gaaronk

Никак это решено не будет. Официальный путь - заполнять скриптом из /opt/etc/ndm Но и это плохо работает. Когда iptables дергается часто. У меня с IPsec было что дергало 5-6 раз в секунду. И даже скрипты спотыкались. И да. Если вы заполнили свою цепочку один раз - рано или поздно кинетик ее убьет. Без вариантов. Я лично поэтому использую таблицу RAW

При этом оно работало. Дня 3-4 (или больше) назад отвалилось. И потом вот так. Может и в самом ZeroTier на контроллере что то правили.

Пока сохранил правильные identity в /opt/etc/ztrun/ И в скрипте /opt/etc/init.d/S01system делаю # fix zerotier cat /opt/etc/ztrun/identity.public > /var/run/ztrun-ZeroTier0/identity.public cat /opt/etc/ztrun/identity.secret > /var/run/ztrun-ZeroTier0/identity.secret if [ -f "/var/run/ztrun-ZeroTier0/zerotier-one.pid" ]; then kill -HUP $(cat /var/run/ztrun-ZeroTier0/zerotier-one.pid) fi

@Le ecureuil Что интересно на Keenetic Hopper (KN-3810) генерируются правильные identity А на Keenetic Duo (KN-2110) - кривые =( Везде где mipsel - хорошо А где mips - плохо

Обновился до 4.3b4 /var/run/ztrun-ZeroTier0# zerotier-idtool validate identity.public identity.public FAILED validation.

Сделал interface ZeroTier1 в /var/run/ztrun-ZeroTier1 появились identity.public, identity.secret # /opt/bin/zerotier-idtool validate identity.public identity.public FAILED validation. встроенный клиент говорит так /usr/bin/zerotier-idtool validate identity.public identity.public is a valid identity

Вот кстати интересно. То же самое. REQUESTING_CONFIGURATION Удалял переставлял - не помогает. Поставил из ентвари - зацепился в момент. Однако. Подсунул родному файлы от ентваревского authtoken.secret identity.public identity.secret Взлетел. Те же файлы от родного ентваревскому /opt/bin/zerotier-one: fatal error: invalid identity loaded from disk. Please remove identity.public and identity.secret from /opt/var/lib/zerotier-one and try again Однако. Делаем на родных файлах /opt/bin/zerotier-idtool validate identity.public identity.public FAILED validation. Берем identity.public с другого кинетика на котором ZT еще со времен 4.1 /opt/bin/zerotier-idtool validate test.public test.public is a valid identity Как сохранить identity.secret в настройках кинетика? Где он в системе храниться? Получается встроенный клиент что то криво генерирует?

Только что обновил Giga III 4.1.7 -> 4.2.6 Ребута два раза (по другим причинам) opkg dns-override components auto-update disable auto-update channel delta ! ! В web-ui в статусе Update channel system.components.sandboxes.delta.option-text

IPv6 совсем совсем не нужен, а компонент IPv6 в зависимостях у IPSec...

Keenetic DUO 4.3a4 Если на интерфейсе DSL с авторизацией по PPPoE в разделе IPv4 Settings - IPv4 Configuration перевести в Disabled, то эта настройка не сохраняется при перезагрузке маршрутизатора. После перезагрузки настройка переводится в режим DHCP После отключения через веб морду на Bridge5 адрес исчезает, на Dsl0 и Dsl0/Pvc0 - остается interface Dsl0 rename ISP dyndns nobind dsl ginp ip address dhcp ip dhcp client dns-routes ip name-servers operating-mode adsl-auto annex auto interface Dsl0/Pvc0 role inet dyndns nobind pvc 1 32 encapsulation aal5snap ! ip address dhcp ip dhcp client dns-routes ip no name-servers interface Bridge5 role inet for ISP dyndns nobind inherit ISP include Dsl0/Pvc0 mac access-list type none security-level public ip dhcp client hostname gw ip dhcp client dns-routes ip mtu 1500 ip no name-servers up После ребута interface Dsl0 ip address dhcp interface Dsl0/Pvc0 ip address dhcp interface Bridge5 ip address dhcp I [Oct 23 14:53:47] ndm: Dhcp::Client: started DHCP client on Dsl0. I [Oct 23 14:53:47] ndm: Dhcp::Client: Dsl0 DHCP client DNS host routes are enabled. I [Oct 23 14:53:48] ndm: Dhcp::Client: started DHCP client on Dsl0/Pvc0. I [Oct 23 14:53:48] ndm: Dhcp::Client: Dsl0/Pvc0 DHCP client DNS host routes are enabled. I [Oct 23 14:53:55] ndm: Dhcp::Client: started DHCP client on Bridge5. I [Oct 23 14:54:20] ndhcpc: Bridge5: NDM DHCP Client, v3.2.56. I [Oct 23 14:54:20] ndhcpc: Bridge5: created PID file "/var/run/ndhcpc-br5.pid". Если сохранить конфигурацию, вырезать из него все эти три ip address dhcp, залить в кинетик - DHCP тут как тут Более того. Если на DSL интерфейсе задать адрес статически, то после перезагрузки будет так interface Bridge5 role inet for Dsl0 dyndns nobind inherit Dsl0 include Dsl0/Pvc0 mac access-list type none security-level public ip address 192.0.2.254 255.255.255.252 ip address dhcp ip dhcp client dns-routes ip mtu 1500 ip no name-servers up ! А в web-UI

В конфете роутера намертво отключен IPv6 system set net.ipv6.conf.all.disable_ipv6 1 set net.ipv6.conf.all.forwarding 0 set net.ipv6.conf.default.disable_ipv6 1 В этом случае web UI не запускается, nginx не стартует I [Nov 8 09:25:48] ndm: Http::Manager: updated configuration. I [Nov 8 09:25:50] ndm: Core::Server: started Session /var/run/ndm.core.socket. I [Nov 8 09:25:50] ndm: Core::Session: client disconnected. I [Nov 8 09:25:49] router nginx: 2024/11/08 09:25:49 [emerg] 1785#0: bind() to [fd78:4712:5180:feed:feee:ed78:4712:5180]:8081 failed (126: Address not available) E [Nov 8 09:25:50] ndm: Service: "Nginx": unexpectedly stopped.

Поставить разные SSID для 2,4 и 5

Ну если параноите - сделайте интересы ZeroTier level public и пускайте внутри него wireguard

Так не работает. У кинетика вообще плохо с NAT'ом. Надо выключить nat на Home no ip nat Home и включить куда надо ip static Home <внешний интерфейс 1> ip static Home <внешний интерфейс 2>

А вы как я сделайте... system set net.ipv6.conf.all.forwarding 0 set net.ipv6.conf.all.disable_ipv6 1 set net.ipv6.conf.default.disable_ipv6 1 ... и нет никакого IPv6

Если к отдельному хосту в сегменте protected или ко всему сегменту целиком применить политику Без доступа в Интернет, то доступ блокируется к такому хосту из других protected интерфейсов (VPN туннелей). Например сегмент IoT переводим в Без интернет. И доступ в этот сегмент из доверенного Wireguard туннеля попадает. NAT везде выключен. В iptables это хорошо видно… Тем есть правила - из сегмента, в сегмент. Для IoT там будет DROP. А вот private туннельные интерфейсы в этой цепочке отсутствуют.

Скорее так. Вносим в конфиг. Сохраняемся. Ребутаем роутер. После загрузки бридж интерфейс уже есть. И запись в арп тоже есть. А процесс зеротир еще даже не запускался. Потом он стартует. И когда переходит в состояние up (сам зеротир) то арп запись из таблицы попадает.

Что еще заметил Команда ip arp на зеротире не работает правильно. При включении/ребуте статическая запись появляется, но потом видимо интерфейс меняет свой статус и все... все пропадает.

Добрый день! По быстрому проверил. Да, работает bind на интерфейс. Порт открывается. По сути слушается стандартный порт 41500. Так же ZT слушает дополнительный рандомный UDP порт, но это дело такое. Например # netstat -anp | i zero tcp 0 0 10.184.101.197:63916 0.0.0.0:* LISTEN 1116/zerotier-one tcp 0 0 10.184.101.197:41500 0.0.0.0:* LISTEN 1116/zerotier-one tcp 0 0 127.0.0.1:41500 0.0.0.0:* LISTEN 1116/zerotier-one tcp 0 0 ::1:41500 :::* LISTEN 1116/zerotier-one udp 0 0 10.184.101.197:63916 0.0.0.0:* 1116/zerotier-one udp 0 0 10.184.101.197:41500 0.0.0.0:* 1116/zerotier-one Если интерфейсу сделать down - из firewall порт не убирается. Но опять же это не no interface .... а просто down. Со сменой адреса на IP WAN интерфейсе отрабатывает корректно

я об этом

Пока зеротир использует все существующие в системе интерфейсы. Я писал об этом, обещали исправить.

Спасибо! Проверю и отпишусь.

@Le ecureuil И еще зеротир на старте слушает рандомный порт. Но этот порт не открывается на вход на WAN интерфейсах. И если другой узел стучится к нам напрямую - беда-печаль. Приходится задавать статичные secondaryPort и tertiaryPort и их прописывать в ACL руками на вход в WAN интерфейс...

Абсолютно не спасает interface ZeroTier0 security-level public ip dhcp client dns-routes ip access-group _WEBADMIN_ZeroTier0 in zerotier accept-addresses zerotier no accept-routes zerotier network-id ХХХХХХХХХХХ zerotier connect via PPPoE0 lldp disable up ! Слушает на всех IP на ВСЕХ интерфейсах посмотрел WG туннель через tcpdump -nvi nwg1 udp Зеротир туда гонит трафик.

@Le ecureuil не посмотрите?