Valery Lutoshkin
-
Постов
22 -
Зарегистрирован
-
Посещение
Тип контента
Профили
Форумы
Галерея
Загрузки
Блоги
События
Сообщения, опубликованные Valery Lutoshkin
-
-
В 25.01.2024 в 14:18, Zeleza сказал:
Доброго дня
Информация к сведению, для всех тех, кто пытается подключить клиентов других своих сетей к Квасу, командой kvas net add.
Доброго.
Обратная связь - проапгрейдил до 1.1.7-3, теперь поведение с kvas vpn net add стало еще интереснее.
Команда выполняется, пишет успешно добавлен, но в гостевой сети не работает, а последующая команда kvas vpn net показывает, что интерфейс не добавлен.
Цитата~ # kvas vpn net add
-----------------------------------------------------------------------------------
Выберите гостевую сеть для добавления:
-----------------------------------------------------------------------------------
1. Сеть "VPN-сервер" IKEv2 [192.168.134.64] ВКЛ. НЕ ДОБАВЛЕНА
2. Сеть "Guest" Bridge [192.168.135.1] ВКЛ. НЕ ДОБАВЛЕНА
3. Сеть "Phones" Bridge [192.168.129.1] ВКЛ. НЕ ДОБАВЛЕНА
4. Сеть "WG MSK" Wireguard [192.168.252.1] ВКЛ. НЕ ДОБАВЛЕНА
-----------------------------------------------------------------------------------
Выберите номер интерфейса [1-4, Q-выход]: 2
-----------------------------------------------------------------------------------
Добавление гостевого интерфейса br1 завершено УСПЕШНО
-----------------------------------------------------------------------------------
~ # kvas vpn net
-----------------------------------------------------------------------------------ВНИМАНИЕ!
-----------------------------------------------------------------------------------
Касается всех типов интерфейсов, кроме IKEv2 и WIFI сетей.
Прежде чем продолжить, подключите, каждый из них, в панели управления роутером!
Интерфейс должен быть подключен к серверу и иметь свой IP!
В противном случае, он не будет отображаться в списке сетей.
-----------------------------------------------------------------------------------
Если все сделали, нажмите любую клавишу.
-----------------------------------------------------------------------------------
Полный список подключенных гостевых сетей:
-----------------------------------------------------------------------------------
1. Сеть "VPN-сервер" IKEv2 [192.168.134.64] ВКЛ. НЕ ДОБАВЛЕНА
2. Сеть "Guest" Bridge [192.168.135.1] ВКЛ. НЕ ДОБАВЛЕНА
3. Сеть "Phones" Bridge [192.168.129.1] ВКЛ. НЕ ДОБАВЛЕНА
4. Сеть "WG MSK" Wireguard [192.168.252.1] ВКЛ. НЕ ДОБАВЛЕНА
------------------------------------------------------------------------------------
1
-
-
2 часа назад, Zeleza сказал:
Доброго дня
Спасибо, что столь подробно описываете проблему, только здесь не совсем ясно.Прошу пояснений. Что значит "он там никогда не включался"?
Есть группа интерфейсов, показываемых в kvas vpn net. Сейчас выглядит вот так:
Цитата-----------------------------------------------------------------------------------
Полный список подключенных гостевых сетей:
-----------------------------------------------------------------------------------
1. Сеть "VPN-сервер" IKEv2 [192.168.134.64] ВКЛ. НЕ ДОБАВЛЕНА
2. Сеть "Guest" Bridge [192.168.135.1] ВКЛ. ДОБАВЛЕНА
3. Сеть "Phones" Bridge [192.168.129.1] ВКЛ. ДОБАВЛЕНА
4. Сеть "WG MSK" Wireguard [192.168.252.1] ВКЛ. ДОБАВЛЕНА
-----------------------------------------------------------------------------------Сети Guest и Phones добавлены через kvas vpn net add.
Сеть WG MSK никогда не активировалась через kvas vpn net add.
При попытке исполнить kvas vpn net del и выборе этой сети - все отрабатывает как бы корректно:
Цитата"Удаление гостевого интерфейса nwg0 завершено УСПЕШНО"
но после этого вывод команды kvas vpn net не меняется - на 4 месте так и остается WG MSK с параметрами ВКЛ, ДОБАВЛЕНА.
Обратил сейчас внимание, что скрипт говорит про интерфейс nwg0, а на самом деле он wg0 же.
В дебаге сети отличаются в выводе тоже:
ЦитатаДоступные VPN интерфейсы в системе
-----------------------------------------------------------------------------------
shadowsocks = [shadowsocks | shadowsocks]
Office_NSK = [L2TP0 | Office_NSK]
Wireguard0|nwg0
Не может ли быть причиной проблемы пробел в имени сети? Она "WG MSK" называется, с пробелом.
-
12 часа назад, Zeleza сказал:
Доброго дня
Так и должно быть - при обновлении необходимо гостевые сети подключать заново.К сожалению, написание кода для автоматической перестановки займет много времени, а так как не так много тех, кто пользуется этой функциональностью, то я оставил только ручной вариант добавления при обновлении.
Так переподключение сетей тоже не помогло, к сожалению. Через vpn net del / vpn net add - не заработал сервис. Только через ручной набор правил.
-
Проапгрейдился с 1.1.6 до 1.1.7 release-2 - отвалились гостевые сети.
Дебаг в аттаче.
Есть предположение, что kvas не выставил в iptables соответствующий DNAT с редиректом.
Т.е. после установки в iptables есть строки для ветки nat:
-A PREROUTING -i br0 -p tcp -m set --match-set unblock dst -j REDIRECT --to-ports 1181
-A PREROUTING -i br0 -p udp -m set --match-set unblock dst -j REDIRECT --to-ports 1181
А трафик, приходящий из гостевых сетей (которые br1 и br2), под них очевидно не попадает
Для эксперимента вручную добавилiptables -t nat -A PREROUTING -i br1 -p tcp -m tcp --dport 53 -j DNAT --to-destination 192.168.135.1
iptables -t nat -A PREROUTING -i br1 -p udp -m udp --dport 53 -j DNAT --to-destination 192.168.135.1
iptables -t nat -A PREROUTING -i br1 -p tcp -m set --match-set unblock dst -j REDIRECT --to-ports 1181
iptables -t nat -A PREROUTING -i br1 -p udp -m set --match-set unblock dst -j REDIRECT --to-ports 1181И сразу все заработало для гостевой сети br1.
Возможно, это неправильный путь и трафик редиректится где-то в другом месте (iptables уж больно развесистый у кинетика), но вот такое решение у меня работает прямо сейчас.
PS. И в целом что-то сломалось с работой kvas vpn net - показывает, что сервис включен для WG-интерфейса, хотя он там никогда не включался. При попытке удалить говорит "успешно", но при следующем запуске опять показывает, что включен. -
5 минут назад, Zeleza сказал:
Доброго вечера,
Поясните пожалуйста, не понял, что за vpn net?
Подключение других сетей на роутере к решению. Например, guest.
Делается командой kvas vpn net add, поэтому я сократил до такой формулировки.
7 минут назад, Zeleza сказал:В следующем релизе появится.
Спасибо!
-
1 минуту назад, avn сказал:
Лучше перейти на каталог и писать туда хоть 100 конфигов
conf-dir=/opt/etc/dnsmasq.d/,*.dnsmasqКонечно, можно и так, просто и такой строки в получающемся конфиге сейчас нет. Хорошо бы, чтобы была
-
@Zeleza а можно ли научить kvas не убивать полностью dnsmasq.conf при обновлении? Или хотя бы записывать в него по умолчанию что-то типа conf-file=/opt/etc/dnsmasq.local.conf (или что-нибудь подобное), в котором уже будут храниться специфические настройки?
У меня в отдельном файле форвардеры для специфических доменов, и при каждом обновлении приходится не забыть сходить и поправить dnsmasq.conf руками.И еще - не знаю, баг это или фича, но после обновления сегодня на обоих роутерах пропали ранее добавленные vpn net, пришлось их тоже после обновления добавлять заново.
-
1 час назад, Zeleza сказал:
Вы имеете в виду, что необходимо явно написать, что данный диапазон есть внутри ipset list unblock ?
Ну я предполагал, что последний этап дебага - как раз показать содержимое ipset и проверить, все ли записи из нашего списка туда установились. Поэтому формулировка про них "адреса нет" меня несколько смутила и я искал причину проблем, пока не догадался посмотреть прямо в вывод команды ipset list unblock.
Но могу быть не прав, конечно.
И спасибо вам за решение, очень рад, что оно есть. -
Только что, Zeleza сказал:
Доброго дня
Поясните пожалуйста Вашу мысль.
Доброго.
При последнем этапе kvas debug префиксы не находятся в соответствующем ipset.Цитата-----------------------------------------------------------------------------------
Проверка наличия ip адресов хостов в таблице ipset
команда 'ipset list unblock'
-----------------------------------------------------------------------------------
2ip.ru --> 195.201.201.35 В ТАБЛИЦЕ
4pda.ru --> 172.67.183.145|104.21.68.2 В ТАБЛИЦЕ
ads-twitter.com АДРЕСА НЕТ
bing.com --> 13.107.21.200|204.79.197.200 В ТАБЛИЦЕ
browserleaks.com --> 104.236.69.55 В ТАБЛИЦЕ
cdnfacebook.com АДРЕСА НЕТ
cdninstagram.com АДРЕСА НЕТ
facebook.com --> 31.13.84.36 В ТАБЛИЦЕ
fb.com --> 157.240.252.35 В ТАБЛИЦЕ
fbcdn.net --> 31.13.84.36 В ТАБЛИЦЕ
fbsbx.com --> 157.240.205.35 В ТАБЛИЦЕ
fburl.com --> 157.240.205.22 В ТАБЛИЦЕ
ig.me --> 157.240.205.174 В ТАБЛИЦЕ
instagram.com --> 157.240.205.174 В ТАБЛИЦЕ
kinozal.tv --> 188.114.96.3|188.114.97.3 В ТАБЛИЦЕ
live.com --> 204.79.197.212 В ТАБЛИЦЕ
meta.com --> 157.240.209.16 В ТАБЛИЦЕ
microsoft.com --> 20.112.250.133|20.231.239.246|20.76.201.171|20... В ТАБЛИЦЕ
microsoft365.com --> 13.107.6.156 В ТАБЛИЦЕ
netflix.com --> 54.246.79.9|52.214.181.141|54.170.196.176 В ТАБЛИЦЕ
oaistatic.com --> 104.18.41.158|172.64.146.98 В ТАБЛИЦЕ
openai.com --> 13.107.246.67|13.107.213.67 В ТАБЛИЦЕ
openwrt.org --> 64.226.122.113 В ТАБЛИЦЕ
whatsapp.net --> 157.240.229.60 В ТАБЛИЦЕ
102.132.0.0/16 АДРЕСА НЕТ
102.221.0.0/16 АДРЕСА НЕТ
103.4.0.0/16 АДРЕСА НЕТ
129.134.0.0/16 АДРЕСА НЕТ
142.250.0.0/15 АДРЕСА НЕТ
147.75.0.0/16 АДРЕСА НЕТ
149.154.0.0/16 АДРЕСА НЕТ
157.240.0.0/16 АДРЕСА НЕТ
163.114.0.0/16 АДРЕСА НЕТ
163.70.0.0/16 АДРЕСА НЕТ
163.77.128.0/17 АДРЕСА НЕТ
164.163.191.64/26 АДРЕСА НЕТ
173.252.0.0/16 АДРЕСА НЕТ
179.60.0.0/16 АДРЕСА НЕТ
185.60.0.0/16 АДРЕСА НЕТ
185.89.0.0/16 АДРЕСА НЕТ
199.201.0.0/16 АДРЕСА НЕТ
204.15.20.0/22 АДРЕСА НЕТ
213.102.128.0/24 АДРЕСА НЕТ
31.13.0.0/16 АДРЕСА НЕТ
45.64.0.0/16 АДРЕСА НЕТ
66.220.0.0/16 АДРЕСА НЕТ
69.171.0.0/16 АДРЕСА НЕТ
69.63.0.0/16 АДРЕСА НЕТ
74.119.0.0/16 АДРЕСА НЕТ
87.245.208.0/24 АДРЕСА НЕТ
99.84.0.0/16 АДРЕСА НЕТ
myip2.ru --> 81.90.181.105 В ТАБЛИЦЕПри этом в выводе команды 'ipset list unblock' эти префиксы есть.
Цитата~ # ipset list unblock
Name: unblock
Type: hash:net
Revision: 6
Header: family inet hashsize 1024 maxelem 65536
Size in memory: 3452
References: 2
Members:
13.107.6.156
157.240.229.60
199.201.0.0/16
45.64.0.0/16
188.114.96.3
13.107.21.200
54.170.196.176
195.201.201.35
172.67.183.145
87.245.208.0/24
213.102.128.0/24
20.112.250.133
64.226.122.113
163.114.0.0/16
104.236.69.55
163.70.0.0/16
157.240.0.0/16
185.60.0.0/16
69.171.0.0/16
157.240.205.174
104.18.41.158
179.60.0.0/16
20.76.201.171
157.240.205.22
149.154.0.0/16
188.114.97.3
204.79.197.200
157.240.252.35
52.214.181.141
102.221.0.0/16
102.132.0.0/16
81.90.181.105
147.75.0.0/16
13.107.246.67
204.15.20.0/22
20.231.239.246
142.250.0.0/15
31.13.0.0/16
31.13.84.36
74.119.0.0/16
172.64.146.98
129.134.0.0/16
164.163.191.64/26
66.220.0.0/16
54.246.79.9
69.63.0.0/16
13.107.213.67
103.4.0.0/16
104.21.68.2
157.240.209.16
204.79.197.212
185.89.0.0/16
173.252.0.0/16
20.236.44.162
20.70.246.20
157.240.205.35
163.77.128.0/17
99.84.0.0/16Т.е. видимо парсер, который проверяет наличие и пишет в итоге "АДРЕСА НЕТ", не обучен находить именно префиксы.
-
1
-
-
2 часа назад, Valery Lutoshkin сказал:
Коллеги, подскажите за фейсбук-инстаграм. Подключение через shadowsocks.
Прописал вот таким образом их домены (цитата из /opt/etc/hosts.list):
Но при этом в таблицу ipset попадают очевидно другие IP-адреса относительно тех, которые получают компьютеры в локальной сети (и понятно, потому что у этих сервисов очень агрессивный раундробин и на каждый запрос выдается новый адрес).
Соответственно, ничего не работает, сервиса нет. Даже когда очень редко какие-то адреса совпадают — далеко не все, поэтому сайты открывается кусочками, а потом новый адрес - и опять не работает вообще ничего.
Есть ли какой-нибудь файл, который не автогенерится, но подключается и в него можно просто положить всё адресное пространство IPv4 для Meta - чтобы весь их сервис гарантированно уходил в SS?Вывод дебага, как положено, прикладываю, хотя он тут малополезен.
Протупил и не прочитал документацию.
Добавил префиксы меты через kvas add и проблема решилась. Можно копипастить ниже.
Цитатаkvas add 213.102.128.0/24
n
kvas add 204.15.20.0/22
n
kvas add 199.201.0.0/16
n
kvas add 185.89.0.0/16
n
kvas add 185.60.0.0/16
n
kvas add 179.60.0.0/16
n
kvas add 173.252.0.0/16
n
kvas add 164.163.191.64/26
n
kvas add 163.114.0.0/16
n
kvas add 163.77.128.0/17
n
kvas add 163.70.0.0/16
n
kvas add 157.240.0.0/16
n
kvas add 149.154.0.0/16
n
kvas add 147.75.0.0/16
n
kvas add 142.250.0.0/15
n
kvas add 129.134.0.0/16
n
kvas add 103.4.0.0/16
n
kvas add 102.221.0.0/16
n
kvas add 102.132.0.0/16
n
kvas add 99.84.0.0/16
n
kvas add 87.245.208.0/24
n
kvas add 74.119.0.0/16
n
kvas add 69.171.0.0/16
n
kvas add 69.63.0.0/16
n
kvas add 66.220.0.0/16
n
kvas add 45.64.0.0/16
n
kvas add 31.13.0.0/16
n
Правда, debug не умеет нормально отрабатывать префиксы, поэтому не находит их в ipset. Но хорошо, что записывает
-
3
-
-
Коллеги, подскажите за фейсбук-инстаграм. Подключение через shadowsocks.
Прописал вот таким образом их домены (цитата из /opt/etc/hosts.list):
Цитата*cdnfacebook.com
*cdninstagram.com
*facebook.com
*fb.com
*fbcdn.net
*fbsbx.com
*fburl.com
*ig.me
*instagram.comНо при этом в таблицу ipset попадают очевидно другие IP-адреса относительно тех, которые получают компьютеры в локальной сети (и понятно, потому что у этих сервисов очень агрессивный раундробин и на каждый запрос выдается новый адрес).
Соответственно, ничего не работает, сервиса нет. Даже когда очень редко какие-то адреса совпадают — далеко не все, поэтому сайты открывается кусочками, а потом новый адрес - и опять не работает вообще ничего.
Есть ли какой-нибудь файл, который не автогенерится, но подключается и в него можно просто положить всё адресное пространство IPv4 для Meta - чтобы весь их сервис гарантированно уходил в SS?Вывод дебага, как положено, прикладываю, хотя он тут малополезен.
-
7 часов назад, MDP сказал:
NetFlow поди поможет?
В нетфлоу мы можем слить 4 уровень модели (вплоть до порта), а упомянутый анализатор работает, как я понимаю, более глубоко, на сигнатурах трафика.
-
Поддерживаю запрос, особо больно в таком режиме, когда основным стоит серый провайдер, что невозможно переключиться в прямой доступ и запустить ikev2.
Хотелось бы иметь возможность привязаться прямым доступом к резервному каналу и запустить ikev2 на нем. -
Понятно, что это уже ближе к энтерпрайзу. Но было бы полезно иметь возможность аутентифицировать пользователей VPN не по локальной базе пользователей устройства, а на внешнем сервере по любому из стандартизованных протоколов.
В устройствах существует поддержка EAP для вайфая (WPA Enterprise), поэтому есть предположение, что подтянуть тот же EAP на VPN подключения может оказаться не очень трудоемко. Например, IKEv2 с EAP есть в некоторых сравнительно недорогих роутерах.
-
6
-
-
2 минуты назад, Илья Картавенко сказал:
К сожалению, не могу найти там возможности по приоритету трафика выбирать канал связи (а не вытеснять трафик меньшего приоритета, как обычно работает QoS). Подскажите более конкретную ссылку, пожалуйста.
-
Анализатор трафика приложений сейчас прекрасно показывает данные в моменте за последние 3 минуты.
Было бы полезно выгружать эти данные на внешний сервер, чтобы в дальнейшем анализировать из в долгосрочной перспективе.
Самый простой и, вероятно, наименее трудоемкий вариант — сбрасывать эти данные так же раз в три минуты в syslog строкой в CSV ("клиент,категория1,объем1,категория2,объем2...").
Дальше уже это всё со стороны сервера разобрать, переложить в какую-нибудь TSDB (например, Influx) и отобразить в Grafana не составит труда.
В большинстве использований SMB это будет огромным подспорьем системным администраторам.
-
В устройствах уже есть "Анализатор трафика приложений", который прекрасным образом классифирует трафик пользователей по группам.
Было бы крайне полезно на основе этой классификации отправлять трафик в тот или иной канал (например, через логику "приоритетов подключений" - просто в качестве критерия задавая не клиентское устройство, а тип трафика из существующих или хотя бы уровень приоритета трафика из IntelliQoS).
Это бы позволило, например, убирать голос и ВКС в канал высокого качества и низкой пропускной способности, для обычного трафика при этом используя более дешевый канал низкого качества (тот же мобильный интернет).
-
18 минут назад, SySOPik сказал:
Если в пределах одной AS, вполне реально сделать маршрут на всю подсеть хх.хх.хх.хх/24 и до /20. Можно и несколько сетей /24 , /22 и т.д.
Если там нарезка /15 и до /1 , тогда да пол интернета нет смысла впихивать.
Там хуже - в принципе плохо предсказуемо, в каком сервисе будет следующая ВКС. Корпоративных сервисов много разных.
-
Только что, SySOPik сказал:
Если у STUN сервера отдельная и не меняющаяся IP, тупо маршрутами загоните его через "хорошего" провайдера. Я так сделал с RDP и еще несколькими сервисами.
Нет, к сожалению, ВКСы могут быть достаточно широко размазаны по сети. Поэтому вопрос именно про классификатор — если он умеет классифицировать, то следующий шаг "для так размеченного трафика nexthop такой-то" не должен бы быть принципиально нереализуем.
-
Сам использую такое, правда не за кинетиком, но суть не меняется.
1. Proxy_pass на nginx будет работать хорошо, но нужно не забыть для сабдомена выпустить соответствующий сертификат, чтобы nginx отвечал по https. А сама вебморда внутри пусть по http работает.
2. Порты почтового сервера просто пробросить на 0.101. Сертификат для SSL не забыть уволочь с nginx и подложить почтовому. И повторять это при обновлении, скриптом.
3. Спам-валидаторы больше будут пугаться IP из пула операторских хоумюзеров. Но в целом большинство на них не реагирует уж очень активно. Надо не забыть от оператора добиться работающего бэкрезолва в существующее доменное имя, отрабатывающее в прямой резолв, потому что иногда это проблема. И вот на это антиспам реагирует болезненно.
4. Несколько доменов особо не усложняют решение. Всё работает.
Btw, из яндекса мне оказалось проще уйти на VPS внешний, который и так существовал для VPN-туннеля, и не греть голову. -
Добрый день!
Вероятно, такой вопрос задавался, но где-то с полчаса искал похожие темы — не нашел (возможно потому что я в кинетике нуб и не совсем хорошо понимаю внутреннюю терминологию), буду признателен, если ткнете непосредственно в статью.
Дано: Giant, 4.0.2. Два внешних канала — один условно WAN "дорогой и хороший" (низкий джиттер, минимальные потери, небольшая выделенная полоса), второй - Mobile "дешевый и плохой" (джиттер и потери достаточные для BE-трафика, но войс там уже очень так себе работает). Есть несколько клиентов, каждый из которых бродит в сети и иногда участвует в звонках и ВКС.
Включен "Анализатор трафика приложений", который прекрасным образом классифицирует нужный трафик и показывает его (пытается использовать QoS, но так как очереди появляются отнюдь не на портах маршрутизатора, QoS не работает по понятным причинам).
Есть ли возможность на кинетике трафик, который анализатор помечает как высокоприоритетный (в нашем случае STUN), отправлять в дорогой канал, а весь остальной трафик - в другой?
Использую фичу управления через "приоритеты подключений", но там раскладка по каналам реализуется по устройствам, а не по типу трафика.-
2
-
Пробуем КВАС
в Каталог готовых решений Opkg
Опубликовано
С п.5 заработало, спасибо!
Но на одной из инсталляций выдало при первичной настройке вот такое:
Естественно, никаких 32 VPN интерфейсов там нет. Перечислены, похоже, вообще зарегистрированные компьютеры (а 30-31 пункты - это br1 и br2 соответственно, а 13 - WAN). П. 29 тоже как-то странно сложился из разных IP.