1 Temat przez qgj (edytowany przez qgj 2016-11-03 14:24:44)

  • qgj
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2016-04-27
  • Posty: 11

Temat: Przypadkowe routowanie sieci mojego providera - WDR4300

Witam,

Pojawił się problem z moim TP-Linkiem WDR4300.
Wgrany Chaos Calmer z LuCi r49087.
Ogólnie konfigurację sieci mam od roku nie zmienną jedynie aktualizacja do r49087 jakoś we wrześniu nastąpiła.

Ostatnio zadzwonił technik z mojego ISP i stwierdził, że "udostępniam" internet (nie w złym znaczeniu) i inne komputery tego samego dostawcy łączą się z siecią przez moje urządzenie. moja siec lokalna to 192.168.1.0 i zauważyli w swoim systemie, że dużo urządzeń zgłasza się z takim adresem IP oraz moim adresem MAC. Co ciekawe sprawdziłem swoją tablicę DHCP i miałem tylko 3 wpisy swoich własnych urządzeń. Moja pula to 1.100-1.200, a tymczasem tamte urządzenia zgłaszały się jako 1.50, 1.60 itp.
Nigdzie nie potrafiłem takich połączeń znaleźć, aż wszedłem w tablicę ARP i rzeczywiście były tam zarówno lokalne adresy ip z poza mojej puli jak i publiczne adresy ip z puli mojego dostawcy. Przedstawiam to poniżej na zdjęciu:
https://s22.postimg.org/x6rdbmijl/isp_issue.png
(apipa wystapil na moim laptopie)
To jest po 5 minutach od włączenia urządzenia do sieci, wczesniej było ze 20 wpisów zarówno publicznych jak i prywatnych adresów (teoretycznie mojej podsieci).
Technik stwierdził, że problem pojawił się niedawno, ale tak jak wspomniałem od roku nic nie zmieniałem, więc albo wcześniej nie zauważyli, albo coś się w ostatnim czasie zepsuło/zmieniło w sieci.

Czy ktoś ma jakiś pomysł gdzie popełniłem błąd? Nie mam aktualnie dostępu do konfiguracji, narazie wypiąłem pendrive na którym jest vpn serwer skonfigurowany więc zdalnie się nie połączę (ssh tylko z lan), ale mam screenshoty ustawień interfejsów, routingu oraz dhcp więc w razie czego mogę konkretne zdjęcia przedstawić.

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,872

Odp: Przypadkowe routowanie sieci mojego providera - WDR4300

uci show firewall
uci show dhcp

Pokaz. Może grzebałeś coś w firewallu i masz po prostu otwartą maszynkę.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez qgj

  • qgj
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2016-04-27
  • Posty: 11

Odp: Przypadkowe routowanie sieci mojego providera - WDR4300

@Cezary:
około godziny 15 będę mieć zdalny dostęp i wrzucę tutaj wyniki

4 Odpowiedź przez Gr4nd0

  • Gr4nd0
  • Użytkownik
  • Nieaktywny
  • Skąd: Swarzędz
  • Zarejestrowany: 2016-10-06
  • Posty: 276

Odp: Przypadkowe routowanie sieci mojego providera - WDR4300

A nie jest to problem switch'a? Może coś nie tak z VLAN?
W OpenWRT jeszcze nie opanowałem tego zagadnienia więc nie potrafię rozwinąć problemu.

GUI jest przereklamowane

ASUS WL-500gP v2, TP-Link TL-MR3420 v2, TP-Link TL-WR1043ND v3, TP-Link TL-WDR4300 v1, D-Link DWR-921 C3,
Netgear R6220

5 Odpowiedź przez qgj

  • qgj
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2016-04-27
  • Posty: 11

Odp: Przypadkowe routowanie sieci mojego providera - WDR4300

@Gr4nd0:
Wyłączyłem w ogóle funkcjonalność vlan ale beż zmian.

@Cezary:

uci show dhcp
dhcp.@dnsmasq[0]=dnsmasq
dhcp.@dnsmasq[0].domainneeded='1'
dhcp.@dnsmasq[0].boguspriv='1'
dhcp.@dnsmasq[0].localise_queries='1'
dhcp.@dnsmasq[0].local='/lan/'
dhcp.@dnsmasq[0].domain='lan'
dhcp.@dnsmasq[0].expandhosts='1'
dhcp.@dnsmasq[0].authoritative='1'
dhcp.@dnsmasq[0].readethers='1'
dhcp.@dnsmasq[0].leasefile='/tmp/dhcp.leases'
dhcp.@dnsmasq[0].resolvfile='/tmp/resolv.conf.auto'
dhcp.@dnsmasq[0].localservice='1'
dhcp.@dnsmasq[0].rebind_protection='0'
dhcp.lan=dhcp
dhcp.lan.interface='lan'
dhcp.lan.start='100'
dhcp.lan.limit='150'
dhcp.lan.leasetime='12h'
dhcp.lan.dhcpv6='server'
dhcp.lan.ra='server'
dhcp.lan.ra_management='1'
dhcp.wan=dhcp
dhcp.wan.interface='wan'
dhcp.wan.ignore='1'
dhcp.odhcpd=odhcpd
dhcp.odhcpd.maindhcp='0'
dhcp.odhcpd.leasefile='/tmp/hosts/odhcpd'
dhcp.odhcpd.leasetrigger='/usr/sbin/odhcpd-update'

oraz 

uci show firewall
firewall.@rule[0]=rule
firewall.@rule[0].target='ACCEPT'
firewall.@rule[0].name='internet access'
firewall.@rule[0].src='lan'
firewall.@rule[0].dest='wan'
firewall.@rule[1]=rule
firewall.@rule[1].name='Allow-DHCP-Renew'
firewall.@rule[1].src='wan'
firewall.@rule[1].proto='udp'
firewall.@rule[1].dest_port='68'
firewall.@rule[1].target='ACCEPT'
firewall.@rule[1].family='ipv4'
firewall.@rule[2]=rule
firewall.@rule[2].name='Allow-Ping'
firewall.@rule[2].src='wan'
firewall.@rule[2].proto='icmp'
firewall.@rule[2].icmp_type='echo-request'
firewall.@rule[2].family='ipv4'
firewall.@rule[2].target='ACCEPT'
firewall.@rule[3]=rule
firewall.@rule[3].name='Allow-IGMP'
firewall.@rule[3].src='wan'
firewall.@rule[3].proto='igmp'
firewall.@rule[3].family='ipv4'
firewall.@rule[3].target='ACCEPT'
firewall.@rule[4]=rule
firewall.@rule[4].name='Allow-DHCPv6'
firewall.@rule[4].src='wan'
firewall.@rule[4].proto='udp'
firewall.@rule[4].src_ip='fe80::/10'
firewall.@rule[4].src_port='547'
firewall.@rule[4].dest_ip='fe80::/10'
firewall.@rule[4].dest_port='546'
firewall.@rule[4].family='ipv6'
firewall.@rule[4].target='ACCEPT'
firewall.@rule[5]=rule
firewall.@rule[5].name='Allow-MLD'
firewall.@rule[5].src='wan'
firewall.@rule[5].proto='icmp'
firewall.@rule[5].src_ip='fe80::/10'
firewall.@rule[5].icmp_type='130/0' '131/0' '132/0' '143/0'
firewall.@rule[5].family='ipv6'
firewall.@rule[5].target='ACCEPT'
firewall.@rule[6]=rule
firewall.@rule[6].name='Allow-ICMPv6-Input'
firewall.@rule[6].src='wan'
firewall.@rule[6].proto='icmp'
firewall.@rule[6].icmp_type='echo-request' 'echo-reply' 'destination-unreachable' 'packet-too-big' 'time-exceeded' 'bad-header' 'unknown-header-type' 'router-solicitation' 'neighbour-solicitation' 'router-advertisement' 'neighbour-advertisement'
firewall.@rule[6].limit='1000/sec'
firewall.@rule[6].family='ipv6'
firewall.@rule[6].target='ACCEPT'
firewall.@rule[7]=rule
firewall.@rule[7].name='Allow-ICMPv6-Forward'
firewall.@rule[7].src='wan'
firewall.@rule[7].dest='*'
firewall.@rule[7].proto='icmp'
firewall.@rule[7].icmp_type='echo-request' 'echo-reply' 'destination-unreachable' 'packet-too-big' 'time-exceeded' 'bad-header' 'unknown-header-type'
firewall.@rule[7].limit='1000/sec'
firewall.@rule[7].family='ipv6'
firewall.@rule[7].target='ACCEPT'
firewall.@defaults[0]=defaults
firewall.@defaults[0].syn_flood='1'
firewall.@defaults[0].input='ACCEPT'
firewall.@defaults[0].output='ACCEPT'
firewall.@defaults[0].forward='REJECT'
firewall.@zone[0]=zone
firewall.@zone[0].name='lan'
firewall.@zone[0].input='ACCEPT'
firewall.@zone[0].output='ACCEPT'
firewall.@zone[0].forward='ACCEPT'
firewall.@zone[0].network='lan'
firewall.@zone[1]=zone
firewall.@zone[1].name='wan'
firewall.@zone[1].output='ACCEPT'
firewall.@zone[1].forward='REJECT'
firewall.@zone[1].masq='1'
firewall.@zone[1].mtu_fix='1'
firewall.@zone[1].input='ACCEPT'
firewall.@zone[1].network='wan wan6'
firewall.@include[0]=include
firewall.@include[0].path='/etc/firewall.user'
firewall.@rule[8]=rule
firewall.@rule[8].target='ACCEPT'
firewall.@rule[8].src='wan'
firewall.@rule[8].proto='tcp udp'
firewall.@rule[8].dest_port='9091'
firewall.@rule[8].name='Open9091'
firewall.@rule[8].enabled='0'
firewall.@forwarding[0]=forwarding
firewall.@forwarding[0].dest='wan'
firewall.@forwarding[0].src='lan'
firewall.@rule[9]=rule
firewall.@rule[9].target='ACCEPT'
firewall.@rule[9].name='ssh80'
firewall.@rule[9].src='*'
firewall.@rule[9].src_port='80'
firewall.@rule[9].dest_port='22'
firewall.@rule[9].dest='lan'
firewall.@rule[9].enabled='0'
firewall.@rule[10]=rule
firewall.@rule[10].target='ACCEPT'
firewall.@rule[10].src='wan'
firewall.@rule[10].proto='tcp'
firewall.@rule[10].dest_port='90'
firewall.@rule[10].name='ssh90'

6 Odpowiedź przez qgj

  • qgj
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2016-04-27
  • Posty: 11

Odp: Przypadkowe routowanie sieci mojego providera - WDR4300

Dołączam jeszcze konfigurację firewall na której cały czas chodził router (ta z extroota, ale pendriva wypialem bo, chcialem sprawdzić jak zachowa się openwrt, podmontowalem teraz pendrive na VM z linuxem zeby pokazac wam)

config rule
    option target 'ACCEPT'
    option name 'internet access'
    option src 'lan'
    option dest 'wan'

config rule
    option name 'Allow-DHCP-Renew'
    option src 'wan'
    option proto 'udp'
    option dest_port '68'
    option target 'ACCEPT'
    option family 'ipv4'

config rule
    option name 'Allow-Ping'
    option src 'wan'
    option proto 'icmp'
    option icmp_type 'echo-request'
    option family 'ipv4'
    option target 'ACCEPT'

config rule
    option name 'Allow-IGMP'
    option src 'wan'
    option proto 'igmp'
    option family 'ipv4'
    option target 'ACCEPT'

config rule
    option name 'Allow-DHCPv6'
    option src 'wan'
    option proto 'udp'
    option src_ip 'fe80::/10'
    option src_port '547'
    option dest_ip 'fe80::/10'
    option dest_port '546'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-MLD'
    option src 'wan'
    option proto 'icmp'
    option src_ip 'fe80::/10'
    list icmp_type '130/0'
    list icmp_type '131/0'
    list icmp_type '132/0'
    list icmp_type '143/0'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-ICMPv6-Input'
    option src 'wan'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    list icmp_type 'router-solicitation'
    list icmp_type 'neighbour-solicitation'
    list icmp_type 'router-advertisement'
    list icmp_type 'neighbour-advertisement'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-ICMPv6-Forward'
    option src 'wan'
    option dest '*'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'
    option enabled '0'

config defaults
    option syn_flood '1'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'REJECT'

config zone
    option name 'lan'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'
    option network 'lan'

config zone
    option name 'wan'
    option output 'ACCEPT'
    option forward 'REJECT'
    option masq '1'
    option mtu_fix '1'
    option input 'ACCEPT'
    option network 'wan wan6'

config include
    option path '/etc/firewall.user'

config rule
    option target 'ACCEPT'
    option src 'wan'
    option proto 'tcp udp'
    option name 'Open443'
    option dest_port '443'

config forwarding
    option dest 'wan'
    option src 'lan'

config rule
    option target 'ACCEPT'
    option src 'wan'
    option proto 'tcp'
    option dest_port '90'
    option name 'ssh90'
    option enabled '0'

config rule
    option target 'ACCEPT'
    option proto 'tcp udp'
    option dest_port '9091'
    option name 'Open9091'
    option src '*'

config rule
    option target 'ACCEPT'
    option src 'wan'
    option proto 'tcp udp'
    option dest_port '51713'
    option name 'transmission'

7 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,872

Odp: Przypadkowe routowanie sieci mojego providera - WDR4300

Dlaczego input masz przestawiony na ACCEPT? To powoduje że domyślną regułę masz na otwarcie wszytkiego.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

8 Odpowiedź przez qgj (edytowany przez qgj 2016-11-03 17:26:29)

  • qgj
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2016-04-27
  • Posty: 11

Odp: Przypadkowe routowanie sieci mojego providera - WDR4300

Cezary napisał/a:

Dlaczego input masz przestawiony na ACCEPT? To powoduje że domyślną regułę masz na otwarcie wszytkiego.

tutaj?

config zone
    option name 'wan'
   ...
    option input 'ACCEPT'

czy tu

config defaults
    option syn_flood '1'
    option input 'ACCEPT'

Z tego co pamietam przy konfigurowaniu to accept ze względu na vpn który mam skonfigurowany.
Ale sprawdzam otwarcie losowego portu z zewnatrz i dostepu brak. tzn porty zamkniete, tak to wyglada z gui:
https://s11.postimg.org/ymfl6e8eb/zones.png


np. tak jak tu jest wspomniane:
http://eko.one.pl/forum/viewtopic.php?id=6139

chcialem teraz otworzyc poradnik z openwrt.org ale akurat wczoraj wieczorem certyfikat im wygasl big_smile


tutaj jest w porzadku?
Aktywne trasy routingu IPv4
Sieć     Cel     Brama IPv4     Metryka     Tablica
wan     0.0.0.0/0 publiczneip.1     20     main
wan     publiczneip.0/24         20     main
lan     192.168.1.0/24         0     main

9 Odpowiedź przez Gr4nd0

  • Gr4nd0
  • Użytkownik
  • Nieaktywny
  • Skąd: Swarzędz
  • Zarejestrowany: 2016-10-06
  • Posty: 276

Odp: Przypadkowe routowanie sieci mojego providera - WDR4300

qgj napisał/a:

@Gr4nd0:
Wyłączyłem w ogóle funkcjonalność vlan ale beż zmian.

No nie rób sobie jaj, WDR4300 ma tylko jeden fizyczny interface w postaci 5-portowego switch'a. Jeśli wyłączysz VLAN to będziesz miał pełne, fizyczne połączenie pomiędzy LAN i WAN. Gdzieś czytałem, że WDR4300 robi straszny bigos w sieci do momentu, aż skonfiguruje VLAN'y.
Raczej 

uci show network

PS. Rewelacji o WDR4300 nie mogę teraz potwierdzić bo mój egzemplarz wciąż ma oryginalny firmware, a gniazdko WAN jest puste. sad

GUI jest przereklamowane

ASUS WL-500gP v2, TP-Link TL-MR3420 v2, TP-Link TL-WR1043ND v3, TP-Link TL-WDR4300 v1, D-Link DWR-921 C3,
Netgear R6220

10 Odpowiedź przez qgj (edytowany przez qgj 2016-11-03 18:06:17)

  • qgj
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2016-04-27
  • Posty: 11

Odp: Przypadkowe routowanie sieci mojego providera - WDR4300

Gr4nd0 napisał/a:
qgj napisał/a:

@Gr4nd0:
Wyłączyłem w ogóle funkcjonalność vlan ale beż zmian.

No nie rób sobie jaj, WDR4300 ma tylko jeden fizyczny interface w postaci 5-portowego switch'a. Jeśli wyłączysz VLAN to będziesz miał pełne, fizyczne połączenie pomiędzy LAN i WAN. Gdzieś czytałem, że WDR4300 robi straszny bigos w sieci do momentu, aż skonfiguruje VLAN'y.
Raczej 

uci show network

PS. Rewelacji o WDR4300 nie mogę teraz potwierdzić bo mój egzemplarz wciąż ma oryginalny firmware, a gniazdko WAN jest puste. sad

Taką konfiguracje VLAN posiadam i cały czas była aktywna - wczoraj tylko wyłączyłem w celach testów, jak wspomniałem - bez zmian
https://s4.postimg.org/uaok6hbjx/vlan.png



uci show network
network.loopback=interface
network.loopback.ifname='lo'
network.loopback.proto='static'
network.loopback.ipaddr='127.0.0.1'
network.loopback.netmask='255.0.0.0'
network.globals=globals
network.globals.ula_prefix='fd3d:219f:4d54::/48'
network.lan=interface
network.lan.ifname='eth0.1'
network.lan.force_link='1'
network.lan.type='bridge'
network.lan.proto='static'
network.lan.ipaddr='192.168.1.1'
network.lan.netmask='255.255.255.0'
network.lan.ip6assign='60'
network.wan=interface
network.wan.ifname='eth0.2'
network.wan._orig_ifname='eth0.2'
network.wan._orig_bridge='false'
network.wan.proto='static'
network.wan.ipaddr='publiczneip.12'
network.wan.netmask='255.255.255.0'
network.wan.gateway='publiczneip.1'
network.wan.dns='publiczneip.1'
network.wan.macaddr='adres mac routera'
network.wan.metric='20'
network.wan6=interface
network.wan6.ifname='eth0.2'
network.wan6.proto='dhcpv6'
network.@switch[0]=switch
network.@switch[0].name='switch0'
network.@switch[0].reset='1'
network.@switch[0].mirror_source_port='0'
network.@switch[0].mirror_monitor_port='0'
network.@switch_vlan[0]=switch_vlan
network.@switch_vlan[0].device='switch0'
network.@switch_vlan[0].vlan='1'
network.@switch_vlan[0].ports='0t 2 3 4 5'
network.@switch_vlan[0].vid='1'
network.@switch_vlan[1]=switch_vlan
network.@switch_vlan[1].device='switch0'
network.@switch_vlan[1].vlan='2'
network.@switch_vlan[1].ports='0t 1'
network.@switch_vlan[1].vid='2'

11 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,872

Odp: Przypadkowe routowanie sieci mojego providera - WDR4300

qgj napisał/a:

config defaults
    option syn_flood '1'
    option input 'ACCEPT'

Tutaj. Nie wierz we wszystko co czytasz. Przywróć sobie konfigurację domyślną bo tylko krzywdę sobie robisz.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

12 Odpowiedź przez qgj

  • qgj
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2016-04-27
  • Posty: 11

Odp: Przypadkowe routowanie sieci mojego providera - WDR4300

Cezary napisał/a:
qgj napisał/a:

config defaults
    option syn_flood '1'
    option input 'ACCEPT'

Tutaj. Nie wierz we wszystko co czytasz. Przywróć sobie konfigurację domyślną bo tylko krzywdę sobie robisz.

Ok nie neguje tego co piszesz, bardzo szanuję Twoje zdanie i ogólnie to co robisz, mam jednak pytanie.

putty > public ip:22 > connection refused

Nie widze problemu? Jak tylko będę mieć dostęp do konsoli to zmienię na Reject i zadzwonie do ISP czy błąd dalej widnieje. Chyba, że z poziomu GUI jest możliwość zmiany tej wartości dla 'defaults'?

13 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,872

Odp: Przypadkowe routowanie sieci mojego providera - WDR4300

Jeżeli chcesz korzystać z putty to otwórz sobie na wanie port 22. I tylko 22 a nie wszystko.

W Luci to jest, gdzieś w "Zapora sieciowa".

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

14 Odpowiedź przez qgj

  • qgj
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2016-04-27
  • Posty: 11

Odp: Przypadkowe routowanie sieci mojego providera - WDR4300

Cezary napisał/a:

Jeżeli chcesz korzystać z putty to otwórz sobie na wanie port 22. I tylko 22 a nie wszystko.

W Luci to jest, gdzieś w "Zapora sieciowa".

zmieniłem default input na reject, problem nie zniknął.

Zmieniłem adres mojej sieci lokalnej z 192.168.1.0 na 192.168.110.9. Czekam na efekty

15 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,872

Odp: Przypadkowe routowanie sieci mojego providera - WDR4300

Przywróć ustawienia domyślnie. Bo nie wiadomo co jeszcze namieszałeś.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona