hoaxisr
-
Постов
744 -
Зарегистрирован
-
Посещение
-
Победитель дней
20
Тип контента
Профили
Форумы
Галерея
Загрузки
Блоги
События
Сообщения, опубликованные hoaxisr
-
-
44 минуты назад, Denis P сказал:
Вы проверяли с
interface X ping-check restart
?
Фокус то именно в этом...
Именно с этим параметром.
Не влияет pingcheck на работу fallback. Да и сам pingcheck работает странно - делая две проверки вместо одной за интервал.
-
1 час назад, Denis P сказал:
чтобы интерфейс однозначно отключался при недоступности пира
Он "однозначно" выключается через невообразимо долгое время. Т.е. до статуса "административно" down проходит куча времени. А вот статус "failed" от pingcheck вообще не влияет на работу этой функции, даже когда failedcount>установленного в профиле pingcheck. Можете проверить самостоятельно, в ТП об этом писал, но обратного гудка не слышно и вера потеряна.
Рекомендовать использовать этот функционал я бы точно не стал. Особенно в свете наличия сторонних решений, умеющих делать не тупое наполнение ipset от резолва, а сравнивать SNI и IP и маршрутизировать избирательно даже сервисы за CDN.
-
39 минут назад, Илья Картавенко сказал:
все работает
Не все. Заявленный функционал fallback для fqdn как не работал, так и не работает.
Как были пропуски наполнения ipset, так и остались.
Функция как была нестабильной, так и осталась.
-
1
-
-
В 17.04.2026 в 15:15, sergunok сказал:
Кейс
На Keentic настроено подключение к внешнему WG-серверу (интерфейс Wireguard0)
На Keentic развернут WG-сервер, к которому могут подключаться клиенты снаружи (интерфейс Wireguard1)
Как сделать так, чтобы это работало как каскад туннелей? Т.е. чтобы все пакеты, пришедшие в Wireguard1, отправлялись в Wireguard0?
Создать политику доступа с выходом в виде туннеля.
Воспользоваться командой ip hotspot
-
10 часов назад, potkom сказал:
Подскажите, пожалуйста, где эта настройка. Там только ip можно прописать. Если домашняя сеть 192.168.1.0/24 — ip клиента прописать в этой сети? Или это не через web-интерфейс прописывается?
Вот тут
Спойлер
-
1
-
-
4 минуты назад, VVS сказал:
Это, если речь идёт о доступе по http/https.
А, если речь о каком-то сервисе?
Ну, например, у меня не так давно отвалилось обновление OCCT - говорит, что есть обнова, но скачивание обламывается.
Это я в качестве первого попавшегося примера, есть и другие.
Да, конечно, есть Process Monitor, правда он выдаст IP, а не URL, так что не всё так просто, как Вы пишете.Я думаю, что если вы захотите найти домены - вы найдете способ, их много.
Я лишь говорю, что к маршрутизации по IP нужно подходить аккуратно. 20K строк в списков CIDRов это перебор. Я лишь об этом.
-
3 часа назад, VVS сказал:
Это ж ещё нужно будет узнать его имя.
Нет, конечно не уверен.
Поэтому я и пишу, что такой подход уменьшит вероятность возникновения проблемы, но ни в коей мере не считаю, что он полностью устранит возможность возникновения проблемы.
По первому пункту:
1. Узнать домены куда хочет попасть приложение или сервис довольно просто -- для этого есть инструменты как на телефонах (Apple встроенное, Android - бесплатное), на компе есть расширение браузера, которое соберет все в авто режиме. Т.е. это не большая проблема, плюс маршритузация по доменам работает с маской и покрывает все субдомены.
2. Узнать IP тоже не проблема конечно тем же механизмом. И маршрутизация по IP работает в КинетикОС пока явно стабильнее. (но это проблема реализации, а не концепции)
Так что корень зла только в том, что при IP маршрутизации люди используют весьма широкие CIDR сомнительного происхождения.-
1
-
-
42 минуты назад, VVS сказал:
А Вы уверены, что в указанные DNS-маршруты попадают все имена нужного сервиса или что завтра владелец сервиса не зарегит новое имя?
Я не говорю, что IP-маршрутизация+DNS-маршрутизация решают все проблемы, но IMHO такой вариант уменьшает вероятность их возникновения.
Если это произойдет, то я добавлю новый домен в маршрутизацию.
Аналогично я могу задать тот же вопрос, а вы уверены, что ASN/CIDR сервиса всегда постоянен и не может меняться? Почему-то я думаю, что домены более постоянная сущность, чем множество IP, именно для этого и были придуманы домены в том числе, что можно произвольно менять назначение куда указывает доменное имя не передавая пользователю новые наборы IP.
-
1 час назад, VVS сказал:
Но ведь ниоткуда не следует, что множество IP-маршрутов совпадает с множеством DNS-маршрутов, т.е. DNS-маршруты могут не покрыть всех адресов...
Но ведь главная задача это обеспечить маршрутизацию, а не иметь совпадающие множества адресов, тем более не каждому пользователю нужны все IP сервиса, они могут ему вообще не отдаваться.
-
2
-
-
3 часа назад, potkom сказал:
Здравствуйте!
На роутере (KN-2610 KeeneticOS 5.0.8) развернут wg-сервер к которому подключается клиент. Как мне сделать так, что бы к трафику этого клиента применялась какая-либо политика, имеющаяся на роутере, например, политика по-умолчанию?
Дело в том, на entware развернут HR, который управляет именно через политики. И хотелось бы организовать такую же маршрутизацию, как и для клиентов домашней сети, клиентам wg-сервера.
Для HR достаточно чтобы WG сервер был bind в домашний сегмент сети. (Есть в настройках wg server)
И чтобы клиент использовал роутер как DNS, но с IP в домашнем сегменте (br0).
Для этого нужно подправить конф файл, который отдает роутер.
-
1
-
-
16 минут назад, keenet07 сказал:
Да вроде неплохо работает. Там есть особенность, если домен открывается первый раз, то может с первого раза страница не загрузиться. Не успевает просто всё подготовиться для этого. Обновляешь страницу и всё загружается. Всё. Дальше, если роутер не перезагружать, то всегда этот домен сразу открывается. Поэтому прогружаете сразу всё с чем работаете, по возможности, а потом без затыков пользуетесь.
Каких-то экзотических случаев, чтоб домен был прописан, но ни в какую не загружался, у меня не встречалось.
Если у вас что-то не работает, давайте конкретные примеры.
Не работает заявленный режим fallback между интерфейсами.
Не работает (или скорее работает с серьезными "затупами") высоконагруженные по DNS сервисы (типа shorts на известном видеохостинге) и reals (в другом не менее известном)Рандомно, периодически пропускается наполнение IP для FQDN группы и поэтому летишь в провайдера и ожидаемо получаешь бяку.
-
1
-
-
10 минут назад, bzzztomas77 сказал:
вроде и на 4 использовал:
wireguard asc 10 8 80 ....upgrade на 5.0 сделал буквально несколько дней назад, asc использую несколько месяцев.
Все верно, ASC параметры появились в 4.х ветке, в 5.1 Альфа 3 появились "расширенные" ASC параметры 2.0 (включащие S3,S4, i1-i5 параметры и дозволяющие H1-H4 в виде диапазонов).
-
1
-
-
2 минуты назад, cadet78 сказал:
Сделал ровно то же, что делал ранее по маршрутизации. раньше забивал адрес или сети в IPv4-маршруты, выбирал интерфейс через что ходить - и работало (и сейчас работает). С 5й версии ОС вместо цифр забиваю доменные имена в маршруты DNS - в основном не работает. Там логика поменялась?
В смысле менялась? Она изначально для DNS маршрутов была такой. Официальная документация по DNS маршрутам
Советую прочесть внимательно документацию и сделать как там написано. Будет плюс/минус работать.
-
1
-
-
43 минуты назад, bzzztomas77 сказал:
имеется ввиду сервер AWG на кинетике?
Имеется в виду интерфейс Wireguard может иметь расширенные параметры ASC, начиная с версии 5.1 Альфа 3 и выше.
А уж будет это условный сервер или клиент уже не имеет значения.
-
20 минут назад, cadet78 сказал:
что-ли не так что-то делал. по сторонним инструкциям делал маршрутизацию по доменным именам. DNSoverTLS стоит везде, у всех клиентов политика доступа либо определенная, либо по умолчанию для сегмента, нигде нет политики доступа по умолчанию. Для сегмента же выбирается либо прямой доступ, либо какой-то определенный. В инструкции кинетиков, чтобы маршрутизация по доменным именам работала нужна политика доступа по умолчанию. Попробовал политику по умолчанию - не помогло.
Вы прям сделали ровно противоположность тому, что требуется.
Есть база знаний Кинетик. Там все весьма четко расписано, что нужно сделать, чтобы получить результат.
1. Все клиенты использует роутер как DNS. Не используют "безопасные", "приватные", не используют подобное в браузере. Только роутер
2. Находятся в политике доступа по умолчанию.
-
1
-
2
-
-
12 часов назад, Vozmisvet сказал:
Да и репо hoaxisr.github.io не существует, что отношения к antiscan не имеет никакого, но мешает работе opkg.
Вам нужно в /opt/etc/opkg/
Найти файлы .conf и убрать или поправить репозитории пакета на http://repo.hoaxisr.ru
-
1
-
-
5 часов назад, Sensulaize сказал:
пробовал всё переустанавливать - безрезультатно
В теме есть ответ на ваш вопрос. Нужно лишь прочитать сообщения до вашего.
-
1
-
-
6 минут назад, sanyab35 сказал:
Добрый день. Задача. Все из геосписков:refilter пустить по одному тоннелю, а только ютуб через второй. Создал два тоннеля, два профиля. В один профиль добавил геосписки, в другой только домены ютуба. Так же в разные профили добавил 2ip.ru и 2ip.io для проверки. Так вот судя по 2ip оба профиля и тоннеля работают. А вот ютуб упорно лезет через тот профиль, в котором указаны геосписки. Можно выставить какие то приоритеты у профилей?
может гео списки refilter покрывают и ютуб? не?
-
2 часа назад, HomeFriend сказал:
Здравствуйте.
Заранее извиняюсь, если вопрос тупой.
В чем разница механизма фильтрации DNS между HydraRoute Neo и тем, что показан на скриншоте?
Если идет речь о маршрутизации, то, что показано на скриншоте - скорее заявлено как работающий механизм, чем реально работающий.
На форуме есть пара тем, где описаны все проблемы этой штуки в "стабильной" версии, можно сделать выводы о том, как жто работает. Ну и заявленный механизм fallback в правилах на второй интерфейс не работает вообще для доменных имен.
-
2
-
-
Для того, чтобы воспроизвести описываемое поведение необходимо задать профиль тестирования с такими параметрами:
Спойлерupdate-interval: 10
max-fails: 3
timeout: 5
mode: icmpinterface:
name: Wireguard0
successcount: 0
failcount: 0
status: failipcache:
host: 8.8.8.8addresses: 8.8.8.8
После ожидаемое поведение - увеличение счетчика succescount на 1 за каждый интервал update-interval
В реальности же при любом разрешенном update-interval счетчик будет увеличиваться на значение = 2
Спойлер~ # ndmc -c "show ping-check" | grep successcount; sleep 10; ndmc -c "show ping-check" | grep
successcount; sleep 10; ndmc -c "show ping-check" | grep successcount
successcount: 111
successcount: 113
successcount: 115
~ # ndmc -c "show ping-check" | grep successcount; sleep 10; ndmc -c "show ping-check" | grep
successcount; sleep 10; ndmc -c "show ping-check" | grep successcount
successcount: 133
successcount: 135
successcount: 137Почему проверки проходят дважды? Ожидаемо ли такое поведение?
-
25 минут назад, keenet07 сказал:
А нельзя ли добавить в таблицу в меню Активные соединения колонку в которой бы показывало шлюз, точку выхода в интернет для каждого соединения таблицы. Там где это возможно.
Т.е. открываешь там например Смартфон подключенный по WIFI и сразу видишь IP адреса, порты и куда его соединения выходят на основании настроенной маршрутизации. К примеру, видишь, что часть соединений выходит через WAN провайдера напрямую, другие через настроенный VPN и т.д. куда вообще возможно показать.
Было бы крайне удобно, наглядно проверять, да и вообще в целом видеть маршрутизацию исходящих соединений для каждого источника в Активных соединениях. Лучше ориентироваться в них.
Возможно что-то такое реализовать?
Возможно. Все данные для этого имеются. Но будет ли это реализовано
-
1. Настроить Proxy (socks5) на какой-нибудь ipv4 адрес
2. Импортировать Wireguard конфигурацию с ipv6 адресом и allowed-ips ::/03. Установить в обоих интерфейсах check-box "Использовать для выхода в интернет"
3. Включить Proxy интерфейс4. Включить WIreguard интерфейс.
5. Наблюдать как Proxy будет выключен и включен без действий пользователя.
Вопросы:
1. Для каких целей на t2sX интерфейсах задаются ipv6 scope global адреса? (ни на WAN интерфейсе нет ipv6, ни в Bridge0)2. UI роутера не предполагает каких-либо настроек ipv6 для Proxy интерфейсов, как предлагается влиять на эту настройку?
3. Check-box "включить ipv6" не проставлен для Bridge0, в настройках Интернет --> Кабель Ethernet стоит "Настройка IPv6" - "не используется".
При отсутствии ipv6 адреса в конфигурации Wireguard -- Proxy0 ведет себя адекватно и не реагирует на изменение состояния Wireguard интерфейса.
Мар 31 22:14:58ndmNetwork::Interface::Ip6: "Proxy0": unable to find address fc03:52b:6:a56:10c:14ac:8c0c:5102/128.Мар 31 22:14:58ndmNetwork::Interface::EndpointTracker: "Proxy0": remote endpoint is "192.168.1.150".Мар 31 22:14:58ndmNetwork::Interface::EndpointTracker: "Proxy0": connecting via "Home" (Bridge0).Мар 31 22:14:58ndmNetwork::Interface::EndpointTracker: "Proxy0": local endpoint is "192.168.1.1".Мар 31 22:15:00ndmNetwork::Interface::Base: "Proxy0": "ip" changed "ipv4" layer state "disabled" to "pending".Мар 31 22:15:00ndmNetwork::Interface::Ip: "Proxy0": IP address is 172.20.12.1/32.Мар 31 22:15:00ndmNetwork::Interface::Ip: "Proxy0": interface "Proxy0" is global, priority 4095.Мар 31 22:15:00ndmNetwork::Interface::Ip: "Proxy0": adding default route via Proxy0.Мар 31 22:15:00ndmNetwork::Interface::Base: "Proxy0": "ip6" changed "ipv6" layer state "disabled" to "pending".Мар 31 22:15:00ndmNetwork::Interface::Ip6: "Proxy0": interface "Proxy0" is global, priority 4095.Мар 31 22:15:00ndmNetwork::Interface::Ip6: "Proxy0": adding default route via Proxy0.-
1
-
-
8 часов назад, FLK сказал:
@Anna_ а можно ли рядом с трафиком добавить еще скорость Up/Down? Не думаю что в этом будут для Вас какие-то сложности
Весьма дельная идея!
Видеть всю информацию в одном месте-
1
-
-
36 минут назад, keenet07 сказал:
А где у вас столбец трафик? Что за устройство?
У меня устройства без регистрации. Бомжи они.
А для прописанных как у вас. с трафиком.
-
1
-
Автоматическое удаление смс в модемах.
в Развитие
Опубликовано