Naprawione:
Aktualizacja do wersji r24016-f791ec1f6d i tunele Ipv6 działają.
Musiał chyba być jakiś babol w kernelu, na szczęście niezbyt trwały.
Pozdro
Nie jesteś zalogowany. Proszę się zalogować lub zarejestrować.
Opcje wyszukiwania (Strona 1 z 4)
eko.one.pl → Posty przez jacekalex
Znalezione posty: 1 do 25 z 95
1 2024-07-30 02:12:55
Odp: [+][Ipv6] Tunele IPv6, routing nie działa. (1 odpowiedzi, napisanych Oprogramowanie / Software)
2 2024-07-23 11:22:30
Temat: [+][Ipv6] Tunele IPv6, routing nie działa. (1 odpowiedzi, napisanych Oprogramowanie / Software)
Cześć
Mam dziwaczny problem z routingiem Ipv6.
Tunel Ipv6 tunnelbroker (HE.net)
Konfiguracja:
network.henet=interface
network.henet.proto='6in4'
network.henet.metric='1024'
network.henet.peeraddr='216.66.80.162'
network.henet.ip6addr='2001:479:70:2cf::2/64'
network.henet.tunnelid='NUMER_TUNELU'
network.henet.username='USERNAME'
network.henet.password='PASSWORD'
network.henet.ip6prefix='2001:479:71:2cf::/64'
network.henet.delegate='1'Próbuję z kompa (który adresy dostał z autokonfiguracji SLAAC) puścić pinga:
ping6 ifconfig.io -c1
PING ifconfig.io (2a06:98c1:3120::b) 56 data bytes
--- ifconfig.io ping statistics ---
1 packets transmitted, 0 received, 100% packet loss, time 0msFirewall wyraźnie przepuszcza pakiet, ostatni łańcuch, przez który wędrował pakiet to srcnat: .
trace id 7cfc0391 inet routerek mangle_postrouting packet: iif "br-lan" oif "6in4-henet" ether saddr 68:05:ca:2c:6d:cf ether daddr 38:94:ed:f8:7b:2c ip6 saddr 2001:479:71:2cf:cf1f:27ca:5b72:4fd3 ip6 daddr 2a06:98c1:3120::b ip6 dscp cs0 ip6 ecn not-ect ip6 hoplimit 63 ip6 flowlabel 519881 ip6 nexthdr ipv6-icmp ip6 length 64 icmpv6 type echo-request icmpv6 code no-route icmpv6 parameter-problem 131073 @th,64,96 0xa87f9f66000000002c680500
trace id 7cfc0391 inet routerek mangle_postrouting verdict continue
trace id 7cfc0391 inet routerek mangle_postrouting policy accept Pojawia się jednak w tym komunikacje nftables dziwaczny parametr:
code no-routeWTF?
Rzeczywiście, routing nie funguje:
# Router ### 12:04 Router : /etc/config/local
root ~> ip route get 2a06:98c1:3120::b
ip: RTNETLINK answers: Network unreachableCo ciekawe, routing jest ustawiony prawidło:
# Router ### 12:10 Router : /etc/config/local
root ~> ip -family inet6 route show | grep -v -e anycast -e multicast
default from 2001:479:70:2cf::/64 dev 6in4-henet metric 1024
default from 2001:479:71:2cf::/64 dev 6in4-henet metric 1024
2001:479:70:2cf::/64 dev 6in4-henet metric 1024
2001:479:71:2cf::/64 dev br-lan metric 1024
unreachable 2001:479:71:2cf::/64 dev lo metric 2147483647
fd2c:9fd7:c7c1::/64 dev br-lan metric 1024
unreachable fd2c:9fd7:c7c1::/48 dev lo metric 2147483647
fe80::/64 dev eth0 metric 256
fe80::/64 dev br-lan metric 256
fe80::/64 dev phy1-ap0 metric 256
fe80::/64 dev wan metric 256
fe80::/64 dev phy0-ap0 metric 256
fe80::/64 dev 6in4-henet metric 256 W poprzednim routerze taka konfiguracja działała bez problemu, a w obecnym (Netgear R6260) nagle wyszła taka promocja, diabli wiedzą czemu.
PS.
Curl:
curl -6 -Iv https://ifconfig.io/ip
* Host ifconfig.io:443 was resolved.
* IPv6: 2a06:98c1:3121::b, 2a06:98c1:3120::b
* IPv4: (none)
* Trying [2a06:98c1:3121::b]:443...
* connect to 2a06:98c1:3121::b port 443 from 2001:479:71:2cf:cf1f:27ca:5b72:4fd3 port 44156 failed: Przekroczony czas oczekiwania na połączenie
* Trying [2a06:98c1:3120::b]:443...
* connect to 2a06:98c1:3120::b port 443 from 2001:479:71:2cf:cf1f:27ca:5b72:4fd3 port 43512 failed: Przekroczony czas oczekiwania na połączenie
* Failed to connect to ifconfig.io port 443 after 266374 ms: Couldn't connect to server
* Closing connection
curl: (28) Failed to connect to ifconfig.io port 443 after 266374 ms: Couldn't connect to serverTradycyjnie nftables twierdzi, że to nie jego wina, żeby go nie bić 
trace id 5289bfa8 inet routerek accept_to_wan rule oifname "6in4-henet" counter packets 2101 bytes 278652 accept comment "!fw4: accept 6in4 IPv6 traffic" (verdict accept)
trace id 5289bfa8 inet routerek mangle_postrouting packet: iif "br-lan" oif "6in4-henet" ether saddr 68:05:ca:2c:6d:cf ether daddr 38:94:ed:f8:7b:2c ip6 saddr 2001:479:71:2cf:ae9a:5556:cbb4:48b0 ip6 daddr 2a06:98c1:3120::b ip6 dscp cs0 ip6 ecn not-ect ip6 hoplimit 63 ip6 flowlabel 498284 ip6 nexthdr tcp ip6 length 36 tcp sport 42486 tcp dport 443 tcp flags == syn tcp window 42700
trace id 5289bfa8 inet routerek mangle_postrouting verdict continue
trace id 5289bfa8 inet routerek mangle_postrouting policy accept Żeby w Linuxie routing nie działał, to widzę pierwszy raz w życiu.
Pozdro
3 2024-07-22 23:59:49
Odp: [+]Nftables i Prosody? (5 odpowiedzi, napisanych Oprogramowanie / Software)
FW w Nftables prawie zrobiony, nie ma jeszcze mojego patentu z ipsetem w RAW:
https://forum.dug.net.pl/viewtopic.php? … 83#p269383
Ale na razie muszę naprawić routing w ipv6.
4 2024-07-18 06:49:30
Odp: [+]Nftables i Prosody? (5 odpowiedzi, napisanych Oprogramowanie / Software)
Dobra, commlimit i hashlimit zrobione, nawet zdaje się działać:
## nft list ruleset | grep -A3 connlimit
set connlimit6 {
type ipv6_addr
size 65535
flags dynamic
--
set connlimit4 {
type ipv4_addr
size 65535
flags dynamic
--
tcp dport 5269 add @connlimit4 { ip saddr & 0.0.0.0 ct count 10 } meter xmpp size 65535 { ip saddr timeout 1m limit rate 10/minute } counter packets 0 bytes 0 accept
tcp dport 5222 add @connlimit4 { ip saddr & 0.0.0.0 ct count 10 } meter xmppclient size 65535 { ip saddr timeout 1m limit rate 10/minute } counter packets 0 bytes 0 accept
tcp dport 5269 add @connlimit6 { ip6 saddr & :: ct count 10 } meter xmpp6 size 65535 { ip6 saddr timeout 1m limit rate 10/minute } counter packets 0 bytes 0 accept
tcp dport 5222 add @connlimit6 { ip6 saddr & :: ct count 10 } meter xmppclient6 size 65535 { ip6 saddr timeout 1m limit rate 10/minute }
jump reject_from_wan
}Tylko dalej nie mam pojęcia, jak to zakodzić w /etc/config/firewall w stylu kompatybilnym z uci.
Pozdro
5 2024-07-16 22:34:59
Odp: [+]Nftables i Prosody? (5 odpowiedzi, napisanych Oprogramowanie / Software)
Iptables-translate akurat sprawdzałem, ale jeszcze niedawno connlimit IPv6 traktował jako ipv4, nie dodawał do niego adresów Ipv6.
Te błędy pokutują do dzisiaj:
ip6tables-translate -A INPUT ! -i lo -p tcp -m multiport --dports 5269 -m connlimit --connlimit-upto 10 --connlimit-mask 0 --connlimit-saddr -m hashlimit --hashlimit-upto 10/min --hashlimit-burst 5 --hashlimit-mode srcip --hashlimit-name xmpp6 -j ACCEPT
nft 'add set ip6 filter connlimit0 { type ipv4_addr; flags dynamic; }'
nft 'add rule ip6 filter INPUT iifname != "lo" meta l4proto tcp tcp dport 5269 add @connlimit0 { ip6 saddr and :: ct count 10 } meter xmpp6 { ip6 saddr timeout 60s limit rate 10/minute } counter accept'
Poza tym ze składnią reguł do skrypta to ja sobie radzę, ale jestem ciekaw, czy da się to dopisać do /etc/config/firewall czyli w formie lekkostrawnej dla uci/luci.
Pozdro
PS:
W FW4 jest jakiś błąd w forward_wan, za Chiny ludowe i demokratyczne nie przekazuje pakietów IPv6 z kompa do interfejsu henet.
Linux i Android dostał adresy Ipv6 przez RA.
Trasa default:
default via fe80::3a94:edff:fef8:7b2c dev intel proto ra metric 1024 expires 1513sec mtu 1280 hoplimit 64 pref mediumip -6 route get 2a06:98c1:3120::b
2a06:98c1:3120::b from :: via fe80::3a94:edff:fef8:7b2c dev intel proto ra src 2001:470:71:2cf:617d:6594:9261:42c7 metric 1024 mtu 1280 hoplimit 64 pref mediumFrom 2001:470:71:2cf::1 icmp_seq=1 Destination unreachable: Port unreachableOdpowiada adres na karcie br-lan:
ssh router ip a s dev br-lan | grep 2001
inet6 2001:470:71:2cf::1/64 scope global noprefixroute6 2024-07-16 21:08:27
Temat: [+]Nftables i Prosody? (5 odpowiedzi, napisanych Oprogramowanie / Software)
Cześć
Maszynka Netgear R6260 dotarła i działa dosyć grzecznie.
Przyszedł czas, aby reaktywować domowy serwerek jabbera.
Do tej pory używałem iptables i do jabbera miałem takie reguły:
IPv4:
iptables -A INPUT ! -i lo -p tcp -m multiport --dports 5269 -m connlimit --connlimit-upto 10 --connlimit-mask 0 --connlimit-saddr -m hashlimit --hashlimit-upto 10/min --hashlimit-burst 5 --hashlimit-mode srcip --hashlimit-name xmpp -j ACCEPT
iptables -A INPUT ! -i lo -p tcp -m multiport --dports 5222 -m connlimit --connlimit-upto 10 --connlimit-mask 0 --connlimit-saddr -m hashlimit --hashlimit-upto 10/min --hashlimit-burst 5 --hashlimit-mode srcip --hashlimit-name xmppclient -j ACCEPTIpv6:
ip6tables -A INPUT ! -i lo -p tcp -m multiport --dports 5269 -m connlimit --connlimit-upto 10 --connlimit-mask 0 --connlimit-saddr -m hashlimit --hashlimit-upto 10/min --hashlimit-burst 5 --hashlimit-mode srcip --hashlimit-name xmpp6 -j ACCEPT
ip6tables -A INPUT ! -i lo -p tcp -m multiport --dports 5222 -m connlimit --connlimit-upto 10 --connlimit-mask 0 --connlimit-saddr -m hashlimit --hashlimit-upto 10/min --hashlimit-burst 5 --hashlimit-mode srcip --hashlimit-name xmppclient6 -j ACCEPTPróbowałem już kilka razy przepisać te reguły na nftables, ale bez sukcesu.
Jakieś sugestie?
7 2024-06-08 09:43:19
Odp: Netgear R6220 instalacje OpenWrt (634 odpowiedzi, napisanych Oprogramowanie / Software)
Dla pewności:
chodzi o to?
https://github.com/jclehner/nmrpflash
Pozdro
8 2024-06-08 04:33:11
Odp: Netgear R6220 instalacje OpenWrt (634 odpowiedzi, napisanych Oprogramowanie / Software)
Male pytanko, żeby nie tworzyć niepotrzebnie nowych wątków.
Na Netgerarze wndr4300v1 najlepiej wchodziło (niezawodność i skuteczność), do tftp polecenie:
atftp --put --local-file {PLICZEK} 192.168.1.1Teraz za moment będę miał Netgeara R6220, czy powyższa metoda powinna być równie skuteczna i niezawodna?
Mam na myśli obraz:
atftp --put --local-file openwrt-23.05-snapshot-r23893-08becaf62f-ramips-mt7621-netgear_r6220-mtdconcat-squashfs-factory.img 192.168.1.1Pozdro
9 2024-06-05 17:35:51
Odp: Netgear wndr4300 dostęp SSH przez WAN? (3 odpowiedzi, napisanych Oprogramowanie / Software)
OK, przez UCI można, ale jak to zapisać /etc/config/firewall?
Bo teraz nie mam dostępu do SSH netgeara, z braku LAN muszę albo skołować kartę wifi do kompa (ostatni TPlink na USB zdechł około 26 miesiąca po zakupie), albo połączyć kompa z netgearem przez USB (kabel usbA - usb-C mam, + przejściówka usb-C na usb-A), tylko nie wiem, czy przy takim połączeniu czysty build OpenWRT zestawi połączenie sieciowe przez usb.
Próbowałem przez tethering smartfona podłączonego po wifi, ale tam wystawia andkowy NAT i do SSH na 192.168.9.1 się nie udało dostać.
Pierwszy raz mam router w którym zdechł LAN, to dla mnie kompletna nowość.
A skoro działa grzecznie jako AP, to niech sobie zostanie.
Jeśli Vectra dostarczy wreszcie sprawny modem zamiast jakichś bzdurnych instrukcji o winmtr i pignowaniu "niedziałającej strony", to dokupię UBI ER-X i ogarnę sieć podręcznikowo.
Ale na razie nie wiem, jakie jaja będą z Vectrą i czy za tydzień nie będę szukał modemu 5G...
xD
10 2024-06-05 11:07:38
Temat: Netgear wndr4300 dostęp SSH przez WAN? (3 odpowiedzi, napisanych Oprogramowanie / Software)
Cześć
Jak w Netgearze WNDR4300v1 - Openwrt 23.05 ustawić w plikach konfiguracyjnych wjazd do SSH przez WAN?
Mam na myśli obraz z domyślnym nftables...
Pytam, bo po ostatniej awarii Vectry w mojej okolicy siadł nie tylko modem vectry ale także mój router stał się nagle i niespodziewanie acces-pointem (skutek pioruna w okolicy).
Wjazd do niego jest przez wifi, usb i WAN, ale switch LAN nie działa.
Czy z trybie failsafe jest wjazd przez WAN?
Gdzie wjazd ustawić w konfigu, żeby to przetrwało aktualizację obrazu Openwrt.
Pozdro
11 2024-06-03 18:23:07
Odp: Vectra po burzy (6 odpowiedzi, napisanych Inne)
A co na to wszystko OpenWRT? Może obok działa? Jeśli tak, to wystarczy zamienić routery i napisać jaki jest efekt.
OpenWRT na to jak na lato, internet przychodzi kablem koncentrycznym 75ohm w standardzie Docsis-3.0, ciężko znaleźć router, do którego można wpiąć taki kabel, zgodny z OpenWRT.
Także na jakąś mydelniczkę od operatora, która jest żartobliwie nazywana w reklamie "routerem wifi" jestem po prostu skazany.
12 2024-06-03 14:14:38
Temat: Vectra po burzy (6 odpowiedzi, napisanych Inne)
Cześć
Jakiś tydzień temu, w czasie wielkiej burzy, piorun zahaczył o lokalną sieć Vectry.
Popaliło w dzielnicy troszkę urządzeń, u mnie poszedł "router z Vectry - Ubee, ale przeszło też na Netgeara - spalony sam switch LAN, WAN, Wifi i USB działają, zdechła też karta sieciowa na płycie mojego kompa.
W kompie nie problem, wsadziłem inną sieciówkę, ale Netgear nie ma lan, także musiałem zapiać mojego "acces pointa Netgear" i komputer do nowego "routera", tym razem jest to Technicolor CGA 2121,
Z tym "routerem" a raczej mydelniczką CGA 2121, jest następujący problem.
Po włączeniu tego routera, zarówno komputer i netgear ciągną publiczne adresy z DHCP, Linux używa dhcpcd, netgear używa udhcp.
I po pobraniu adresu niby wszystko jest ok, przez jakiś czas, po czym mydelniczka w różnych odstępach czasu gubi połączenie z bramą routingu.
DHCPCD od razu nie reaguje, bo ma dzierżawę DHCP 28800 sekund, wiec niby wszystko jest w porządku, ale połączenia internetowego nie ma w ogóle na komputerze.
ip route show
default via 95.160.240.1 dev intel proto dhcp src 95.160.253.1xx metric 1024
95.160.240.0/20 dev intel proto dhcp scope link src 95.160.253.1xx metric 1024
ping -c50 95.160.240.1
PING 95.160.240.1 (95.160.240.1) 56(84) bytes of data.
From 95.160.253.1xx icmp_seq=1 Destination Host Unreachable
From 95.160.253.1xx icmp_seq=2 Destination Host Unreachable
From 95.160.253.1xx icmp_seq=3 Destination Host Unreachable
From 95.160.253.1xx icmp_seq=4 Destination Host Unreachable
....
Co ciekawe, raczej nie jest winny to kabel, tylko sprawa mydelniczki, bo np na komputerze net zdechł, ale netgear jeszcze internet ma, albo na netgearze już nie ma netu a na komputerze dalej działa.
To by wskazywało na winę mydelniczki a nie jakiegoś urządzenia powyżej mydelniczki.
Mydelniczka Technicolor CGA 2121 pracuje w trybie mostu (bridge).
Żeby naprawić taką sytuację wystarczy wyłączyć mydelniczkę CGA 2121 na 10 sekund z prądu, po czym włączyć ponownie.
Można też zabić proces dhcpcd w Linuxie, żeby wstał od nowa, jeśli nie zauważy utraty połączenia.
Niby prosta procedura, ale wykonywanie takiej procedur 6,7 albo i 11 razy dziennie jest dosyć denerwujące.
Taki pytanie w związku z tym? czy lepiej wnioskować o wymianę mydelniczki na inną, czy pożegnać Vectrę i poszukać innego dostawcy internetu.
Biorąc pod uwagę, że w 2023 roku zużyłem coś około 3000 GB transferu, a np w Oragne na kartę jest do zgarnięcia około 5400 GB na rok, wybór robi się coraz szerszy.
Modemy 5 G też na razie są drogie, ale też będą taniały.
Czy Vectra w mojej okolicy zacznie kiedyś działać po ciosie pioruna, nie jestem do końca pewien, natomiast zgłaszanie wadliwego działania internetu przez mydelniczkę jest ponad moje nerwy, korespondowałem tydzień z pomocą techniczną operatora i doszedłem do wniosku, ze Virtualna Konsultantka jest chyba jedyną "kompetentną" w całej tej firmie, korespondencja mailowa z adresem kontakt@vectra.pl pokazał katastrofalny poziom pracowników Vectry, po prostu epidemię głupoty na poziomie opisanym przez sławnego naukowca:
Albert Einstein napisał/a:
„Jedynie dwie rzeczy są ewentualnie nieskończone – Wszechświat i ludzka głupota, z tym, że co do Wszechświata nie mam pewności”
Pozdrawiam
13 2023-09-05 10:21:45
Odp: [SOLVED]Nftables w OpenWRT nie przepuszcza ruchu Ipv6 (2 odpowiedzi, napisanych Oprogramowanie / Software)
Już naprawione, trzeba było kartę henet dodać do zony wan firewalla.
config zone
option name 'wan'
option input 'REJECT'
option output 'ACCEPT'
option forward 'REJECT'
option masq '1'
option mtu_fix '1'
list network 'wan'
list network 'henet'Po tej zmianie zatrybiło momentalnie.
W Poprzednim Openwrt używałem własnych skryptów do Iptables, tam rozwiązanie było dużo prostsze.
Teraz chciałem spróbować, co potrafi nftables w OpenWrt, ale konfiguracja jest trochę drogą przez mękę w samym nftables, nie wspominając nawet o skryptach OpenWRT.
Do tego, żeby było trudniej,w OpenWRT jadą jedną tablicą dla obu protokołów, nazwali ją jeszcze fw4.
Przez to dużo trudniej się było zorientować, co jest grane.
xD
Pozdro
14 2023-09-05 08:50:33
Temat: [SOLVED]Nftables w OpenWRT nie przepuszcza ruchu Ipv6 (2 odpowiedzi, napisanych Oprogramowanie / Software)
Cześć
Ipv6 mam w ramach interfejsu 6in4-henet.
Na routerze Ipv6 chodzi prawidłowo:
# OpenWRT ### 09:36 Router : ~
# root ~> ping6 -c1 google.com
PING google.com (2a00:1450:401b:810::200e): 56 data bytes
64 bytes from 2a00:1450:401b:810::200e: seq=0 ttl=121 time=14.238 ms
--- google.com ping statistics ---
1 packets transmitted, 1 packets received, 0% packet loss
round-trip min/avg/max = 14.238/14.238/14.238 msale z komputera już nie
ping6 -c1 google.com
PING google.com(waw07s06-in-x0e.1e100.net (2a00:1450:401b:80e::200e)) 56 data bytes
From 2001:470:71:11::1 (2001:470:71:11::1) icmp_seq=1 Destination unreachable: Port unreachable
--- google.com ping statistics ---
1 packets transmitted, 0 received, +1 errors, 100% packet loss, time 0msRouting na obu urządzeniach się zgadza, adresy komputer dostaje przez autokonfigurację bezstanową
# ip -6 r s
2001:470:71:11::/64 dev net proto kernel metric 256 pref medium
fd2c:9fd7:c7c1::/64 dev net proto kernel metric 256 pref medium
fe80::/64 dev net proto kernel metric 256 pref medium
default via fe80::a263:91ff:fe7d:585a dev net proto ra metric 1024 expires 1454sec mtu 1280 hoplimit 64 pref mediumNa OpenWRT 21.02 z iptables wszystko brykało poprawnie w takiej samej konfiguracji.
Po wyłączeniu firewalla przez
/etc/init.d/firewall stop
Ipv6 działa normalnie.
15 2023-09-04 13:56:46
Odp: [SOLVED]Brak wifi 5Ghz na obrazie OpenWRT-23.05 (3 odpowiedzi, napisanych Oprogramowanie / Software)
Naprawione
Okazało się, że routerek musiał sobie po wyłączeniu parę minut wystygnąć, żeby zaskoczyło.
Zwykły reboot nie pomagał, za to poweroff i wyłączenie zasilania na 5 minut owszem.
16 2023-09-04 13:17:58
Odp: [SOLVED]Brak wifi 5Ghz na obrazie OpenWRT-23.05 (3 odpowiedzi, napisanych Oprogramowanie / Software)
Dobra, kanał 13 dla radio0 naprawiony.
Ale radio1 nie wróciło po 2 rebootach, także będzie z tym troszkę więcej gimnastyki.
Po uruchomieniu:
root@Router:~# uptime
14:26:27 up 1 min, load average: 0.71, 0.39, 0.15
root@Router:~# iw dev
phy#0
Interface phy0-ap0
ifindex 8
wdev 0x2
addr a0:63:91:7d:58:5a
ssid Biesio4
type AP
channel 13 (2472 MHz), width: 20 MHz, center1: 2472 MHz
txpower 16.00 dBm
multicast TXQ:
qsz-byt qsz-pkt flows drops marks overlmt hashcol tx-bytes tx-packets
0 0 15 0 0 0 0 1534 15
root@Router:~# logread | grep radio1
root@Router:~# logread | grep radio0
Mon Sep 4 14:25:26 2023 daemon.notice netifd: Wireless device 'radio0' is now up
root@Router:~# dmesg | grep -e ath -e 80211 -e wireless
[ 16.860074] ath: EEPROM regdomain: 0x0
[ 16.860103] ath: EEPROM indicates default country code should be used
[ 16.860111] ath: doing EEPROM country->regdmn map search
[ 16.860129] ath: country maps to regdmn code: 0x3a
[ 16.860139] ath: Country alpha2 being used: US
[ 16.860148] ath: Regpair used: 0x3a
[ 16.873660] ieee80211 phy0: Selected rate control algorithm 'minstrel_ht'
[ 16.876058] ieee80211 phy0: Atheros AR9340 Rev:2 mem=0xb8100000, irq=12
[ 45.939652] ath: EEPROM regdomain: 0x8268
[ 45.943747] ath: EEPROM indicates we should expect a country code
[ 45.949997] ath: doing EEPROM country->regdmn map search
[ 45.955400] ath: country maps to regdmn code: 0x37
[ 45.960262] ath: Country alpha2 being used: PL
[ 45.964766] ath: Regpair used: 0x37
[ 45.968322] ath: regdomain 0x8268 dynamically updated by user
root@Router:~# Pozdro
17 2023-09-04 12:45:22
Temat: [SOLVED]Brak wifi 5Ghz na obrazie OpenWRT-23.05 (3 odpowiedzi, napisanych Oprogramowanie / Software)
Witam
Pacjent zwie się: Netgear WNDR4300
Wgrałem mu przez failsafe obraz:
openwrt-23.05-snapshot-r23403-736e3b81aa-ath79-nand-netgear_wndr4300-squashfs-factory.img
Po aktualizacji karta wifi 5Ghz radio1 w ogóle jest niewidoczna w systemie, natomiast radio0 (2.4Ghz) jest ograniczona do 11 kanału (na poprzednim obrazie openwrt-21.02-snapshot-r16847-f8282da11e-ath79-nand-netgear_wndr4300 chodziła na kanale 13).
radio0:
iw phy0 info
Wiphy phy0
wiphy index: 0
max # scan SSIDs: 4
max scan IEs length: 2257 bytes
max # sched scan SSIDs: 0
max # match sets: 0
Retry short limit: 7
Retry long limit: 4
Coverage class: 0 (up to 0m)
Device supports AP-side u-APSD.
Device supports T-DLS.
Available Antennas: TX 0x3 RX 0x3
Configured Antennas: TX 0x3 RX 0x3
Supported interface modes:
* IBSS
* managed
* AP
* AP/VLAN
* monitor
* mesh point
* P2P-client
* P2P-GO
* outside context of a BSS
Band 1:
Capabilities: 0x11ef
RX LDPC
HT20/HT40
SM Power Save disabled
RX HT20 SGI
RX HT40 SGI
TX STBC
RX STBC 1-stream
Max AMSDU length: 3839 bytes
DSSS/CCK HT40
Maximum RX AMPDU length 65535 bytes (exponent: 0x003)
Minimum RX AMPDU time spacing: 8 usec (0x06)
HT TX/RX MCS rate indexes supported: 0-15
Frequencies:
* 2412 MHz [1] (26.0 dBm)
* 2417 MHz [2] (26.0 dBm)
* 2422 MHz [3] (26.0 dBm)
* 2427 MHz [4] (26.0 dBm)
* 2432 MHz [5] (26.0 dBm)
* 2437 MHz [6] (26.0 dBm)
* 2442 MHz [7] (26.0 dBm)
* 2447 MHz [8] (26.0 dBm)
* 2452 MHz [9] (26.0 dBm)
* 2457 MHz [10] (26.0 dBm)
* 2462 MHz [11] (26.0 dBm)
* 2467 MHz [12] (disabled)
* 2472 MHz [13] (disabled)
* 2484 MHz [14] (disabled)
valid interface combinations:
* #{ managed } <= 2048, #{ AP, mesh point } <= 8, #{ P2P-client, P2P-GO } <= 1, #{ IBSS } <= 1,
total <= 2048, #channels <= 1, STA/AP BI must match, radar detect widths: { 20 MHz (no HT), 20 MHz, 40 MHz }
HT Capability overrides:
* MCS: ff ff ff ff ff ff ff ff ff ff
* maximum A-MSDU length
* supported channel width
* short GI for 40 MHz
* max A-MPDU length exponent
* min MPDU start spacing
max # scan plans: 1
max scan plan interval: -1
max scan plan iterations: 0
Supported extended features:
* [ RRM ]: RRM
* [ FILS_STA ]: STA FILS (Fast Initial Link Setup)
* [ CQM_RSSI_LIST ]: multiple CQM_RSSI_THOLD records
* [ CONTROL_PORT_OVER_NL80211 ]: control port over nl80211
* [ TXQS ]: FQ-CoDel-enabled intermediate TXQs
* [ SCAN_RANDOM_SN ]: use random sequence numbers in scans
* [ SCAN_MIN_PREQ_CONTENT ]: use probe request with only rate IEs in scans
* [ CAN_REPLACE_PTK0 ]: can safely replace PTK 0 when rekeying
* [ AIRTIME_FAIRNESS ]: airtime fairness scheduling
* [ CONTROL_PORT_NO_PREAUTH ]: disable pre-auth over nl80211 control port support
* [ DEL_IBSS_STA ]: deletion of IBSS station support
* [ MULTICAST_REGISTRATIONS ]: mgmt frame registration for multicast
* [ SCAN_FREQ_KHZ ]: scan on kHz frequency support
* [ CONTROL_PORT_OVER_NL80211_TX_STATUS ]: tx status for nl80211 control port supportradio1:
logread | grep radio1
Mon Sep 4 12:49:13 2023 daemon.notice netifd: radio1 (4483): Phy not found
Mon Sep 4 12:49:13 2023 daemon.notice netifd: radio1 (4483): Could not find PHY for device 'radio1'
Mon Sep 4 12:49:13 2023 daemon.notice netifd: Wireless device 'radio1' set retry=0
Mon Sep 4 12:49:13 2023 daemon.crit netifd: Wireless device 'radio1' setup failed, retry=0
Mon Sep 4 12:49:14 2023 daemon.notice netifd: radio1 (4501): WARNING: Variable 'data' does not exist or is not an array/object
Mon Sep 4 12:49:14 2023 daemon.notice netifd: radio1 (4501): Bug: PHY is undefined for device 'radio1'
Mon Sep 4 12:49:14 2023 daemon.notice netifd: Wireless device 'radio1' is now downTo są tymczasowe błędy w sterowniku, czy może feature, które zostanie do końca świata?
Pozdro
18 2023-05-06 16:30:23
Odp: Supervising demona w procd? (3 odpowiedzi, napisanych Oprogramowanie / Software)
Niby jest:
grep -A5 -B5 'procd_set_param respawn' /etc/init.d/radiusd
procd_open_instance
procd_set_param command $PROG -s
procd_set_param env LD_LIBRARY_PATH=/usr/lib/freeradius3
[ -n "$IPADDR" ] && procd_append_param command -i $IPADDR
[ -n "$OPTIONS" ] && procd_append_param command $OPTIONS
procd_set_param respawn
procd_close_instance
}Jak nauczyć procd, żeby podnosił demona do skutku np co 10 sekund albo co minutę?
19 2023-05-06 16:12:52
Temat: Supervising demona w procd? (3 odpowiedzi, napisanych Oprogramowanie / Software)
Cześć
Załóżmy że jakiś demon np radiusd czy inny po kilku godzinach sobie zdechnie i nie działa.
Powody mogą być różne,np przez chwilkę zabrakło pamięci ram czy coś podobnego.
Jak w procd zrobić supervising demona, czyli taką opcję, żeby po upadku demon był podnoszony od nowa automatycznie?
Jak taki mechanizm działa?
np daemontools:
# root ~> svstat /service/sshd
/service/sshd: up (pid 3753) 2730 seconds
# root ~> killall -9 sshd; sleep 2s; svstat /service/sshd
/service/sshd: up (pid 3899) 2 seconds
# root ~> killall -9 sshd; sleep 2s; svstat /service/sshd
/service/sshd: up (pid 3970) 2 secondsZnalazłem coś takiego, ale na razie nie wiem, jak to użyć:
https://gist.github.com/puhitaku/15d3fa … c95e134c3c
20 2023-05-06 15:47:17
Odp: Sprawdzanie sum kontrolnych zainstalowanych pakietów w OpenWRT? (7 odpowiedzi, napisanych Oprogramowanie / Software)
Folder z listami kontrolnymi nie musi być w routerze, skoro tam jest mało miejsca.
Jeśli router ma usb (obecnie dosyć powszechne zjawisko), to można do sprawdzania podłączyć pendraka na 5 minut, nie problem.
Albo po SSH wrzuć listy do /tmp/ sprawdzić i je skasować.
Identycznie, jak to poleca manual AIDE do sprawdzania integralności plików na serwerach.
https://aide.github.io/
Także w praktycznie każdym Linuxie nie jest problem "czy się da",
tylko jak to sensownie i optymalnie zrobić.
21 2023-05-06 02:06:43
Odp: Sprawdzanie sum kontrolnych zainstalowanych pakietów w OpenWRT? (7 odpowiedzi, napisanych Oprogramowanie / Software)
Cezary napisał/a:
A tu nie ma. Opkg jest dość proste i przechowuje tylko nazwy plików z pakietów. Co więcej - możesz nawet usunąć opkg.
EDIT: listę pakietów masz, więc możesz ściągać pakiet po pakiecie, zweryfikować czy pakiet jest prawidłowy, rozpakować go i sprawdzić plik po pliku.
Właśnie dlatego planuję wymianę routera na Ubi ER-X5 z Debianem mips na pokładzie, a obecny grat pójdzie na szafę jako AP tylko.
Swoją drogą, tak trudno w pliku z nazwą pakietu kilka haszy SHA2 zmieścić?
to można już zrobić automatycznie na etapie budowy paczek,dokładnie tak, jak to robi Debian czy inne deby albo rpmy.
Taki mechanizm bardzo się przydaje, jak do systemu dostanie się backdoor
i ukryje podmieniając binarkę jakiegoś demona sieciowego.
Parę razy podobne syfy wywalałem z serwerów czy routerów, zapewniam że to bycza zabawa.
22 2023-05-05 13:12:46
Temat: Sprawdzanie sum kontrolnych zainstalowanych pakietów w OpenWRT? (7 odpowiedzi, napisanych Oprogramowanie / Software)
Podobno OpenWRT to jest Linux.
We wszystkich znanych mi serwerowo-desktopowych Linuksach jest mechanizm sprawdzania integralności zainstalowanych pakietów.
np w Debianie jest to debsums:
https://manpages.debian.org/bullseye/de … .1.en.html
W moim ulubiony Gentoo jest to qcheck:
https://wiki.gentoo.org/wiki/Q_applets# … 8qcheck.29
Jak się zowie podobny mechanizm w OpenWRT?
O rkhuntera nie pytam, bo on nie sprawdza sum wszystkich zainstalowanych pakietów,
tymczasem w bazach Debiana /var/lib/dpkg/info czy w Gentoo /var/db/pkg są sumy kontrolne wszystkich zainstalowanych pakietów, nawet skryptów powłoki instalowanych oficjalną drogą.
Pozdro
23 2023-05-04 23:35:34
Odp: [SOLVED]Freeradius - zrzucanie uprawnień (11 odpowiedzi, napisanych Oprogramowanie / Software)
Na razie idzie dosyć ciężko:
2023 May 5 00:28:17 OpenWrt hostapd: wlan0: CTRL-EVENT-EAP-STARTED b6:3a:9b:e0:e4:01
2023 May 5 00:28:17 OpenWrt hostapd: wlan0: CTRL-EVENT-EAP-PROPOSED-METHOD vendor=0 method=1
2023 May 5 00:28:17 OpenWrt hostapd: wlan0: CTRL-EVENT-EAP-PROPOSED-METHOD vendor=0 method=25
2023 May 5 00:28:17 OpenWrt hostapd: wlan0: CTRL-EVENT-EAP-PROPOSED-METHOD vendor=0 method=21
2023 May 5 00:28:17 OpenWrt hostapd: wlan0: CTRL-EVENT-EAP-FAILURE b6:3a:9b:e0:e4:01
2023 May 5 00:28:17 OpenWrt hostapd: wlan0: STA b6:3a:9b:e0:e4:01 IEEE 802.1X: authentication failed - EAP type: 0 (unknown)
2023 May 5 00:28:17 OpenWrt hostapd: wlan0: STA b6:3a:9b:e0:e4:01 IEEE 802.1X: Supplicant used different EAP type: 21 (TTLS)
2023 May 5 00:28:22 OpenWrt hostapd: wlan0: STA b6:3a:9b:e0:e4:01 IEEE 802.11: deauthenticated due to local deauth requestAle po malutku aż do skutku, jakoś to zamiaruję rozpracować.
Konfiguracja w tej minucie:
wireless.default_radio0=wifi-iface
wireless.default_radio0.device='radio0'
wireless.default_radio0.network='lan'
wireless.default_radio0.mode='ap'
wireless.default_radio0.ssid='wifi4eap'
wireless.default_radio0.encryption='wpa2'
wireless.default_radio0.eap_server='1'
wireless.default_radio0.eap_user_file='/etc/config/hostapd.eap_user'
wireless.default_radio0.ca_cert='/etc/config/certs/serwerCA.crt'
wireless.default_radio0.server_cert='/etc/config/certs/serwer.crt'
wireless.default_radio0.priv_key='/etc/config/certs/serwer.key'
wireless.default_radio0.check_crl='0'
wireless.default_radio0.dh_file='/etc/config/certs/dh4096.pem'
wireless.default_radio0.ieee8021x='1'
wireless.default_radio0.auth_algs='3'
wireless.default_radio0.eapol_version='2'posiłkuję się tym:
https://gist.github.com/noahwilliamsson … 959ffa9c92
EDYTA:
Muszę od eap w hostapd odpocząć, bo mis się łepetyna zagotowała.
I zapytać na liście ML hostapd, czy to eap jest jeszcze rozwijany,
bo wygląda, że się zatrzymał na WPA1.
Pozdrawiam
24 2023-05-04 19:37:09
Odp: [SOLVED]Freeradius - zrzucanie uprawnień (11 odpowiedzi, napisanych Oprogramowanie / Software)
Cezary napisał/a:
No tak, hostapd ma to wbudowane. Od bardzo dawna ma.
Jak w Openwrt podpiąć do hostapd konfig hostapad.eap_user i certyfikaty?
Tutaj znalazłem jeszcze ciekawszą instrukcję z Debiana:
cat /usr/share/doc/hostapd/examples/hostapd.eap_user napisał/a:
# Phase 2 (tunnelled within EAP-PEAP or EAP-TTLS) users
"t-md5" MD5 "password" [2]
"DOMAIN\t-mschapv2" MSCHAPV2 "password" [2]
"t-gtc" GTC "password" [2]
"not anonymous" MSCHAPV2 "password" [2]
"user" MD5,GTC,MSCHAPV2 "password" [2]
"test user" MSCHAPV2 hash:000102030405060708090a0b0c0d0e0f [2]
"ttls-user" TTLS-PAP,TTLS-CHAP,TTLS-MSCHAP,TTLS-MSCHAPV2 "password" [2]
Ale nie wiem, jak uci/luci nauczyć tej dokumentacji.
25 2023-05-04 19:25:25
Odp: [SOLVED]Freeradius - zrzucanie uprawnień (11 odpowiedzi, napisanych Oprogramowanie / Software)
Jak mawiają klasycy:
Ale Jaja! Ale Jaja! Ale Jaja1
Narobiłem się przy radiusie jak osioł po to, żeby potem zauważyć, że ten radius wcale nie jest niezbędny ani potrzebny.
Na przyszłość muszę sobie przed podobną gimnastyką marchewki zjeść.
hostapd.conf napisał/a:
# Path for EAP server user database
# If SQLite support is included, this can be set to "sqlite:/path/to/sqlite.db"
# to use SQLite database instead of a text file.
#eap_user_file=/etc/hostapd.eap_user# CA certificate (PEM or DER file) for EAP-TLS/PEAP/TTLS
#ca_cert=/etc/hostapd.ca.pem# Server certificate (PEM or DER file) for EAP-TLS/PEAP/TTLS
#server_cert=/etc/hostapd.server.pem
https://github.com/xradvanyip/hostapd-o … stapd.conf
Trafiłem na ten wątek przypadkiem, szukając,
jak posadzić radiusa z certami letsencrypt:
https://stackoverflow.com/questions/753 … ertificate
Pozdro
Znalezione posty: 1 do 25 z 95
eko.one.pl → Posty przez jacekalex
Forum oparte o PunBB, wspierane przez Informer Technologies, Inc