[Функция перенаправления транзитного DNS трафика на DNS роутера]

1 час назад, keenet07 сказал:

Функция предпологается с возможностью простого включения и отключения. По-умолчанию может быть отключена. Она для тех кому необходима своя конфигурация ДНС серверов. Как вы правильно заметили, присутствует в фильтре Адгуард. А без неё какой от него толк?

Так она и так есть: интернет-фильтр, только я не думал, что интернет-фильтр так же вмешивается и в транзитный трафик (проброшены порты 53 TCP/UDP на bind9 и в bind9 указаны forward ip провайдера, а не роутера) ему не предназначенный - пришлось поставить "Без фильтрации". Но сколько при этом было убито в пустую времени и нервов...

[MultiWAN policy routing в NDMS 2.12+.]

Фактически, мы имеем вот такую неприглядную картину (цифры пока маленькие, из-за малого аптайма - недавно обновил прошивку, а потом выходные,  а так, за неделю, цифры на main исчисляются терабайтами) :

 

[MultiWAN policy routing в NDMS 2.12+.]

2 часа назад, Goblin сказал:

чего-то они потерли инфу о роутерах, есть странички на английском, на русском больше нет. мало их в России. заказывать только если в gig spb за 19999р. + доставка. (в сша 199.99 их валюты) дороговато что-то... или мне кажется и начинка того стоит?

Из-за того, что границы закрыты (COVID-19), приходится просить родственников (а они уже в возрасте), которые живут в сопредельном государстве, но в принципе, можно заказать самому и здесь. Да, начинка стоит того, правда если у вас есть нужды и потребители, которые смогут ее соответственно нагрузить - иначе смысла нет, тк это не просто роутер, а межсетевой экран в настольном исполнении.

19 минут назад, r13 сказал:

Ну так у кинетика уже давно так без entware, просто выключатель в cli убрали от балансировщика. 

Вот то-то и оно, что имея 2 канала, основной забит "под завязку" и все тормозит, а резервный при этом стоит и прохлаждается, а деньги между прочим, платятся за оба канала.

[Функция перенаправления транзитного DNS трафика на DNS роутера]

Все это красиво, до тех пор, пока вам не придется синхронизировать master/slave-зоны на собственных DNS-серверах - я уже "эти танцы с бубном" прошел (оказывается интернет-фильтр [Adguard...] этим занимался и если бы не TSIG, фиг бы нашел в чем дело), спасибо не надо.

В свое время, даже Zyxel Keenetic Ultra пришлось отправить "на полку" надолго (порядка пару-тройку лет валялся) - с роутерами других производителе было все нормально, а как ставишь Keenetic - все, зоны расползаются.

[MultiWAN policy routing в NDMS 2.12+.]

Вот как это изящно сделано у Synology. К сожалению свое видео снять не могу: мой роутер дети залили кока-колой еще весной, но к концу этой недели (надеюсь) приедет новый экземпляр Synology RT2600ac.

Хотелось бы, чтобы и у Keenetic было что-то подобное "из коробки", без использования всяких entware...

[MultiWAN policy routing в NDMS 2.12+.]

В 23.08.2020 в 10:01, vasek00 сказал:

Попробуйте с таких серверов например как Turbobit/Uploaded скачать на вашем D-Link DFL-860E и Netgear SRX5308.

Все нормально качается. Сегодня попробовал тоже самое сделать на работе, на Ubiquiti ER-10X (валялся без дела - были PoE порты пожжены, но пришлось заморочиться и починить) - работает, все качается (специально из-за этого качал сборку от ALM 😁).

Вообще, это стандартная функция у роутеров/межсетевых экранов с несколькими WAN-портами и не понятно почему это не должно, по вашим словам, работать.

[MultiWAN policy routing в NDMS 2.12+.]

В 19.08.2020 в 10:48, vasek00 сказал:

Load Balancing - подразумевает под собой балансировку трафика между каналами А и Б например 50/50, т.е. половина по одному другая по другому.

Я это и имел в виду.

В 19.08.2020 в 10:48, vasek00 сказал:

Для сервиса в интернете на которых требуется аутентификация будут проблемы, так как пакет идет с одного IP, а другой уже может с другого IP (два канала два разных IP) -> разрыв соединения, так же сервисы по скачке файлов.

Для торрента данная фишка проблем не создает, так как файл разбивается на куски и если данная часть получалась с ошибкой то будет запрошена повторно.

Странно, но на D-Link DFL-860E и Netgear SRX5308 таких проблем не наблюдается (девайсы хорошие, но надо признать - VPN слишком старые, чтобы ими было интересно пользоваться сейчас). Зато когда попытался отсадить Wireguard и IPSec (Site-to-Site) на резервный канал (как менее загруженный), они не захотели работать (на моей стороне Kennetic с "белыми" IP, а клиенты все за NAT - поэтому коннектятся они ко мне, а не я к ним), хотя с наружи, пинги на резервный канал идут, сайты и почта работает (серверы находится в LAN и проброшены порты с основного и резервного каналов, а в DNS используется round-robin), .

[MultiWAN policy routing в NDMS 2.12+.]

В 09.10.2019 в 23:11, metahor сказал:

Вы два аккаунта разных будете брать?

У меня 2 разных аккаунта (IPoE) и Load Balancing не помешал бы - очень неудобно ждать падения канала (или в ручную переключать "основной/резервный")

[Саморазбриджевание Openvpn TAP]

Может кто сталкивался: 3.4.12, все-таки с горем пополам удалось запустить openvpn-tap, при подключении клиенты даже получают ip, но ходит только icmp, все остальное режется, хотя в arp все красиво.

Пытался даже сделать: interface OpenVPN0 security-level private - не помогает.

Пытался сканировать nmap - все закрыто, кроме icmp.

Откуда такая избирательность относительно icmp?

[ntp server]

Вот наличие нативного ntpd было бы просто праздником: entware не устраивает тем, что внешний накопитель может "отвалиться" со всеми вытекающими...

[Саморазбриджевание Openvpn TAP]

У меня раньше работало (на прошивке3.0), но не долго, тоже ~ через сутки происходил вылет из бриджа (утечки памяти?) - лечилось перезагрузкой роутера и с последующим выключением/включением OpenVPN. После обновления на 3.3 и выше, заставить работать TAP так и не получается

[Саморазбриджевание Openvpn TAP]

Ошибок нет, брал конфиги из этой статьи, только ключи/сертификаты свои, тем более что данные конфиги прекрасно работают на DD-WRT.

[Саморазбриджевание Openvpn TAP]

8 минут назад, Кинетиковод сказал:

interface Bridge0
include OpenVPN0
system configuration save

 

Делал, но при подключении клиента (Windows, Linux, второй keenetic), клиенты не получают адрес. По идее адрес должен прилетать от dhcp-сервера с Bridge0, но почему-то этого не происходит

[Саморазбриджевание Openvpn TAP]

Извиняюсь что не в тему, но мне до сих пор так и не удалось запустить tap-сервер на Кинетике, поэтому вопрос: помимо конфига (.ovpn) вы чего-нибудь делали (Маршруты, Межсетевой Экран,CLI)?

[KeenDNS определает IP неправильно]

В 11.02.2020 в 00:29, dmitry.a сказал:

От того, что у провайдера NAT, ничего не меняется. Если есть доступ через белый IP, то нужно использовать именно его.

Вы не понимаете о чем говорите - то что вы бегаете изнутри (из локальной сети провайдера) наружу (в интернет) - это вовсе не означает, что вы сможете пойти в обратном направлении.

Не думайте, что вы один такой исключительный, что имеется у провайдера: прилетел пакет снаружи (мы не рассматриваем conntrack, пакет реально снаружи), дальше что с ним делать, кому посылать? Васе-1, Васе-2 Васе-3...?

Вы поставили "Прямой доступ" находясь за NAT, что вы еще хотите? Что поставили, то и получили - адрес WAN-порта роутера. Вам надо ставить "Через облако".

Не знаю как работает KeenDNS (не разбирался, не было необходимости - у меня белые IP, а серый IP и так работает без проблем), но предполагаю 2 варианта:

1) Обратный туннель L2 (собственно я о нем намекал в предыдущем посте), но это чревато большим оверхедом. 

2) Обратный туннель L3

[Промышленное исполнение]

Здравствуйте!

Планируется ли выпуск устройств:

1)  для монтажа на стандартную DIN-рейку

2) с промышленными питанием 24V DC и заземлением

PS: было бы вообще замечательно, если бы был форм-фактор Siemens Simatic S7-1500

[KeenDNS определает IP неправильно]

Приватные сети ("серые"):

10.0.0.0 – 10.255.255.255
172.16.0.0 – 172.31.255.255
192.168.0.0 – 192.168.255.255

Если ваш адрес находится в этих диапазонах, то ни о каком "белом" адресе речи быть не может, вы выходите в интернет через NAT провайдера, так что KeenDNS тут абсолютно прав, вам стоит обратиться к вашему провайдеру и получить "белый" IP.

Но можно изловчиться (если у вас есть пул свободных адресов, например принадлежащий вашей компании и доступ к шлюзу) и кинуть внутрь туннель, и из свободных адресов организовать себе "домашний" сегмент  - когда нельзя, но очень хочется 😁

[DHCP и хост с несколькими Ethernet (round robin)]

8 минут назад, bigpu сказал:

Думается мне, что это вы не понимаете)

забудьте об агрегации, и других плюшках - это удел управляемых коммутаторов

Что вы говорите - агрегацию и другие плюшки, тот же round robin, который вам так нужен, умеет прекрасно маршрутизатор Микротик.

возьмите любой ASUS, D-Link...., наконец DD-WRT/OpenWRT... ни у кого проблем нет, а у Keenetic есть

Ок, вот вам две любые модели ASUS, D-Link - D-Link DIR-615/T4, ASUS RT-N11P, в них присутствует round robin?

Кривые поделки DD-WRT/OpenWRT мне обсуждать бы не хотелось - да это и не конечное уст-во и не производитель оборудования.

Ваши хотелки с round robin есть в Микротик, хотите их в Кинетике - кейс в ТП и на форум запрос и, ждать))

Аналогичный алгоритм с вашими розетками Яндекс.

Вы оперируете словами, ни сколько не задумываясь о их смысле: агрегация != round robin, тк предполагает поверх физики,

еще один программный объединенный интерфейс (будет ли это 802.3ad или что-то другое, не важно), через который уже и идет работа,

при round robin это только независимые интерфейсы и ротация IP происходит уже на уровне DNS (для примера вам pool.ntp.org)

В названных вами устройствах, на тот момент когда я ими пользовался (лет 5-10 назад), были: последние мной виденные ASUS RTN-16 тоже есть, D-Link DIR-655/DFL-860e/1660 тоже есть, Netgear (от SOHO, до UTM) тоже есть...

Про OpenWRT/DD-WRT вы абсолютно не правы: для примера вам Buffalo

По поводу вездесущего Микротик - этого хлама у меня и так куча, в SOHO он даже до Keenetic не дотягивает (из-за своих "обрезков" и "фирменных реализаций"), а что касается бизнес-сегмента, я пожалуй предпочту Juniper/Cisco/Netgear.

Единственно из-за чего связался с Keenetic - санкции, из-за которых многие фирмы закрыли свои представительства (и службы бета-тестирования/локализации) в РФ.

PS: Все-таки шальную идею переложить DHCP/DNS на Keenetic пока пришлось отложить (в Keenetic поставил DHCP relay), вернув связку isc dhcpd+bind в строй как было - .на объекте сервера убивают Keenetic (интернет нужен только для NTP, поэтому изначально выбор  пал на Keenetic, а не какой-то UTM), а дома Яндекс.Розетки (что стало неприятным сюрпризом).

 

[DHCP и хост с несколькими Ethernet (round robin)]

14 часа назад, bigpu сказал:

В вашем куске, разные MAC и соответственно разные IP, привязка хоста у Кинетика идет как раз-таки по MAC.

Если вам нужен Round-robin, то на мой взгляд, вы зря ждете подобного от Кинетик, о каком Round-robin может идти речь, если тут нету агрегации портов, Multi-WAN и QoS зачаточны.

Одним словом, не тот класс уст-ва, как и не та ЦА - это интернет-центр, а не маршрутизатор.

Безусловно, вы можете создать кейс на добавление данной функции, но что-то мне подсказывает, что с вашими запросами вам нужен не Кинетик.

 

Вы не понимаете о чем идет речь: забудьте об агрегации, и других плюшках - это удел управляемых коммутаторов... я говорю о нескольких A/PTR-записях для одного хоста - это и есть round robin.

И ничего здесь заумного нет: возьмите любой ASUS, D-Link...., наконец DD-WRT/OpenWRT... ни у кого проблем нет, а у Keenetic есть

Не знаю, что внутри, но предполагаю, что банально обычный dnsmasq - никакой сложности там нет (кстати, включить tftp-сервер тоже нет проблем [для PXE], а загрузочные файлы держать на внешнем накопителе, например флешке, но почему-то это до сих пор не сделано)

 

14 часа назад, Le ecureuil сказал:

У нас не может быть несколько mac у одного хоста. Жесткая схема: один mac - одно наименование - одна регистрация. То, что устройство зарегистрировано несколько раз, это скорее фича - можно применить разные правила к нему.

Это не "чисто моя хотелка", тут столкнулся еще и с Яндекс.Розетками - там вообще все нехорошо: Розетка подключившись к WI-FI получает на свой основной MAC, адрес от DHCP, но у нее есть еще один MAC (динамический?) и адрес 192.168.1.60 (статический?), который предназначен для работы в режиме AP.

А теперь представьте, что твориться в сети при наличии нескольких таких девайсов, а "Список устройств" у Кинетика вообще сходит с ума и в итоге приводит к зависанию самого Кинетика - приходится рубить питание и больше не заходить в закладку "Список устройств".

[DHCP и хост с несколькими Ethernet (round robin)]

1 час назад, bigpu сказал:

не пойму вашей логики - вы предлагаете зачем-то перенести кнопку, у вас на скрине два уст-ва с разными MAC - WiFi и LAN, в доп.сведениях у вас один MAC.

Если на уст-ве две сетевых, они работают в бондинге - единый MAC-адрес на две сетевых. Бондинг настраивается на хосте, не на роутере. Не думаю, что на Яблочке это отличается.

Так чего вы хотите по итогу - один и тот же IP на WiFi  и на две сетевых в бондинге?

Внимательно прочитайте первый пост и я думаю, все вопросы сами решаться. И при чем тут бондинг? Я о нем даже не зикался!

Думаю, вам вот этот кусок isc dhcp что-нибудь прояснит:

        host mac-pro-1 {
        ddns-hostname "Mac-Pro";
        option host-name "Mac-Pro";
        hardware ethernet 00:17:f2:09:79:bc;
        fixed-address 192.168.1.40;}

        host mac-pro-2 {
        ddns-hostname "Mac-Pro";
        option host-name "Mac-Pro";
        hardware ethernet 00:17:f2:09:79:bd;
        fixed-address 192.168.1.41;}

        host mac-pro-3 {
        ddns-hostname "Mac-Pro";
        option host-name "Mac-Pro";
        hardware ethernet 7c:c3:a1:b2:ac:2d;
        fixed-address 192.168.1.42;}

Мне же нужен round robin: имя хоста общее, а MAC/IP разные (это могут быть и физически разные машины [например редутантные]!)

На текущий момент, если имеем такую схему (у меня 6 разных MAC/IP), "Список устройств" сходит с ума: его начинает колбасить и по кольцу исчезают/появляются устройства.

[DHCP и хост с несколькими Ethernet (round robin)]

В 03.02.2020 в 23:55, bigpu сказал:

И по поводу кнопки "Разбудить по сети" - она уместна напротив MAC-адреса, тк magic packet "полетят" на MAC.

Вы считаете более удобным каждый раз прокручивать окно вниз до кнопки, где вы считаете ее уместной, вместо того, чтобы нажать ее "под носом" - рядом с именем уст-ва?

magic packet "полетят" на MAC

а MAC не относится к конкретному уст-ву?

 

 

Если MAC-адресов несколько, то не надо посылать пакеты на все адреса, а послать только на конкретный MAC (тем более, что у большинства устройств за Wake-On-LAN отвечает всего один MAC, а если говорить о внешних NIC, то у тех, у кого подключен "шнурок" WOL к материнской плате)

[DHCP и хост с несколькими Ethernet (round robin)]

Здравствуйте!

Роутер: KN-1810/1910, Версия ОС 3.3.2 (релиз)

Имеется проблема с регистрацией имен хостов с "Список устройств" несколькими MAC-адресами, например: Apple Mac Pro имеет на борту 2 Ethernet и 1 WI-FI и все порты могут быть одновременно работать.

Что мешает иметь несколько IP соответствующими одному имени (round robin)?

И по поводу кнопки "Разбудить по сети" - она уместна напротив MAC-адреса, тк magic packet "полетят" на MAC.

[3.3.2 Подключение по WI-FI Apple Mac Pro]

2 часа назад, Mamay сказал:

Попробуйте отключить 802.11r и проверьте... 

Спасибо! Помогло, думаю неплохо бы в инструкции добавить сноску о несовместимости 802.11r и Mac OS X.

[3.3.2 Подключение по WI-FI Apple Mac Pro]

1 час назад, AndreBA сказал:

У Вас еще "гостевая" сеть настроена с wpa3, не мешает?  Списки "черные" "белые" не настраивали?

Нет не мешает, у меня гости используют WPA3, списки не настраивал - пока не вижу смысла в ограничениях.

Сейчас попробовал Mac mini Server 2011 подключить - ситуация аналогичная.

Других "яблок" с Mac OS у меня нет, так что проверить больше не на чем. А вот с Windows 7/10, iOS/tvOS, WP 8/10 проблем нет.

PS: решил проверить как дела обстоят с Android (Dune HD Pro 4K, Ultra 4K) - тоже не могут подключиться.

 

[3.3.2 Подключение по WI-FI Apple Mac Pro]

Модель: KN-1810/1910

Прошивка: 3.3.2 (релиз)

Компонент: 'WPA Enterprise' не установлен

Тип шифрования: WPA2-PSK

Проблема: Mac Pro (модели 2006,2012,2013,2020, версии Mac OS X 10.7.5-10.15.2)  - при подключении вылетает окно "требуются корпоративные учетные данные" (роутер видится как WPA2-EAP, вместо WPA2-PSK?), из-за этого невозможно подключиться.

Ставлю другие роутеры (Netgear, ASUS...) с WPA2-PSK - Mac Pro подключаются без проблем.

 

interface WifiMaster0
    country-code US
    compatibility BGN
    channel width 40-below
    channel auto-rescan 00:00 interval 1
    tx-burst
    rekey-interval 3600
    beamforming explicit mu-mimo
    vht
    up
!
interface WifiMaster0/AccessPoint0
    rename AccessPoint
    description "Wi-Fi access point"
    mac access-list type none
    security-level private
    wps
    wps no auto-self-pin
    authentication wpa-psk ns3 ***
    encryption enable
    encryption wpa2
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ssid Home317
    wmm
    rrm
    ft mdid Vf
    ft enable
    up
!
interface WifiMaster0/AccessPoint1
    rename GuestWiFi
    description "Guest access point"
    mac access-list type none
    security-level protected
    authentication wpa-psk ns3 ***
    encryption enable
    encryption wpa2
    encryption wpa3
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ssid Home317-Guest
    wmm
    rrm
    ft mdid 1f
    ft enable
    up
!
interface WifiMaster0/AccessPoint2
    mac access-list type none
    security-level private
    ip dhcp client dns-routes
    ip dhcp client name-servers
    down
!
interface WifiMaster0/AccessPoint3
    mac access-list type none
    security-level private
    ip dhcp client dns-routes
    ip dhcp client name-servers
    down
!
interface WifiMaster0/WifiStation0
    security-level public
    encryption disable
    ip dhcp client dns-routes
    ip dhcp client name-servers
    down
!
interface WifiMaster1
    country-code US
    compatibility AN+AC
    channel width 160
    channel auto-rescan 00:00 interval 1
    tx-burst
    rekey-interval 3600
    band-steering
    band-steering preference 5
    beamforming explicit mu-mimo
    up
!
interface WifiMaster1/AccessPoint0
    rename AccessPoint_5G
    description "5Ghz Wi-Fi access point"
    mac access-list type none
    security-level private
    wps
    wps no auto-self-pin
    authentication wpa-psk ns3 ***
    encryption enable
    encryption wpa2
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ssid Home317
    wmm
    rrm
    ft mdid Vf
    ft enable
    up
!
interface WifiMaster1/AccessPoint1
    mac access-list type none
    security-level protected
    authentication wpa-psk ns3 ***
    encryption enable
    encryption wpa2
    encryption wpa3
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ssid Home317-Guest
    wmm
    rrm
    ft mdid 1f
    ft enable
    up
!
interface WifiMaster1/AccessPoint2
    mac access-list type none
    security-level private
    ip dhcp client dns-routes
    ip dhcp client name-servers
    down
!
interface WifiMaster1/AccessPoint3
    mac access-list type none
    security-level private
    ip dhcp client dns-routes
    ip dhcp client name-servers
    down
!
interface WifiMaster1/WifiStation0
    security-level public
    encryption disable
    ip dhcp client dns-routes
    ip dhcp client name-servers
    down
!