Le ecureuil

В случае с Ultra 2 (где WAN отдельная сетевушка) в данном случае не имеет значения, куда воткнут аплинк? Скажем, если у меня два гигабитных линка от двух разных провайдеров с IPoE, один воткнут в WAN, другой в LAN1, то железный PPE (для проводного клиента) будет одинаково хорошо работать для любого из них? Да, должно работать нормально.

Что это за тренднет? Куда подключен? Как настроен? Для чего используется? Короче, если хотите хоть какого-то разумного ответа - описывайте ситуацию внятнее.

Нет. Есть только утилита smartctl из пакета smartmontools в Entware для контроля температуры и параметров USB-дисков, которые это поддерживают.

А куда вписывать шлюз для сети 10.250.158.3/25, который 10.250.158.1? В Статические маршруты? Пока не заработал. registration-uri sipserver.novotelecom.ru (пингуется с роутера, адрес определяется как 178.49.132.2) proxy sipserver.novotelecom.ru STUN-сервер не используется. Попробуйте выполнить команду (config)>ip route 178.49.132.2 10.250.158.1 VoIP auto (config)>system configration save Хотя я не уверен, что из сети 10.250.158.3/25 FQDN sipserver.novotelecom.ru разрешается тоже как 178.49.132.2.

Самый простой варинант, в котором меньше всего работы с cli: 1. При настройке ISP-интерфейса отметьте чекбокс "VLAN для телефонии", и укажите туда VLAN ID = 2124. Больше ничего _не_ делайте, в том числе _не_ ставьте checkboxы под портами где есть подпись "IP-телефон". Нажимайте "Применить". 2. Зайдите по CLI и выполните (config)> interface Bridge2124 (config-if)> ip address 10.250.158.3 255.255.255.128 (config-if)> up (config-if)> exit (config)> system configuration save После этого DECT-донгл должен заработать. Если не заработает, то напишите IP-адрес SIP и STUN серверов, выданные вам провайдером. Конкретно для них доработаем настройку.

Вся суть в том, что поддержка opkg в ndms - это всего лишь инфраструктура для интеграции с кастомными пользовательскими окружениями, а не конкретное и законечное решение для пользователя, потому и нужно идти на сторонний форум. Можно сделать свой кастомный вариант пакетной базы и использовать его только самому. И несмотря на то, что мы по мере возможности стараемся помогать с базовой сборкой окружения, нами предполагается что пользователи будут сами поддерживать пакеты и помогать друг другу в этом. Например самым большим и активным таким сообществом является Entware и его вариант Entware-Keenetic.

Уже нет, начиная с 2.06B0 и выше возвращено старое поведение с полностью разделными ppe hardware и ppe software. По умолчанию HW и SW включены? Какой командой можно посмотреть их состояние? По умолчанию все включено, посмотреть можно через > show running-config

Нет, нельзя. А зачем это? Плюс не стоит забывать, что PPTP по TCP/1723 передает только управляющие сообщения, а все PPP-кадры передаются посредством GRE, в котором нет никаких портов вообще. Хотя вообще говоря можно через использование Opkg и скриптов для хуков netfilter.d, но это для тех кто умеет: viewtopic.php?f=4&p=4688#p4688 В следующий раз вопросы по настройке писать только в этот раздел.

Где-то на этом форуме уже говорили, что чтобы работал HW, надо включить и HW и SW. Уже нет, начиная с 2.06B0 и выше возвращено старое поведение с полностью разделными ppe hardware и ppe software.

А ppe hardware и ppe software могут работать одновременно? Конечно. ppe hardware обрабатывает трафик для случая работы IPoE/PPPoE через провод (имеется в виду, что клиенты соединен с роутером по проводу), ppe software обрабатывает трафик для случая работы IPoE/PPPoE через WiFi (имеется в виду, что клиенты соединены с роутером по WiFi), всех случаев с L2TP/PPTP, мультикастом и USB DSL.

Ultra II спокойно пропускает по 940 Мбит/с в каждую сторону, то есть почти 1900 в дуплексе. Более того, при этом процессор должен быть практически свободен. Это проверено на Spirent и других тестовых стендах. У себя же проверьте, включены ли ppe hardware и ppe software. При включеных ускорителях такая загрузка ЦПУ выглядит странно.

Начиная с 2.06 это поддерживается на всех устройствах.

Если очень хотите, то по поводу прошивок от padavan создайте отдельную тему с обсуждением (лучше всего в Курилке, как не относящуюся к NDMS совсем), незачем мусорить по всему форуму. И подробно распишите что и как делать и чинить, чтобы у юзеров потом к разработчикам NDMS не возникало вопросов по саппорту прошивки Андрея.

А бесконечное переподключение на Giga 2 будет поправлено? Причины так до конца и не понятны, хотя оно периодически однозначно наблюдается у некоторых пользователей. Продолжаем разбираться, но пока обещаний никаких нет.

По идее не должно, наши стресстесты все устройства прошли на отлично.

Попробуйте 2.07. На Giga III?

Готов поспорить. Когда нужно что-то сейчас, то это самый простой вариант. Со стороны безопасности я бы посмотрел что еще там будет доступно в домашней сети по ipv6. Будет смешно если ктото будет ломать вам телевизор с поддержкой ipv6, телефоны, пк и др по умолчанию ip6 получили и молчат. Маршрутизатор ваш с заявленной поддержкой ipv6 по ipv6 не поломать... кста когда интерфейсы маршрутизатора по ipv6 доступны будут? (мне не интересно и не нужно, вы просто заявили что готовы к шестерке) у меня соединение к ним не удается (web, telnet). Подсеть большая выдается, пусть ищут, если туннель к ipv6 динамический, то вполне безопасно, если вы не Бонд, который Джеймс. По поводу "бреда" то это как я дебагил свой ipv4/v6 девайс, сначала обновился маршрутизатор и он стал постоянно виснуть (прошивка релиз), встала не только отладка но и инета даже не стало. Через месяц что-то смогли сделать на бета тестировании, для этого пришлось извернуться и снять лог с намертво зависающего устройства. Появился инет дома, уже хорошо.. но в сборке тестовой нет ipv6, еще через месяц только она попала в релиз и я смог собрать прошивку маршрутизатора с ipv6. Бред, уважаемый, это два месяца неисправной прошивки в официальном канале, а тех поддержка сначала не понимает, что хочу, потом просто ждет когда выйдет новая прошивка. Бред это ждать, когда вы решите с ip6tables, пол года (а может год?), пробовать извернуться в opt, вдруг получится. Я озвучил возможный выход, вдруг кто не Бонд, ему это будет полезно. Вы смотрите на это с такой стороны: народ у нас по большей части технически безграмнотый, и быстро нагуглив ваш пост с "решением" проблем тут же введет эти команды не задумываясь о последствиях, да еще и другим начнет рекомендовать. В итоге вместо того, чтобы создать побольше заявок в техподдержку на реализацию этой функции все тупо отключат ipv6 firewall и окажутся со сквозняком из интернета в локальную сеть, что недопустимо в любом случае. Так создавайте побольше заявок на реализацию этой фичи, а не раздавайте советов уровня "починить систему с помощью rm -rf /" всем подряд.

Да, с SHA1 все заработало. Ох уж это 2.6.22... Как я понимаю, для Giga 2 на этом ядре все и закончится (вроде, 2.06 последняя для поколения Keenetic 2/Giga 2?), до новых версий обновлений не будет? Дошли руки, в следующем релизе для Keenetic II / Giga II / Ultra будет исправлено: - добавлена поддержка esp-hmac-256 - добавлена поддержка NAT Traversal в аппаратный драйвер (по недосмотру это не было сделано сразу) - починено сохранение настроек в web К сожалению, из-за аппаратных ограничений невозможна _одновременная_ работа crypto engine с esp-hmac-256 и NAT-T, придется выбрать что-то одно из этого: либо esp-hmac-256, либо nat-traversal. Это не касается программного режима.

Это не решение, а полный бред и открывает вашу локальную сеть всем ветрам снаружи. В IPv4 хотя бы из-за наличия NAT локальная сеть недоступна всем и всегда.

Выше уже неоднократно написано, что для проверки более-менее объемного HDD не хватит ресурсов роутера.

Завтра проверим, скорее всего мелкий баг в веб-интерфейсе.

Если сервис IPsec поднят, но не смог установить соединение с другим endpoint / ждет подключения от клиента, то пакеты, которые должны идти в удаленную подсеть по селектору IPsec дропаются. Это касается только туннельного/транспортного режима и не касается L2TP over IPsec. Если это не так - то это баг и нужно исправлять. В случае с PPTP пожалуй прямо сейчас такое никак не сделать.

Обновил mediatomb, проблема cpu под 100% на keenetic giga осталась. Даже разработчики ndms не знают причину? Никто из разработчиков ndms в глаза не видел mediatomb и не обещал его поддержки. Откуда же они могут знать причину?

ДОБАВИЛ ПО СВОЕЙ ИНИЦИАТИВЕ, ЧТОБЫ ПОЛЕ В WEB_ИНТЕРФЕЙСЕ БЫЛО ЗАПОЛНЕНО: (config-if)> description L2TP/IPsec-client_Persey [без пробелов] ЭТО ПОКА НЕ ДЕЛАЛ: (config-if)> ip global 2000 {если хотите, чтобы это соединение стало маршрутом по умолчанию и через него был доступ в Интернет} Сохранил настройки. Вот что оказалось в настройках: interface L2TPoverIPsec0 description L2TP/IPsec-client_Persey peer 1.1.1.1 {внешний адрес DFL} no ipv6cp lcp echo 30 3 ipcp default-route ipcp name-servers ipcp dns-routes no ccp security-level public authentication identity Giga_R {Имя} authentication password ns3 rY2Obo/Nw56mCjbdAf/kcRVq ip dhcp client dns-routes ip dhcp client name-servers ip mtu 1400 ipsecure preshared-key ns3 3R/il+we56mCjbvPVJ42zq8arV6sTYeSa56mCjbh5enEH1Nt41YRRw no connect up service ipsec - появилось после того, как поставил галку Приложения - IPsec VPN - Включить: Да Но соединения не произошло. В WEB-интерфейсе L2TPoverIPsec0 появился как новый Интернет интерфейс с состоянием "серые часики". Вот что нашел в логах: May 19 00:25:08ndm Network::Interface::Base: "L2TPoverIPsec0": interface is up. May 19 00:25:15ndm Network::Interface::L2TPSecure: "L2TPoverIPsec0": remote endpoint is resolved to "1.1.1.1". May 19 00:25:15ndm Network::Interface::L2TPSecure: "L2TPoverIPsec0": local endpoint is resolved to "192.168.43.129". [Выход в инет был через WISP на Android-смартфоне] May 19 00:25:15ndm IpSec::Manager: IP secure connection "L2TPoverIPsec0" was added. May 19 00:25:17ndm IpSec::Manager: create IPsec reconfiguration transaction... May 19 00:25:17ndm IpSec::Manager: IPsec reconfiguration transaction was created. May 19 00:25:17ndm IpSec::Configurator: start applying IPsec configuration. May 19 00:25:17ndm IpSec::Configurator: init empty runtime state for crypto map "L2TPoverIPsec0". May 19 00:25:17ndm IpSec::Configurator: IPsec configuration apply is done. May 19 00:25:17ndm Network::Interface::L2TPSecure: "L2TPoverIPsec0": IP secure layer is down, shutdown L2TP layer. May 19 00:25:17ndm Network::Interface::PPP: disabled connection. May 19 00:25:17ndm IpSec::Configurator: start reloading IPsec config task. May 19 00:25:17ipsec 14[CFG] received stroke: add connection 'L2TPoverIPsec0' May 19 00:25:18ipsec 14[CFG] added configuration 'L2TPoverIPsec0' May 19 00:25:18ndm IpSec::Configurator: reloading IPsec config task done. May 19 00:25:18ndm IpSec::IpSecNetfilter: start reloading IPsec netfilter configuration... May 19 00:25:18ndm IpSec::IpSecNetfilter: IPsec netfilter configuration reloading is done. May 19 00:25:18ndm IpSec::Configurator: start initiating IPsec crypto map "L2TPoverIPsec0" task. May 19 00:25:18ipsec 13[CFG] received stroke: initiate 'L2TPoverIPsec0' May 19 00:25:18ipsec 15[iKE] initiating Main Mode IKE_SA L2TPoverIPsec0[1] to 1.1.1.1 May 19 00:25:19ndm IpSec::Configurator: initiating IPsec crypto map "L2TPoverIPsec0" task done. May 19 00:25:19ipsec 07[iKE] received draft-stenberg-ipsec-nat-traversal-01 vendor ID May 19 00:25:19ipsec 07[iKE] received draft-stenberg-ipsec-nat-traversal-02 vendor ID May 19 00:25:19ipsec 07[iKE] received draft-ietf-ipsec-nat-t-ike-00 vendor ID May 19 00:25:19ipsec 07[iKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID May 19 00:25:19ipsec 07[iKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID May 19 00:25:19ipsec 07[iKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID May 19 00:25:19ipsec 07[iKE] received NAT-T (RFC 3947) vendor ID May 19 00:25:19ipsec 07[iKE] received DPD vendor ID May 19 00:25:20ipsec 08[iKE] linked key for crypto map 'L2TPoverIPsec0' is not found, still searching Мало логов, скиньте полный self-test после нескольких неудачных попыток подключиться. (config)> service ipsec - делать было не нужно, все отработает автоматически. (config)> interface L2TPoverIPsec0 connect - вот этой команды выполнено не было, выполните ее обязательно, иначе соединение не будет подниматься.

Да, именно так.