Wi-CAT LLC

Wireless Comprehensive Advanced Technology. Build your network now.

Wi-CAT LLC
Навигация Форума
Вы должны войти, чтобы создавать сообщения и темы.

(решено) Не стартует UPnP с серыми адресами на WAN

сервис UPnP после включения постоянно в статусе "запускается"(правда не уверен, что это ошибка интерфейса).

Прикрепил лог. В ps вроде не вижу, но на всякий случай и его вывод в начале файла. Настройки надо файлом прикреплять? В двух словах включен UPnP и Watchdog и выключен igmpproxy(нету IPTV).

Загруженные файлы:
  • Вам нужно войти, чтобы просматривать прикрепленные файлы..

Адрес на WAN серый, вот не помню, но помойму демон проверяет при запуске и если на WAN серятина то тупо завершается.

Глянул. Именно так.

        if (use_ext_ip_addr) {
                if (inet_pton(AF_INET, use_ext_ip_addr, &addr) != 1) {
                        fprintf(stderr, "Error: option ext_ip contains invalid address %s\n", use_ext_ip_addr);
                        return 1;
                }
                if (addr_is_reserved(&addr)) {
                        fprintf(stderr, "Error: option ext_ip contains reserved / private address %s, not public routable\n", use_ext_ip_addr);
                        return 1;
                }
        }

Т.е. дело именно до запуска даже не дойдёт. Просто в miniupnpd проверятся входные данные и он завершиться. Как бы вполне логично.

Это нововведение? Просто что-то не сходится. Во-первых ранее всё работало, я бы заметил(как заметил сейчас). Во-вторых, в этой же сети мною установлен W4N 7.3.20, на котором всё прекрасно работает и демон в ps виден(miniupnpd -f /etc/miniupnpd.conf -i eth2.2 -o 10.188.17.180 -a br0 -z Wive-NG-MT). А вот ME1 я обновил на последнюю стабильную для тестирования. Настроен он также, только L2TP-сервер не включен. Прикладываю лог с того маршрутизатора:

Загруженные файлы:
  • Вам нужно войти, чтобы просматривать прикрепленные файлы..

Это введено с 2.1.20180706 версии miniupnpd.

И как бы вполне логичное нововведение, ибо нет смысла тянуть на автомате порт в серую сеть из которой его кто-то тоже должен в белую прокинуть.

Если не лень, можете поднять тему у автора https://miniupnp.tuxfamily.org/forum/ я не очень вижу смысл тянуть порты в серую сеть, хотя какой-то смысл возможно в этом и есть.

Возможно я что-то путаю, но как быть, если внешний адрес белый статический? Т.е. экраном же на самом маршрутизаторе закрыты порты, верно? В таком случае только вручную открывать?

Если внешний белый статический (на самом деле не важно статика там или динамика или VPN) адрес то оно запуститься и будет работать. Проверка именно что на WAN адрес не серый. Всё будет прокидываться и т.д.

Вот если на ван серятина, то тут можно вручную прокинуть, но смысла тоже не видиться, дальше-то кто прокинет? А с прокидыванием через upnp тем более не ясно дальше то кто динамически это дело обработает и таки прокинет в мир.

10/8 это серая подсеть.

Ну так вот у Interzet сеть построена была, что есть и локальная сеть. А т.к. адрес белый - всё перенаправляется на внутренний.

Да хоть 3 локальные сети. Нет никакого смысла мапить внешку  на серый диапазон. Эт им заняться нечем видать. Роутер сам в состоянии держать отдельные маршруты и для локалки и для инета. И выдавать их вполне реально по DHCP. На кой хрен интернет так извращался даже близко не представляю.

Я не говорю уже о всевозможных приключениях с трэкингом соединений при такой схеме потенциальных.

В любом случае интерзет больше нет, ЭР-Телеком переводит клиентов интерзет на свою схему  с поэтессами в виде PPPOE с белыми реальниками на нём.

P.S. А вот с точки зрения безопасности, всегда стоит протягивать руками если нужно, а не юзать upnp. Ибо вирусня уже несколько лет как знает о существовании upnp и пользуется не редко собсно этим для выставления своей жопы наружу. Т.е. с точки зрения безопасности upnp лучше вообще отрубить и забыть как страшный сон. В т.ч. поэтому по дефолту оный отключен.

Ладно. Я наверное уберу проверку таки для таких случаев. Главное потом не забыть что убирал =)))

Тем не менее весь транспорт(TCP, UDP и ICMP) вполне спокойно гуляет между внешним и внутренним адресом. Так что только я управляю прокидыванием. Не знаю про приключения, но почитал бы. А ЭР-телеком, пока только новых подключает или при вызове мастера. Старых же Интерзетовских(сети компаний "Простор" и "Перспектива") пока никто не трогает и они так и живут себе на IPoE, чему я рад.

P.S. А вот с точки зрения безопасности, всегда стоит протягивать руками если нужно, а не юзать upnp. Ибо вирусня уже несколько лет как знает о существовании upnp и пользуется не редко собсно этим для выставления своей жопы наружу. Т.е. с точки зрения безопасности upnp лучше вообще отрубить и забыть как страшный сон. В т.ч. поэтому по дефолту оный отключен.

У себя и по возможности у других я так и делаю, не полагаясь на автоматику. Однако есть приложения вроде всяких Skype, которые его вроде как активно используют или ещё лучший пример - торрент-клиент, где по-умолчанию так. А люди часто сносят клиент или даже саму систему, не настраивая после. И мне кажется, что только включение этого костыля спасает ситуацию.

Ладно. Я наверное уберу проверку таки для таких случаев. Главное потом не забыть что убирал =)))

Спасибо, думаю так будет лучше.

Цитата: CHIPSET от 02/09/2018, 16:53

Тем не менее весь транспорт(TCP, UDP и ICMP) вполне спокойно гуляет между внешним и внутренним адресом. Так что только я управляю прокидыванием. Так что такая подмена это сугубо изварт.

А чего бы ему не гулять? Вот только локальные сервисы видят локальный адрес, и локальный трекинг стэйтов тоже, а там правила в т.ч. в зависимости от типов адресов могут быть разные. Можно нарваться на крайне неприятные вещи.

 Не знаю про приключения, но почитал бы. А ЭР-телеком, пока только новых подключает или при вызове мастера. Старых же Интерзетовских(сети компаний "Простор" и "Перспектива") пока никто не трогает и они так и живут себе на IPoE, чему я рад.

Это не так, уже тут на форуме чел отписался, что "проснувшись утром его обрадовали отсутсвием инета и необходимостью настроить PPPOE", при этом сделать это на залоченном роутере полученном от INTERZET. =)

Так что не долго осталось.

Спасибо, думаю так будет лучше.

Лучше отписать автору на форум разрисовав схему. Дабы это оказалось штатно в апстриме. При этом возможно я ещё что-то не учитываю, и причины добавления этих проверок более витееваты.

В общем сделал, будет в 7.5.15 сегодня ближе к вечеру. Просьба отписаться по результатам.

Залил, пробуйте.

Эт им заняться нечем видать. Роутер сам в состоянии держать отдельные маршруты и для локалки и для инета. И выдавать их вполне реально по DHCP.

Может и нечем, однако в сети по каким-то причинам нету никакого DHCP. Раз уж люди пишут настройки вручную, то да, наверное могли бы и маршруты ещё вбивать. Как раньше, когда я был подключен к Matrix, где был PPTP и чтобы работала локальная сеть надо было писать маршруты руками(меня это как раз сподвигло пытаться разобраться в сетях).

Так что не долго осталось.

Безобразие...  Понимаю, что им наверно так удобнее, но всё равно. Плюс наверно только в IPv6, да и то сомнительный. Хотя нашёл этот пост и там человек точно не описал, как всё произошло. Скорее всего он заключал договор заново или вызывал сотрудника. Может и нет.

Если не лень, можете поднять тему у автора

Не лень. Правда в письме на английском никакой, но ладно. Хоть не на китайском.

Попробовал, запускается. Надо будет проверить каким-то образом работоспособность, а то может я вообще зря здесь напрягаюсь...

По работоспособности там ничего не поменялось с этим коммитом у них. Так что точно ничего не изменилось. У себя на всякий синтетику прогнал, отрапортавала, что всё ок.

Ну а по ЭР-ам, как бы не сцуть важно, от перезаключения или не перезаключения ситуация не меняется. Смысл в том, что либо переключаешся, либо остаёштся без сети вообще. Суть приобретения операторами других операторов это покупка клиентов, а не сети. Сеть вообще в большинстве случаев перетягивается параллельно.

Ладно, это оффтоп. Раз заработало тему закрываю.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: