gaaronk

Что бы из скажем гостевого сегмента не ходили на сервисы на самом кинетике по link-local в обход правил межсетевого экрана. Впрочем вопрос я решил.

Обновил дл 4.3.4 Удалил "Протокол IPv6" link-local адреса остались. Как их отключить? Вот эти inet6 addr: fe80::50ff:20ff:fe45:4967/64 Scope:Link

Wireguard же stateless протокол. Какой же у него reconnect то?

у меня на моем хостинге проблемы были с любым портом. только фрагментация пакетов с SNI помогла

Все стоит на кинетике. сам анблок запускается так youtubeUnblock --sni-domains=all --queue-num=567 Потом при старте системы insmod /lib/modules/$(uname -r)/iptable_raw.ko insmod /lib/modules/$(uname -r)/xt_connbytes.ko insmod /lib/modules/$(uname -r)/xt_NFQUEUE.ko iptables -t raw -A OUTPUT -d <IP сервера>/32 -p tcp -m tcp --dport 443 -m connbytes --connbytes 0:19 --connbytes-mode packets --connbytes-dir original -j NFQUEUE --queue-num 567 --queue-bypass порт 443 или нужный вам

Блочат TLS по сочетанию SNI/IP на ряд хостеров. Прогнав хендшейк openconnect через youtubeUnblock - заставил его работать

Никак это решено не будет. Официальный путь - заполнять скриптом из /opt/etc/ndm Но и это плохо работает. Когда iptables дергается часто. У меня с IPsec было что дергало 5-6 раз в секунду. И даже скрипты спотыкались. И да. Если вы заполнили свою цепочку один раз - рано или поздно кинетик ее убьет. Без вариантов. Я лично поэтому использую таблицу RAW

При этом оно работало. Дня 3-4 (или больше) назад отвалилось. И потом вот так. Может и в самом ZeroTier на контроллере что то правили.

Пока сохранил правильные identity в /opt/etc/ztrun/ И в скрипте /opt/etc/init.d/S01system делаю # fix zerotier cat /opt/etc/ztrun/identity.public > /var/run/ztrun-ZeroTier0/identity.public cat /opt/etc/ztrun/identity.secret > /var/run/ztrun-ZeroTier0/identity.secret if [ -f "/var/run/ztrun-ZeroTier0/zerotier-one.pid" ]; then kill -HUP $(cat /var/run/ztrun-ZeroTier0/zerotier-one.pid) fi

@Le ecureuil Что интересно на Keenetic Hopper (KN-3810) генерируются правильные identity А на Keenetic Duo (KN-2110) - кривые =( Везде где mipsel - хорошо А где mips - плохо

Обновился до 4.3b4 /var/run/ztrun-ZeroTier0# zerotier-idtool validate identity.public identity.public FAILED validation.

Сделал interface ZeroTier1 в /var/run/ztrun-ZeroTier1 появились identity.public, identity.secret # /opt/bin/zerotier-idtool validate identity.public identity.public FAILED validation. встроенный клиент говорит так /usr/bin/zerotier-idtool validate identity.public identity.public is a valid identity

Вот кстати интересно. То же самое. REQUESTING_CONFIGURATION Удалял переставлял - не помогает. Поставил из ентвари - зацепился в момент. Однако. Подсунул родному файлы от ентваревского authtoken.secret identity.public identity.secret Взлетел. Те же файлы от родного ентваревскому /opt/bin/zerotier-one: fatal error: invalid identity loaded from disk. Please remove identity.public and identity.secret from /opt/var/lib/zerotier-one and try again Однако. Делаем на родных файлах /opt/bin/zerotier-idtool validate identity.public identity.public FAILED validation. Берем identity.public с другого кинетика на котором ZT еще со времен 4.1 /opt/bin/zerotier-idtool validate test.public test.public is a valid identity Как сохранить identity.secret в настройках кинетика? Где он в системе храниться? Получается встроенный клиент что то криво генерирует?

Только что обновил Giga III 4.1.7 -> 4.2.6 Ребута два раза (по другим причинам) opkg dns-override components auto-update disable auto-update channel delta ! ! В web-ui в статусе Update channel system.components.sandboxes.delta.option-text

IPv6 совсем совсем не нужен, а компонент IPv6 в зависимостях у IPSec...