Le ecureuil

А ppe hardware и ppe software могут работать одновременно? Конечно. ppe hardware обрабатывает трафик для случая работы IPoE/PPPoE через провод (имеется в виду, что клиенты соединен с роутером по проводу), ppe software обрабатывает трафик для случая работы IPoE/PPPoE через WiFi (имеется в виду, что клиенты соединены с роутером по WiFi), всех случаев с L2TP/PPTP, мультикастом и USB DSL.

Ultra II спокойно пропускает по 940 Мбит/с в каждую сторону, то есть почти 1900 в дуплексе. Более того, при этом процессор должен быть практически свободен. Это проверено на Spirent и других тестовых стендах. У себя же проверьте, включены ли ppe hardware и ppe software. При включеных ускорителях такая загрузка ЦПУ выглядит странно.

Начиная с 2.06 это поддерживается на всех устройствах.

Если очень хотите, то по поводу прошивок от padavan создайте отдельную тему с обсуждением (лучше всего в Курилке, как не относящуюся к NDMS совсем), незачем мусорить по всему форуму. И подробно распишите что и как делать и чинить, чтобы у юзеров потом к разработчикам NDMS не возникало вопросов по саппорту прошивки Андрея.

А бесконечное переподключение на Giga 2 будет поправлено? Причины так до конца и не понятны, хотя оно периодически однозначно наблюдается у некоторых пользователей. Продолжаем разбираться, но пока обещаний никаких нет.

По идее не должно, наши стресстесты все устройства прошли на отлично.

Попробуйте 2.07. На Giga III?

Готов поспорить. Когда нужно что-то сейчас, то это самый простой вариант. Со стороны безопасности я бы посмотрел что еще там будет доступно в домашней сети по ipv6. Будет смешно если ктото будет ломать вам телевизор с поддержкой ipv6, телефоны, пк и др по умолчанию ip6 получили и молчат. Маршрутизатор ваш с заявленной поддержкой ipv6 по ipv6 не поломать... кста когда интерфейсы маршрутизатора по ipv6 доступны будут? (мне не интересно и не нужно, вы просто заявили что готовы к шестерке) у меня соединение к ним не удается (web, telnet). Подсеть большая выдается, пусть ищут, если туннель к ipv6 динамический, то вполне безопасно, если вы не Бонд, который Джеймс. По поводу "бреда" то это как я дебагил свой ipv4/v6 девайс, сначала обновился маршрутизатор и он стал постоянно виснуть (прошивка релиз), встала не только отладка но и инета даже не стало. Через месяц что-то смогли сделать на бета тестировании, для этого пришлось извернуться и снять лог с намертво зависающего устройства. Появился инет дома, уже хорошо.. но в сборке тестовой нет ipv6, еще через месяц только она попала в релиз и я смог собрать прошивку маршрутизатора с ipv6. Бред, уважаемый, это два месяца неисправной прошивки в официальном канале, а тех поддержка сначала не понимает, что хочу, потом просто ждет когда выйдет новая прошивка. Бред это ждать, когда вы решите с ip6tables, пол года (а может год?), пробовать извернуться в opt, вдруг получится. Я озвучил возможный выход, вдруг кто не Бонд, ему это будет полезно. Вы смотрите на это с такой стороны: народ у нас по большей части технически безграмнотый, и быстро нагуглив ваш пост с "решением" проблем тут же введет эти команды не задумываясь о последствиях, да еще и другим начнет рекомендовать. В итоге вместо того, чтобы создать побольше заявок в техподдержку на реализацию этой функции все тупо отключат ipv6 firewall и окажутся со сквозняком из интернета в локальную сеть, что недопустимо в любом случае. Так создавайте побольше заявок на реализацию этой фичи, а не раздавайте советов уровня "починить систему с помощью rm -rf /" всем подряд.

Да, с SHA1 все заработало. Ох уж это 2.6.22... Как я понимаю, для Giga 2 на этом ядре все и закончится (вроде, 2.06 последняя для поколения Keenetic 2/Giga 2?), до новых версий обновлений не будет? Дошли руки, в следующем релизе для Keenetic II / Giga II / Ultra будет исправлено: - добавлена поддержка esp-hmac-256 - добавлена поддержка NAT Traversal в аппаратный драйвер (по недосмотру это не было сделано сразу) - починено сохранение настроек в web К сожалению, из-за аппаратных ограничений невозможна _одновременная_ работа crypto engine с esp-hmac-256 и NAT-T, придется выбрать что-то одно из этого: либо esp-hmac-256, либо nat-traversal. Это не касается программного режима.

Это не решение, а полный бред и открывает вашу локальную сеть всем ветрам снаружи. В IPv4 хотя бы из-за наличия NAT локальная сеть недоступна всем и всегда.

Выше уже неоднократно написано, что для проверки более-менее объемного HDD не хватит ресурсов роутера.

Завтра проверим, скорее всего мелкий баг в веб-интерфейсе.

Если сервис IPsec поднят, но не смог установить соединение с другим endpoint / ждет подключения от клиента, то пакеты, которые должны идти в удаленную подсеть по селектору IPsec дропаются. Это касается только туннельного/транспортного режима и не касается L2TP over IPsec. Если это не так - то это баг и нужно исправлять. В случае с PPTP пожалуй прямо сейчас такое никак не сделать.

Обновил mediatomb, проблема cpu под 100% на keenetic giga осталась. Даже разработчики ndms не знают причину? Никто из разработчиков ndms в глаза не видел mediatomb и не обещал его поддержки. Откуда же они могут знать причину?

ДОБАВИЛ ПО СВОЕЙ ИНИЦИАТИВЕ, ЧТОБЫ ПОЛЕ В WEB_ИНТЕРФЕЙСЕ БЫЛО ЗАПОЛНЕНО: (config-if)> description L2TP/IPsec-client_Persey [без пробелов] ЭТО ПОКА НЕ ДЕЛАЛ: (config-if)> ip global 2000 {если хотите, чтобы это соединение стало маршрутом по умолчанию и через него был доступ в Интернет} Сохранил настройки. Вот что оказалось в настройках: interface L2TPoverIPsec0 description L2TP/IPsec-client_Persey peer 1.1.1.1 {внешний адрес DFL} no ipv6cp lcp echo 30 3 ipcp default-route ipcp name-servers ipcp dns-routes no ccp security-level public authentication identity Giga_R {Имя} authentication password ns3 rY2Obo/Nw56mCjbdAf/kcRVq ip dhcp client dns-routes ip dhcp client name-servers ip mtu 1400 ipsecure preshared-key ns3 3R/il+we56mCjbvPVJ42zq8arV6sTYeSa56mCjbh5enEH1Nt41YRRw no connect up service ipsec - появилось после того, как поставил галку Приложения - IPsec VPN - Включить: Да Но соединения не произошло. В WEB-интерфейсе L2TPoverIPsec0 появился как новый Интернет интерфейс с состоянием "серые часики". Вот что нашел в логах: May 19 00:25:08ndm Network::Interface::Base: "L2TPoverIPsec0": interface is up. May 19 00:25:15ndm Network::Interface::L2TPSecure: "L2TPoverIPsec0": remote endpoint is resolved to "1.1.1.1". May 19 00:25:15ndm Network::Interface::L2TPSecure: "L2TPoverIPsec0": local endpoint is resolved to "192.168.43.129". [Выход в инет был через WISP на Android-смартфоне] May 19 00:25:15ndm IpSec::Manager: IP secure connection "L2TPoverIPsec0" was added. May 19 00:25:17ndm IpSec::Manager: create IPsec reconfiguration transaction... May 19 00:25:17ndm IpSec::Manager: IPsec reconfiguration transaction was created. May 19 00:25:17ndm IpSec::Configurator: start applying IPsec configuration. May 19 00:25:17ndm IpSec::Configurator: init empty runtime state for crypto map "L2TPoverIPsec0". May 19 00:25:17ndm IpSec::Configurator: IPsec configuration apply is done. May 19 00:25:17ndm Network::Interface::L2TPSecure: "L2TPoverIPsec0": IP secure layer is down, shutdown L2TP layer. May 19 00:25:17ndm Network::Interface::PPP: disabled connection. May 19 00:25:17ndm IpSec::Configurator: start reloading IPsec config task. May 19 00:25:17ipsec 14[CFG] received stroke: add connection 'L2TPoverIPsec0' May 19 00:25:18ipsec 14[CFG] added configuration 'L2TPoverIPsec0' May 19 00:25:18ndm IpSec::Configurator: reloading IPsec config task done. May 19 00:25:18ndm IpSec::IpSecNetfilter: start reloading IPsec netfilter configuration... May 19 00:25:18ndm IpSec::IpSecNetfilter: IPsec netfilter configuration reloading is done. May 19 00:25:18ndm IpSec::Configurator: start initiating IPsec crypto map "L2TPoverIPsec0" task. May 19 00:25:18ipsec 13[CFG] received stroke: initiate 'L2TPoverIPsec0' May 19 00:25:18ipsec 15[iKE] initiating Main Mode IKE_SA L2TPoverIPsec0[1] to 1.1.1.1 May 19 00:25:19ndm IpSec::Configurator: initiating IPsec crypto map "L2TPoverIPsec0" task done. May 19 00:25:19ipsec 07[iKE] received draft-stenberg-ipsec-nat-traversal-01 vendor ID May 19 00:25:19ipsec 07[iKE] received draft-stenberg-ipsec-nat-traversal-02 vendor ID May 19 00:25:19ipsec 07[iKE] received draft-ietf-ipsec-nat-t-ike-00 vendor ID May 19 00:25:19ipsec 07[iKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID May 19 00:25:19ipsec 07[iKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID May 19 00:25:19ipsec 07[iKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID May 19 00:25:19ipsec 07[iKE] received NAT-T (RFC 3947) vendor ID May 19 00:25:19ipsec 07[iKE] received DPD vendor ID May 19 00:25:20ipsec 08[iKE] linked key for crypto map 'L2TPoverIPsec0' is not found, still searching Мало логов, скиньте полный self-test после нескольких неудачных попыток подключиться. (config)> service ipsec - делать было не нужно, все отработает автоматически. (config)> interface L2TPoverIPsec0 connect - вот этой команды выполнено не было, выполните ее обязательно, иначе соединение не будет подниматься.

Да, именно так.

сейчас как раз изучаю Руководство CLI и осмелюсь предположить, что может так надо: (config)> interface L2TPoverIPsec0 no connect ? Вы имеет ввиду, что маршрутизация настраивается через раздел Web-интерфейса: Интернет - Дополнительно - Статические маршруты Тип маршрута: Маршрут до сети Адрес сети назначения: 192.168.21.0 Маска подсети: 255.255.255.0 Добавлять автоматически: Да Адрес шлюза: 192.168.11.1 Интерфейс: L2TPoverIPsec0 - ТАК ??? Метрика: {можно не указывать} А разрешения настраиваются в: Безопасность - Межсетевой экран - Правила для интерфейса - L2TPoverIPsec0 ? 2. Нет, префикс no всегда указывается в самом начале команды. 3. Да, так.

Есть планы приделать GRE/IPIP/EoIP туннели (в вариантах с IPsec и без него, а уже поверх них можно будет и маршрутизацию более правильную, и default route, и даже L2-сегменты объединять в случае с EoIP), но это без обещания каких-либо сроков: задача висит в беклоге уже год, и руки не доходят.

Потрясающе просто, а я тут больше недели экспериментировал. Огромное спасибо ! Жаль попробовать сейчас не могу, роутер не со мной. Но обязательно отпишусь по результатам. Остается у Вас уточнить: 1. Какой командой можно проверить состояние подключения ? 2. Какой командой можно отключить подключение ? 3. Как маршрутизировать и прописывать разрешения на доступ из локальной сети в удаленную ? 4. И наоборот: из удаленной в локальную ? 1. Состояние интерфейса будет показываться в веб-интерфейсе, только его редактирование будет все ломать: аккуратнее. Ну и можно воспользоваться командой (config)> show interface L2TPoverIPsec0 2. (config)> no interface L2TPoverIPsec0 connect 3. Так же как обычно это делается в веб-интерфейсе для другого VPN-подключения навроде L2TP или PPTP. 4. Переведите интерфейс в приватный режим: (config)> interface L2TPoverIPsec0 security-level private а дальше точно также как для других интерфейсов.

Уточняю ПАРАМЕТРЫ L2TP Microsoft Point-to-Point Encryption (MPPE): No, 128 bit - так и было, просто посчитал, что неважно есть "No" или нет. Уточняю ПАРАМЕТРЫ IPsec Фаза 1 Проверка целостности IKE: MD5, SHA1 - так и было, просто когда настраивал IPsec-тоннель между DFL-260E и Giga-III, то он поднялся именно на MD5. Фаза 2 Проверка целостности SA: MD5, SHA1 - так и было, просто когда настраивал IPsec-тоннель между DFL-260E и Giga-III, то он поднялся именно на MD5. На своем опыте использования подтверждаю, что эти настройки совместимы с клиентами на Android и Windows ! Правильно ли я понял, что через CLI создается и запускается только L2TP, а сам IPsec должен быть уже настроен через WEB ? Тогда правильно ли я настроил IPsec-клиента ? (скриншот прилагается) Нет, IPsec настраивается, подключается и управляется автоматически при вводе тех команд, что я описал выше. Настраивать в Web вообще ничего не стоит.

Не волнуйтесь, я модератор и все ваши сообщения вижу и одобряю. Сразу небольшое замечание: наш L2TP-клиент несовместим с MPPE/MPPC, потому его стоит отключить. Должен быть простой L2TP без MPPE/MPPC. За безопасность данных волноваться не стоит, у вас и так весь обмен L2TP будет заширован и проверен на целостность при передаче с помощью IPsec. Также подправьте "Проверка целостности IKE" и "Проверка целостности SA" с MD5 на SHA1 (на DFL-260). По идее это не должно сломать совместимость с Android и Windows. В Web L2TP over IPsec пока не настраивается, потому нужны такие команды (компоненты IPsec и L2TP должны уже быть установлены): (config)> interface L2TPoverIPsec0 (config-if)> peer 1.1.1.1 {внешний адрес DFL} (config-if)> authentication identity {Имя} (config-if)> authentication password {Пароль} (config-if)> ip global 2000 {если хотите, чтобы это соединение стало маршрутом по умолчанию и через него был доступ в Интернет} (config-if)> ipsecure preshared-key 12345678 {ваш ключ PSK} (config-if)> up (config-if)> connect

Аппаратное шифрование включается через команду (config)> no service ipsec (config)> crypto engine hardware (config)> service ipsec (config)> system configuration save Для AES128/SHA1 все точно должно работать. По умолчанию оно отключено во избежание возможных проблем при массовом применении. Проблема с периодическим разрывом, когда одна и сторон - Giga II на ядре 2.6.22 подтверждена, но прямо сейчас нет времени ей заниматься. Как только - так сразу.

Удаленные и локальные подсети в L2TP over IPsec не нужны, т.к. используется транспортный режим IPsec. Плюс у вас не хватает L2TP-PPP специфичных данных навроде логина, пароля и типа авторизации PPP. Проясните про вышеназванные пункты и тогда решим.

Помогите пожалуйста с настройками L2TPoverIPsec-Клиента, т.к. техподдержка умыла руки. И очень правильно сделала: эта фича официально нигде не заявлена, не оттестирована и используется всеми, кто о ней знает, на свой страх и риск. На будущее всем стоит запомнить: обсуждения фич на этом форуме относятся только к этому форуму, и если сотрудники NDM вас явно не посылают в техподдержку с этими фичами (а такое бывает), то туда _ВООБЩЕ_ не стоит соваться с предъявами "а вот на _НЕОФИЦИАЛЬНОМ_ форуме написали". По поводу вашего вопроса: L2TP over IPsec сервера на Keenetic _НЕТ_, есть только клиент. Удаленные и локальные подсети в L2TP over IPsec не нужны, т.к. используется транспортный режим IPsec. Плюс у вас не хватает L2TP-PPP специфичных данных навроде логина, пароля и типа авторизации PPP. Это вообще что за сервер и откуда настройки? Говорите точнее, пока для меня это выглядит так, что вы пытаетесь на Keenetic настроить L2TP over IPsec сервер, что невозможно.

Нет. ADSL подразумевает использование DSLAM со стороны сервера, VDSL же позволяет соединять два CPE.