[sfstudio]

Логикой не предусмотрено. Но никто не мешает в /etc/init.d/checkconf придумать проверку и делать fs restore и fs nvramreset при первой загрузке после обновления.

[mbg]

выдать клиентам свои dns можно и не отключая dnsmasq для локальных нужд (после включения статик dns в wan появятся поля в настройках dhcp сервера через которые можно отдать клиенту хоть чёрта)

Сижу, экспериментирую. Поля для ввода DNS для dhcp сервера появляются только при dnsPEnabled=0 и не зависят от wan_static_dns. Это мои криворуки или фича?

[sfstudio]

Да зарапортовался. Ну тогда подправьте логику под себя в /etc/init.d/dhcpd начиная со строки # dns servers for clients.

 

Хотя у вас статика и достаточно будет if [ "$dnsPEnabled" = "1" ]; then там заменить на if [ "$dnsPEnabled" = "DEAD" ]; и в переменные dhcpPriDns и dhcpSecDns положить адреса которые отдать клиентам, иначе они будут взяты из настроек wan.

 

Короче надо сказать логике конфигурации dhcp что dns relay у нас отрублен что бы начали клиенту выдаваться адреса те что заданы в WAN. Однако ещё раз говорю, я абсолютно не понимаю чем dnsmasq в роли релея помешал.

 

Я абсолютно не понимаю зачем нужно отрубать релэй потому в ToDo такой режим не попадёт точно. Тем более что кэширующий dns сервер позволяет обойти стопку проблем в т.ч. при нестабильной связи с одним или обоими dns серверами и как минимум вконтактики у юзверя почти всегда в кэше будут.

 

Аргументируйте зачем нужен тот изврат что вы делаете - подумаем над необходимостью такого режима в настройках dhcp.

 

И опять же отличии от д-линков асусов и тырпырлинков у нас dnsmasq не версии царя гороха и проблем с ним ни по v4 ни по v6 нет и не предвидиться. Не вижу смысла ломать то что работает.

[mbg]

Да не... dnsmasq я вернул. Просто увидел несоответствие сказанного выше с действительностью и решил уточнить :)

Насколько я понял, логика сейчас верная: отрубаем dnsmasq - получаем поля для ввода днс.

[sfstudio]

Да. Из головы вылетело что вариант с произвольными DNS мы так и не добавили ибо use case`а не нашлось. Т.е. реальной причины городить лишние галки в роже и доп условия в логике. Если бы на каждый чих добавляли то из прошивки давно бы получился бы клубок проводов смотанный изолентой. Потому стараюсь не добавлять доп логику под нереальные use case`ы или нужные менее чем 1% юзверей, вместо этого есть rwfs через который можно фактически любой кейз без пересборки поддержать.

[mbg]

ЗВсе вопросы по этому делу пока адресовать только на support@nag.ru позже сделаем отдельную тему (когда понятно будет как дальше это развивать, сопровождать и куда собсно двигаться, ну и текущие известные косяки будут закрыты).

Время для отдельной темы ещё не пришло?

[sfstudio]

Пока добили только 1.0.0 версию протокола с отладкой на d-link acs. Поддержка других ACS возможна только на определённых условиях. Напишите на wifi@nag.ru детально с тем какая acs юзается и т.д. Объяснят что нужно для добавления поддержки от вас. Отдельной темы по TR-у не будет т.к. сиё не является стандартом и сделать что-то универсальное не выйдет. Т.е. поддержка только по индивидуальным запросам отдельным человеком. Меня спрашивать по этой теме бессмысленно.

[mbg]

Пока ппробовал только бесплатные. Надо ещё понять, надо оно нам или нет.

[mbg]

И снова здравствуйте!

Что-то у меня опять проблема. Последовательность действий:

git clone git://git.code.sf.net/p/wive-ng/wive-ng-mt wive-ng-wive-ng-mt
cd /wive-ng-wive-ng-mt
./compile MT7620-2T2R-8M

Т.е. никаких изменений не вношу, только собираю, diff нулевой. Прошиваю получившийся образ - на роутер заходит, всё вроде бы прекрасно, но клиенты интернет через него не видят. Удалённо на роутер заходится, из консоли с него всё пингуется.

Edited May 20, 2016 by mbg

[sfstudio]

./compile MT7620-2T2R-8M NO YES

 

Все работы проводятся под Mageia5. Совмстимсоть с другими дистрами... Ну вы поняли. Перед сборкой читать README и пересобирать тучлейн обязательно.

[mbg]

Доброго времени суток.

Прошу совета, в какую сторону копать.

2 недели назад всё прекрасно собиралось и работало. На данный момент делаю так - собираю прошивку с дефолтными данными, настраиваю под себя, сливаю конфиг, на его основе делаю дефолтные конфиги, собираю с ними прошивку - инета через роутер нет. Дифф в аттаче. Собираю на Mageia 5. Тулчейн пересобираю.

diff.patch.txt

[sfstudio]

Опять буду гадать по дифам? Лог где? И что значит "нет инета"? nslookup на клиенте, трасса с клиента и т.д.

 

Нет ну вам повезло что в прошлый раз я глазом зацепился за странности в конфиге. Минимальную-то диагностику сделайте.

 

А ещё лучше слейте результирующий конфиг и сравните с тем на основе которого дефолты правили, всяко будет видно причину.

 

По дефолтам в лоб проблемы не вижу.

[sfstudio]

И ещё на 5ГГц включать автовыбор канала чревато что часть устройств после этого железку вообще не увидит. Там до сих пор на клиентах бардак с диапазонами для RU потому фиксировано на 44м. Его все доступные мне устройства жуют. Точнее 44-48 все жуют. Выше ниже уже кой-какие выпадают из-за региональных ограничений в них.

[mbg]

nslookup, tracert, compile log - https://yadi.sk/d/epPgVzGArzBcE

Отличия в конфигах только в 3х строчках -

ACSCheckTime=6

ACSCheckTimeINIC=6

HostName=Wive-NG-MT

Домены резловятся, но не пингуются. С ван порта роутер доступен.

[sfstudio]

С роутера досутпны ПК с обоих сторон?

Вот вангую где-то накосячили когда правили скрипт iptables теперь он не отрабатывают и в нетфильтре тупо нет нужных правил в итоге ничего не ходит.

 

iptables -L -v -n

iptables -L -v -n -t nat

 

В руки.

 

Зачем мне compile.log я ХЗ а вот лога загрузки девайса я не вижу.

Для логов есть pastebin. Яндекс диски и прочее с закачкой файла на машину отставить по определению.

[sfstudio]

Отличия в конфигах только в 3х строчках -

ACSCheckTime=6

ACSCheckTimeINIC=6

HostName=Wive-NG-MT

 

Если только в этом то подобного поведения не было бы. Следовательно накосячили где-то в другом месте.

[mbg]

Если только в этом то подобного поведения не было бы. Следовательно накосячили где-то в другом месте.

Каюсь, грешен. Видимо эксперименты по выявлению причины были невнимательны. Ночью не торопясь всё проверил - виноват iptables.

Но что интересно, последняя прошивка рабочая у меня от 13.05 - там точно такие же правила и они работают как надо:

if [ "$RemoteManagement" != "0" ]; then
    $LOG "Remote managment web limit"
   	    iptables -A servicelimit -p tcp --dport $RemoteManagementPort $CONNLIMIT 16 -j REJECT
    if [ "$RemoteManagement" = "1" ]; then
   		iptables -A servicelimit -s 80.78.115.5 -i $lan_if $STATE_NEW -p tcp --dport $RemoteManagementPort -j ACCEPT
   		iptables -A servicelimit -s $lan_ipaddr/$lan_netmask -i $lan_if $STATE_NEW -p tcp --dport $RemoteManagementPort -j ACCEPT
     if [ "$Lan2Enabled" = "1" ]; then
   		iptables -A servicelimit -s 80.78.115.5 -i $lan2_if $STATE_NEW -p tcp --dport $RemoteManagementPort -j ACCEPT
   		iptables -A servicelimit -s $lan2_ipaddr/$lan2_netmask -i $lan2_if $STATE_NEW -p tcp --dport $RemoteManagementPort -j ACCEPT
     fi
    elif [ "$RemoteManagement" = "2" ]; then
   		iptables -A servicelimit -s 80.78.115.5 $STATE_NEW -p tcp --dport $RemoteManagementPort -j ACCEPT
   		iptables -A servicelimit -s $lan_ipaddr/$lan_netmask $STATE_NEW -p tcp --dport $RemoteManagementPort -j ACCEPT
    fi
fi
if [ "$RemoteSSH" != "0" ]; then
    $LOG "Remote managment ssh limit"
   	    iptables -A servicelimit $STATE_NEW -p tcp --dport $RemoteSSHPort $CONNLIMIT 4 -j REJECT
    if [ "$RemoteSSH" = "1" ]; then
   		iptables -A servicelimit -s 80.78.115.5 -i $lan_if $STATE_NEW -p tcp --dport $RemoteSSHPort -j ACCEPT
   		iptables -A servicelimit -s $lan_ipaddr/$lan_netmask -i $lan_if $STATE_NEW -p tcp --dport $RemoteSSHPort -j ACCEPT
     if [ "$Lan2Enabled" = "1" ]; then
   		iptables -A servicelimit -s 80.78.115.5 -i $lan2_if $STATE_NEW -p tcp --dport $RemoteSSHPort -j ACCEPT
   		iptables -A servicelimit -s $lan_ipaddr/$lan_netmask -i $lan2_if $STATE_NEW -p tcp --dport $RemoteSSHPort -j ACCEPT
     fi
    elif [ "$RemoteSSH" = "2" ]; then
   		iptables -A servicelimit -s 80.78.115.5 $STATE_NEW -p tcp --dport $RemoteSSHPort -j ACCEPT
   		iptables -A servicelimit -s $lan_ipaddr/$lan_netmask $STATE_NEW -p tcp --dport $RemoteSSHPort -j ACCEPT
    fi
fi 

А без ограничения доступа мне никак нельзя... Пойду курить маны.

ЗЫЖ логи загрузки.

[sfstudio]

В правилах я криминила как раз не вижу. А вот скрипт похоже перестал исполняться. Проверить не похерились ли права на W10iptables и посмотреть что скажет на cd /etc/init.d/ && sh -x ./iptables restart

 

По логу исполния скрипта iptables не видно. Так что либо с правами накосячили либо в самом скрипте возможно какой-то спец символ влепили который ash не прожовывает к примеру (запуск sh -x расскажет).

[sfstudio]

А без ограничения доступа мне никак нельзя... Пойду курить маны.

 

Зачем ограничивать рожу я понять могу. Но ssh достаточно пересадить на нестандартный порт и юзать криптостойкие пароли. А рожу вообще нефиг в WAN светить.

Ну и так же не очень понимаю в чём смысл ограничивать с одного адреса. Дропбир более чем секурен в отличии от web и телнетов. Городушки излишни.

 

А рожу вообще разрешать только с LAN и когда надо зайти из WAN по ssh добавлять правило, затем убирать за собой. Хотя опять таки на кой чёрт оно нужно из WAN мне не ясно.

 

На месте ваших юзврей первой что бы я делал это через recovery бы пролил оригинальную прошивку.

 

Ну и ещё раз говорю, что бы не ломать основную логику iptables сделаны хуки в /etc/ip(6)tables.d.

 

Оставьте дефолты с разрешением рожи и ssh с LAN и в /etc/iptables.d положите скрипт ровно с 2мя правилами добавляющими вам доступ с вашего любимого ip. В этом случае если накосячите в своём скрипте как минимум всё не развалиться.

 

виноват iptables.

 

Вот он как раз ни в чём не виноват. =)))

 

P.S. Тут рассказывал как добавить второго юзверя постоянного http://forum.nag.ru/forum/index.php?showtopic=102236&view=findpost&p=1256828 и оставить основному возможность самому крутить настройки.

[mbg]

Ограничивать рожу приходится из-за печального опыта, когда абоненты "кул хацкеры" пакостят переименовывая людям сеть или ещё как - опыт уже есть. Ну а рожу в ван - на саппорте есть девушки, которым с консолью ещё не очень комильфо :)

Те пользователи, которые могут через рековери оригинал прошить, обычно нашими роутерами не пользуются, а сами всё покупают в интернетах. А остальные звонят и говорят - сделайте нам то, сделайте другое...

[sfstudio]

Какие абоненты кулхацкеры в локальной сети абонента? Почему я за 10ток лет о таких кулхацкерах слышу впервые? Грю же нельзя рожу в WAN выставлять впринципе, оно и не надо. Все прекрасно рулиться по ssh.

 

Что делать на роутере абонента девушкам из саппорта я вообще с трудом понимаю.

 

И уж насколько бы не была бы девушка далека от консоли, одну строчку что бы добавить правило нетфильтра для доткрытия доступа с WAN к WEB на время работы с ним она осиливать скопировать из блокнотика должна. Иначе я не понимаю что она там может в роже даже сделать...

 

Те пользователи, которые могут через рековери оригинал прошить, обычно нашими роутерами не пользуются, а сами всё покупают в интернетах. А остальные звонят и говорят - сделайте нам то, сделайте другое...

 

Практика показывает, что как минимум это не совсем так. И предложения по "разлочке" на том же авито живут и здравствуют, правда насчёт Каменска не слышал, но вот последствия действий других операторов народ готов исправить за жалкие 500р. =)))

 

Ну и интересно чего сделать-то.. Всмысле что то? Что другое? Ну мне реально любопытно что там можно сделать? Настроили, воткнули длинные уникальные пароли - поставили и забыли. И нефиг там шарохаться. И никакие кулхацкеры даже при роже на ружу не страшны.

 

Или вы готовы продемонстрировать метод компроментации WEBUI в Wive ? Или может SSH ? =))))

 

Хотя догадался. Вы не утруждаете себя уникальными паролями для доступа к устройствам абонента. А потом кто-то пролюбливает кому-то данные об этих паролях. А ещё похоже пол сети весит с типовым паролем на WiFi ? =) Ну дык это организационные моменты которые решаются обычно далеко не техническими средствами. Костыли с технической стороны на эту тему регулярно всплывают, но потом от них один фиг приходиться отказываться.

 

Плюс в сети нет банального DHCP потому в дефолтах прописывается какой-то типа стандартный IP что бы если абонент таки сбросит заползти в рожу и перенастроить?

 

Прекрасное решение. =))) Что только люди не делают, что бы не делать по человечески. =))) Посмотрим как вы с ipv6 без RA/DHCP будете абонентов настраивать и диагностировать проблемы.

 

Так что ИМХО пора бы озадачиться DHCP с привязкой адреса к порту абонета (если надо статику) хоть с 82й опцией хоть как-то иначе. А то так и будете перенастраивать роутеры каждый раз когда юзверь по совету Google Chrome его обрезетит.

[mbg]

Что делать на роже девочкам? Да хоть банально посмотреть, подцепился у бландинки айпонт к вифи или нет, т.к. бландинко сама даже на своём айпонте не знает как посмотреть состояние подключения. Некоторым надо пароль на вифи поментья раз в месяц, потому что сосед-гад ломает пароли и инет крадёт. Подобного - масса.

До работы в саппорте я думал что люди умнее и адекватнее...

[sfstudio]

Кстати обратил внимание, что в ЕКБ и окресностях тотально странная логика на эту тему. Заставить юзверя конфигурить роутер и плакаться как задолбали звонками абоненты с резетом и при этом не юзать DHCP на доступе... Берите пример с ТТК. Ткнул хвост - и без какой-либо настройки инет полился, остаётся только пароль на wifi сменить.

[sfstudio]

Что делать на роже девочкам? Да хоть банально посмотреть, подцепился у бландинки айпонт к вифи или нет, т.к. бландинко сама даже на своём айпонте не знает как посмотреть состояние подключения.

 

wl showstat ra0 в блокнотик. Попозжа будем один фиг делать человеческий cli для управления радио (нужно для задач автоматизации), пока некогда тупо.

 

Некоторым надо пароль на вифи поментья раз в месяц, потому что сосед-гад ломает пароли и инет крадёт.

 

А может сразу юзать только WPA2+AES и сложные пароли. Ну и не юзать говнороутеры где WPS не отключаем. Можете ещё IDS для пущей секурности включить. Или вы желаете сказать не помогает? Ну раз не помогает значит сливает сам юзер или другое его устройство и тут хоть каждый день меняй. В любом случае проблема решается разговором по душам с соседом.

 

Ну а сменить в блокнотик nvram_set WPAPSK1 <новый пароль> && reboot. Это даже быстрее чем тыкамышенье по роже.

 

Можете для девочек не дружащих с консолью даже скрипты написать которые будут сами по щелчку на ярлыке коннектиться по ssh и менять это дело. Web в WAN для этого не нужен. Ещё плюсом и унификация процедуры. Или даже массовая смена параметров одним махом.

 

А можно вообще в личном кабинете смену пароля в т.ч. на wifi забабахать и т.д. и т.п. Вариантов масса что бы решить проблемы блондинок не раздувая штат ТП и не заставляя их заниматься обезьяньей работой.

 

Подобного - масса.

 

Пока вся масса меньше одного мг и не технического характера, а административного.

 

До работы в саппорте я думал что люди умнее и адекватнее...

 

До работы с операторами я думал, что операции на гландах через жопу эт скорее исключение чем правило, а кирка вместо бензопилы - от бедности... Ошибался. =)))

[mbg]

А вот на это отвечу: есть такая штука - руководство. И ему "виднее". Была б моя воля... Эхъ.

 

И ещё вопрос - зачем такой большой обратный отсчёт при апдейте прошивки, сбросе, ребуте? Оно же гораздо быстрее отрабатывает.