Drno, я так понимаю, речь о стандартном кинетиковском cli? Загвоздка в том, что интерфейс Zerotier видно только в линуксовой части, так как пакет сторонний. Немного покопавшись на форумах, нашёл похожую проблему с тем, что не проходит arp, посмотрел в tcpdump со стороны роутера и ПК - и действительно, при попытке пинговать друг друга они сыпят arp-запросами, но роутер не отвечает, соответственно ПК просто не знает, куда пинговать. После добавления статических arp-записей на оба устройства в tcpdump на роутере вижу, что пинг на интерфейс приходит, но в ответ тишина, а понять, почему пакеты отбрасываются, ума не хватает. Подозреваю, что мешает что-то в стандартных правилах iptables, но они там такие сложные и запутанные, что ужас просто
Drno, прошивка 2.16 из Delta-ветки. Роутер древний, официально уже сто лет, как не поддерживается. Про то, что в новых Zerotier поддерживается самой прошивкой, я в курсе. Вопрос в том, как заставить работать в виде стороннего пакета из Entware.
Очень спорное утверждение про "обязанность" провайдера ставить абоненту своё оборудование. Оператор свое оборудование уже поставил - в ТКД на доме, а абоненту предоставляет до квартиры кабель с интернетом и там не какие-то секретные внеземные технологии, которые можно добыть только у самого провайдера под подписку о неразглашении, а вполне себе стандартизированный и широко распространенный Ethernet, Gpon и так далее. Да, в случае с тем же Gpon с провайдером бывает сложнее договориться о замене терминала на свой, но не невозможно. Предоставление абонентам своего оборудования - это не необходимость и уж тем более не обязанность провайдера, а всего-лишь способ привлечь дополнительных абонентов из числа тех, кто ну вообще ничего не понимает, что такое эти ваши интернеты и куда этот проводок из стены вставить.
Ну ребят, ну очевидно же, что адрес из головы, а устройства не получают адреса вовсе и выдают себе APIPA 169.254.*.
По-хорошему бы логи посмотреть ч роутера в момент отвала или около того.
Ну и по традиции: В любой непонятной ситуации первым делом обновляй прошивку.
Ланской Кирилл, Если эти ваши сайт и приложение представлены в виде сервера, который будет подключен к одной WiFi-сети с остальными устройствами, они без проблем друг друга увидят и смогут обмениваться любой информацией, хотя решение и выглядит как-то неказисто. Опишите подробнее, какую задачу вы пытаетесь решить: что за сайт, устройства? Какой информацией предполагается обмен?
Артём, пропадание (или не) интернета зависит от того, насколько провайдеру не пофиг на кривые конфигурации у абонентов. Да и с чего бы вдруг у него тогда в Winbox стали бы светиться чужие желёзки? Очевидно, какие-то беды с тем, что внешний L2 каким-то образом просачивается внутрь. Я бы всё же начал с того, что проверил бы, в какой порт входит провайдерский линк. По-хорошему, порт, куда он входит, НЕ должен быть в одном бридже с LAN-портами. Желательно, чтобы он вообще не был в бридже.
freeeeez,
1) Keenetic лучше сбросить и перевести в режим точки доступа, это никак не повлияет на возможность установить такое же имя/пароль сети и видеть "одну" сеть. Технически сетей всё ещё будет две (их и сейчас две), просто устройства при подключении будут выбирать сеть с наивысшим уровнем сигнала. Важно, что при отключенном роуминге (который всё равно не работает на оборудовании разных производителей) клиентские устройства крайне неохотно будут переключаться между точками при перемещении по дому и чтобы их к этому искусственно подтолкнуть, на обоих точках нужно занизить мощность до минимально комфортной - придётся подбирать опытным путём.
4) N300 - это всё-таки до 300Мбит/сек, но вы не переживайте, эти 300 не для вас, это канал для клиентов, поддерживающих 40Мгц канал в два потока, находящихся в чистом поле в комнате с круговым заземлением, а за вычетом технического трафика и заголовков, полезных данных в этот канал и того можно максимум где-то в районе 3/4 впихнуть. Так и выходит, что в реальности с учётом всех помех и потерь на тех. нужды пользователю достается хорошо, если хотя бы половина, а то и четверть - не забываем, что далеко не у всех клиентов есть по две антенны, а телефоны так и вовсе зачастую залочены на 20Мгц, что в совокупности с одной антенной даёт теоретический канал в 72 Мбит/сек, а на практике - в районе 40-45Мбит/сек.
В общем, WiFi в диапазоне 2,4Ггц и без ретрансляции грустно живётся.
*rawpost
:POSTROUTING ACCEPT [247954:62577918]
COMMIT
# Completed on Tue Sep 3 11:16:39 2024
# Generated by iptables-save v1.4.21 on Tue Sep 3 11:16:39 2024
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:_IPSEC_L2TPSERVER_NAT - [0:0]
:_NDM_DNAT - [0:0]
:_NDM_DNS_REDIRECT - [0:0]
:_NDM_EZ_BYPASS - [0:0]
:_NDM_EZ_DNAT - [0:0]
:_NDM_HOTSPOT_DNSREDIR - [0:0]
:_NDM_IPSEC_POSTROUTING_NAT - [0:0]
:_NDM_MASQ - [0:0]
:_NDM_MASQ_BYPASS - [0:0]
:_NDM_NAT_UDP - [0:0]
:_NDM_SL_PRIVATE - [0:0]
:_NDM_SNAT - [0:0]
:_NDM_STATIC_DNAT - [0:0]
:_NDM_STATIC_LOOP - [0:0]
:_NDM_STATIC_SNAT - [0:0]
:_NDM_UPNP_REDIRECT - [0:0]
-A PREROUTING -j _NDM_DNAT
-A PREROUTING -j _NDM_DNS_REDIRECT
-A PREROUTING -j _NDM_EZ_BYPASS
-A PREROUTING -j _NDM_UPNP_REDIRECT
-A PREROUTING -d 78.47.125.180/32 -p tcp -m tcp --dport 80 -j _NDM_SL_PRIVATE
-A OUTPUT -j _NDM_DNAT
-A POSTROUTING -o br0 -j MASQUERADE
-A POSTROUTING -j _NDM_IPSEC_POSTROUTING_NAT
-A POSTROUTING -j _NDM_SNAT
-A POSTROUTING -j _NDM_MASQ
-A POSTROUTING -o eth2.2 -j MASQUERADE
-A _NDM_DNAT -j _NDM_STATIC_DNAT
-A _NDM_DNS_REDIRECT -j _NDM_HOTSPOT_DNSREDIR
-A _NDM_EZ_BYPASS -d 192.168.1.1/32 -j ACCEPT
-A _NDM_EZ_DNAT -p tcp -j DNAT --to-destination 78.47.125.180:8081
-A _NDM_MASQ -j _NDM_MASQ_BYPASS
-A _NDM_MASQ -s 192.168.1.0/24 -p udp -m udp -m ndmmark --ndmmark 0x4/0x4 -j _NDM_NAT_UDP
-A _NDM_MASQ -s 192.168.1.0/24 -m ndmmark --ndmmark 0x4/0x4 -j MASQUERADE
-A _NDM_MASQ_BYPASS -s 224.0.0.0/4 -j ACCEPT
-A _NDM_MASQ_BYPASS -d 224.0.0.0/4 -j ACCEPT
-A _NDM_NAT_UDP -p udp -m udp --sport 35000:65535 -j MASQUERADE --to-ports 1024-34999
-A _NDM_NAT_UDP -p udp -m udp --sport 1024:34999 -j MASQUERADE --to-ports 35000-65535
-A _NDM_NAT_UDP -p udp -m udp --sport 1:411 -j MASQUERADE --to-ports 412-1023
-A _NDM_NAT_UDP -p udp -m udp --sport 412:1023 -j MASQUERADE --to-ports 1-411
-A _NDM_SL_PRIVATE -i br0 -j _NDM_EZ_DNAT
-A _NDM_SNAT -j _NDM_STATIC_LOOP
-A _NDM_SNAT -j _IPSEC_L2TPSERVER_NAT
-A _NDM_SNAT -o eth2.2 -j _NDM_STATIC_SNAT
-A _NDM_STATIC_LOOP -s 192.168.1.0/24 -d 192.168.1.0/24 -o br0 -j SNAT --to-source 192.168.1.1
-A _NDM_UPNP_REDIRECT -i eth2.2 -p udp -m udp --dport 44604 -j DNAT --to-destination 192.168.1.107:44604
COMMIT
# Completed on Tue Sep 3 11:16:39 2024
# Generated by iptables-save v1.4.21 on Tue Sep 3 11:16:39 2024
*mangle
:PREROUTING ACCEPT [86696:23143134]
:INPUT ACCEPT [43773:7955661]
:FORWARD ACCEPT [38039:14585243]
:OUTPUT ACCEPT [89488:18602240]
:POSTROUTING ACCEPT [110914:31499710]
:_IPSEC_L2TPSERVER_MARK - [0:0]
:_NDM_BACKUP_DNAT - [0:0]
:_NDM_BACKUP_FORWARD - [0:0]
:_NDM_HOTSPOT_PRERT - [0:0]
:_NDM_IPSEC_FORWARD_MANGLE - [0:0]
:_NDM_IPSEC_OUTPUT_MANGLE - [0:0]
:_NDM_IPSEC_POSTR_MANGLE - [0:0]
:_NDM_IPSEC_POSTR_MANGLE_BPS - [0:0]
:_NDM_IPSEC_PREROUTING - [0:0]
:_NDM_PREROUTING_MC - [0:0]
-A PREROUTING -d 224.0.0.0/4 -j _NDM_PREROUTING_MC
-A PREROUTING -j _NDM_IPSEC_PREROUTING
-A PREROUTING -j _NDM_HOTSPOT_PRERT
-A FORWARD -j NDMMARK --set-xndmmark 0x4/0x4
-A FORWARD -j _NDM_BACKUP_FORWARD
-A FORWARD -j _NDM_IPSEC_FORWARD_MANGLE
-A OUTPUT -j _NDM_IPSEC_OUTPUT_MANGLE
-A POSTROUTING -o eth2.2 -p tcp -m tcp --dport 80 -m mark ! --mark 0x40000000/0x40000000 -j NFQUEUE --queue-num 200 --queue-bypass
-A POSTROUTING -o eth2.2 -p tcp -m tcp --dport 443 -m connbytes --connbytes 1:8 --connbytes-mode packets --connbytes-dir original -m mark ! --mark 0x40000000/0x40000000 -j NFQUEUE --queue-num 200 --queue-bypass
-A POSTROUTING -j _NDM_IPSEC_POSTR_MANGLE
-A _IPSEC_L2TPSERVER_MARK -i l2tp+ -j NDMMARK --set-xndmmark 0x10/0x10
-A _NDM_BACKUP_DNAT -m conntrack --ctstate DNAT -j CONNNDMMARK --set-xmark 0x80/0x80
-A _NDM_BACKUP_DNAT -m conntrack --ctstate DNAT -j NDMMARK --set-xndmmark 0x80/0x80
-A _NDM_BACKUP_FORWARD -m connndmmark --mark 0x80/0x80 -j CONNNDMMARK --restore-mark --nfmask 0x80 --ctmask 0x80
-A _NDM_BACKUP_FORWARD -m connndmmark --mark 0x80/0x80 -j RETURN
-A _NDM_IPSEC_PREROUTING -j NDMMARK --set-xndmmark 0x0/0xff
-A _NDM_PREROUTING_MC -p udp -j TTL --ttl-inc 1
COMMIT
# Completed on Tue Sep 3 11:16:39 2024
# Generated by iptables-save v1.4.21 on Tue Sep 3 11:16:39 2024
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [21:6112]
:@IPSEC_VPNL2TPServer - [0:0]
:@IPSEC_VirtualIPServer - [0:0]
:NDM_FORWARD_ACL - [0:0]
:_IPSEC_L2TPSERVER_FWD - [0:0]
:_IPSEC_L2TPSERVER_IN - [0:0]
:_IPSEC_L2TPSERVER_OUT - [0:0]
:_NDM_ACL_IN - [0:0]
:_NDM_ACL_IN_EXCEPTIONS - [0:0]
:_NDM_ACL_OUT - [0:0]
:_NDM_BFD_INPUT - [0:0]
:_NDM_BFD_OUTPUT - [0:0]
:_NDM_FORWARD - [0:0]
:_NDM_HOTSPOT_FWD - [0:0]
:_NDM_HTTP_INPUT_IN - [0:0]
:_NDM_HTTP_INPUT_OUT - [0:0]
:_NDM_INPUT - [0:0]
:_NDM_IPSEC_FORWARD - [0:0]
:_NDM_IPSEC_INPUT - [0:0]
:_NDM_IPSEC_INPUT_FILTER - [0:0]
:_NDM_IPSEC_INPUT_FLT_BPS - [0:0]
:_NDM_IPSEC_OUTPUT_FILTER - [0:0]
:_NDM_IPSEC_OUTPUT_FLT_BPS - [0:0]
:_NDM_MULTICAST_INPUT - [0:0]
:_NDM_NBNS_OUTPUT_FILTER - [0:0]
:_NDM_OUTPUT - [0:0]
:_NDM_SL_FORWARD - [0:0]
:_NDM_SL_PRIVATE - [0:0]
:_NDM_SL_PROTECT - [0:0]
:_NDM_TELNET_INPUT_IN - [0:0]
:_NDM_TELNET_INPUT_OUT - [0:0]
:_NDM_TUNNELS_INPUT - [0:0]
:_NDM_UPNP_FORWARD - [0:0]
-A INPUT -i ztly5trkyu -j ACCEPT
-A INPUT -d 224.0.0.0/4 -j _NDM_MULTICAST_INPUT
-A INPUT -p igmp -j ACCEPT
-A INPUT -j _NDM_ACL_IN_EXCEPTIONS
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -j _NDM_BFD_INPUT
-A INPUT -j _NDM_ACL_IN
-A INPUT -j _NDM_IPSEC_INPUT_FILTER
-A INPUT -j _NDM_IPSEC_INPUT
-A INPUT -j _NDM_TUNNELS_INPUT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m conntrack --ctstate DNAT -j ACCEPT
-A INPUT -j _NDM_INPUT
-A INPUT -j _NDM_SL_PRIVATE
-A FORWARD -i ztly5trkyu -j ACCEPT
-A FORWARD -d 224.0.0.0/4 -j _NDM_MULTICAST_INPUT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -j _NDM_ACL_IN
-A FORWARD -j _NDM_ACL_OUT
-A FORWARD -j _NDM_IPSEC_FORWARD
-A FORWARD -j _NDM_FORWARD
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -j _NDM_SL_FORWARD
-A FORWARD -i lo -j ACCEPT
-A FORWARD -i br0 -o br0 -j ACCEPT
-A OUTPUT -j _NDM_BFD_OUTPUT
-A OUTPUT -j _NDM_ACL_OUT
-A OUTPUT -j _NDM_IPSEC_OUTPUT_FILTER
-A OUTPUT -j _NDM_OUTPUT
-A OUTPUT -j _IPSEC_L2TPSERVER_OUT
-A @IPSEC_VPNL2TPServer -p udp -m udp --sport 1701 -j ACCEPT
-A @IPSEC_VirtualIPServer -j ACCEPT
-A _NDM_BFD_INPUT -j _NDM_TELNET_INPUT_IN
-A _NDM_BFD_INPUT -j _NDM_HTTP_INPUT_IN
-A _NDM_BFD_OUTPUT -j _NDM_TELNET_INPUT_OUT
-A _NDM_BFD_OUTPUT -j _NDM_HTTP_INPUT_OUT
-A _NDM_FORWARD -j _NDM_HOTSPOT_FWD
-A _NDM_FORWARD -j _IPSEC_L2TPSERVER_FWD
-A _NDM_FORWARD -j _NDM_UPNP_FORWARD
-A _NDM_HOTSPOT_FWD -i eth2.1 -j RETURN
-A _NDM_HOTSPOT_FWD -o eth2.1 -j RETURN
-A _NDM_HOTSPOT_FWD -i br0 -j RETURN
-A _NDM_HOTSPOT_FWD -o br0 -j RETURN
-A _NDM_HTTP_INPUT_IN -p tcp -m tcp --dport 80 -m set --match-set _NDM_BFD_Http src -j DROP
-A _NDM_HTTP_INPUT_IN -p tcp -m tcp --dport 443 -m set --match-set _NDM_BFD_Http src -j DROP
-A _NDM_HTTP_INPUT_OUT -p tcp -m tcp --sport 80 -m set --match-set _NDM_BFD_Http dst -j DROP
-A _NDM_HTTP_INPUT_OUT -p tcp -m tcp --sport 443 -m set --match-set _NDM_BFD_Http dst -j DROP
-A _NDM_INPUT -p udp -m udp --dport 53 -j _NDM_SL_PROTECT
-A _NDM_INPUT -p tcp -m tcp --dport 53 -j _NDM_SL_PROTECT
-A _NDM_INPUT -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A _NDM_INPUT -p udp -m udp --sport 67:68 --dport 67:68 -j _NDM_SL_PROTECT
-A _NDM_INPUT -p udp -m udp --dport 500 -j ACCEPT
-A _NDM_INPUT -p udp -m udp --dport 4500 -j ACCEPT
-A _NDM_INPUT -j _IPSEC_L2TPSERVER_IN
-A _NDM_INPUT -p udp -m udp --dport 1701 -j ACCEPT
-A _NDM_MULTICAST_INPUT -d 224.0.0.252/32 -i eth2.2 -p udp -m udp --dport 5355 -j DROP
-A _NDM_MULTICAST_INPUT -j ACCEPT
-A _NDM_NBNS_OUTPUT_FILTER -o ppp+ -p udp -m udp --sport 137:138 -j DROP
-A _NDM_NBNS_OUTPUT_FILTER -o ppp+ -p udp -m udp --dport 137:138 -j DROP
-A _NDM_NBNS_OUTPUT_FILTER -o ovpn_br+ -p udp -m udp --sport 137:138 -j DROP
-A _NDM_NBNS_OUTPUT_FILTER -o ovpn_br+ -p udp -m udp --dport 137:138 -j DROP
-A _NDM_NBNS_OUTPUT_FILTER -d 172.24.213.255/32 -o eth2.2 -p udp -m udp --sport 137:138 -j DROP
-A _NDM_NBNS_OUTPUT_FILTER -d 172.24.213.255/32 -o eth2.2 -p udp -m udp --dport 137:138 -j DROP
-A _NDM_NBNS_OUTPUT_FILTER -d 172.24.213.128/25 -o eth2.2 -p udp -m udp --sport 5355 -j DROP
-A _NDM_OUTPUT -p udp -j _NDM_NBNS_OUTPUT_FILTER
-A _NDM_SL_FORWARD -o eth2.2 -m state --state NEW -j _NDM_SL_PROTECT
-A _NDM_SL_PRIVATE -i br0 -m state --state NEW -j ACCEPT
-A _NDM_SL_PROTECT -j _NDM_SL_PRIVATE
-A _NDM_TELNET_INPUT_IN -p tcp -m tcp --dport 23 -m set --match-set _NDM_BFD_Telnet src -j DROP
-A _NDM_TELNET_INPUT_OUT -p tcp -m tcp --sport 23 -m set --match-set _NDM_BFD_Telnet dst -j DROP
-A _NDM_TUNNELS_INPUT -p gre -j ACCEPT
-A _NDM_TUNNELS_INPUT -p ipencap -j ACCEPT
-A _NDM_UPNP_FORWARD -d 192.168.1.107/32 -i eth2.2 -p udp -m udp --dport 44604 -j ACCEPT
COMMIT
# Completed on Tue Sep 3 11:16:39 2024