r13
-
Posts
5,224 -
Joined
-
Last visited
-
Days Won
64
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by r13
-
-
17 минут назад, FatBone сказал:
Добрый день!
Вот такое в терминале KN-1811
(config)> crypto engine software
IpSec::CryptoEngineManager: IPsec crypto engine set to "software".
(config)> crypto engine hardware
Command::Base error[7405602]: engine: argument parse errorВ моделях с арм процессором нет этого ускорителя
-
-
@eralde в новом веб интерфейсе при редактировании настроек пользователя сбрасывается пароль пользователя при сохранении
- 2
-
Приветствую
@vst на 4.2 заметил отсутствие v6 маршрута по умолчанию через проводное соединение interface GigabitEthernet0/Vlan50(адрес есть, префикс есть)
Кроме того в таблице маршрутизации добавлено несколько маршрутов по умолчание через WG интерфейсы
На 4.1 все работает корректно.
Селфтест следом
-
1 час назад, Le ecureuil сказал:
Ничего не понял.
deny и политика - это ортогональные понятия.
На хосте может быть1 - политика и deny (правда смысл, все равно доступа нет)
2 - политика и permit (доступ есть, по политике самого хоста)
3 - conform и deny (тоже смысла мало, доступа нет)
4 - conform и permit (доступ по политике с интерфейса).
Какие из вариантов работают неверно?
Все перечисленные работают верно,
Невозможно сделать:
no conform и permit - то есть не следовать политике сегмента, а следовать "политике по умолчанию", которую к сожалению никак явно в команде ip hotspot не прописать.
После перезагрузки conform выставляется снова для такого сценария.
Зы у @dimon27254 тоже самое описано.
-
В 11.04.2024 в 22:45, Le ecureuil сказал:
conform всегда ставится автоматически, если нет другой политики. Это нормально и правильно.
А вот то, что не работает запрет доступа - это другое, conform по идее этому ортогонален. Это будем чинить.
Тут проблема в том, что политику default-policy нельзя выбрать явно для клиента, только policyX, а дефаулт - это автоматом conform - что в случае deny политики на сегменте ведет к отсутсвию интернета.
Перещелкивание политики для клиента помогает, но только до перезагрузки. После нее conform возвращается.
Надо это как то разрулить.
- 2
-
16 минут назад, КлаваК сказал:
Спасибо за ответ.
Интересует "обратная" совместимость, как кенетики относятся к DAC-10G кабелям, и к модулям SFP+2.5G, SFP+10G-50G
Наиболее вероятно не заведется, так как в кине sfp а не sfp+
-
1 час назад, КлаваК сказал:
Подскажите пожалуйста, какие скорости поддерживают гнёзда SFP в моделях где они установлены?
1 Gigabit
1 час назад, КлаваК сказал:Второй вопрос, в перечисленных выше моделях возможно переключить гнездо SFP с WAN на LAN, а для WAN использовать любой другой RJ45 порт?
Во всех моделях назначение портов можно поменять
-
24 минуты назад, Denis P сказал:
Жирно. Неужели quiche от cloudflare такой требовательный?
С учетом что в кинетике стартует куча экземляров для политик вполне может жрать много.
-
1 час назад, Le ecureuil сказал:
потому дырку откроем
и на том спасибо!
-
10 минут назад, gaaronk сказал:
А вы как я сделайте...
system set net.ipv6.conf.all.forwarding 0 set net.ipv6.conf.all.disable_ipv6 1 set net.ipv6.conf.default.disable_ipv6 1
... и нет никакого IPv6
Так мне как раз хочется чтоб было )))
-
В 02.04.2024 в 17:10, Le ecureuil сказал:
Реализовано открытие порта и bind только на актуальный адрес.
@Le ecureuil Опять дискриминация! Дырка открыта в ipv4, в ipv6 закрыто
-
1 час назад, Петька и Василий Иванович сказал:
В окошках есть ipconfig и там все видно. Здесь как выйти,?
Ну по sh interface Home можно увидеть ll адрес роутера к примеру
-
2 часа назад, Петька и Василий Иванович сказал:
Тогда как понять что, где, когда и на коком сетевом интерфейсе?
То по "show ipv6 prefixes" получается не все?
Линк локал к префиксам отношения не имеет, их каждое устройство назначает себе само, роутер к этому отношения не имеет, так что просто держать в голове что существует обмен с адресами fe80::
-
24 минуты назад, Петька и Василий Иванович сказал:
Не отображены в интерфейсе Link-local.
Они и не отображались никогда так как понятие маршрутизации к ним не применимо.
-
Это dhcpv6, он использует linklocal адреса, так что все корректно.
-
@zyxmon в случае использования интерфейса созданного в entware непонятно в чем будет профит от использования политики, так как переключать default route для такого интерфейса все равно придется так же через скрипты. Возможно в данном случае инструкция из первого поста темы более релевантна.
- 1
-
1 час назад, vasek00 сказал:
Лезет как просто слушает или стучится?
И слушает и стучится.
- 1
-
+1 ZT лезет через все щели, в некоторые его пускать не хочется
- 1
-
1 час назад, Freedom сказал:
Не могу понять, почему это работает, если в /opt/etc/ndm/netfilter.d/010-bypass.sh мы вручную указываем nwg0?
Там отрицание, не nwg0
-
9 часов назад, vt83c572 сказал:
Вопрос как заставить android 14 IKEv2/IPsec работать на прямую с белым ip. Не используя сервис KeenDNS облако. Какие команды , не хочется коробку продавать, а тут на тебе только через облако.
Если использовать strongswan, а не встроенный клиент, то в нем можно отдельно прописать server address и server indentity. В первое пишем ip адрес во второе keendns name. Без имени совсем не получится, оно используется для валидации сервера клиентом.
-
-
Для пинга ll адреса обязательно указывать интерфейс через какой какой требуется выполнять пинг, без этого пинг не заработает, так как ll адреса не маршрутизируемые.
ЗЫ ну и по замечанию "не требуется", к примеру ios игнорирует ipv6 при отсутсвии ipv6 dns сервера.
-
Как проверяете? ll адрес должен быть доступен.
4.2а5 Отсутствует ipv6 default route
in Тестирование Dev-сборок
Posted
На а6 работает.