[Voxel] Netgear r7800 настройка

[ky4k0b]

Всем привет.

Надеюсь этот форум не мертвый и мне все-таки посодействуют в решении проблем или хотя бы скажут в каком направлении курить.

Итак, есть новый R7800, который был сразу же перепрошит на последнюю 1.0.2.50SF от товарища вокселя. Вот проблемы, которые я нашел и которые пока что не могу победить

1) кронтаб постоянно чем-то перетирается и сбрасывается на

Код: Выделить всё

26 04 * * * streamboost update_fmn; streamboost auto_upload; streamboost auto_update && streamboost restart

добавление через crontab -e срабатывает, но через несколько секунд, что-то сбрасывает изменения и я не могу даже понять из-за чего, т.к. lsof сронтаба ровным счетом ничего не выдает. Есть идеи?

2) удаленная админка работает, пробрасывает указанный порт на 443, но встроенная ссылка в "Download manager" на transmission так и стается забинженной на http://routerlogin.net:9091" (что есть линк на серый адрес раутера). Конечно можно руками забить это все в nat iptables, но все-таки хотелось бы что-бы 9091 тоже пробрасывалось в Remote Management
Я на форуме видел товарища voxel, может быть он заметит этот пост и пофиксет

3) самая главная попоболь, которую я не могу побороть это коннект до впн сервера. Итак, ситуация следующая -- есть софтезеровский впн сервер, который слушает на 146.148.13.172:1194, есть провайдер ростелеком, раутер нетгир и девайсы подключенные к нему
Когда телнечусь с ноута туда - все хорошо

Код: Выделить всё

ekuchkov-mbpro:~$ telnet 146.148.13.172 1194
Trying 146.148.13.172...
Connected to 146.148.13.172.
Escape character is '^]'.

На сервере в логе вижу:

Код: Выделить всё

2018-05-14 23:13:18.307 On the TCP Listener (Port 1194), a Client (IP address 95.37.138.216, Host name "95-37-138-216.dynamic.mts-nn.ru", Port number 49165) has connected.
2018-05-14 23:13:18.307 For the client (IP address: 95.37.138.216, host name: "95-37-138-216.dynamic.mts-nn.ru", port number: 49165), connection "CID-49483" has been created.
2018-05-14 23:13:29.015 Connection "CID-49483" has been terminated.
2018-05-14 23:13:29.015 The connection with the client (IP address 95.37.138.216, Port number 49165) has been disconnected.

Проблемы начинаются, когда тыкаюсь напрямую с раутера

Код: Выделить всё

root@R7800:~$ telnet 146.148.13.172 1194
^C
Console escape. Commands are:

 l	go to line mode
 c	go to character mode
 z	suspend telnet
 e	exit telnet

ни строки приветствия, ничего. При этом самое интересное, что на сервере впна я вижу этот коннект:

Код: Выделить всё

2018-05-14 23:14:28.456 On the TCP Listener (Port 1194), a Client (IP address 95.37.138.216, Host name "95-37-138-216.dynamic.mts-nn.ru", Port number 34242) has connected.
2018-05-14 23:14:28.456 For the client (IP address: 95.37.138.216, host name: "95-37-138-216.dynamic.mts-nn.ru", port number: 34242), connection "CID-49484" has been created.
2018-05-14 23:14:36.390 Connection "CID-49484" has been terminated.
2018-05-14 23:14:36.390 The connection with the client (IP address 95.37.138.216, Port number 34242) has been disconnected.

Соответственно, я не могу настроить ни openvpn клиент, ни softethervpn через vpncmd, потому что как видно они не могут подключиться. Уже всю голову сломал. Что может быть не так?

[ky4k0b]

проблема с кронтабом решилась костылем с добавлением нужных записей от юзера admin

[Voxel]

Привет,

Мои извинения: отсутствовал. Небольшой отпуск, а потом дикий загруз на работе.

Вообще, лучше писать "товарищу Вокселу" в приват. Я тогда должен получить нотификацию по мэйлу. Честно говоря, не успеваю все запросы обрабатывать на всех форумах. Плюс приваты также трещат запросами...

Насчет крона: не совсем понял. Вы не используете крон от Entware? Лучше все же его, а не встроенный. Я не могу все поменять в прошивке. Часть прекомпилированных пакетов от Нетгира поставляется в бинарном виде. Крон там курочится Нетгировским бинарником. Плюс еще там в стоке некоторые баги (я их в бинарном виде как-то пофиксил, не скажу как ).

Трансмиссия и проброс доступа к нему. Я не совсем уверен, что это хорошая идея... Там я, вроде, пароль не ставлю. Только если свой конфиг для трансмиссии. Вообще, доступ к роутеру извне - очень нехорошая штука. Все же сломать там защиту довольно просто. Чисто по ssh - вот это довольно надежно. А GUI пробрасывать: сломают. Поэтому я воткнул трансмиссию чисто для внутреннего пользования, из LAN-а. Тем более, что даже если есть пароль, трансмиссия в прошивке идет без SSL. Пароль перехватят-с. Я для своих целей ее использую, но пропускаю через nginx и SSL... Доступ к другим роутерам у меня тоже есть (не к R7800), но тоже через nginx со своим дополнительным паролем и с SSL.

С VPN тоже не вполне понятно. У Вас конфиг-то есть? Рабочий, который из-под Windows срабатывает. Зачем телнетом мучить VPN сервер? Там же залезете в консоль и играйтесь стартованием VPN клиента из командной строки. Смотря на логи и вывод на консоль.

В общем, поподробней, плиз, со вторым и третьим пунктом.

Voxel.

[ky4k0b]

Привет, можно на "ты"? А то как-то уж больно формально получается

В общем даю апдейт по проблемам, т.к ковыряюсь с раутером каждый день, пытаясь найти воркэраунды для своих задач.

1) кронтаб.
>Вы не используете крон от Entware? Лучше все же его, а не встроенный.
вот про это я даже не подумал, что большая часть пакетов, которая стоит после наката прошивки - стандартная (думаю об этом стоит упомянуть в ридми). Приду домой - накачу крон из entware. Как я и говорил, если root постоянно перетирает свои задачи, то мне помог crontab -uadmin -e

2) трансмиссия
да, с этим согласен. Я пробросил себе 22 порт и добавляю торренты прям изнутри

3) впн
Изначально я настраивал раутер с работы. У меня тут настроен белый адрес с натом. Я воткнул роутер за нат, сгенерировал опенвпн конфиг из ethersoft сервера, подложил на роутер и все завелось. Радостный пошел домой, воткнул в соску с ростелекомом, запускаю опенвпн клиент - ошибка. Стал курить это дело. Перво-наперво решил проверить есть ли доступ на сервер впна из дома. Вообще я привык видеть всегда на открытые тсп порты некоторое приветствие типа:

Код: Выделить всё

mpro2-webdb-2:~# telnet 146.148.13.172 1194
Trying 146.148.13.172...
Connected to 146.148.13.172.
Escape character is '^]'.

А тут тишина. Я поэтому и грешил на сетевые проблемы (думал, что скорее всего где-то хитро закручено в iptables... ох сколько там всего понаписано, особенно порадовало использование вских недокументированных HAIRPIN, SNATP2P и что-то еще )
/* кстати, iptables-save из entware подвисает */
В итоге мучал-мучал я раутер, носил опять на работу, снимал тспдампы с коннектом, сравнивал их дампом из дома. Думал где-то что-то на сетевом уровне. Пока что закончилось тем что после очередного тысячного ребута я опять дернул опенвпн клиент и он неожиданно подключился.
Прочитал инит скрипт, чтобы понять на чем затыкается. Видимо тасксет не срабатывал и не поднимал tun интерфейс и соответственно следующиая проверка завершала работу скрипта.
С впном вопрос пока не закрыт. Буду дальше ковыряться, пока не добьюсь стабильной работы

4) как правильно работать с iptables? Я накатил из entware новую версию, дальше доавляю рулы через "iptables -A INPUT" итд, но через несколько секунд они исчезают... Видимо их кто-то так же перетирает как и рутовый кронтаб.

5) как правильно работать с rc.local? Нужно автоматизировать несколько задачь, например запуск нескольких скриптов при старте раутера. Добавляю вызов двух скриптов через ";" и в итоге после ребута файл rc.local абсолютно пустой. Я сегодня еще потыкаюсь и скажу точный алгоритм для воспроизведения (т.к пишу на память с работы)

[Voxel]

Источник цитаты Привет, можно на "ты"? А то как-то уж больно формально получается

Нет проблем

VPN. Тут я еще не исключаю вероятности работы нашего "доблестного" РКН и его давления на провайдеров. Его "майн кампф" против телеграмма с ковровыми бомбардировками... Если на работе работает, а дома нет. У меня есть аналогичная проблемка, один из моих OpenVPN серверов (на домашнем компьютере) не срабатывает (не подключается), когда я завожу клиента в одной из своих точек, где я бываю. С других точек все прекрасно подключается. Я не думаю, что taskset как-то умудряется не срабатывать. 1194 все же понятно, что за порт и для чего.

Вообще, все же мне как-то более естественно запускать из командной строки для тестов, и смотреть прямо, что в логах, есть ли tun интерфейс и т.п.

iptables. Это отдельная песня в роутерах от Нетгира. Там свой файервол, который поставляется только в бинарном виде, кодов у меня нет. Поэтому я использую спец скрипт, который его подменяет. Т.е. /usr/sbin/net-wall. Можешь его посмотреть. В README у меня записано, как использовать свои правила iptables. Создавая свой скрипт. Если интересно, как работает оригинальный net-wall от Нетгира, можно поискать мои сообщения в SNB forums по ключевому слову net-wall. Я там описывал мои исследования. iptables можешь вызвать, но твои правила вырубятся достаточно непредсказуемо если без всех этих заморочек. Так что свой скрипт в /root или курочь скрипт /usr/sbin/net-wall. Кстати, лучше использовать iptables из прошивки. Не Entware. Это уж особенность прошивки и мудрености наших китайских братьев, работающих аутсорсерами на Нетгир.

Источник цитаты как правильно работать с rc.local? Нужно автоматизировать несколько задачь, например запуск нескольких скриптов при старте раутера. Добавляю вызов двух скриптов через ";" и в итоге после ребута файл rc.local абсолютно пустой. Я сегодня еще потыкаюсь и скажу точный алгоритм для воспроизведения (т.к пишу на память с работы)

Я бы использовал для автоматизации свой скипт из /etc/init.d. Не уверен, что rc.local будет работать как нужно. Честно говоря, не сильно разбирался с этим. Тут надо учитывать, что эта прошивка - сильно попорченная версия OpenWRT, и не факт, что все будет как там.

Еще вариант с внешним USB диском. Как у меня в README написано:

if external storage has the script autorun/scripts/post-mount.sh then it is executed automatically after you insert your USB stick/disk to router or after power on of your router with attached external stick/disk.

Ну или свой инит скрипт в Entware.

Voxel.

[ky4k0b]

Спасибо, разбираюсь с net-wall. С впном вроде все работает.

Последнее, с чем хотел бы разобраться это скорость передачи по локальной сети.
У меня на домашнем компе гигабитная сетевая карта killer e2400, которая воткнута в раутер кат5 прямым типом. Копирую гигабайтный файл на жесткий, который воткнул по юсб3, и у меня скорость 10-11МБс. При этом у отца, которому я делал сеть, скорость 100Мбс по кабелю и 20МБс по вайфаю на 2.4ГГц.
Тестирую скорость передачи по вайфаю с ноута, на сети 5ГГц, независимо от канала, не могу выжать больше чем 4-5МБс. На 2.4ГГц скорость и то меньше - 2.8-3
Что можно проверить из настроек на раутере? Возможно какой-то прикол в самбе

[ky4k0b]

Да, скорее всего это именно там. Тестю iperf'ом.

Код: Выделить всё

------------------------------------------------------------
Client connecting to 10.0.0.1, UDP port 20000
Sending 1470 byte datagrams
UDP buffer size: 9.00 KByte (default)
------------------------------------------------------------
[  4] local 10.0.0.3 port 57472 connected with 10.0.0.1 port 20000
[ ID] Interval       Transfer     Bandwidth
[  4]  0.0- 8.2 sec   541 MBytes   552 Mbits/sec
[  4] Sent 520327 datagrams

а вот тсп с разными окнами

Код: Выделить всё

ekuchkov-mbpro:~$ iperf -c 10.0.0.1 -p 20000 -w 40k -t 20
------------------------------------------------------------
Client connecting to 10.0.0.1, TCP port 20000
TCP window size: 41.0 KByte (WARNING: requested 40.0 KByte)
------------------------------------------------------------
[  4] local 10.0.0.3 port 53011 connected with 10.0.0.1 port 20000
[ ID] Interval       Transfer     Bandwidth
[  4]  0.0-20.0 sec   238 MBytes  99.9 Mbits/sec

ekuchkov-mbpro:~$ iperf -c 10.0.0.1 -p 20000 -w 80k -t 20
------------------------------------------------------------
Client connecting to 10.0.0.1, TCP port 20000
TCP window size: 80.6 KByte (WARNING: requested 80.0 KByte)
------------------------------------------------------------
[  4] local 10.0.0.3 port 53237 connected with 10.0.0.1 port 20000
[ ID] Interval       Transfer     Bandwidth
[  4]  0.0-20.0 sec   344 MBytes   144 Mbits/sec

ekuchkov-mbpro:~$ iperf -c 10.0.0.1 -p 20000 -w 20000k -t 20
------------------------------------------------------------
Client connecting to 10.0.0.1, TCP port 20000
TCP window size:  129 KByte (WARNING: requested 19.5 MByte)
------------------------------------------------------------
[  4] local 10.0.0.3 port 54293 connected with 10.0.0.1 port 20000
[ ID] Interval       Transfer     Bandwidth
[  4]  0.0-20.0 sec   690 MBytes   289 Mbits/sec

ekuchkov-mbpro:~$ iperf -c 10.0.0.1 -p 20000 -w 40000k -t 20
------------------------------------------------------------
Client connecting to 10.0.0.1, TCP port 20000
TCP window size:  129 KByte (WARNING: requested 39.1 MByte)
------------------------------------------------------------
[  4] local 10.0.0.3 port 56740 connected with 10.0.0.1 port 20000
[ ID] Interval       Transfer     Bandwidth
[  4]  0.0-20.0 sec   760 MBytes   319 Mbits/sec

где крутить настройки самбы?

[Voxel]

Источник цитаты где крутить настройки самбы?

Там достаточно оптимально, правда, я оптимизировал для проводного соединения. У меня выдает в среднем 95МБ/с на чтение и 50 на запись. На проводе. Диск 2.5 с 7200rpm в роутере и старенький ноут.

Конфиг генерится как /tmp/samba/smb.conf . Можешь поиграться настройками из консоли, убивая smbd и nmbd и запуская их вручную, без перестартовки инит-скрипта (иначе сгенерится новый конфиг). Ну или поиграться с samba36 от Entware.

Там у меня еще игры с аффинити. Так что, не думаю, что подберешь что-то лучше.

Voxel.

[ky4k0b]

а может быть и не в самбе дело.
scp дает такой же низкий результат
ща глянул в network utility - возможно где-то тут собака зарыта ибо линк спид выдает вот что

 

Свернуть

[ky4k0b]

так, со скоростью разобрался.

Voxel, почему опенвпн-клиент может не поднимать tun интерфейс?

вот это запускает опенвпн процесс, но тун не появляется

Код: Выделить всё

taskset -c 1 /usr/sbin/openvpn --fast-io --nice -20 --auth-nocache --sndbuf 393216 --rcvbuf 393216 --tun-mtu 1500 --mssfix 1460 --writepid /var/run/openvpn-client.pid --cd /etc/openvpn/config/client --log-append /var/log/openvpn-client.log --config /etc/openvpn/config/client/vpn_openvpn_remote_access_l3.ovpn --script-security 2 --up /etc/openvpn/ovpnclient-up.sh --down /etc/openvpn/ovpnclient-down.sh