Oleg Nekrylov

Посоветовали написать сюда. Прошивка 3.8a1, но это касается и всех предыдущих (релизных и отладочных) прошивок. Схема такова: DNS1 (xx:xx:xx:xx:xx:xx)<-->Keenetic1<-->Internet<-->Keenetic2<-->DNS2(yy:yy:yy:yy:yy:yy) xx:xx:xx:xx:xx:xx - зоны domain1.ru (master), domain2.ru (slave) yy:yy:yy:yy:yy:yy - зоны domain1.ru (slave), domain2.ru (master) Хост xx:xx:xx:xx:xx:xx/yy:yy:yy:yy:yy:yy находится на "солокейшен" в "Домашней сети" (живет в ней, но к ней не относится (своего рода DMZ, но за NAT), выполняет роль web/mail/dns standalone сервера (естественно порты 53TCP/UDP, а так же остальные необходимые, прокинуты на него) 'dns-proxy intercept enable' у меня не используется но dns-proxy все-равно лезет в трафик предназначенный хосту xx:xx:xx:xx:xx:xx/yy:yy:yy:yy:yy:yy (в секции dns-proxy, показанной ниже его нет), в итоге не работает синхронизация зон - долго не понимал в чём дело, пока не увидел в логах DNS-сервера, что в TSIG прилетает мусор и виновником сего торжества оказывается компонент dns-proxy, он подменяет оригинальный TSIG от/к удаленного(ому) DNS-сервера(у), чем-то своим. Вот секция моего конфига: dns-proxy rebind-protect auto tls upstream 1.1.1.1 853 sni cloudflare-dns.com tls upstream 1.0.0.1 853 sni cloudflare-dns.com https upstream https://dns.quad9.net/dns-query dnsm https upstream https://ordns.he.net/dns-query dnsm filter assign host preset aa:aa:aa:aa:aa:aa adguard-default filter assign host preset bb:bb:bb:bb:bb:bb adguard-default filter assign interface preset Guest cleanbrowsing-security filter engine public ! Хотелось бы что-нибудь такое: filter assign host preset xx:xx:xx:xx:xx:xx no-filterЧтобы и остальные хосты фильтровались (особенно интересует детский фильтр) и DNS-сервер исключался из фильтрации полностью.

Понял в чем дело: у вас поднят не Site-to-Site VPN, иначе бы вы могли напрямую пробросить порт XXXX:41111->192.168.35.120:41111. У меня, например, вместо вашего "L2TP VPN" кинут Wireguard, а в конфиге Keenetic сидит: ip nat WireguardX, остается только на Mikrotik настроить NAT (в моем случае стоит тоже Keenetic с таким же ip nat WireguardX, ну и не забыть маршруты указать на обоих концах) и все будут довольны. А так, без conntrack не обойтись

Adguard относится только к портам 53 (DNS) и ни каким другим. PS: Не понимаю, в чем заключена сложность? AIR: XXXX:41111->172.16.30.2:41111; Mikrotik: 172.16.30.2:41111->192.168.35.120:41111

Хорошая идея, но не во всех редакциях работает.

В 3.7 Beta 1 такая же хрень И с CloudFlare и с остальными провайдерами, а также проблемы с DoT. В общем компонент https-dns-proxy валится постоянно (цепляя за собой всё остальное), из за чего на устройствах в локалке пригодиться в пользоваться внешними DNS (а не DNS роутера), чтобы "хоть какой-то был интернет", особенно это касается Apple TV/Dune...

Согласен! Писал с телефона, а там только эта тема отображалась.

KN-1810/1910, 3.7 Beta 0.2, периодически перестают резолвиться некоторые домены, причём после некоторой паузы (несколько часов), все становиться нормально, zram включён Если в момент данного казуса опросить вышестоящие DNS, то всё резолвится, отсюда делаю вывод - проблема с локальным DNS (на кинетике). Про Beta 0.1 сказать не могу, тк она у меня простояла не более суток, но на Alpha xx таких проблем небыло. Закономерности в названии доменов нет, они рандомны.

А если так: ip nat Wireguard0/1, а далее через ip global или Policy завернуть?

Извиняюсь, затупил, тяжелый день был, сам же ответ и написал в последнем предложении

Вопрос, надо ли делать “ip nat OpenVPNx”, для tap, если мне надо попасть внутрь сети подключённого клиента (на стороне клиента входящий трафик разрешён). Точнее, будет ли в принципе работать, тк в таблице маршрутизации tap не виден, тк сидит на Bridge0? При этом я тоже являюсь клиентом и в конфигурации сервера клиент-клиент разрешён.

Всё верно. Одно дело, когда юзер ползает по роутеру по просьбе, другое дело, когда спец подключиться и сам выяснит то, что ему надо - тем самым перестаём играть в "испорченный телефон".

Будет ли возможность подключения ваших сервисных специалистов для "разбора полётов" к устройствам? Мне вот например, до сих пор не дает покоя тема с OpenVPN tap и если бы ваши специалисты сами могли поковыряться в потрохах, думаю всем бы от этого стало хорошо.

Вы не понимаете о чем говорите, интерфейс bond0 неактивен и не сконфигурирован и трафик на нем RX/TX 0!!! У меня не используется агрегация LAN-портов!!! Или вы не видите разницу между LAN и WAN? Судя по всему вы даже не понимаете об уровнях OSI: как вы на втором уровне собираетесь рулить пакетами (не кадрами) прилетающими с разных интерфейсов? L2 агрегация предполагает объединение портов в один, здесь же независимые WAN-порты, и весь трафик разруливается на L3/L4. К сожалению прав нет, чтобы глубже залезть в SRM (в отличие от DSM, нет ни sudo, ни su - пока занимаюсь этим вопросом), но пока могу предположить, что они используют для этих целей ~teql, тк в балансировку (на странице Smart WAN, на скриншоте выше, вместо LAN1 возможно задать и PPPoE/LTE/VPN-туннели.... - это комбобокс) можно включить интерфейсы с разной топологией, а не только ethernet (bonding же предполагает агрегацию интерфейсов с одинаковой топологией) .

Вы ошибаетесь, нет там агрегации (L2), единственный интерфейс bond0 предназначен для агрегации LAN-портов, а не WAN

Смысла нет: дизайн посредственный, с туннелями (в отличие от Keenetic) скудновато..., Safe Access/Threat Prevention сначала радовали, а сейчас вызывают лишь раздражение (и иногда злость), причем в Safe Access невозможно отключить фильтрацию для определенного хоста (даже если создать профиль без фильтров и туда засунуть нужное устройство, все равно трафик фильтруется).

Думаю, если есть нужда в балансировке 3+ WAN, то я бы рассматривал устройства другого уровня, в конце-концов, можно посмотреть многопортовый ПК (формата Intel NUC) на али (ищите по ключевому слову pfsense) и собрать свой балансер, хоть на том же pfSense..или если сделать "по красоте": можно и Ideco UTM (для SMB он бесплатен) запихнуть. А IDECO SX+, вообще копия девайсов с али

Пирометра под рукой не было, поэтому точных цифр не приведу, но руку держать на верхней крышке, в районе SFP, не сможете - обжигает, да и пластик начинает характерно прогибаться. Причем ситуация идентичная на обоих KN-1810 (куплены с разницей ~ в полгода, в разных городах, так что это "не брак одной партии"), в независимости от типа SFP К сожалению только 2 (из web-морды), но я пробовал засунуть и 3-й, через ssh, но тогда в web-морду (на страницу Smart WAN) не зайти - сразу выбивает.

Вот как раз по поводу SFP я бы и не беспокоился. Если в Keenetic поставить SFP-модуль (без разницы оптика/медь), то его температура выходит за "пределы комфорта" (не хотелось бы устроить пожар в собственном жилище), а вот это уже более существенно, поэтому медиаконвертер (видел даже с питанием от USB) - наше все. Кстати, в июле (как раз были грозы) был случай: пропал интернет, буквально за неделю до этого, я воткнул SFP-медь (если что-то и прилетит от провайдера, то сдохнет копеечный SFP [у меня их "как грязи"], а не KN-1810), нет интернета и все, Keenetic показывает обрыв. Я всю голову сломал (все приборы к сожалению на работе, поэтому проверить нечем), уже кабель весь выдрал и заменил на категорию 6A (представляете мои мучения, когда я его прокладывал в плинтусах), не помогает, в итоге случайно втыкаю кабель не в SFP, а в WAN и "о чудо!", интернет появился, но какой-то вялый, смотрю, скорость 10Мб/с полудуплекс (ни один имеющийся у меня SFP, не умеет работать на такой скорости). Итогом оказалось, у провайдера полностью сгорел кросс, даже часть стенок шкафа в виде металлических брызг красиво украсило закопченное помещение, а я еще 2 недели сидел на 10Мб/с полудуплекс, и сейчас, вместо старого канала 1Гб/с, имею 2 новых, но только по 100Мб/с Ну какое-то подобие все-таки есть, но вот устроит ли оно вас? Меня нет.

Вот о чем я говорил. iSCSI на Synology RT2600ac разлетается (все остальное естественно тоже), а на Keenetic Ultra KN-1810 ни в какую, выше 9Мб/с не выжать. На скриншоте видна общая нагрузка (на одном канале тариф 100Мб/с, на другом 70-100Мб/с), тренд кривоватенький, но все-таки показательный. На Upload не смотрите - это я чего-то с QoS наигрался, не могу понять единицы измерения используемые Synology (в правилах QoS, КБ/с - это килобайт или килобит, ни то ни другое не подходит, в результате хрень получается)

Вот я и говорю, что нужна балансировка, на данный момент, весь трафик iSCSI бежит только через основной канал, при этом если запустить торрент (на этом же хосте), то он спокойно разлетается по обоим каналам. Пытался делать и по весу, все равно идет только через основной. Даже Steam и тот разлетается, а iSCSI ни в какую. В конце концов, думаю, придется отдать основной канал iSCSI, а все остальные девайсы придется пересадить на резервный - ну если уж совсем не получается (SRX5308/UTM150 дома гонять не будешь - тк они своими вентиляторами весь мозг съедят)

Ничего удивительного, я об этом уже писал выше. ip policy Policy0 description torrent-multipath permit global ISP ------------------------------------- main permit global GigabitEthernet0/Vlan4 ------------------- backup multipath ip hotspot policy Home permit host 0c:c4:7a:dc:49:06 permit host 0c:c4:7a:dc:49:06 policy Policy0 Все тоже самое, что и у вас, вот только торрент != MPIO iSCSI!

Сегодня специально проверил - только для torrent (запустил Download Station на Synology DS2419+), для MPIO iSCSI фокус не проходит (Windows 2016/2019, Debian, Synology NAS, Dell/IBM SAN). А на D-Link DFL-860e/1500, Netgear SRX5308/UTM150 - MPIO iSCSI работает, к сожалению на Ubiquiti ER-10X проверить не смог, девайс окончательно сдох.

Может когда-то это и работало, но по факту, начиная с 3.3 (а у меня 3.5 beta 4) - не работает, так же как и OpenVPN TAP (ходит только ICMP), так же как и IKEv2 (коннект есть, а трафик не ходит - никакой). А что касается балансировки, то мне нужна именно балансировка, а не ручное рассаживание устройств по каналам - у меня большая часть трафика генерируется iSCSI (Hyper-V, ESX) с SAN/NAS

Так она и так есть: интернет-фильтр, только я не думал, что интернет-фильтр так же вмешивается и в транзитный трафик (проброшены порты 53 TCP/UDP на bind9 и в bind9 указаны forward ip провайдера, а не роутера) ему не предназначенный - пришлось поставить "Без фильтрации". Но сколько при этом было убито в пустую времени и нервов...

Фактически, мы имеем вот такую неприглядную картину (цифры пока маленькие, из-за малого аптайма - недавно обновил прошивку, а потом выходные, а так, за неделю, цифры на main исчисляются терабайтами) :