vasek00

Дело в том что "cron" использую в роутерах аж 2010года - тут возможно дело привычки так как руки помнят хорошо что делается часто. То что предлагается мне на пример не удобно /opt/etc # ls -l drwxr-xr-x 2 root root 1024 Feb 20 08:26 cron.1min drwxr-xr-x 2 root root 1024 Feb 20 08:26 cron.5mins drwxr-xr-x 2 root root 1024 Feb 20 08:26 cron.d drwxr-xr-x 2 root root 1024 Feb 20 08:26 cron.daily drwxr-xr-x 2 root root 1024 Feb 20 08:26 cron.hourly drwxr-xr-x 2 root root 1024 Feb 20 08:26 cron.monthly drwxr-xr-x 2 root root 1024 Feb 20 08:26 cron.weekly -rw------- 1 root root 498 Feb 18 18:53 crontab .... drwxr-xr-x 2 root root 1024 Apr 11 18:21 init.d ... drwxr-xr-x 10 root root 1024 Mar 26 13:47 ndm ... -rw------- 1 root root 3493 Apr 11 18:22 vnstat.conf -rw------- 1 root root 526 Feb 20 08:26 whois.conf -rw-r--r-- 1 root root 589 Feb 20 08:26 xattr.conf /opt/etc/ndm # ls -l drwxr-xr-x 2 root root 1024 Feb 20 08:26 button.d drwxr-xr-x 2 root root 1024 Feb 20 08:26 fs.d drwxr-xr-x 2 root root 1024 Mar 27 10:16 netfilter.d drwxr-xr-x 2 root root 1024 Feb 20 08:26 schedule.d drwxr-xr-x 2 root root 1024 Feb 20 08:26 time.d drwxr-xr-x 2 root root 1024 Feb 20 08:26 usb.d drwxr-xr-x 2 root root 1024 Feb 20 08:26 user.d drwxr-xr-x 2 root root 1024 Feb 20 08:26 wan.d /opt/etc/ndm # Основное правило - откуда ушел туда должен и прийти, т.е. есть у вас же таблица table $T1 и table $T2 с жесткими маршрутами, так как прежде чем отправить пакет первое смотрится таблица маршрутов и если нет подходящего то на default ( а таблица это сеть/хост назначения и через какой интерфейс отправлять). А каких весах маршрутов может идти речь в данном случае при наличии данной таблицы выше и не понятно что может потеряться если сессия установлена через нужный маршрут, пусть она потом закроется но новая так же через этот маршрут который описан в таблице. Есть режим балансировке где например маршрут до одного сервера в разные интервалы времени может происходить по разным каналам (маршрутам default ) тут нет такой таблицы как выше, вот тут то и будет проблема на некоторых сайтах (допустим от продолжительного времени после регистрации) . Поэтому не вижу смысла в использовании в данном понятии multiwan - если только как резрв. Лично прошел период двух каналов ADSL + PPTP тогда были низкие скорости и чисто для торрент и просмотра страниц было удобно, ну был режим именно балансировки и весовых коэффициенов например 10:5 без всяких table, но когда скорости стали 100Мбит (PPPoE) и 20-50Мбит (PPTP) то вся необходимость отпала. Примеры 1. default nexthop via хх.хх.хх.52 dev ppp1 weight 5 nexthop via yy.yy.yy.64 dev ppp0 weight 10 ... хх.хх.хх.254 dev ppp0 scope link yy.yy.yy.9 dev ppp1 scope link yy.yy.yy.26 dev ppp1 proto kernel scope link src yy.yy.yy.52 2. default dev ppp0 scope link хх.хх.хх.254 dev ppp0 scope link ... yy.yy.yy.9 dev ppp1 scope link yy.yy.yy.26 dev ppp1 proto kernel scope link src yy.yy.yy.52 Про что я писал использование Для полного понимания того что и как у вас реализовано нужно побольше данных, так как ветка очень большая и вариантов описано много. Т.е. нужно видеть текущее состояние как у вас получились маршруты. Мобильные тарифы сейчас очень дороги по сравнению с проводными, платить за два канала одновременно все зависит от суммы денег которую не жалко, но может за эту сумму взять один по быстрее.

Любые клиенты хоть роутера1 или роутера2 без разницы от куда получают IP они все работают, за исключением одного - клиент роутер2 (хх.хх.1.200) по отношению к роутер1 (хх.хх.1.100) он не считается клиентом. Вопрос так и остался чем отличаются две схема друг от друга: 1. Роутер2-br0(private)--->---vlan1(private)========(private)vlan1--->---(private)br0(роутер1)--->---(public)pppoe 2. Клиент(LAN)---(private)vlan1(Роутер2)======(private)vlan1-->--(private)br0(роутер1)-->--(public)pppoe Почему в первом варианте роутер1 блокирует пакеты от роутера2, а во втором от клиента на этом же интерфейсе все нормально проходит. Предположение есть - так как многие правила написаны не конкретно интерфейс или сеть/сегмент, а просто интерфейс "любой", IP "любой" Сейчас сделал так при настройках на обоих роутерах isolate-private разрешил проход на роутер1 с IP именно роутера2 следующих портов для его работы по обновлению и синхр.времени - роутер1/#security.acl открыты порты с IP на 443, 123 но 9(UDP) и так работает. Chain @Home (1 references) pkts bytes target prot opt in out source destination 0 0 ACCEPT icmp -- * * 192.168.1.200 0.0.0.0/0 0 0 ACCEPT tcp -- * * 192.168.1.200 0.0.0.0/0 tcp dpt:123 0 0 ACCEPT udp -- * * 192.168.1.200 0.0.0.0/0 udp dpt:123 0 0 ACCEPT tcp -- * * 192.168.1.200 0.0.0.0/0 tcp dpt:443 Почему для клиентов ротуера1 и клиентов роутера2 ни каких правил по открытию портов писать не надо на роутере1, за исключением самого роутера2 (хх.хх.1.200). В чем "фишка" в команде isolate-private Раньше все работало, не скажу точно по какой релиз, так как роутер работал несколько суток не выключался, но ночью выкл.свет он не смог настроить время и не включил wi-fi.

Маленький вопрос по принципу работы "interface security-level". Канал Инет2 отключен. При схеме ниже Клиент имеет выход в интернет1 через роутер2->роутер1 (пример LAN клиента, но Wi-fi аналогично, все работает DNS, ping и т.д.), так же имеет доступ к роутеру1/2 для управления. По default на роутере1 в данном режиме стоит isolate-private запрет между любыми private (но в роутере2 он убран "no isolate-private"). Если на самом роутере2 проверить работу "ping ya.ru" (через роутер1, def маршрут на роутер1) то DNS работает, но icmp пакеты теряются на роутере1 (т.е. приходят на роутер1 но уходить не хотят) => вопрос, ведь роутер2 по отношению к роутеру1 - это обычный клиент. Если поднять VPN интерфейс между двумя роутерами 1 и 2 то он будет default маршрутом и "public" на роутере2, проблем не возникает (проверка на роутер1 "ping rbc.ru" проходит). Т.е. не рабочая схема такая : Роутер2-br0(private)--->---vlan1(private)========(private)vlan1--->---(private)br0(роутер1)--->---(public)pppoe Так же и с синхронизацией (ранее она работала были указаны IP адреса серверов NTP и со временем проблем не было) сейчас же она не работает. В режиме "точка доступа" на роутер2 отсутствуют такие ограничения - так как не используется "interface security-level".

СПС за то что хоть вы есть и перечисленные вами представители команды, теперь понятно в каких темах можно писать.

Может я не там смотрю по Entware в "opkg list" или там же http://entware-3x.zyxmon.org/binaries/mipsel/Packages.html хотя упоминание есть в https://github.com/Entware-ng/Entware-ng/tree/master/package/network/utils/ebtables

Продолжение поиска причины - не прохода ICMP пакетов в данном режиме. /opt/etc/init.d # ping rbc.ru PING rbc.ru (80.68.253.9): 56 data bytes ^C --- rbc.ru ping statistics --- 4 packets transmitted, 0 packets received, 100% packet loss /opt/etc/init.d # ping lenta.ru PING lenta.ru (81.19.72.36): 56 data bytes ^C --- lenta.ru ping statistics --- 2 packets transmitted, 0 packets received, 100% packet loss /opt/etc/init.d # ping 192.168.1.100 PING 192.168.1.100 (192.168.1.100): 56 data bytes 64 bytes from 192.168.1.100: seq=0 ttl=64 time=0.764 ms ^C --- 192.168.1.100 ping statistics --- 1 packets transmitted, 1 packets received, 0% packet loss round-trip min/avg/max = 0.764/0.764/0.764 ms /opt/etc/init.d # Глобальные настройки по конфигу "isolate-private" - нужно разобраться с этими настройками.

Итак не понятки продолжаются :

Хорошая фраза, на заметку.

Маленькая ремарка ebtables не нашел, но модули ядра в прошивке есть о чем писал выше.

Запомним, что на данной теме multiwan - это маршрут по умолчанию на несколько интерфейсов

На то он и форум на котором присутствуют помимо разработчиков и пользователи которые могут помочь в решении той или иной проблемы. По поводу мое топа, бурных обсуждений нет ну и что из этого? Могу еще привести примеры где нет бурных обсуждений: - на двух роутерах в LAN сети включен IGMP proxy (на одном из них не подключен даже кабель провайдера) есть проблема на TV который включен в LAN сеть (просто при просмотре передач кабельного), при отключении одного из IGMP proxy все нормализуеться . - давным давно когда не было еще данного форума писал про возможность использования SNMP (начиная с тех поддержки и т.д., бурных обсуждений не было) и что видим сейчас. - так же писал и про шейпер только не в таком виде, но уже есть подвижки (не прошло и 3 лет с момента первого упоминания). - фильтрация в Home интерфейсе это еще только начало. Сломя голову наверное и не надо - но если бы была страница глобального развития к чему идем с чего начали, то может быть и многое было бы понятно. Может вы и правы сейчас важнее отлаживать туннели с шифрованием в прошивке, это конечно важнее для обычного пользователя.

Как знать

Никак. "Быстрые ресурсы" на 100Мбит/c при тарифе 50Мбит/c это обычно локальная сеть данного провайдера. Поэтому вам нужно воспользоваться ограничением в скорости своих клиентов, а не основного канала.

Любая техника которую он сегодня приобретает требует от него хоть каких то знаний. Мы живем в 21 веке и если он пользователь не будет знать хоть что-то то я ему не завидую.

Уже давно работает ExtII в данном режиме. Схема ТД в режиме Интернет-центр --- "Клиент ------ ExtII (LAN) ----------- (LAN)шлюз --- Интернет". WAN порт отключен вообще. Wi-fi модуль включается согласно расписания, ntp сервера прописаны по IP, default маршрут указывает на локальный "шлюз" который имеет выход в интернет. На ExtII стоит Entware, запущен dnsmasq и указан сервер DNS IP "шлюза". Как то все работало до поры до времени сегодня заметил не стыковку во времени, и не включился модуль wi-fi, так как время не верное на роутере. Ладно перегрузил роутер, произвел обновление его на 2.09.A.6.0-2, некоторое время все опять, даже "ping на 8.8.8.8" не проходит. Начинаю лазить по WEB проверять и исправлять настройки, в результате теперь даже после перегрузки не работает "ping на 8.8.8.8" и естественно нет обновления и не работает KeenDNS. Для клиентов ExtII все нормально, так как они шлюзом и DNS получают адрес IP шлюза.

Достаточно понимать формулировку - Multiwan и что в нее вкладывает пользователь. Multiwan - это подключение к двум и более провайдерам с вариантами : распределение нагрузки по каналам или резервирование основного канала с помощью резервного. С резервированием все понятно, с распределением нагрузки опять же проблемы с пониманием - распределение нагрузки согласно созданной таблицы (ты туда, другой сюда) или random (50%/50% или 30%/70% и т.д.). Но к такому пониманию трудно "приклеить" понятие балансировка - так более подходит "random". Для начала думаю нужно определиться с понятием, что под этим Multiwan значиться.

Вопрос не возможно практически или в данной прошивке. Речь идет о двух vlan в одном bridge.

Только в сторону жестко привязать маршрут на нужные сервера.

Так и не понял смысл - создания нового vlan с закрепленным LAN портом, чтоб он сразу же попадал в bridge. Почему нельзя оставить его интерфейсом vlan, а уже если хочу чтоб он был в bridge то доп.поле в котором есть возможность прописать Bridge2 или что еще. Ввиду молчания - вывод не интересно в данный момент, но как знать. В прошивки используются механизмы фильтрации или ограничения на MAC адресе с применением ebt_*.ko => сам вопрос как можно воспользоваться дынными функциями. В некоторых сторонних прошивках есть в наличие ebtables или в WEB разделы где можно указывать MAC для описанных выше функций. Самый простой пример клиенту локальной сети "Home", который на LAN получил IP из пула DHCP (раз он от них) запрещен например доступ к 192.168.1.30 с MAC 00:11:22:33:44:55 (на LAN) или к клиентам которые на интерфейсе wi-fi, так как он в bridge Home то ему можно все в настоящие время. Забыл сказать что в "IP Hotspot" что-то уже есть.

Vlan интерфейс привязанный к порту, а Bridge связка интерфейсов. По проще изоляция трафика - туда куда надо и не далее.

enpa у вас хоть в последнее время стала отваливаться трансляция full hd каналов, такое ощущение, что есть потеря unicast пакетов. Со стороны провайдера, со стороны оператора iptv ott - говорят, что все хорошо, проблем нет. У меня было замирание и рассыпание картинки на ТВ (просмотр кабельного канала) когда на двух роутерах (один из них ExtII) было включено IGMP proxy, ТВ просто подключен к LAN сети на ExtII. "Пакетики по сети" приводили в ступор ПО телевизора от этого, при отключении на ExtII - IGMP proxy все приходило в норму. Схема была, при том что в момент проверки на ExtII WAN был отключен вообще (режим основной) : Инет ------- KII (LAN) ---- (LAN)ExtII ------- Инет

Ладно иду в #home.bridges беру порт LAN2, галки использовать и vlan ID получаю его сразу в "br2" ладно идем дальше берем порт LAN1, галки использовать и vlan ID получаю его сразу в "br3" br2 8000.xxxxxxxxxxxx no eth2.4 br3 8000.xxxxxxxxxxxx no eth2.5 и как же запихнуть eth2.4 и eth2.5 из WEB в "Home", идем дальше через замену в config делаем interface Bridge2 description vl45-br include FastEthernet0/Vlan4 include FastEthernet0/Vlan5 security-level private ip dhcp client dns-routes ip dhcp client name-servers up interface FastEthernet0/Vlan4 security-level public ip dhcp client dns-routes ip dhcp client name-servers up interface FastEthernet0/Vlan5 security-level public ip dhcp client dns-routes ip dhcp client name-servers up interface FastEthernet0/2 rename 2 switchport mode access switchport mode trunk switchport trunk vlan 5 up interface FastEthernet0/4 rename 4 switchport mode access switchport mode trunk switchport access vlan 4 up br2 8000.хххххххххххх no eth2.4 eth2.5 WEB показывает ерунду.

И как vl4-br приклеить в текущий "Home"

1.4 ----- vlan 4 - | 1.5 ----- vlan 4 - | 1.6 ----- vlan 3 --+--- bridge сеть ---- vlan 3 --| Очень сложно написано, да самый простой 1 и 2 порт LAN клиенты - vlan4 (IP - 192.168.1.4 и 5), 3 и 4 порты LAN клиенты - vlan3 (IP - 192.168.1.6 и куда-то в сеть LAN) все это в мост, ну еще можно и wi-fi например. Адрес на бридже 192.168.1.1. Суть фильтровать трафик между портами с учётом интерфейса. Клиент 1.4 видит 1.5, но не видит vlan3, в тоже время выход в интернет стандартно на WAN, клиент 1.6 видит vlan3 но не видит vlan4 и опять же выход в интернет на WAN. Или в перспективе 1.6 разрешить видеть только 1.4

Интересует возможность фильтрации нескольких vlan в bridge => проход пакетов на нужный порт LAN/vlan.