The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Домашний шлюз на Raspberry Pi
Нам понадобится: Raspberry Pi (у меня Raspberry Pi 1 модель B), вторая сетевая
карта с интерфейсом USB (например, DLink DUB-E100) и
SD карта с записанным образом Raspbian.

Сразу скажу, что в Raspbian Wheezy ядро собрано без опций

   CONFIG_NETFILTER_XT_TARGET_TCPMSS=y
   CONFIG_NETFILTER_XT_MATCH_TCPMSS=y

и будут проблемы с некоторыми сайтами. Придется позже пересобрать ядро с этими опциями.


Итак, установим пакеты:

   sudo apt-get install ntp # Нам нужно точное время
   sudo update-rc.d ntp enable
   sudo service ntp start
   sudo apt-get install dnsmasq # Роутер будет резолвером DNS для локальной сети
   sudo update-rc.d dnsmasq enable
   sudo apt-get dnsmasq start

Настроим локальную сеть, для этого отредактируем файл /etc/network/interfaces:

   auto lo
   iface lo inet loopback
   auto eth0
   iface eth0 inet  static
	address 192.168.4.1
	netmask 255.255.255.0

У нас eth0 - локальная сеть, eth1 (DLink) будет для Internet.

Теперь установим пакеты для pppoe:

   sudo apt-get install pppoe pppoeconf

Настроим интернет соединение pppoe с помощью мастера pppoeconf:

   sudo pppoeconf

Теперь осталось настроить firewall. Во-первых включим маршрутизацию:
отредактируем файл /etc/sysctl.conf и установим в нем

   net.ipv4.ip_forward=1

и выполним

   sudo sysctl net.ipv4.ip_forward=1

Возьмем за основу firewall файл /etc/firewall:

   # Generated by iptables-save v1.4.14 on Thu Sep 15 16:51:15 2016
   *nat
   :PREROUTING ACCEPT [1:32]
   :INPUT ACCEPT [0:0]
   :OUTPUT ACCEPT [2:307]
   :POSTROUTING ACCEPT [1:240]
   -A POSTROUTING -o ppp0 -j MASQUERADE
   COMMIT
   # Completed on Thu Sep 15 16:51:15 2016
   # Generated by iptables-save v1.4.14 on Thu Sep 15 16:51:15 2016
   *filter
   :INPUT ACCEPT [0:0]
   :FORWARD ACCEPT [0:0]
   :OUTPUT ACCEPT [0:0]
   :TINYWALL-FORWARD - [0:0]
   :TINYWALL-INPUT - [0:0]
   :TINYWALL-OUTPUT - [0:0]
   -A INPUT -m state --state INVALID -j LOG --log-prefix    "CHAIN=TINYWALL-INVALID-INPUT
   -A INPUT -m state --state INVALID -j DROP
   -A INPUT -m state --state NEW -j LOG --log-prefix "CHAIN=TINYWALL-NEW-INPUT " #Это необязательная строка
   -A INPUT -p icmp -j ACCEPT
   -A INPUT -s 192.168.4.0/24 -p udp -m udp --dport 53 -m state --state NEW -j ACCEPT
   -A INPUT -s 127.0.0.1/32 -p udp -m udp --dport 53 -m state --state NEW -j ACCEPT
   -A INPUT -s 192.168.4.0/24 -p tcp -m tcp --dport 22 -m state --state NEW -j ACCEPT
   -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
   -A INPUT -j TINYWALL-INPUT
   -A INPUT -j LOG --log-prefix "CHAIN=TINYWALL-INPUT-REJECT "
   -A INPUT -j REJECT --reject-with icmp-admin-prohibited
   -A FORWARD -m state --state INVALID -j LOG --log-prefix "CHAIN=TINYWALL-INVALID-FORW "
   -A FORWARD -m state --state INVALID -j DROP
   -A FORWARD -m state --state NEW -j LOG --log-prefix "CHAIN=TINYWALL-NEW-FORW "
   -A FORWARD -p icmp -j ACCEPT
   -A FORWARD -m state --state NEW -j LOG --log-prefix "CHAIN=TINYWALL-NEW-FORW " #Это необязательная строка
   -A FORWARD -s 192.168.4.0/24 -p udp -m udp --dport 53 -m state  --state NEW -j ACCEPT
   -A FORWARD -s 192.168.4.0/24 -m state --state NEW -j ACCEPT
   -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
   -A FORWARD -j TINYWALL-FORWARD
   -A FORWARD -j LOG --log-prefix "CHAIN=TINYWALL-FORW-REJECT "
   -A FORWARD -j REJECT --reject-with icmp-admin-prohibited
   -A OUTPUT -m state --state INVALID -j DROP
   -A OUTPUT -m state --state NEW -j LOG --log-prefix "CHAIN=TINYWALL-NEW-OUTPUT "
   -A OUTPUT -p icmp -j ACCEPT
   -A OUTPUT -m state --state NEW -j LOG --log-prefix "CHAIN=TINYWALL-NEW-OUTPUT " #Это необязательная строка
   -A OUTPUT -p udp -m udp --dport 53 -m state --state NEW -j ACCEPT
   -A OUTPUT -p udp -m udp --sport 53 -m state --state NEW -j ACCEPT
   -A OUTPUT -p udp -m udp --dport 123 -m state --state NEW -j ACCEPT
   -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
   -A OUTPUT -j TINYWALL-OUTPUT
   -A OUTPUT -j LOG --log-prefix "CHAIN=TINYWALL-OUTPUT-REJECT "
   -A OUTPUT -j REJECT --reject-with icmp-admin-prohibited
   -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1492
   COMMIT
   # Completed on Thu Sep 15 16:51:15 2016
   # Generated by iptables-save v1.4.14 on Thu Sep 15 16:51:15 2016
   *mangle
   :PREROUTING ACCEPT [2857:1106716]
   :INPUT ACCEPT [2787:1101011]
   :FORWARD ACCEPT [70:5705]
   :OUTPUT ACCEPT [2005:212971]
   :POSTROUTING ACCEPT [2163:232874]
   COMMIT
   # Completed on Thu Sep 15 16:51:15 2016

Запишем в /etc/rc.local строчку

   iptables-restore < /etc/firewall

Шлюз готов, можно использовать 192.168.4.1 как шлюз и DNS сервер.

Напоследок текст скрипта log-analyzer:

   #!/bin/bash
   while read string
   do
       echo ""
       export $string 2>/dev/null
       HSRC=`host $SRC 2>/dev/null | grep "domain name pointer" | awk '{ print $5 }'`
       HDST=`host $DST 2>/dev/null | grep "domain name pointer" | awk '{ print $5 }'`
       echo $PROTO | grep "^[[:digit:]]*$" > /dev/null && unset DPT
       PROTO=`grep "[[:space:]]$PROTO[[:space:]]" /etc/protocols | awk '{ print $1 }'`
       HPROTO=`grep -i "[[:space:]]$DPT/$PROTO" /etc/services | sed 's/\\t/\\ /g' | sed 's/\\ \\ /\\ /g'`
       HSPROTO=`grep -i "[[:space:]]$SPT/$PROTO" /etc/services | sed 's/\\t/\\ /g'| sed 's/\\ \\ /\\ /g'`
       HSRC=${HSRC:-$SRC}
       HDST=${HDST:-$DST}
       HPROTO=${HPROTO:-"$DPT/$PROTO"}
       HSPROTO=${HSPROTO:-"$SPT/$PROTO"}
       set $string
       echo "$CHAIN $HDST ($HPROTO) <=== $HSRC ($HSPROTO) /$1 $2 $3/"
   done

Его можно запустить командой:

   sudo tail -n 50 -f /var/log/syslog | grep "TINYWALL" | /<path>/log-analyzer
 
08.11.2016 , Автор: Павел Самсонов
Ключи: raspberrypi, debian, router / Лицензия: CC-BY
Раздел:    Корень / Администратору / Сетевая подсистема, маршрутизация / Туннелинг, VPN, VLAN

Обсуждение [ Линейный режим | Показать все | RSS ]
  • 1.1, Профитмэн (?), 11:24, 09/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А пример того, что можно увидеть в логах, можно показать?
     
     
  • 2.18, Павел Самсонов (?), 11:08, 11/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    192 168 0 230 40220 tcp ec2-52-42-26-69 us-west-2 compute amazonaws com ... большой текст свёрнут, показать
     

  • 1.2, ABATAPA (ok), 11:38, 09/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Детсад...
    "Рутер", типовой HOWTO и костыли...
     
     
  • 2.3, freehck (ok), 12:33, 09/11/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да ладно. Эти "костыли" - именно то, что делает любой роутер. dnsmasq и iptables с маскарадингом. Всё. У меня такая комбинация живёт много лет - и работает приличнее многих аналогичных решений "для дома".

    PS: Не говоря уже о том, что пример выше дешевле и надёжней этих решений на порядок.

     
  • 2.9, Аноним (-), 05:55, 10/11/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Для начала у именно RPi нет нормального эзернета. Эзернет там через usb и тормозной что пипец. И поэтому малина будет немного обос... пардон, будет немного тормозить. Хуже чем самый паршивый длинк из соседнего ларька.

    И если уж хочется что-то похожее на роутер - это наверное LaMobo R1 (он же Orange Pi Router и т.п.). Там по крайней мере гигабитный свич прицепленный к нативному гигабиту проца. Еще и SATA бонусом есть. Настоящий (AHCI) а не через usb. Со всеми вытекающими как то линейное чтение винта мегов 90 в секунду.

     
     
  • 3.17, slava (??), 23:48, 10/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    а сколько вам для домашнего интернета мегабит надо?
     
     
  • 4.25, Аноним (-), 17:53, 12/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > а сколько вам для домашнего интернета мегабит надо?

    Прямо сейчас? 75, гванина столько своим эзернетом не прокачает, а тормозить как WL500GP доисторический - это все-таки издевательство над здрвым смыслом. Если уж надо роутинг - вон там в соседней новости 4-ядерные китайцы с нативным эзернетом, от 7 баксов на али. Уж 100Мбит они отроутят только в путь. А у части и гигабит есть, целиком они может и не прожуют но несколько сотен мбит - вполне.

     
     
  • 5.77, PavelR (??), 07:16, 20/01/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Упомянутая соседняя новость про http://www.orangepi.org/orangepipc2/ и http://www.orangepi.org/orangepizero : https://www.opennet.ru/opennews/art.shtml?num=45450

     
  • 3.19, Павел Самсонов (?), 11:12, 11/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Хуже чем самый паршивый длинк из соседнего ларька.

    Ну нет, это не так. Всё таки у DLinka 300 MHz, у малинки 700-1000MHz. Свою сотку сети без VPN она более менее вытягивает. С OpenVPN справляется до 10Mbit/s.

     
     
  • 4.26, Аноним (-), 17:58, 12/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну нет, это не так. Всё таки у DLinka 300 MHz, у малинки 700-1000MHz.

    У длинка зато эзернет нативный и его обслуживание систему не грузит. А фабричные прошивки еще и всякие нат и роутинг делают аппаратно зачастую.

    > Свою сотку сети без VPN она более менее вытягивает.

    Это которая? Третья? А то на первых двух народ выше 30-40Мбит вроде вообще не смог прыгнуть.

    > С OpenVPN справляется до 10Mbit/s.

    Нде, не густо. Особенно если оно 64-битное и 4-ядерное.

     
  • 3.21, qwerasdf (?), 12:18, 11/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Во-первых не Orange Pi Router, a Banana Pi Router (хотя один хрен - allwinner)
    Во-вторых, бридж там сам по себе и в параде не участвует.
     
     
  • 4.34, Аноним (-), 22:08, 13/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Во-первых не Orange Pi Router, a Banana Pi Router (хотя один хрен - allwinner)

    Таки да, банан. Поразвели фрутов - овощи путаются.

    > Во-вторых, бридж там сам по себе и в параде не участвует.

    В смысле? Что за бридж? Свич там прицеплен к процу и его гигабиту и побит вланами на 2 группы, одна - WAN, вторая LAN, а проц входит в обе и поэтому может роутить между WAN и LAN. Можно больше групп сделать - свич конфигурируется процом, инзачально он вообще включается с одной группой и это обеспечивает фокусы в духе некоторых асусовских роутеров.

    Будет ли кто из этого бридж собирать и что в бридж загнать или что там еще сделать - на усмотрение юзеря.

     

  • 1.4, freehck (ok), 12:38, 09/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/

    > Сразу скажу, что в Raspbian Wheezy ядро собрано без опций

    Скажу страшное: пересобери.

    apt-get source на ядро, правишь опции (погрепаешь, где задаются, но отправная точка - debian/rules), dch-ем устанавливаешь новую версию (используй суффикс после текущей дебиан-ревизии) и используешь далее либо debuild, либо pbuilder.

    На выходе получишь deb-пакет, который установишь в систему.

    При каждом апдейте ядра процедуру придётся повторять. Но ты, конечно, можешь просто забить на обновления.

     
     
  • 2.6, Аноним (-), 21:53, 09/11/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >При каждом апдейте ядра процедуру придётся повторять. Но ты, конечно, можешь просто забить на обновления.

    Покуда в один прекрасный момент не обнаружится брешь в сетевой подсистеме ядра. :)

     
     
  • 3.13, тоже Аноним (ok), 09:23, 10/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Страшная брешь, которая позволит при большом китайском желании заДДоСить эту малинку? Ужас, чо.
     
     
  • 4.53, Аноним (-), 21:47, 21/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Не задосить, а несчадно эксплуатировать! Тому, кто примет её за вещь в Интернете.
     
  • 3.16, Аноним (-), 16:31, 10/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Покуда в один прекрасный момент не обнаружится брешь в сетевой подсистеме ядра. :)

    А ты вообще вспомнишь когда это в последний раз было? Желательно в конфигурации более-менее похожей на сабж.

     

  • 1.5, Пользователь Debian (?), 14:07, 09/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как минимум с Jessie в Дебиане есть пакет netfilter-persistent, который сохраняет/загружает правила всех подсистем линуксового файрвола.

    Соответственно, пишем нужные правила, убеждаемся, что всё работает, и делаем

      # netfilter-persistent save

    При загрузке системы правила загрузятся сами.

     
     
  • 2.20, Павел Самсонов (?), 11:13, 11/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Как минимум с Jessie в Дебиане есть пакет netfilter-persistent, который сохраняет/загружает
    > правила всех подсистем линуксового файрвола.
    > Соответственно, пишем нужные правила, убеждаемся, что всё работает, и делаем
    >   # netfilter-persistent save
    > При загрузке системы правила загрузятся сами.

    Спасибо, будем знать, это полезно.

     

  • 1.7, ТТТ (?), 01:14, 10/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    И как скорость? Гигабит хотя бы есть?
     
     
  • 2.11, Аноним (11), 08:26, 10/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > И как скорость? Гигабит хотя бы есть?

    А оно нужно? У меня нет гигабитного интернета :(

     
     
  • 3.14, ТТТ (?), 09:55, 10/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Еще как нужно, локальная сеть не только для раздачи интернета нужна.
     
  • 2.39, fi (ok), 23:25, 15/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > И как скорость? Гигабит хотя бы есть?

    Откуда? у Raspberry врожденный порок сети - 100мбит

    Для гигабита нужно ставить banana R1

     
     
  • 3.46, Аноним (-), 21:03, 18/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    у бананы р1 из-за ограничений soc 300 мегабит - максимум
     
     
  • 4.47, Аноним (-), 09:51, 19/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > у бананы р1 из-за ограничений soc 300 мегабит - максимум

    А как тогда народ с linux sunxi разгоняет пересылку траффа на железках с A20 до 600-700Мбит? Какие такие ограничения у A20 как SoC, собственно?

     

  • 1.8, Аноним (-), 03:22, 10/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Не рутер, а роутер. Учи правописание!
     
     
  • 2.10, Аноним (11), 08:26, 10/11/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Внезапно, но правильно "рутер", "Фокс Молдер", "Дэйна Скалли" :)
     
     
  • 3.12, анонкомм (?), 09:17, 10/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    рутер вавей :)
     
  • 3.60, Аноним (-), 11:34, 27/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    А ещё "двигатель Стёрлинга".
     
  • 2.22, Аноним (-), 19:03, 11/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Правильно - маршрутизатор.
    Но вообще я с вами согласен.
    Рутер это правильная транскрипция слова router, но роутер уже вошло в русский язык. Это русское слово, означающее конкретно маршрутизатор в IP сетях.

     
     
  • 3.27, Аноним (-), 18:06, 12/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Правильно - маршрутизатор.

    ...состоящее из исконно русского слова "марш" и столь же исконно русского "рут" (или вот иногда "роут"). В общем то один фиг заимствованные слова.

     
  • 3.59, Аноним (-), 12:14, 25/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    А еще можно открыть гугл транслейт и узнать, что варианты произношения этого слова следующие:

    ˈ"routər,ˈro͞otər"

    Т.е. оба верные, но более часто используемый вариант - роутер, так как это американское произношение. Те, кто настаивает на втором варианте, явно вынесли из школы нежную любовь к британскому акценту.

     
     
  • 4.69, кверти (ok), 21:26, 04/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Умник, амеры никогда не говорят "роутер", они говорят "раутэ". Послушай хотя бы на ютубе. Нет такого слово "роутер", это дебильная русская транскрипция, как и "бровзер"
     
  • 3.61, Аноним (-), 11:37, 27/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Правильно - маршрутизатор.
    > Но вообще я с вами согласен.
    > Рутер это правильная транскрипция слова router, но роутер уже вошло в русский
    > язык. Это русское слово, означающее конкретно маршрутизатор в IP сетях.

    Не вошло, а было введено "грамотеями". Поэтому как ввели, так и выводим.

     
     
  • 4.79, Василий Алибабаевич (??), 23:16, 11/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Нифига. В русском языке традиционно принята специфическая "латинизированная" (или "германизированная") транскрипция. Это не правило, конечно. Но доктор Уотсон у нас традиционно зовётся Ватсон, и ничего с этим не поделать. ) Потому и "роутер", а не "раутэр" (по-американски), или "рутэ" (по-британски, хотя и это не верно - русскими буквами правильно не записать). Вообще вот тут есть забавное обсуждение, как кто в каких странах произносит это слово: https://english.stackexchange.com/questions/2389/what-is-the-correct-way-to-pr
     

  • 1.15, Влад (??), 14:10, 10/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > сетевая карта с интерфейсом USB

    facepalm

     
     
  • 2.75, яя (?), 18:59, 17/01/2017 [^] [^^] [^^^] [ответить]  
  • +/
    тоже поржал. там мегабит 20 скорость будет максимум )
     

  • 1.23, Аноним (-), 19:08, 11/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Сетевое железо специальных роутеров всегда лучше заточено под работу с пакетами. То есть, накатить опенврт на сохо-роутер будет рациональнее на пару порядков, при меньшей стоимости решения.
    Конфиги не смотрел, подозреваю худшее.
     
     
  • 2.24, ПавелС (ok), 08:48, 12/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Сетевое железо специальных роутеров всегда лучше заточено под работу с пакетами. То
    > есть, накатить опенврт на сохо-роутер будет рациональнее на пару порядков, при
    > меньшей стоимости решения.
    > Конфиги не смотрел, подозреваю худшее.

    Это не так гибко как полнофункциональный Deb. На малинке я так же запускаю squid и dansguardian. К тому же на сохо маршрутизаторе навряд ли вы сотворите анализ логов и всякие сопутствующие задачи. Сохо это все таки кирпич который выполняет функцию, но не полноценная ось. Эта статья не о производительности, ее хватает.

     
  • 2.28, Аноним (-), 18:23, 12/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Не будет openwrt не лезет в дебри пакетной акселерации Потому что специфично д... большой текст свёрнут, показать
     
  • 2.54, Аноним (-), 21:57, 21/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    лол. Рациональнее это что значит? "На пару порядков" это по-твоему во сколько раз?
     

  • 1.30, Анчик (?), 14:46, 13/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    рутер сделали, а примера рутования устройств нет.
     
  • 1.31, Аноним (-), 17:17, 13/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вопрос! Почему практически все одно платные компьютеры делают на arm, но при этом почти все бредовые маршрутизаторы на mips??? Есть у mips в сетевых задачах какой то большой выигрыш?
     
     
  • 2.32, Аноним (-), 20:12, 13/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Цена?
     
  • 2.33, Аноним (-), 22:04, 13/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Вопрос! Почему практически все одно платные компьютеры делают на arm, но при
    > этом почти все бредовые маршрутизаторы на mips??? Есть у mips в
    > сетевых задачах какой то большой выигрыш?

    Наиболее вероятный ответ - так исторически сложилось. Сейчас часть роутеров на ARM бывает.

     
  • 2.35, Аноним (-), 22:53, 13/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Big endian в принципе для сетевых задач немного лучше, т. к. не нужно менять порядок бит при обработке пакетов. Но мипсы как-то в последнее время сдали позиции, последние поколения SoC для роутеров все сплошь на ARM, по крайней мере топовые модели.
     
     
  • 3.36, Stax (ok), 00:25, 15/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Эээ так ARM умеет Big endian. В каком режиме пройдет инициализация, в таком и работают. Не вижу тут препятствий.

    Да и роутеру, в общем, байты нужны только несколько из заголовка - а перевернуть их можно в одну инструкцию (как минимум на ARM и x86, про MIPS не знаю). Те так себе причина.

    Гугл говорит, что MIPS на роутерах использовали из-за продукции Broadcom - они очень популярные, devkit'ы доступны, цена хорошая. А Broadcom'у выгодно было делать MIPS, тк им не нужно было никому платить за лицензии и они завоевали рынок роутеров. По мере того, как смотрят на чипы других производителей, ARM выглядит более привлекательно.

     
     
  • 4.40, _KUL (ok), 15:32, 16/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    А почему все железки (даже одноплатники) хвалёный микротик на mips делает? Там и куалком чипы они паяют.
     
     
  • 5.41, Аноним (-), 02:02, 17/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > А почему все железки (даже одноплатники) хвалёный микротик на mips делает? Там
    > и куалком чипы они паяют.

    У мокротика хороший только маркетинговый булшит. Все остальное - обычные квалкомы как в магазинных мыльницах. К которым они накатали нечто типа опроприетареного по самые небалуйся дебиана. С каким-то самопальным шеллом и кривыми виндовыми утилитами. Но это не мешает стайке wannabe-цисководов которым на циску денег не хватило превозносить эту перепевку мыльниц-роутеров до небес.

    А так - китаец с 4 64-битными ядрами и гигабитом порвет проц микротика в совершенно любой дисциплине Специальной олимпиады.

     

  • 1.37, A (?), 11:09, 15/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Может уже миктротик? )
     
     
  • 2.38, Andrey Mitrofanov (?), 12:53, 15/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Может уже миктротик? )

    Я уже согласен! Высылайте деньги.

     
     
  • 3.44, Аноним (44), 13:24, 18/11/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Микротик стоит сопоставимо или дешевле чем малина, особенно если малину брать не на Али а в РФ в магазинах.
     
     
  • 4.48, Аноним (-), 09:56, 19/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Микротик стоит сопоставимо или дешевле чем малина, особенно если малину брать не
    > на Али а в РФ в магазинах.

    Так у него и проц хилый и оперативы мало. И даже openvpn обкоцаный донельзя. Нафига он такой нужен?

     
     
  • 5.55, Аноним (-), 22:01, 21/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Так у него и проц хилый и оперативы мало. И даже openvpn
    > обкоцаный донельзя. Нафига он такой нужен?

    Ты роутер из-за проца покупаешь? До какого из нельзя, в твоем случае без UDP вообще никак? А ты это как проверял? А ipsec как в дорогой циске ты не осилил?

     
     
  • 6.65, Аноним (-), 11:23, 30/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Я роутеры использую как униваерсальное сетевое суперкомбо Я пользуюсь нормальны... большой текст свёрнут, показать
     
  • 5.63, username (??), 17:06, 28/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    openvpn там разе что без udp, но это не мега проблема в общем, в остальном вполне работает.
    У меня модель с аппаратным ускорением шифрования, не поверишь топит на 600мгрц оч здорово.)
     
     
  • 6.66, Аноним (-), 11:34, 30/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > openvpn там разе что без udp, но это не мега проблема в общем, в остальном вполне работает.

    Ага, только VPN по TCP работает паршиво. Потому что энкапсулировать TCP в TCP плохая идея. при малейшей неидеальности TCP тоннеля начинает перепосылки. TCP сессии внутри тоннеля тоже начинают перепосылки и все становится только хуже. Соединение коллапсирует под лавиной перепосылок, приехавщих в момент когда ситуация и так уже отличалась от идеала.

    > У меня модель с аппаратным ускорением шифрования, не поверишь топит на 600мгрц оч здорово.)

    А китайский 4-ядерник на гигагерц с фигом за 7 баксов может даже какое-нибудь видео с камеры попутно кодировать.

     
  • 2.42, Аноним (-), 02:04, 17/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Может уже миктротик? )

    У большинства микротиков проц слабее чем даже первый Pi. Да и полупроприентарная система под которую софта нет. Даже openvpn нормального нет. Нафига такой роутер надо?

     
     
  • 3.45, ak (??), 13:44, 18/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >Нафига такой роутер надо?

    чтобы поставить на него openwrt :)
    WIFI там нормальный,а не как в RPI

     
     
  • 4.49, Аноним (-), 19:17, 19/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > чтобы поставить на него openwrt :)

    Наверное единственный нормальный вариант.

    > WIFI там нормальный,а не как в RPI

    В любую штуку с usb можно воткнуть какой-нибудь еще usb-свисток, или даже несколько. Это конечно похуже minipci-карточек, но свистки тоже разные бывают.

     
     
  • 5.56, Аноним (-), 22:02, 21/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Для админа локалхоста - безусловно.
     
  • 5.64, username (??), 17:12, 28/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >> чтобы поставить на него openwrt :)
    > Наверное единственный нормальный вариант.
    >> WIFI там нормальный,а не как в RPI
    > В любую штуку с usb можно воткнуть какой-нибудь еще usb-свисток, или даже
    > несколько. Это конечно похуже minipci-карточек, но свистки тоже разные бывают.

    В продаже есть микротики с mini-pcie портами, есть с пустыми и это обычно серьезные модельки для крупных сетей а есть для офисов с занятым портом модулем на 5 wifi, копейки стоит если с прикидками на подобные конфигурации. Вынимаешь оттуда модуль ставишь свой из списка поддерживаемых и вот тебе отличный роутер + модем в одной коробке за смешные деньги и с приличной скоростью.

     
     
  • 6.67, Аноним (-), 11:46, 30/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Конкретно мокротики по железу в массе своей - обычная китаемыльница на стероидах... большой текст свёрнут, показать
     

  • 1.43, ПавелС (ok), 17:19, 17/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Мне честно говоря всё равно, Микротик или Тренднет, хоть ТПлинк. Выполняет функцию и ладно. Одно только раздражающее свойство у всех почти и Микротиков и прчих - ввод правил файервола по IP. Казалось бы iptables позволяет вводить по доменным именам, почему ставить в поля проверку только цифры? Чепез полгода зайдешь на роутер - что это за циферки, ни комментов, ничего :(
     
     
  • 2.50, Аноним (-), 19:20, 19/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    У всей этой полупроприетарщины довольно много раздржающих свойств. Это ты еще тамошний openvpn не видел. А так то винда тоже у кого-то свои функции выполняет. Можно не напрягаться и ходить на мсдн и течнет вместо опеннета, если так рассуждать.
     
     
  • 3.51, ПавелС (ok), 13:12, 20/11/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > У всей этой полупроприетарщины довольно много раздржающих свойств. Это ты еще тамошний
    > openvpn не видел. А так то винда тоже у кого-то свои
    > функции выполняет. Можно не напрягаться и ходить на мсдн и течнет
    > вместо опеннета, если так рассуждать.

    Я хотел сказать что у меня интересы больше академические (извиняюсь за громкое слово). А парней вон продакшены с производительностями интересуют. Я собираю DVD на Debian  и он i386-pae. Даже не заморачиваюсь на x86_64.

     
  • 3.57, Аноним (-), 22:04, 21/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Как-то неубедительно. Напиши список раздржающих свойств.
     
     
  • 4.68, Аноним (-), 11:48, 30/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Как-то неубедительно. Напиши список раздржающих свойств.

    Херовая безопаснось. Проблемы с апдейтами. Мало софта. Искусственные ограничения на ровном месте. У линуха очень мощная сетевая подсистема и невозможность попользоваться ей ПОЛНОСТЬЮ, особенно на РОУТЕРЕ - это форменный фэйспалм.

     

  • 1.52, Аноним (-), 18:22, 21/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Рекомендую более серьёзный подход:
    https://wiki.alpinelinux.org/wiki/Linux_Router_with_VPN_on_a_Raspberry_Pi
     
  • 1.58, аноном (?), 08:24, 22/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Сразу скажу, что в Raspbian Wheezy ядро собрано без опций
    >   CONFIG_NETFILTER_XT_TARGET_TCPMSS=y
    >   CONFIG_NETFILTER_XT_MATCH_TCPMSS=y
    > и будут проблемы с некоторыми сайтами.

    Сказал, как отрезал.

     
     
  • 2.62, Аноним (-), 21:54, 27/11/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    https://habrahabr.ru/post/136871/
     
     
  • 3.70, аноном (?), 00:54, 10/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Это все необходимо в _частных случаях_.
     

  • 1.72, Valik228 (?), 08:04, 20/12/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    вот смотрю-смотрю...
    выходит только я такой умный оказался, что купил за 15 баксов битый планшет на Intel Bay Trail, воткнул туда две сетевухи на USB 3.0, припаял антенну... теперь имею полноценный гигабитный роутер с двумя гигами памяти, вайфаем b/g/n, четырмя ядрами и двумя гигами ОЗУ, 32 emmc, ну и проц со всеми плюшками, вплоть до aes-ni для i2pd...
    ах, да - еще и медиа-центр через hdmi на телек...
    а вы тут х-ней страдаете с этими недо-армами
     
     
  • 2.74, Аноним (-), 14:15, 17/01/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Да просто такая поделка - еще меньшее "решение", чем "решение", описанное в заголовке.

    Битое железо можно поискать, и будет радость, но есть ли смысл об этом в howto писать?

     

  • 1.73, Аноним (-), 09:52, 22/12/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Почти мой конфиг. Только у меня не eth1, а wlan1 (принимаю направленный Wi-Fi на баночную антенну), а в iptables - всего одно правило: максарадинг wlan1.

    Тоже докопался до iptables-restore, тоже добавил его в автозагрузку, тоже настроил dnsmasq на eth0. К нему у меня подключен роутер, но в принципе можно было раздавать через встроенный wlan0.

    А почему у вас так много правил iptables? Что они делают?

    А ещё я создал тему на ЛОРе с обсуждением ИБП для Raspberry Pi: https://www.linux.org.ru/forum/linux-hardware/13069252

     
     
  • 2.76, ПавелС (ok), 21:34, 17/01/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > А почему у вас так много правил iptables? Что они делают?

    Ну мне так надо. Это мой типовой файервол, в принципе на работах очень близко к этому. Он логирует пакеты перед их откидыванием и можно посмотреть анализатором.
    > А ещё я создал тему на ЛОРе с обсуждением ИБП для Raspberry
    > Pi: https://www.linux.org.ru/forum/linux-hardware/13069252

    Я думал про это, но в итоге все таки запитал весь компьютерный уголок через стандартный UPS 1200VA.


     

  • 1.78, Аон (?), 15:26, 09/02/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Что-то, с чем-то, непонятно для чего.
     
  • 1.80, Gilgamesh (?), 20:48, 14/03/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Простите за ламерский вопрос. В статье описан вариант подключения компьютера к WAN через промежуточное звено - Raspberry. А если я хочу подключить компьютер по схема: комп -> роутер по ethernet -> raspberry -> WAN, то проблем же не возникнет?
     
  • 1.81, AlexanderVit (?), 16:58, 25/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Привет, то же хотел бы поделиться пару мыслями по этому поводу. Собирал шлюз на Raspberry Pi 2, в конце 2016 года для дома, включил и забыл, работает до сих пор (август 2018). Даже вроде явно не перезагружаю, единственное, что вначале поставил дешевую внешнюю сетевую плату, которая перегревалась и требовала сброса по питанию где-то два раза в сутки (KY-88772A), пришлось купить более классную плату Ethernet-USB  TP Link U
    E 300, и после этого проблема исчезла. Проект выложил под лицензией MIT, собирал под Yocto Project, если кому интересно могу прислать ссылку по email
     
  • 1.82, AlexanderVit (?), 17:02, 25/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    шлюз работает только на двух сетевых картах: внешняя и внутренняя, крутиться только iptables + shorewall + dhcp сервер
     


     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:




    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру