Le ecureuil

Нет. Есть только утилита smartctl из пакета smartmontools в Entware для контроля температуры и параметров USB-дисков, которые это поддерживают.

А куда вписывать шлюз для сети 10.250.158.3/25, который 10.250.158.1? В Статические маршруты? Пока не заработал. registration-uri sipserver.novotelecom.ru (пингуется с роутера, адрес определяется как 178.49.132.2) proxy sipserver.novotelecom.ru STUN-сервер не используется. Попробуйте выполнить команду (config)>ip route 178.49.132.2 10.250.158.1 VoIP auto (config)>system configration save Хотя я не уверен, что из сети 10.250.158.3/25 FQDN sipserver.novotelecom.ru разрешается тоже как 178.49.132.2.

Самый простой варинант, в котором меньше всего работы с cli: 1. При настройке ISP-интерфейса отметьте чекбокс "VLAN для телефонии", и укажите туда VLAN ID = 2124. Больше ничего _не_ делайте, в том числе _не_ ставьте checkboxы под портами где есть подпись "IP-телефон". Нажимайте "Применить". 2. Зайдите по CLI и выполните (config)> interface Bridge2124 (config-if)> ip address 10.250.158.3 255.255.255.128 (config-if)> up (config-if)> exit (config)> system configuration save После этого DECT-донгл должен заработать. Если не заработает, то напишите IP-адрес SIP и STUN серверов, выданные вам провайдером. Конкретно для них доработаем настройку.

Вся суть в том, что поддержка opkg в ndms - это всего лишь инфраструктура для интеграции с кастомными пользовательскими окружениями, а не конкретное и законечное решение для пользователя, потому и нужно идти на сторонний форум. Можно сделать свой кастомный вариант пакетной базы и использовать его только самому. И несмотря на то, что мы по мере возможности стараемся помогать с базовой сборкой окружения, нами предполагается что пользователи будут сами поддерживать пакеты и помогать друг другу в этом. Например самым большим и активным таким сообществом является Entware и его вариант Entware-Keenetic.

Уже нет, начиная с 2.06B0 и выше возвращено старое поведение с полностью разделными ppe hardware и ppe software. По умолчанию HW и SW включены? Какой командой можно посмотреть их состояние? По умолчанию все включено, посмотреть можно через > show running-config

Нет, нельзя. А зачем это? Плюс не стоит забывать, что PPTP по TCP/1723 передает только управляющие сообщения, а все PPP-кадры передаются посредством GRE, в котором нет никаких портов вообще. Хотя вообще говоря можно через использование Opkg и скриптов для хуков netfilter.d, но это для тех кто умеет: viewtopic.php?f=4&p=4688#p4688 В следующий раз вопросы по настройке писать только в этот раздел.

Где-то на этом форуме уже говорили, что чтобы работал HW, надо включить и HW и SW. Уже нет, начиная с 2.06B0 и выше возвращено старое поведение с полностью разделными ppe hardware и ppe software.

А ppe hardware и ppe software могут работать одновременно? Конечно. ppe hardware обрабатывает трафик для случая работы IPoE/PPPoE через провод (имеется в виду, что клиенты соединен с роутером по проводу), ppe software обрабатывает трафик для случая работы IPoE/PPPoE через WiFi (имеется в виду, что клиенты соединены с роутером по WiFi), всех случаев с L2TP/PPTP, мультикастом и USB DSL.

Ultra II спокойно пропускает по 940 Мбит/с в каждую сторону, то есть почти 1900 в дуплексе. Более того, при этом процессор должен быть практически свободен. Это проверено на Spirent и других тестовых стендах. У себя же проверьте, включены ли ppe hardware и ppe software. При включеных ускорителях такая загрузка ЦПУ выглядит странно.

Начиная с 2.06 это поддерживается на всех устройствах.

Если очень хотите, то по поводу прошивок от padavan создайте отдельную тему с обсуждением (лучше всего в Курилке, как не относящуюся к NDMS совсем), незачем мусорить по всему форуму. И подробно распишите что и как делать и чинить, чтобы у юзеров потом к разработчикам NDMS не возникало вопросов по саппорту прошивки Андрея.

А бесконечное переподключение на Giga 2 будет поправлено? Причины так до конца и не понятны, хотя оно периодически однозначно наблюдается у некоторых пользователей. Продолжаем разбираться, но пока обещаний никаких нет.

По идее не должно, наши стресстесты все устройства прошли на отлично.

Попробуйте 2.07. На Giga III?

Готов поспорить. Когда нужно что-то сейчас, то это самый простой вариант. Со стороны безопасности я бы посмотрел что еще там будет доступно в домашней сети по ipv6. Будет смешно если ктото будет ломать вам телевизор с поддержкой ipv6, телефоны, пк и др по умолчанию ip6 получили и молчат. Маршрутизатор ваш с заявленной поддержкой ipv6 по ipv6 не поломать... кста когда интерфейсы маршрутизатора по ipv6 доступны будут? (мне не интересно и не нужно, вы просто заявили что готовы к шестерке) у меня соединение к ним не удается (web, telnet). Подсеть большая выдается, пусть ищут, если туннель к ipv6 динамический, то вполне безопасно, если вы не Бонд, который Джеймс. По поводу "бреда" то это как я дебагил свой ipv4/v6 девайс, сначала обновился маршрутизатор и он стал постоянно виснуть (прошивка релиз), встала не только отладка но и инета даже не стало. Через месяц что-то смогли сделать на бета тестировании, для этого пришлось извернуться и снять лог с намертво зависающего устройства. Появился инет дома, уже хорошо.. но в сборке тестовой нет ipv6, еще через месяц только она попала в релиз и я смог собрать прошивку маршрутизатора с ipv6. Бред, уважаемый, это два месяца неисправной прошивки в официальном канале, а тех поддержка сначала не понимает, что хочу, потом просто ждет когда выйдет новая прошивка. Бред это ждать, когда вы решите с ip6tables, пол года (а может год?), пробовать извернуться в opt, вдруг получится. Я озвучил возможный выход, вдруг кто не Бонд, ему это будет полезно. Вы смотрите на это с такой стороны: народ у нас по большей части технически безграмнотый, и быстро нагуглив ваш пост с "решением" проблем тут же введет эти команды не задумываясь о последствиях, да еще и другим начнет рекомендовать. В итоге вместо того, чтобы создать побольше заявок в техподдержку на реализацию этой функции все тупо отключат ipv6 firewall и окажутся со сквозняком из интернета в локальную сеть, что недопустимо в любом случае. Так создавайте побольше заявок на реализацию этой фичи, а не раздавайте советов уровня "починить систему с помощью rm -rf /" всем подряд.

Да, с SHA1 все заработало. Ох уж это 2.6.22... Как я понимаю, для Giga 2 на этом ядре все и закончится (вроде, 2.06 последняя для поколения Keenetic 2/Giga 2?), до новых версий обновлений не будет? Дошли руки, в следующем релизе для Keenetic II / Giga II / Ultra будет исправлено: - добавлена поддержка esp-hmac-256 - добавлена поддержка NAT Traversal в аппаратный драйвер (по недосмотру это не было сделано сразу) - починено сохранение настроек в web К сожалению, из-за аппаратных ограничений невозможна _одновременная_ работа crypto engine с esp-hmac-256 и NAT-T, придется выбрать что-то одно из этого: либо esp-hmac-256, либо nat-traversal. Это не касается программного режима.

Это не решение, а полный бред и открывает вашу локальную сеть всем ветрам снаружи. В IPv4 хотя бы из-за наличия NAT локальная сеть недоступна всем и всегда.

Выше уже неоднократно написано, что для проверки более-менее объемного HDD не хватит ресурсов роутера.

Завтра проверим, скорее всего мелкий баг в веб-интерфейсе.

Если сервис IPsec поднят, но не смог установить соединение с другим endpoint / ждет подключения от клиента, то пакеты, которые должны идти в удаленную подсеть по селектору IPsec дропаются. Это касается только туннельного/транспортного режима и не касается L2TP over IPsec. Если это не так - то это баг и нужно исправлять. В случае с PPTP пожалуй прямо сейчас такое никак не сделать.

Обновил mediatomb, проблема cpu под 100% на keenetic giga осталась. Даже разработчики ndms не знают причину? Никто из разработчиков ndms в глаза не видел mediatomb и не обещал его поддержки. Откуда же они могут знать причину?

ДОБАВИЛ ПО СВОЕЙ ИНИЦИАТИВЕ, ЧТОБЫ ПОЛЕ В WEB_ИНТЕРФЕЙСЕ БЫЛО ЗАПОЛНЕНО: (config-if)> description L2TP/IPsec-client_Persey [без пробелов] ЭТО ПОКА НЕ ДЕЛАЛ: (config-if)> ip global 2000 {если хотите, чтобы это соединение стало маршрутом по умолчанию и через него был доступ в Интернет} Сохранил настройки. Вот что оказалось в настройках: interface L2TPoverIPsec0 description L2TP/IPsec-client_Persey peer 1.1.1.1 {внешний адрес DFL} no ipv6cp lcp echo 30 3 ipcp default-route ipcp name-servers ipcp dns-routes no ccp security-level public authentication identity Giga_R {Имя} authentication password ns3 rY2Obo/Nw56mCjbdAf/kcRVq ip dhcp client dns-routes ip dhcp client name-servers ip mtu 1400 ipsecure preshared-key ns3 3R/il+we56mCjbvPVJ42zq8arV6sTYeSa56mCjbh5enEH1Nt41YRRw no connect up service ipsec - появилось после того, как поставил галку Приложения - IPsec VPN - Включить: Да Но соединения не произошло. В WEB-интерфейсе L2TPoverIPsec0 появился как новый Интернет интерфейс с состоянием "серые часики". Вот что нашел в логах: May 19 00:25:08ndm Network::Interface::Base: "L2TPoverIPsec0": interface is up. May 19 00:25:15ndm Network::Interface::L2TPSecure: "L2TPoverIPsec0": remote endpoint is resolved to "1.1.1.1". May 19 00:25:15ndm Network::Interface::L2TPSecure: "L2TPoverIPsec0": local endpoint is resolved to "192.168.43.129". [Выход в инет был через WISP на Android-смартфоне] May 19 00:25:15ndm IpSec::Manager: IP secure connection "L2TPoverIPsec0" was added. May 19 00:25:17ndm IpSec::Manager: create IPsec reconfiguration transaction... May 19 00:25:17ndm IpSec::Manager: IPsec reconfiguration transaction was created. May 19 00:25:17ndm IpSec::Configurator: start applying IPsec configuration. May 19 00:25:17ndm IpSec::Configurator: init empty runtime state for crypto map "L2TPoverIPsec0". May 19 00:25:17ndm IpSec::Configurator: IPsec configuration apply is done. May 19 00:25:17ndm Network::Interface::L2TPSecure: "L2TPoverIPsec0": IP secure layer is down, shutdown L2TP layer. May 19 00:25:17ndm Network::Interface::PPP: disabled connection. May 19 00:25:17ndm IpSec::Configurator: start reloading IPsec config task. May 19 00:25:17ipsec 14[CFG] received stroke: add connection 'L2TPoverIPsec0' May 19 00:25:18ipsec 14[CFG] added configuration 'L2TPoverIPsec0' May 19 00:25:18ndm IpSec::Configurator: reloading IPsec config task done. May 19 00:25:18ndm IpSec::IpSecNetfilter: start reloading IPsec netfilter configuration... May 19 00:25:18ndm IpSec::IpSecNetfilter: IPsec netfilter configuration reloading is done. May 19 00:25:18ndm IpSec::Configurator: start initiating IPsec crypto map "L2TPoverIPsec0" task. May 19 00:25:18ipsec 13[CFG] received stroke: initiate 'L2TPoverIPsec0' May 19 00:25:18ipsec 15[iKE] initiating Main Mode IKE_SA L2TPoverIPsec0[1] to 1.1.1.1 May 19 00:25:19ndm IpSec::Configurator: initiating IPsec crypto map "L2TPoverIPsec0" task done. May 19 00:25:19ipsec 07[iKE] received draft-stenberg-ipsec-nat-traversal-01 vendor ID May 19 00:25:19ipsec 07[iKE] received draft-stenberg-ipsec-nat-traversal-02 vendor ID May 19 00:25:19ipsec 07[iKE] received draft-ietf-ipsec-nat-t-ike-00 vendor ID May 19 00:25:19ipsec 07[iKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID May 19 00:25:19ipsec 07[iKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID May 19 00:25:19ipsec 07[iKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID May 19 00:25:19ipsec 07[iKE] received NAT-T (RFC 3947) vendor ID May 19 00:25:19ipsec 07[iKE] received DPD vendor ID May 19 00:25:20ipsec 08[iKE] linked key for crypto map 'L2TPoverIPsec0' is not found, still searching Мало логов, скиньте полный self-test после нескольких неудачных попыток подключиться. (config)> service ipsec - делать было не нужно, все отработает автоматически. (config)> interface L2TPoverIPsec0 connect - вот этой команды выполнено не было, выполните ее обязательно, иначе соединение не будет подниматься.

Да, именно так.

сейчас как раз изучаю Руководство CLI и осмелюсь предположить, что может так надо: (config)> interface L2TPoverIPsec0 no connect ? Вы имеет ввиду, что маршрутизация настраивается через раздел Web-интерфейса: Интернет - Дополнительно - Статические маршруты Тип маршрута: Маршрут до сети Адрес сети назначения: 192.168.21.0 Маска подсети: 255.255.255.0 Добавлять автоматически: Да Адрес шлюза: 192.168.11.1 Интерфейс: L2TPoverIPsec0 - ТАК ??? Метрика: {можно не указывать} А разрешения настраиваются в: Безопасность - Межсетевой экран - Правила для интерфейса - L2TPoverIPsec0 ? 2. Нет, префикс no всегда указывается в самом начале команды. 3. Да, так.

Есть планы приделать GRE/IPIP/EoIP туннели (в вариантах с IPsec и без него, а уже поверх них можно будет и маршрутизацию более правильную, и default route, и даже L2-сегменты объединять в случае с EoIP), но это без обещания каких-либо сроков: задача висит в беклоге уже год, и руки не доходят.