gaaronk

Посмотреть что бы в ndwrt.config для модели было CONFIG_PACKAGE_libunwind=y ?

Что бы из скажем гостевого сегмента не ходили на сервисы на самом кинетике по link-local в обход правил межсетевого экрана. Впрочем вопрос я решил.

Обновил дл 4.3.4 Удалил "Протокол IPv6" link-local адреса остались. Как их отключить? Вот эти inet6 addr: fe80::50ff:20ff:fe45:4967/64 Scope:Link

Wireguard же stateless протокол. Какой же у него reconnect то?

у меня на моем хостинге проблемы были с любым портом. только фрагментация пакетов с SNI помогла

Все стоит на кинетике. сам анблок запускается так youtubeUnblock --sni-domains=all --queue-num=567 Потом при старте системы insmod /lib/modules/$(uname -r)/iptable_raw.ko insmod /lib/modules/$(uname -r)/xt_connbytes.ko insmod /lib/modules/$(uname -r)/xt_NFQUEUE.ko iptables -t raw -A OUTPUT -d <IP сервера>/32 -p tcp -m tcp --dport 443 -m connbytes --connbytes 0:19 --connbytes-mode packets --connbytes-dir original -j NFQUEUE --queue-num 567 --queue-bypass порт 443 или нужный вам

Блочат TLS по сочетанию SNI/IP на ряд хостеров. Прогнав хендшейк openconnect через youtubeUnblock - заставил его работать

Никак это решено не будет. Официальный путь - заполнять скриптом из /opt/etc/ndm Но и это плохо работает. Когда iptables дергается часто. У меня с IPsec было что дергало 5-6 раз в секунду. И даже скрипты спотыкались. И да. Если вы заполнили свою цепочку один раз - рано или поздно кинетик ее убьет. Без вариантов. Я лично поэтому использую таблицу RAW

При этом оно работало. Дня 3-4 (или больше) назад отвалилось. И потом вот так. Может и в самом ZeroTier на контроллере что то правили.

Пока сохранил правильные identity в /opt/etc/ztrun/ И в скрипте /opt/etc/init.d/S01system делаю # fix zerotier cat /opt/etc/ztrun/identity.public > /var/run/ztrun-ZeroTier0/identity.public cat /opt/etc/ztrun/identity.secret > /var/run/ztrun-ZeroTier0/identity.secret if [ -f "/var/run/ztrun-ZeroTier0/zerotier-one.pid" ]; then kill -HUP $(cat /var/run/ztrun-ZeroTier0/zerotier-one.pid) fi

@Le ecureuil Что интересно на Keenetic Hopper (KN-3810) генерируются правильные identity А на Keenetic Duo (KN-2110) - кривые =( Везде где mipsel - хорошо А где mips - плохо

Обновился до 4.3b4 /var/run/ztrun-ZeroTier0# zerotier-idtool validate identity.public identity.public FAILED validation.

Сделал interface ZeroTier1 в /var/run/ztrun-ZeroTier1 появились identity.public, identity.secret # /opt/bin/zerotier-idtool validate identity.public identity.public FAILED validation. встроенный клиент говорит так /usr/bin/zerotier-idtool validate identity.public identity.public is a valid identity

Вот кстати интересно. То же самое. REQUESTING_CONFIGURATION Удалял переставлял - не помогает. Поставил из ентвари - зацепился в момент. Однако. Подсунул родному файлы от ентваревского authtoken.secret identity.public identity.secret Взлетел. Те же файлы от родного ентваревскому /opt/bin/zerotier-one: fatal error: invalid identity loaded from disk. Please remove identity.public and identity.secret from /opt/var/lib/zerotier-one and try again Однако. Делаем на родных файлах /opt/bin/zerotier-idtool validate identity.public identity.public FAILED validation. Берем identity.public с другого кинетика на котором ZT еще со времен 4.1 /opt/bin/zerotier-idtool validate test.public test.public is a valid identity Как сохранить identity.secret в настройках кинетика? Где он в системе храниться? Получается встроенный клиент что то криво генерирует?

Только что обновил Giga III 4.1.7 -> 4.2.6 Ребута два раза (по другим причинам) opkg dns-override components auto-update disable auto-update channel delta ! ! В web-ui в статусе Update channel system.components.sandboxes.delta.option-text

IPv6 совсем совсем не нужен, а компонент IPv6 в зависимостях у IPSec...

Keenetic DUO 4.3a4 Если на интерфейсе DSL с авторизацией по PPPoE в разделе IPv4 Settings - IPv4 Configuration перевести в Disabled, то эта настройка не сохраняется при перезагрузке маршрутизатора. После перезагрузки настройка переводится в режим DHCP После отключения через веб морду на Bridge5 адрес исчезает, на Dsl0 и Dsl0/Pvc0 - остается interface Dsl0 rename ISP dyndns nobind dsl ginp ip address dhcp ip dhcp client dns-routes ip name-servers operating-mode adsl-auto annex auto interface Dsl0/Pvc0 role inet dyndns nobind pvc 1 32 encapsulation aal5snap ! ip address dhcp ip dhcp client dns-routes ip no name-servers interface Bridge5 role inet for ISP dyndns nobind inherit ISP include Dsl0/Pvc0 mac access-list type none security-level public ip dhcp client hostname gw ip dhcp client dns-routes ip mtu 1500 ip no name-servers up После ребута interface Dsl0 ip address dhcp interface Dsl0/Pvc0 ip address dhcp interface Bridge5 ip address dhcp I [Oct 23 14:53:47] ndm: Dhcp::Client: started DHCP client on Dsl0. I [Oct 23 14:53:47] ndm: Dhcp::Client: Dsl0 DHCP client DNS host routes are enabled. I [Oct 23 14:53:48] ndm: Dhcp::Client: started DHCP client on Dsl0/Pvc0. I [Oct 23 14:53:48] ndm: Dhcp::Client: Dsl0/Pvc0 DHCP client DNS host routes are enabled. I [Oct 23 14:53:55] ndm: Dhcp::Client: started DHCP client on Bridge5. I [Oct 23 14:54:20] ndhcpc: Bridge5: NDM DHCP Client, v3.2.56. I [Oct 23 14:54:20] ndhcpc: Bridge5: created PID file "/var/run/ndhcpc-br5.pid". Если сохранить конфигурацию, вырезать из него все эти три ip address dhcp, залить в кинетик - DHCP тут как тут Более того. Если на DSL интерфейсе задать адрес статически, то после перезагрузки будет так interface Bridge5 role inet for Dsl0 dyndns nobind inherit Dsl0 include Dsl0/Pvc0 mac access-list type none security-level public ip address 192.0.2.254 255.255.255.252 ip address dhcp ip dhcp client dns-routes ip mtu 1500 ip no name-servers up ! А в web-UI

В конфете роутера намертво отключен IPv6 system set net.ipv6.conf.all.disable_ipv6 1 set net.ipv6.conf.all.forwarding 0 set net.ipv6.conf.default.disable_ipv6 1 В этом случае web UI не запускается, nginx не стартует I [Nov 8 09:25:48] ndm: Http::Manager: updated configuration. I [Nov 8 09:25:50] ndm: Core::Server: started Session /var/run/ndm.core.socket. I [Nov 8 09:25:50] ndm: Core::Session: client disconnected. I [Nov 8 09:25:49] router nginx: 2024/11/08 09:25:49 [emerg] 1785#0: bind() to [fd78:4712:5180:feed:feee:ed78:4712:5180]:8081 failed (126: Address not available) E [Nov 8 09:25:50] ndm: Service: "Nginx": unexpectedly stopped.

Поставить разные SSID для 2,4 и 5

Ну если параноите - сделайте интересы ZeroTier level public и пускайте внутри него wireguard

Так не работает. У кинетика вообще плохо с NAT'ом. Надо выключить nat на Home no ip nat Home и включить куда надо ip static Home <внешний интерфейс 1> ip static Home <внешний интерфейс 2>

А вы как я сделайте... system set net.ipv6.conf.all.forwarding 0 set net.ipv6.conf.all.disable_ipv6 1 set net.ipv6.conf.default.disable_ipv6 1 ... и нет никакого IPv6

Если к отдельному хосту в сегменте protected или ко всему сегменту целиком применить политику Без доступа в Интернет, то доступ блокируется к такому хосту из других protected интерфейсов (VPN туннелей). Например сегмент IoT переводим в Без интернет. И доступ в этот сегмент из доверенного Wireguard туннеля попадает. NAT везде выключен. В iptables это хорошо видно… Тем есть правила - из сегмента, в сегмент. Для IoT там будет DROP. А вот private туннельные интерфейсы в этой цепочке отсутствуют.

Скорее так. Вносим в конфиг. Сохраняемся. Ребутаем роутер. После загрузки бридж интерфейс уже есть. И запись в арп тоже есть. А процесс зеротир еще даже не запускался. Потом он стартует. И когда переходит в состояние up (сам зеротир) то арп запись из таблицы попадает.

Что еще заметил Команда ip arp на зеротире не работает правильно. При включении/ребуте статическая запись появляется, но потом видимо интерфейс меняет свой статус и все... все пропадает.