r13

@ankar84 Для "Постоянная VPN" (Always-On VPN) вам еще статический белый IPадрес понадобится, имейте ввиду, а так IPSec Xauth PSK уже есть, но пока без возможности использовать его как маршрут по умолчанию.

@Le ecureuil куда-то отвалился конфиг, в конфиге вроде все есть, а в логе для IPIP10 07[CFG] no config named 'IPIP10' селфтест далее

Добавишь такую проверку для этой лампочки, начнут ныть те у кого трафик через ван начал утекать на модеме не пойми куда ...Нет в жизни счастия.

В логе в последнее время часто вижу следующее: Dec 01 20:15:14ndm kernel: usb 1-1: reset high-speed USB device number 2 using xhci-hcd Dec 01 20:15:14ndm kernel: xhci-hcd xhci-hcd: xHCI xhci_drop_endpoint called with disabled ep 8ff00e80 Dec 01 20:15:14ndm kernel: xhci-hcd xhci-hcd: xHCI xhci_drop_endpoint called with disabled ep 8ff00eac Оно хоть и зеленое в логе, но что бы это значило? ЗЫ Работает вроде нормально.

ССылка есть в первом объявлении: http://files.keenopt.ru/cli_manual/

В CLI vpn-server lcp echo {interval} {count} [adaptive] Подробнее в мануале по CLI

Индикатор фиксирует что установлено интернет соединение, а если что- то за шлюзом (провайдер, али роскомнадзор не дает вам подключиться к желаемому, то индикатору не ведомо) То что вы подключены к провайдеру, но за неуплату на все запросы он вас редиректит на страничку с предложением оплатить это как считать есть интернет или нет? (это уже вопрос из области филосовских предпочтений :))

Ура, Правильно я понимаю что теперь можно организовать полноценный MultiWan и при этом использовать IPSec из прошивки? если использовать iptables без патча только для добавления своих записей и не пользоваться save/restore то ничего не поломается я полагаю?

@ndm Еще к предложениям о использованию: возможность Менять состояние Индикатора FN из под OPKG.

Напишу тут, Что-то на крайней v2.08(xxxx.4)A11 В части IPSec поломалось, настройки не менялись, только обновление. Причем только в части серверной функции. так как после обновления пары девайсов они перестали коннектиться, но исходящий коннект к 1му еще не обновленному поднимался исправно. После обновления последнего и к нему перестало коннектиться. VirtualIP сервер тоже перестал пускать.

тут было: https://forum.keenetic.net/topic/358-ip-cloud-keendns/?do=findComment&comment=10943

@Le ecureuil Это решение предполагает переименование интерфейсов, а как показывает практика, ndms к этому плохо относится, может стоит использовать description интерфейсов? https://forum.keenetic.net/topic/864-интерфейс-isp-пропадает-из-вкладки-ipoe-при-переименовании/

А это уже вопрос к вашему dropbear, что он в лог откинул, ndms тут ни при чем, к тому же сеть ваша и вы по хорошему знаете какие порты у вас открыты и какие сервисы на этих портах висят.

Это же порты источника, они зачастую всегда рандомные, а порт назначения 22

И еще не баг а скорее наблюдение, пинг через IPIP10 over IPSec сильно выше чем через PPTP Через PPTP 5-6 Через IPIP over IPSec 60-70 между одними и теми же точками.

Сейчас на ультре 2 крутится IPIP over IPSec клиент + IPIP over IPSec сервер + IPSec virtual IP Вроде все работает, После перезагрузки роутера криво поднялся IPIP10 over IPSec клиент, по логу вроде все ок, а пакеты не ходят. interface IPIP10 up исправило ситуацию (селфтест ниже) PS IPSec virtual IP как шлюз по умолчанию еще не работает или уже работает? Если работает, то как настроить?

Административно отключен точно не надо т.к. это ручная операция и хук на нее не нужен. А вот 2й и 3й пункт интересны. Уход default route думаю является следствием На Ethernet интерфейсе пропал линк / У PPP упало PPP-соединение так что тоже видимо не актуально. З Ы Текущий wan.d без переменных срабатывает при полном отсутствии интернет подключения или как то иначе?

Поэкерементировал с 2я поднятыми каналами и 2мя маршрутами до одной сети через них (PPTP и IPIP) Результаты: 1. Ничего страшного не происходит, производится какая-то хитрая приоритезация: Если поднят IPIP то есть маршрут через него, если подняты оба то есть маршрут только через PPTP Если отключить PPTP то возвращается маршрут через IPIP (проверял через веб и через opkg) 2. Метрики таки есть, если смотреть через opkg то добавленные в web маршруты с метриками действительно содержат метрики. 3. Вылез мелкий баг в web при редактировании маршрутов к одной и той же сети: Добавил 2 маршрута к одной сети через IPIP и PPTP, все ок Если затем отредактировать PPTP маршрут например убрать галку "добавлять автоматически" то маршрут через IPIP удаляется. Зеркальная операция не работает, Если редактировать маршрут через IPIP то все ок UPD Даже редактировать не обязательно, если сначала добавить маршрут через IPIP а затем до той же сети через PPTP то маршрут через IPIP затирается В логе следующее: Nov 26 18:43:15ndm Network::RoutingTable: added static route: 192.168.10.0/24 via IPIP10. Nov 26 18:43:15ndm Core::ConfigurationSaver: saving configuration... Nov 26 18:43:19ndm Core::ConfigurationSaver: configuration saved. Nov 26 18:43:23ndm Network::RoutingTable: deleted static route: 192.168.10.0/24 via IPIP10. Nov 26 18:43:23ndm Network::RoutingTable: renewed static route: 192.168.10.0/24 via PPTP0. Nov 26 18:43:23ndm Core::ConfigurationSaver: saving configuration...

В качестве шлюза со строны клиента указывается созданный интерфейс (PPTP0 например) этого достаточно.

Здравствуйте. В wiki сказано что при падении wan.d сксрипты запускаются с всеми пустыми переменными. Возможно ли изменить это поведение и передавать переменную $interface что бы знать какой именно интерфейс упал.

Ну сама функция фиксации врядли сомнительна, здесь сомнительна цель топикстартера PS Смена IMEI да сомнительна. @msya OPKG + iptables в части ttl вас спасет.

@Le ecureuil Почитал документацию, в текущей реализации метрика в маршрутах не используется. Как будет осуществляться маршрутизация если скажем у меня 2 соединения между роутерами PPTP и IPIP и маршруты на них висят одинаковые?

@KorDen Спасибо. @Le ecureuil IPIPoverIPsec туннель завелся только после того как удалил крито карту обычного IPSec туннеля на сервере(на вкладке безопасность) Там был ike v2 сервер, видимо они как то мешают друг другу. селф тесты далее.

Судя по таблице маршрутов да )

насколько я знаю все торрент клиенты так работают, если состав данных в торренте изменился то это новая загрузка.