401

Odp: Gargoyle 1.13.x

Za mało napisałeś. Co nie działa? Nie uruchamia się, nie łączy czy co? Jako klient czy jako serwer? Bądź bardziej wylewny, bo przecież nikt nie będzie zgadywał co w ogól masz na myśli. Konkrety - logi, konfig, co i jak połączone.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

402

Odp: Gargoyle 1.13.x

Witam
Mam zainstalowanego Gargoyle w wersji
Gargoyle PL 1.13.0.0pre9 (0c75cab9)                                     
OpenWrt 19.07-SNAPSHOT, r11285-11f4918ebb   
na routerze Netgear R6220
Zrobiłem exroot-a (dysk SSD podłączony przez rozgałęźnik USB, do tego modem E3131) i zestawiłem tunel OpenVPN do routera głównego.
Mam dziwne zachowanie się routera łącząc się po ssh albo się restartuje lub też wyłancza się połączenie na modemie usb lub wyłącza WiFI w trybie AP.
teraz moje pytanie :
- czy można jakoś zweryfikować przyczynę takiego zachowania
- czy przyczyną mogą być kondensatory elektrolityczne (router kupiłem używany)

Pozdrawiam

TP-LINK 1043ND-v1 mod RAM 64MB - OpenWrt 19.07-SNAPSHOT
TP-LINK Archer C7 v5 - 1.12.0.2 (27ec1e48)
Netgear R6220 Gargoyle PL 1.13.0.0pre9

403

Odp: Gargoyle 1.13.x

Patrz w logi co się dzieje.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

404

Odp: Gargoyle 1.13.x

A jak się rozbiera w R6220 obudowę bo nie widzę śrubek a nie chciałbym na dzień dobry pourywać zatrzasków.
Wstępnie przyglądając się wydaje mi się , że są zatrzaski na górnym dekielku.

TP-LINK 1043ND-v1 mod RAM 64MB - OpenWrt 19.07-SNAPSHOT
TP-LINK Archer C7 v5 - 1.12.0.2 (27ec1e48)
Netgear R6220 Gargoyle PL 1.13.0.0pre9

405

Odp: Gargoyle 1.13.x

Tak, tylko zatrzaski, musisz użyć czegoś (polecam złotą kartę kredytową) i ładnie się rozejdzie.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

406

Odp: Gargoyle 1.13.x

Cześć,

Pewnie zapytam o podstawy, ale po radzie w innym wątku zainstalowałem na 1043ND Gargoyle 1.13. Okazuje się, że 8MB flasha to już za mało i nie wszystko się zmieściło - brak przede wszystkim modułu do obsługi OpenVPN. Będzie mi potrzebny extroot ... albo C7. I w jednym i w drugim przypadku mam pytanie:

- Jak chodzi o extroota, to moje obserwacje są takie: Konfiguruję urządzenie, wkładam pendrajwa i robię extroota i w po inicjalizacji mam w urządzeniu dokładnie taką sama konfigurację jak przed zrobieniem tej operacji? Chodzi mi o to, żeby urządzenie maksymalnie skonfigurować - przekierowania, ograniczenia na firewallu (trochę tego mam) i mieć działające "prawie wszystko" bez OpenVPN. A następnie dodać pendrajwa i dokończyć. W razie awarii pendrajwa mam po jego wyjęciu użyteczne urządzenie aż zorganizuję nowego.

- Jak chodzi o C7: Czy te 16MB starczy mi na "wszystko"? I czy mogę zrobić backup ustawień na 1.13 na 1043ND a następnie odtworzyć ten backup na C7? Czy konfigurować C7 ręcznie? A z 1043ND na ER-X da się przenieść?

Aktualnie stary router działa na Gargoyle 1.9.2. Zamierzam przygotować nowy egzemplarz z pełną konfiguracją a potem "tylko przełączyć kabelki" (u mnie to trochę skomplikowane...) do nowego urządzenia.

BTW: Czy jak będzie stabilne 1.14, albo kolejne wersje 1.13, to jest szansa, że da radę zrobić upgrade z zachowaniem ustawień?

Pozdrawiam,
Marcin

407

Odp: Gargoyle 1.13.x

- tak to powinno wyglądać, tak.
- nie możesz odtwarzać backupu  z innych modeli. A w szczególności nie możesz przenosić plików network i wireless, system też może być inny, pewnie parę innych jeszcze by się zalazło. Inne pliki (jak firewall, qos) możesz przenieść
- nie możesz zrobić upgrade z zachowaniem konfiguracji z wersji 1.9 na 1.13, one bazują na innych wersjach systemu. Aktualne 1.13 być może da się przenieść na przyszłe wydanie stabilne, ale to zależy na czym będzie ono bazowało i ile się jeszcze zmieni w samym gargoyle.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

408

Odp: Gargoyle 1.13.x

Cezary napisał/a:

- nie możesz odtwarzać backupu  z innych modeli. A w szczególności nie możesz przenosić plików network i wireless, system też może być inny, pewnie parę innych jeszcze by się zalazło. Inne pliki (jak firewall, qos) możesz przenieść

OK. Ale to i tak wiele ułatwi, że pojedyncze pliki, czy nawet sekcje mogę przenieść korzystając z połączenia SSH smile

Aktualnie mam więcej roboty. DHCP w 1.9.2 zdaje się korzystało z plików /etc/ethers i /etc/hosts, w 1.13 wszystko jest w /etc/config/dhcp i przenosiłem ręcznie ... aczkolwiek pod koniec (miałem kilka wpisów ręcznych) zobaczyłem opcję "option readethers '1'" w starym configu, może jednak dało się skopiować te dwa pliki?

W OpenVPN dużo różnic jest pomiędzy 1.9.2 a 1.13? Mam szansę jakoś szybko ogarnąć przeniesienie?

409

Odp: Gargoyle 1.13.x

Rzeczy od openvpn (certyfikaty) możesz przenieść. Konfig lekko się zmienił, ale pewnie przeniesienie i zapisanie zmian ponownie powinno uzupełnić to czego brakuje.

Tak, hosty w 1.9 były inaczej obsługiwane. I nie ustawiasz sztucznie radethers bo w gui po prostu tego nie zobaczysz.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

410 (edytowany przez marcinkk 2021-04-06 13:35:02)

Odp: Gargoyle 1.13.x

Zakładam optymistycznie, że certyfikaty da radę skopiować, a resztę jakoś ogarnę. Żyję nadzieją, że uda mi się uniknąć konfigurowania klientów ... odetnie mnie od nich, jak się nie połączy OpenVPN hmm

Statystyki z bwmona i webmona da radę przenieść? Skopiowanie zawartości katalogu /usr/data wystarczy?

411

Odp: Gargoyle 1.13.x

Powinno wystarczyć. Choć nie próbowałem nigdy tego przenosić z tak starej wersji smile

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

412

Odp: Gargoyle 1.13.x

Ehhh... Może i starej, ale:

Uptime: 380 days, 21 hours, 26 minutes

Z tym nic się nie dzieje. Nawet po wymianie kabla ethernetowego od dostawcy na GPONa nie restartowałem urządzenia. Gdyby nie to ograniczenie szybkości, to dalej bym nie ruszał wink

413

Odp: Gargoyle 1.13.x

I w ten sposób wszystkie monity, narzekania, ohy i ahy o bezpieczeństwie i znalezionych dziurach są nic nie warte bo użytkownicy i tak mają to gdzieś smile

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

414

Odp: Gargoyle 1.13.x

Cezary napisał/a:

I w ten sposób wszystkie monity, narzekania, ohy i ahy o bezpieczeństwie i znalezionych dziurach są nic nie warte bo użytkownicy i tak mają to gdzieś smile

smile


A tak serio: Gdyby do przejścia na kolejną wersję starczało zrobić "opkg update" i "opkg upgrade", to byłoby łatwej. Przeszedłem z 1.9.2 na 1.13pre9 i ... działa, ale trochę mi zeszło przeniesienie konfiguracji.

Z 1043ND v3 przeniosłem się na Archera C7 v2 ... i jakoś nie jestem przekonany, że dobrze zrobiłem. Przeniosłem regułki firewalla (przekierowania portów) i nagle część mi zniknęła. W /etc/config/firewall na sztuki były wszystkie, ale większość pusta. Przeniosłem ponownie (ręcznie edytując plik), potem zrobiłem: uci commit, /etc/init.d/firewall restart i poza resztą wyglądającą poprawnie wyskoczyło:

 * Populating IPv6 nat table
Warning: fw3_ipt_rule_append(): Can't find target 'prerouting_lan_rule'
Warning: fw3_ipt_rule_append(): Can't find target 'postrouting_lan_rule'
Warning: fw3_ipt_rule_append(): Can't find target 'prerouting_wan_rule'
Warning: fw3_ipt_rule_append(): Can't find target 'postrouting_wan_rule'
Warning: fw3_ipt_rule_append(): Can't find target 'prerouting_vpn_rule'
Warning: fw3_ipt_rule_append(): Can't find target 'postrouting_vpn_rule'
Warning: fw3_ipt_rule_append(): Can't find target 'prerouting_rule'
Warning: fw3_ipt_rule_append(): Can't find target 'postrouting_rule'
   * Zone 'lan'
   * Zone 'wan'
   * Zone 'vpn'

a na koniec:

 * Running script '/etc/firewall.user'
 * Running script '/usr/lib/gargoyle_firewall_util/gargoyle_additions.firewall'
 * Running script '/etc/openvpn.firewall'
iptables v1.8.3 (legacy): unknown protocol "tcp
tcp
tcp
tcp
tcp
tcp" specified
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.8.3 (legacy): unknown protocol "tcp
tcp
tcp
tcp
tcp
tcp" specified
Try `iptables -h' or 'iptables --help' for more information.

i jeszcze na początku:

Warning: Unable to locate ipset utility, disabling ipset support
Warning: Section 'redirect_enabled_number_0' has no target specified, defaulting to DNAT
Warning: Section 'redirect_enabled_number_1' has no target specified, defaulting to DNAT

itd. dla wszystkich regułek przekierowań.

415

Odp: Gargoyle 1.13.x

To na początku jest normalne. Ale pozostałe nie, skopałeś składnię pliku.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

416 (edytowany przez marcinkk 2021-04-07 22:55:21)

Odp: Gargoyle 1.13.x

Jak chodzi o te warningi, to nie wiem o co mu chodzi, ale to na końcu generuje skrypt /etc/openvpn.firewall, a konkretnie te linie:

iptables -t mangle -A INPUT  -i "$wan_if" -p "$openvpn_proto" --dport "$local_openvpn_port" -j openvpn_down_bw
iptables -t mangle -A OUTPUT -o "$wan_if" -p "$openvpn_proto" --sport "$local_openvpn_port" -j openvpn_up_bw

i parametr $openvpn_proto, który określany jest tutaj:

openvpn_proto=$(netstat -u -t -p -a -e -n 2>/dev/null | awk ' $0 ~/openvpn/ { print $1 ; } ')

u mnie to polecenie zwraca:

root@gate:/etc$ netstat -u -t -p -a -e -n 2>/dev/null | awk ' $0 ~/openvpn/ { print $1 ; } '
tcp
tcp
tcp
tcp
tcp
tcp

---------------------------------------------------------------------------------------------------------------------------------------------

Edit:

Jak zamieniłem:

local_openvpn_port=$(netstat -u -t -p -a -e -n 2>/dev/null | awk ' $0 ~/openvpn/ { gsub(/^.*:/, "", $4) ; print $4 ; } ')
openvpn_proto=$(netstat -u -t -p -a -e -n 2>/dev/null | awk ' $0 ~/openvpn/ { print $1 ; } ')

na:

local_openvpn_port=$(netstat -u -t -p -a -e -n 2>/dev/null | grep LISTEN | awk ' $0 ~/openvpn/ { gsub(/^.*:/, "", $4) ; print $4 ; } ')
openvpn_proto=$(netstat -u -t -p -a -e -n 2>/dev/null | grep LISTEN | awk ' $0 ~/openvpn/ { print $1 ; } ')

to przestało sypać błędami.

417

Odp: Gargoyle 1.13.x

Openvpn ma swoje licznki w gargoyle. Po co dodatkowo się tym w ogóle bawisz? Co miało na celu to co zrobiłeś?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

418

Odp: Gargoyle 1.13.x

Zrobiłem to, żeby mi nie sypało błędami przy restarcie firewalla, a co te dwie linie dokładnie robią to nie próbowałem dochodzić.

A pomijając celowość poprawki, to wykrywanie protokołu i portu na którym działa OpenVPN działa poprawnie, dopóki nie podłączą się klienci (do tego czasu jest tylko jedna linia powiązana z openvpn w wynikach netstata). Jak klienci są online, to sypie takimi błędami jak powyżej.

Ale... Moje rozwiązanie też nie jest dobre. U mnie, po TCP jest ok, ale jak się serwer uruchomi na UDP, to nie ma "LISTEN". Może "grep 0.0.0.0"?

419

Odp: Gargoyle 1.13.x

Bo masz opcję -t (tylko tcp), więc innych nie pokazuje. Ale tak w ogóle to bez sensu jest bo masz to w konfigu openwrt. I nadal pytam - PO CO w ogóle to zrobiłeś?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

420

Odp: Gargoyle 1.13.x

Po co zmiany w /etc/openvpn.firewall - bo mi błędy wyświetliło przy restarcie firewalla, więc szukałem gdzie są, żeby ich nie wyświetlało.

Po co to jest, nie wiem - miałem i nie ruszałem tego wpisu w /etc/config/firewall:

config include 'openvpn_include_file'
        option path '/etc/openvpn.firewall'
        option reload '1'

A co do netstata, jest też -u i wyświetla zarówno tcp jak i udp (w skrócie wygląda to tak):

root@gate:~# netstat -u -t -p -a -e -n
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      1700/dropbear
tcp        0      0 0.0.0.0:443             0.0.0.0:*               LISTEN      2281/uhttpd
tcp        0      0 0.0.0.0:1194            0.0.0.0:*               LISTEN      6102/openvpn
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN      1856/rpcbind
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      2281/uhttpd
tcp        0      0 172.16.32.1:53          0.0.0.0:*               LISTEN      2829/dnsmasq
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN      2829/dnsmasq
tcp        0      0 192.168.32.1:53         0.0.0.0:*               LISTEN      2829/dnsmasq
tcp        0      0 111.22.33.144:1194      115.16.171.8:16734      ESTABLISHED 6102/openvpn
tcp        0      0 192.168.32.1:22         192.168.32.21:51647     ESTABLISHED 13727/dropbear
tcp        0      0 :::22                   :::*                    LISTEN      1700/dropbear
tcp        0      0 :::443                  :::*                    LISTEN      2281/uhttpd
tcp        0      0 :::111                  :::*                    LISTEN      1856/rpcbind
tcp        0      0 :::80                   :::*                    LISTEN      2281/uhttpd
tcp        0      0 ::1:53                  :::*                    LISTEN      2829/dnsmasq
udp        0      0 0.0.0.0:67              0.0.0.0:*                           2829/dnsmasq
udp        0      0 0.0.0.0:65113           0.0.0.0:*                           1856/rpcbind
udp        0      0 0.0.0.0:111             0.0.0.0:*                           1856/rpcbind
udp        0      0 172.16.32.1:53          0.0.0.0:*                           2829/dnsmasq
udp        0      0 127.0.0.1:53            0.0.0.0:*                           2829/dnsmasq
udp        0      0 192.168.32.1:53         0.0.0.0:*                           2829/dnsmasq

421 (edytowany przez Cezary 2021-04-08 10:51:55)

Odp: Gargoyle 1.13.x

Przywróć oryginalny plik jaki przychodzi z pakietem openvpn z gargoyle i go nie ruszaj. Jak to zrobisz - uruchom serwer openvpn, podłącz klientów. Zrestartuj firewall ( /usr/lib/gargoyle/restart_firewall.sh nie przez /etc/init.d/firewall restart) i zobacz czy pojawią się błędy na ekranie. Jeżeli tak - zrób nowe zgłoszenie na https://github.com/ericpaulbishop/gargoyle/issues

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

422

Odp: Gargoyle 1.13.x

Właśnie rozpakowałem nowy router, skonfigurowałem, sprawdziłem i miałem wysłać zgłoszenie i ... widzę, że już zgłosiłeś smile

Jak chodzi o moje testy problem występuje tylko po TCP, pod UDP nie miałem zduplikowanych linii.

423

Odp: Gargoyle 1.13.x

Tak, zrobiłem testy i wyszło to co napisałeś.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

424

Odp: Gargoyle 1.13.x

BTW: "Wymagana jest instalacja dodatkowego pakietu aby skorzystać z tej opcji!" przy UPnP / NAT-PMP - jakiego pakietu brakuje?

425

Odp: Gargoyle 1.13.x

Pod latarnią najciemniej widzę. Zajrzyj do dodatków to znajdziesz plugin-gargoyle-upnp.

Tylko czasami nie wpadnij na pomysł instalacji tego. To jedną z największych dziur bezpieczeństwa jaką możesz sobie zrobić.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.