26

Odp: Zmiany w wydaniu OpenWrt 22.03

Mam problem z Adblockiem: po restarcie routera status jest „enabled”, ale zablokowanych domen jest zero:
user.info adblock-4.1.3[2069]: blocklist with overall 0 blocked domains loaded successfully (TP-Link Archer C7 v4, OpenWrt 22.03-SNAPSHOT r19304-0e607d60ef)
Po restarcie Adblocka jest już normalnie:
user.info adblock-4.1.3[5218]: blocklist with overall 50191 blocked domains loaded successfully (TP-Link Archer C7 v4, OpenWrt 22.03-SNAPSHOT r19304-0e607d60ef)
Da się w Cronie ustawić automatyczny restart Adblocka po restarcie routera czy jakoś inaczej to zrobić?

27

Odp: Zmiany w wydaniu OpenWrt 22.03

Po prostu za wcześnie ci startuje adblock, zanim jeszcze masz sieć. w konfigu są dwie opcje: adb_trigger, ustaw sobie na wan oraz adb_triggerdelay, ustaw sobie na tyle sekund ile potrzebujesz żeby wan wystartował.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

28

Odp: Zmiany w wydaniu OpenWrt 22.03

Dzięki – załatwiło sprawę.

29

Odp: Zmiany w wydaniu OpenWrt 22.03

Czy można bezboleśnie przejść z 21 na 22 z zachowaniem ustawień?

Redmi AX6000 + AP_Cudy WR3000 + AP_Xiaomi AX3000T

30

Odp: Zmiany w wydaniu OpenWrt 22.03

Przed chwilą było to pytanie kilka postów wyżej. Nie, nie przejdziesz bezboleśnie, więc nie zachowuj ustawień.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

31 (edytowany przez dzyndzla 2022-04-24 14:05:29)

Odp: Zmiany w wydaniu OpenWrt 22.03

Cześć,

Cezary napisał/a:

[...] Składniowo jest to inaczej, w plikach systemowych jest to inaczej. [...]

@Cezary: Czy to znaczy, że struktura pliku konfiguracyjnego /etc/config/firewall zmienia się w związku z przejściem z iptables na nftables? I zatem czy poradniki, które publikowałeś - np. ten dotyczący konfiguracji wireguarda, w sekcji firewall są już nieaktualne w kontekście 22.03?

Linksys MR8300 V1.1 / Linksys WRT1200AC V2 / TP-Link Archer C7 V5

32

Odp: Zmiany w wydaniu OpenWrt 22.03

Składniowo uci jest takie samo. Ale nie ma opcji extra, nie ma firewall.user itp podobnych rzeczy. Dopóki używasz czystego uci to wszystko powinno działać (prawie, bo parę rzeczy znaleźli i zostało poprawionych, ale ciekawe co jeszcze wyjdzie).

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

33

Odp: Zmiany w wydaniu OpenWrt 22.03

A co trzeba zrobić po przejściu z 21.xx na 22.03 przy konfiguracji openvpn-a i jest brak pliku firewall.user jak napisałeś wyżej ?

2x ZTE MF 286R OpenWrt 22.03-SNAPSHOT, r19441-3cfe050c4a
TP-LINK Archer C7 v5 - 1.12.0.2 (27ec1e48)
Netgear R6220 Gargoyle PL 1.13.0.0pre9

34

Odp: Zmiany w wydaniu OpenWrt 22.03

To co miałeś w firewall.user przepisać na nftables. Normalnie openvpn nie wymaga żeby coś było w firewall.user, więc cokolwiek tam umieściłeś musisz sobie sam przepisać na uci lub nftables.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

35 (edytowany przez piratee 2022-04-24 14:52:12)

Odp: Zmiany w wydaniu OpenWrt 22.03

Przyznam, że będzie to dla mnie ciężkie.
Ale nic szukam w google.
Edit:
to pliki up.sh i down.sh też trzeba przesiać ?

2x ZTE MF 286R OpenWrt 22.03-SNAPSHOT, r19441-3cfe050c4a
TP-LINK Archer C7 v5 - 1.12.0.2 (27ec1e48)
Netgear R6220 Gargoyle PL 1.13.0.0pre9

36

Odp: Zmiany w wydaniu OpenWrt 22.03

Nie mam pojęcia czym są pliki up.sh i down.sh i co w nich masz. Zanim zadasz kolejne pytanie - nie działają reguły iptables. Cokolwiek masz, gdziekolwiek masz, w jakimkolwiek programie czy skrypcie dowolną regułę iptables - musisz ją przepisać.
Jeżeli masz tam cokolwiek związanego z iptables to tak. Jak nie to nie.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

37

Odp: Zmiany w wydaniu OpenWrt 22.03

piszę o zawartości, którą przeczytałem w poradniku
https://eko.one.pl/?p=openwrt-openvpntun

Skrypt up.sh ma wyglądać następująco:


    #!/bin/sh
    if (ip a s tun0 up) && (iptables -C forwarding_rule -j REJECT); then
            iptables -D forwarding_rule -j REJECT
    fi
    exit 0

Skrypt down.sh:


    #!/bin/sh
    if (! ip a s tun0 up) && (! iptables -C forwarding_rule -j REJECT); then
        iptables -I forwarding_rule -j REJECT
    fi
    exit 0

2x ZTE MF 286R OpenWrt 22.03-SNAPSHOT, r19441-3cfe050c4a
TP-LINK Archer C7 v5 - 1.12.0.2 (27ec1e48)
Netgear R6220 Gargoyle PL 1.13.0.0pre9

38

Odp: Zmiany w wydaniu OpenWrt 22.03

Jak pisałem - to są reguły iptables, więc musisz to sobie przepisać.

A tak w ogóle to możesz się tego całkowicie pozbyć, oraz wywalić forwarding pomiędzy wan a lan. Będzie miało taki sam skutek.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

39

Odp: Zmiany w wydaniu OpenWrt 22.03

Ok poczytam
Ale przyznam, że firewall i reguły to dla mnie czarna magia smile

2x ZTE MF 286R OpenWrt 22.03-SNAPSHOT, r19441-3cfe050c4a
TP-LINK Archer C7 v5 - 1.12.0.2 (27ec1e48)
Netgear R6220 Gargoyle PL 1.13.0.0pre9

40

Odp: Zmiany w wydaniu OpenWrt 22.03

BTW, dziś oficjalnie ogłoszono dostępność wydania 22.03.0-rc1 i mała ciekawostka związana z OpenWrt: obecnie wspieranych jest 1550 modeli urządzeń. Nigdy nie liczyłem smile

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

41

Odp: Zmiany w wydaniu OpenWrt 22.03

Dzięki za obrazy smile
Poczekam aż będzie coś bardziej finalnego i przeskoczę z 21.02. na 22.03.
Kawa poleciała.

OpenWRT na TP-LINK Archer C7 v2, Korbox Gigabitus (Zbtlink ZBT-WE1326), Xiaomi AIoT Router AC2350 | http://blog.sloniupl.eu/

42 (edytowany przez mar_w 2022-05-08 18:23:17)

Odp: Zmiany w wydaniu OpenWrt 22.03

A jeżeli ktoś chce to może sobie zoptymalizować firewalla.
Normalnie firewall4 przetwarza po kolei reguły z pliku /etc/config/firewall dopisując kolejne linie do zestawu. Prawidłowo.
Reguły nftables możemy sobie zapisać do pliku:

# nft list ruleset > nftables.rules

dalej możemy sobie sprawdzić co proponuje "nft" jeśli chodzi o optymalizację zgodnie z punktem:

"It provides a generic set infrastructure that allows you to construct maps and concatenations. You can use these new structures to arrange your ruleset in a multidimensional tree which drastically reduces the number of rules that need to be inspected until reaching the final action on a packet." źródło: what is nft
U mnie proponuje:

# nft -o -f nftables.rules
Merging:
nftables.rules:7:3-45:         iifname { "eth2", "br-lan" } jump input_lan comment "!fw4: Handle lan IPv4/IPv6 input traffic"
nftables.rules:8:3-31:         iifname "eth1" jump input_wan comment "!fw4: Handle wan IPv4/IPv6 input traffic"
nftables.rules:9:3-38:         iifname "zt2lrq26de" jump input_home comment "!fw4: Handle home IPv4/IPv6 input traffic"
into:
    iifname vmap { { eth2,
                 br-lan } : jump input_lan, eth1 : jump input_wan, zt2lrq26de : jump input_home } comment "!fw4: Handle lan IPv4/IPv6 input traffic"
...
# i dodatkowe 2 zestawy które pominąłem

Każde z 3 linii "iifname" można zastąpić jedną linią z dodatkiem "vmap". Czyli łącznie 9 linii można zastąpić 3-ma liniami.
W razie jakby nie chciał przyjąć składni 2 interfejsów spiętych w nawiasy {} jak tu:

{ eth2, br-lan } : jump input_lan,

to można rozdzielić pojedynczo:

iifname vmap { eth2 : jump input_lan, br-lan : jump input_lan ....}

Po wykonaniu tej optymalizacji pliczek skurczył się względem oryginału:

# ll
drwxr-xr-x    1 root     root          1024 May  7 22:56 ./
drwxr-xr-x    1 root     root          1024 Apr 23 17:53 ../
-rw-r--r--    1 root     root          6493 May  7 23:26 nftables.optimize
-rw-r--r--    1 root     root          6788 May  8 11:16 nftables.rules

Po starcie można sobie czyścić reguły i ładować zoptymalizowane:

# nft flush ruleset
# nft -f nftables.optimize

Przy 3 regułach nie poprawi się szybkości, jedynie pozostaje zadowolenie z "optymalizacji" big_smile
Testy w sieci mówią że przy kilku tysiącach reguł być może warto to zrobić.
Kto ma kilka tysięcy reguł w firewallu na Openwrt? wink

* WNDR 4300v2 * ||  * Xiaomi Miwifi Mini * || Netgear R6220 *
* DVBT2 - T230C *

43

Odp: Zmiany w wydaniu OpenWrt 22.03

Testuję OpenWrt 22.03-SNAPSHOT z 6 maja i hardware offloading na MT7621 w końcu działa poprawnie, nawet z PPPoE i VLAN, czyli jest szybko i stabilnie (po prawie 48 godzinach). Oby tak dalej!

44

Odp: Zmiany w wydaniu OpenWrt 22.03

Potwierdzam, OpenWrt 22.03-SNAPSHOT r19334-2ac5ee7f8a na R6220 zamyka 600mbs bez problemu na PPPoE.

@Ginti sprawdzałeś może czy gigabita wysyci?

45

Odp: Zmiany w wydaniu OpenWrt 22.03

U mnie maksymalnie troche ponad 900/700 poszło: https://i.imgur.com/ZazIQmM.png
https://i.imgur.com/7tEd2ba.png

46

Odp: Zmiany w wydaniu OpenWrt 22.03

Bartekk napisał/a:

@Ginti sprawdzałeś może czy gigabita wysyci?

Orange Światłowód 1Gb leci u mnie 900/300, właściwie bez obciążenia CPU.

Uptime pokazuje już 8 dni.

47

Odp: Zmiany w wydaniu OpenWrt 22.03

Za chwilę czeka nas -rc2 tego wydania, chcą tylko wrzucić kilka nowych poprawek i aktualizacji. Czekam więc z nowymi buildami aż to zrobią.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

48 (edytowany przez secam7 2022-05-20 15:46:35)

Odp: Zmiany w wydaniu OpenWrt 22.03

Co zrobić żeby zadziałało pptp?
Po zastosowaniu metdody:
# opkg install kmod-nf-nathelper-extra
# echo "net.netfilter.nf_conntrack_helper = 1" >> /etc/sysctl.d/local.conf
# reboot

Jest komunikat: "nf_conntrack: default automatic helper assignment has been turned off for security reasons and CT-based  firewall rule not found. Use the iptables CT target to attach helpers instead."

I dalej nie zestawia połączenia.

[Edit]
Działa, coś nie tak musiałem zrobić.
W domyślnym firewall są jakieś reguły dotyczące pptp, ale bez linijki w sysctl nic nie dają.
Może czegoś jeszcze brakuje??
Może jakiś znawca nftables podpowie jak to zrobić poprawnie?

49

Odp: Zmiany w wydaniu OpenWrt 22.03

@Cezary kiedy będzie Twój 22.03.0-rc3 dla Linksys WRT1900ACS ?

50

Odp: Zmiany w wydaniu OpenWrt 22.03

Zgłoszenia błędów w firewallu są, więc nie kompiluję jeszcze.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.