26 Odpowiedź przez damrom

(17 odpowiedzi, napisanych Inne)

Jeżeli chodzi o skrętkę do wykorzystania do czujników temperatury, to zalecam ostrożność.
Do standardowych rezystancyjnych czujników temperatury raczej stosowane są przewody w ekranie, by jak najbardziej wyeliminować wpływ zakłóceń. U siebie do czujników temp mam osobne kable sterownicze w ekranie i łączone po 2 na 1 stronę czujnika (do 1 czujnika temp wykorzystane są 4 żyły z przewodu).

Nie znam Grenton, systemów różnych producentów trochę jest. Kolega ma rozwiązanie polskiej firmy Nexwell. To też gotowe "klocki" dość łatwo programowalne, oparte na połączeniach przewodowych.
Ja mam u siebie znów system oparty na przemysłowym PLC Delta Eletronics (sterownik DVP), ale to już trochę inne rozwiązanie od powyższych, wymagające programowania PLC.

Generalnie zalecam Ci jak najwięcej kabli, to Cię nigdy nie zawiedzie. Czego nie można powiedzieć o systemach bezprzewodowych (automatyka, czy SSWiN/alarm). Radio zawsze może coś zakłócić. A urządzeń bezprzewodowych z własnymi sieciami wifi, BT jest coraz więcej.

U siebie mam tak:
1. 2 x kabel LAN cat 6 do każdego pokoju w pobliże telewizora (do tego zazwyczaj jest tuner ze złączem LAN)
2. 1 x kabel LAN cat 6 do AP w miejscach sprawdzonych czy pokryje cały dom (mam 2, bo teraz rzadko się udaje jednym AP pokryć cały dom)
3. 1x kabel LAN cat 6 na zewnątrz budynku na 4 rogi pod kamery (tu można dać 2x, bo jedna kamera nigdy nie obejmie 270 stopni - ja tego niestety nie zrobiłem) + 1 LAN do kamery na wejście
4. 1x lan cat 6 + sterowniczy 10x0,5 do bramy (do wideodomofonu i sterowania elektrozaczepem i siłownikami bramy)
5. kable lan schodzą się do switcha (u mnie akurat w piwnicy)
6. 2 x kabel koncentryczny SAT do każdego pokoju do TV w miejscu gniazd LAN
7. kable SAT schodzą się na poddaszu do multiswitcha SAT/DVB-T, co powoduje, że nie muszę się martwić w którym kablu SAT co mam (w każdym kablu w pokojach są wszystkie sygnały z instalacji antenowej SAT/DVB-T/Radio)
8. kabel sterowniczy (prosty) ekranowany 6x0,5 do każdego pomieszczenia do czujnika temperatury
9. kabel sterowniczy (prosty) (może być tez skrętka) do włączników światła
10. kabel sterowniczy (prosty) do ewentualnych kontaktronów okiennych i drzwiowych
11.  kabel sterowniczy (prosty) do przełączników rolet zewnętrznych
12.  kabel sterowniczy (prosty) do bramy garażowej (otwieranie/zamykanie + kontaktron dający sygnał czy jest zamknięta, czy otwarta)
13. 1x  kabel sterowniczy (prosty) 6x0,5 do czujek alarmowych PIR
14. 1x  kabel sterowniczy (prosty) 8x0,5 do manipulatorów alarmu
15. 1x  kabel sterowniczy (prosty) 8x0,5 do sygnalizatorów/system alarmu (na zewnątrz i wewnątrz)
16. 1x kabel sterowniczy (prosty) do czujki zalania (piwnica).
17. dodatkowy "pionowy" kanał kablowy (Arot fi 50 mm) do przeprowadzenia nieprzewidzianych przewodów z poddasza do piwnicy (już tam kilka przewodów wprowadziłem), przechodzi on również przez szafę elektryczną (PLC, alarm, zasilanie)

Ponadto:
- Jeżeli planujesz fotowoltaikę to też przemyśl, gdzie będzie ewentualny falownik i którędy będzie instalacja szła na dach (ewentualnie na teren działki) - kable prądowe i internet do falownika.
- Jeżeli planujesz klimatyzację, to kable na zewnątrz do zasilania jednostki zewnętrznej + do jednostek wewnętrznych (dodatkowo kanalizacja do skroplin).
- Jeżeli ma być zasilanie awaryjne UPS to dodatkowe przewody, do połączenia jak pisali koledzy powyżej.

Kilka kilometrów tych kabli może być, ale wolę to mieć niż się później ratować połączeniami bezprzewodowymi.

P.S. I oczywiście przewody LAN cat. 6 (mam bez ekranu) prowadzone osobno w odległości min. 20 cm od sieci 230V (jeżeli idą równolegle), prostopadle mogą się już przecinać. To powinno wyeliminować wpływ zakłóceń sieci 230V na przesył danych, co przy coraz wyższych prędkościach przesyłu będzie miało duże znaczenie (sieci LAN 2,5Gb/s, 10Gb/s).

Idź do forum: Inne

27 Odpowiedź przez damrom

(11 odpowiedzi, napisanych Sprzęt / Hardware)

adax napisał/a:

Dzięki Cezary. O mesh zapytałem tylko z czystej z ciekawości, bo dopiero odkryłem ten temat. Będę na ArcherC7 z Gargoyle.

Ja też nie wiem dlaczego ludziska u mnie wybierają strych, bo zdążyłem dziś zrobić testy na 2.4GHz i mam miejsce na parterze pod sufitem koło schodów na piętro, gdzie dość dobrze sygnał pokrył i parter i pięterko. Natomiast ze strychu to poddasze było OK, ale parter tylko  w zakresie otworu schodowego, a w końcu najbardziej mi zależy na WiFi w salonie i kuchni.

Nie wiem jeszcze jak zrobię przejście światłowodu z ziemi do punktu centralnego przy schodach -jak to ukryć?

Oczywiście AP dla ogrodu prawdopodobnie będzie dołączany. Czy AP dla WiFi może być na każdym NEXX z Gargoyle, czy  jakimś konkretnym?

1. Oddziel sprawę montażu routera/modemu GPON dostawcy od Twoich sprzętów.
Jeżeli wchodzisz do domu światłem ziemią to daj go w piwnicy (jeżeli nie masz to schowaj gdzieś na parterze w niewidocznym miejscu, np. kotłownia), jeżeli natomiast wchodzisz napowietrznie to zostaw go na strychu. To nie jest istotne, bo on będzie ustawiony w bridge z wyłączonym wifi (będzie pełnił tylko rolę mediakonwertera sygnału FTTH na kabel miedziany LAN). Nie ma to najmniejszego znaczenia, bo od niego będziesz szedł skrętką do swojego routera. Nie ciągnij światłowodu do schodów, bo będziesz miał jeszcze mniej estetycznie. Będziesz miał wtedy tam 2 urządzenia (1 od dostawcy, 2 Twój router). Poza tym na światłowód (patchcord) musisz bardziej uważać przy przeciąganiu.

2. Musisz porobić testy gdzie najlepiej sygnał pokrywa Ci powierzchnię domu i skorelować to z możliwością podciągnięcia skrętki. Kabel możesz schować w kanałach wentylacyjnych, przepustach (jeżeli masz), wkuć w tynk (pracochłonne, ale najbardziej estetyczne) lub schować w korytkach i listwach przypodłogowych itp.

3. Jeżeli chcesz mieć najlepszy sygnał, to nie idź na siłę w wykorzystanie tylko jednego routera, czasami 2 w różnych punktach domu są jednym rozwiązaniem. Np. po jednym na piętro.

4. Połączenia pomiędzy modem dostawcy, swoim routerem głównym, oraz ewentualnym dodatkowym AP dla wifi zrób kablem. Unikniesz problemów z "kompatybilnością" standardów wifi, mesh. Będziesz miał stabilność i nieporównywalnie większą prędkość komunikacji pomiędzy routerami/AP.

5. Jeżeli chcesz/planujesz mieć duże prędkości internetu i dużo różnych usług, to rozważ, od razu, czy Twój router to uciągnie, bo często kończy się to na stawianiu głównego routera na miniPC. A to może zmienić rozkład urządzeń w Twoje domowej sieci.

Idź do forum: Sprzęt / Hardware

28 Odpowiedź przez damrom

(23 odpowiedzi, napisanych Sprzęt / Hardware)

Jeżeli miałbym Ci doradzić to rozważ proponowane przez Cezarego Loco M2. Jest sprawdzone i na lata. Montujesz i zapominasz.
Co do zasięgu, ma oczywiście antenę kierunkową, ale ona ma znaczenie przy linkach na odległość od kilkuset metrów do kilku kilometrów. W promieniu 50 m zachowuje się prawie jakby miało antenę dookólną. W kierunku nadawania w otwartym terenie w promieniu 180 stopni powinno działać i na 200 m. Jeżeli chodzi o sygnał "do tyłu" to do 50 metrów powinno dobrze działać (oczywiście, gdy antena będzie na dachu i nie ma z tyłu przeszkody w postaci np. ściany).
Przy otwartym i tak będziesz musiał zejść z mocą, by nie siać zbyt daleko.
Ale to zawsze zależy od ilości sieci w okolicy, ewentualnych przeszkód i innych "zakłócaczy".

Jeżeli chodzi od wysokość montażu, to wrzucając takie loco wysoko na dach i bez przeszkód terenowych nadajesz i na kilka kilometrów. Zawsze 2,4 GHz będzie miało lepszy zasięg i przebije się przez więcej przeszkód (np. drzewa), bo to wynika charakterystyki fali. Co do transferu to powinien spełnić Twoje oczekiwania. Weź pod uwagę, oba urządzenia muszą nadawać z odpowiednią mocą i mieć dobre anteny. Sam AP nie załatwi sprawy. Każde rozwiązanie musisz potestować w swoich warunkach.

Jak trafisz, to używane Loco M2 na olx, czy Allegro na 100 zł.

Idź do forum: Sprzęt / Hardware

29 Odpowiedź przez damrom

(348 odpowiedzi, napisanych Sprzęt / Hardware)

Jeżeli przewód LAN (nawet cat6) przechodzi blisko przewodów elektrycznych i idzie przez jakiś czas równolegle do nich (bliżej niż 15 cm) to tak może się dziać. Indukuje się pole i prędkość transmisji znacznie spada. Pomóc może tylko przewód ekranowany, ale dobrze uziemiony z obu stron.

Idź do forum: Sprzęt / Hardware

30 Odpowiedź przez damrom

(348 odpowiedzi, napisanych Sprzęt / Hardware)

U mnie Igel + 4-portowy Intel Pro1000 PT + malutki wentylator w Idle 20-21W. Wentylator z tego około 1W, więc karta sieciowa pewnie tak jak mówi ambrozy5 z 10-15W.

Idź do forum: Sprzęt / Hardware

31 Odpowiedź przez damrom

(348 odpowiedzi, napisanych Sprzęt / Hardware)

@zdzichu6969
Sprawdź temperaturę NIC. Też włożyłem do Jeżyka 4-potowego Intela i na radiatorze karty przy otwartej obudowie można było jajka smażyć. Zawieszał się po kilku godzinach. Dołożyłem wentylator, zamknąłem obudowę i chodzi już testowo przez 4 dni bez zawieszki.
Mam na nim najnowsze OpenWRT Cezarego. Na razie testów wydajności nie robiłem.

Idź do forum: Sprzęt / Hardware

32 Odpowiedź przez damrom

(11 odpowiedzi, napisanych Oprogramowanie / Software)

Ok. Dzięki.

Idź do forum: Oprogramowanie / Software

33 Odpowiedź przez damrom

(11 odpowiedzi, napisanych Oprogramowanie / Software)

A jest możliwe to "przekonanie modemu do PDU"?

Idź do forum: Oprogramowanie / Software

34 Odpowiedź przez damrom

(11 odpowiedzi, napisanych Oprogramowanie / Software)

Wypisał

root@OpenWrt-DWR921:~# picocom -b 115200 /dev/ttyUSB2
picocom v1.7

port is        : /dev/ttyUSB2
flowcontrol    : none
baudrate is    : 115200
parity is      : none
databits are   : 8
escape is      : C-a
local echo is  : no
noinit is      : no
noreset is     : no
nolock is      : no
send_cmd is    : sz -vv
receive_cmd is : rz -vv
imap is        :
omap is        :
emap is        : crcrlf,delbs,

Terminal ready
AT+CUSD=1,"*127*1#",15
OK

+CREG: 1,"FFFE","390D0BE", 7

+CREG: 1,"D0FE","390D0BE", 2

+CUSD: 0,"Twoja oferta to nju na karte.
Stan konta glownego: 13.33 zl.
Srodki wazne bezterminowo",15

I są środki na koncie :-)

Idź do forum: Oprogramowanie / Software

35 Odpowiedź przez damrom

(11 odpowiedzi, napisanych Oprogramowanie / Software)

Odpowiedź

root@OpenWrt-DWR921:~# sms_tool -D -R -r -d /dev/ttyUSB2 ussd "*127*1#"
debug: AT+CUSD=1,"*127*1#",15

debug: +CUSD: 0,"Twoja oferta to nju na karte.

Twoja oferta to nju na karte.

Idź do forum: Oprogramowanie / Software

36 Odpowiedź przez damrom

(11 odpowiedzi, napisanych Oprogramowanie / Software)

Wynik

sms_tool -r -d /dev/ttyUSB2 ussd "*127*1#"
unparsable CUSD response: ry operation

Konfiguracja easyconfig

cat /etc/config/easyconfig

config easyconfig 'global'

config service 'traffic'
        option cycle '1'
        option warning_enabled '0'
        option warning_unit 'g'
        option warning_cycle 'p'
        option warning_value '3'
        option period '15'

config service 'watchdog'
        option dest 'google.com'
        option period '1'
        option period_count '10'
        option delay '3'
        option action 'wan'

config service 'sms'
        option storage 'SM'

config service 'ussd'
        option raw_input '1'
        option raw_output '1'

config service 'modem'
        option force_qmi '1'
        option force_plmn '1'

config ussd
        option code '*127*1#'
        option description 'NJUmobile - Stan konta'

config ussd
        option code '*101#'
        option description 'Play - Stan konta'

Idź do forum: Oprogramowanie / Software

37 Odpowiedź przez damrom

(12 odpowiedzi, napisanych Oprogramowanie / Software)

Dzięki za pomoc. Muszę się jeszcze podszkolić z iptables.

Idź do forum: Oprogramowanie / Software

38 Temat przez damrom

(11 odpowiedzi, napisanych Oprogramowanie / Software)

Witam

Posiadam D-Link DWR 921 C3 i zainstalowany na nim easyconfig.
Przy sprawdzaniu konta w njumobile nie wyświetla mi się stan konta, ponieważ prawdopodobnie jest w 2 linii.
https://i.ibb.co/rMNcKhF/Stan-Konta.png

Na stronie sms_tool masz info "W chwili obecnej program obsługuje tylko jedno liniowe komunikaty USSD."

Czy jest jednak możliwe wyświetlenie tej drugiej linii?

Idź do forum: Oprogramowanie / Software

39 Odpowiedź przez damrom

(12 odpowiedzi, napisanych Oprogramowanie / Software)

Dzięki serdeczne - działa.
Interfejsy www urządzeń nie są dostępne. Musiałem dodać po obu stronach (i Serwer, i Klient), aby działało.
Dodałem do tcp i udp:

iptables -I FORWARD -p tcp -s 192.168.2.0/24 -d 192.168.10.0/24 -j REJECT
iptables -I FORWARD -p tcp -s 192.168.10.0/24 -d 192.168.2.0/24 -j REJECT
iptables -I FORWARD -p udp -s 192.168.2.0/24 -d 192.168.10.0/24 -j REJECT
iptables -I FORWARD -p udp -s 192.168.10.0/24 -d 192.168.2.0/24 -j REJECT

Pingi do urządzeń z jednej sieci lan do drugiej jednak przechodzą. Czy to normalne?

Idź do forum: Oprogramowanie / Software

40 Odpowiedź przez damrom

(12 odpowiedzi, napisanych Oprogramowanie / Software)

Rozumiem, że to należy wrzucić do firewall.user na Serwerze? Czy na routerze Klienta też?

Idź do forum: Oprogramowanie / Software

41 Odpowiedź przez damrom

(12 odpowiedzi, napisanych Oprogramowanie / Software)

W związku trudnością z przekierowaniem iptables, zrobiłem sugerowaną przez Ciebie konfigurację "Dostęp do sieci LAN klienta" (zgodnie z Twoim opisem):
OpenVPN - Serwer

config openvpn 'home'
    option enabled '1'
    option dev 'tun0'
    option port '443'
    option proto 'udp'
    option log '/tmp/openvpn_server.log'
    option verb '3'
    option ca '/etc/openvpn/ca.crt'
    option cert '/etc/openvpn/serwer.crt'
    option key '/etc/openvpn/serwer.key'
    option server '10.8.0.0 255.255.255.0'
    option dh '/etc/openvpn/dh2048.pem'
    option client_config_dir '/etc/openvpn/ccd'
    option topology 'subnet'
    list push 'route 192.168.2.0 255.255.255.0'
    list push 'route 192.168.10.0 255.255.255.0'
    option compress 'lz4'
    option inactive '3600'
    option keepalive '10 120'
    list route '192.168.10.0 255.255.255.0'
    option client_to_client '1'

Routing specyficzny dla klienta:

    ifconfig-push 10.8.0.6 255.255.255.0
    iroute 192.168.10.0 255.255.255.0

Dodałem do network Klienta:

config interface 'vpn'
    option ifname 'tun0'
    option proto 'none'

Dodałem do firewall Klienta:

config zone
    option name 'vpn'
    option input 'ACCEPT'
    option forward 'ACCEPT'
    option output 'ACCEPT'
    option network 'vpn'
    option masq '1'

config forwarding
    option src 'vpn'
    option dest 'lan'

I działa to poprzez połączenie VPN:
Serwer

route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         xxx.xxx.xx.13   0.0.0.0         UG    0      0        0 pppoe-wan
10.8.0.0        0.0.0.0         255.255.255.0   U     0      0        0 tun0
xxx.xxx.xx.13   0.0.0.0         255.255.255.255 UH    0      0        0 pppoe-wan
192.168.2.0     0.0.0.0         255.255.255.0   U     0      0        0 br-lan
192.168.10.0    10.8.0.2        255.255.255.0   UG    0      0        0 tun0

Klient

route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.139.249.209  0.0.0.0         UG    0      0        0 wwan0
10.8.0.0        0.0.0.0         255.255.255.0   U     0      0        0 tun0
10.139.249.208  0.0.0.0         255.255.255.252 U     0      0        0 wwan0
192.168.2.0     10.8.0.1        255.255.255.0   UG    0      0        0 tun0
192.168.10.0    0.0.0.0         255.255.255.0   U     0      0        0 br-lan

Zrobiłem też przekierowanie z "wan" Serwera do sieci "lan" Klienta (na razie na serwer, bo nie mam teraz nic podłączone do sieci routera Klienta):

config redirect
    option target 'DNAT'
    option src 'wan'
    option dest 'vpn'
    option proto 'tcp udp'
    option src_dport '499'
    option dest_ip '192.168.10.254'
    option dest_port '499'
    option name 'ROUTER_KLIENT_LAN'

I działa - da się przez IP publiczne Serwera (port 499) zalogować na router Klienta.


I mam zatem jeszcze jedno pytanie: Jak zablokować ruch z sieci lan Klienta do sieci lan Serwera?
Zrobiłbym to poprzez iptables. Jak mojej konfiguracji wyglądałaby składnia takiego polecenia?

Idź do forum: Oprogramowanie / Software

42 Odpowiedź przez damrom

(12 odpowiedzi, napisanych Oprogramowanie / Software)

Dziękuję za odpowiedzi.

Wiem, że przez adres kamery wejdę bezpośrednio. Chciałem sprawdzić na początku, czy działa przekierowanie z VPN (10.8.0.0) do sieci Klienta (192.168.10.000).

Jeżeli jednak decydowałbym się na bardziej rozbudowaną konfigurację z Dostępem do sieci Klienta (192.168.10.000), to:
1. Czy, aby łączyć się do kamery bezpośrednio poprzez IP Publiczne serwera VPN, to również będę potrzebował zrobić przekierowanie, które w obecnej konfiguracji nie działa?
2. Czy jest możliwe takie ograniczenie komunikacji między tymi sieciami lan, aby z sieci Klienta (192.168.10.000) nie było dostępu do urządzeń sieci Serwera (192.168.2.000)?
3. Czy jest możliwe takie ograniczenie komunikacji między tymi sieciami lan, aby z sieci Serwera (192.168.2.000) nie było dostępu do urządzeń sieci Klienta (192.168.10.000), oczywiście poza routerem Klienta i tym Ip Kamery?

Idź do forum: Oprogramowanie / Software

43 Odpowiedź przez damrom

(12 odpowiedzi, napisanych Oprogramowanie / Software)

Tak. Kamera ma poprawnie ustawionego gateway'a:

Ethernet         Card WIRE
Mode             Static
IP Address       192.168.10.212
Subnet Mask      255.255.255.0
Default Gateway  192.168.10.254
Preferred DNS    192.168.10.254
Alternate DNS    192.168.10.254

Nie chcę tworzyć dostępu do sieci za routerem klienta, ponieważ potrzebuję tylko jeden port do komunikacji.
Chcę "grzecznościowo" umożliwić koledze dostęp do jego automatyki. Z tego tytułu nie chcę tworzyć dostępu z jego sieci do mojej i odwrotnie.

Ale jeżeli to jest problematyczne z udziałem przekierowania, to będę musiał się zastanowić na konfiguracją, którą proponujesz.

1. Czy składnia wpisana routerze Serwera i Klienta w "firewall.user" jest poprawna?
2. Czy logując się po wifi do sieci routera Klienta i wpisując w przeglądarkę 10.8.0.6:18080 powinienem dostać stronę www kamery?

Idź do forum: Oprogramowanie / Software

44 Temat przez damrom

(12 odpowiedzi, napisanych Oprogramowanie / Software)

Witam
Potrzebuję uzyskać dostęp do serwera automatyki, który jest zlokalizowany w wewnętrznej sieci lan routera (internet Njumobile).
Aby uzyskać stały dostęp do tej automatyki postanowiłem przekierować port poprzez łączenie VPN do mojej sieci OpenVPN (publiczne IP) skonfigurowanej wg poradnika Cezarego "OpenWrt - konfiguracja serwera OpenVPN w trybie TUN" na serwerze TP-Link Archer C2600 (IP 192.168.2.254 - sieć serwera).
Starałem się zrobić to poprzez przekierowanie iptables zgodnie z akapitem "Przykłady - Dostęp do kamery za klientem"
Ze względu na fakt, że automatyka jeszcze nie jest w pełni wykonania, to tymczasowo starałem się sprawdzić konfigurację wstawiając kamerę IP zamiast serwera automatyki (interfejs www kamery na tym samym porcie i IP - IP 192.168.10.212 port 18080).

Na routerze Serwera internet działa i VPN również działa.
Klient D-Link DWR 921 (IP 192.168.10.254) łączy się z serwerem OpenVPN (IP 192.168.2.254) i jest możliwy ping w obie strony po sieci VPN (10.8.0.0 255.255.255.0).

Jednak nie umiem zalogować się do interfejsu www kamery, ani z internetu (IP publiczne), ani z wewnątrz sieci Serwera po IP VPN 10.8.0.6. Proszę Was o pomoc i odpowiedź, czy wybrane przeze mnie rozwiązanie jest właściwe a błąd jest w konfiguracji, czy też moje założenia są złe i w taki sposób to nie zadziała.

Poniżej cała konfiguracja .
SERWER
network

cat /etc/config/network

config interface 'loopback'
        option ifname 'lo'
        option proto 'static'
        option ipaddr '127.0.0.1'
        option netmask '255.0.0.0'

config interface 'lan'
        option type 'bridge'
        option ifname 'eth1.1'
        option proto 'static'
        option ipaddr '192.168.2.254'
        option netmask '255.255.255.0'
        option dns '1.1.1.1 1.0.0.1' 
        option force_link '1'
        option delegate '0'
        option ip6assign '60'

config interface 'wan'
        option ifname 'eth0.2'
        option proto 'pppoe'
        option username 'gpon.xxx.xxx.xxx'
        option password 'xxxx'
        option macaddr 'xx:xx:xx:xx:xx:xx'
        option peerdns '0'
        option delegate '0'

config interface 'vpn'
        option ifname 'tun0'
        option proto 'none'

config switch
        option name 'switch0'
        option reset '1'
        option enable_vlan '1'

config switch_vlan
        option device 'switch0'
        option vlan '1'
        option ports '1 2 3 4 6t'

config switch_vlan
        option device 'switch0'
        option vlan '2'

firewall

cat /etc/config/firewall

config defaults
        option syn_flood '1'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'REJECT'
        option disable_ipv6 '1'
        option flow_offloading '1'

config zone
        option name 'lan'
        list network 'lan'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'ACCEPT'

config zone
        option name 'wan'
        list network 'wan'
        option input 'REJECT'
        option output 'ACCEPT'
        option forward 'REJECT'
        option masq '1'
        option mtu_fix '1'

config forwarding
        option src 'lan'
        option dest 'wan'

config rule
        option name 'Allow-DHCP-Renew'
        option src 'wan'
        option proto 'udp'
        option dest_port '68'
        option target 'ACCEPT'
        option family 'ipv4'

config rule
        option name 'Allow-Ping'
        option src 'wan'
        option proto 'icmp'
        option icmp_type 'echo-request'
        option family 'ipv4'
        option target 'ACCEPT'

config rule
        option name 'Allow-IGMP'
        option src 'wan'
        option proto 'igmp'
        option family 'ipv4'
        option target 'ACCEPT'

config rule
        option name 'Allow-DHCPv6'
        option src 'wan'
        option proto 'udp'
        option src_ip 'fc00::/6'
        option dest_ip 'fc00::/6'
        option dest_port '546'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-MLD'
        option src 'wan'
        option proto 'icmp'
        option src_ip 'fe80::/10'
        list icmp_type '130/0'
        list icmp_type '131/0'
        list icmp_type '132/0'
        list icmp_type '143/0'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-ICMPv6-Input'
        option src 'wan'
        option proto 'icmp'
        list icmp_type 'echo-request'
        list icmp_type 'echo-reply'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'
        list icmp_type 'router-solicitation'
        list icmp_type 'neighbour-solicitation'
        list icmp_type 'router-advertisement'
        list icmp_type 'neighbour-advertisement'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-ICMPv6-Forward'
        option src 'wan'
        option dest '*'
        option proto 'icmp'
        list icmp_type 'echo-request'
        list icmp_type 'echo-reply'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-IPSec-ESP'
        option src 'wan'
        option dest 'lan'
        option proto 'esp'
        option target 'ACCEPT'

config rule
        option name 'Allow-ISAKMP'
        option src 'wan'
        option dest 'lan'
        option dest_port '500'
        option proto 'udp'
        option target 'ACCEPT'

config include
        option path '/etc/firewall.user'

config rule
        option name 'luci_wan'
        option src 'wan'
        option target 'ACCEPT'
        option proto 'tcp'
        option dest_port '497'

config rule
        option name 'ssh_wan'
        option target 'ACCEPT'
        option src 'wan'
        option proto 'tcp'
        option dest_port '2922'

config redirect
        option target 'DNAT'
        option src 'wan'
        option dest 'lan'
        option proto 'tcp'
        option src_dport '2921'
        option dest_ip '192.168.2.240'
        option dest_port '2921'
        option name 'FTP_QNAP'

config redirect
        option target 'DNAT'
        option src 'wan'
        option dest 'lan'
        option proto 'tcp'
        option src_dport '51036-51080'
        option dest_ip '192.168.2.240'
        option dest_port '51036-51080'
        option name 'FTP_DATA'

config rule
        option name 'Lenovo_Szymon_Wifi'
        option src '*'
        option dest 'wan'
        option proto 'all'
        option target 'REJECT'
        option src_mac 'xx:xx:xx:xx:xx:xx'
        option start_time '21:55:00'
        option stop_time '06:45:00'
        option enabled '1'

config rule
        option name 'HP-ELITE-800-G1_Szymon'
        option src '*'
        option dest 'wan'
        option proto 'all'
        option target 'REJECT'
        option src_mac 'xx:xx:xx:xx:xx:xx'
        option start_time '21:55:00'
        option stop_time '06:45:00'
        option enabled '1'

config zone
        option name 'vpn'
        option input 'ACCEPT'
        option forward 'ACCEPT'
        option output 'ACCEPT'
        option network 'vpn'
        option masq '1'

config forwarding
        option src 'vpn'
        option dest 'wan'

config rule
        option name 'OpenVPN'
        option target 'ACCEPT'
        option src 'wan'
        option proto 'udp'
        option dest_port '443'

config forwarding
        option src 'vpn'
        option dest 'lan'

firewall.user

cat /etc/firewall.user

# Router jako serwer DNS 
iptables -t nat -I PREROUTING -s 192.168.2.0/24 -p udp --dport 53 -j DNAT --to 192.168.2.254
iptables -t nat -I PREROUTING -s 192.168.2.0/24 -p tcp --dport 53 -j DNAT --to 192.168.2.254

# Blokowanie IP w internecie Kamery
iptables -I FORWARD 1 -p udp -d 120.26.220.50 -j REJECT
iptables -I FORWARD 1 -p tcp -d 120.26.220.50 -j REJECT
iptables -I FORWARD 1 -p udp -d 112.124.113.64 -j REJECT
iptables -I FORWARD 1 -p tcp -d 112.124.113.64 -j REJECT
iptables -I FORWARD 1 -p udp -d 112.124.33.3 -j REJECT
iptables -I FORWARD 1 -p tcp -d 112.124.33.3 -j REJECT
iptables -I FORWARD 1 -p udp -d 120.26.207.204 -j REJECT
iptables -I FORWARD 1 -p tcp -d 120.26.207.204 -j REJECT
iptables -I FORWARD 1 -p udp -d 121.41.82.100 -j REJECT
iptables -I FORWARD 1 -p tcp -d 121.41.82.100 -j REJECT

# Blokowanie w internecie Kamery laczacej sie na zakresie portow docelowych 8000-9000
iptables -I FORWARD 1 -p udp -s 192.168.2.210 --dport 8000:9000 -j REJECT
iptables -I FORWARD 1 -p tcp -s 192.168.2.210 --dport 8000:9000 -j REJECT
iptables -I FORWARD 1 -p udp -s 192.168.2.211 --dport 8000:9000 -j REJECT
iptables -I FORWARD 1 -p tcp -s 192.168.2.211 --dport 8000:9000 -j REJECT
iptables -I FORWARD 1 -p udp -s 192.168.2.212 --dport 8000:9000 -j REJECT
iptables -I FORWARD 1 -p tcp -s 192.168.2.212 --dport 8000:9000 -j REJECT

# Blokowanie wejscia z Internetu do routera
iptables -I INPUT -s 198.20.69.72/24 -j DROP
iptables -I INPUT -s 198.20.70.111/24 -j DROP
iptables -I INPUT -s 198.20.99.128/24 -j DROP
iptables -I INPUT -s 93.120.27.62 -j DROP
iptables -I INPUT -s 66.240.236.119 -j DROP
iptables -I INPUT -s 71.6.135.131 -j DROP
iptables -I INPUT -s 66.240.192.138 -j DROP
iptables -I INPUT -s 71.6.167.142 -j DROP
iptables -I INPUT -s 82.221.105.6 -j DROP
iptables -I INPUT -s 82.221.105.7 -j DROP
iptables -I INPUT -s 71.6.165.200 -j DROP
iptables -I INPUT -s 188.138.9.50 -j DROP
iptables -I INPUT -s 85.25.103.50 -j DROP
iptables -I INPUT -s 85.25.43.94 -j DROP
iptables -I INPUT -s 71.6.146.185 -j DROP
iptables -I INPUT -s 71.6.146.186 -j DROP
iptables -I INPUT -s 71.6.158.166 -j DROP
iptables -I INPUT -s 198.20.87.96/24 -j DROP
iptables -I INPUT -s 66.240.219.146 -j DROP
iptables -I INPUT -s 209.126.110.38 -j DROP
iptables -I INPUT -s 104.236.198.48 -j DROP
iptables -I INPUT -s 104.131.0.69 -j DROP
iptables -I INPUT -s 162.159.244.38 -j DROP
iptables -I INPUT -s 159.203.176.62 -j DROP
iptables -I INPUT -s 188.138.1.119 -j DROP
iptables -I INPUT -s 80.82.77.33 -j DROP
iptables -I INPUT -s 80.82.77.139 -j DROP
iptables -I INPUT -s 71.6.146.130 -j DROP
iptables -I INPUT -s 216.117.2.180 -j DROP
iptables -I INPUT -s 93.174.95.106 -j DROP
iptables -I INPUT -s 185.163.109.66 -j DROP
iptables -I INPUT -s 93.174.95.106 -j DROP
iptables -I INPUT -s 89.248.167.131 -j DROP
iptables -I INPUT -s 94.102.49.190 -j DROP
iptables -I INPUT -s 94.102.49.193 -j DROP
iptables -I INPUT -s 185.181.102.18 -j DROP

# Przekierowanie portu na Serwer automatyki na Dlink
iptables -I FORWARD -i eth0.2 -p tcp -d 10.8.0.6 --dport 18080 -j ACCEPT
iptables -t nat -I PREROUTING -i eth0.2 -p tcp --dport 18080 -j DNAT --to-destination 10.8.0.6:18080

OpenVPN

cat /etc/config/openvpn

config openvpn 'home'
        option enabled '1'
        option dev 'tun0'
        option port '443'
        option proto 'udp'
        option log '/tmp/openvpn_server.log'
        option verb '3'
        option ca '/etc/openvpn/ca.crt'
        option cert '/etc/openvpn/serwer.crt'
        option key '/etc/openvpn/serwer.key'
        option server '10.8.0.0 255.255.255.0'
        option dh '/etc/openvpn/dh2048.pem'
        option client_config_dir '/etc/openvpn/ccd'
        option topology 'subnet'
        list push 'route 192.168.2.0 255.255.255.0'
        option compress 'lz4'
        option inactive '3600'
        option keepalive '10 120'

Plik /etc/openvpn/ccd/xiaomi_miwifi

        cat /etc/openvpn/ccd/xiaomi_miwifi
        ifconfig-push 10.8.0.6 255.255.255.0

Route –n

route -n    
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         xxx.xxx.xx.13   0.0.0.0         UG    0      0        0 pppoe-wan
10.8.0.0        0.0.0.0         255.255.255.0   U     0      0        0 tun0
xxx.xxx.xx.13   0.0.0.0         255.255.255.255 UH    0      0        0 pppoe-wan
192.168.2.0     0.0.0.0         255.255.255.0   U     0      0        0 br-lan

KLIENT
network

cat /etc/config/network

config interface 'loopback'
        option ifname 'lo'
        option proto 'static'
        option ipaddr '127.0.0.1'
        option netmask '255.0.0.0'

config globals 'globals'
        option ula_prefix 'fda1:d81b:5ce3::/48'

config interface 'lan'
        option type 'bridge'
        option ifname 'eth0.1'
        option proto 'static'
        option ipaddr '192.168.10.254'
        option netmask '255.255.255.0'
        option ip6assign '60'

config device 'lan_dev'
        option name 'eth0.1'
        option macaddr 'xx:xx:xx:xx:xx:xx'

config device 'wan_dev'
        option name 'eth0.2'
        option macaddr 'xx:xx:xx:xx:xx:xx'

config interface 'wan6'
        option ifname 'eth0.2'
        option proto 'dhcpv6'

config switch
        option name 'switch0'
        option reset '1'
        option enable_vlan '1'

config switch_vlan
        option device 'switch0'
        option vlan '1'
        option ports '0 1 2 3 6t'

config switch_vlan
        option device 'switch0'
        option vlan '2'
        option ports '4 6t'

config interface 'wan'
        option apn 'internet'
        option device '/dev/cdc-wdm0'
        option proto 'qmi'

Firewall

cat /etc/config/firewall
config defaults
        option syn_flood        1
        option input            ACCEPT
        option output           ACCEPT
        option forward          REJECT

config zone
        option name             lan
        list   network          'lan'
        option input            ACCEPT
        option output           ACCEPT
        option forward          ACCEPT

config zone
        option name             wan
        list   network          'wan'
        list   network          'wan6'
        option input            REJECT
        option output           ACCEPT
        option forward          REJECT
        option masq             1
#       option mtu_fix          1

config forwarding
        option src              lan
        option dest             wan

config forwarding
        option src              vpn
        option dest             wan

config rule
        option name             Allow-DHCP-Renew
        option src              wan
        option proto            udp
        option dest_port        68
        option target           ACCEPT
        option family           ipv4

# Allow IPv4 ping
config rule
        option name             Allow-Ping
        option src              wan
        option proto            icmp
        option icmp_type        echo-request
        option family           ipv4
        option target           ACCEPT

config rule
        option name             Allow-IGMP
        option src              wan
        option proto            igmp
        option family           ipv4
        option target           ACCEPT

config rule
        option name             Allow-DHCPv6
        option src              wan
        option proto            udp
        option src_ip           fc00::/6
        option dest_ip          fc00::/6
        option dest_port        546
        option family           ipv6
        option target           ACCEPT

config rule
        option name             Allow-MLD
        option src              wan
        option proto            icmp
        option src_ip           fe80::/10
        list icmp_type          '130/0'
        list icmp_type          '131/0'
        list icmp_type          '132/0'
        list icmp_type          '143/0'
        option family           ipv6
        option target           ACCEPT

# Allow essential incoming IPv6 ICMP traffic
config rule
        option name             Allow-ICMPv6-Input
        option src              wan
        option proto    icmp
        list icmp_type          echo-request
        list icmp_type          echo-reply
        list icmp_type          destination-unreachable
        list icmp_type          packet-too-big
        list icmp_type          time-exceeded
        list icmp_type          bad-header
        list icmp_type          unknown-header-type
        list icmp_type          router-solicitation
        list icmp_type          neighbour-solicitation
        list icmp_type          router-advertisement
        list icmp_type          neighbour-advertisement
        option limit            1000/sec
        option family           ipv6
        option target           ACCEPT

# Allow essential forwarded IPv6 ICMP traffic
config rule
        option name             Allow-ICMPv6-Forward
        option src              wan
        option dest             *
        option proto            icmp
        list icmp_type          echo-request
        list icmp_type          echo-reply
        list icmp_type          destination-unreachable
        list icmp_type          packet-too-big
        list icmp_type          time-exceeded
        list icmp_type          bad-header
        list icmp_type          unknown-header-type
        option limit            1000/sec
        option family           ipv6
        option target           ACCEPT

config rule
        option name             Allow-IPSec-ESP
        option src              wan
        option dest             lan
        option proto            esp
        option target           ACCEPT

config rule
        option name             Allow-ISAKMP
        option src              wan
        option dest             lan
        option dest_port        500
        option proto            udp
        option target           ACCEPT

# include a file with users custom iptables rules
config include
        option path /etc/firewall.user

firewall.user

cat /etc/firewall.user
# Dostep do serwera automatyki
iptables -I FORWARD -i tun0 -p tcp -d 192.168.10.212 --dport 18080 -j ACCEPT
iptables -t nat -I PREROUTING -i tun0 -p tcp --dport 18080 -j DNAT --to-destination 192.168.10.212:18080

OpenVPN

cat /etc/config/openvpn

config openvpn 'custom_config'
        option enabled '0'
        option config '/etc/openvpn/my-vpn.conf'

config openvpn 'archer_c2600_tun'
        option enabled '1'
        option dev 'tun0'
        option proto 'udp'
        option log '/tmp/openvpn_xiaomi_miwifi.log'
        option verb '3'
        option ca '/etc/openvpn/ca.crt'
        option cert '/etc/openvpn/xiaomi_miwifi.crt'
        option key '/etc/openvpn/xiaomi_miwifi.key'
        option client '1'
        option remote_cert_tls 'server'
        option remote 'xxx.xxx.xxx.xxx 443'
        option compress 'lz4'
        option ping '15'
        option ping_restart '60'
        option inactive '3600'
        option auth_nocache '1'

Route –n

route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.139.101.120  0.0.0.0         UG    0      0        0 wwan0
10.8.0.0        0.0.0.0         255.255.255.0   U     0      0        0 tun0
10.139.101.112  0.0.0.0         255.255.255.240 U     0      0        0 wwan0
192.168.2.0     10.8.0.1        255.255.255.0   UG    0      0        0 tun0
192.168.10.0    0.0.0.0         255.255.255.0   U     0      0        0 br-lan

Proszę Was o pomoc i podpowiedz.

Pozdrawiam

Idź do forum: Oprogramowanie / Software

45 Odpowiedź przez damrom

(4,520 odpowiedzi, napisanych Oprogramowanie / Software)

Do tego wg mnie najlepsze Ubiquiti NanoStation Loco M5. Antena zintegrowana z AP, zabezpieczone do zastosowań zewnętrznych i stabilne. Openwrt do nich wrzucisz, ale nie nie wiem czy to konieczne, bo oryginalne oprogramowanie jest dobre. W cenie do 250 zł możesz znaleźć nowe, używki się trafiają za mniejszą cenę.
Tylko one mają 1 port lan, więc to jest połączenie 1 kamera - 1 loco. Jeżeli potrzebujesz do jednego AP podłączyć więcej kamer po kablu to konieczny będzie switch.

Idź do forum: Oprogramowanie / Software

46 Odpowiedź przez damrom

(22 odpowiedzi, napisanych Oprogramowanie / Software)

Witam

Próbuję uruchomić pyLoad na Archer C2600. System to ostatnie wydanie Cezarego 'LEDE Reboot 17.01-SNAPSHOT r3794-dca4dfa'.

Przy próbie uruchomienia "python ./pyLoadCore.py" pojawia się błąd:

root@LEDE-Router:/media/pyload-stable# python ./pyLoadCore.py
Traceback (most recent call last):
  File "./pyLoadCore.py", line 48, in <module>
    from module.network.RequestFactory import RequestFactory
  File "/media/pyload-stable/module/network/RequestFactory.py", line 22, in <module>
    from Browser import Browser
  File "/media/pyload-stable/module/network/Browser.py", line 6, in <module>
    from HTTPRequest import HTTPRequest
  File "/media/pyload-stable/module/network/HTTPRequest.py", line 21, in <module>
    import pycurl
ImportError: pycurl: libcurl link-time version (7.52.1) is older than compile-time version (7.58.0)

pyLoad instalowałem wg powyższej instrukcji @valdi74
pyLoad pobrałem z https://github.com/pyload/pyload/archive/stable.zip

Mam zainstalowane pakiety w takich wersjach:

root@LEDE-Router:/media/pyload-stable# opkg list-installed | grep curl
curl - 7.52.1-7
libcurl - 7.52.1-7
python-curl - 7.43.0.1-1
root@LEDE-Router:/media/pyload-stable# opkg list-installed | grep python
python - 2.7.14-5
python-base - 2.7.14-5
python-cffi - 1.8.3-1
python-codecs - 2.7.14-5
python-compiler - 2.7.14-5
python-crypto - 2.6.1-1
python-cryptography - 1.5.1-1
python-ctypes - 2.7.14-5
python-curl - 7.43.0.1-1
python-db - 2.7.14-5
python-decimal - 2.7.14-5
python-distutils - 2.7.14-5
python-email - 2.7.14-5
python-enum34 - 1.1.6-2
python-gdbm - 2.7.14-5
python-idna - 2.1-1
python-ipaddress - 1.0.17-1
python-light - 2.7.14-5
python-logging - 2.7.14-5
python-multiprocessing - 2.7.14-5
python-ncurses - 2.7.14-5
python-openssl - 2.7.14-5
python-ply - 3.9-1
python-pyasn1 - 0.1.9-1
python-pycparser - 2.14-3
python-pydoc - 2.7.14-5
python-pyopenssl - 16.1.0-1
python-setuptools - 27.2.0-1
python-six - 1.10.0-1
python-sqlite3 - 2.7.14-5
python-unittest - 2.7.14-5
python-xml - 2.7.14-5

Jak naprawić ten błąd?

Pozdrawiam
damrom

Idź do forum: Oprogramowanie / Software

47 Odpowiedź przez damrom

(4 odpowiedzi, napisanych Oprogramowanie / Software)

https://www.dropbox.com/s/pwn7kmxr45kpn4c/mtd1.bin?dl=0
https://www.dropbox.com/s/6luiftonzexkar4/mtd2.bin?dl=0

Edit
Nie wiem czy to ma znaczenie, ale kiedyś był na nim Twój obraz CC z obsługą całego flasha. Nie robiłem backupu flasha przed wgraniem tego obrazu. Teraz jest na nim Twój LEDE standardowy (nie large).

Idź do forum: Oprogramowanie / Software

48 Odpowiedź przez damrom

(75 odpowiedzi, napisanych Oprogramowanie / Software)

Po tych przypadkach chyba się wstrzymam z aktualizacją do wersji 1.9.2.1 na WR1043NDv1. Miałem podobnie przy aktualizacji jak się nie mylę z wersji 1.9.0.3 do 1.9.1.1. Za pierwszym razem aktualizacja i po restarcie brak zmian - zostało stare gargoyle.
Za drugim razem poszło dobrze.
Czy może to mieć związek z brakiem wolnej pamięci RAM podczas aktualizacji? TL-WR1043NDv1 nie ma jej zbyt dużo.
Ja akurat sprawdzałem ilość wolnej pamięci RAM i wyłączałem usługi na czas aktualizacji.

Idź do forum: Oprogramowanie / Software

49 Odpowiedź przez damrom

(375 odpowiedzi, napisanych Oprogramowanie / Software)

Cezary napisał/a:

Są dodane dla kirkwooda i x86/64 (generyczne).

Dzięki :-)

Idź do forum: Oprogramowanie / Software

50 Odpowiedź przez damrom

(375 odpowiedzi, napisanych Oprogramowanie / Software)

Czy mógłbym prosić o obrazy dla platformy kirkwood? Konkretnie chodzi mi o Linksys EA4500. Choć w Statystyce może tego nie widać, to po tematach widzę, że są na Twym forum posiadacze tego modelu.
Z góry dziękuję.

Idź do forum: Oprogramowanie / Software