Hirdetés
-
PROHARDVER!
OpenWrt topic
Új hozzászólás Aktív témák
-
Geth
veterán
Tőlem is megkapja a piros pontot a Flint 2.
Rögtön ment rá a vanilla OpenWrt 23.05.3, hw offload + wed bekapcsolva.
2.5GbE kliensem még nincs, 2.4 GHz-es wifin csak "béna" kütyük lógnak, de nem láttam vele problémát. 5 GHz-en szuper, vr headset is komálja az AX-et, 80 MHz szélesség és 1200 Mbps link speed mellett, panelban egy fallal és néhány méterrel arrébb is megvolt a 800 Mbps helyi speedtesten, steam link is flottul megy.
A +1 GbE port is jól fog jönni, az 1 db. szolid LED se zavaró. Ebből könnyen lehet kedvenc OpenWrt router
Még egy pár hétig tesztüzem, azután ha nincs vele továbbra sem probléma, jöhet a következő
-
#19724
Geth
veterán
bmxbandita
#19723
Geth
veterán
válasz
bmxbandita
#19723
üzenetére
GLFANS5OFF és 5 EUR a földön első rendelésnél.
-
#19720
Geth
veterán
bmxbandita
#19719
Geth
veterán
válasz
bmxbandita
#19719
üzenetére
Pár hete már én is ránéztem erre a jószágra, nem vetted el a kedvem. Firmware-t sajnálnám kicsit, csak másik DNS server és egyéb plusz csomagok/scriptek miatt a Vanilla fog rámenni.
-
-
#19318
Geth
veterán
WhiteWalker
#19317
Geth
veterán
válasz
WhiteWalker
#19317
üzenetére
Normális verziójú SMB-nél (tehát perpill SMBv3) már nincs az SMBv1-nél megszokott computer browser szolgáltatás, ettől függetlenül a megosztások működnek (ha van működő DNS szolgáltatás a hálózaton, akkor nem csak IP címmel), csak felderítés nincs ebben a formában.
Helyette a megosztást adó rendszeren a Function Discovery Resource Publication (FDResPub) szolgátatásnak kell futnia, Linuxos szerveren az smbd mellé kell fellőni egy wsdd2 service-t is.
A megosztást tallózni akaró rendszeren a Function Discovery Provider Host (fdPHost) szolgáltatásnak kell futnia.Itt (friss Win11-ek és egy linuxos doboz) keresztbe-kasul működik a felderítés is, defenderhez, tűzfalhoz és az említett szolgáltatásokhoz nem nyúltam, elindulnak maguktól amikor kell nekik.
Azt még nem látom, hogy mi ebben a béna -
#19154
Geth
veterán
mcdermott87
#19153
Geth
veterán
válasz
mcdermott87
#19153
üzenetére
Olyan mintha nyitni akarna a wan6 egy második PPPoE sessiont.
Én a Te képeden is látszódó wan_6 pszeudo interfacet szoktam használni a wan6 helyett, nagyjából így:
uci del_list firewall.@zone[1].network='wan6'uci add_list firewall.@zone[1].network='wan_6'uci delete network.wan6uci commit -
-
Geth
veterán
válasz
attilam
#19048
üzenetére
Amit a DHCP/RDNSS ad a kliensnek, azt én inkább csak egyfajta "ajánlásnak" mondanám. Mi a helyzet, ha az adott guest kliensen átállítják a DNS-t (nehezített pályán DoT-ra vagy DoH-ra)?
Néhány Android eszközön tapasztaltam, hogy ezt alapból csinálták (simán a gugli dns-t használták direktben, nem ment a helyi névfeloldás)...
Abszolút laikus vagyok a témában, amit eddig beállítottam guest hálózatokat, azoknál inkább a helyi hálót "védem", illetve sávszél farigcsálás megy, nem Internet szűrés. -
#18848
Geth
veterán
ArthurShelby
#18847
Geth
veterán
válasz
ArthurShelby
#18847
üzenetére
azon sem lepődnék meg, ha saját (google) dns-t használna a tv
Azt használja (legalábbis nálam), sőt, androidos tabletek és mobilok is.
Külön tűzfalszabályt kellett csinálnom, hogy ha kifele menne dns forgalom, a routerem válaszoljon rá. -
Geth
veterán
Let's Encrypt cert-et acme (opcionálisan acme-dnsapi) csomag pár soros konfiggal megoldja. Nem önaláírt, bárhonnan megy amin nem több éves a cert store és szépen frissítgeti magát 3 havonta.
(A router mögötti szeró is onnan kap certet, csak az már wildcard cert, hogy a reverse proxyk mögött ne kelljen külön-külön generálni.) -
Geth
veterán
válasz
Gyurka6
#18515
üzenetére
[link]
Nézd át alaposan, a legfontosabbak amit valószínűleg át akarsz írni:
Melyik wifire (radio) pakoljon +1 SSID-t: wireless.guest_radio1.device='radio1'
SSID: wireless.guest_radio1.ssid
Jelszó: wireless.guest_radio1.keyEzen kívül legalább a rate limitet érdemes belőni (az irányokra figyelve), ha szükséges.
Egy-két változó a DHCP IPv6 környékén lehet nem jó, mert én dnsmasq-full-t használok odhcpd helyett.
+1 szigor, ha bekapcsolod a wifin az izolációt (nincs a gistben). -
-
-
Geth
veterán
válasz
xabolcs
#17721
üzenetére
AC85P-n egyelőre szuper, megvan a gigabit hw offloaddal (mivel digi, csak lefele).
Nálam ezek vannak felpakolva rá:
wolfssl helyett openssl
dnsmasq és odhcpd helyett dnsmasq-full
stubby
ddns
acme
etherwakeKorábbi verziókhoz képest a pppoe-wan-t ki kellett excludeolni a dnsmasq-nál, mert folyton rápróbált.
-
Geth
veterán
válasz
vargalex
#17690
üzenetére
Lehet úgy érti, hogy akkor kezdj el használni IPv6-ot (DHCPv6?) is LAN-on belül, egyébként nem értem
Én ott is beállítom az IPv6-ot ra-only (csak SLAAC) + ULA prefixszel, ahol nincs dual stack net. Az ULA prefix + MAC-ből számolt (eui64) címeknek nem szokásuk elmászni, így azokat felvettem dhcp.@domain listába a .lan-os hostname-ekkel (nekem ott csak ezek az IPv6 címek vannak, a v4 ugye jön a static lease bejegyzésből).
Így 1 szolgáltatás cname rekordjára 1 v4 és 1 v6 jön válaszul, mindkettő belső cím, hairpin nat nincs. Ha az adott gép valamiért kiesik, csak a cname targetet kell átfrissítenem egy másikra (amíg vissza nem húzom működőre az eredetit). -
-
-
-
Geth
veterán
válasz
ledgeri
#17556
üzenetére
Ha valamit nem értesz, kérdezz.
Ha nem kérdezel, akkor ez lesz, amit itt produkáltál.
Ez valami rettenetes, sorry
Egy sima scp/ssh-ról van szó (cmd/powershell/pwsh tökmindegy, putty nem is kell a történetbe).
Bármikor a szenvedés közben eszedbe jutott, hogy inkább kérdezni kellene? (ha nem érted a választ, akkor iteratívan).
Olyan szó nincs, hogy "renben". -
Geth
veterán
válasz
ledgeri
#17544
üzenetére
A leírásban a 4 parancsból a második 2-nél a sor eleji
>karakter csak azt szimbolizálja, hogy azokat a routeren kell kiadni. De mivel ez a karakter egyébként átirányítást is csinál, ezért a hibaüzenet. Hagyd el őketIlletve figyelj az útvonalak helyességére, a példádban
/tempvan, a leírásban a/tmpalá másoltatja.A sor végén a
-dkapcsoló egybefolyt a filenévvel.
Ha finoman akarnék fogalmazni, nem teljesen megfelelően módosítottad a parancsot. -
Geth
veterán
válasz
ledgeri
#17533
üzenetére
Az a baj, hogy kaptál egy leírást, Te meg valami videóról magyarázól, amiről mi semmit nem tudunk. Mire kell a youtube videó?
(Win10 óta by default (telepítve) van OpenSSH optional component, tehát az ssh, scp parancsok működnek.)
A parancsokat nem kell adminként futtatni.
Az "admin" a linkelt leírásban az a routeren egy (remélhetőleg) létező user, a Windows-os userneved sehol nem jelenik meg. Névcsere nem, IP cím csere lehetséges, hogy kell a parancsok kiadása előtt.
Az scp lépésnél álljál abban a könyvtárban, ahova az image-t letöltötted. -
#17099
Geth
veterán
JulianSinulf
#17098
Geth
veterán
válasz
JulianSinulf
#17098
üzenetére
DNS alapú blokkolással a youtube nem lesz reklámmentes, ezen semmilyen plusz DNS szűrő nem fog segíteni.
Youtube-ot kliensoldalon lehet megfogni (pl. böngésző alatt ublock origin, android mobilon vanced, android tv-n smarttubenext). -
-
-
Geth
veterán
válasz
vargalex
#15322
üzenetére
Bocsánat, előreszaladtam. A korábbi linken lévő eszmefuttatás elé azt akartam írni hogy a kliensek nem feltétlenül sorban próbálják ha több DNS van.
A win10 pl. biztosan nem, de szerintem a legtöbb kliensen ehhez állítgatni kell valamit, ergó elég törékeny és karbantartást igénylő módszer.
A linken ennél már tovább mentek, ott a dnsmasq upstreamnek adtak meg több dns-t, de még strict orderrel sem oké.
Tldr, nem jó keverni különböző "tudású" dns-eket. Ha backup kell, akkor kell pl. 2 instance a piholeból. Ha dockerek, akkor restartoljanak, ha összeomlana. -
Geth
veterán
válasz
Tarokk79
#15308
üzenetére
Hát a profik válasza szerintem az lesz, hogy saját image, amiből kihajintasz pár dolgot ami nem kell.
Én nemrég egy 841-re tettem egy openwrt.org-ról letöltött 18-asat, a ddns-scripts csomag ippeg felfért (ez volt az egyetlen utólag telepített pkg, mármint a függőségeit hozta nyilván). Így működik duckdns, persze csak http-n, a https-hez már nincs hely. -
Geth
veterán
válasz
BullZeye
#15273
üzenetére
acme: Manually disable uhttpd or set webroot to continue.
Gondolom rosszul van beállítva az acme. Nem tudja, hogy amúgy is futtatsz uhttpd-t, ezért megpróbál egyet elindíani magának a 80-as porton, csak nem megy neki.
Ha amúgyis futtatsz uhttpd-t, akkor ezt a webroot beállításával kell közölnöd az acme-val, hogy használja fel a már futó uhttpd instance-t. -
Geth
veterán
válasz
Tarokk79
#15269
üzenetére
Ahhoz hagy kapjál cert-et, meg kell bizonyosodnia az aláírónak hogy tiéd a domain.
Ehhez a cert kéréskor elküld egy titkot, amit utána (kis várakozás után) megpróbál visszaellenőrizni egy másik csatornán.
A másik csatorna úgy van kitalálva, hogy (remélhetőleg) csak a tulaj/admin tudja a titkot azon keresztül rendelkezésre bocsájtani, ezzel bizonyítva hogy nem más próbál meg a domainhez aláírt certet szerezni.Két ilyen elterjedt másik csatorna, amiket a LE támogat az acme protokollon:
- HTTP: A domain mögötti 80-as porton futó webserver egy publikus könyvtárában kell elhelyezni a titkot.
- DNS: A domain-hez tartozó DNS bejegyzésben kell egy TXT rekordban elhelyezni a titkot.
(Ez azt jelenti, hogy miután megkapta a lokálisan futó acme kliens a titkot a LE-től, felveszi a kapcsolatot a DNS szolgáltatóval, hogy megkérje a TXT rekord létrehozására a titokkal mint tartalommal. Miután ez megtörtént, az acme kliens vár egy kicsi ideig, hogy a bejegyzés propagálódjon a DNS rendszerben, majd szól az LE-nek, hogy próbálja meg visszaellenőrizni.) -
Geth
veterán
válasz
BullZeye
#15263
üzenetére
Én évek óta DNS API-n keresztül szerzem be az LE certet a routeren (Openwrt) és a NAS-on is (QNAP). Így nem webserveren helyez el titkot az ellenőrzéshez, hanem a DNS bejegyzéshez ad hozzá és vesz el TXT rekordot.
Ha tud a DDNS szolgáltatód TXT rekordot kezelni (szerencsés esetben automatikusan), akkor ez egy szuperegyszerű módszer, és teljesen webserver mentes, emiatt port nyitás nincs a történetben. Nem tudom melyik DDNS szolgáltatók teljesítik a feltételt, a DuckDNS amit használok az igen. -
#15189
Geth
veterán
LiteCross91
#15188
Geth
veterán
válasz
LiteCross91
#15188
üzenetére
Mielőtt eldöntöttem hogy a házi szerver lesz a router, én direkt olyanokat néztem amihez megy openwrt alatt a hardveres nat (MT7621).
-
-
#15133
Geth
veterán
LiteCross91
#15132
Geth
veterán
válasz
LiteCross91
#15132
üzenetére
Akkor ne a felületen állítsd be
Nekem is van olyan beállítás ami a felületen piros, de egyébként simán működik.
Ha mégis a felületen állítanád be, egy tipp: anno egy routernél bevált ilyenkor hogy kisebbre vettem a netmaskot (több alhálózat, kevesebb géppel), mert ilyenkor a broadcast IP nem 255-re végződik, és a felületi buta ellenőrzés valid-nak vette a megváltozott broadcast IP-t. Persze még működött is a broadcast, nem csak a felületet cseleztem ki.Viszont nekem Openwrt-n nem működött a szimpla tűzfalas megoldás. A fix broadcast MAC-re hozzáadott IP-vel viszont megy, ahogy írtam.
-
#15131
Geth
veterán
LiteCross91
#15125
Geth
veterán
válasz
LiteCross91
#15125
üzenetére
Alternatív megoldás: rc.local-ban egymás után mehet az ip neigh add ..., majd ip neigh change ... (többi paraméter változatlan).
Ehhez lehet kell legalább az ip-tiny package.Az rc.local amúgy szerkeszthető Luci alól is:
System / Startup alatt Local StartupA "broadcast" (ahogy nálam működött, az IP nem broadcast, de a MAC igen) nem járható út? Kevesebb karbantartást igényel.
7-es port (echo) helyett talán jobb a 9-es (discard).
pingelős mókához: IPv4-en a win alapból válaszol a pingre emlékeim szerint.
-
#15121
Geth
veterán
LiteCross91
#15118
Geth
veterán
válasz
LiteCross91
#15118
üzenetére
WoL - bár én a webeset használom, most kipróbáltam ezt a broadcastot használó megoldást:
1. felvettem az /etc/rc.local-ba az exit elé:ip neigh add 192.168.1.30 lladdr ff:ff:ff:ff:ff:ff nud permanent dev br-lan
(nekem /27-es az alhálom, a .31 a broadcast, a .30 az utolsó kiosztható cím)
Ezt a parancsot kiadtam közvetlenül a terminalban is egyszer, újrainditás után már az rc intézi.
Így már van egy kamu IP-m a broadcast mac-el.
2. Tűzfal:uci add firewall redirectfirewall.@redirect[10].target='DNAT'firewall.@redirect[10].name='woltest'firewall.@redirect[10].proto='udp'firewall.@redirect[10].src='wan'firewall.@redirect[10].src_dport='9'firewall.@redirect[10].dest='lan'firewall.@redirect[10].dest_ip='192.168.1.30'firewall.@redirect[10].dest_port='9'
3. Teszt: működikHa restart után nem megy, akkor nem adtad hozzá sehol hogy újraindítás után is vegye fel
(az ip neigh argumentumában a permanent az nem jelent újraindítást..) -
#14821
Geth
veterán
st3v3np3t3r
#14820
Geth
veterán
válasz
st3v3np3t3r
#14820
üzenetére
Mi volt meg? Hogy folyton a lehetetlent próbálod megoldani az azonos külső portokkal amik mögött eltérő IP cím van?
Igen, az eddig is megvolt. -
#14819
Geth
veterán
st3v3np3t3r
#14818
Geth
veterán
válasz
st3v3np3t3r
#14818
üzenetére
Az UPnP egy sz*r, ezt eddig is tudtuk.
Valószínűleg beragad a nyitott port az UPnP "táblájába", a timeout még arrébb van, a progit meg lehet úgy írták meg hogy ilyenkor (foglalt a kért port) sutyiba nyit egy másikat (ezesetben jár a grat).
Erre a működésre minimum hajmeresztő alapozni.UPnP routeren letilt, elfelejt, két külön külső portra forward a két MAC addresshez rendelt IP címek (ugyanazon) portszámára és kész.
Vagy teameled failoverbe a két interfacet, ha nem gond hogy nem fog együtt menni a vezetékes+wifi (cserébe a routeren csak egy portnyitás kell a kettő helyett).
(Az UPnP belső hálón nem rossz service discovery-re, csak a portnyitás bajos - nincs kontrollod a portok fölött -, több implementáció is lyukas és kívülről jövő kérésekre is kinyitja a portot.) -
#14804
Geth
veterán
st3v3np3t3r
#14802
Geth
veterán
válasz
st3v3np3t3r
#14802
üzenetére
Nem tudom ez miért gond, tehát milyen gondot okozna máshol.
Attól eltekintve hogy ez elméletileg a jó megoldás, a dhcp erőszakolása lease-estül meg a rossz... -
#14800
Geth
veterán
st3v3np3t3r
#14798
Geth
veterán
válasz
st3v3np3t3r
#14798
üzenetére
Szerintem ezt igen bonyi lenne a routeren megoldani (dhcp lease probléma, esetleg scriptelni kell ha hook-olható).
Nem lenne egyszerűbb kliens oldalon megoldani? Össze teamelni a két hálót failoverbe (primary wired, fallback wireless), akkor a router oldalon ugyanúgy egy fix mac-hez lehet rendelni egy IP címet és a váltást a kliens megoldja. -
#14773
Geth
veterán
st3v3np3t3r
#14768
Geth
veterán
válasz
st3v3np3t3r
#14768
üzenetére
A Te problémádat nem interface bondinggal szokták megoldani?
A fix ip meg mehet a failover-be kapcsolt bonded interface mac-jére.
Ha csak az UPnP-t le lehet vakarni ezzel, én biztos eljátszanék vele de csak egy ötlet... -
Geth
veterán
válasz
Archttila
#14678
üzenetére
Nálam a luci-ssl-openssl mellé ment a ddns-scripts (DuckDNS) + acme-dnsapi is.
Ha megvan a cert (későbbiekben cronjob naponta csekkolja, közeledve az utolsó 30 naphoz pedig meg is újítja), akkor már csak a belső elérés marad.Aztán ott a CNAME bejegyzés a DNS alá, pl. így:
uci add dhcp cnameuci set dhcp.@cname[-1].cname='valami.duckdns.org'uci set dhcp.@cname[-1].target='belso-cim.lan'
Így belül is használhatod azt a ddns címet, és a cert is stimmelni fog(IPv6 esetén még nem ér véget itt a történet...)
-
Geth
veterán
válasz
Magnat
#14665
üzenetére
Nem ismerem a BB-t, stock 18-ast használok, és tudom hogy alapból az odhcpd-ipv6only csomag végzi a DHCPv6-ot, de amikor a dnsmasq-ot konfiguráltam, szembejött egy ilyen a manual-jában:
The IPv6 option name space is disjoint from the IPv4 option name space.
Ez alapján 23-as, de nem tudom hogy kell jelezni hogy ez v6-os option.Nem biztos hogy segít közvetlenül, de álljon itt:
Én lecseréltem az odhcpd-t dnsmasq-dhcpv6-ra, utána így kellett uci-val:uci add_list dhcp.lan.dhcp_option='option6:dns-server,[fd00::]'
vagy az /etc/dnsmasq.conf-ban:dhcp-option=lan,option6:dns-server,[fd00::](Lehet konkrét cím is, de van 1-2 shorthand alak, amit felold magától, a példában az fd00:: az ULA cím lesz.)
-
Geth
veterán
Átálltam LAN / IPv6 vonalon odhcpd helyett dnsmasq-dhcpv6 -ra, így (egy-két beállítás után) szépen felveszi a DNS-be az SLAAC (eui64 generált) címeket az IPv4 (static) lease alapján.
Magát a dhcpv6-ot nem használom, ki van kapcsolva.
Eddig szépen szuperál, simán frissült a heti prefixváltáskor is.
Valaki más próbálta már és van valami negatív tapasztalata?
)
![;]](http://cdn.rios.hu/dl/s/v1.gif)
), a kérdés tárgytalan.
Új hozzászólás Aktív témák
Hirdetés
- ÁRGARANCIA!Épített KomPhone i5 12400F 16/32/64GB RAM RTX 3060 12GB GAMER PC termékbeszámítással
- Bomba ár! Fujitsu LifeBook U729x - i5-8G I 8GB I 256SSD I 12,5" FHD Touch I HDMI I Cam I W11 I Gari!
- ÁRGARANCIA!Épített KomPhone i5 14600KF 16/32/64GB RAM RTX 4070 12GB GAMER PC termékbeszámítással
- Beszámítás! Acer Predator Triton Neo 16 15 notebook - Ultra 9 185H 32GB RAM 2TB SSD RTX 4070 WIN11
- ÁRGARANCIA!Épített KomPhone Ryzen 5 5600X 16/32/64GB RAM RX 7600XT 16GB GAMER PC termékbeszámítással
Állásajánlatok
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest