Маршрут по-умолчанию на хост в Home в режиме "Роутер"

[KorDen]

Режимы работы а-ля ТД и прочие репитеры-клиенты урезают слишком много функционала, поэтому ТД работает в режиме роутер, но с отключенным ISP, DHCP и NAT. Однако в таком виде сам роутер не может связаться с интернетом для обновлений и прочего, а добавление настоящего шлюза ничего не дает, т.к. Home у нас не global. Как можно заставить сам роутер в режиме роутера ходить на шлюз в сети Home?

Это же касается и бриджевания EoIP в Home.

Edit: похоже, только обновление компонентов ругается на отсутствие интернета (Core::Ndss error[9240615]: [507] no internet connection), при этом время по NTP синхронизируется, пинг того же ndss проходит.

Изменено 20 октября, 2017 пользователем KorDen

[r13]

17 минут назад, KorDen сказал:

Режимы работы а-ля ТД и прочие репитеры-клиенты урезают слишком много функционала, поэтому ТД работает в режиме роутер, но с отключенным ISP, DHCP и NAT. Однако в таком виде сам роутер не может связаться с интернетом для обновлений и прочего, а добавление настоящего шлюза ничего не дает, т.к. Home у нас не global. Как можно заставить сам роутер в режиме роутера ходить на шлюз в сети Home?

Это же касается и бриджевания EoIP в Home.

Еще dns добавьте(там же где и default route, на вкладке прочее) и все будет обновляться.

Изменено 20 октября, 2017 пользователем r13

[KorDen]

25 минут назад, r13 сказал:

Еще dns добавьте и все будет обновляться.

А вот кстати интересно. DNS-то добавлен, и маршрут похоже таки работает:

(config)> tools ping ndss.11.zyxel.ndmsystems.com
sending ICMP ECHO request to ndss.11.zyxel.ndmsystems.com...
PING ndss.11.zyxel.ndmsystems.com (88.198.177.100) 56 (84) bytes of data.
84 bytes from ndss.11.zyxel.ndmsystems.com (88.198.177.100): icmp_req=1, ttl=50, time=54.86 ms.
84 bytes from ndss.11.zyxel.ndmsystems.com (88.198.177.100): icmp_req=2, ttl=50, time=54.25 ms.
--- ndss.11.zyxel.ndmsystems.com ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss,
0 duplicate(s), time 1654.51 ms.
Round-trip min/avg/max = 54.25/54.55/54.86 ms.
(config)> components preview

          preview:

Core::Ndss error[9240615]: [507] no internet connection.

И я ведь совсем забыл - время-то устанавливается по NTP.. Т.е. походу это чисто бага апдейтера...

Изменено 20 октября, 2017 пользователем KorDen

[dexter]

У самого так ТД настроена. Всё обновляется. Если нужно могу скинуть конфиг.

[vasek00]

12 часа назад, KorDen сказал:

А вот кстати интересно. DNS-то добавлен, и маршрут похоже таки работает:

И я ведь совсем забыл - время-то устанавливается по NTP.. Т.е. походу это чисто бага апдейтера...

Про такое поведение уже несколько раз писал на данном форуме и обращал внимание разработчиков, так же и про NTP (заменено на IP) при схеме - TД ExtII в полной комплектации без урезания

ExtII(LAN)-----(LAN)KII(WAN)---Инет

решается маршрутом и DNS адресами

 

Так же опять же повторюсь - все локальные процессы (например на KII) игнорируют любую настройку работы DNS роутера (например при opkg dns-override) запрос уйдет на прямую на порт DNS:53 так как заложено в прошивке - на провайдера, так как многие сервисы реализованы в одном командном файле, все же внешние из локальной сети как и положено в данной настройке будут отловлены на внутренний порт UDP:53 и про контролированы. Было обнаружено при настройки dnsmasq в данной схеме на KII

При загрузке роутера KII и dns-override

Oct 17 13:55:57ndm Network::Interface::Ppp: "PPPoE0": adding default route via PPPoE0.
Oct 17 13:55:57ndm Network::Interface::Ppp: "PPPoE0": adding nameserver DNS_RT1.
Oct 17 13:55:57ndm Dns::Manager: name server DNS_RT1 is disregarded while Opkg is active.
Oct 17 13:55:57ndm Network::Interface::Ppp: "PPPoE0": adding nameserver DNS_RT.
Oct 17 13:55:57ndm Dns::Manager: name server DNS_RT is disregarded while Opkg is active.
Oct 17 13:55:57ndm Network::InternetChecker: Internet access is appeared.
...
Oct 17 13:55:58ndm Dns::Manager: RPC-only mode enabled.
...
Oct 21 09:46:15dnsmasq[764] started, version 2.78 cachesize 1500
Oct 21 09:46:15dnsmasq[764] compile time options: IPv6 GNU-getopt no-RTC no-DBus no-i18n no-IDN DHCP DHCPv6 no-Lua TFTP 
conntrack ipset auth no-DNSSEC no-ID loop-detect inotify
Oct 21 09:46:15dnsmasq[764] using nameserver 127.0.0.2#65153
Oct 21 09:46:15dnsmasq[764] using nameserver 127.0.0.2#65053
Oct 21 09:46:15dnsmasq[764] read /opt/etc/hosts - 3 addresses
Oct 21 09:46:15dnsmasq[764] read /opt/tmp/malware_adblock.txt - 1153 addresses
Oct 21 09:46:17dnsmasq[764] read /opt/tmp/hosts0.txt - 57542 addresses

Локальный запрос с роутера KII по преобразовании имен rbc, по идеи вообще не должно быть ни каких запросов на 53 порт провайдера
/proc/820/net # ping rbc.ru
PING rbc.ru (80.68.253.9): 56 data bytes
64 bytes from 80.68.253.9: seq=0 ttl=60 time=15.715 ms
64 bytes from 80.68.253.9: seq=1 ttl=60 time=15.682 ms
64 bytes from 80.68.253.9: seq=2 ttl=60 time=15.670 ms
^C
--- rbc.ru ping statistics ---
3 packets transmitted, 3 packets received, 0% packet loss
round-trip min/avg/max = 15.670/15.689/15.715 ms
/proc/820/net # cat ip_conntrack | grep 84.53
udp      17 169 src=IP_RT dst=DNS_RT sport=51695 dport=53 packets=2 bytes=104 src=DNS_RT dst=IP_RT sport=53 dport=51695 
packets=2 bytes=247 [ASSURED] mark=0 use=2
udp      17 177 src=IP_RT dst=DNS_RT sport=45160 dport=53 packets=21 bytes=1158 src=DNS_RT dst=IP_RT sport=53 dport=45160 
packets=21 bytes=4408 [ASSURED] mark=0 use=2
udp      17 63 src=IP_RT dst=DNS_RT sport=47271 dport=53 packets=2 bytes=102 src=DNS_RT dst=IP_RT sport=53 dport=47271 
packets=2 bytes=408 [ASSURED] mark=0 use=2
udp      17 7 src=IP_RT dst=DNS_RT sport=55154 dport=53 packets=3 bytes=180 src=DNS_RT dst=IP_RT sport=53 dport=55154 
packets=3 bytes=667 [ASSURED] mark=0 use=2
/proc/820/net # 

так же любая работа локальных сервисов например Cloud Agent и других будет использовать адресацию 53 порта провайдера, в место настроенного dnsmasq в данном случае.

т.е. из всего сказанного

локальный сервис сразу -> UDP запрос на IP_DNS_провайдера:53

другие сервисы -> локальный порт UDP:53 -> dnsmasq UDP:53 --->

Изменено 21 октября, 2017 пользователем vasek00

[KorDen]

Похоже, разобрался. Если при создании дефолтного маршрута не указывать интерфейс (т.е. оставить "любой"), то оно как бы добавляет 0.0.0.0/0 via 192.168.0.1, и в таблице маршрутов корректно отображает что маршрут через Home, но при этом обновления не работают:

[I] Jan  1 03:02:01 ndm: Dns::Manager: name server 192.168.0.1 added, domain (default).
[I] Jan  1 03:02:01 ndm: Core::ConfigurationSaver: saving configuration...
[I] Jan  1 03:02:05 ndm: Core::ConfigurationSaver: configuration saved.
[I] Jan  1 03:02:06 ndm: Network::RoutingTable: added static route: 0.0.0.0/0 via 192.168.0.1.
[I] Jan  1 03:02:06 ndm: Core::ConfigurationSaver: saving configuration...
[E] Jan  1 03:02:08 ndm: Core::Ndss: [406] no internet connection.
[E] Jan  1 03:02:24 ndm: Core::Ndss: [524] no internet connection.
[I] Oct 21 11:28:52 ndm: Core::System::Clock: system time has been changed.
[I] Oct 21 11:28:52 ndm: Ntp::Client: time synchronized with "3.pool.ntp.org".
[E] Oct 21 11:28:53 ndm: Core::Ndss: [545] no internet connection.

А вот если указывать интерфейс Home - тогда обновления работают. Причем похоже если туда-сюда переключать без ребута, то начинаются странности, я тогда вначале добавил через "любой", а затем изменил на "Home", но оно все равно ругалось. А сейчас вроде воспроизвести не получилось, все работает.

[KorDen]

1 час назад, vasek00 сказал:

Так же опять же повторюсь - все локальные процессы (например на KII) игнорируют любую настройку работы DNS роутера (например при opkg dns-override) запрос уйдет на прямую на порт DNS:53 так как заложено в прошивке - на провайдера, так как многие сервисы реализованы в одном командном файле, все же внешние из локальной сети как и положено в данной настройке будут отловлены на внутренний порт UDP:53 и про контролированы. Было обнаружено при настройки dnsmasq в данной схеме на KII

Локальные сервисы ходят через прошивочный сервер (он ведь остается в rpc-режиме). Если в DNS-серверах роутера прописать локальный IP самого же роутера и запретить получение DNS от провайдера (ip dhcp client no name-servers), или вручную их прописать только для резолвинга имен сервера подключения например, с указанием домена - роутуер будет ходить на локальный сервер:

(config)> show ip name-server

           server:
              address: 192.168.0.1
               domain:
               global: 0

(config)> tools ping www.google-analytics.com
sending ICMP ECHO request to www.google-analytics.com...
PING www.google-analytics.com (0.0.0.0) 56 (84) bytes of data.
84 bytes from www.google-analytics.com (127.0.0.1): icmp_req=1, ttl=64, time=0.41 ms.
--- www.google-analytics.com ping statistics ---
1 packets transmitted, 1 packets received, 0% packet loss,
0 duplicate(s), time 600.33 ms.
Round-trip min/avg/max = 0.41/0.41/0.41 ms.

 

[vasek00]

1 час назад, KorDen сказал:

Локальные сервисы ходят через прошивочный сервер (он ведь остается в rpc-режиме). Если в DNS-серверах роутера прописать локальный IP самого же роутера и запретить получение DNS от провайдера (ip dhcp client no name-servers), или вручную их прописать только для резолвинга имен сервера подключения например, с указанием домена - роутуер будет ходить на локальный сервер:

CПС за наводку, и что не мало важно - изредка читать нужно доки, но пока убрать DNS адреса провайдера ни как из списка

interface PPPoE0
...
    ip dhcp client no name-servers
...

ip name-server 192.168.1.100 ""

--------------------
show ip name-server

           server: 
              address: 192.168.1.100
               domain: 
               global: 0

           server: 
              address: хх.хх.хх.х1
               domain: 
               global: 1000

           server: 
              address: хх.хх.хх.х2
               domain: 
               global: 1000

в ручную без проблем чистится

(config)> no ip name-server хх.хх.хх.х1
Dns::Manager: Name server хх.хх.хх.х1, domain (default) deleted.
(config)> no ip name-server хх.хх.хх.х2
Dns::Manager: Name server хх.хх.хх.х2, domain (default) deleted.
(config)> 

и естественно ndnproxymain.conf правится, как нужно оставив только одну запись

dns_server = 192.168.1.100 .

но до первого же еперзапуска, после чего опять все появляется.

 

Изменено 21 октября, 2017 пользователем vasek00

[vasek00]

Вопрос к разработчикам в данном случае релиз 211A402.

1. при настройки канала PPPoE а точнее использования строки в конфиг файле

interface PPPoE0
...
    ip dhcp client no name-servers
...

ip name-server 192.168.1.100 ""

не работает, т.е. в WEB получаем "#dashboard.status" раздел DNS "Серверы DNS" список по порядку

192.168.1.100
DNS_провайдера_1
DNS_провайдера_2

2. в ручную команды ниже работают и список меняется

no ip name-server DNS_провайдера_1

3. Анализ выполнения действий на страницы "#broadband.ppp/iface=PPPoE0&ref=broadband.globals" и содержимое "options-PPPoE0" говорит о наличие переменной

usepeerdns

т.е. любое действие на странице WEB (с наличием строк в конфиге "ip dhcp client no name-servers") не приводит к удалению данной переменной "usepeerdns" и как следствие получаем список DSN серверов в "resolv.conf"

4. Без данной переменной "usepeerdns" и при конфиге который выше со строкой "ip name-server 192.168.1.100 " все встает на места, т.е. в WEB остается одна запись, как и в "resolv.conf" - 192.168.1.100

5. В то же время при наборе на роутере

/ # ping rbc.ru
PING rbc.ru (80.68.253.9): 56 data bytes
64 bytes from 80.68.253.9: seq=0 ttl=60 time=15.815 ms
^C
--- rbc.ru ping statistics ---
2 packets transmitted, 1 packets received, 50% packet loss
round-trip min/avg/max = 15.815/15.815/15.815 ms
/ # ping ndss.11.zyxel.ndmsystems.com
PING ndss.11.zyxel.ndmsystems.com (91.218.112.167): 56 data bytes
64 bytes from 91.218.112.167: seq=0 ttl=59 time=15.652 ms
^C
--- ndss.11.zyxel.ndmsystems.com ping statistics ---
1 packets transmitted, 1 packets received, 0% packet loss
round-trip min/avg/max = 15.652/15.652/15.652 ms
/ # 

(config)> show ip name-server

           server: 
              address: 192.168.1.100
               domain: 
               global: 0

(config)> 

Так и должно быть?

[Le ecureuil]

7 часов назад, vasek00 сказал:

Вопрос к разработчикам в данном случае релиз 211A402.

1. при настройки канала PPPoE а точнее использования строки в конфиг файле

interface PPPoE0
...
    ip dhcp client no name-servers
...

ip name-server 192.168.1.100 ""

 

Нужно использовать

> ipcp no name-servers

а не 

> ip dhcp client no name-servers

[vasek00]

15 часов назад, Le ecureuil сказал:

Нужно использовать

> ipcp no name-servers

а не 

> ip dhcp client no name-servers

п.23.47 документации

Цитата

3.23.47 interface ip dhcp client name-servers
Описание Использовать адреса серверов DNS полученные по DHCP. По умолчанию
эта функция включена.
Команда с префиксом no запрещает использовать адреса DNS-серверов
полученные по DHCP.

Данной команды "ipcp no name-servers" пока в доках нет, но она действительно есть в конфиге "ipcp name-servers".

Тогда что делать со второй которая присутствует в конфиге при создании данного подключения "ip dhcp client name-servers"  - можно удалять?

Изменено 23 октября, 2017 пользователем vasek00

[Le ecureuil]

3 часа назад, vasek00 сказал:

п.23.47 документации

Данной команды "ipcp no name-servers" пока в доках нет, но она действительно есть в конфиге "ipcp name-servers".

Тогда что делать со второй которая присутствует в конфиге при создании данного подключения "ip dhcp client name-servers"  - можно удалять?

Да, можно удалять.

DHCP работает только для Ethernet-like интерфейсов, для получения параметров через PPP-соединения используется протокол IPCP, собственно все настройки для PPP-соединений нужно делать там.

[qmxocynjca]

Подскажите, можно ли сейчас отключить провайдерские DNS и научить прошивку ходить исключительно в локальный DNS сервер типа dnsmasq? Прописано opkg dns-override, dnsmasq поднят и работает на 53 порту, в интерфейсы провайдеров прописываю ip dhcp client no name-servers, в "Прочих" прописываю DNS 192.168.1.1, перезагружаю роутер, получаю:

[E] Nov 24 21:29:14 ndnproxy: Proxy loop detected: 192.168.1.1 <-> 192.168.1.1, request dropped.
[E] Nov 24 21:29:14 ndnproxy: DNS server 192.168.1.1 inactivated.

При этом не работает проверка обновлений внутри роутера, на соединениях пишет "Нет доступа к Интернету", не работает Ping checker, роутер переходит с основного на резервный коннект, потом связь отваливается совсем. Если Ping checker отключить, то связь вроде держится, но апдейты прошивки не проверяются и на коннектах пишет "Нет доступа к Интернету".

[Le ecureuil]

В 11/24/2017 в 20:23, dippnsk сказал:

Подскажите, можно ли сейчас отключить провайдерские DNS и научить прошивку ходить исключительно в локальный DNS сервер типа dnsmasq? Прописано opkg dns-override, dnsmasq поднят и работает на 53 порту, в интерфейсы провайдеров прописываю ip dhcp client no name-servers, в "Прочих" прописываю DNS 192.168.1.1, перезагружаю роутер, получаю:

[E] Nov 24 21:29:14 ndnproxy: Proxy loop detected: 192.168.1.1 <-> 192.168.1.1, request dropped.
[E] Nov 24 21:29:14 ndnproxy: DNS server 192.168.1.1 inactivated.

При этом не работает проверка обновлений внутри роутера, на соединениях пишет "Нет доступа к Интернету", не работает Ping checker, роутер переходит с основного на резервный коннект, потом связь отваливается совсем. Если Ping checker отключить, то связь вроде держится, но апдейты прошивки не проверяются и на коннектах пишет "Нет доступа к Интернету".

В прочих прописывайте 127.0.0.1, там же и dnsmasq повесьте.

[vasek00]

В 24.11.2017 в 20:23, dippnsk сказал:

Подскажите, можно ли сейчас отключить провайдерские DNS и научить прошивку ходить исключительно в локальный DNS сервер типа dnsmasq? Прописано opkg dns-override, dnsmasq поднят и работает на 53 порту, в интерфейсы провайдеров прописываю ip dhcp client no name-servers, в "Прочих" прописываю DNS 192.168.1.1, перезагружаю роутер, получаю:

[E] Nov 24 21:29:14 ndnproxy: Proxy loop detected: 192.168.1.1 <-> 192.168.1.1, request dropped.
[E] Nov 24 21:29:14 ndnproxy: DNS server 192.168.1.1 inactivated.

При этом не работает проверка обновлений внутри роутера, на соединениях пишет "Нет доступа к Интернету", не работает Ping checker, роутер переходит с основного на резервный коннект, потом связь отваливается совсем. Если Ping checker отключить, то связь вроде держится, но апдейты прошивки не проверяются и на коннектах пишет "Нет доступа к Интернету".

Попробуйте оставить все как есть (или кон ниже), а именно тот DNS который от провайдера :

1. у вас все клиенты работают через dnsmasq и DNS для клиентов является IP роутер, в конф dnsmasq есть строчки

no-resolv
interface=br0
bind-interfaces
listen-address=192.168.1.1
server=имя_DNS1
server=имя_DNS2


except-interface=lo
cache-size=1500
all-servers

данные три строчки на любителя, в интернете есть их описание

т.е. запросы от клиентов попадут на dnsmasq который контролирует 53 порт и далее по строчкам server передаст запрос

2. локальные же сервисы будут слать запросы DNS на IP полученные от провайдера, например обновление будет работать, Ping checker не проверял.

Изменено 30 ноября, 2017 пользователем vasek00

[qmxocynjca]

В 30.11.2017 в 15:29, Le ecureuil сказал:

В прочих прописывайте 127.0.0.1, там же и dnsmasq повесьте.

Я пробовал такой вариант. Через веб-интерфейс не работает, через telnet аналогично. Пробовал на другой адрес типа 127.0.0.2 или 127.255.255.1, тоже не работает.

В веб-интерфейсе пишет:

invalid IP address: 127.0.0.1. 22544386

Настройки сохранены

В telnet:

(config)> ip name-server 127.0.0.1
Dns::Manager error[22544386]: address: invalid IP address: 127.0.0.1

Я даже заморачивался перенаправлением всех портов с 192.168.255.255/32 на 192.168.1.1, добавлял DNS сервер 192.168.255.255, но внутри роутера, похоже, это перенаправление не работает как надо при хождении в DNS. Результат - тоже не взлетело  

Есть ещё варианты? Или может подложите соломку где-нибудь при активном opkg dns-override?

@vasek00, спасибо за подсказки, но у меня dnsmasq уже успешно работает на всю внутреннюю сеть. Я лишь пытаюсь перенаправить все запросы внутри роутера на этот работающий dnsmasq, чтобы провайдер вообще не видел мои DNS запросы (dnsmasq запущен в связке с dnscrypt).

Изменено 1 декабря, 2017 пользователем dippnsk

[vasek00]

14 часа назад, dippnsk сказал:

но у меня dnsmasq уже успешно работает на всю внутреннюю сеть. Я лишь пытаюсь перенаправить все запросы внутри роутера на этот работающий dnsmasq, чтобы провайдер вообще не видел мои DNS запросы (dnsmasq запущен в связке с dnscrypt).

Скажу вам по секрету локальные сервисы - сервисы которые запущены на роутере и что-то там такого ценного для провайдера даже не знаю, летает только напрямую например запрос на google минуя dnsmasq потому что данный (или другие встроенные в прошивку) идут на прямую

2837	104.795450	IP_инет	IP_DNS1	DNS	82	Standard query 0x53db A google.com
2838	104.799425	IP_DNS1	IP_инет	DNS	314	Standard query response 0x53db A google.com A 64.233.162.113 A 64.233.162.100 A 64.233.162.138 A 

2944	108.128239	IP_инет	IP_DNS1	DNS	82	Standard query 0xb79a A google.com
2945	108.132201	IP_DNS1	IP_инет	DNS	DNS	314	Standard query response 0xb79a A google.com A 64.233.162.113 A 64.233.162.100 A 

C периодом около 4сек. при resolv.conf на роутере от провайдера
nameserver IP_DNS1
nameserver IP_DNS2

Ну например для того чтоб определить работоспособность или доступность канала интернет, про обновление речи нет. Pingcheck отключен.

Так же DNSmasq запущен в связке c dnscrypt при

/ # netstat -ntupl | grep dnsmasq
tcp        0      0 192.168.1.100:53      0.0.0.0:*              		LISTEN      771/dnsmasq
tcp        0      0 хххх::хххх:хххх:хххх:хххх:53 :::*                   LISTEN      771/dnsmasq
udp        0      0 192.168.1.100:53      0.0.0.0:*                                 771/dnsmasq
udp        0      0 хххх::хххх:хххх:хххх:хххх:53 :::*                               771/dnsmasq
/ # 

/ # netstat -ntupl | grep dnscrypt
tcp        0      0 127.0.0.2:65153         0.0.0.0:*               LISTEN      781/dnscrypt-proxy
tcp        0      0 127.0.0.2:65053         0.0.0.0:*               LISTEN      780/dnscrypt-proxy
udp        0      0 127.0.0.2:65053         0.0.0.0:*                           780/dnscrypt-proxy
udp        0      0 0.0.0.0:ххххх           0.0.0.0:*                           781/dnscrypt-proxy
udp        0      0 127.0.0.2:65153         0.0.0.0:*                           781/dnscrypt-proxy
udp        0      0 0.0.0.0:ххххх           0.0.0.0:*                           780/dnscrypt-proxy
/ # 

 

Изменено 2 декабря, 2017 пользователем vasek00