[Все о туннелях IPIP, GRE и EoIP]

2 часа назад, dexter сказал:

А можно совместно поднять IP-IP туннель и EoIP оба с IPSec. А то начал поднимать EoIP и отвалился у меня клиент IP-IP туннеля?

Уже задавался этим вопросом, ответ - автоматический туннель  в серверном режиме на роутере может быть только 1.

Нужно больше, вручную настраиваем ipsec отдельно, а поверх него уже туннели без ipsec составляющей.

[Dead OSes (OS/2 Warp)]

1 час назад, Roman_Petrov сказал:

Интересно, какая здесь связь однако? Странно сделано. Я IntelliQoS специально выключил, зачем проц подгружать если канал нормальный.

Данная служба анализирует трафик( типа dpi) и по характеристикам предполагает источник этого трафика для целей qos. Что странного?

[Dead OSes (OS/2 Warp)]

4 минуты назад, Goblin сказал:

@ndm, giga 2 прошивка 2.09.A.8.8-0 что-то нет у меня такого. как добиться?

 

  Скрыть содержимое

 

 

 

Включить IntelliQoS

[HTTPS SSL и удаленный доступ]

1 час назад, Geont сказал:

Всем здравствуйте!

• Есть ли возможность установить на устройство свой SSL-сертификат для доступа к web-интерфейсу по https с сертификатом, выданным на доменное имя?

На данный момент нет. 

[Не отображаются подключения ipsec VPN]

Отображается корректно На Ультра2.

[Все о туннелях IPIP, GRE и EoIP]

38 минут назад, Le ecureuil сказал:

А dump пакетов на WAN показывает, что создаются фрагменты, или нет?

Дача в оффлайне, в выходные сделаю.

В том  эксперименте был с одной стороны ipoe c другой стороны lte модем c keenetic, между ними ручной site to site ipsec поверх которого eoip. как уже писал, не работало.

Сейчас между двумя точками с ipoe просто через интернет прокинут eoip туннель, проходят пинги до 1486 включительно с компьютера,а из web интерфейса любые, пробовал 10000, проходит. Так что видимо работает фрагментация.

ЗЫ или я не знаю как правильно тестить

ЗЫ2 да в текущем дампе есть фрагментация. Оно или нет?

 

Скрытый текст

 

[Wi-Fi 5 ГГц на 2.09.A.7.0-3]

35 минут назад, ydzhus сказал:

Например, реализация 160 MHz, MU-MIMO, WAVE 2 хоть в какойто мере.

Нет этого всего в используемом чипе. Так что хардверное ограничение.

[Все о туннелях IPIP, GRE и EoIP]

10 минут назад, Le ecureuil сказал:

На каком размере пакета перестает пролезать?

1352 - максимально пролезающий.

Буду экспериментировать далее..

[Настройка ping-check на интерфейс включенный в Bridge]

9 минут назад, Le ecureuil сказал:

Там передергивание занимает сотню миллисекунд, скорее всего не заметите даже

А если у меня в бридже ISP интерфейс то пинг чек будет линк на порту свитча гасить или  он только eoip передергивает?

[Все о туннелях IPIP, GRE и EoIP]

В 06.01.2017 в 20:04, r13 сказал:

  @Le ecureuil Если туннель(EoIP) создан поверх ручного IPSec туннеля то mtu в ручную выставлять или авто настройка корректно отработает?

В 09.01.2017 в 12:22, Le ecureuil сказал:

Надо вручную, автонастройка работает только при автоматической конфигурации из первого поста.

На прошивке 2.09.A.7.0-3 EoIP "что-то" автоматом подстраивает, правда разное с обоих концов:

May 13 21:20:11ndm
Network::Interface::Tunnel: "EoIP2": resolved destination 10.0.0.1 (10.0.0.1).
May 13 21:20:11ndm
Network::Interface::Tunnel: "EoIP2": resolved source 10.0.0.2.
May 13 21:20:11ndm
Network::Interface::Base: "EoIP2": network MTU is 1326.
May 13 21:20:11ndm
Network::Interface::EoIP: "EoIP2": plain tunnel is ready.

May 13 21:22:01ndm
Network::Interface::Tunnel: "EoIP2": resolved destination 10.0.0.2 (10.0.0.2).
May 13 21:22:01ndm
Network::Interface::Tunnel: "EoIP2": resolved source 10.0.0.1.
May 13 21:22:01ndm
Network::Interface::Base: "EoIP2": network MTU is 1476.
May 13 21:22:01ndm
Network::Interface::EoIP: "EoIP2": plain tunnel is ready.

Ну это так, к слову.

Пытаюсь после включения net.core.eoip_allow_fragment 1

пинговать длинным пакетом, не пролезает

mtu надо на EoIP в этом случае задавать?

Роутер надо перезагружать после net.core.eoip_allow_fragment 1?

[Сломался IPsec После прошивки v2.08(AANS.0)C2]

Только что, Le ecureuil сказал:

Переходите на IKEv2 везде для site-to-site туннелей, оставляйте IKEv1 только для Virtual IP.

И все будет хорошо

Уже понял, перешел.

[Wi-Fi 5 ГГц на 2.09.A.7.0-3]

Откатиться и сравнить для начала можно.

[Сломался IPsec После прошивки v2.08(AANS.0)C2]

1 час назад, KorDen сказал:

@r13, у меня нормально работает VirtualIP совместно с транспортом IKEv2 AES-128/SHA1/modp2048, в том числе нормально ходит из VirtualIP в другой.

Да, если ikev2 выставить у обычного IPSec то становится совместимо.

[Настройка ping-check на интерфейс включенный в Bridge]

1 час назад, distinctive сказал:

А как быть с туннелями включенными в домашний бридж? я же не могу пингчек повесить на сам еоип если у него нет адреса

Повесить пингчек на домашний бридж. Правда при передергивании по нему интернет будет пропадать

[Сломался IPsec После прошивки v2.08(AANS.0)C2]

@Le ecureuil С крайней прошивкой в логе были ошибки совместимости, покрутил туннели, сделал одинаково с Virtualip. Ошибки конкретизирующие проблему совместимости ушли, но все равнов логе

May 13 02:42:32ndm
IpSec::Manager: crypto map "VirtualIP" has higher priority than crypto map "4D****".
May 13 02:42:32ndm
IpSec::Manager: skip crypto map "4Dacha" due to incompatible settings with crypto map "VirtualIP".
May 13 02:42:32ndm
IpSec::Manager: crypto map "VirtualIP" has higher priority than crypto map "4L****".
May 13 02:42:32ndm
IpSec::Manager: skip crypto map "4L****" due to incompatible settings with crypto map "VirtualIP".

Селф с манипуляциями далее.

 

ЗЫ как это поможет подружить virtualip и обычное ipsec подключение между кинетиками если настройка XAuth Server  становится обязательной для всех?

May 13 03:00:03ndm
IpSec::Manager: crypto map "VirtualIP" has higher priority than crypto map "4D***".
May 13 03:00:03ndm
IpSec::Manager: crypto map "VirtualIP" has different Xauth settings from crypto map "4D***".
May 13 03:00:03ndm
IpSec::Manager: skip crypto map "4D***" due to incompatible settings with crypto map "VirtualIP".

 

[Отображение гарантийного периода!]

2 часа назад, enpa сказал:

@r13 с чего Вы взяли, что левые? Что оф сайт выдал, то и стоит. Да, старые удалены, надо вводить заново.

Потому что сроки гарантии не адекватные, как будто бы вы только что всех приобрели. 

[Отображение гарантийного периода!]

Залез туда, и что-то все старые зарегистрированные устройства пропали куда-то. Страница пустая.

@enpa Да и сроки судя по всему левые, или вы только в прошедшем ноябре гигу2 купили?! 

[Giga2 + Xiaomi wifi усилитель = ошибки в логе]

Китайцы казлы .

Вроде девайс проще некуда, настроек 0,  и все равно косячит.

[Вопрос по работе МСЭ]

@colimp По умолчанию для public интерфейсов правила МСЭ работают для входящих пакетов. Направление действия acl через cli на интерфейсе меняли?

https://help.keenetic.net/hc/ru/articles/213969389-Описание-работы-с-межсетевым-экраном

ЗЫ ipv6 не блокируется. 

[UPnP и qBittorrent]

У меня qbt даже при статическом пробросе утвеждает что порт закрыт. Списал на глюк приложения и забил. И так работает. 

[Giga2 + Xiaomi wifi усилитель = ошибки в логе]

Добрый день

Гига2 2.09.A.7.0-2 + Xiaomi wifi amplifier

Подключил первый раз, поэтому как на более старых прошивках не знаю.

Усилителю присвоен статический ip 192.168.2.3

В логе ошибки следующего вида:

[I] May  8 10:00:47 wmond: WifiMaster0/AccessPoint0: (RT2860) STA(d0:22:be:25:a0:9d) RSN IE sanity check failure.

и

[W] May  7 21:12:33 ndm: Hotspot::Discovery::Explorer: network conflict: hosts a4:b8:05:8c:98:e9 and 2a:6c:07:0c:52:f0 have the same IPv4 address 192.168.2.34.

Мак устройства за усилителем a4:b8:05:8c:98:e9

мак усилителя 2a:6c:07:0c:52:f0

так же еще есть вот такое нечто

May 08 13:49:26ndhcps
DHCPREQUEST received (STATE_INIT) for 192.168.2.34 from a4:b8:05:8c:98:e9.
May 08 13:49:26ndhcps
received ARP reply from 2a:6c:07:0c:52:f0, not our client.
May 08 13:49:26ndhcps
sending ACK of 192.168.2.34 to a4:b8:05:8c:98:e9.

Селф далее...

PS Устройства за усилителем числятся как усилитель.

[Клиент динамического DNS (DDNS)]

В 11.03.2017 в 21:43, Sovenok сказал:

согласен, я тоже сейчас с этим разобрался, моё затруднение было вызвано галочкой "Определять мой IP-адрес автоматически", неожиданно для меня если убрать это галочку, то за место ${ip} подставляется 0.0.0.0, а если оставить галочку, то подставляется правильный ip адрес, но в конце дописывается ?&myip=1.2.3.4

в итоге готовая, рабочая строка получилась вот такая:

https://api.reg.ru/api/regru2/zone/nop?input_format=json&input_data={"username":"test","password":"test","domain_name":"test.ru","action_list":[{"action":"remove_record","subdomain":"test","record_type":"A"},{"action":"add_alias","subdomain":"test","ipaddr":"${ip}"}]}&
 

замечательно работает с api.reg.ru, а вот с иным сайтом где более сильное шифрование, DDNS связь не устанавливает, пишет ошибку "Http::Client: failed to connect: operation failed."

 

Самопроизвольное дополнение url  в custom профиле "?&myip=1.2.3.4" похоже на баг, на то он и custom чтоб все гибко и самому.

[Переадресация входящих СМС на email]

1 час назад, ser10 сказал:

Взял модем с HiLink и ip 192.168.8.1. Как через KeenDNS попасть на 3g.yourname.mykeenetic.net, если у роутера ip 192.168.1.1, и на закладке KeenDNS при нажатии "Добавить" никак не выбрать модем, т.к. его там не предлагается, а вручную забить ip нет такого поля?

Можно через cli.

Но модем не пускает не по  своему адресу. это следующее с чем вы столкнетесь. Если победите, отпишитесь. 

[Сломался IPsec После прошивки v2.08(AANS.0)C2]

С этой версии (v2.08(AANS.0)C2)

IPsec: при настройке разных групп подключений, не совместимых между собой, остаются работать подключения только одной группы:
Virtual IP сервер — наивысший приоритет
туннели, которые настраиваются вручную через Web
автоматические туннели IP-IP, GRE и т.д., которые можно включить только через CLI

Выбирайте что использовать, вместе не получится.

[IPSec GigaII -> Ultra II]

7 часов назад, Dorik1972 сказал:

Дальше - еще больше ))) Создаем на Ultra II - Сервер IPsec Virtual IP

Начиная с 2.09.A.6.0-0 virtual ip и обычный туннель вместе не работают на сервере.