-
Posts
4,400 -
Joined
-
Last visited
-
Days Won
75
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by vasek00
-
-
13 минуты назад, Vch сказал:
Имею роутер keenetic giga(kn-1011) и ретранслятор Keenetic Air. OS 3.9.3 mesh сеть
Ноутбук подключен к kn-1011. Периодически когда возникает нагрузка на канал (идет zoom) пропадают пакеты и время пинга неприлично большое.Клиентов при данном тесте больше не было. Вопрос по клиенту более подробно про него и дрова на нем.
-
Нужен комментарий по статье
Цитата"В данной статье показана настройка версий KeeneticOS с 3.6 до 3.7.4. С версии KeeneticOS 3.8 в интернет-центрах Keenetic доступна новая функция "Приоритизации трафика устройств домашней сети".
....
TIP: Справка: Техническое описание используемых алгоритмов.
Common Applications Kept Enhanced (CAKE) определяет порядок формирования очереди, использующий как AQM, так и FQ. Он объединяет COBALT, который является алгоритмом AQM, в котором комбинируются Codel и BLUE, шейпер, который работает в режиме дефицита, и разновидность DRR++ для изоляции потока.
8-стороннее множественно-ассоциативное хэширование используется для виртуального устранения столкновений хэшей.
Приоритетная организация очереди доступна через упрощенную реализацию diffserv. CAKE использует шейпер с дефицитным режимом работы, который не использует "всплеск", характерный для "алгоритма текущего ведра". Он автоматически передает столько пакетов, сколько требуется для поддержания указанной пропускной способности.
Ранее в Кинетиках использовался механизм FQ_Codel (Fair Queuing Controlled Delay), который определяет порядок формирования очереди, включающий FQ и схему CoDel AQM. FQ_Codel использует стохастическую модель для классификации входящих пакетов в различные потоки и используется для распределения пропускной способности между всеми потоками, использующими очередь. Каждый такой поток управляется формированием очереди CoDel.Вопрос на 409 при отключенной "Классификация трафика и IntelliQoS" или даже включенной "Классификация трафика и IntelliQoS"
~ # cat /proc/sys/net/ipv4/tcp_ecn 2 0 – disable ECN and neither initiate nor accept it 1 – enable ECN when requested by incoming connections, and also request ECN on outgoing connection attempts 2 – (default) enable ECN when requested by incoming connections, but do not request ECN on outgoing connections ~ # cat /proc/sys/net/core/default_qdisc fq_codel ~ #
Вопрос по статье
ЦитатаРанее в Кинетиках использовался механизм FQ_Codel
или я чуток не так понял
ЦитатаCommon Applications Kept Enhanced (CAKE) определяет порядок формирования очереди, использующий как AQM, так и FQ. Он объединяет COBALT, который является алгоритмом AQM, в котором комбинируются Codel и BLUE, шейпер, который работает в режиме дефицита, и разновидность DRR++ для изоляции потока.
И чисто для информации на 409 версии на схеме при запущенным локальном сервисе который потребляет ресурсы проца для своей работы (получение пакетиков данных). Тест три раза.
[iperf3 -c ... -t2400 -P 30 -R]Клиент -- LAN --- KN1011[iperf3 -s]
На KN1011 запущен ЛОКАЛЬНЫЙ сервис iperf3
Буфер размером до 30МB, есть drop пакетов, как итог из потока 1Gb получили 400МБ при загрузке проца
Другой ЛОКАЛЬНЫЙ сервис (область ядра) - TSMB на запись HDD с этого же клиента ПК файла 2,3GB. В данном случае речь не о скорости записи на HDD (который 5400 об) и при той же итоговой загрузке проца.
-
11 минуту назад, krass сказал:
лучше пусть сотрудники тех.по это сделают т.к. там не всё так просто....
Есть два варианта
1. ТП
2. Все делаете на свой страх и риск.
По п.2 если открыть два данных конфига, чуток настроив второй на чистом роутере то нечего сложно там нет, так оба роутера на 1Гбит и оба на 2.4/5 -> имена интерфесов одинаковы, зарег клиенты вообще без проблем, wifi также и т.д.
-
2 часа назад, JonDead сказал:
Возможен корректный перенос настроек из Speedster в Sprinter ? Например в ручную через редактирование?
Да, в ручную можно, если только заглядывали в него хх кол - во раз, так как нужно чуток иметь представление что за блок и за что он отвечает. Со временем понимание приходит если частенько туда заглядывать в кон файл.
-
54 минуты назад, Avtovolk сказал:
Вроде бы на работу роутера никак не влияет, но сам факт
Не обращайте внимание на это.
Proxy loop detected: 192.168.1.1 <-> 192.168.1.1, request dropped. DNS server 192.168.1.1 inactivated.
-
2 часа назад, nikomx сказал:
Спасибо Вам большое за терпение и отзывчивость. Простите мое скудоумие в данном вопросе.
У меня все получилось, работает!
Осталось немного дошлифовать все до идеала.
Проверив, я выяснил, что у меня всего 2 таблицы, 42 и 43 на роутере. 43 как раз с нужным шлюзом, и я прописал маршрут в 43 таблицу, но так же в неё попали почему-то маршруты созданные ранее через web интерфейс, в том числе и openVPN маршруты до моей работы, не хотелось бы что бы они работали для клиентов WG сервера.
Поэтому, подскажите еще, пожалуйста, какой командой можно создать пустую таблицу маршрутизации и прописать основной шлюз в ней nwg2? (что бы затем в неё добавить маршрут для клиентов WG сервера)
Ну и следовательно как удалить прописанный ранее маршрут в 43 таблицу?Удалить ранее прописанный в table просто поставить del в место aďd. Я не в курсе что и как и где вы создавали. По пробуйте дошлифовать так как вам надо, может пересмотрев все настройки заново.
В описанном методе она таблица создается и контролируется ПО роутера, если хотите создавать сами и контролировать ее то тут на форуме куча примеров достаточно в поиске поискать по "ip rule add"
-
1 час назад, nikomx сказал:
2. Настроен, но судя по всему как-то не правильно. Я подключаюсь со смартфона, но почему-то пинги до ip сервера WG со смартфона то идут, то не идут. И в любом случае кроме пингов никуда доступа нет, ни к домашней сети ни в интернет. Провайдера у меня два, оба с белыми ip.
В настройках есть поле разрешенные подсети. По конфигу они например выглядят так
allow-ips 10.16.130.6 255.255.255.255 - клиент allow-ips 192.168.130.0 255.255.255.0 - сеть роутера allow-ips 0.0.0.0 0.0.0.0 - все
Возьмите в базе знаний любую статью про Wireguard настройку и про значение данных полей - allow-ips
1 час назад, nikomx сказал:4. О какой еще команде идет речь? Её можно прописать из WEB Cli интерфейса?
Об одной единственной команде которую нужна для всего этого ее в WEB cli не прописать. Об этом было сказано в моем самом первом посту
В настоящее время одну единственную команду приходиться вводить через Entware - "ip rule add"
Выход из этого самый простой у вас KN1910 на нем легко ставится Entware во внутреннюю память пример с KN1910 ниже
Скрытый текстKeeneticOS version 4.00.A.4.0-0, copyright (c) 2010-2023 Keenetic Ltd. Login: admin Password: ******** THIS SOFTWARE IS A SUBJECT OF KEENETIC LIMITED END-USER LICENCE AGREEMENT. BY USING IT YOU AGREE ON TERMS AND CONDITIONS HEREOF. FOR MORE INFORMATION PLEASE CHECK https://keenetic.com/legal (config)> exec sh BusyBox v1.33.1 (2021-08-22 06:41:01 UTC) built-in shell (ash) / # df Filesystem 1K-blocks Used Available Use% Mounted on /dev/root 19712 19712 0 100% / tmpfs 62320 0 62320 0% /dev tmpfs 62320 240 62080 0% /tmp /dev/ubi0_0 56540 33644 19972 63% /storage /dev/ubi0_0 56540 33644 19972 63% /opt / #
Как видно выше Entware (/opt) занимает всего то 33644 или 33МB (с учетом того что мне необходимо). После установки Entware тут на форуме описано как его установить, добавить/выполнить потом
opkg install ip-bridge ip-full
После чего нужную выполнить ОДНУ ЕДИНСТВЕННУЮ
ip rule add from IP_Клиента table profile_номер_table
где IP_Клиента - это берется из настроек Wireguard сервера для данного клиента, а profile_номер_teble это номер таблицы для вашего профиля (как его найти написано было ранее, без всяких команд)
Цитата- по умолчанию в ПО роутера первый профиль получает номер table 42, следующий 43, следующий 44 и т.д.
-
1 час назад, nikomx сказал:
Я, к сожалению, почти ничего не понял из вышесказанного. Тяжелый слог для меня.
Хорошо можно проще.
1. Wireguard клиент уже настроен и работает.
2. Wireguard сервер для удаленных клиентов поднят (нужен белый IP если нет то например SSTP) настроен и работает.
3. Создать профиль и поместить в него канал п.1
4. Прописать одну команду для клиента из п.2
ip rule add from IP table ПРОФИЛЯ
-
11 час назад, nikomx сказал:
1. На моем keenetic viva 1910 есть рабочий VPN туннель WireGuard до сервера в Германии, прописаны некоторые маршруты что бы определённый трафик шел через этот туннель. Мой кинетик выступает клиентом в данном случае.
2. Теперь мне нужно поднять WG сервер на этом же кинетике, подключить к нему несколько смартфонов, и заставить весь их трафик идти через туннель WG из первого пункта, без доступа к домашней сети.
в Web Cli кинетика следующие команды я выполнил:
interface Wireguard0 security-level private
ip nat Wireguard0
system configuration saveЧто я делаю не так? Или такая схема невозможна?
Где в нескольких местах уже описывал вариант как удаленного клиента завернуть в VPN канал для выхода в интернет. Опишу еще раз может что-то вам подойдет, вариант на базе профилей так как не хорошо когда все в основном профиле, легко запутаться.
1. На роутере есть поднят WARP (у вас WireGuard до сервера в Германии), можно в место WARP заменить на WireGuard до сервера в Нидерландах роли не играет.
2. Создан профиль WARP и в нем только один канал WG активен (ремарка для данного профиля маркировка пакетов будет только тогда и тогда когда появиться живой клиент в данном профиле, т.е. не помещен в него через WEB а когда сработает arp на нем и он будет добавлен в таблицу arp, но нам маркировка не нужна а нужна таблица для данного профиля а она будет создана table)
3. Так как белый адрес на роутер то поднят сервер WG (хотя так же описывал когда и серый и поднят SSTP сервер и подключается клиент) роли не играет.
4. На клиенте смартофоне поднят WG или для SSTP Max (привязка user к IP)
5. После того как все будет настроено, клиент может спокойно подключиться то на что стоит обратить внимание :
- по умолчанию для данного клиента будет маршрутизация через основной прояфиль (т.е. default маршрут для данного профиля согласно приоритетам и галкам на нужных интерфейсах на странице WEB)
- для созданного профиля будет созданна своя таблица маршрутизации и в которой будет свой deafult на нужный интерфейс, в данном случае это п.2
6. Теперь осталось завернуть данного клиента смартфон п.4 в данную таблицу маршрутизации.
- по умолчанию в ПО роутера первый профиль получает номер table 42, следующий 43, следующий 44 и т.д.
- в данном случае WARP профиль имеет table 42
- поместить смартфон в нужную table 42
Клиент удаленно подключился по WG к роутеру 10.16.130.6 dev nwg3 scope link Для него пока существует профиль по умолчанию основной ~ # ip ro default dev ppp0 scope link ...10.16.130.0/24 dev nwg3 proto kernel scope link src 10.16.130.101 10.16.130.6 dev nwg3 scope link ... т.е. выход для него через провайдера ppp0, легко проверяеться speedtest - адрес будет стоять от интерфеса ppp0 Сменим ему выход на наш профиль WARP в котором ~ # ip ro show table 42 default dev nwg0 scope link ... выполнив команду ip rule add from 10.16.130.6 table 42 выход для него теперь через профиль WARP, легко проверяеться speedtest - адрес будет стоять от интерфеса ppp0
При отключение данного клиента и заново подключение все так же работает.
В настоящее время одну единственную команду приходиться вводить через Entware - "ip rule add"
Скрытый текстСервер WG на роутере и два клиента на нем access-list _WEBADMIN_Wireguard3 permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 permit description WG auto-delete interface Wireguard3 description WG security-level private ip address 10.16.130.101 255.255.255.0 - сервер WG ip mtu 1324 ip access-group _WEBADMIN_Wireguard3 in ip global 6553 ip tcp adjust-mss pmtu wireguard listen-port хххх wireguard peer Z8c......DMdnbTY= !AAA endpoint 10.16.130.6:хххх keepalive-interval 30 allow-ips 10.16.130.6 255.255.255.255 - клиент allow-ips 192.168.130.0 255.255.255.0 - сеть роутера allow-ips 0.0.0.0 0.0.0.0 - все ! wireguard peer y09.....gQjHJMCA= !TTT endpoint 10.16.130.18:xxxx keepalive-interval 30 allow-ips 10.16.130.0 255.255.255.0 allow-ips 192.168.130.0 255.255.255.0 allow-ips 0.0.0.0 0.0.0.0 ! up isolate-private Сам WARP interface Wireguard0 description Cloud-warp security-level public ... access-list _WEBADMIN_Wireguard0 permit udp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 permit description Warp-UDP permit tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 permit description Warp-TCP
-
-
10 часов назад, drfischer сказал:
Если имеется в наличие только файл готовой конфигурации для клиентов ShadosSocks вида "ss://Y2uhY....."
p.s. Вопрос в том как создать это самое ShadoSocks-соединение на кинетике.
При наличие установленного на ПК - Shadowsocks-4.4.1.0 - после его запуска -> Сервера -> Импорт адреса из буфера обмена. Потом Серверы -> Редактировать серверы. Потом выбираете нужный и все параметры у вас на экране.
-
2 часа назад, kvsplz9860 сказал:
Можно сделать чтобы если сайт не открывается по гео блоку с ошибкой 1020 он шел автоматом через впн2? А если и там 1020 то через провайдера
Если сайты известны то заверните это AGH+ipset (там же образец по ссылке которую давали), если неизвестны то после первого же запроса станут известны что не доступны и ручками в ipset (опять же как использовать список есть выше по ссылке) прописать.
Дам еще некое решение у вас WG от Proton если вы его подняли и поместили в профиль для него то и table для него так же есть (таблица маршрутизации) так что маркированный трафик можете заводить сразу в нее.
-
На ПО 407 в WEB настройках профиля для двух каналов :
Все настройки в WEB роутера
1. Настроены каналы по приоритету In-2 (eth2.9) и ниже PPPoE (ppp0) в итоге имеем маршруты для данного профиля
~ # ip ro show table 43 default nexthop via 10.10.10.1 dev eth2.9 weight 254 nexthop dev ppp0 weight 254
2. В настройках профиля меняем местами по приоритету PPPoE (ppp0) и ниже In-2 (eth2.9) в итоге имеем маршруты для данного профиля
~ # ip ro show table 43 default nexthop dev ppp0 weight 254 nexthop via 10.10.10.1 dev eth2.9 weight 254 default nexthop via 10.10.10.1 dev eth2.9 weight 254 nexthop dev ppp0 weight 254
3. В настройках профиля меняем местами по приоритету In-2 (eth2.9) и ниже PPPoE (ppp0) в итоге имеем маршруты для данного профиля
~ # ip ro show table 43 default nexthop dev ppp0 weight 254 nexthop via 10.10.10.1 dev eth2.9 weight 254 default nexthop via 10.10.10.1 dev eth2.9 weight 254 nexthop dev ppp0 weight 254
4. В настройках профиля меняем местами по приоритету PPPoE (ppp0) и ниже In-2 (eth2.9) в итоге имеем маршруты для данного профиля
~ # ip ro show table 43 default nexthop dev ppp0 weight 254 nexthop via 10.10.10.1 dev eth2.9 weight 254 default nexthop via 10.10.10.1 dev eth2.9 weight 254 nexthop dev ppp0 weight 254
Последующая смена каналов не чего не меняет
~ # ip ro show table 43 default nexthop dev ppp0 weight 254 nexthop via 10.10.10.1 dev eth2.9 weight 254 default nexthop via 10.10.10.1 dev eth2.9 weight 254 nexthop dev ppp0 weight 254
5. Убираю на канале PPPoE галку, т.е. остается активным только один канал In-2, в итоге
~ # ip ro show table 43 default via 10.10.10.1 dev eth2.9 default nexthop dev ppp0 weight 254 nexthop via 10.10.10.1 dev eth2.9 weight 254 default nexthop via 10.10.10.1 dev eth2.9 weight 254 nexthop dev ppp0 weight 254
6. Убираю на канале In-2 галку и ставлю на PPPoE канале, остается активным только один канал PPPoE-2, в итоге
~ # ip ro show table 43 default dev ppp0 default nexthop dev ppp0 weight 254 nexthop via 10.10.10.1 dev eth2.9 weight 254 default nexthop via 10.10.10.1 dev eth2.9 weight 254 nexthop dev ppp0 weight 254
7. Делаю активными оба : PPPoE и In-2 в итоге
~ # ip ro show table 43 default nexthop dev ppp0 weight 254 nexthop via 10.10.10.1 dev eth2.9 weight 254 default nexthop via 10.10.10.1 dev eth2.9 weight 254 nexthop dev ppp0 weight 254
Сброс роутера и таблица маршрутизации правильная, согласно настроек
~ # ip ro show table 43 default nexthop dev ppp0 weight 254 nexthop via 10.10.10.1 dev eth2.9 weight 254
Ни как не мог понять в чем фишка multipath на профиле, вчера решил посмотреть и в итоге наблюдал тройную запись "default nexthop"
Возможно конечно и не влияет кол-во записей "default nexthop" всегда используется первая "default" но встроенный торрент не хочет работать в такой таблице
set net.ipv4.fib_multipath_hash_policy 1 interface PPPoE0 description RT role inet ... ip global 65431 pppoe service RT connect via ISP up interface GigabitEthernet0/Vlan9 description Inet-2 ... ip global 65380 up ip policy Policy1 description In-2 permit global GigabitEthernet0/Vlan9 permit global PPPoE0 multipath torrent rpc-port 8090 peer-port 51413 directory D-1:/Torrnet policy Policy1
Убирание галок на каналах и даже галки на "многопутевой передачи" не приводит к изменению таблицы
~ # ip ro show table 43 default nexthop dev ppp0 weight 254 nexthop via 10.10.10.1 dev eth2.9 weight 254 default nexthop via 10.10.10.1 dev eth2.9 weight 254 nexthop dev ppp0 weight 254
Привести в чувство можно еще так
Удаление default -> в WEB галки убраны на интерфесах Удаляем одну запись default ~ # ip route del default table 43 ~ # ip ro show table 43 default nexthop via 10.10.10.1 dev eth2.9 weight 254 nexthop dev ppp0 weight 254 Удаляем вторую запись default ~ # ip route del default table 43 ~ # ip ro show table 43 10.10.10.0/24 dev eth2.9 scope link ... Галки ставим на интерфейсах и в итоге все ОК ~ # ip ro show table 43 default nexthop via 10.10.10.1 dev eth2.9 weight 254 nexthop dev ppp0 weight 254 10.10.10.0/24 dev eth2.9 scope link
-
40 минут назад, Slider88 сказал:
Спасибо огромное за развернутый ответ! А можно уточнить нельзя ли маршрут прописать без установки entware? Просто через ssh?
Возможно как то это и можно, так как прошивка же создает table при создание профилей. Но читая cli и единственную команду "ip route" она не позволяет это сделать
Цитата3.70 ip route
Описание Добавить в таблицу маршрутизации статический маршрут, который задает правило передачи IP-пакетов через определенный шлюз или сетевой интерфейс.
- 2
-
29 минут назад, Slider88 сказал:
Прошу подсказать, возможно ли реализовать следующую схему.
keenetic 1711 подключен к интернет через ppoe Ростелекома. Создано подключение wireguard к личному серверу. Устройства, которые подключены к keenetic 1711 через профиль прописан доступ в интернет через wireguard - все работает.
Создан sstp сервер на этом же кинетике, к которому подключен клиент из вне.
Желаемый результат: что бы клиент sstp получал интернет через wireguard соединение. В настоящее время он получает интернет через через основного провайдера (Ростелеком). Профиль клиенту через wireguard настроить через веб интерфейс не смог (не нашел где и как)
p.s. на клиенте в другой сети нельзя напрямую настроить wireguard, т.к. этот тип соединения блокируется.
1. Поднять Entware (+ ip route) для того чтоб прописать маршрут на нужную table
2. Клиент sstp получает IP от сервера sstp
3. Так как есть профиль
Создано подключение wireguard к личному серверу. Устройства, которые подключены к keenetic 1711 через профиль прописан доступ в интернет через wireguard - все работает.
то есть таблица маршрцтизации для данного профиля
4. нужно для данного клиента sstp маршрут в данную таблицу маршрутизации данного профиля
***************
Клиент подключился к SSTP серверу в итоге он получил например 172.16.13.1 (согласно настроек VPN сервера SSTP)
Проверяем выход данного клиента через speedtest и смотрим какой IP показывает, он должен быть от РТ.
На роутере стоит Entware делаем маршрутизацию данного клиента на профиль Wireguard, в моем случае это table 42 (в ПО Keenetic нумерация table идет с 42, далее 43, далее 44 от кол-ва профилей)
Профиль Wireguard ~ # ip route show table 42 default dev nwg0 scope link Основной профиль через РТ ~ # ip ro default dev ppp0 scope link ~ # ip rule add from 172.16.13.1 table 42
В итоге получаем
Скрытый текстВ моем случае есть два профиля Wireguard0 - table 42 и Wireguard4 - table 44
1. ~ # ip rule add from 172.16.13.1 table 42
2. ~ # ip rule add from 172.16.13.1 table 44
Если не прописывать маршрут на нужную table то клиент идет по умолчанию по основному профилю и канал РТ, т.е. speedtest говорит IP от РТ.
Данную инструкцию проверял ранее 3.9.х и проверил сейчас 4.0.х на мобильном клиенте - все работает
- 2
-
1 час назад, kvsplz9860 сказал:
Я уже на doq. Земля и небо. Считаю что каждый вопрос нужно изучать досканально или не тратить время вообще
А не поделитесь решением данного вопроса и в чем "земля и небо".
-
1 час назад, kvsplz9860 сказал:
Бесплатно?
Какие ещё существуют сервера quic? С регистрацией и без
Бесплатно до 300 тыс. запросов. Кто еще - не в курсе, может в интернете что то и найдете.
Вы сильно углубились в данном вопросе и придаете какое то крутое значение.
Оставьте tls.
-
В догонку так же работает и nextdns
DNS-over-TLS/QUIC --- c.....d.dns.nextdns.io quic://c.....d.dns.nextdns.io
-
6 часов назад, MDP сказал:
У меня ругается ... говорит, что не работает.
Если вписать сервера самого Adguard после регистрации на adguard-dns.io
DNS-over-HTTPS https://8...9.d.adguard-dns.com/dns-query DNS-over-TLS tls://8...9.d.adguard-dns.com DNS-over-QUIC quic://8...9.d.adguard-dns.com
то на странице настройки "Upstream DNS-серверы" прописать например одинquic://8....9.d.adguard-dns.com
то все работает. На бесплатной регистрации 300тыс. запросов.
-
3 часа назад, Denis P сказал:
Эт самое, так где там речь про easy mesh?)
И обратите внимание на мое сообщение - 802.11r не был упомянут осознанно
При чем тут easy mesh, вы хоть как это назовите Denis-mesh принципа работы это не меняет.
Цитатаникто вам не запрещает одинаково назвать сети,включить 802.11k/v и пользоваться разношерстными ap
Да используйте что хотите, хоть без 802.11 k и v, достаточно иметь одно имя на разных ТД остальное это плюшки улучшения для роуминга клиента. Миграция клиента с одной ТД на другую ТД с разрывом сессии то же считается роумингом клиента.
-
17 минут назад, krass сказал:
Сайт не доступен? у меня все ссылки открылись..
Понял, сайт то доступен только вот вопрос по статьям и конкретно роуминг.
400 Bad Request Request Header Or Cookie Too Large nginx/1.22.0
Тогда поправлю если это у меня.
-
Цитата
Рекламные буклеты это просто замечательно, но даже сейчас никто вам не запрещает одинаково назвать сети,включить 802.11k/v и пользоваться разношерстными ap
Не большая ремарка, 802.11krv это конечно хорошо но есть фишка в IAPP
https://www.manualsdir.ru/manuals/235308/planet-technology-wrt414.html?page=57
или
ЦитатаIAPP работает относительно просто. Когда устройство пользователя подключается к новой точке доступа (например, когда пользователь меняет физическое местоположение), точка доступа передает две части информации по сети, что напоминает отправку напоминания. Первая часть информации идентифицирует устройство пользователя и позволяет сети знать, где находится устройство. Второй фрагмент информации идентифицирует точку доступа и позволяет сети знать, как маршрутизировать данные для достижения устройства пользователя. Эти «заметки» имеют временную метку, поэтому сеть знает, что каждый новый набор информации переопределяет предыдущие инструкции.
IAPP формально известен как IEEE 802.11F и представляет собой набор необязательных дополнительных правил для IEEE 802.11, который является базовой платформой Wi-Fi. В 2003 году IEEE опубликовал IAPP в качестве рекомендации для пробного использования. На практике, однако, IAPP не сделал достаточно для решения проблем отслеживания перемещения устройства между точками доступа, которые использовали оборудование разных производителей. Кроме того, этого недостаточно для решения проблем безопасности, связанных с такой настройкой, или проблемы поддержания быстрых соединений данных. В 2006 году IEEE отозвал свою рекомендацию, что означает, что он больше не является частью официальных стандартов Wi-Fi.
или
ЦитатаЕсли у вас несколько железок с одинаковыми SSID и вы строите роуминговую сеть, они должны быть совместимы на уровне iaap. Ибо именно этот механизм отвечает за удаление старых записей на АП с которой мигрировали, за счёт посылки IAPP notify с адресом клиента в сторону ТД с которой мигрировали.
Это КРИТИЧНО! Особенно если включен 802.11r.Стандарт не регламентирует формат iapp сообщений и их логику, совместимости между АП разных вендоров и даже разных лет производства. А иногда и между разными версиями ПО для одной и той же железки.
или https://union-z.ru/articles/novyy-td-i-tekuschiy-td-chto-znachit-wifi.html
Скрытый текстЦитатаДля чего нужна связность между AP?
Дело в том, что AP между собой обмениваются информацией, используя протокол IAPP, внутри которого бегают данные, например, необходимые для ускорения фазы аутентификации при использовании FT (не будем вдаваться в подробности, т. к. это тема отдельной большой статьи).
Самое важное – этот же IAPP используется для move notify.
Таким образом, AP, на которую мигрировал клиент, сообщает всем своим соседям о том, что клиент теперь работает через неё, и запись для этого клиента можно удалить из MAC table старой AP.
Важно это потому, что чаще всего клиент при миграции не посылает LEAVE той AP, с которой мигрировал. AP, продолжая думать, что клиент всё ещё обслуживается на ней, продолжает пытаться послать данные из очереди в сторону этого клиента. Учитывая, что клиент её уже не слушает, такие передачи всегда будут неудачными. Но проблема не в этом, она глубже: дело в том, что пока AP пытается выполнять TxRetry в сторону такого клиента, никакая передача больше невозможна. TxRetry limits могут быть достаточно большими, к тому же RATE-ALG закономерно снижает rate, думая, что просто ухудшились параметры эфира, и пробует снова. В некоторых случаях этот процесс может занимать секунды, а все соседи на этой AP будут ждать, когда же их обслужат. Проще говоря всё это время любой другой обмен данными с этой AP будет парализован.
Move notify позволяет свести к нулю подобные проблемы, удаляя запись о клиенте из MAC table AP сразу по приходу нотификации о том, что клиент уже обслуживается другой AP.
Источник https://wi-cat.ru/wi-fi-roaming/roaming-distribution-system/
почему то не доступен сегодня 04.02.23
57 минут назад, krass сказал:как это будет в реале....когда контроллер кинетик ,а точки доступа asus+tplink+netgear.... поживем-увидим....
в реале если это пользователя устроит при работе - для серф. интернета и не будет "зависона" всей wifi сети или отвала клиентов и т.д., то почему бы нет.
Но в каждом случае все индивидуально.
-
Появилась (или была ранее на 4.x) старая болячка "флуд на WG" по описанному п.3 т.е.
- основной канал PPPoE поднят и он основной
- WG канал в резерве
отключаю основной канал PPPoE на и WG появляется "флуд"
Скрытый текстпод wifi клиентом на WEB роутера не войти, под LAN клиентом без проблем. После восстановления каналов интернета - клиент wifi основного bridge0 сегмента без проблем подключился, почему основного потому что есть доп. сегмент bridge1 с wifi 2.4 и своими клиентами, но про них речь уже ниже.
******
Так же заметил проблему после такого эксперимента с октлючением PPPoE канала и флудом на WG. Есть доп.сегмент wifi 2.4 для умного дома и чуток клиентов. Так после описанной выше "болячки" когда все поднялось PPPoE/WG и клиент wifi основного сегмента подключился без проблем, то клиенты доп.сегмента bridge1 умного дома отказались подключаться (в этом сегменте только wifi 2.4 клиенты). Пришлось передернуть Wifi данного сегмента (вкл/выкл.) тогда один клиент подключился сразу же (марка всех одинакова), а другие курили.
Фев 4 08:36:07 ndm Network::Interface::Rtx::WifiMonitor: "WifiMaster0/AccessPoint1": STA(....:5f) had deauthenticated by AP (reason: PTK 4-way handshake timeout). Фев 4 08:36:12 ndm Network::Interface::Rtx::WifiMonitor: "WifiMaster0/AccessPoint1": STA(....:99) had associated successfully. Фев 4 08:36:12 ndm Network::Interface::Rtx::WifiMonitor: "WifiMaster0/AccessPoint1": STA(....:5f) had associated successfully. Фев 4 08:36:18 ndm Network::Interface::Rtx::WifiMonitor: "WifiMaster0/AccessPoint1": STA(....:99) pairwise key handshaking timeout (msg 1 of 4-way). Фев 4 08:36:18 ndm Network::Interface::Rtx::WifiMonitor: "WifiMaster0/AccessPoint1": STA(....:99) had deauthenticated by AP (reason: PTK 4-way handshake timeout). Фев 4 08:36:18 ndm Network::Interface::Rtx::WifiMonitor: "WifiMaster0/AccessPoint1": STA(....:5f) pairwise key handshaking timeout (msg 1 of 4-way). Фев 4 08:36:18 ndm Network::Interface::Rtx::WifiMonitor: "WifiMaster0/AccessPoint1": STA(....:5f) had deauthenticated by AP (reason: PTK 4-way handshake timeout).
через некоторое время еще одному удалось подключиться
Фев 4 08:38:06 ndm Network::Interface::Rtx::WifiMonitor: "WifiMaster0/AccessPoint1": STA(......:5f) set key done in WPA2/WPA2PSK. Фев 4 08:38:06 ndhcps DHCPDISCOVER received from .....:5f. Фев 4 08:38:06 ndhcps making OFFER of 192.168.150.4 to .....:5f. Фев 4 08:38:06 ndhcps DHCPREQUEST received (STATE_SELECTING) for 192.168.150.4 from ....:5f. Фев 4 08:38:06 ndm Netfilter::Util::Conntrack: flushed 52 IPv4 connections. Фев 4 08:38:06 ndhcps sending ACK of 192.168.150.4 to ......:5f. Фев 4 08:38:07 ndhcps DHCPREQUEST received (STATE_SELECTING) for 192.168.150.4 from ....:5f. Фев 4 08:38:08 ndhcps sending ACK of 192.168.150.4 to .....:5f. Фев 4 08:38:08 ndm Network::Interface::Rtx::WifiMonitor: "WifiMaster0/AccessPoint1": STA(.......:99) had associated successfully.
с момента первой записи о проблеме на клиентах
Подъем каналов - PPPoE и WG ранее [I] Feb 4 08:30:06 kernel: br1: port 2(ra1) entered disabled state [I] Feb 4 08:30:06 ndm: Network::Interface::Base: "WifiMaster0/AccessPoint1": "base" changed "conf" layer state "running" to "disabled". [I] Feb 4 08:30:06 ndm: Network::Interface::Base: "WifiMaster0/AccessPoint1": interface is down. [I] Feb 4 08:30:06 ndm: Core::System::StartupConfig: saving (http/rci). [I] Feb 4 08:30:06 kernel: br1: port 2(ra1) entered disabled state [I] Feb 4 08:30:06 ndm: Network::Interface::Base: "Bridge1": "l2-base" changed "link" layer state "running" to "pending". [I] Feb 4 08:30:06 ndm: Hotspot::Discovery::Explorer: "Bridge1": Interface Bridge1 IPv4 neighbour explorer stopped. [I] Feb 4 08:30:10 kernel: IPv6: ADDRCONF(NETDEV_UP): ra1: link is not ready [I] Feb 4 08:30:10 kernel: IPv6: ADDRCONF(NETDEV_CHANGE): ra1: link becomes ready [I] Feb 4 08:30:10 kernel: br1: port 2(ra1) entered blocking state [I] Feb 4 08:30:10 ndm: Network::Interface::Base: "WifiMaster0/AccessPoint1": "base" changed "conf" layer state "disabled" to "running". [I] Feb 4 08:30:10 kernel: br1: port 2(ra1) entered listening state [I] Feb 4 08:30:10 ndm: Network::Interface::Base: "WifiMaster0/AccessPoint1": interface is up. [I] Feb 4 08:30:10 ndm: Core::System::StartupConfig: saving (http/rci). [I] Feb 4 08:30:10 kernel: br1: port 2(ra1) entered blocking state [I] Feb 4 08:30:10 kernel: br1: port 2(ra1) entered listening state [I] Feb 4 08:30:10 ndm: Core::System::StartupConfig: configuration saved. [I] Feb 4 08:30:10 ndm: Network::Interface::Base: "Bridge1": "l2-base" changed "link" layer state "pending" to "running". [I] Feb 4 08:30:10 ndm: Hotspot::Discovery::Explorer: "Bridge1": Interface Bridge1 IPv4 neighbour explorer started. [I] Feb 4 08:30:11 ndm: Network::Interface::Rtx::WifiMonitor: "WifiMaster0/AccessPoint1": STA(.....:99) had associated successfully. ....
После ожидания все подключились
Фев 4 08:41:02 ndm Network::Interface::Rtx::WifiMonitor: "WifiMaster0/AccessPoint1": STA(......:99) set key done in WPA2/WPA2PSK. Фев 4 08:41:02 ndhcps DHCPDISCOVER received from .....:99. Фев 4 08:41:02 ndhcps making OFFER of 192.168.150.2 to ......:99. Фев 4 08:41:02 ndhcps DHCPDISCOVER received from ......:99. Фев 4 08:41:02 ndhcps making OFFER of 192.168.150.2 to ......:99. Фев 4 08:41:02 ndhcps DHCPREQUEST received (STATE_SELECTING) for 192.168.150.2 from ......:99. Фев 4 08:41:02 ndm Netfilter::Util::Conntrack: flushed 60 IPv4 connections. Фев 4 08:41:03 ndhcps sending ACK of 192.168.150.2 to .....:99.
Время на раздумье около 10минут при таком поведение хватило.
В итоге делаю вывод что оценка интернет каналов (состояние) приводит ????? на других интерфейсов не связанных с данными каналами - например bridge1 доп.сегмент в котором только 2.4 wifi.
Все как бы ОК но в WEB роутера "шторка" с надписью "Потеря соединения с интернет центром". Придется перезапустить его.
Настройки доп.сегмента простые
Скрытый текстinterface Bridge1 description HomeSmart include GigabitEthernet0/Vlan3 include WifiMaster0/AccessPoint1 mac access-list type permit mac access-list address .....:af mac access-list address .....:99 mac access-list address .....:5f mac access-list address .....:00 mac access-list address .....:c1 mac access-list address .....:e0 security-level protected ip address 192.168.150.101 255.255.255.0 ip dhcp client dns-routes ip dhcp client name-servers up interface WifiMaster0/AccessPoint1 mac access-list type none security-level protected authentication wpa-psk ns3 *** encryption enable encryption wpa2 ip dhcp client dns-routes ip dhcp client name-servers ssid Smart up
- 1
-
Проверю на новой версии.
Update.
Сейчас все ОК, перезапуск TSMB не нашел.Проверил во всех своих ракурсах :
1. выключение/включение интерфейсов WG которые подняты на провайдере PPPoE
2. при shed на Wifi по расписанию все ОК так же, хотя ранее было передергивание
3. выключение основного канала PPPoE и ожидание WG (3 мин) - тут то же все нормально
Вопросов по TSMB нет.
- 1
AdGuard Home зависает на Keenetic Omni если включены логи
in Вопросы по сборке и настройке Opkg
Posted
He заметил как то
1. Включен журнал на 24 часа
2. Включена статистика на 24 часа
А вот основные настройки галка только "Блокировать домены с использованием фильтров и файлов хостов".
querylog: enabled: true file_enabled: true interval: 24h size_memory: 1000 ignored: [] statistics: enabled: true interval: 1 ignored: [] ... log_file: "" log_max_backups: 0 log_max_size: 100 log_max_age: 3 log_compress: false log_localtime: false verbose: false