[Глюк гостевой сети]

9 минут назад, JIABP сказал:

По теме сабжа: у меня 2 сегмента, один для недоверенных устройств, второй для доверенных устройств + имеется прокинутый IPSec канал до другого роутера для доступа к клиентам за ним. Соответственно не хотелось бы, что бы недоверенные устройства могли иметь возможность достучаться до ресурсов роутера (в т.ч. и до харда к нему подключённому). Так что да, я присоединюсь к пожеланию не включать доступ из гостевой сети до ресурсов роутера если настроен доступ из интернета.

@Mamay как ни зайду в тему, где вы отвечали - от вас везде негатив и подзуживание, ирония и прочие прелести.

@JIABP @ydzhus могу предложить добавить запрещающее правило в firewall сегмента и заблокировать таким образом доступ к веб роутера. 

[Неизвестный тип безопасности]

В принципе для таких клиентов можно организовать отдельную резервацию(точку доступа). Благо их у нас 4 и загонять туда убогих и прокаженных, а не костылять на основной ТД.

[Компонент "Контроллер Wi-Fi системы"]

@ndm @Le ecureuil Надо что-то придумать для конфига в котором гостевая точка тоже задействована,

Сейчас в такой конфигурации точка запрашивает ip у основной точки с одним и тем же маком и в гостевом и в домашнем сегментах

При этом в списке устройств отображается или гостевая и или основная точка рандомно.

Замена mac на гостевом сегменте точки доступа не помогает, контроллер восстанавливает настройки сегмента на точке доступа, отключение dhcp клиента в гостевом сегменте тоже не доступно.

 

[Пропадает подключение по TSMB]

а доступ не по smb к дискам сохраняется?

[Частый сброс ipv6 соединений для заблокированных устройств]

@vst добрый день.

Если запретить устройству доступ в интернет, то для него часто сбрасываться v6 соединения

В лог сыплются подобные сообщения:

[I] Jan  5 13:40:48 ndm: Netfilter::Util::Conntrack: flushed 1 IPv6 connections for [2a02:2168:8b6d:2800:6c7a:765b:9afd:5328].
[I] Jan  5 13:41:48 ndm: Netfilter::Util::Conntrack: flushed 2 IPv6 connections for [fe80::204:4bff:fe89:f449].
[I] Jan  5 13:41:48 ndm: Netfilter::Util::Conntrack: flushed 1 IPv6 connections for [2a02:2168:8b6d:2800:6c7a:765b:9afd:5328].
[I] Jan  5 13:42:18 ndm: Netfilter::Util::Conntrack: flushed 6 IPv6 connections for [fe80::204:4bff:fe89:f449].
[I] Jan  5 13:42:18 ndm: Netfilter::Util::Conntrack: flushed 1 IPv6 connections for [2a02:2168:8b6d:2800:6c7a:765b:9afd:5328].
[I] Jan  5 13:42:48 ndm: Netfilter::Util::Conntrack: flushed 4 IPv6 connections for [fe80::204:4bff:fe89:f449].
[I] Jan  5 13:42:48 ndm: Netfilter::Util::Conntrack: flushed 2 IPv6 connections for [2a02:2168:8b6d:2800:6c7a:765b:9afd:5328].
[I] Jan  5 13:43:47 ndm: Netfilter::Util::Conntrack: flushed 2 IPv6 connections for [fe80::204:4bff:fe89:f449].
[I] Jan  5 13:43:47 ndm: Netfilter::Util::Conntrack: flushed 2 IPv6 connections for [2a02:2168:8b6d:2800:6c7a:765b:9afd:5328].
[I] Jan  5 13:44:18 ndm: Netfilter::Util::Conntrack: flushed 1 IPv6 connections for [2a02:2168:8b6d:2800:6c7a:765b:9afd:5328].

Это так и должно быть?

[Глюк гостевой сети]

если стоит галка разрешать доступ из интернета, то она в том числе и доступ из гостевых сегментов открывает. 

[Управление vlan`ами в веб интерфейсе]

В общем что-то сломано на экстра2 с vlan так сяк покрутил, не работает.

Откатил экстру на релиз 2.14 vlan работает.

[Компонент "Контроллер Wi-Fi системы"]

@ndm экспериментировал в попытках понять что не так с vlan ами, поменялл настроку на контроллере

с

interface Bridge1  include GigabitEthernet0/Vlan3

на

interface Bridge1  inherit GigabitEthernet0/Vlan3

После этой правки контроллер прибил гостевой сегмент на подчиненной точке и восстановить его теперь не удается.

обратное действие на контроллере и восстановление конфига на точке не помогают.

PS Вроде как при этом слетели настройки dhcp гостевого сегмента. Восстановил и их, гостевая сеть на контроллере вернулась видимо так и должно быть?!.

[Загрузка ЦП до 100%]

Раз transmission работает то наиболее вероятно все нормально.

[Загрузка процессора около 10-15%]

54 минуты назад, gvan сказал:

А на 2.15 высокий Load Average на Giga II не починили? Можно проверить командой top в entware.

Проблема наблюдалась на 2.13 и 2.14. 2.15 пока себе не ставил.

А зачем этот вопрос задавать в этой теме если существует ваша тема напрямую связанная с этим кейсом?

https://forum.keenetic.net/topic/5179-высокий-load-average-на-giga-ii/

 

[ACME сертификат сам не обновляется]

7 минут назад, ndm сказал:

допустили ошибку при переносе исправления из 2.15 в 2.14 (код успел поменяться, и переносили вручную)

сейчас перевыпустили 2.14 и запустили сборку delta

Проверил на подопытном, сертификаты успешно обновлены!

[получение SSL сертификата и нестандартный порт]

39 минут назад, biospb сказал:

торчащая веб-морда еще и на 80 порту, еще и с неработающей (судя по соседней ветке) защитой от перебора паролей - это жесть.

Почитайте упомянутую вами тему, защита от перебора не реализована для https, для http она работает.

[Управление vlan`ами в веб интерфейсе]

1 минуту назад, PapoKarlo сказал:

На Extra II, на 2.15 вланы не уходят в тегированый порт вообще.

на 2.14 в тегированный порт не уходит только влан1

Свитч D-link DGS-1100-08

Да, весь трафик льется не тегированным.

[получение SSL сертификата и нестандартный порт]

24 минуты назад, biospb сказал:

баг номер раз - при выборе нестандартного порта для веб морды - ломается SSL. проявляется не сразу, а через месяц другой.

Это требование Let`s Encrypt, в 2.15 используется иной метод без необходимости 80 порта но только для KeenDNS доменов

 

24 минуты назад, biospb сказал:

баг номер два - невозможно включить HTTPS (и SSTP) не включая доступ к HTTP через интернет. я так понимаю, что для получения сертификата нужен веб-сервер. но его можно запускать непосредственно при обновлении сертификата, и только. а потом продлевать через HTTPS.

Можно открыть доступ не галкой, а правилом firewall только на 443 порт. Будет работать.

[Одновременно использования двух WAN - multipath]

1 час назад, Pony сказал:

Тут назрел второй вопрос, можно ли Transmission пустить через определенную политику, чтобы встроенная качалка могла использовать данное преимущество?

Встроенные сервисы пока с политиками никак не работают

[Одновременно использования двух WAN - multipath]

11 час назад, Pony сказал:

Коллеги использую балансировку под 3 активными подключениями. 2 провайдера (100 + 100) и 1 VPN, разумеется VPN подключен через одного из этих провайдеров, но балансировщик думает что через него тоже можно гнать трафик. Попытался выкинуть VPN из политики, но в этом случае перестают работать статические маршруты которые завернуты через него, а у него для меня только одна цель, это открывать некоторые ресурсы.

Так же столкнулся с тем, что в режиме балансировки, максимальная скорость была около 100~ (хотя пару раз скакнула до 150~), провайдеры были загружены примерно одинаково, 

Еще подумалось, если vpn используется только для статических маршрутов, то vpn можно перевести в приватный(security-level private) и тогда статические маршруты продолжат работать.

ЗЫ в таком варианте возможно еще firewall надо будет покрутить...

[Одновременно использования двух WAN - multipath]

48 минут назад, Pony сказал:

Коллеги использую балансировку под 3 активными подключениями. 2 провайдера (100 + 100) и 1 VPN, разумеется VPN подключен через одного из этих провайдеров, но балансировщик думает что через него тоже можно гнать трафик. Попытался выкинуть VPN из политики, но в этом случае перестают работать статические маршруты которые завернуты через него, а у него для меня только одна цель, это открывать некоторые ресурсы. 

Так же столкнулся с тем, что в режиме балансировки, максимальная скорость была около 100~ (хотя пару раз скакнула до 150~), провайдеры были загружены примерно одинаково, 

Можно занизить приоритет vpn до минимума( ip global <приоритет>  в конфиге)

[KeenDNS Omni (KN-1410), урезанный выбор адресов]

11 минуту назад, Fandor сказал:

В связи с чем такие ограничения для KN?

например только у этих есть автовыпуск сертификатов

[ACME сертификат сам не обновляется]

@Le ecureuil @ndm что-то пошло не так, на драфте как писал ранее у меня сертификаты обновились, а на сегодняшнем релизе 2.14 где вроде как это тоже пофиксено, обновил коробку, но сертификаты не обновились с прежними симптомами.

Селфтест в приложении.

[Service: "PPTP0": unexpectedly stopped.]

@Андрэ Палыч Маршрут до 192.168.84.0 сделайте через интерфейс, а не через конкретный ip

PS правда не склонен думать что это связано с проблемой, но все равно так корректнее.

[Управление vlan`ами в веб интерфейсе]

В 17.12.2018 в 13:42, AndreyUA сказал:

В последнем обновлении сломали vlan`ы. После обновления роутер перестал быть доступен через тегированный порт. Залил предыдущую прошивку без измнения конфига и все заработало.

@ndm @Le ecureuil Залейте, пожалуйста, мой конфиг, который ниже, и попробуйте погонять тегированный трафик.

 

@vst Походу тоже столкнулся сегодня с этой проблемой на крайнем драфте

на KN-1810

Настроил порты следующим образом:

 

interface GigabitEthernet0/1
    rename 2
    switchport mode access
    switchport mode trunk
    switchport access vlan 1
    switchport trunk vlan 3
    up
!

vlan 3 льется в порты не тегированным.

[Компонент "Контроллер Wi-Fi системы"]

1. Привязал клиента к серверу, посмотрел настройку портов на клиенте - все порты привязались в том числе к trunk id 3(для работы гостевой сети на клиенте). На сервере при этом порты в trunk не переводятся. По идее это тоже надо автоматизировать

2. Проделал манипуляции с портами на севере, завел лан порты в trunk id 3, теперь сервер ругается на получение запрос dhcp ip адреса точкой доступа, так как у точки доступа одинаковые mac адреса на Bridge1 и Bridge2, а такой mac у меня уже зарегистрирован в основной сети. Надо бы сделать их разными при подключении к серверу.

[Компонент "Контроллер Wi-Fi системы"]

43 минуты назад, Александр Рыжов сказал:

Ещё косямба: если подчинённое устройство в режиме AP соединено с головным устройством WAN-портом, то при захвате оно наглухо зависнет, после чего поможет только сброс скрепкой.

Подозреваю, что это происходит из-за переконфигурирования свитча в процессе синхронизации конфига с головным устройством.

в режиме точки доступа вроде ван порта нет. Подключал так вчера extra2 (через номинальный wan) все прошло гладко. Какая модель зависла?

[Компонент "Контроллер Wi-Fi системы"]

6 минут назад, Andrew Voronkov сказал:

И еще вопрос. Этот компонент контроллера wifi надо ставить только на роутер или на все ТД тоже?

Только роутер, так как на точке достаточно версии 2.14 а там этого компонента нет. 

[Компонент "Контроллер Wi-Fi системы"]

@ndm А после захвата точки у админа можно все права отобрать, или контроллеру нужен доступ вебу к точки через пользователя admin?