Le ecureuil

Похоже на правду. Можете еще использовать хуки в /opt/etc/ndm/fs.d для получения событий о монтировании и размонтировании ФС: https://github.com/ndmsystems/packages/ ... -Component

Берете entware, ставите iproute2, и вводите: # ip route add table 50 default via dev pppX (ваше l2tp-соединение) # ip rule add from /32 table 50 Вроде как и все

Как у вас ситуация на свежем draft от 1 июля?

А зайти на любой другой хост из удаленной сети получается?

"Машина уже в пути" (ц)

В conntrack попадает весь транзитный L3 трафик, но между хостами в локалке L2. Поясните, пожалуйста, с примером, что загоняется конкретно. как минимум там трафик к самой точке, мультикаст из локалки, и был трафик от NAS подключенного по зернету (сейчас нету, но видел) root@Keenetic_Giga:/opt/root# grep src=192.168.1. /proc/net/nf_conntrack | grep dst=192.168 ipv4 2 udp 17 16 src=192.168.1.36 dst=192.168.1.1 sport=57476 dport=53 src=192.168.1.1 dst=192.168.1.36 sport=53 dport=57476 mark=0 nfm_marker = 0 use=2 ipv4 2 udp 17 12 src=192.168.1.36 dst=192.168.1.1 sport=57458 dport=53 src=192.168.1.1 dst=192.168.1.36 sport=53 dport=57458 mark=0 nfm_marker = 0 use=2 ipv4 2 udp 17 14 src=192.168.1.36 dst=192.168.1.1 sport=52105 dport=53 src=192.168.1.1 dst=192.168.1.36 sport=53 dport=52105 mark=0 nfm_marker = 0 use=2 ipv4 2 unknown 2 431 src=192.168.1.36 dst=224.0.0.2 [uNREPLIED] src=224.0.0.2 dst=192.168.1.36 mark=0 nfm_marker = 0 use=2 ipv4 2 unknown 2 582 src=192.168.1.2 dst=224.0.0.22 [uNREPLIED] src=224.0.0.22 dst=192.168.1.2 mark=0 nfm_marker = 0 use=2 ipv4 2 udp 17 4 src=192.168.1.36 dst=192.168.1.1 sport=55056 dport=53 src=192.168.1.1 dst=192.168.1.36 sport=53 dport=55056 mark=0 nfm_marker = 0 use=2 ipv4 2 udp 17 28 src=192.168.1.36 dst=192.168.1.1 sport=50030 dport=53 src=192.168.1.1 dst=192.168.1.36 sport=53 dport=50030 mark=0 nfm_marker = 0 use=2 ipv4 2 tcp 6 1199 ESTABLISHED src=192.168.1.34 dst=192.168.1.1 sport=50850 dport=22 src=192.168.1.1 dst=192.168.1.34 sport=22 dport=50850 [ASSURED] mark=0 nfm_marker = 0 use=2 ipv4 2 udp 17 20 src=192.168.1.36 dst=192.168.1.1 sport=50763 dport=53 src=192.168.1.1 dst=192.168.1.36 sport=53 dport=50763 mark=0 nfm_marker = 0 use=2 ipv4 2 udp 17 20 src=192.168.1.36 dst=192.168.1.1 sport=57699 dport=53 src=192.168.1.1 dst=192.168.1.36 sport=53 dport=57699 mark=0 nfm_marker = 0 use=2 ipv4 2 udp 17 10 src=192.168.1.34 dst=192.168.1.1 sport=58345 dport=53 src=192.168.1.1 dst=192.168.1.34 sport=53 dport=58345 mark=0 nfm_marker = 0 use=2 ipv4 2 udp 17 12 src=192.168.1.33 dst=192.168.1.1 sport=57291 dport=53 src=192.168.1.1 dst=192.168.1.33 sport=53 dport=57291 mark=0 nfm_marker = 0 use=2 ipv4 2 udp 17 9 src=192.168.1.1 dst=192.168.1.255 sport=138 dport=138 [uNREPLIED] src=192.168.1.255 dst=192.168.1.1 sport=138 dport=138 mark=0 nfm_marker = 0 use=2 ipv4 2 unknown 2 575 src=192.168.1.1 dst=224.0.0.1 [uNREPLIED] src=224.0.0.1 dst=192.168.1.1 mark=0 nfm_marker = 0 use=2 ipv4 2 unknown 2 575 src=192.168.1.1 dst=224.0.0.1 [uNREPLIED] src=224.0.0.1 dst=192.168.1.1 mark=0 nfm_marker = 0 use=2 ipv4 2 udp 17 3 src=192.168.1.36 dst=192.168.1.1 sport=49447 dport=53 src=192.168.1.1 dst=192.168.1.36 sport=53 dport=49447 mark=0 nfm_marker = 0 use=2 ipv4 2 udp 17 11 src=192.168.1.36 dst=192.168.1.1 sport=54243 dport=53 src=192.168.1.1 dst=192.168.1.36 sport=53 dport=54243 mark=0 nfm_marker = 0 use=2 скорее всего в конфете ядра забыто проверять локальный трафик. А это потребление памяти - которого можно избежать без потери функциональности. В этом нет ничего страшного, и это необходимо для работы ip hotspot.

Удалите settings.json с usb-диска.

Не наглейте DNS и http трафик точно не будут включены в обозримом будущем, поскольку в случае с http вступают в роль ppe software и ppe hardware. Второй вообще невозможно настроить на мониторинг трафика по UDP/TCP портам, так как он аппаратный.

Интерфейсы будут без сомнения.

Хотелось бы уточнить, в данном ограничении учитываются только IPsec-туннели, или же L2TPoverIPsec тоже считаются? На данный момент есть два IPsec-туннеля между кинетиками, + туннель на OpenVPN, который думаю перевести на L2TPoverIPSec ради повышения производительности (кстати, он же тоже использует crypto engine hardware?). Дополнительно вопрос - по-умолчанию домашние адреса будут натироваться в L2TPoverIPSec? Как я понимаю, инструкция по предотвращению натирования аналогична https://zyxel.ru/kb/3252/ - но она работает только если есть один WAN со статическим IP? А что делать в случае с динамическим IP и/или резервированием? L2TPoverIPSec не считаются. Использует crypto engine hardware. В скором времени функция будет немного переделана, изменится и конфигурация, будьте внимательны. Да, отключение NAT делается именно как в статье, и работает только для статического IP. Для динамического (по крайней мере пока) нет.

Есть идеи по реализации в ближайшие полгода (а может и раньше, но загадывать не будем, понятно, что пользователи draft-прошивок все получат первыми ) (по состоянию примерно как в посте viewtopic.php?p=5951#p5951 ), если кто еще что напишет - постараемся принять к сведению. Сейчас самая очевидная проблема - при реализации статуса портов свича на устройствах с MT7628 (то есть Start II) не будет расширенной статистики (навроде сколько на каждом порту принято/отправлено байт, ошибок, мультикастных пакетов, коллизий - все эти параметры будут присутствовать, но будут равны нулю). Он позволяет получить только информацию о количестве пройденных RT/TX пакетов. На остальных устройствах сильных сложностей не предвидится..

Эта строка называется "shebang", и правильное ее написание таково: #!/bin/sh У вас же пропущен символ '#' в начале, потому некорректно работает.

Пока нет, пользуйтесь Opkg/Entware.

У процессора роутера в отличие от компьютерного нет расширенных режимов энергосбережения и ACPI, который используется для отключения системы. Он может только жарить на 100%, и все. А из-за отсутствия ACPI (или его аналога) программное управление питанием системы не предусмотрено (кроме USB-портов, где можно снять / подать питание).

Именно! Это невозможно, поскольку после полной остановки системы происходит автоматическая перезагрузка по watchdog.

Да, должно.

Ну попробуйте, с РТ судиться - дело неподъемное, у них все отмазы везде мелким шрифтом прописаны и юристы соответствующей квалификации.

Нет, выдрать нельзя. Это вообще разные технологии. У нас пока нет возможности работать по сертификатам.

Временный бан от них легко можно получить за частые реконнекты.

Надо на самом модеме прописать роут к 192.168.1.0 через VPN-интерфейс Ultra II. На модеме нет роута к 192.168.1.0, и потому от отвечает в default route, то есть в мобильную сеть Как вариант - на Ultra II включить NAT на VPN-интерфейсе.

Если вы будете использовать свой роутер, а не ростелековский, это будет крайне тяжело сделать, практически невозможно. Говорю вам как бодавшийся с ними из-за низкокачественного ADSL с 2007 по 2011.

я понадеялся, что легко найду здесь ответ - "как в CLI увидеть недостающую информацию по Wi-Fi клиентам"... в упор не вижу. Прошу модератора в шапку кинуть. Помогите люди добрые. (config)> show associations (config)> show ip arp

Это невозможно. Кнопка "Выключение" работает чисто аппаратно, разрывая линии питания. Выключить роутер программно невозможно, только перезагрузить.

у меня на смарте стареньком флешка криптуется трюкриптом и вообще ни разу не тупит :-/ Можем добавить модули ядра для LUKS и dm-crypt, а дальше сами разбирайтесь.

Настроил соединение L2TP over IPSec таким образом между своим RB1100AHx2 в датацентре и домашним Keenetic Ultra II. Параметры шифрования получаются такие: L2TPoverIPsec0[10]: IKE proposal: 3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# L2TPoverIPsec0{11}: INSTALLED, TRANSPORT, reqid 3, ESP SPIs: cab4addc_i 026ff67b_o L2TPoverIPsec0{11}: AES_CBC_128/HMAC_SHA1_96/MODP_1024, 98395 bytes_i (725 pkts, 64s ago), 139863 bytes_o (770 pkts, 4s ago), rekeying in 7 hours Вопрос чисто теоретический, так как в принципе вполне хватит и AES_CBC_128, но все же, можно ли поменять это на AES_CBC_256? В Mikrotik я могу изменить настройки Proposal, здесь это можно как-то сделать? В общем же впечатления сугубо положительные, настройка шифрованного канала между домом и дата-центром была одна из целей покупки этого роутера. Мой канал 100 мегабит/с используется полностью, при практически нулевой загрузке процессоров с обеих сторон (crypto engine hardware прописано в Keenetic, RB1100AHx2 тоже использует аппаратный модуль шифрования). Но все таки, можно ли менять параметры шифрования, именно для туннеля L2TP over IPsec? Версия прошивки, кстати, v2.07(AAUX.11)B0, свеженький draft. Пока нельзя. Эта функция будет переработана в ближайшие пару месяцев, тогда и посмотрим.