【無線LAN】OpenWrt/LEDE【強化ファーム】14 [無断転載禁止]©2ch.net
■ このスレッドは過去ログ倉庫に格納されています
>>92 再インストしたらいけました! エスパーレス感謝です >>85 ひかり電話無しです 無しのときは64bitのプレフィックスが配られるとネットにあったのでそう定義しました >>94 ありがとう。うちもひかり電話なしで、 結果としては、option ip6assign '64' の追加で イケました! ただ、ウチの場合、デュアルスタックするなら ledeよりもOpenWrtCCのほうが 速度が出やすい傾向なので、 結局従来の環境に戻してしまいました。 ledeのSFE導入に成功すれば逆転するんでしょうが、 こっちは暖簾に腕押し状態…。 >>96 原因分かったかも余計なパッケージを消せば動く 最初前スレ719の試したけどだめで WZR-HP-G300NH targetでdsliteが依存してるkmod-iptunnel6,kmod-ip6-tunnel,resolveip入れてSFE入りLEDEをビルド&導入 それでもDSliteが開通しないので ip -6 tunnel addを試してみたら何故かコマンドがなかった。こんな表示→ where OBJECT := {link|addr|rule|route} おかしいなってことでパッケージ見比べて片っ端から削除したら動いた 右側の白背景のパッケージを全部削除してwpad-miniを入れ直して、ip-fullを入れた(多分いらない) https://i.imgur.com/BgIe7vP.png kmod-shortcut-fe-cmを入れ忘れたのでまた入れ直したときにもうちょい原因絞って手順を整理する ところでSFEが動いてるか確かめる方法あるのかな?例えばプロセスリストに乗るとか。 色々消してSFEがOFFになったおかげでDS-Liteが開通しただけだったら恥ずかしい SFEに関して、知っている人も多いだろうけれど… https://github.com/lede-project/source/pull/1269 に >Because sfe-cm and fast-classifier are competing modules, It's recommended to keep loaded only one of them. >If both are loaded then in a race condition sfe-cm always comes first. とあるように、kmod-fast-classifierとkmod-shortcut-fe-cmは競合するので注意。 なるほど じゃあmake menuconfigでcmだけ外れてたから入れなかったんだけどそれで正解だったんだね 前スレ>725だと切り替えられるらしいけどその場合はcm、常に動かす場合はfast-classifierって理解でいいんだろうか > FastPath、echo 1 > /sys/sfe_cm/stop で止まる。 > 同0で有効。通信中でも切り替わるみたい。 場合によるみたいです。 gwlim氏( https://github.com/gwlim/mips24k-ar71xx-lede-patch の著者)は https://forum.lede-project.org/t/qualcomm-fast-path-for-lede/4582/276 で、 >you will know all 3 components are required to achieve Gigabit NAT for MIPS74kc AR9344 and above. と言っています。 一方、dissent1氏( https://github.com/lede-project/source/pull/1269 の著者)は https://forum.lede-project.org/t/qualcomm-fast-path-for-lede/4582/294 で、 >For k4.9. You should pick only kmod-fast-classifier under kernel modules - network support in menuconfig. https://forum.lede-project.org/t/qualcomm-fast-path-for-lede/4582/378 で、 >I've made a clean commit to form a pull request. Could you guys test it, I haven't found any problem myself. >You can choose either fast-classifier (recommended) or sfe-cm. Both shouldn't be loaded at once. >If both are loaded then sfe-cm takes the lead and fast-classifier (more advanced) doesn't do anythithing. と言っています。 なので、gwlim氏のパッチを使用する場合は3つ全てをインストール、 dissent1氏のパッチを使用する場合はkmod-fast-classifierを選択するのが無難っぽいです。 何か間違いがあれば指摘をお願いします。 参考情報として、純正 BHR-4GRV2 firmware 1.08(QSDK firmware)の opkg list install の結果を確認すると、 kmod-fast-classifier はpkgとしてインストールされておらず、 lsmodでも moduleとしては動いていないようです。 https://pastebin.com/frEC7ZuR NetGear R7800の純正ファームウェアでも同様ですね https://ja.pastebin.ca/3843133 R7800の場合には lsmod の結果に shortcut_fe_ipv6 が動いてます。 独立したpkgとしては入ってないので、kmod-shortcut-fe のpkgに含まれるのかな 整理すると以下のようになります。 SFE で IPv6 使うなら shortcut_fe_ipv6 モジュールが必要だと思います。 ■BHR-4GRV2 opkg list-installed kmod-qca-ssdk-nohnat - 3.3.8+gb812c10-dirty-1 kmod-shortcut-fe - 3.3.8+gb812c10-dirty-1 kmod-shortcut-fe-cm - 3.3.8+gb812c10-dirty-1 lsmod qca_ssdk 295344 0 shortcut_fe_cm 3340 0 shortcut_fe 49977 1 shortcut_fe_cm ■R7800 opkg list-installed kmod-qca-ssdk-nohnat - 3.4.103-1 kmod-shortcut-fe - 3.4.103-1 kmod-shortcut-fe-drv - 3.4.103-1 lsmod shortcut_fe_drv 7377 1 ecm qca_ssdk 824629 0 shortcut_fe_ipv6 52218 1 shortcut_fe_drv shortcut_fe 50194 1 shortcut_fe_drv SoftbankのWiFiルーター Huawei 502HWをUSBテザリングでOpenWrtルーターのWANとして使ってる人いる? AndroidスマホならRNDISのUSBテザリングでできたんだが、これはcdc ncmとやらで公式ガイド通りやっても上手く行かない… DS-Light が盛り上がってるけど、うちは@niftyなんで map-e なんだよね LEDEでmap-e って誰かやってるのかなぁ https://gist.github.com/anonymous/0fdec75fa20a7f1ce4806391d6b0429b cm入りでビルドしたら>>97 の件はパッケージいじらないでも正常に動いた。申し訳ない ただDS-Liteの通信は全く繋がらなくなったPPPoE-IPv4やIPoE-IPv6は正常 echo 1 > /sys/sfe_cm/stop 後はDS-Lite繋がったからDS-LiteはSFE使えないのかもしれない >>106 前スレで誰かやってたよ >>108 調査お疲れです。なるほどねー、 競合ですか。 ちなみに、ベースとしたledeの リリースは何? こないだsnapshotにDS-liteを 導入するだけでテストしてみたんだが、 OpenwrtCCに比べて、FWかけた際に 速度が落ちる割合が大幅に改善されてた。 SFE的なものなのかatherosのドライバ なのかわかんないけど、 なにかアップデートされてるかもしれない。 >>100 mips74kc ar9433 and above言うてんのに、 ar7千番系でも効果出てるのは何でやろ? >>109 >>108 >OpenwrtCCに比べて、 正確に言うと、 OpenwrtCCや現行リポジトリに比べて、 です。失礼。 >>109 lede-17.01のブランチ (Latest commit 86f0e8b0914ee29e0d283e07e79adfa8318a1bf9 openvpn: add "extra-certs" option) +https://github.com/gwlim/mips24k-ar71xx-lede-patch 省力化したNAT変換をソフトウェアで 行って速度を上げよう、というのが sfeの基本アプローチなんだよね。 NATを完全にAFTR側に代替させる DS-Liteと競合する、というのは、 理屈としてはわかる気がする。 ということは、DMZ的な方法で 回避するやり方もありそう? もう1台、下位にルータが必要になるけど。 ちなみに>>97 で動いたって言ったのはWebインターフェイス(luci)のInterfaces一覧のdslite-wanが RX: 0 B (0 Pkts.) TX: 0 B (0 Pkts.) IPv4: 192.0.0.2/32 こんな感じになってlink-upしたって意味でこのときも>>108 と同様通信はできませんでした >>113 っつかそれやるくらいだったら、 lede機を上位ルータから IPv4をLANで受けるgwにして、 同じLANでIPv6 DS-liteにして戻す 実質アダプタ化のほうが可能性ありそうか…。 そう言えば、WXR-2533DHP のQSDKではshortcut-feは動いてなかったですねぇ https://pastebin.com/BRY4uGFM うちのドコモ光、DS-Liteよりv4のPPPoEの方が速いんだが そんなことあり得るのか…? 下りは両方300Mbpsちょっと。 上りがDS-Liteだと200Mbpsぐらいしか出ない。 LEDEの処理の問題とか? >>110 gwilm氏パッチはコンパイラオプションをいじって mips74k専用に最適化してるからですねぇ mips24kバージョンも公開してますよね >>115 DS-Lite の終端をプロバイダ提供のルーター(HGW)でやって LEDE/OpenWrtはその後ろに置く、ということですよね? で、HGWでPPPoEパススルーを有効にして、 PPPoEv4はLEDE/OpenWrt側で終端させるということですよね? IPv4がマルチホーム構成になりますね >>117 DS-liteもv6プラスもpppoeより遅くなりにくい(混雑が最も問題になっている場所を通らない)のであって必ず速くなるものではないだろ WN-G300DR (シリアルのpass: sn2450) # cat /proc/cpuinfo system type : Ralink SoC processor : 0 cpu model : MIPS 24K V4.12 BogoMIPS : 255.48 (略) # cat /proc/mtd dev: size erasesize name mtd0: 00020000 00010000 "Bootloader" mtd1: 00010000 00010000 "backup" mtd2: 00010000 00010000 "Config " mtd3: 00010000 00010000 "Factory" mtd4: 000b0000 00010000 "Kernel" mtd5: 002b0000 00010000 "app" mtd6: 00040000 00010000 "manufacture" mtd7: 00010000 00002000 "storage" # df Filesystem 1k-blocks Used Available Use% Mounted on /dev/mtdblock7 64 28 36 44% /storage /dev/loop0 1344 1344 0 100% /apps >>113 > NATを完全にAFTR側に代替させる > DS-Liteと競合する、というのは、 PC LinuxのルータでDS-Liteを使っておる者です DS-Liteの接続手段・技術は単にip6tnl (IPv4 over IPv6 tunneling)であり ip6tnl1 というように現れるインターフェースとして区別できるから NAPT(MASQUERADE)の対象として明示的に指定しなければNAPTされない ..ので競合するものではないです 無関係 ありとあらゆるユースケース・接続構成に対応させるのは大変だと思うので 何でも可、ではなく何か制約がかかっているのかも sfeの実装がIPv4 <=> IPv6のトンネルI/Fにも対応する実装になっていない可能性があるんでは? WN-G300R KernelApp/Ramdisk Ver:1.14.000.73 Date:2016/09/21 password: <lin17と入れた> BusyBox v1.7.5 (2016-09-21 11:11:15 CST) built-in shell (ash) Enter 'help' for a list of built-in commands. # cat /proc/cpuinfo system type : Atheros AR934x processor : 0 cpu model : MIPS 74Kc V4.12 BogoMIPS : 267.26 CPUClock : 535 (略) # cat /proc/mtd dev: size erasesize name mtd0: 00400000 00010000 "ALL" mtd1: 00030000 00010000 "Bootloader" mtd2: 00010000 00010000 "Config" mtd3: 00340000 00010000 "Kernel" mtd4: 00210000 00010000 "apps" mtd5: 00010000 00010000 "manufacture" mtd6: 00010000 00010000 "backup" mtd7: 00050000 00010000 "storage" mtd8: 00010000 00010000 "caldata" # df Filesystem 1k-blocks Used Available Use% Mounted on /dev/mtdblock7 320 196 124 61% /storage /dev/mtdblock4 1920 1920 0 100% /apps /dev/loop0 512 512 0 100% /appscore /dev/loop1 512 512 0 100% /appscore IPv6で相談させてください。 v4 PPPoEで使っていたところ、新たにIPoE+DS-Liteを設定してみました。 v6はIPoE、 v4はDS-Liteで繋ぐと不通に使える(v6もv4も外にPingが通る)んですが、 v6はIPoEのまま、v4はDS-Liteを切断して元のv4 PPPoEを繋ぐと、 v4はPPPoE経由でいいとして、なぜかv6の外向けPingは通らなくなります。 IPoEは繋がったままなのに、何故でしょうか。 OpenWrt(CC) / LEDE どちらもなんですけども、 ひかり電話でHGWを経由せずにMAP-E接続は出来た物の、 HGW(v6プラス無効)を経由するとどうも上手くいかないのですが、 成功した人居ますか? DHCPv6-PDでHGWから降りてきたPrefix(/60)だとどうもダメで。 ヒントでもあれば... どうダメか書いてなかった... IPoE は正常に動いてて、IPv6通信は問題なく行えてます。 MAP-Eに関しては、BRまではトンネリングされたパケット送ってるのだけど、 BR(またはその先)から応答がまったく帰ってこない状況です。 多分、v4アドレスをマップしたv6アドレスがおかしいのかもだけど... ちょっと今使ってる無線ルーターに不満があって ポート変換とかDMZ設定するだけで不安定になる それでこのスレに辿り着いたのだけど OpenWrtで安定動作しそうなのってどう探せばいいのかな ヤフオクあたりで安く買えるルーターならなおいいんだけど >>124 ping6のときの相手ノードをDNS引きしているならそのDNS引きをv4 or v6どちらで引いているのか v4で引いているなら、v4でDNS引きしにいくときの経路が通っているのか エロいけど偉くはないしエスパーでもないので思いつくのはそれぐらい >>124 IPv6は設定変更したら 端末の再起動しないかぎり変な事になる >>125 ISPどこよ? >>125 MAP-Eでは自分側に特定のIPv6アドレスを設定しないといけない そのアドレスはサブネットIDが0の範囲に含まれる サブネットID0はHGWが使ってるからDHCPv6-PDで払い出されるプレフィックスは他の部分になる なのでHGWを通す場合はRAでもらったアドレスじゃないと使えない 遊びで入れるためにルータ買うとしたら 今なら何がオススメ? 昔BHR-4RVを数百円で買って文鎮化させたことある >>133 その機種は英語のファーム入れてUSにすれば禁断の149chが使えるよ DFSなんてないし近所とはch被らない 数百円のモノだから適当に相手をして文鎮化してしまったのです もっと高いオカネを払って買えばちゃんと調べながら慎重に作業することでしょう Archer C7やR7800あたりの11ac搭載の新品を買いなされ >>133 WZR-HP-AG300H メーカー希望小売価格(税別):\10,600 発売日:2010年 7月上旬 尼で中古¥ 2,474 >>135 Archer C7 メーカー希望小売価格:\― 登録日:2016年 4月26日 新品最安\8,380 Nighthawk X4S R7800-100JPS メーカー希望小売価格:オープン 発売日:2017年 4月20日 新品最安\19,059 (; ´Д`)…お前らありがとう ハイグレードなマシンばっかやないか 俺ならそんな高価なマシン買ったら公式ファーム更新すらビビるなあ 文鎮化させたのは実はOpenWrt直接関係なくて OpenWrt落として入れる直前に まず公式のファームをアップさせてみっか、と気軽に思っちゃったのが失敗 その手順の途中で何故かフリーズし 1時間放置しても次に進まなかったので電源切ったら文鎮いっちょあがり! 今後はWZR-HP-AG300Hの中古価格の値下がり待ってみる!! ちなみに>>5 のバッファローの価格を尼でチロチロっと調べてみた WHR-300HP2 ¥ 4,580新品(13 出品) ¥ 1,200中古品(18 出品) BHR-4GRV2 ¥ 4,495新品(36 出品) ¥ 2,914中古品(10 出品) WZR-600DHP ¥ 7,300新品(33 出品) ¥ 2,212中古品(10 出品) WZR-HP-AG300H ¥ 2,450中古品(21 出品) WZR-300HP ¥ 13,800新品(1 出品) ¥ 2,400中古品(8 出品) WHR-G301N ¥ 6,780新品(12 出品) ¥ 1,028中古品(28 出品) WHR-G300N ¥ 6,750新品(7 出品) ¥ 1,350中古品(13 出品) そこでTP-Link TL-WR841Nですよ ファームに若干バグがあるけど… LEDE 17.0.2を勉強中です。 パッケージのアップデートを日次で自動化したいのですが、 okpg list-upgradableの結果をもとに個別にupdgradeするのが定石なのでしょうか? まとめてアップグレードするコマンドが見つけられませんでした。よろしくお願いします。 >>138 TP-Link WIFI 無線LAN ルーター 11n/g/b 300Mbps TL-WR841N(利用推奨環境4人・3LDK・2階建) TP-LINK ¥ 2,020プライム 明日中にお届け こちらからもご購入いただけます ¥ 2,020新品(2 出品) 5つ星のうち 4.3 243 新品で安いししかも定評がある! こーいうのいいね >>139 自己レス。こんなかんじで試しています。17.01.2です。 opkg list-upgradable | cut -f1 -d ' ' | xargs opkg upgrade 例えばdebianと比べて、同じぐらいの頻度でセキュリティパッチが適用されていると思っていいのでしょうか? >>140 WR841Nは目的があって買うならいいけどROM4MBが足かせになってしまう。 SFE入れるのも手間なくらい狭い。最近のV13からは石が違うし進められない。 最低限8MB以上でGbE装備のものにしたほうが遊べるよ。 WHR-G301N x2 WZR-300HP x1 WHR-300HP2 x2 各500円で購入 openwrt入れても無意味なのは WHR-G300N / WHR-G301Nだな フラッシュ容量 4MBなのでほぼ何もできない (追加不可) >139 OpenWrt/LEDEの stable ではpkgはめったに更新ないですよ サイトのpackagesディレクトリindexを表示して 更新日時をみてみるとよろし >136 WZR-HP-AG300Hはハードオフとかで1000円くらいで出てることもあるけどねぇ 同時期のH/Wの中ではスペックが高く、 事例多数で安定していて鉄板と称されたこともあるので 中古価格が多少高くても初めてチャレンジするならこちらをオススメしますよ 「WZR-600DHP」がリネーム品だからそちらでも良いですよ (なおWZR-600DHP2以降は初めてならやめた方がいい) >140 TL-WR841Nはリビジョンによって中身が異なるので要注意かと https://wiki.openwrt.org/toh/tp-link/tl-wr841nd ここを見る限り、メモリ・flash的にはv13以降でないとオススメできない WiFiに関しては LEDE stable でサポートしてないみたいですけどね 今後に期待して茨の道を歩む覚悟があれば止めないけど 初めてにはオススメできませんなぁ 中古で500円以下で入手できるなら、という条件付きだけど、 インストールから初期設定のさわりだけを体感する、初期入門用に WHR-G301N(海外名:WHR-G300N v2) も悪くはない。 Flashが少なくて、追加パッケージをインストール出来ないので 応用がほとんどできないけど、 オリジナルファームウェアをTFTPを使って復旧させられるので 何度でもやり直しが効くので色々無理が効く >>142 あー!そうか、そういう観点が大事だよね いざ遊ぼうとして苦しむのはやだな >>143 > 500円 いいなぁ! >>145 > 事例多数で安定していて鉄板と称されたこともあるので なるほどなるほど!! そーいう鉄板機大好き >>146 確かに500円で買ったら入れるだけで満足できそう >143に書き忘れ DWR-HP-G300NH (ハードはWZR-HP-G300NHと同じだが fwは↓と同じくデータカード対応) WZR-HP-G302H x2 各500円 >146 WHR-G301Nは(WHR-G300N v2の)英語ファーム入れればイサコンとして使えるし D-linkのファーム入れれば DHCPv6-PD対応ルーターになる 残念なことにハズレACアダプタ(12V 1A)が紛れ込んでる >>148 そのハズレかどうかって何かでわかるの? 最近ドフで301N買ったわ LEI (LEADER ELECTRONICS INC.) MODEL NO. MU12-G120100-A1 ってやつがハズレ MU12-G120100-A1で画像検索すれば出てくる サンクス さっそく見てみたが、それじゃなかった ヨカッタ― >>144 早速見てみました。 たしかに最新版になっていないパッケージが見受けられました。 公開するサービス(今回はVPN、strongSwan)をルーターに同居させるのは要注意ですね。 ありがとうございました。 >>152 セキュリティをそこまで気にするなら snapshotを使ったら?…と言いたいところだけど、 安定性と相反するので 完全なubuntuやdebianが動くRasPiあたりにするしかないかと… Raspberry Piシリーズの有線Ethernetは USB(2.0)接続のUSBハブ+100Mbps Ether複合チップとの接続によるもの ARMv8 64bitコア搭載の最上位スペックモデル Raspberry Pi 3でもなお USBは2.0止まり 3.0のポートを搭載していない 確保してあったWRH-300CRBKにLEDEいれてみたけど結構いいね。Flash 16MB/Memory 64MBなのでボチボチ遊べそうだしサイズが小さいのもいい。思ったより本体が熱くなるけど、これは仕方ないかな。 >>105 おるで。 hw_cdc_driver使えばええんやで >> 131 他... ありがとうございます。 確認してまた進捗あったら報告させていただきます。 返答遅くなってすみませんでした >>131 >なのでHGWを通す場合はRAでもらったアドレスじゃないと使えない /tmp/map-wan.rule を見るとDHCP-PDでもらったサブネットID1のアドレスが設定 されてしまっているわけですが、これをRAでもらったプレフィクスを使う様にするには /etc/config/network の設定変更だけではどうにもなりませんか? 私も知りたい。 うちは ひかり電話加入してるので ONUとHGW一体型の PR-S300SE です。 ISP側で「v6プラス」を申し込んだ後にPR-S300SEにアプリとして配信される 「IPv4設定(Setting IPv4)」ページ(http://ntt.setup:8888/t )にアクセスして IPv4機能を無効にして HGW側でのMAP-Eを解除した上で HGWの後ろにOpenWrt/LEDEのルータを配置してMAP-Eを有効にしたいと思っています。 今の話ではIPv6のルート広告(RA)で取得したアドレスを使わないと MAP-Eは有効にできない、という話なので、 ONU一体型のHGWの場合には後ろにおいたルータでは RAでアドレス取得できないのでMAP-Eは無理ということですかね? >>160 にた様な悩みですね。 そちらのケースで気になるのはHGWでv6プラスを無効にしてるって事ですけど、 HGWでv6プラスを有効にした場合HGWでのv6プラスは動作していますか? そうであれば、HGW経由では市販のv6プラス対応ルーターでのv6プラスは動作しない と思います。ISPに聞いたら別物と言われました。 このケースでは実際バッファロールーターで動作していませんでした。 ※マップルールの取得が出来ない様です。 ※OpenWrt/LEDEのMAP-Eはマップルールの取得をしない(固定)ので 設定次第では接続出きる物と思いますが... 上記と同様の環境で、HGWを経由しない(UNIポート使用)ではOpenWrtでMAP-E動いてましたので。 ちなみに、自分のケースでは、HGWにはv6プラスの拡張はされてない状態なので、 HGW下に繋がったバッファロールーターでv6プラスが動作します。 OpenWrt/LEDEでの状況は上記と同様です。 HGWとOpenWrtの間のパケット見てみました。 まず、RAで/64のプレフィックスが来て、 次にDHCPv6-PDで/60のプレフィックスが来ます、 このとき、IPv6アドレスは2種類持つことになりますが、 /60の方が、/tmp/map-wan.rules に設定されます。 こちらのアドレスが、MAP-E動作に使われると送出はしても BRの方でおかしいと判断されてしまうのでしょう /etc/config/network の wan6 で ip6prefix に RAで受け取った /64 のプレフィックスを書くと こちらを使用する様になるようですが、それでもなんかおかしいみたいで 今調べてるところです。 原因判明しました。 EALENを設定しても、map.sh にバグがあって mapcalc に渡していなかったのが原因です。 EALENにどんな値を設定しても、渡してくれないので 計算でEALENが 64 - 31 = 33 になっていました。 以下を修正しました。 proto_map_init_config() { no_device=1 available=1 proto_config_add_string "rule" proto_config_add_string "ipaddr" proto_config_add_int "ip4prefixlen" proto_config_add_string "ip6prefix" proto_config_add_int "ip6prefixlen" proto_config_add_string "peeraddr" proto_config_add_int "psidlen" proto_config_add_int "psid" proto_config_add_int "offset" + proto_config_add_int "ealen" proto_config_add_string "tunlink" proto_config_add_int "mtu" proto_config_add_int "ttl" proto_config_add_string "zone" } >>161 コメントありがとうございます。 HGWでv6プラスを有効にした場合、HGW経由でIPv4通信できてました (「IPv4設定(Setting IPv4)」ページ(http://ntt.setup:8888/t )でみると、 IPv4アドレスと割り当てられたポート番号が表示されてました) ということはやはりPR-S300SEの場合にはLAN側にルータ接続しても無理そうですね PR-S300SEにはONUとHGWの境界となるUNIポートがあることに今更気が付きました UNIポートに既に刺さっているHGW→ONUのケーブルを外して、 HUBをつけてルータ用に分岐させてあげればひかり電話を残しつつ 外部ルータでMAP-Eができそうですね OpenWrt Chaos Calmer 15.05.1 proxy2ch-20171003r http://pc.cd/QVw7 フィード等 http://pc.cd/TWK7 ledeのMLでもdnsmasqの脆弱性について注意喚起がされてます。 http://lists.infradead.org/pipermail/lede-dev/2017-October/009142.html CVE-2017-14491〜14493については、"Remote code execution"とあるので、 速やかに更新したほうがよさそうです。 ちょっと前に、パッケージのmakefileに脆弱性情報との照応をしやすくするためのRFC が流れましたが、dnsmasq 一方で、新しいstableのtagが切られました。(v17.01.3) https://git.lede-project.org/?p=source.git ;a=summary >163 検証と対応、乙です この修正は常に必要になりますかね? >165 毎度乙です >166 これ、影響大きそうですね dnsmasqをDNSフォワーダーとして採用してる製品って結構ありますよねぇ >>170 常に必要と思います。 現状ですとEALENの設定がまったく機能してませんので... 最初、HGW経由の問題を調べていましたが、実はそこはあまり関係なく、 mapcalcが ealen が未定義だと、計算で ealen を設定します。 計算式は、 ealen = pdlen - prefix6len です。 v6プラスで使う場合、 CEが使うプレフィックスが /56 であれば、ealen が 56-31=25 となります。 ですので ealen を設定しなくてもうまく動いてしまいます。 今回HGW経由を試したことで、CEのプレフィックスが/64になったため、 先ほどの計算に当てはめると、ealen が 33 に設定されてしまいます。 /etc/config/networkで ealen に '25' と設定していても無視されます。 修正内容は ealen の設定を読み込んでいなかったのを読み込む様にしただけです。 CVSS v3でスコア9.8ってことは危険度が高いと判断していいのでしょうか? 取りあえず、運用中のルーターのdnsmasqは2.78-1に更新しました。 LEDEで、IPoE+DS-Lite+公開サーバーだけPPPoEってやりたかったけど あちらを立てればこちらが立たず、 PBRのツール(wwan3とか)もまともに動かず、 もう疲れてRTX1200でやったら超あっさりできた。 ぐぬぬ… ealenの件ですが、最新の安定版は修正されているっぽい https://git.lede-project.org/?p=source.git ;a=commitdiff;h=7a8909411c0453d82211d50d3276e22a13134390 WZR450HPでGwlim氏のSFEパッチ、17.01.3もOKですね。 dnsmasqは2.78-1に更新されてますね。 17.01.2比で速度は変わらない感じ。 おいおい、 lede/openwrtの同好のスレのはずなのに、諸々の英知の情報集積スレになりつつあるな。 良い傾向ですな ちなみに、QSDKのWXR-2533DHP v1.32 では MAP-E は /usr/sbin/v6plus_client というので処理しているみたい。 おそらくBuffalo独自のものかもしれない GPLソースにも含まれてなかった プロバイダ板のv6プラス関連 Part7 スレの情報 -------- 274 名無しさんに接続中… [sage] 2017/10/04(水) 20:58:57.70SLIP:ワッチョイ cb5e-hMWw(2)ID:HkjmljKF0(2) >>269 > PPPoEは使いません。そのためIPv6接続オプションをつかうこともありません。 バッファロールーターで v6プラスを利用したいのであれば、@nifty の場合は v6プラスではなく、 (v6プラスを利用できる)IPv6接続オプションが開通しないといけません。 対応の HGW がある場合は、Web から v6プラスを申し込むと v6プラスが開通してしまうのでそれができません。 サポートへの連絡などで(v6プラスを利用できる)IPv6接続オプションにしてもらえるのかどうかは不明です。 @nifty に問い合わせてそれはできないと言われたのであれば、「@niftyでは」できないと思ったほうがいいのでしょう。 他のプロバイダではできるところもあります、というかユーザーからの指定ができない方が少数派な気がします。 なお脱線かもしれませんが、@nifty でいうところの v6プラスが開通するとバッファローでの v6プラスを利用でいないのは、マップルール配信を利用できないためです。 マップルール配信サーバーさえ自分で用意すれば、バッファローでの v6プラスを使うことも可能ではあります。(サポートなどはありませんが。) > メルコルータにはv6+用セキュリティプロキシがある NDプロキシのことですか?それはセキュリティプロキシなどではありません。 バッファロールーターの場合は、DHCPv6-PD 利用などでルーティングするか NDプロキシかを利用すれば IPv6パケットフィルタ/ファイアウォールが効きます。 ですが、ひかり電話契約なしの回線などでは DHCPv6-PD などでルーティングすることはできないので、消去法で NDプロキシを使うことになります。 HGW はあるということですが、ひかり電話契約は無いのでしょうか? ひかり電話契約があれば、NDプロキシ不要で、バッファロールーターの IPv6 パケットフィルタを使うこともできますし、HGW の IPv6 パケットフィルタを使うこともできます。 ------- >125=163 解説感謝 一連の設定は マップルールの手動設定をしている、という理解で良いんでしょうか >174 参考までにどんな感じで設定したんでしょ? >176 報告乙 まだ SFEはマージされてないんですねぇ。惜しい >>178 http://maguro.2ch. sc/test/read.cgi/isp/1489912653/2 の詳細分かりますか? >181 よくわからないけど、 strings で文字列抽出すると http://ntt.setup:8888 や httpレスポンスヘッダーが現れるので 何かサーバとhttpでやり取りはするようです >>180 >一連の設定は マップルールの手動設定をしている、という理解で良いんでしょうか その通りです。 /etc/config/network の wan のところに、v6プラスに接続するためのマップルールを 設定しています。 以下余談: v6プラスにおいては本来マップルールはマップルール配信サーバーからダウンロード してくるものですが、そのような仕組みはOpenWrtには無いと思います。(あったら教えて) なので、どこからか(流出して)入手したマップルールを使っています。 バッファロー等の市販のv6プラス対応ルーターはマップルールをダウンロードしているはずです。 >>183 マップルールはおそらく>181の1行目か2行目で取得すると思います。 OpenWrtにルール取得の実装は多分ないけど、単なるhttpsだし、結構簡単に実装できるはず。 >>174 > IPoE+DS-Lite+公開サーバーだけPPPoEってやりたかったけど PC Linuxのルータでその構成で運用している それにプラスしてdynamic IP addrのIPv4 PPPoEもいるが >>185 LEDEも中身はLinuxだし、CLIなりスクリプトなり頑張れば 確実に実現できただろうけど、あまりGUIを外れていじっちゃうと後々面倒かなと思って。 今だってLEDEのVupの度にluci-i18n-jaから何から入れ直しで面倒なのに それに加えてスクリプトメンテまで必要になってくるなら もうLEDEじゃなくていいや…と。 まあOS上げなきゃいいんだけど、個人的には常時最新派だからそれも気持ち悪くて。 だったらしゃーない 何かの利便と引きかえに別のところで不便をとる 納得してそうなるならいいんじゃなかろうか カーネル + appsなんだよな カーネル部分だけ更新できればいいのだが… とiodataの無線ルーターのファーム見てて思った embeded システムで 共有ライブラリを多用してるからねぇ dockerみたいなコンテナ技術の上にアプリを動かすようにすればアプリだけの更新も容易になるだろうけど 64MB〜512MB程度のメインメモリだと難しいよねぇ こんなクソ簡単なビルドシステム構築してるプロジェクトなかなか無いぞ まあそれができなくてもスクリプトでパッケージ入れさせたりしても良いわけだし ハードル高そうって手をこまぬいてるから全部手動でやるはめになって面倒くさくなるんだよ 自分用.configを作っておいて、カスタマイズしたファームウェアをビルドした方が手っ取り早かったり angibleで構成管理しちゃうとか あるいは デフォルト値を自分好みに買えてしまうような ソースツリーへのパッチを作るとか gwilm氏のSFEパッチはそういう作りになってるね >>185 参考として聞きたいのですが、 DS-LiteとPPPoEv4の二つのインターネット経路を どう制御してるのでしょうか? vrfを作ってルーティングテーブルを二つ持たせてそれぞれの経路向けのIPv4ゲートウェイを作るのかな? それともip コマンドでPolicy Base Routingを設定するかんじでしょうか? ■ このスレッドは過去ログ倉庫に格納されています
read.cgi ver 07.5.5 2024/06/08 Walang Kapalit ★ | Donguri System Team 5ちゃんねる