【無線LAN】OpenWrt/LEDE【強化ファーム】14 [無断転載禁止]©2ch.net
■ このスレッドは過去ログ倉庫に格納されています
サンクス
さっそく見てみたが、それじゃなかった
ヨカッタ― >>144 早速見てみました。
たしかに最新版になっていないパッケージが見受けられました。
公開するサービス(今回はVPN、strongSwan)をルーターに同居させるのは要注意ですね。
ありがとうございました。 >>152
セキュリティをそこまで気にするなら
snapshotを使ったら?…と言いたいところだけど、
安定性と相反するので
完全なubuntuやdebianが動くRasPiあたりにするしかないかと… Raspberry Piシリーズの有線Ethernetは
USB(2.0)接続のUSBハブ+100Mbps Ether複合チップとの接続によるもの
ARMv8 64bitコア搭載の最上位スペックモデル Raspberry Pi 3でもなお
USBは2.0止まり 3.0のポートを搭載していない 確保してあったWRH-300CRBKにLEDEいれてみたけど結構いいね。Flash 16MB/Memory 64MBなのでボチボチ遊べそうだしサイズが小さいのもいい。思ったより本体が熱くなるけど、これは仕方ないかな。 >>105
おるで。
hw_cdc_driver使えばええんやで >> 131 他...
ありがとうございます。
確認してまた進捗あったら報告させていただきます。
返答遅くなってすみませんでした >>131
>なのでHGWを通す場合はRAでもらったアドレスじゃないと使えない
/tmp/map-wan.rule を見るとDHCP-PDでもらったサブネットID1のアドレスが設定
されてしまっているわけですが、これをRAでもらったプレフィクスを使う様にするには
/etc/config/network の設定変更だけではどうにもなりませんか? 私も知りたい。
うちは ひかり電話加入してるので ONUとHGW一体型の PR-S300SE です。
ISP側で「v6プラス」を申し込んだ後にPR-S300SEにアプリとして配信される
「IPv4設定(Setting IPv4)」ページ(http://ntt.setup:8888/t)にアクセスして
IPv4機能を無効にして HGW側でのMAP-Eを解除した上で
HGWの後ろにOpenWrt/LEDEのルータを配置してMAP-Eを有効にしたいと思っています。
今の話ではIPv6のルート広告(RA)で取得したアドレスを使わないと
MAP-Eは有効にできない、という話なので、
ONU一体型のHGWの場合には後ろにおいたルータでは
RAでアドレス取得できないのでMAP-Eは無理ということですかね? >>160
にた様な悩みですね。
そちらのケースで気になるのはHGWでv6プラスを無効にしてるって事ですけど、
HGWでv6プラスを有効にした場合HGWでのv6プラスは動作していますか?
そうであれば、HGW経由では市販のv6プラス対応ルーターでのv6プラスは動作しない
と思います。ISPに聞いたら別物と言われました。
このケースでは実際バッファロールーターで動作していませんでした。
※マップルールの取得が出来ない様です。
※OpenWrt/LEDEのMAP-Eはマップルールの取得をしない(固定)ので
設定次第では接続出きる物と思いますが...
上記と同様の環境で、HGWを経由しない(UNIポート使用)ではOpenWrtでMAP-E動いてましたので。
ちなみに、自分のケースでは、HGWにはv6プラスの拡張はされてない状態なので、
HGW下に繋がったバッファロールーターでv6プラスが動作します。
OpenWrt/LEDEでの状況は上記と同様です。 HGWとOpenWrtの間のパケット見てみました。
まず、RAで/64のプレフィックスが来て、
次にDHCPv6-PDで/60のプレフィックスが来ます、
このとき、IPv6アドレスは2種類持つことになりますが、
/60の方が、/tmp/map-wan.rules に設定されます。
こちらのアドレスが、MAP-E動作に使われると送出はしても
BRの方でおかしいと判断されてしまうのでしょう
/etc/config/network の wan6 で
ip6prefix に RAで受け取った /64 のプレフィックスを書くと
こちらを使用する様になるようですが、それでもなんかおかしいみたいで
今調べてるところです。 原因判明しました。
EALENを設定しても、map.sh にバグがあって
mapcalc に渡していなかったのが原因です。
EALENにどんな値を設定しても、渡してくれないので
計算でEALENが 64 - 31 = 33 になっていました。
以下を修正しました。
proto_map_init_config() {
no_device=1
available=1
proto_config_add_string "rule"
proto_config_add_string "ipaddr"
proto_config_add_int "ip4prefixlen"
proto_config_add_string "ip6prefix"
proto_config_add_int "ip6prefixlen"
proto_config_add_string "peeraddr"
proto_config_add_int "psidlen"
proto_config_add_int "psid"
proto_config_add_int "offset"
+ proto_config_add_int "ealen"
proto_config_add_string "tunlink"
proto_config_add_int "mtu"
proto_config_add_int "ttl"
proto_config_add_string "zone"
} >>161
コメントありがとうございます。
HGWでv6プラスを有効にした場合、HGW経由でIPv4通信できてました
(「IPv4設定(Setting IPv4)」ページ(http://ntt.setup:8888/t)でみると、
IPv4アドレスと割り当てられたポート番号が表示されてました)
ということはやはりPR-S300SEの場合にはLAN側にルータ接続しても無理そうですね
PR-S300SEにはONUとHGWの境界となるUNIポートがあることに今更気が付きました
UNIポートに既に刺さっているHGW→ONUのケーブルを外して、
HUBをつけてルータ用に分岐させてあげればひかり電話を残しつつ
外部ルータでMAP-Eができそうですね OpenWrt Chaos Calmer 15.05.1 proxy2ch-20171003r
http://pc.cd/QVw7
フィード等
http://pc.cd/TWK7 ledeのMLでもdnsmasqの脆弱性について注意喚起がされてます。
http://lists.infradead.org/pipermail/lede-dev/2017-October/009142.html
CVE-2017-14491〜14493については、"Remote code execution"とあるので、
速やかに更新したほうがよさそうです。 ちょっと前に、パッケージのmakefileに脆弱性情報との照応をしやすくするためのRFC
が流れましたが、dnsmasq 一方で、新しいstableのtagが切られました。(v17.01.3)
https://git.lede-project.org/?p=source.git;a=summary >163
検証と対応、乙です
この修正は常に必要になりますかね?
>165
毎度乙です
>166
これ、影響大きそうですね
dnsmasqをDNSフォワーダーとして採用してる製品って結構ありますよねぇ >>170
常に必要と思います。
現状ですとEALENの設定がまったく機能してませんので... 最初、HGW経由の問題を調べていましたが、実はそこはあまり関係なく、
mapcalcが ealen が未定義だと、計算で ealen を設定します。
計算式は、 ealen = pdlen - prefix6len です。
v6プラスで使う場合、
CEが使うプレフィックスが /56 であれば、ealen が 56-31=25 となります。
ですので ealen を設定しなくてもうまく動いてしまいます。
今回HGW経由を試したことで、CEのプレフィックスが/64になったため、
先ほどの計算に当てはめると、ealen が 33 に設定されてしまいます。
/etc/config/networkで ealen に '25' と設定していても無視されます。
修正内容は ealen の設定を読み込んでいなかったのを読み込む様にしただけです。 CVSS v3でスコア9.8ってことは危険度が高いと判断していいのでしょうか?
取りあえず、運用中のルーターのdnsmasqは2.78-1に更新しました。 LEDEで、IPoE+DS-Lite+公開サーバーだけPPPoEってやりたかったけど
あちらを立てればこちらが立たず、
PBRのツール(wwan3とか)もまともに動かず、
もう疲れてRTX1200でやったら超あっさりできた。
ぐぬぬ… ealenの件ですが、最新の安定版は修正されているっぽい
https://git.lede-project.org/?p=source.git;a=commitdiff;h=7a8909411c0453d82211d50d3276e22a13134390 WZR450HPでGwlim氏のSFEパッチ、17.01.3もOKですね。
dnsmasqは2.78-1に更新されてますね。
17.01.2比で速度は変わらない感じ。 おいおい、
lede/openwrtの同好のスレのはずなのに、諸々の英知の情報集積スレになりつつあるな。 良い傾向ですな
ちなみに、QSDKのWXR-2533DHP v1.32 では MAP-E は
/usr/sbin/v6plus_client
というので処理しているみたい。
おそらくBuffalo独自のものかもしれない
GPLソースにも含まれてなかった プロバイダ板のv6プラス関連 Part7 スレの情報
--------
274 名無しさんに接続中… [sage] 2017/10/04(水) 20:58:57.70SLIP:ワッチョイ cb5e-hMWw(2)ID:HkjmljKF0(2)
>>269
> PPPoEは使いません。そのためIPv6接続オプションをつかうこともありません。
バッファロールーターで v6プラスを利用したいのであれば、@nifty の場合は v6プラスではなく、
(v6プラスを利用できる)IPv6接続オプションが開通しないといけません。
対応の HGW がある場合は、Web から v6プラスを申し込むと v6プラスが開通してしまうのでそれができません。
サポートへの連絡などで(v6プラスを利用できる)IPv6接続オプションにしてもらえるのかどうかは不明です。
@nifty に問い合わせてそれはできないと言われたのであれば、「@niftyでは」できないと思ったほうがいいのでしょう。
他のプロバイダではできるところもあります、というかユーザーからの指定ができない方が少数派な気がします。
なお脱線かもしれませんが、@nifty でいうところの v6プラスが開通するとバッファローでの v6プラスを利用でいないのは、マップルール配信を利用できないためです。
マップルール配信サーバーさえ自分で用意すれば、バッファローでの v6プラスを使うことも可能ではあります。(サポートなどはありませんが。)
> メルコルータにはv6+用セキュリティプロキシがある
NDプロキシのことですか?それはセキュリティプロキシなどではありません。
バッファロールーターの場合は、DHCPv6-PD 利用などでルーティングするか NDプロキシかを利用すれば IPv6パケットフィルタ/ファイアウォールが効きます。
ですが、ひかり電話契約なしの回線などでは DHCPv6-PD などでルーティングすることはできないので、消去法で NDプロキシを使うことになります。
HGW はあるということですが、ひかり電話契約は無いのでしょうか?
ひかり電話契約があれば、NDプロキシ不要で、バッファロールーターの IPv6 パケットフィルタを使うこともできますし、HGW の IPv6 パケットフィルタを使うこともできます。
------- >125=163
解説感謝
一連の設定は マップルールの手動設定をしている、という理解で良いんでしょうか
>174
参考までにどんな感じで設定したんでしょ?
>176
報告乙
まだ SFEはマージされてないんですねぇ。惜しい >>178
http://maguro.2ch.sc/test/read.cgi/isp/1489912653/2
の詳細分かりますか? >181
よくわからないけど、
strings で文字列抽出すると
http://ntt.setup:8888
や
httpレスポンスヘッダーが現れるので
何かサーバとhttpでやり取りはするようです >>180
>一連の設定は マップルールの手動設定をしている、という理解で良いんでしょうか
その通りです。
/etc/config/network の wan のところに、v6プラスに接続するためのマップルールを
設定しています。
以下余談:
v6プラスにおいては本来マップルールはマップルール配信サーバーからダウンロード
してくるものですが、そのような仕組みはOpenWrtには無いと思います。(あったら教えて)
なので、どこからか(流出して)入手したマップルールを使っています。
バッファロー等の市販のv6プラス対応ルーターはマップルールをダウンロードしているはずです。 >>183
マップルールはおそらく>181の1行目か2行目で取得すると思います。
OpenWrtにルール取得の実装は多分ないけど、単なるhttpsだし、結構簡単に実装できるはず。 >>174
> IPoE+DS-Lite+公開サーバーだけPPPoEってやりたかったけど
PC Linuxのルータでその構成で運用している
それにプラスしてdynamic IP addrのIPv4 PPPoEもいるが >>185
LEDEも中身はLinuxだし、CLIなりスクリプトなり頑張れば
確実に実現できただろうけど、あまりGUIを外れていじっちゃうと後々面倒かなと思って。
今だってLEDEのVupの度にluci-i18n-jaから何から入れ直しで面倒なのに
それに加えてスクリプトメンテまで必要になってくるなら
もうLEDEじゃなくていいや…と。
まあOS上げなきゃいいんだけど、個人的には常時最新派だからそれも気持ち悪くて。 だったらしゃーない
何かの利便と引きかえに別のところで不便をとる 納得してそうなるならいいんじゃなかろうか カーネル + appsなんだよな
カーネル部分だけ更新できればいいのだが…
とiodataの無線ルーターのファーム見てて思った embeded システムで
共有ライブラリを多用してるからねぇ
dockerみたいなコンテナ技術の上にアプリを動かすようにすればアプリだけの更新も容易になるだろうけど
64MB〜512MB程度のメインメモリだと難しいよねぇ こんなクソ簡単なビルドシステム構築してるプロジェクトなかなか無いぞ
まあそれができなくてもスクリプトでパッケージ入れさせたりしても良いわけだし
ハードル高そうって手をこまぬいてるから全部手動でやるはめになって面倒くさくなるんだよ 自分用.configを作っておいて、カスタマイズしたファームウェアをビルドした方が手っ取り早かったり angibleで構成管理しちゃうとか
あるいは
デフォルト値を自分好みに買えてしまうような
ソースツリーへのパッチを作るとか
gwilm氏のSFEパッチはそういう作りになってるね >>185
参考として聞きたいのですが、
DS-LiteとPPPoEv4の二つのインターネット経路を
どう制御してるのでしょうか?
vrfを作ってルーティングテーブルを二つ持たせてそれぞれの経路向けのIPv4ゲートウェイを作るのかな?
それともip コマンドでPolicy Base Routingを設定するかんじでしょうか? >>30
14chでも11mbpsだったと思うぞ
2mbpsの上限って802.11規格とかじゃないか >>185です
>>193
source または destination のIPアドレスによって振り分ける
ポリシールーティングで実現できています
それに関する設定で使っているのは
ip rule ...
ip route ...
の2種類だけ
一番愚直でシンプルな方法
PPPoE IPv4 固定アドレスのリンクは外界からの接続を受けるWEBサーバ機専用
PPPoE IPv4 非固定アドレスのリンクが2ch.net (いまは5ch.net ?)専用
そうしているのは、DS-Lite経由のtransix.jpのドメインからだと2ch.netが拒否しちゃうため
その他のみなさんはDS-Lite経由 DD-WRTからwebFhashでopenWrt化に失敗するのはなぜ? 機種を明記しないと何とも言えないが、
flashレイアウトがちがうんじゃないの? 機種はWHR-HP-G300N
DD-WRT化はすんなりできた
ハード互換らしい WHR-300HPは
wikiDev情報だとOpen化できるらしいけど
webFlashだと無理だった WHR-300HPのOpen化は公式ファームから無理の意味 >>199
firmware-MULTI.bin はdd-wrt独自ヘッダ (WBR-B11とかブロードコムチップで使われてた形式)
なのでopenwrtのuImage(raw-data)は扱えない
dd-wrtのtelnetから入ってopenwrtのuImageなファームを書き込むしかない >>195
サンクス
ポリシールーティングに関しては
別にOpenWrt/LEDEでできない話ではないと思い始めました
vrf はkernel 4.4以降で実装されたようなので、
LEDE 17.0.2以降でないとダメですね
どなたかLEDEでのvrfを試された方はいらっしゃいますか? >>204
WHR-300HPの公式ファーム1.99から55debugにアクセス
bufpy
otdpopypassword
でログインできませんでした
WHR-300HPは鬼門なんですかね >>207
新しいファームウェアだと入れないのでは?
古いファームウェア(Ver.1.96あたり?)でお試しを >>207
これでも入れとけ
ttp://driver.buffalo.jp/buf-drv/lan/wzr_300hp_jp_186.enc
>>210
戻せる (設定は消えるかもだけどな) まてい
それはWZR-300HP用じゃない?
WHR-300HPに入るの? ミス
ttp://driver.buffalo.jp/buf-drv/lan/whr_300hp_jp_185.enc そういえばOpenWrtのアンケートやってたんだけど、みんな回答した?
ここに書くの忘れてるうちにアンケート期間終わってたわ…
https://lists.openwrt.org/pipermail/openwrt-users/2017-October/004486.html
要望書くところがあったので、WebページをGitHub Pagesに移して
CDNの恩恵を受けられるようにしてくれ、って書いといた。 >215
openwrtlede というリンクページから合流は進行中? URLは単にopenwrtとledeのアンケートだよの意味では LEDE17.01.3でイメージが作られなくなった機種(ar71xxのみ調査)
BUFFALO WHR-G301N
BUFFALO WHR-HP-G300N
BUFFALO WHR-HP-GN
BUFFALO WLAE-AG300N
D-Link DIR-615-i1
D-Link DIR-615-i3
Flash4MB機種の整理かな プロジェクト内の風通しが悪い、といった類の内輪もめ
けど、和解したのか原因となった奴を追い出したのか知らないけど
もちょっとしたら再合流するらしいです GUIがらみだろうな
openwrtの方はWinXPのIE8でかろうじて設定可能(有線は可能だが無線は不可)
LEDEの方は極一部設定が可能だけど他は設定不可(有線の大半が設定不可/無線は全滅)
Chromeは弾かれる >>218
普通に17.01.3でWHR-G301N/WHR-HP-G300N/WHR-HP-GNを
コンパイルして使ってるがな。単純に容量制限を超えてmtd
破壊しないようにフェイルセーフされてるだけよ。少しパッケージ削れば?
ちなみにDD-WRTも7月あたりのSFE入りから上記機種や
WR841N辺りがサイズオーバーで導入できなくなってるけどね。 >>214
WHR-300HPにそのファームを入れ
firmup.htmlにbuypyでログイン後
openwrtリポジトリwhr-hp-g300n用15.05
インストールできました
ステータスのモデル名もwhr-hp-g300nになりました telnetアプデに失敗
電源プラグ挿すとパワーとダイアログ点灯
そのあとうんともすんともいわず
無線もでてないし有線アドレスも振らない
完全に文鎮化したWHR-HP-G300N
TFTPでワンチャンある? >>226
Dumbass, dumbass, dumbass, dumbass...
Scum, scum, scum...
Fat pig, fat pig, fat pig... >>226
TFTPでやってみてよ
初めてならPCと対象の間にHubをかますことを推奨
それでダメなら開腹してシリアルコンソール接続だっ
「完全に文鎮」 とはboot loaderをも吹っ飛ばして
更にJTAG復旧も難しい場合のことを言う あがけ しがみつけ すがれ
「文鎮」と軽々とは口にするべからず >>229
シリアルなら復活できるけど
tftp鯖の用意とuboot(のコマンド)扱えるかだな >>232
フラッシュ領域をいじるfisコマンドの使い方を知りたく、puttyでfisのhelpを出して、
それをコピペのコピーをしたあと、間違ってマウスの右ボタンを押してしまい、
コンソール上でペーストしてしまった。
そのペーストしたヘルプ中に、使い方を示すための、flash全クリアとリブートのコマンドと
改行コードがあり、ヘルプドキュメントがそのままコマンドとして実行され、一瞬で処理が終わった。
あ!と思ったらリブートしてた。ブートローダ含めて全部消えて文鎮になった。
JTAGは試していないから、>>229の一歩手前かな。
いまは1000baseスイッチとして使ってる。 補足。上はあくまでも人的ミスか
普通のファーム焼きで、いろんな機種で他機種のを焼いたり無茶したけど
ブートローダまで飛んだ経験はないね。 bootloader が格納されているチップが
NOR Flash/SPI Flashの場合は安定性が高いようだが
NetGear R7500/R7800みたいな NAND Flash系は安定性が低いように思われる
ざっくり言ってFlash容量 32MB程度まではNOR/SPI
128MB超えるようなのはNAND Flashかな? Wi-Fiを暗号化するWPA2に脆弱性発見 〜対応のあらゆる機器が影響 - PC Watch
http://pc.watch.impress.co.jp/docs/news/1086255.html
何使えばいいんだろうか 日本語では詳細はまだ報道されてないようだけど
AP側だけの対応でどうにかなるものなのかな? プロトコール自体の問題個所を突く脆弱性らしい
先般のBluetooth以上に影響は大きい気がする
そして、Wi-Fi ルータ/アクセスポイントのメーカーにとっては特需
公衆Wi-FiのAPで既にファームウェア更新対象外の製品が使われているところなどウヨウヨあるからね >240
LEDEの対応の早さにびっくりした
米国英語では lede = lead という意味でも使うようなので
まさに業界をリードする存在ですね あれ、今日WZR-HP-AG300HにOpenWrt入れたから遊ぼうと思ってたのに
LEDEはWZR-HP-AG300Hに入るんかな ar71xxは、今カーネル4.4→4.9に移行テスト中だから、試して問題あったら報告してあげたらいいよ >>229
TFTPでwhr_hp_g300n_jp_185.encの流し込みに成功しました
安易に完全な文鎮などと言ってすんませんでした >249
おめ
前にも書いたけど
WHR-HP-G300NやWHR-G301N はオリジナルファームウェアを
TFTPで受け付けてくれるのでホント初心者向けだよ
慣れてきたら WZR-HP系にも挑戦だね!
(こちらはbufpyで事前にファームのバックアップが必要) ■ このスレッドは過去ログ倉庫に格納されています