3-50

Добрый день! Один из советов технической поддержки билайн был "перезагрузите роутер после оплаты абонентской платы", про себя всегда усмехался "хаха, а роутерам Keenetic не требуется перезагрузка", но с какой-то из версий действительно так и стало, после оплаты требуется перезагрузка, проходило пять минут, 10 минут, 20 минут, до перезагрузки интернета не было. На каком из уровней возник данный инцидент?

@dimon27254 Не помогло, временно точнее.

@admin, временное решение без смены прошивки возможно?

Ответ представителя официальной тех.поддержки:

Нравится озвученная топикстартером мысль. Речь о существующем микробизнесе. Дополнительный сегмент для гостей не нужен в принципе, так как гости не приходят; Но ок, разделяем на сегменты для корпоративных устройств и прочих. Реальный случай, я пришёл в начале года к стоматологу, попросил на ресепшене пароль от гостевой wifi, дали, к гостевой не подошёл, пароль был хорошим, решил проверить на их рабочей сети и вот к ней подошёл без проблем, внутри куча компьютеров с шарами, томограф с запущенным веб-сервером, ещё какое-то специфическое оборудования с открытыми характерными портами; Ок, выстраиваем третий уровень защиты в виде белого списка у основного сегмента. В текущей сети мешанина из 40 устройств, в белый список летят или все устройства (смысла в таком списке почти нет) или только известные корпоративные. Начинается ор, штатного системного администратора нет, разбираться у какого сотрудника какое устройство куда должно быть подключено выглядит как отдельный квест (у человека может быть личный телефон и/или ноутбук, которые могут использоваться для работы, и личный и рабочий телефоны, прочие всевозможные сочетания, да и появляться он может в офисе раз в месяц); Ок, вывешиваем заранее бумажку: если вы хотите подключить устройство к WiFi в развлекательных целях, то используйте такую-то сеть с таким-то паролем, если в рабочих, то такую-то с таким-то (а смысл скрывать пароль, если на личном компьютере посмотреть его не проблема, а вариант передать сакральное знание о пароле к основному сегменту одному единственному человеку (например, секретарю) и обучить его вводить пароль у гостей отметается, так как в штате такого человека нет), но прежде свяжитесь вот с этим человеком, чтобы он временно отключил белый список. Во время переходного процесса регулярно икаем, так как постоянно вспоминают недобрым словом, а заодно чувствуем себя клоуном, понимая, что свернули куда-то не туда; Ок, вариант с raduis, к сожалению, отбрасываем; Ок, в основной WiFi сети меняем название и пароль, в дополнительной WiFi указываем данные, которые ранее были в основной, разрешаем через файрвол двусторонний доступ, регистрируем всех подключившихся в течение какого-то времени, а потом доступ из дополнительного сегмента к основному выключаем, а точечно всем жалующимся, что не открывается корпоративные ресурсы, открываем. Или просто запрещаем всем незарегистрированным устройствам доступ к локальной сети.

На Alpha такой проблемы не было в принципе, после обновления начало бросаться в глаза. В логе: Май 23 20:32:49 pppd_L2TP0 l2tp: recv CDN Май 23 20:32:49 pppd_L2TP0 l2tp: RC = 2 - Call disconnected for the reason indicated in error code Май 23 20:32:49 pppd_L2TP0 l2tp: EC = 6 - A generic vendor-specific error occurred in the LAC Май 23 20:32:49 pppd_L2TP0 l2tp: EM: "Locally generated disconnect" Май 23 20:32:49 pppd_L2TP0 l2tp: shutting down control connection Май 23 20:32:49 pppd_L2TP0 l2tp: sending stopccn Май 23 20:32:51 pppd_L2TP0 l2tp: shutdown completed Май 23 20:32:51 pppd_L2TP0 Hangup (SIGHUP) Май 23 20:32:51 pppd_L2TP0 Connect time 180.9 minutes. Май 23 20:32:51 pppd_L2TP0 Sent 422124854 bytes, received 1536044712 bytes. Май 23 20:32:51 ndm Network::Interface::Base: "L2TP0": "ip" changed "ipv4" layer state "running" to "disabled". Май 23 20:32:51 ndm Network::Interface::Ip: "L2TP0": IP address cleared.

UPD В связи с тем, что такое же поведение и на 3.9.3 обратился в официальную техническую поддержку, спасибо товарищу из Telegram, ситуацию разобрали: old Прошло 24 часа, открытые ранее порты (первые три в списке), так и не закрылись (компьютеры на ночь отправляются в сон), следующие два порта открыты уже для правильной точки входа: Билайн (L2TP) 192.168.2.59 pc2 TCP/36567 → 36567 qBittorrent/4.5.1 Билайн (L2TP) 192.168.2.59 pc2 UDP/36567 → 36567 qBittorrent/4.5.1 Билайн (L2TP) 192.168.2.22 pc2 (wifi) UDP/40954 → 36567 qBittorrent/4.5.1 Cloudflare — WARP+ 192.168.2.59 pc2 TCP/36567 → 36567 PCP MAP 71bd26cc6b613942d7276b30 Cloudflare — WARP+ 192.168.2.59 pc2 UDP/36567 → 36567 PCP MAP c7cd2d44c19230d53923c0b3 При закрытии qBittorrent на втором компьютере последние два порта на роутере закрываются.

upd Комментарий от тех.поддержки. Вкратце. Если компьютер, подключенный по LAN, подключить по WiFi, а затем отключить от Wi-Fi, то порты, открытые по upnp, не закроются, а также откроются новые порты, но уже с точкой входа, которая не соответствует политике доступа устройства. В логе следующие ошибки наблюдаются: UPnP::Service: "System": no filter rule found while removing; PCP: External IP in request didn't match interface IP Failed to remove PCP mapping internal port 36567, protocol TCP Unauthorized to remove PCP mapping internal port Подробней.

А другой активной сессии не было на которую вы не обратили внимание? Сценарий как на только что записанном видео исключён? Запись_2023_01_21_11_42_10_377 — копия.mp4

Внедрять в прошивку то, что использует недоработки dpi, которые в любой момент могут быть пофиксены, вызывает вопросы с правой точки зрения, не гарантирует работоспособности у всех в любых условиях. Отличная мысль. А вообще начните с изучения темы, и в частности этого сообщения:

Не получилось, более того, при попытке повторить ситуацию сеть пропала, этот блок из selftest, выложенного в момент репорта, выглядит теперь так.

Да, так и есть, меня озадачило, что такое вообще оказалось возможным.

0. Были стандартные сегменты "Домашняя сеть" и "Гостевая сеть"; 1. Был удалён гостевой сегмент; 2. Создан ещё другой сегмент; 3. В этом сегменте поднята WiFi сеть "test2" 5 ггц; 4. Сегмент удалён, wifi сеть не выключалась; 5. WiFi сеть после удаления осталась и работает; 6. В веб-интерфейсе роутера о ней ни слова.

Режим максимальная производительность не включали?

В брандмауэре для созданного подключения tcp/udp разрешены в обе стороны? Если активировать в созданном подключении "использовать для выхода в интернет" переадресация в принципе начинает работать?

Ага, должно, но не взлетает, со стороны клиента цикличная ошибка "remote peer of crypto map "L2TP1" returned proposal mismatch for IPsec phase 2", со стороны сервера ошибок нет, просто постоянные попытки установить соединение.

В режиме оптимизации "по умолчанию" подключение происходит, при активации режима "максимальная производительность" соединение не устанавливается, прошивка и там и там 3.8.2, если необходимо могу проверить на 3.9 Alpha 1.

На 3.7.4 были добавлены DoT Cloudflare, после обновления на 3.8 beta 1, их удаления и перезагрузки проблем не замечено.

@Le ecureuil, может помимо self-test сразу после обновления ещё что-нибудь нужно?

@Le ecureuil, да, без проблем, сегодня после 18:00 по Мск выложу до обновления и сразу после.

@Novosibik, тема не о том, как чинить самостоятельно. Меня в данной ситуации больше озадачил факт, что прописанные в настройках подключения dns, выданные провайдером, перестали учитываться. А как чинить, что добавлять, так это вообще другой разговор, как и на сколько уместно в текущих условиях dns от CloudFlare советовать.

На роутере настроено проводное подключение, прописаны, выданные провайдером, ip, маска, шлюз, dns 1 и dns 2. После обновления с 3.7.3 на 3.8 alpha 8 исчезает подключение к интернету, в статусе так и написано "нет подключения", у компьютеров тоже пропадает, не получает, веб-интерфейс роутера при этом работает. При откате на 3.7.3 соединение сразу же восстанавливается.

@Julia Rybakovaя говорю именно про владельца.

1. Нет доступного описания, если нажать на "Добавить", не поставив галочку. 2. Кнопка "Добавить" остаётся активной, если ввести имя, отметить галочку, отредактировать имя (галочка при этом снимается).

@Julia Rybakova, понятно, спасибо. И что с роутерами, управляемыми контроллером, пригласивший тоже ничего сделать не может так и должно быть?