47. ApokrifX, 18.05.2015 07:07

А последнюю неделю регулярно инет на клиентах стал отваливаться, ping external_IP не проходит. Отваливается похоже случайно, никакие огромный файлы перед этим не грузятся и т.п. В логе ничего особенно в глаза не бросается. Девайс RT-N56U, firmware version: 3.4.3.9-091 Сам RT не виснет, делаю reboot через ssh, и всё восстанавливается. Выкладываю лог, сам в нем ничего особенного не вижу... http://pastebin.com/CkKBWLKm Есть идеи, куда копать? Добавление от 18.05.2015 07:29: Вопрос до кучи: orngefish написал (https://forums.openvpn.net/topic18008.html) I think the ECC code has already been added to the github codebase though so I do believe it is possible to compile openvpn with ECC support on your own but i have not tried it. А OpenVPN 2.3.6 в 091 и выше скомпилен с поддержкой ECC или нет?

133. ApokrifX, 21.05.2015 20:38

Народ, Подскажите, можно на самом RT-N56U какую-то диагностику провести (чтобы понять, почему инет отваливается), а то кроме ping совсем ничего в голову не приходит. Проблему (и логи) описал здесь, но пока никто ничего не посоветовал... Работа с альтернативной прошивкой от Padavan для роутеров ASUS RT-N14U/N56U/N65U/N11P/AC51U/N54U (часть 3) (http://forum.ixbt.com/topic.cgi?id=14:62648-2) ApokrifX написано 18.05.2015 07:07 Если вопрос неправильно задаю или это уже было отвечено (и не раз) – ткните носом, плиз?

141. ApokrifX, 21.05.2015 21:52

>Не стОит за кого-то мозгами шевелить. Да я же не прощу за меня проблему решить, просто спрашиваю, куда еще копать, если в syslog никаких хинтов (или я их не вижу) >Вы бы обновились бы для начала на сборочку от робота, а там дльше видно будет. Да без проблем. Только хотел узнать, что нового в 094 по сравнению с 091, здесь только для 091: https://code.google.com/p/rt-n56u/source/browse/changes.eng.txt Где-то можно найти этот лист в компактном виде: https://code.google.com/p/rt-n56u/source/list

145. ApokrifX, 22.05.2015 00:13

цитата: Volt1: Qgit позволяет увидеть это в очень компактном виде, без перелистывания страниц и с поиском Я имел виду, есть ли он уже готовый в компактном виде. Просматривать списки без проблем, просто иногда что-то добавляется, потом убирается, потом еще что-то меняется и чтобы понять именно что в конкретном билде нужно время. В общем понятно – компактные changes.eng.txt есть НЕ для всех билдов. Спасибо, вопрос снят. цитата: Padavan: ApokrifX Речь не о вас, а о челах с 4pda. Как-то по ответам показалось... Чесно говоря, я (http://4pda.ru/forum/index.php?showuser=382488) тоже там тусуюсь. Почему-то уверен, что дело не в прошивке. Или пров. что-то мудрит (работало же полгода вообще без проблем!) и что-то с железом… Ставлю ночную 094, потом отпишу.

157. ApokrifX, 22.05.2015 19:36

цитата: ApokrifX: Почему-то уверен, что дело не в прошивке. Или пров. что-то мудрит (работало же полгода вообще без проблем!) и что-то с железом… Ставлю ночную 094, потом отпишу. Поставил 094 на другой rt-n56u. Всё тоже самое. Инет упал через некоторое время, после reboot-а rt-n56u поднялся. В логе (http://pastebin.com/ihM3S71R) ничего... Тот же вопрос – какую диагностику можно сделать на самом rt-n56u (кроме ping-а)? Извиняюсь за назойливость... Думаю, может schedule прикрутить, типа: ping WAN GW -> No response ? reboot Но хотелось бы собаку отрыть... цитата: Super Killer: А, понял, - Вы под термином "билд" подразумеваете не то, что все мы... Ага! Билд-ы ж разные бывают - nightly..public

160. ApokrifX, 22.05.2015 19:58

цитата: Padavan: ApokrifX Если это лог после перезагрузки, в нем ничего и не будет. Если хотите выяснить причину, ребутать или дергать питание - все коту под хвост. Нет конечно, ведь под syslog row timestamp д.б. видно? Отдельный вопрос - router помнил, что его выключили Feb 27 15:03:04 syslog ------- Feb 27 15:03:04 syslogd started: BusyBox v1.23.2 ... May 21 22:26:33 NTP Client: System time changed, offset: 7194187.949003s Интересно, а где же это время хранится и как часто обновляется?

168. ApokrifX, 22.05.2015 20:17

цитата: Volt1 Если в настройках не отключали, то время сохраняется в /etc/storage. цитата: Padavan: Время нигде не хранится (батарейки нет), обновляется по умолчанию раз в сутки с NTP сервера, это настраивается. В последних билдах время хранится в сторадже (записывается туда при перезагрузке). Со временем понял! А что проверить на router-е, когда инет отвалился, есть идеи? Типа down / up wan interface, и что-нибудь еще? Пропадает раз в один - два дня, лучше сразу тестов набрать.

171. ApokrifX, 23.05.2015 07:25

цитата: А что проверить на router-е, когда инет отвалился, есть идеи? Типа down / up wan interface, и что-нибудь еще? Пропадает раз в один - два дня, лучше сразу тестов набрать. От отсутствия идей поменял все кабеля у роутера... Не помогло - инет всй равно отвалился через несколько часов. Ifconfig говорит - все interface-ы в норме (Думал, может WAN IP потерялся?) WAN IP пингуется и с LAN клиентов. Ничего другое в инете не пингуется (с роутера и LAN) Ради интереса пинганул с роутера WAN GW - и вдруг инет поднялся! Вроде раньше WAN GW с LAN клиентов – не помогало, хотя это было на 091. Кидайте идеи, что еще можно проверить в след. раз.

206. ApokrifX, 23.05.2015 19:09

цитата: Скорее всего устаревает ARP запись шлюза. Попробуйте заюзать WAN - Интернет-соединение - Проверять удаленный шлюз ARP-пингами? ДА Ага, вижу что у меня ARP Ping Alive of Remote Gateway? Off цитата: Можно попробовать подтюнить старение ARP кеша. по умолчанию 2 минуты, увеличьте до 5 минут: Персонализация - Скрипты - Выполнить перед инициализацией маршрутизатора: код: echo 300 > /proc/sys/net/ipv4/neigh/default/gc_stale_time И там же поправьте код: # arp echo 0 > /proc/sys/net/ipv4/conf/all/arp_filter Перезагрузите девайс (через софт-ребут) после изменения этих параметров. У меня WAN mask /20 Сейчас (при рабочем инет) в arp cache WAN GW + весь LAN (т.е. как и должно быть) - т.е. WAN соседей по сетке в arp cache нет Пока "ARP Ping Alive of Remote Gateway", gc_stale_time и arp_filter менять НЕ буду. Дождусь следующего отвала, и сделаю arp -a ping WAN GW arp -a цитата: Скорее всего устаревает ARP запись шлюза. Лоховской вопрос: Т.е. если нет WAN traffic (веcь LAN + WiFi уснул), то WAN GW arp record устареет через 2 минуты и сама не появиться (при след. запросе из LAN)? Если подтвердиться вымывание, может будет проще add a static ARP entry to local ARP table для WAN GW? Через arp -s или сразу в /etc/ethers Или /etc/ethers при reboot-е из nvram генериться и надо будет через Custom User Scripts делать? Извиняюсь за длинный пост...

209. ApokrifX, 23.05.2015 21:06

цитата: Подобные проблемы возникают очень редко, зависит от оборудования на шлюзе. В нормальной ситуации таких проблем никогда не возникает, ядро постоянно обновляет ARP записи и всегда отвечает на ARP запросы. Согласен. цитата: В данной ситуации дохнет ARP запись либо на самом шлюзе, либо на роутере. Я так понимаю - это нормальный процесс устаревания ARP cache, и WAN GW MAC по идее может пропадать из ARP cache на роутере(при отсутствии WAN trafficа на 2 мин) и появляться опять (при возобновлении WAN trafficа). цитата: Т.е. разбираться нужно в конкретном случае. Согласен, чем собственно и занимаемся. цитата: Возможно что у вашего ISP нет изоляции на L2 уровне и у кого-то MAC (или IP) совпадает с вашим. Т.е. речь идет именно о "MAC collision шлюзов" в ISP subnet? LAN <-> роутер <-> шлюз <-> ISP subnet Тогда почему пинг роутер - >шлюз решает проблему? Давайте подождем след. пропажи инета и я посмотрю arp cache на роутере. Если есть идеи, что еще проверить можно проверить - давайте! Никак в толк не возьму – всё ведь работало на 091 довольно долго, только неделю или 2 как фокусы пошли. Т.к. я ничего не менял, то выходит что это ISP?

212. ApokrifX, 23.05.2015 21:53

цитата: > Тогда почему пинг роутер - >шлюз решает проблему? Пинг напрямую в IP шлюза заставлят обновить ARP как на шлюзе, так и на роутере. Это понятно. Непонятно, почему трафик из LAN НЕ рефрешит ARP cache, а пинг роутер - > шлюз помогает? Это так и должно быть? (я еще не выяснил, действительно ли это вымывание из ARP cache на роутере) цитата: Если раньше проблем не было, то завелась какая-то проблема в подсети прова, запросто мог появиться идентичный MAC. Но тогда мы должны были бы постоянно друг друга вышибать? Сорри, не могу в приват перейти... Не появлялся на форуме 3 месяца (т.к. все работало!) и логин стерли. Надеюсь, что не мне одному это интересно!

223. ApokrifX, 24.05.2015 08:32

цитата: цитата: > Тогда почему пинг роутер - >шлюз решает проблему? Пинг напрямую в IP шлюза заставлят обновить ARP как на шлюзе, так и на роутере. Это понятно. Непонятно, почему трафик из LAN НЕ рефрешит ARP cache, а пинг роутер - > шлюз помогает? Это так и должно быть? (я еще не выяснил, действительно ли это вымывание из ARP cache на роутере) Решил выкинуть запись dgw из ARP cache вручную. Она выкинулась... и тут же опять появилась (WAN == eth3): /home/root # arp -d dgw_name /home/root # arp -a dgw_name dgw_name (X.Y.Z.1) at <incomplete> on eth3 /home/root # arp -i eth3 dgw_name (X.Y.Z.1) at <incomplete> on eth3 /home/root # arp -i eth3 dgw_name (X.Y.Z.1) at 00:01:5c:7c:5e:46 [ether] on eth3 А Инет сам-по-себе что-то не отваливается пока...

248. ApokrifX, 25.05.2015 19:14

Опять пропал инет. Проверил ARP cache на роутере Записи о dgw (X.Y.Z.1) типа dgw_name (X.Y.Z.1) at 00:01:5c:7c:5e:46 [ether] on eth3 отсутствует. При ручном удалении было dgw_name (X.Y.Z.1) at <incomplete> on eth3 цитата: > Тогда почему пинг роутер - >шлюз решает проблему? Это делать не стал. Вместо этого хотел (ради интереса) добавить статическую запись в ARP cache для dgw (X.Y.Z.1), но понял, что не знаю его MAC - на форум запостил, а на компе не сохранил. Сделал /home/root # ip link set eth3 down Wait ~15 sec /home/root # ip link set eth3 up (eth3 это WAN) Думал, WAN получит IP + DGW по DHCP и ARP cache обновится (DGW это есть DHCP сервер на WAN). Не помогло... Тогда зашел с GUI и разрешил ARP Ping Alive of Remote Gateway ARP cache обновился, инет поднялся. Похоже, можно (надеюсь!) закрывать вопрос. Почему пропадает запись из ARP cache так и не понял. Извиняюсь, если достал... Вопрос: А как часто происходит "ARP Ping Alive of Remote Gateway"?

250. ApokrifX, 25.05.2015 20:24

Padavan Понял, вопросов больше нет! Спасибо!

446. ApokrifX, 03.06.2015 03:44

цитата: HTTPS с помощью URL фильтра не блокируется никак. Это должны знать даже на 4PDA, если конечно умеют читать (http://forum.ixbt.com/topic.cgi?id=14:62648:238#238) и пользоваться поиском . Почему же так категорично? Для домашних роутеров, обсуждаемых в этой теме, в общем, да. В общем случае - нет.

451. ApokrifX, 03.06.2015 18:23

цитата: sahe: Для блокирования ссылок (а не целого домена) внутри HTTPS в общем случае требуется использование SSL Proxy, что привносит свои незабываемые спецэффекты в браузер пользователя. Все правильно! Для "защиты детей" может быть проще целый домен запретить. Правильнее писать: HTTPS с помощью URL фильтра не блокируется никак в текущей прошивке

456. ApokrifX, 03.06.2015 21:25

Я так понимаю, для блокирования "целых доменов" можно было бы использовать SNI. Полный SSL Proxy, очевидно, не стоит городить. (Не знаю, потянет ли железо, если короткие ключи, может и пойдет, но…) Понятно, что не все браузеры SNI поддерживают до сих пор. Подробнее тут: http://en.wikipedia.org/wiki/Server_Name_Indication http://tools.ietf.org/html/rfc3546#section-3.1 Может sahe что-то другое имел ввиду? А понты тут не причём - "Мы поможем детям!" (c) Пример/fiddler: A SSLv3-compatible ClientHello handshake was found. Fiddler extracted the parameters below. Version: 3.3 (TLS/1.2) Random: A6 97 2B 83 C8 50 C2 FC BC 93 A0 47 66 64 64 53 DA E0 37 E6 61 7A 98 A4 CF 3E 67 03 C9 DF 32 7B "Time": 9/26/2039 1:49:26 PM SessionID: C9 B7 CA E6 D0 8D B7 F3 B9 3A 81 AF 11 DD 5F 7D 10 C1 74 2F C1 EC 68 FA F6 F1 67 28 17 61 D1 3C Extensions: server_name www.google.com extended_master_secret empty SessionTicket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signature_algs sha512_rsa, sha512_ecdsa, sha384_rsa, sha384_ecdsa, sha256_rsa, sha256_ecdsa, sha224_rsa, sha224_ecdsa, sha1_rsa, sha1_ecdsa status_request OCSP - Implicit Responder NextProtocolNego empty SignedCertTimestamp (RFC6962) empty ALPN http/1.1, spdy/3.1, h2-14, h2 channel_id(GoogleDraft) empty ec_point_formats uncompressed [0x0] elliptic_curves secp256r1 [0x17], secp384r1 [0x18] padding 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Ciphers: [CC14] TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 [CC13] TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 [CC15] TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256 [C02B] TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 [C02F] TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 [009E] TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 [C00A] TLS1_CK_ECDHE_ECDSA_WITH_AES_256_CBC_SHA [C014] TLS1_CK_ECDHE_RSA_WITH_AES_256_CBC_SHA [0039] TLS_DHE_RSA_WITH_AES_256_SHA [C009] TLS1_CK_ECDHE_ECDSA_WITH_AES_128_CBC_SHA [C013] TLS1_CK_ECDHE_RSA_WITH_AES_128_CBC_SHA [0033] TLS_DHE_RSA_WITH_AES_128_SHA [009C] TLS_RSA_WITH_AES_128_GCM_SHA256 [0035] TLS_RSA_AES_256_SHA [002F] TLS_RSA_AES_128_SHA [000A] SSL_RSA_WITH_3DES_EDE_SHA [00FF] TLS_EMPTY_RENEGOTIATION_INFO_SCSV Compression: [00] NO_COMPRESSION

458. ApokrifX, 03.06.2015 23:30

цитата: Я так понимаю, для блокирования "целых доменов" можно было бы использовать SNI Ага, именно его. SSL Proxy на наших девайсах городить не стоит ни при каком раскладе, процессор даже при небольшой нагрузке встанет раком весьма быстро. Осталось только Padavan-а уговорить SNI прикрутить... Мне лично это не нужно, написал просто разговор поддержать Ради интереса перевел IE11 в режим совместимости IE5, SNI он всё равно посылает - весь SSL делает внешняя либа schannel.

460. ApokrifX, 04.06.2015 07:00

цитата: Осталось только Padavan-а уговорить SNI прикрутить... А что именно и конкретно вы хотите прикрутить? ЕМНИП iptables и друзья SNI as-is не умеют, надо прикручивать какой-то юзверьспейсный proxy и заворачивать DNAT-ом весь https траффик, или через ж-пу xt_string пытаться выколупывать SNI, шо так шо этак - имеем тормоз ибо CPU у нас даже не дохлый ARM. так что имхо кому нужен филиал роскомнадзора фильтр для детей дома: 1) юзать тындекс-днс/банить руками через hosts роутера 2) использовать приложения для родительского контроля на девайсах детей. По идее, SNI должен быть в первом пакете TSL handshake и там все структуры известны. Совершенно согласен - какой смысл выковыривать SNI, есть там только домен, который гораздо проще DNS-ом обрубить (через hosts роутера). цитата: Осталось только Padavan-а уговорить SNI прикрутить... Был НЕправ - извиняюсь!

712. ApokrifX, 20.06.2015 22:30

цитата: Padavan: Я давно использую temp модель в NVRAM. tmp параметры не сохраняются во флеш и не backup-ятся. При загрузке NVRAM из файла, каждый ключ проверятся на валидность для текущей версии прошивки и не загружается, если его нет. Т.е. при загрузке работает фильтр, все левые или устаревшие параметры просто не загрузятся. Если я правильно понял, чистка мусора из NVRAM (устаревшие параметры) должна выполнятся вручную? Примерно представляю, как это можно сделать, наверняка уже есть отработанный подход?