[Все о туннелях IPIP, GRE и EoIP]

Вылезла еще одна бяка с ресолвером ip туннеля.

В текущей реализации насколько я понимаю если ресолвинг удался то полученный ip запоминается, и по нему происходит попытка соединения

Если подключение идет через USB модем и соединение с интернет еще не установлено, то такие модемы резолвят все на себя и IPSec начинает долбится в модем

Как часто происходит повторный ресолвинг адреса endpoint туннеля?

[Все о туннелях IPIP, GRE и EoIP]

Еще вопрос поднятый @KorDen по соединению home-ipip

пока добавил в iptables правило

iptables -A FORWARD -o ipip0 -j ACCEPT

Соединение работает.

Через штатный ACL такое можно реализовать? Или оставить это в opkg?

[Все о туннелях IPIP, GRE и EoIP]

Спрошу тут так эта новая фича,

Как подружить IPSec туннеля и IPSec Virtual IP?

У меня они могут пытаться лезть не в свою критокарту и ничего хорошего при этом не происходит.

Как происходит выбор криптокарты при входящем соединении?

Селфтест с примером далее.

[Все о туннелях IPIP, GRE и EoIP]

4 часа назад, KorDen сказал:

Поднял IPIPoverIPsec между Ultra 2 - Giga 2 на v2.08(AAUX.0)A11 (до этого был IPsec 2.08-2.06) с настройками из шапки..

Долго гадал, почему трафик от компов не ходит, потом, увидев что пакеты даже не уходят с home на ipip0, вспомнил про isolate-private - надо бы напомнить о нем в шапке, IMO.

 

Не поделитесь как проще смотреть куда реально идут пакеты?

[Все о туннелях IPIP, GRE и EoIP]

@Le ecureuil Если на момент запуска не возможно отресолвить dns имя endpoint туннеля (доступ в интернет еще не поднялся после перезагрузки) то туннель IPSec больше не поднимается.

down/ up на интерфейсе не помогает,

помогает пересоздание endpoint адреса

селфтест ниже.

[Все о туннелях IPIP, GRE и EoIP]

@Le ecureuil В дальнейшем планируете реализовать для клиент серверного режима указывать не конкретный интерфейс а использовать интерфейс текущего подключения к Интернет?

что-то вроде tunnel source default 

что бы работало в том числе в схеме с резервированием интернета

[Все о туннелях IPIP, GRE и EoIP]

@Le ecureuil

Пока удалось поднять GRE over IPsec и IPIP over IPsec но чисто номинально, по логам все ок поднялось, но трафик не ходит.

Попутно вылезла несовместимость GRE туннеля и штатного PPTP клиента:

создал туннель, клиент отвалился и покругу пытается безуспешно подключиться. Грохнул туннель и клиент сразу же подключился.

селф тест в следующем посте.

 

UPD пинги из под ентвари до  удаленного роутера работают, а пинги с компьютера не идут, не понятно....

[Прошу оказать оплачиваемую услугу. По созданию тунеля через интернет между VIVA и GIGA II]

@enpa В Cli прописать то что расписано в инструкции от @Le ecureuil по этим новым подключениям

Например для IPIP

После этого в системе появится новый интерфейс IPIP0 

И для него можно прописывать маршруты в web интерфейсе точно также как и для PPTP подключения.

[Все о туннелях IPIP, GRE и EoIP]

@Le ecureuil И вдогонку, если остановить этот интерфейс, (сделать Interface IPIP0 down) то связанный с ним IPSec продолжает попытки подключиться.

UPD Я так понимаю нужно сделать Interface IPIP0 no connect чтоб перестало коннектиться?

[Все о туннелях IPIP, GRE и EoIP]

@Le ecureuil

Попытался поднять IPIP over IPSec между 1й и 2й ультрами

Лог с ошибкой:

Nov 08 22:30:12ndm
IpSec::Configurator: reconnecting crypto map "IPIP0".
Nov 08 22:30:14ndm
IpSec::Configurator: start shutting down crypto map "IPIP0" task.
Nov 08 22:30:14ipsec
12[CFG] received stroke: unroute 'IPIP0' 
Nov 08 22:30:14ipsec
05[CFG] received stroke: terminate 'IPIP0{*}' 
Nov 08 22:30:14ipsec
05[CFG] no CHILD_SA named 'IPIP0' found 
Nov 08 22:30:14ipsec
14[CFG] received stroke: terminate 'IPIP0[*]' 
Nov 08 22:30:14ipsec
14[CFG] no IKE_SA named 'IPIP0' found 
Nov 08 22:30:14ndm
IpSec::Configurator: shutting down crypto map "IPIP0" task done.
Nov 08 22:30:15ndm
IpSec::Configurator: start initiating crypto map "IPIP0" task.
Nov 08 22:30:15ipsec
15[CFG] received stroke: initiate 'IPIP0' 
Nov 08 22:30:15ndm
IpSec::Configurator: initiating crypto map "IPIP0" task done.
Nov 08 22:30:15ipsec
09[IKE] sending XAuth vendor ID 
Nov 08 22:30:15ipsec
09[IKE] sending DPD vendor ID 
Nov 08 22:30:15ipsec
09[IKE] sending Cisco Unity vendor ID 
Nov 08 22:30:15ipsec
09[IKE] sending NAT-T (RFC 3947) vendor ID 
Nov 08 22:30:15ipsec
09[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
Nov 08 22:30:15ipsec
09[IKE] initiating Main Mode IKE_SA IPIP0[63] to 176.14.124.109 
Nov 08 22:30:15ipsec
11[IKE] received DPD vendor ID 
Nov 08 22:30:15ipsec
11[IKE] received NAT-T (RFC 3947) vendor ID 
Nov 08 22:30:15ipsec
11[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/# 
Nov 08 22:30:15ipsec
11[CFG] configured proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/# 
Nov 08 22:30:15ipsec
11[CFG] selected proposal: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/# 
Nov 08 22:30:16upnp
sendto(udp_notify=7, 192.168.1.1): No such device
Nov 08 22:30:16upnp
Core::Syslog: last message repeated 10 times.
Nov 08 22:30:17ipsec
06[IKE] received INVALID_KE_PAYLOAD error notify 
Nov 08 22:30:17ndm
IpSec::Configurator: remote peer of crypto map "IPIP0" returned invalid key notification.
Nov 08 22:30:17ndm
IpSec::Configurator: fallback peer is not defined for crypto map "IPIP0", retry.
Nov 08 22:30:17ndm
IpSec::Configurator: schedule reconnect for crypto map "IPIP0".
Nov 08 22:30:17ndm
Network::Interface::SecureIPTunnel: "IPIP0": IPsec layer is down, shutdown tunnel layer.
Nov 08 22:30:17ndm
Network::Interface::SecureIPTunnel: "IPIP0": secured tunnel is down.

 

[Изоляция клиентов внутри одной сети.]

1 минуту назад, IgaX сказал:

если пару портов на ethernet-девайсах, то все еще AP Isolation.

Ну этот момент в задаче не раскрыт, так что исходим из широкого трактования постановки задачи

[Изоляция клиентов внутри одной сети.]

6 часов назад, IgaX сказал:

за AP Isolation нужно голосовать в ветке развития

Это не AP Isolation раз в задаче "разрешить пару портов" стоит. 

[Multiple WAN routing policy]

В 19.10.2016 в 11:32, Le ecureuil сказал:

mark используется в системе для IPsec и для ppe software, потому аккуратнее.

Для понимания "аккуратнее" надо знать какие маркировки уже заняты IPsec и для ppe software чтоб не пересечься,

посему хотелось бы услышать связанные ограничения поподробнее.

[Multiple WAN routing policy]

@Дмитрий А скрипт в винде случайно не редактировали?

[не званные гости]

10 минут назад, qpeeqp сказал:

а как удалить логин admin подскажите?

Удалять не обязательно, достаточно лишить прав на доступ на вкладке Система-Пользователи

[Multiple WAN routing policy]

Вычитал что чтоб ответы на входящие пакеты из резервного интерфейса уходили на резервный интерфейс а не на маршрут по умолчанию надо сделать это:

echo 200 isp2 >> /etc/iproute2/rt_tables
ip rule add from <interface_IP> dev <interface> table isp2
ip route add default via <gateway_IP> dev <interface> table isp2

Как проверить что работает как надо?

[Рассогласованность в веб интерфейсе подключений]

Ultra 2 v2.08(AAUX.2)A9

Наблюдаю рассогласованность значений поля "Интернет" на вкладках подключения и IPoE отеменную на скринах.

Баг или фича?

Скрытый текст

 

[Голосование. Подключение веб камеры.]

2 часа назад, seth сказал:

Очень надо! Если кому не надо, так не ставьте этот функционал! Что стоит внутри коробки это ваши хотелки,и вам никто не навязывает ставить то что вам не нужно!

Дело не в установке, а в целесообразности расходования ценного и ограниченного ресурса (разработчик/суппорт) на развитие и поддержку данного расширения

[Паразитный трафик UDP/67]

20 минут назад, Goldnugget сказал:

А бороться с этим можно/нужно и как?

Писать провайдеру

[http reverse proxy]

@AlexSm Переходите на 2.08 этой функции нет в 2.07

И поставьте Модуль управления маршрутизатором через облачную службу.

[Голосование. Подключение веб камеры.]

8 минут назад, esa сказал:

А я считаю, что если это возможно реализовать на роутере, то почему же нет.

Потому что возможности команды разработки не безграничны, и то что это возможно, не повод к действию.

[Расширение возможностей встроенного модема Keenetic LTE на прошивке 2.08]

В 06.10.2016 в 04:07, Amigokot сказал:

А кто мешает обратиться к производителю модема за новой прошивкой, в которой будет разблокирована возможность использования 3G?

 

У нас еще ни один оператор толком VoLTE не поддерживает, да и большинство LTE телефонов не умеют, а вы рассчитываете что модем в роутере это умеет??? Забудьте.

[сконфигурировать IPsec/L2TP клиент]

2 часа назад, Institor сказал:

Подскажите, может не по теме немного - но куда пропал IPSEC из 4G III ? Был на бете, показались доступные обновления релизные, обновился - оп! сюрпрайз!

Это вообще нормально?

вернулся обратно на бету - v2.07(AAUR.2)B2 - чуда не произошло, ничего не появилось.

http://forum.keenetic.net/topic/489-журнал-изменений-207/#comment-10044

[KeenDNS]

54 минуты назад, Sergey Avksentyev сказал:

Доброго. Подскажите, какие команды использовать для переноса имени с Giga 2 где только CLI на Ультру 2?

Ставьте 2.08 на гигу 2 и веб появится и ядро новое.  

[Debian stable на кинетике]

1 минуту назад, Sergey Kazharov сказал:

Вроде как на Ultra1 - 2.08 прошивку не поставить, или я ошибаюсь ? 

Уже поставить. Смотрите в обявлениях