Dzięki że mi to wytłumaczyłeś. A ja tu siedzę i klnę że nie działa kiedy powinno. Wiesz może ile aktywacja takiej usługi dla prepaidowego Playa może mniej-więcej zająć?

Pierwszy raz w życiu takie cuś ustawić próbowałem na domowej sieci. Czyli nawet jak mi zmienne IP nie przeszkadza, to i tak muszę kupić publliczne IP jeśli chcę się z modemem łączyć z zewnątrz?

Mam Gargoyle 1.9.1.1 na Netgear WNDR 4300. W niego wpięty modem USB ZTE MF823, PLAY LTE, w trybie "Hilink, RNDIS".

Router dostaje od DHCP modemu IP 192.168.0.182. Maszyna lokalna od DHCP routera dostaje 192.168.1.132.

Próbuję ustawić przekierowanie SSH z modemu, przez router do maszyny lokalnej.

W web GUI modemu ustawiłem w sekcji System > Mapowanie portów:

Port źródłowy: 22
Docelowe adresy IP: 192.168.0.182
Port docelowy: 22
Protokół: TCP

W Gargoyle Firewall > Przekierowanie portu:

Protokół: TCP
Od portu: 22
Do IP: 192.168.1.132
Do portu: 22

Przekierowanie router -> maszyna lokalna wydaje się działać OK, bo

telnet 192.168.0.182 22

po zalogowaniu przez telnet na modem zwraca winietkę

SSH-2.0-OpenSSH_7.3

Ale próba połączenia z publicznym IP modemu z zewnętrznej sieci (hotspot KFC i darmowy Orange) nie udaje się. Te polecenia wiszą parę minut i zwracają timeot:

ssh <publiczny IP modemu>
telnet <publiczny IP modemu> 22

Jakaś łączność z modemem z tych sieci jest, bo np:

nmap -Pn <publiczny IP modemu>

pokazuje na modemie porty 80/tcp i 8008/tcp "open" i 113/tcp "closed".

Wygląda na to, że modem nie przekierowuje na ruter. Dobrze mówię? Poradzicie co można z tym ewentualnie zrobić?

Cezary napisał/a:

po resecie będziesz musiał to zrobić jeszcze raz.

Jasne. Dorzuciłem do /etc/rc.local.

echo '0' > /sys/devices/virtual/net/br-lan/bridge/multicast_snooping

załatwia sprawę. Domyślnie było "1". Czy jest szansa, że coś przy okazji zepsułem?

Tak czy siak Gargoyle wysyła ten multicast a mi on do niczego nie potrzebny. Zakładam, że to Gargoyle, bo MAC w powyższym komunikacie UFW na kliencie zgadza się z MAC interfejsów wlan0 i br-lan routera:

# ifconfig | grep -A5 -i "mac:o:ktorym:mowa"
br-lan    Link encap:Ethernet  HWaddr mac:o:ktorym:mowa 
          inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1160430 errors:0 dropped:437 overruns:0 frame:0
          TX packets:2662354 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
--
wlan0     Link encap:Ethernet  HWaddr mac:o:ktorym:mowa 
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:2186655 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3721683 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:1062331251 (1013.1 MiB)  TX bytes:5254101011 (4.8 GiB

Czy wiesz jak wyłączyć nadawanie tego multicasta?

W System > Usługi mam włączone tylko fstab, log, sysfixtime, system, usbmode.

Z tego co widzę upnpd ani minidlna nie mam nawet zainstalowanych:

# opkg list-installed | grep -i 'dlna\|upnp'
<nic nie napisał>

Kiedyś (1.6?) w Firewall > Przekierowanie portów było klikadełko do upnp poniżej ustawień DMZ. Teraz kończy się na DMZ.

Co zrobić, żeby Gargoyle przestał rozsyłać po sieci pakiety, które kończą się na moich klientach takim komunikatem?

[UFW BLOCK] IN=wlp3s0 OUT= MAC=<wycięte> SRC=0.0.0.0 DST=224.0.0.1 LEN=32 TOS=0x00 PREC=0xC0 TTL=1 ID=0 DF PROTO=2

W 1.6 tego nie było. Zaczęło się od 1.8. A może to coś po stronie klienta jednak? Albo modem USB (Play LTE)?

Jednak zrobię to po prostacku. Do którego skryptu w Gargoyle'u można dodać te linie:

uci add_list dhcp.@dnsmasq[0].server='127.0.0.1#5353'
uci add_list dhcp.@dnsmasq[0].server='/pool.ntp.org/208.67.222.222'
uci commit dhcp
/etc/init.d/dnscrypt-proxy restart
/etc/init.d/dnsmasq restart

żeby się odpalały po naduszeniu "Zapisz zmiany" na stronie Konfiguracja -> Podstawowa? Dodał bym też pewnie logikę sprawdzającą, czy te wpisy w kluczu dnsmasq[0].server na pewno nie istnieją przed ich ponownym dodaniem i restartem usług.

OK. Restart usługi przez /etc/rc.local bangla.

Wracając do Gargoyla - czy teoretycznie da się napisać dodatek, który po zainstalowaniu zintegrowałby funkcję włącz/wyłącz DNSCrypt na stronie Konfiguracja -> Podstawowa? W shellu pisać umiem, ale we wnętrznościach Gargoyla jeszcze nie grzebałem.

Skonfigurowałem DNSCrypt wg http://eko.one.pl/?p=openwrt-dnscrypt. Po reboocie routera (Netgear WNDR 4300) usługa nie chodzi:

root@Gargoyle:~# ps w | grep -i dns
 2701 nobody     936 S    /usr/sbin/dnsmasq -C /var/etc/dnsmasq.conf -k -x /var/run/dnsmasq/dnsmasq.pid
 2733 root      1364 S    grep -i dns
root@Gargoyle:~# logread | grep -i dnscrypt
Sun Jul 17 16:25:34 2016 daemon.notice dnscrypt-proxy[1594]: Starting dnscrypt-proxy 1.4.3
Sun Jul 17 16:25:34 2016 daemon.info dnscrypt-proxy[1594]: Initializing libsodium for optimal performance
Sun Jul 17 16:25:34 2016 daemon.info dnscrypt-proxy[1594]: Generating a new key pair
Sun Jul 17 16:25:34 2016 daemon.info dnscrypt-proxy[1594]: Done

Restaruję usługę i zaczyna działać:

root@Gargoyle:~# /etc/init.d/dnscrypt-proxy restart
root@Gargoyle:~# ps w | grep -i dns
 2701 nobody     936 S    /usr/sbin/dnsmasq -C /var/etc/dnsmasq.conf -k -x /var/run/dnsmasq/dnsmasq.pid
11302 nobody    1368 S    /usr/sbin/dnscrypt-proxy -d -a 127.0.0.1:5353 -u nobody -L /usr/share/dnscrypt-proxy/dnscrypt-resolvers.c
11324 root      1364 S    grep -i dns
root@Gargoyle:~# logread | grep -i dnscrypt
Sun Jul 17 16:25:34 2016 daemon.notice dnscrypt-proxy[1594]: Starting dnscrypt-proxy 1.4.3
Sun Jul 17 16:25:34 2016 daemon.info dnscrypt-proxy[1594]: Initializing libsodium for optimal performance
Sun Jul 17 16:25:34 2016 daemon.info dnscrypt-proxy[1594]: Generating a new key pair
Sun Jul 17 16:25:34 2016 daemon.info dnscrypt-proxy[1594]: Done
Sun Jul 17 16:34:16 2016 daemon.notice dnscrypt-proxy[11302]: Starting dnscrypt-proxy 1.4.3
Sun Jul 17 16:34:16 2016 daemon.info dnscrypt-proxy[11302]: Initializing libsodium for optimal performance
Sun Jul 17 16:34:16 2016 daemon.info dnscrypt-proxy[11302]: Generating a new key pair
Sun Jul 17 16:34:16 2016 daemon.info dnscrypt-proxy[11302]: Done
Sun Jul 17 16:34:17 2016 daemon.info dnscrypt-proxy[11302]: Server certificate #1463092899 received
Sun Jul 17 16:34:17 2016 daemon.info dnscrypt-proxy[11302]: This certificate looks valid
Sun Jul 17 16:34:17 2016 daemon.info dnscrypt-proxy[11302]: Chosen certificate #1463092899 is valid from [2016-05-13] to [2017-05-13]
Sun Jul 17 16:34:17 2016 daemon.info dnscrypt-proxy[11302]: Server key fingerprint is ABA1:F000:D394:8045:672D:73E0:EAE6:F181:19D0:2A62:3791:EFAD:B04E:40B7:B6F9:C40B
Sun Jul 17 16:34:17 2016 daemon.notice dnscrypt-proxy[11302]: Proxying from 127.0.0.1:5353 to 208.67.220.220:443

Jak to naprawić?

I co trzeba by zrobić, żeby zmiany wprowadzane w Gargoyle przez Konfiguracja -> Podstawowa nie psuły ustawień DNSCrypt? Obecnie zawsze po takich zmianach (np. włączenie/wyłączenie sieci gościnnej) muszę zalogować się po SSH żeby ręcznie zrobić:

    # uci add_list dhcp.@dnsmasq[0].server='127.0.0.1#5353'
    # uci add_list dhcp.@dnsmasq[0].server='/pool.ntp.org/208.67.222.222'
    # uci commit dhcp
    # /etc/init.d/dnscrypt-proxy restart
    # /etc/init.d/dnsmasq restart

Trochę to uciążlliwe.

12

(3 odpowiedzi, napisanych Oprogramowanie / Software)

No to fpyteczke!

13

(3 odpowiedzi, napisanych Oprogramowanie / Software)

Cześć Cezary

Na http://dl.eko.one.pl/gargoyle-pl/chaos_calmer/ar71xx/ zamieściłeś paczki do Gargoyle'a 1.9.0.1. Czy zamierzasz też opublikować obrazy? A może to paki do obrazów ispyisail'a (https://www.gargoyle-router.com/phpbb/v … amp;t=8247)?

Cześć

Wpadłem podziękować za odpowiedzi. Pobawiłem się Luci ale trochę mnie to przerasta. Mam ledwo blade pojęcie o routingu i iptables, więc nawet jak coś nadłubię i "działa" nigdy pewny nie będę że zrobiłem to jak trzeba, chyba że mi dobra dusza powie "zrób dokladnie to i to, dlatego i dlatego, a jak przypadkiem zrobisz tak i tak bo niby to samo, to nie jest to samo, bo wtedy nie będziesz miał tego i tego/zepsułeś przy okazji cośtam". Muszę więc polegać na gotowych rozwiązaniach by przestawiając odpowiednie wajchy dostać przewidywalny efekt. Dlatego Gargoyle.

Z tym całym upgradem chodziło głównie o to żeby mieć nowego klienta OpenVPN nie tracąc potrzebnej mi funkcjonalności Gargoyle'a 1.6.2.2, w którym OpenVPN 2.2.2 był dośc zabytkowy, podczas gdy mój dostawca życzy sobie żebym używał nowszej.

Ostatecznie zainstalowałem 1.8.1 z gargoyle-router.com. Z przygodami, bo parę rzeczy (ale nie aż połowa big_smile) nie działa - musiałem pokombinować żeby zainstalować ZTE MF 823: https://www.gargoyle-router.com/phpbb/v … 14#p33314. No i brak tych kanałów, o których marekz pisze.

Szkoda, Cezary, że nie budujesz już Gargoyle'a... Jakieś szanse na przyszłość są?

Po drodze udało mi się usmażyć WDR3600. Mocno spadło mi ogarnięcie biurka trzeciej nocy walki z tematem na wielu frontach jednocześnie i biedaczek dostał 42V/2A zamiast 12/1,5 z ładowarki obok. lol. Jestem teraz szczęśliwym posiadaczem WNDR4300 za 199 zł i też fajnie. Któregoś pięknego dnia przyjrzę się dokładnie https://forum.openwrt.org/viewtopic.php?id=50914 i zrobię takego builda że mucha nie siada wink. Jak tylko zrozumiem te 4000 linii konfiga, czyli równie dobrze nigdy... Jak wy to ludzie ogarniacie?

Chce ktoś WDR3600 na części? Teraz długi urlop. Net działa to mogę jechać smile. Jakoś przed świętami mógłbym wysłać.

Przesiadłem się wreszcie na moim WDR3600 z Gargoyle na Luci CC (luci-15.05-ar71xx-generic-tl-wdr3600-v1-squashfs-sysupgrade.bin). Fajne to. Dzięki, Cezary. Proszę o pomoc w rozwiązaniu paru zagwozdek:

1. `ip addr' wymienia kilka "dziwnych" interfejsów:

3: ifb0: <BROADCAST,NOARP> mtu 1500 qdisc noop state DOWN group default qlen 32
    link/ether ee:b3:2f:25:e0:5e brd ff:ff:ff:ff:ff:ff
4: ifb1: <BROADCAST,NOARP> mtu 1500 qdisc noop state DOWN group default qlen 32
    link/ether d2:2e:54:1d:b2:97 brd ff:ff:ff:ff:ff:ff
5: gre0@NONE: <NOARP> mtu 1476 qdisc noop state DOWN group default 
    link/gre 0.0.0.0 brd 0.0.0.0
6: gretap0@NONE: <BROADCAST,MULTICAST> mtu 1462 qdisc noop state DOWN group default qlen 1000
    link/ether 00:00:00:00:00:00 brd ff:ff:ff:ff:ff:ff
7: teql0: <NOARP> mtu 1500 qdisc noop state DOWN group default qlen 100
    link/void

Potrzebne to do czegoś?

2. W System > LED Configuration mam sekcję odwołującą się do jakiejś niebieskiej diody:

# uci show system.led_wlan2g
system.led_wlan2g=led
system.led_wlan2g.name='WLAN2G'
system.led_wlan2g.sysfs='tp-link:blue:wlan2g'
system.led_wlan2g.trigger='phy0tpt'

Po co to?

3. W pluginie do konfiguracji klienta VPN w Gargoyle była szajbka do zablokowania całego ruchu nie-VPN. Jak to samo zrobić w Luci? Odhaczyłem forwarding lan<->wan w "Inter-Zone Forwarding" i po wyłączeniu klienta VPN w Luci ruch z klientów rutera nie przechodzi - tak jak chciałem, ale to przy okazji blokuje mi to dostęp to webui modemu podłączonego do rutera (192.168.0.1) z klientów rutera. Jak tego uniknąć?

4. W Gargoyle'u były też wygodne szajbki do wymuszenia użycia rutera jako DNS przez wszystkie klienty i do blokowania pingów z WANu. Co zrobić w Luci, z webui albo terminala, żeby osiągnąć to samo?

5. Mój dostawca VPN chce, żebym używał opcji explicit-exit-notify. Mimo, że OpenVPN 2.3 ma obsługiwać explicit-exit-notify (https://community.openvpn.net/openvpn/w … n23ManPage) openvpn-openssl_2.3.6-5_ar71xx.ipk odrzuca ją z takim błędem:

Sat Nov  7 19:43:12 2015 daemon.err openvpn(sample_client)[9779]: Options error: Unrecognized option or missing parameter(s) in openvpn-sample_client.conf:10: explicit-exit-notify (2.3.6)

Co z tym należy zrobić? Zgłosić u OpenWRT? Wspomniałem już o tym w http://eko.one.pl/forum/viewtopic.php?p … 8#p151308. Przepraszam jeśli komuś przeszkadza, że się powtarzam.

Bung napisał/a:

Przy okazji VPN - czy klient OpenVPN w najnowszym wydaniu Luci CC poprawnie obsługuje opcję explicit-exit-notify? Mój dostawca VPN chce żebym ją używał, ale OpenVPN 2.2.2 z gargoyle-1.6.2.2-ar71xx-tl-wdr3600-v1 się na niej wysypuje.

Odpowiedź brzmi: nie. Mimo, że OpenVPN 2.3 ma obsługiwać tą opcję (https://community.openvpn.net/openvpn/w … n23ManPage) wersja 2.3.6 z luci-15.05-ar71xx-generic-tl-wdr3600-v1-squashfs-sysupgrade.bin rzuca takim błędem:

Sat Nov  7 19:43:12 2015 daemon.err openvpn(sample_client)[9779]: Options error: Unrecognized option or missing parameter(s) in openvpn-sample_client.conf:10: explicit-exit-notify (2.3.6)

Mam to zgłosić u OpenWRT?

Cezary napisał/a:

1. Nie da ci to lepszego połączenia. Właśnie HiLlnki/hostless dają najwięcej, bo całością zajmuje się modem i jego sterowniki dane przez producenta.

OK. Tak czy siak spróbowałbym innego trybu połączenia, bo póki co mój modem potrafi osiągnąć stan (na oko wskutek interwencji Playa, bo prądu po aktywnym hubie ma dość), który zrywa połączenie klienta OpenVPN na ruterze do którego jest podłączony. Nawet jeśli modem ponownie połączy się z siecią, to klient VPN na moim Gargoyle'u czasem nie umie się potem pozbierać aż go nie zrestartuję. Więc - ktokolwiek wie jak przełączyć MF823 w inny tryb żebym mógł sprawdzić czy wówczas połączenie VPN jest odporne na manipulacje operatora - proszę o podzielenie się wiedzą. Niewiedzą także, jako i ja czynię smile.

Przy okazji VPN - czy klient OpenVPN w najnowszym wydaniu Luci CC poprawnie obsługuje opcję explicit-exit-notify? Mój dostawca VPN chce żebym ją używał, ale OpenVPN 2.2.2 z gargoyle-1.6.2.2-ar71xx-tl-wdr3600-v1 się na niej wysypuje.

Dobry wieczór ludziom dobrej woli!

Mam taki modem podłączony do TP-Linka WDR3600:

T:  Bus=01 Lev=03 Prnt=03 Port=00 Cnt=01 Dev#=  5 Spd=480  MxCh= 0
D:  Ver= 2.00 Cls=02(comm.) Sub=00 Prot=00 MxPS=64 #Cfgs=  1
P:  Vendor=19d2 ProdID=1405 Rev=f0.d2
S:  Manufacturer=ZTE,Incorporated
S:  Product=ZTE WCDMA Technologies MSM
S:  SerialNumber=MF8230ZTED010000
C:* #Ifs= 3 Cfg#= 1 Atr=a0 MxPwr=500mA
I:* If#= 0 Alt= 0 #EPs= 1 Cls=02(comm.) Sub=06 Prot=00 Driver=cdc_ether
E:  Ad=82(I) Atr=03(Int.) MxPS=  16 Ivl=32ms
I:  If#= 1 Alt= 0 #EPs= 0 Cls=0a(data ) Sub=00 Prot=00 Driver=cdc_ether
I:* If#= 1 Alt= 1 #EPs= 2 Cls=0a(data ) Sub=00 Prot=00 Driver=cdc_ether
E:  Ad=81(I) Atr=02(Bulk) MxPS= 512 Ivl=0ms
E:  Ad=01(O) Atr=02(Bulk) MxPS= 512 Ivl=0ms
I:* If#= 2 Alt= 0 #EPs= 2 Cls=08(stor.) Sub=06 Prot=50 Driver=usb-storage
E:  Ad=83(I) Atr=02(Bulk) MxPS= 512 Ivl=0ms
E:  Ad=02(O) Atr=02(Bulk) MxPS= 512 Ivl=125us
http://192.168.0.1/goform/goform_get_cmd_process?cmd=hardware_version
{"hardware_version":"MF823-1.0.0"}

http://192.168.0.1/goform/goform_get_cmd_process?cmd=wa_inner_version
{"wa_inner_version":"BD_MF823HDV1.0.0B03"}

http://192.168.0.1/goform/goform_get_cmd_process?cmd=web_version
{"web_version":"WEB_PLYPOLMF823V1.0.0B03"}

Bardzo proszę lepiej poinformowanych forumowiczów o pomoc w ustaleniu odpowiedzi na następujące pytania:

1. Czy wiadomo komuś czy, jak i czy warto na stałe przełączyć ZTE MF823 w tryb innny niż CDC ethernet? Chciałbym pozbyć się  NATu na modemie. Czy poza drobnym uproszczeniem sieci taka konfiguracja mogłaby dać lepszą wydajność połączenia z Internetem (np. krótsze pingi?) oraz mniejsze obciążenie = lepszą stabilność modemu?

`usb_composition' na modemie zwraca co poniżej. Jak mają się te Pidy 90xx do trybów podanych na https://wiki.archlinux.org/index.php/ZT … tification?

root@9615-cdp:~# usb_composition 
boot hsusb composition: 9025
boot hsic composition: empty
Choose Composition by Pid:
   9002 -       DIAG + NMEA + MODEM (Android)
   9021 -       DIAG + QMI_RMNET (Android)
   9022 -       DIAG + ADB + QMI_RMNET (Android)
   9024 -       RNDIS + ADB [Android]
   9025 -       DIAG + ADB + MODEM + NMEA + QMI_RMNET + Mass Storage (Android)
   9026 -       DIAG + MODEM + NMEA + QMI_RMNET + Mass Storage (Android)
   902D -       RNDIS + DIAG + ADB [Android]
   9043 -       DIAG + NMEA + MDM + MBIM [AMSS]
   9046 -       DIAG + ADB + DUN + QMI_RMNET1 + QMI_RMNET2 + QMI_RMNET3 + Mass Storage [Android]
   9047 -       DIAG + DUN + QMI_RMNET1 + QMI_RMNET2 + QMI_RMNET3 + Mass Storage [Android]
   9057 -       RNDIS : ECM
   9058 -       MBIM : ECM
   9059 -       RNDIS+DIAG+ADB : ECM
   905A -       DIAG+ADB+MBIM : ECM
   905B -       MBIM
   9063 -       RNDIS : ECM : MBIM
   empty -      it is used to allow either hsic or hsusb to have no composition at all(must reboot to take effect).
   hsic_next -  
   hsusb_next -
Pid number : 

2. WDR3600 ma 2 porty USB. Czy podłączenie MF823 po kablu USB-Y da mu dość prądu? Obecnie używam aktywnego huba USB, ale chętnie bym się go pozbył jeśli sam kabel USB-Y zrobi robotę.

3. Zmienialiście może firmware w MF823? Np. na http://homenet.beeline.ru/?showtopic=292439 i http://vve.su/vvesu/files/misc/MF823/ trochę tego jest ale troszku straszno...

4. Będę chciał zmienić dostawcę netu na inną sieć komórkową. Orientuje się ktoś czy będę musial jakoś odblokować mój modem? Był kupiony w Playu.

frutis napisał/a:
N = 0 - PID = 0016: ZTE download mode. + Corresponds ZCDRUN = E.
N = 1 - PID = 1125: MSD, after "extraction" - operation. Corresponds to + ZCDRUN = 9 with + ZCDRUN = F.
N = 2 - PID = 2004: it is unclear what. Looks like MSD without a card reader. Looks like mode with N = 1 to run on other operating systems.
N = 3 - PID = 1403: classic operating mode (RNDIS + MSD). Conforms + ZCDRUN = 8 with ZCDRUN = F. N = 4 - PID = 1403: The same as for N = 3.
N = 5 - PID = 1405: The same as for N = 3, but CDC / ECM instead of RNDIS. Automatically activated when working in Linux.
N = 6 - PID = 1404: RNDIS + + diagnostic port two command port + MSD + ADB interface (MF8230ZTED010000).
N = 7 - PID = 1244: CDC + + diagnostic port two command port + MSD + ADB (MF8230ZTED010000).
N = 8 - PID = 1402: Diagnostic port + two command + WWAN-port adapter MSD + + ADB (1234567890abcdef).
N = 9 - PID = 9994: MBIM + Diagnostic port + two + ADB port command (1234567890ABCDEF)

Cześć frutis

Mógłbyś podać skąd wziąłeś tą rozpiskę? Znalazłem tylko takie egzotyczne forum: http://www.kaskus.co.id/show_post/53731 … 48c7/639/- i rosyjsko-języczne źródło (chyba) tegoż: http://www.gsmforum.ru/threads/188925-Z … post938993. Masz może coś więcej po angliczańsku?

20

(5 odpowiedzi, napisanych Oprogramowanie / Software)

Jasne. Mogę. Ale tak czy siak - będzie się ten DNSCrypt gryzł z klientem VPNa czy nie?

21

(5 odpowiedzi, napisanych Oprogramowanie / Software)

Podczas nawiązywania połączenia demon openvpn musi rozwiązać nazwę hosta podaną w opcji `remote' konfiguracji klienta. To chyba idzie jeszcze przez mojego DNSa?

22

(5 odpowiedzi, napisanych Oprogramowanie / Software)

Cześć

Mam na ruterze Gargoyle (1.6.2.2) z klientem VPN blokującym ruch poza VPN. Cały ruch z mojej sieci do/z Internetu idzie przez ten VPN.

Czy uruchomienie na ruterze DNSCrypta (wg. http://eko.one.pl/?p=openwrt-dnscrypt) może cokolwiek napsuć w łączeniu się z Internetem przez ruter?

Dla jaj przeleciałem nmapem mój publiczny IP i wyszło, że wystawiam na świat DNS:

# nmap -sS -n -P0 -g 88 -A <moj.publiczny.ip>

Starting Nmap 6.47 ( http://nmap.org ) at 2015-01-11 18:30 CET
Nmap scan report for <moj.publiczny.ip>
Host is up (0.0029s latency).
Not shown: 999 filtered ports
PORT   STATE SERVICE VERSION
53/tcp open  domain  dnsmasq 2.66
| dns-nsid: 
|_  bind.version: dnsmasq-2.66
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose|broadband router
Running: Linux 2.6.X|3.X
OS CPE: cpe:/o:linux:linux_kernel:2.6 cpe:/o:linux:linux_kernel:3
OS details: Linux 2.6.32 - 3.10, OpenWrt Attitude Adjustment 12.09 - Barrier Breaker (Linux 3.8)
Network Distance: 1 hop

TRACEROUTE (using port 53/tcp)
HOP RTT     ADDRESS
1   4.32 ms <moj.publiczny.ip>

OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 23.68 seconds

Czy to aby normalne i czy port widzę otwarty tylko dlatego, że skan puściłem z sieci, której bramą jest ten sam ruter, który skanuję?

Ma to w każdym razie związek z włączoną opcją "Wymuszaj używanie routera jako serwera DNS". Po jej wyłączeniu ten sam skan zwraca wszystkie porty filtrowane:

# nmap -sS -n -P0 -g 88 -A <moj.publiczny.ip>

Starting Nmap 6.47 ( http://nmap.org ) at 2015-01-11 19:06 CET
Nmap scan report for <moj.publiczny.ip>
Host is up.
All 1000 scanned ports on <moj.publiczny.ip> are filtered
Too many fingerprints match this host to give specific OS details

TRACEROUTE (using proto 1/icmp)
HOP RTT     ADDRESS
1   1.97 ms 192.168.1.1
2   4.04 ms 192.168.0.1
3   ... 30

OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 220.49 seconds

Opcję "Wymuszaj używanie routera jako serwera DNS" miałem zaznaczoną, żeby klienty w mojej sieci używały ruter do rozwiązywania nazw. Po jej odznaczeniu nadal mam jedynie "nameserver 192.168.1.1" w /etc/resolv.conf klientów tak jak chciałem (używając NetworkManager "method=auto"). Co w takim razie dokladnie robi/ma robić ta opcja? Czy DNS otwarty na świat po jej włączeniu w OpenWrt nie jest bugiem?

Update:

`mount' na Gargulcu pokazuje teraz stripe=2048 (źle):

/dev/sda1 on /tmp/usb_mount/77595e1c-352b-4e13-b701-7c64dc3289e3 type ext4 (rw,noatime,user_xattr,barrier=1,stripe=2048)

Przedtem pokazywał stripe=1024 (dobrze):

/dev/sda1 on /overlay type ext4 (rw,noatime,user_xattr,barrier=1,stripe=1024)

Czyli chyba mount dostawał przedtem właściwą wartość a teraz błędną, chociaż tune2fs zwraca teraz właściwą a przedtem błędną. To co, mkfs.ext4 pod Gargulcem założył fs z innymi wartościami stride stripe-width niż mu podałem? Nie wiem którym narzędziom wierzyć.

Bung napisał/a:

`tune2fs -l' na Gargoyle 1.5.11.2 i Arch Linux'ie zwraca różne wartości ustawień RAID. Pod Archem, tune2fs 1.42.8, jest zgodnie z prawdą:

RAID stride:              8
RAID stripe width:        1024

a pod Gargoylem, tune2fs 1.42.4, błędnie:

RAID stride:              2048
RAID stripe width:        262144

Wyłaczyłem extroota i zrobiłem `mkfs.ext4 -O ^has_journal -E stride=8,stripe-width=1024 -b 4096 -L router /dev/sda1' na Gargulcu. Teraz jest na odwrót - tune2fs pod Arch'em podaje błędnie 2048 i 262144, pod Gargulcem podaje poprawne 8 i 1024.

Cezary napisał/a:

1. Inna wersja softu lub problem z działaniem pod uclibc.

Co do wersji:

Arch:

$ mkfs.ext4 -V
mke2fs 1.42.8 (20-Jun-2013)
    Używane EXT2FS Library version 1.42.8

Gargoyle:

# mkfs.ext4 -V
mke2fs 1.42.4 (12-June-2012)
    Using EXT2FS Library version 1.42.4

Czy to wystarczy żeby potwierdzić którąś z twoich hipotez? Podpowiesz co mogę zrobić żeby zdebugować to dalej?