etc/dnsmasq.conf в самом начале не подразумевалась, что у вас будет два канала (хоть резервный хоть нет, они оба подняты и имеют маршруты) no-resolv server=77.88.8.88#1253 server=77.88.8.2#1253 port=65053 как что себя поведет система нужно смотреть. Тут я уже писал разницу запуска dnsmasq с разными параметрами в конфиге. Покажите выполнение команды - "netstat -ntulp" что она у вас покажет, она должна показать кто на каких портах в данном случае. Второе что стоит в поле "server" да и лучше уж весь conf.

Данное утверждение не подтверждаю, так как прошел на данном роутере с 2.06 до 2.09, сейчас на 2.09 но за РТ не замечал такого как в прочем и за роутером так же. Как и сказано выше - начните с клиентов своей сети.

Имею запущенный "dnsmasq + dnscrypt-proxy (yandex), на родном 53порту" нет не одного лок.клиента (только данный ПК для съема информации) за три минуты через интервал 10мин не более 70-80 пакетов среди которых был замечен только nod32 (для данного клиента) и сам роутер сервис mdm (UDP) но данный сервис с объемом данных можно считать стат.погрешностью так же включен был KeenDNS и кое что по 443. Забыл сказать провайдер не сотовый оператор. Это к вопросу именно а не что запущенно на роутере и пробросы.

При настройки портов switch на подключение к другому провайдеру (Сеть2), с момента включение роутера все порты в default согласно uboot (т.е. WAN это WAN, а LAN1-LAN4) и до первых команд настройки портов согласно конфига. Момент перехода из состояния Сеть1---WAN-роутер-LAN1-4----Сеть2 в состояние Сеть1---WAN-роутер-LAN4----Сеть2 через подключенный сетевой кабель Сеть2 в данное время идет весь мусор из его сети и так же в его сеть, т.е. все прозрачно так как LAN1-LAN3 локальная сеть, а на LAN4 еще не готов. Может стоит блокировать на данное время LAN порты?

Дело в том что "cron" использую в роутерах аж 2010года - тут возможно дело привычки так как руки помнят хорошо что делается часто. То что предлагается мне на пример не удобно /opt/etc # ls -l drwxr-xr-x 2 root root 1024 Feb 20 08:26 cron.1min drwxr-xr-x 2 root root 1024 Feb 20 08:26 cron.5mins drwxr-xr-x 2 root root 1024 Feb 20 08:26 cron.d drwxr-xr-x 2 root root 1024 Feb 20 08:26 cron.daily drwxr-xr-x 2 root root 1024 Feb 20 08:26 cron.hourly drwxr-xr-x 2 root root 1024 Feb 20 08:26 cron.monthly drwxr-xr-x 2 root root 1024 Feb 20 08:26 cron.weekly -rw------- 1 root root 498 Feb 18 18:53 crontab .... drwxr-xr-x 2 root root 1024 Apr 11 18:21 init.d ... drwxr-xr-x 10 root root 1024 Mar 26 13:47 ndm ... -rw------- 1 root root 3493 Apr 11 18:22 vnstat.conf -rw------- 1 root root 526 Feb 20 08:26 whois.conf -rw-r--r-- 1 root root 589 Feb 20 08:26 xattr.conf /opt/etc/ndm # ls -l drwxr-xr-x 2 root root 1024 Feb 20 08:26 button.d drwxr-xr-x 2 root root 1024 Feb 20 08:26 fs.d drwxr-xr-x 2 root root 1024 Mar 27 10:16 netfilter.d drwxr-xr-x 2 root root 1024 Feb 20 08:26 schedule.d drwxr-xr-x 2 root root 1024 Feb 20 08:26 time.d drwxr-xr-x 2 root root 1024 Feb 20 08:26 usb.d drwxr-xr-x 2 root root 1024 Feb 20 08:26 user.d drwxr-xr-x 2 root root 1024 Feb 20 08:26 wan.d /opt/etc/ndm # Основное правило - откуда ушел туда должен и прийти, т.е. есть у вас же таблица table $T1 и table $T2 с жесткими маршрутами, так как прежде чем отправить пакет первое смотрится таблица маршрутов и если нет подходящего то на default ( а таблица это сеть/хост назначения и через какой интерфейс отправлять). А каких весах маршрутов может идти речь в данном случае при наличии данной таблицы выше и не понятно что может потеряться если сессия установлена через нужный маршрут, пусть она потом закроется но новая так же через этот маршрут который описан в таблице. Есть режим балансировке где например маршрут до одного сервера в разные интервалы времени может происходить по разным каналам (маршрутам default ) тут нет такой таблицы как выше, вот тут то и будет проблема на некоторых сайтах (допустим от продолжительного времени после регистрации) . Поэтому не вижу смысла в использовании в данном понятии multiwan - если только как резрв. Лично прошел период двух каналов ADSL + PPTP тогда были низкие скорости и чисто для торрент и просмотра страниц было удобно, ну был режим именно балансировки и весовых коэффициенов например 10:5 без всяких table, но когда скорости стали 100Мбит (PPPoE) и 20-50Мбит (PPTP) то вся необходимость отпала. Примеры 1. default nexthop via хх.хх.хх.52 dev ppp1 weight 5 nexthop via yy.yy.yy.64 dev ppp0 weight 10 ... хх.хх.хх.254 dev ppp0 scope link yy.yy.yy.9 dev ppp1 scope link yy.yy.yy.26 dev ppp1 proto kernel scope link src yy.yy.yy.52 2. default dev ppp0 scope link хх.хх.хх.254 dev ppp0 scope link ... yy.yy.yy.9 dev ppp1 scope link yy.yy.yy.26 dev ppp1 proto kernel scope link src yy.yy.yy.52 Про что я писал использование Для полного понимания того что и как у вас реализовано нужно побольше данных, так как ветка очень большая и вариантов описано много. Т.е. нужно видеть текущее состояние как у вас получились маршруты. Мобильные тарифы сейчас очень дороги по сравнению с проводными, платить за два канала одновременно все зависит от суммы денег которую не жалко, но может за эту сумму взять один по быстрее.

Любые клиенты хоть роутера1 или роутера2 без разницы от куда получают IP они все работают, за исключением одного - клиент роутер2 (хх.хх.1.200) по отношению к роутер1 (хх.хх.1.100) он не считается клиентом. Вопрос так и остался чем отличаются две схема друг от друга: 1. Роутер2-br0(private)--->---vlan1(private)========(private)vlan1--->---(private)br0(роутер1)--->---(public)pppoe 2. Клиент(LAN)---(private)vlan1(Роутер2)======(private)vlan1-->--(private)br0(роутер1)-->--(public)pppoe Почему в первом варианте роутер1 блокирует пакеты от роутера2, а во втором от клиента на этом же интерфейсе все нормально проходит. Предположение есть - так как многие правила написаны не конкретно интерфейс или сеть/сегмент, а просто интерфейс "любой", IP "любой" Сейчас сделал так при настройках на обоих роутерах isolate-private разрешил проход на роутер1 с IP именно роутера2 следующих портов для его работы по обновлению и синхр.времени - роутер1/#security.acl открыты порты с IP на 443, 123 но 9(UDP) и так работает. Chain @Home (1 references) pkts bytes target prot opt in out source destination 0 0 ACCEPT icmp -- * * 192.168.1.200 0.0.0.0/0 0 0 ACCEPT tcp -- * * 192.168.1.200 0.0.0.0/0 tcp dpt:123 0 0 ACCEPT udp -- * * 192.168.1.200 0.0.0.0/0 udp dpt:123 0 0 ACCEPT tcp -- * * 192.168.1.200 0.0.0.0/0 tcp dpt:443 Почему для клиентов ротуера1 и клиентов роутера2 ни каких правил по открытию портов писать не надо на роутере1, за исключением самого роутера2 (хх.хх.1.200). В чем "фишка" в команде isolate-private Раньше все работало, не скажу точно по какой релиз, так как роутер работал несколько суток не выключался, но ночью выкл.свет он не смог настроить время и не включил wi-fi.

Маленький вопрос по принципу работы "interface security-level". Канал Инет2 отключен. При схеме ниже Клиент имеет выход в интернет1 через роутер2->роутер1 (пример LAN клиента, но Wi-fi аналогично, все работает DNS, ping и т.д.), так же имеет доступ к роутеру1/2 для управления. По default на роутере1 в данном режиме стоит isolate-private запрет между любыми private (но в роутере2 он убран "no isolate-private"). Если на самом роутере2 проверить работу "ping ya.ru" (через роутер1, def маршрут на роутер1) то DNS работает, но icmp пакеты теряются на роутере1 (т.е. приходят на роутер1 но уходить не хотят) => вопрос, ведь роутер2 по отношению к роутеру1 - это обычный клиент. Если поднять VPN интерфейс между двумя роутерами 1 и 2 то он будет default маршрутом и "public" на роутере2, проблем не возникает (проверка на роутер1 "ping rbc.ru" проходит). Т.е. не рабочая схема такая : Роутер2-br0(private)--->---vlan1(private)========(private)vlan1--->---(private)br0(роутер1)--->---(public)pppoe Так же и с синхронизацией (ранее она работала были указаны IP адреса серверов NTP и со временем проблем не было) сейчас же она не работает. В режиме "точка доступа" на роутер2 отсутствуют такие ограничения - так как не используется "interface security-level".

СПС за то что хоть вы есть и перечисленные вами представители команды, теперь понятно в каких темах можно писать.

Может я не там смотрю по Entware в "opkg list" или там же http://entware-3x.zyxmon.org/binaries/mipsel/Packages.html хотя упоминание есть в https://github.com/Entware-ng/Entware-ng/tree/master/package/network/utils/ebtables

Продолжение поиска причины - не прохода ICMP пакетов в данном режиме. /opt/etc/init.d # ping rbc.ru PING rbc.ru (80.68.253.9): 56 data bytes ^C --- rbc.ru ping statistics --- 4 packets transmitted, 0 packets received, 100% packet loss /opt/etc/init.d # ping lenta.ru PING lenta.ru (81.19.72.36): 56 data bytes ^C --- lenta.ru ping statistics --- 2 packets transmitted, 0 packets received, 100% packet loss /opt/etc/init.d # ping 192.168.1.100 PING 192.168.1.100 (192.168.1.100): 56 data bytes 64 bytes from 192.168.1.100: seq=0 ttl=64 time=0.764 ms ^C --- 192.168.1.100 ping statistics --- 1 packets transmitted, 1 packets received, 0% packet loss round-trip min/avg/max = 0.764/0.764/0.764 ms /opt/etc/init.d # Глобальные настройки по конфигу "isolate-private" - нужно разобраться с этими настройками.

Итак не понятки продолжаются :

Хорошая фраза, на заметку.