Forum Turris
Fórum Turris Nápověda

Milí majitelé routerů Turris,

toto fórum bylo 9. 12. 2016 zmrazeno a nahrazeno naším novým Turris fórem. Ještě chvíli bude dostupné k prohlížení, ale již zde není možné přispívat. Více informací naleznete v oznámení o uzavření fóra.

Dear Turris routers users,

this forum has been frozen on Dec 9th, 2016 and replaced by our new Turris forum. It will be read-only accessible for some time after. For more information, read the announcement about closing the forum.

Nahoru Téma Majitelé routerů / Technická podpora / Problem v odesílání dat.
- - Od araman Dne 2015-04-02 13:03
Zdravim .
Kontroloval jsem jak plním plán (a podmínky turrisu) a  zjistil jsem že mi posledních pár dní neodchází data firewallu. Statistika a anomalie běží jak mají.

Co mám zkontrolovat, aby router fungoval jak má ? Resp co se mohlo poškodit/vypnout?  co je třeba aby běželo ke správné funkci?

dik za pomoc a info
Nadřazený - Od fojtp Dne 2015-04-02 15:26
sem na tom asi podobne - pri prepnuti na tydenni graf u "Pakety zachycené firewallem" je tam toho malo..
- - Od horada (>) Dne 2015-06-09 12:10
Dobrý den,
po dnešní aktualizaci jsem chtěl vyzkoušet odesílání dat na stránce https://ROUTER/config/about/. Odesílání dat z uCollectu funguje správně, ale odesílání firewallových záznamů hlásí chybu. Před tím tam bylo myslím Offline teď to hlásí "Neznámý stav (???)".
Je to něco, čím bych se měl znepokojovat, nebo to mám nechat nějaký čas usadit a ono se to rozeběhne?

Děkuji.
Daniel
Nadřazený - - Od horada (>) Dne 2015-06-09 12:44
Byl jsem zdá se trochu netrpělivý, už se zdá že je to ok... stačilo tedy jenom počkat.
Nadřazený - - Od Štěpán Henek Dne 2015-06-09 13:18
Dobrý den,

to zjištění stavu firewallu probíhá vždy, když se data z firewallu odesílají k nám na server.
V současné době to probíhá jednou za čtvrt hodiny.
Takže do čtvrt hodiny po startu routeru by mělo být jasno.
Nadřazený - - Od NONES (>>>) Dne 2015-06-09 17:14
Bohužel, mám stejný problém, ale u mne se to "samo" časem nespravilo. Uptime routeru mám 30 min. a stále mi to hlásí "Odesílání dat z uCollectu - ONLINE" a "Odesílání firewallových záznamů - Neznámý stav (???)".

Co s tím mám dělat? Je v tom nějaký problém? Mohu to takhle nechat?

Díky za rady a pomoc.
Nadřazený - Od Drx001 Dne 2015-06-09 19:02 Upraveno 2015-06-09 19:20
Mám také stejný problém. V logu žádné (mně srozumitelné) anomálie nevidím. Netuším, jestli data odcházejí a je chyba v tém testu, nebo jestli opravdu nic z firewallu neodchází. Každopádně se to na chvíli po jednom z restartů rozběhlo, ale cca po hodině to opět začalo hlásit chybu. Stav odesílání firewallových záznamů mám "Nefunkční".

Ve složce /tmp se po restartu vytvoří soubor firewall-turris-status.txt, který obsahuje následující:

turris firewall working: no
last working time:
last working timestamp:

To už mě pravda trošku znervózňuje.
Nadřazený - - Od Štěpán Henek Dne 2015-06-10 07:42
Podle záznamů z fw logů to vypadá, že je vše v pořádku.
Co máte v /tmp/firewall-turris-status.txt ?
Je možné, že se nějak rozbil ten indikátor...
Nadřazený - - Od Drx001 Dne 2015-06-10 07:53 Upraveno 2015-06-10 08:02
Já tam teď momentálně mám tohle:

turris firewall working: no
last working time: 2015-06-10 08:15:55+0200
last working timestamp: 1433916955

Ještě jsem si při restartu firewallu všimnul následujících hlášek, jestli to nějak souvisí nebo je to problém, naprosto netuším:

* Populating IPv6 nat table
   * Zone 'lan'
Warning: fw3_ipt_rule_append(): Can't find target 'prerouting_lan_rule'
Warning: fw3_ipt_rule_append(): Can't find target 'postrouting_lan_rule'
   * Zone 'wan'
Warning: fw3_ipt_rule_append(): Can't find target 'prerouting_wan_rule'
Warning: fw3_ipt_rule_append(): Can't find target 'postrouting_wan_rule'
Warning: fw3_ipt_rule_append(): Can't find target 'delegate_prerouting'
Warning: fw3_ipt_rule_append(): Can't find target 'delegate_postrouting'
Warning: fw3_ipt_rule_append(): Can't find target 'prerouting_rule'
Warning: fw3_ipt_rule_append(): Can't find target 'postrouting_rule'

sysctl: error: 'net.netfilter.nf_conntrack_skip_filter' is an unknown key
* Running script '/etc/firewall.d/with_reload/firewall.include.sh'
iptables v1.4.21: Couldn't load target `ucollect_fake':No such file or directory

Try `iptables -h' or 'iptables --help' for more information.
iptables: No chain/target/match by that name.
iptables: No chain/target/match by that name.
iptables v1.4.21: Couldn't load target `ucollect_fake':No such file or directory

Try `iptables -h' or 'iptables --help' for more information.
iptables: No chain/target/match by that name.
iptables: No chain/target/match by that name.
iptables v1.4.21: Couldn't load target `ucollect_fake':No such file or directory

Try `iptables -h' or 'iptables --help' for more information.
iptables: No chain/target/match by that name.
iptables: No chain/target/match by that name.
iptables v1.4.21: Couldn't load target `ucollect_fake_accept':No such file or directory

Try `iptables -h' or 'iptables --help' for more information.
iptables: No chain/target/match by that name.
iptables: No chain/target/match by that name.
ip6tables v1.4.21: Couldn't load target `ucollect_fake':No such file or directory

Try `ip6tables -h' or 'ip6tables --help' for more information.
ip6tables: No chain/target/match by that name.
ip6tables: No chain/target/match by that name.
ip6tables v1.4.21: Couldn't load target `ucollect_fake':No such file or directory

Try `ip6tables -h' or 'ip6tables --help' for more information.
ip6tables: No chain/target/match by that name.
ip6tables: No chain/target/match by that name.
ip6tables v1.4.21: Couldn't load target `ucollect_fake':No such file or directory

Try `ip6tables -h' or 'ip6tables --help' for more information.
ip6tables: No chain/target/match by that name.
ip6tables: No chain/target/match by that name.
ip6tables v1.4.21: Couldn't load target `ucollect_fake_accept':No such file or directory

Try `ip6tables -h' or 'ip6tables --help' for more information.
ip6tables: No chain/target/match by that name.
ip6tables: No chain/target/match by that name.
* Running script '/etc/firewall.d/without_reload/firewall.include.sh'
* Running script '/usr/share/miniupnpd/firewall.include'
Nadřazený - - Od Štěpán Henek Dne 2015-06-10 08:01 Upraveno 2015-06-10 08:16
Můžete mi ještě poslat obsah výstup příkazů:
wc -l /tmp/log/iptables
grep /tmp/log/iptables -e DEB

pak:
/usr/share/nikola/bin/nikola.sh

a znovu:
wc -l /tmp/log/iptables
grep /tmp/log/iptables -e DEB

Je docela možné, že váš router zahazuje větší množství paketů.
Máme tam nastavené nějaký burst limity a je docela možné, že se náš debugovací
paket ztratí mezi záplavou těch ostatních.
Nadřazený - - Od PabloRadegast (>) Dne 2015-06-10 08:17
Dobry den,
mi to taky nejak hapruje. Momentalne mi router ukazuje totok:

Zařízení   Turris - RTRS01
Sériové číslo   21474837307
Verze jádra   3.10.49-7b7301da92ac9b3d7822ba8e466df54d-7
Odesílání dat z uCollectu   Online (stav aktualizován před 32 sekundami)
Odesílání firewallových záznamů   Nefunkční (stav aktualizován před 2367 sekundami)

a cas aktualizace firewallu je 10.6.2015 8:30:35.

Tady je vypis prikazu:
wc -l /tmp/log/iptables
10 /tmp/log/iptables

grep /tmp/log/iptables -e DEB
2015-06-10T09:00:08+02:00 [76943.378335] turris-00DEB060: IN= OUT=eth2 SRC=89.102.24.25 DST=192.0.2.84 LEN=62 TOS=0x00 PREC=0x00 TTL=64 ID=57747 DF PROTO=UDP SPT=38759 DPT=10900 LEN=42

/usr/share/nikola/bin/nikola.sh
Records parsed: 4
Records after filtering: 4
{u'msg': u'Data were inserted into work queue.'}

wc -l /tmp/log/iptables
6 /tmp/log/iptables

grep /tmp/log/iptables -e DEB
2015-06-10T09:10:09+02:00 [77544.449047] turris-00DEB060: IN= OUT=eth2 SRC=89.102.24.25 DST=192.0.2.84 LEN=62 TOS=0x00 PREC=0x00 TTL=64 ID=57748 DF PROTO=UDP SPT=39894 DPT=10910 LEN=42

Nicmene, ted mi Turris ukazuje totok:
Zařízení   Turris - RTRS01
Sériové číslo   21474837307
Verze jádra   3.10.49-7b7301da92ac9b3d7822ba8e466df54d-7
Odesílání dat z uCollectu   Online (stav aktualizován před 75 sekundami)
Odesílání firewallových záznamů   Online (stav aktualizován před 900 sekundami)

a cas aktualizace firewallu je 10.6.2015 9:00:08. Ale kdyz jsem se dival v 9:08:02, tak byl stav odesilani firewallowych zaznamu negativni. Vypada to na nejake zpozdeni, ci co.
Nadřazený - Od Štěpán Henek Dne 2015-06-10 13:28
Ten čas (10.6.2015 9:00:08) ukazuje, kdy byl naposled zachycen packet, co testuje nastavení firewallu.
Další synchronizace se serverem nastala cca v 9:15 a v ten samý čas se aktualizoval stav firewallu.
Nadřazený - - Od Drx001 Dne 2015-06-10 08:39 Upraveno 2015-06-10 08:54
Já mám výstup následující:

root@turris:~# wc -l /tmp/log/iptables
199 /tmp/log/iptables

root@turris:~# grep /tmp/log/iptables -e DEB

root@turris:~# /usr/share/nikola/bin/nikola.sh
socket: [Errno -2] Name or service not known

root@turris:~# wc -l /tmp/log/iptables
582 /tmp/log/iptables

root@turris:~# grep /tmp/log/iptables -e DEB
2015-06-10T09:30:46+02:00 [32001.787032] turris-00DEB060: IN= OUT=eth2 SRC=84.42.218.33 DST=192.0.2.84 LEN=62 TOS=0x00 PREC=0x00 TTL=64 ID=33620 DF PROTO=UDP SPT=59792 DPT=10930 LEN=42

A aby to bylo zajímavější, na druhý pokus skript 'nikola.sh' nahlásil toto:

root@turris:~# /usr/share/nikola/bin/nikola.sh
Records parsed: 501
Records after filtering: 498
{u'msg': u'Data were inserted into work queue.'}

a stav odesílání se změnil na 'Online'

EDIT: V 9:54 se indikátor stavu odesílání dat opět vrátil do stavu 'Nefunkční'.
Nadřazený - - Od Štěpán Henek Dne 2015-06-10 13:48
Dobrý den,

u Vás to podle logů vypadá, že Vám občas selhává DNS.
Ucollectu to zas až tolik nevadí, ucollect si udržuje persistentní tcp spojení a adresu resolvuje pouze na začátku komunikace.
Naproti tomu, když se posílají FW logy na server, tak se pokaždé resolvuje doména na IP (api.turris.cz -> 217.31.192.101).

Docela bych řekl, že Vám zlobí konektivita po IPv6. Možná ji nemáte vůbec a router si myslí, že ano.
Nadřazený - - Od Drx001 Dne 2015-06-10 13:51
IPv6 momentálně nemám vůbec. Jak o tom tedy přesvědčit router?
Nadřazený - - Od Štěpán Henek Dne 2015-06-10 13:57
Zkuste prosím použít postup odsud https://www.turris.cz/forum/topic_show.pl?pid=3627#pid3627
Přesvědčíte tak unbound aby nepoužíval IPv6.
Nadřazený - - Od Drx001 Dne 2015-06-10 15:39 Upraveno 2015-06-10 15:47
Vypadá to, že se nic nezměnilo, odesílání se pořád tváří jako nefunkční a sem tam si to rozmyslí a naběhne do online.
Nadřazený - - Od Štěpán Henek Dne 2015-06-10 15:53
zkuste ještě v /etc/config/network upravit:
config interface 'wan'
        ...
        option ipv6 0

a

/etc/init.d/network restart
Nadřazený - - Od Drx001 Dne 2015-06-10 16:35
Zase žádná změna...
Nadřazený - - Od Štěpán Henek Dne 2015-06-11 13:20
Tak aspoň podle logů to vypadá, že problém s IPv6 zmizel.
Nicméně debugovací pakety se spíš neposílají (občas ovšem nějaký přiletí).

Tuším, že by to mohlo být tím, že je "zahlcený" firewall.
A že se ten debugovací výstup ztratí. (u LOG pravidla je nastaveno --limit 1/sec)
Jak moc rychle vám roste obsah souboru /var/log/iptables

while true; do sleep 1; wc -l /var/log/iptables; done
Nadřazený - - Od Drx001 Dne 2015-06-11 16:53 Upraveno 2015-06-11 16:55
Něco málo tam přibývá, ale nepřipadá mi to jako nějaké velké drama (předpokládám, že jsem se zrovna 'trefil' do úspěšného odeslání, nicméně zobrazovaný status je stále 'Nefunkční')...

http://pastebin.com/eLrcRDP0

Druhý pokud o pár minut později:
http://pastebin.com/kaSWjxUN

A koneckonců, tady je celý ten log, jak vypadá v tuto chvíli:
http://pastebin.com/L99075Zj
Nadřazený - - Od Štěpán Henek Dne 2015-06-12 09:00
Dobrá, tak zahlcením to nejspíš nebude. Chová se to ovšem velice podivně.
Můžete prosím udělat následujcí:

uci set nikola.main.debug=true; uci commit
/usr/share/nikola/bin/nikola.sh

a poslat mi výstup z
dmesg
a
cat /var/log/messages
Nadřazený - - Od Drx001 Dne 2015-06-12 09:47
Požadované výstupy posílám mailem.
Nadřazený - - Od Štěpán Henek Dne 2015-06-15 14:03
Dobrý den,

děkuji za výstupy z logů.
Bohužel z nich nejsem schopen zjistit, proč se nelogují testovací pakety.

Každopádně zatím berte výstup odesílání fw logů z  https://ROUTER/config/about/ jako orientační.
Ve skutečnost data posíláte, jen se ztrácí testovací pakety.

V příští verzi změníme způsob, jakým se to odesílání vyhodnocuje.

Děkuji za spolupráci.
Nadřazený - Od Drx001 Dne 2015-06-15 16:38
Díky za info, status ve Forisu tedy budu nadále ignorovat.
Nadřazený - - Od NONES (>>>) Dne 2015-06-10 21:26
U mne zadna zmena, ani po 24 hodinách, kdy je můj router up, se hlášení nezměnilo - uCollect OK ale FW záznamy nefunkční. Pravděpodobně je nějaká chybka v tom monitorovacím indikátorů. V odesílání dat z FW na centrálu Turrisu problém není, tak na to házím bobka. Stejně mi ten indikátor k ničemu není, ještě navíc, když nechodí, jak má :confused:
Nadřazený - Od NONES (>>>) Dne 2015-06-11 13:58
A hele, mně se dneska i FW část začala tvářit jako ONLINE. Heleďme se, koukejme se. Tak doufám, že to vydrží. Pokud ANO, budu tvrdit, že se to spravilo samo. Pokud NE, budu tvrdit, že to chodí podle plotu. :lol:
Nadřazený - Od uzivatel1 (>>) Dne 2015-06-11 10:01 Upraveno 2015-06-11 17:15
Zdravím, asi před hodinou jsem kontroloval odesílání uCollectu a FW, vše bylo ok, teď FW offline za posledních cca 2600 sekund.

turris firewall working: no
last working time: 2015-06-11 10:15:28+0200
last working timestamp: 1434010528

EDIT: nastala "samo" oprava. FW se jeví jako funkční. 11:18

EDIT 2: stav FW změněný na "Neznámý stav (???)" 16:37

EDIT 3: už zase běží, akorát mi není jasné, jestli je tam chyba, nebo to naše děťátko není náhodou nemocné :twisted: 18:13
- - Od fojtp Dne 2015-06-11 10:22
od 25.3.2015 (po rebootu a upgrade na Turris OS 2.1) mam v grafech "Pakety zachycené firewallem - Cílový port" pouze port TCP/113 (u kteryho mam na vstupu v pravidlech FW nastaveno REJECT). Pred upgradem to chodilo OK. Kde muze byt problem?
Nadřazený - - Od Štěpán Henek Dne 2015-06-11 15:12
Dobrý den,

to je opravdu podivné. Poslal byste mi prosím výstup z
iptables-save
Nadřazený - - Od fojtp Dne 2015-06-11 15:21
ano, kam?
Nadřazený - Od Štěpán Henek Dne 2015-06-11 15:30
Můžete na stepan.henek<zavinac>nic.cz
- - Od Aftanas Dne 2015-07-15 07:56
Dobry den,
v posledni dobe to je po druhe, co system hlasi (nechavam si preposilat pri vypadky email):
Během předchozího dne byly u routeru "Turris" zaznamenány následující výpadky:
    Firewall: 0 hodin
    uCollect: 3 hodiny

Rozumim tomu spravne, ze turris byl stale pripojeny do internetu, ale z nejakeho duvodu nefungovala pouze sluzba uCollect? Sam jsem nic neprenastavoval. Nevite, prosim, v cem by mohl byt problem? Diky!
Nadřazený - - Od phebix Dne 2015-07-15 08:15
Mohu potvrdit - taky sem měl včera výpadek v uCollect:
Firewall: 0 hodin
uCollect: 13 hodin
Připojení k internetu však nezaznamenalo ani jediný výpadek. Možná se to srovná po aktualizaci která se provede při restartu.
Nadřazený - Od jro Dne 2015-07-15 08:23
presne stejna situace u me:
    Firewall: 0 hodin
    uCollect: 20 hodin
(taky jsem jeste nemel cas restartovat po aktualizaci)
Nadřazený - - Od Michal Vaner (>>) Dne 2015-07-15 09:20
Dobrý den

Za tyto výpadky částečně může onen nový update. Vyřešit to jde tak, že router restartujete (obyčejný restart stačí, tovární nastavení není potřeba). Pokud by vám ten výpadek ve statistikách opravdu vadil, tak po jeho skončení se ozvěte (emailem), něco s ním uděláme.

V čem konkrétně je problém. Některé aktualizace potřebují restart k nainstalování. Tato je jedna taková. Router si o ten restart umí říct emailem, pokud to máte nastavené (nastavení přímo na routeru, ne na www.turris.cz) a také si jej naplánuje, že jej někdy brzy udělá sám (opět nastavitelné přímo na routeru). Ale aktualizace se instalují až v rámci toho restartu, takže nyní jsou nainstalované stále ještě staré verze.

U ucollectu (program na sbírání dat o síťovém provozu) server při připojení kontroluje autenticitu. Ale už očekává tu novou verzi, co se nainstaluje po restartu. Pokud tedy spadne spojení a aktuální verze se pokusí připojit zpět, už ji to nepustí. V ideálním světě by se to spojení nerozpadlo a zůstalo by to připojené až do restartu, ale známe poskytovatele.

Naštěstí se tohle snad děje naposledy, ta nově instalovaná verze obsahuje jiný způsob ověřování, který už zvládne pustit dovnitř jak starou, tak novou verzi.

Za nepříjemnosti se omlouvám.
Nadřazený - - Od Pipin Dne 2015-07-17 10:53
Je zajímavé že sem restartoval turris už pár hodin po updatu a na  router/config/about/ mi to ukazuje že se mi neodesílá firewall zkusil jsem ho restartovat pak taky router jsem projet  updater.sh -n a restartovat  vypadá to že nic a včera mi došel email že se neodesílá... to sem zvědavej kde je zakopanej pes protože nic zvláštního v logu nevidín
Nadřazený - Od Pipin Dne 2015-07-19 09:31
Zjistil jsem že bylo něco s NIKOLA   po zadání /usr/share/nikola/bin/nikola.sh  všechno záhadně naskočilo
Nahoru Téma Majitelé routerů / Technická podpora / Problem v odesílání dat.

Powered by mwForum 2.29.3 © 1999-2013 Markus Wichitill