Да не... dnsmasq я вернул. Просто увидел несоответствие сказанного выше с действительностью и решил уточнить :)

Насколько я понял, логика сейчас верная: отрубаем dnsmasq - получаем поля для ввода днс.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да. Из головы вылетело что вариант с произвольными DNS мы так и не добавили ибо use case`а не нашлось. Т.е. реальной причины городить лишние галки в роже и доп условия в логике. Если бы на каждый чих добавляли то из прошивки давно бы получился бы клубок проводов смотанный изолентой. Потому стараюсь не добавлять доп логику под нереальные use case`ы или нужные менее чем 1% юзверей, вместо этого есть rwfs через который можно фактически любой кейз без пересборки поддержать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

ЗВсе вопросы по этому делу пока адресовать только на support@nag.ru позже сделаем отдельную тему (когда понятно будет как дальше это развивать, сопровождать и куда собсно двигаться, ну и текущие известные косяки будут закрыты).

Время для отдельной темы ещё не пришло?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Пока добили только 1.0.0 версию протокола с отладкой на d-link acs. Поддержка других ACS возможна только на определённых условиях. Напишите на wifi@nag.ru детально с тем какая acs юзается и т.д. Объяснят что нужно для добавления поддержки от вас. Отдельной темы по TR-у не будет т.к. сиё не является стандартом и сделать что-то универсальное не выйдет. Т.е. поддержка только по индивидуальным запросам отдельным человеком. Меня спрашивать по этой теме бессмысленно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Пока ппробовал только бесплатные. Надо ещё понять, надо оно нам или нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

И снова здравствуйте!

Что-то у меня опять проблема. Последовательность действий:

git clone git://git.code.sf.net/p/wive-ng/wive-ng-mt wive-ng-wive-ng-mt
cd /wive-ng-wive-ng-mt
./compile MT7620-2T2R-8M

Т.е. никаких изменений не вношу, только собираю, diff нулевой. Прошиваю получившийся образ - на роутер заходит, всё вроде бы прекрасно, но клиенты интернет через него не видят. Удалённо на роутер заходится, из консоли с него всё пингуется.

Изменено пользователем mbg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

./compile MT7620-2T2R-8M NO YES

 

Все работы проводятся под Mageia5. Совмстимсоть с другими дистрами... Ну вы поняли. Перед сборкой читать README и пересобирать тучлейн обязательно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Доброго времени суток.

Прошу совета, в какую сторону копать.

2 недели назад всё прекрасно собиралось и работало. На данный момент делаю так - собираю прошивку с дефолтными данными, настраиваю под себя, сливаю конфиг, на его основе делаю дефолтные конфиги, собираю с ними прошивку - инета через роутер нет. Дифф в аттаче. Собираю на Mageia 5. Тулчейн пересобираю.

diff.patch.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Опять буду гадать по дифам? Лог где? И что значит "нет инета"? nslookup на клиенте, трасса с клиента и т.д.

 

Нет ну вам повезло что в прошлый раз я глазом зацепился за странности в конфиге. Минимальную-то диагностику сделайте.

 

А ещё лучше слейте результирующий конфиг и сравните с тем на основе которого дефолты правили, всяко будет видно причину.

 

По дефолтам в лоб проблемы не вижу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

И ещё на 5ГГц включать автовыбор канала чревато что часть устройств после этого железку вообще не увидит. Там до сих пор на клиентах бардак с диапазонами для RU потому фиксировано на 44м. Его все доступные мне устройства жуют. Точнее 44-48 все жуют. Выше ниже уже кой-какие выпадают из-за региональных ограничений в них.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

nslookup, tracert, compile log - https://yadi.sk/d/epPgVzGArzBcE

Отличия в конфигах только в 3х строчках -

ACSCheckTime=6

ACSCheckTimeINIC=6

HostName=Wive-NG-MT

Домены резловятся, но не пингуются. С ван порта роутер доступен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

С роутера досутпны ПК с обоих сторон?

Вот вангую где-то накосячили когда правили скрипт iptables теперь он не отрабатывают и в нетфильтре тупо нет нужных правил в итоге ничего не ходит.

 

iptables -L -v -n

iptables -L -v -n -t nat

 

В руки.

 

Зачем мне compile.log я ХЗ а вот лога загрузки девайса я не вижу.

Для логов есть pastebin. Яндекс диски и прочее с закачкой файла на машину отставить по определению.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Отличия в конфигах только в 3х строчках -

ACSCheckTime=6

ACSCheckTimeINIC=6

HostName=Wive-NG-MT

 

Если только в этом то подобного поведения не было бы. Следовательно накосячили где-то в другом месте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Если только в этом то подобного поведения не было бы. Следовательно накосячили где-то в другом месте.

Каюсь, грешен. Видимо эксперименты по выявлению причины были невнимательны. Ночью не торопясь всё проверил - виноват iptables.

Но что интересно, последняя прошивка рабочая у меня от 13.05 - там точно такие же правила и они работают как надо:

if [ "$RemoteManagement" != "0" ]; then
    $LOG "Remote managment web limit"
   	    iptables -A servicelimit -p tcp --dport $RemoteManagementPort $CONNLIMIT 16 -j REJECT
    if [ "$RemoteManagement" = "1" ]; then
   		iptables -A servicelimit -s 80.78.115.5 -i $lan_if $STATE_NEW -p tcp --dport $RemoteManagementPort -j ACCEPT
   		iptables -A servicelimit -s $lan_ipaddr/$lan_netmask -i $lan_if $STATE_NEW -p tcp --dport $RemoteManagementPort -j ACCEPT
     if [ "$Lan2Enabled" = "1" ]; then
   		iptables -A servicelimit -s 80.78.115.5 -i $lan2_if $STATE_NEW -p tcp --dport $RemoteManagementPort -j ACCEPT
   		iptables -A servicelimit -s $lan2_ipaddr/$lan2_netmask -i $lan2_if $STATE_NEW -p tcp --dport $RemoteManagementPort -j ACCEPT
     fi
    elif [ "$RemoteManagement" = "2" ]; then
   		iptables -A servicelimit -s 80.78.115.5 $STATE_NEW -p tcp --dport $RemoteManagementPort -j ACCEPT
   		iptables -A servicelimit -s $lan_ipaddr/$lan_netmask $STATE_NEW -p tcp --dport $RemoteManagementPort -j ACCEPT
    fi
fi
if [ "$RemoteSSH" != "0" ]; then
    $LOG "Remote managment ssh limit"
   	    iptables -A servicelimit $STATE_NEW -p tcp --dport $RemoteSSHPort $CONNLIMIT 4 -j REJECT
    if [ "$RemoteSSH" = "1" ]; then
   		iptables -A servicelimit -s 80.78.115.5 -i $lan_if $STATE_NEW -p tcp --dport $RemoteSSHPort -j ACCEPT
   		iptables -A servicelimit -s $lan_ipaddr/$lan_netmask -i $lan_if $STATE_NEW -p tcp --dport $RemoteSSHPort -j ACCEPT
     if [ "$Lan2Enabled" = "1" ]; then
   		iptables -A servicelimit -s 80.78.115.5 -i $lan2_if $STATE_NEW -p tcp --dport $RemoteSSHPort -j ACCEPT
   		iptables -A servicelimit -s $lan_ipaddr/$lan_netmask -i $lan2_if $STATE_NEW -p tcp --dport $RemoteSSHPort -j ACCEPT
     fi
    elif [ "$RemoteSSH" = "2" ]; then
   		iptables -A servicelimit -s 80.78.115.5 $STATE_NEW -p tcp --dport $RemoteSSHPort -j ACCEPT
   		iptables -A servicelimit -s $lan_ipaddr/$lan_netmask $STATE_NEW -p tcp --dport $RemoteSSHPort -j ACCEPT
    fi
fi 

А без ограничения доступа мне никак нельзя... Пойду курить маны.

ЗЫЖ логи загрузки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В правилах я криминила как раз не вижу. А вот скрипт похоже перестал исполняться. Проверить не похерились ли права на W10iptables и посмотреть что скажет на cd /etc/init.d/ && sh -x ./iptables restart

 

По логу исполния скрипта iptables не видно. Так что либо с правами накосячили либо в самом скрипте возможно какой-то спец символ влепили который ash не прожовывает к примеру (запуск sh -x расскажет).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А без ограничения доступа мне никак нельзя... Пойду курить маны.

 

Зачем ограничивать рожу я понять могу. Но ssh достаточно пересадить на нестандартный порт и юзать криптостойкие пароли. А рожу вообще нефиг в WAN светить.

Ну и так же не очень понимаю в чём смысл ограничивать с одного адреса. Дропбир более чем секурен в отличии от web и телнетов. Городушки излишни.

 

А рожу вообще разрешать только с LAN и когда надо зайти из WAN по ssh добавлять правило, затем убирать за собой. Хотя опять таки на кой чёрт оно нужно из WAN мне не ясно.

 

На месте ваших юзврей первой что бы я делал это через recovery бы пролил оригинальную прошивку.

 

Ну и ещё раз говорю, что бы не ломать основную логику iptables сделаны хуки в /etc/ip(6)tables.d.

 

Оставьте дефолты с разрешением рожи и ssh с LAN и в /etc/iptables.d положите скрипт ровно с 2мя правилами добавляющими вам доступ с вашего любимого ip. В этом случае если накосячите в своём скрипте как минимум всё не развалиться.

 

виноват iptables.

 

Вот он как раз ни в чём не виноват. =)))

 

P.S. Тут рассказывал как добавить второго юзверя постоянного http://forum.nag.ru/forum/index.php?showtopic=102236&view=findpost&p=1256828 и оставить основному возможность самому крутить настройки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ограничивать рожу приходится из-за печального опыта, когда абоненты "кул хацкеры" пакостят переименовывая людям сеть или ещё как - опыт уже есть. Ну а рожу в ван - на саппорте есть девушки, которым с консолью ещё не очень комильфо :)

Те пользователи, которые могут через рековери оригинал прошить, обычно нашими роутерами не пользуются, а сами всё покупают в интернетах. А остальные звонят и говорят - сделайте нам то, сделайте другое...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Какие абоненты кулхацкеры в локальной сети абонента? Почему я за 10ток лет о таких кулхацкерах слышу впервые? Грю же нельзя рожу в WAN выставлять впринципе, оно и не надо. Все прекрасно рулиться по ssh.

 

Что делать на роутере абонента девушкам из саппорта я вообще с трудом понимаю.

 

И уж насколько бы не была бы девушка далека от консоли, одну строчку что бы добавить правило нетфильтра для доткрытия доступа с WAN к WEB на время работы с ним она осиливать скопировать из блокнотика должна. Иначе я не понимаю что она там может в роже даже сделать...

 

Те пользователи, которые могут через рековери оригинал прошить, обычно нашими роутерами не пользуются, а сами всё покупают в интернетах. А остальные звонят и говорят - сделайте нам то, сделайте другое...

 

Практика показывает, что как минимум это не совсем так. И предложения по "разлочке" на том же авито живут и здравствуют, правда насчёт Каменска не слышал, но вот последствия действий других операторов народ готов исправить за жалкие 500р. =)))

 

Ну и интересно чего сделать-то.. Всмысле что то? Что другое? Ну мне реально любопытно что там можно сделать? Настроили, воткнули длинные уникальные пароли - поставили и забыли. И нефиг там шарохаться. И никакие кулхацкеры даже при роже на ружу не страшны.

 

Или вы готовы продемонстрировать метод компроментации WEBUI в Wive ? Или может SSH ? =))))

 

Хотя догадался. Вы не утруждаете себя уникальными паролями для доступа к устройствам абонента. А потом кто-то пролюбливает кому-то данные об этих паролях. А ещё похоже пол сети весит с типовым паролем на WiFi ? =) Ну дык это организационные моменты которые решаются обычно далеко не техническими средствами. Костыли с технической стороны на эту тему регулярно всплывают, но потом от них один фиг приходиться отказываться.

 

Плюс в сети нет банального DHCP потому в дефолтах прописывается какой-то типа стандартный IP что бы если абонент таки сбросит заползти в рожу и перенастроить?

 

Прекрасное решение. =))) Что только люди не делают, что бы не делать по человечески. =))) Посмотрим как вы с ipv6 без RA/DHCP будете абонентов настраивать и диагностировать проблемы.

 

Так что ИМХО пора бы озадачиться DHCP с привязкой адреса к порту абонета (если надо статику) хоть с 82й опцией хоть как-то иначе. А то так и будете перенастраивать роутеры каждый раз когда юзверь по совету Google Chrome его обрезетит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Что делать на роже девочкам? Да хоть банально посмотреть, подцепился у бландинки айпонт к вифи или нет, т.к. бландинко сама даже на своём айпонте не знает как посмотреть состояние подключения. Некоторым надо пароль на вифи поментья раз в месяц, потому что сосед-гад ломает пароли и инет крадёт. Подобного - масса.

До работы в саппорте я думал что люди умнее и адекватнее...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Кстати обратил внимание, что в ЕКБ и окресностях тотально странная логика на эту тему. Заставить юзверя конфигурить роутер и плакаться как задолбали звонками абоненты с резетом и при этом не юзать DHCP на доступе... Берите пример с ТТК. Ткнул хвост - и без какой-либо настройки инет полился, остаётся только пароль на wifi сменить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Что делать на роже девочкам? Да хоть банально посмотреть, подцепился у бландинки айпонт к вифи или нет, т.к. бландинко сама даже на своём айпонте не знает как посмотреть состояние подключения.

 

wl showstat ra0 в блокнотик. Попозжа будем один фиг делать человеческий cli для управления радио (нужно для задач автоматизации), пока некогда тупо.

 

Некоторым надо пароль на вифи поментья раз в месяц, потому что сосед-гад ломает пароли и инет крадёт.

 

А может сразу юзать только WPA2+AES и сложные пароли. Ну и не юзать говнороутеры где WPS не отключаем. Можете ещё IDS для пущей секурности включить. Или вы желаете сказать не помогает? Ну раз не помогает значит сливает сам юзер или другое его устройство и тут хоть каждый день меняй. В любом случае проблема решается разговором по душам с соседом.

 

Ну а сменить в блокнотик nvram_set WPAPSK1 <новый пароль> && reboot. Это даже быстрее чем тыкамышенье по роже.

 

Можете для девочек не дружащих с консолью даже скрипты написать которые будут сами по щелчку на ярлыке коннектиться по ssh и менять это дело. Web в WAN для этого не нужен. Ещё плюсом и унификация процедуры. Или даже массовая смена параметров одним махом.

 

А можно вообще в личном кабинете смену пароля в т.ч. на wifi забабахать и т.д. и т.п. Вариантов масса что бы решить проблемы блондинок не раздувая штат ТП и не заставляя их заниматься обезьяньей работой.

 

Подобного - масса.

 

Пока вся масса меньше одного мг и не технического характера, а административного.

 

До работы в саппорте я думал что люди умнее и адекватнее...

 

До работы с операторами я думал, что операции на гландах через жопу эт скорее исключение чем правило, а кирка вместо бензопилы - от бедности... Ошибался. =)))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А вот на это отвечу: есть такая штука - руководство. И ему "виднее". Была б моя воля... Эхъ.

 

И ещё вопрос - зачем такой большой обратный отсчёт при апдейте прошивки, сбросе, ребуте? Оно же гораздо быстрее отрабатывает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А вот на это отвечу: есть такая штука - руководство. И ему "виднее". Была б моя воля... Эхъ.

 

Ну дык форкнуться никто не запрещал.

 

И ещё вопрос - зачем такой большой обратный отсчёт при апдейте прошивки, сбросе, ребуте? Оно же гораздо быстрее отрабатывает.

 

Сильно зависит от типа флэша установленного в девайсе и числу настроенных сервисов и т.д. и т.п. Потому взято почти с 2х кратным запасом. Была бы возможность из JS как-то в фоне узнать что уже всё поднялось (а может и есть, но я не web`ер) - было бы проще.

 

P.S. сорь не туда ткнул похерил чуток сообщение =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Интервал между подключениями netcwmp к acs серверу это PeriodicInformInterval в device.xml ? Или в данной реализации не изменить в конфигах?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Все вопросы по TR только на wifi@nag.ru я к его разработке отношения не имею фактически.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти