-
Posts
9,872 -
Joined
-
Last visited
-
Days Won
576
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Everything posted by Le ecureuil
-
Использование второго ядра в Ultra II
Le ecureuil replied to connection_info's question in Обмен опытом
А ppe hardware и ppe software могут работать одновременно? Конечно. ppe hardware обрабатывает трафик для случая работы IPoE/PPPoE через провод (имеется в виду, что клиенты соединен с роутером по проводу), ppe software обрабатывает трафик для случая работы IPoE/PPPoE через WiFi (имеется в виду, что клиенты соединены с роутером по WiFi), всех случаев с L2TP/PPTP, мультикастом и USB DSL. -
Использование второго ядра в Ultra II
Le ecureuil replied to connection_info's question in Обмен опытом
Ultra II спокойно пропускает по 940 Мбит/с в каждую сторону, то есть почти 1900 в дуплексе. Более того, при этом процессор должен быть практически свободен. Это проверено на Spirent и других тестовых стендах. У себя же проверьте, включены ли ppe hardware и ppe software. При включеных ускорителях такая загрузка ЦПУ выглядит странно. -
Keenetic Giga III v2.06(AAUW.5)A7 и dwa 182/a
Le ecureuil replied to sadotaro's question in Обмен опытом
Если очень хотите, то по поводу прошивок от padavan создайте отдельную тему с обсуждением (лучше всего в Курилке, как не относящуюся к NDMS совсем), незачем мусорить по всему форуму. И подробно распишите что и как делать и чинить, чтобы у юзеров потом к разработчикам NDMS не возникало вопросов по саппорту прошивки Андрея. -
сконфигурировать IPsec/L2TP клиент
Le ecureuil replied to slad's topic in Обсуждение IPsec, OpenVPN и других туннелей
А бесконечное переподключение на Giga 2 будет поправлено? Причины так до конца и не понятны, хотя оно периодически однозначно наблюдается у некоторых пользователей. Продолжаем разбираться, но пока обещаний никаких нет. -
Zyxel Keenetic Giga III - проблемы с Wi-Fi 5 ГГц
Le ecureuil replied to t800's question in Обмен опытом
По идее не должно, наши стресстесты все устройства прошли на отлично. -
Keenetic Giga III v2.06(AAUW.5)A7 и dwa 182/a
Le ecureuil replied to sadotaro's question in Обмен опытом
Попробуйте 2.07. На Giga III? -
IPv6, таблица маршрутизации и access-list (файрволл)
Le ecureuil replied to streampp's question in Развитие
Готов поспорить. Когда нужно что-то сейчас, то это самый простой вариант. Со стороны безопасности я бы посмотрел что еще там будет доступно в домашней сети по ipv6. Будет смешно если ктото будет ломать вам телевизор с поддержкой ipv6, телефоны, пк и др по умолчанию ip6 получили и молчат. Маршрутизатор ваш с заявленной поддержкой ipv6 по ipv6 не поломать... кста когда интерфейсы маршрутизатора по ipv6 доступны будут? (мне не интересно и не нужно, вы просто заявили что готовы к шестерке) у меня соединение к ним не удается (web, telnet). Подсеть большая выдается, пусть ищут, если туннель к ipv6 динамический, то вполне безопасно, если вы не Бонд, который Джеймс. По поводу "бреда" то это как я дебагил свой ipv4/v6 девайс, сначала обновился маршрутизатор и он стал постоянно виснуть (прошивка релиз), встала не только отладка но и инета даже не стало. Через месяц что-то смогли сделать на бета тестировании, для этого пришлось извернуться и снять лог с намертво зависающего устройства. Появился инет дома, уже хорошо.. но в сборке тестовой нет ipv6, еще через месяц только она попала в релиз и я смог собрать прошивку маршрутизатора с ipv6. Бред, уважаемый, это два месяца неисправной прошивки в официальном канале, а тех поддержка сначала не понимает, что хочу, потом просто ждет когда выйдет новая прошивка. Бред это ждать, когда вы решите с ip6tables, пол года (а может год?), пробовать извернуться в opt, вдруг получится. Я озвучил возможный выход, вдруг кто не Бонд, ему это будет полезно. Вы смотрите на это с такой стороны: народ у нас по большей части технически безграмнотый, и быстро нагуглив ваш пост с "решением" проблем тут же введет эти команды не задумываясь о последствиях, да еще и другим начнет рекомендовать. В итоге вместо того, чтобы создать побольше заявок в техподдержку на реализацию этой функции все тупо отключат ipv6 firewall и окажутся со сквозняком из интернета в локальную сеть, что недопустимо в любом случае. Так создавайте побольше заявок на реализацию этой фичи, а не раздавайте советов уровня "починить систему с помощью rm -rf /" всем подряд. -
сконфигурировать IPsec/L2TP клиент
Le ecureuil replied to slad's topic in Обсуждение IPsec, OpenVPN и других туннелей
Да, с SHA1 все заработало. Ох уж это 2.6.22... Как я понимаю, для Giga 2 на этом ядре все и закончится (вроде, 2.06 последняя для поколения Keenetic 2/Giga 2?), до новых версий обновлений не будет? Дошли руки, в следующем релизе для Keenetic II / Giga II / Ultra будет исправлено: - добавлена поддержка esp-hmac-256 - добавлена поддержка NAT Traversal в аппаратный драйвер (по недосмотру это не было сделано сразу) - починено сохранение настроек в web К сожалению, из-за аппаратных ограничений невозможна _одновременная_ работа crypto engine с esp-hmac-256 и NAT-T, придется выбрать что-то одно из этого: либо esp-hmac-256, либо nat-traversal. Это не касается программного режима. -
IPv6, таблица маршрутизации и access-list (файрволл)
Le ecureuil replied to streampp's question in Развитие
Это не решение, а полный бред и открывает вашу локальную сеть всем ветрам снаружи. В IPv4 хотя бы из-за наличия NAT локальная сеть недоступна всем и всегда. -
[Предложение новой функции]Обслуживание подключенного HDD.
Le ecureuil replied to ankar84's question in Реализованные пожелания
Выше уже неоднократно написано, что для проверки более-менее объемного HDD не хватит ресурсов роутера. -
Настройка IPsec для NDMS
Le ecureuil replied to steils's topic in Обсуждение IPsec, OpenVPN и других туннелей
Завтра проверим, скорее всего мелкий баг в веб-интерфейсе. -
No route to host при отсутствии туннеля
Le ecureuil replied to KorDen's topic in Вопросы по сборке и настройке Opkg
Если сервис IPsec поднят, но не смог установить соединение с другим endpoint / ждет подключения от клиента, то пакеты, которые должны идти в удаленную подсеть по селектору IPsec дропаются. Это касается только туннельного/транспортного режима и не касается L2TP over IPsec. Если это не так - то это баг и нужно исправлять. В случае с PPTP пожалуй прямо сейчас такое никак не сделать. -
Обновил mediatomb, проблема cpu под 100% на keenetic giga осталась. Даже разработчики ndms не знают причину? Никто из разработчиков ndms в глаза не видел mediatomb и не обещал его поддержки. Откуда же они могут знать причину?
-
Настройка IPsec для NDMS
Le ecureuil replied to steils's topic in Обсуждение IPsec, OpenVPN и других туннелей
ДОБАВИЛ ПО СВОЕЙ ИНИЦИАТИВЕ, ЧТОБЫ ПОЛЕ В WEB_ИНТЕРФЕЙСЕ БЫЛО ЗАПОЛНЕНО: (config-if)> description L2TP/IPsec-client_Persey [без пробелов] ЭТО ПОКА НЕ ДЕЛАЛ: (config-if)> ip global 2000 {если хотите, чтобы это соединение стало маршрутом по умолчанию и через него был доступ в Интернет} Сохранил настройки. Вот что оказалось в настройках: interface L2TPoverIPsec0 description L2TP/IPsec-client_Persey peer 1.1.1.1 {внешний адрес DFL} no ipv6cp lcp echo 30 3 ipcp default-route ipcp name-servers ipcp dns-routes no ccp security-level public authentication identity Giga_R {Имя} authentication password ns3 rY2Obo/Nw56mCjbdAf/kcRVq ip dhcp client dns-routes ip dhcp client name-servers ip mtu 1400 ipsecure preshared-key ns3 3R/il+we56mCjbvPVJ42zq8arV6sTYeSa56mCjbh5enEH1Nt41YRRw no connect up service ipsec - появилось после того, как поставил галку Приложения - IPsec VPN - Включить: Да Но соединения не произошло. В WEB-интерфейсе L2TPoverIPsec0 появился как новый Интернет интерфейс с состоянием "серые часики". Вот что нашел в логах: May 19 00:25:08ndm Network::Interface::Base: "L2TPoverIPsec0": interface is up. May 19 00:25:15ndm Network::Interface::L2TPSecure: "L2TPoverIPsec0": remote endpoint is resolved to "1.1.1.1". May 19 00:25:15ndm Network::Interface::L2TPSecure: "L2TPoverIPsec0": local endpoint is resolved to "192.168.43.129". [Выход в инет был через WISP на Android-смартфоне] May 19 00:25:15ndm IpSec::Manager: IP secure connection "L2TPoverIPsec0" was added. May 19 00:25:17ndm IpSec::Manager: create IPsec reconfiguration transaction... May 19 00:25:17ndm IpSec::Manager: IPsec reconfiguration transaction was created. May 19 00:25:17ndm IpSec::Configurator: start applying IPsec configuration. May 19 00:25:17ndm IpSec::Configurator: init empty runtime state for crypto map "L2TPoverIPsec0". May 19 00:25:17ndm IpSec::Configurator: IPsec configuration apply is done. May 19 00:25:17ndm Network::Interface::L2TPSecure: "L2TPoverIPsec0": IP secure layer is down, shutdown L2TP layer. May 19 00:25:17ndm Network::Interface::PPP: disabled connection. May 19 00:25:17ndm IpSec::Configurator: start reloading IPsec config task. May 19 00:25:17ipsec 14[CFG] received stroke: add connection 'L2TPoverIPsec0' May 19 00:25:18ipsec 14[CFG] added configuration 'L2TPoverIPsec0' May 19 00:25:18ndm IpSec::Configurator: reloading IPsec config task done. May 19 00:25:18ndm IpSec::IpSecNetfilter: start reloading IPsec netfilter configuration... May 19 00:25:18ndm IpSec::IpSecNetfilter: IPsec netfilter configuration reloading is done. May 19 00:25:18ndm IpSec::Configurator: start initiating IPsec crypto map "L2TPoverIPsec0" task. May 19 00:25:18ipsec 13[CFG] received stroke: initiate 'L2TPoverIPsec0' May 19 00:25:18ipsec 15[iKE] initiating Main Mode IKE_SA L2TPoverIPsec0[1] to 1.1.1.1 May 19 00:25:19ndm IpSec::Configurator: initiating IPsec crypto map "L2TPoverIPsec0" task done. May 19 00:25:19ipsec 07[iKE] received draft-stenberg-ipsec-nat-traversal-01 vendor ID May 19 00:25:19ipsec 07[iKE] received draft-stenberg-ipsec-nat-traversal-02 vendor ID May 19 00:25:19ipsec 07[iKE] received draft-ietf-ipsec-nat-t-ike-00 vendor ID May 19 00:25:19ipsec 07[iKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID May 19 00:25:19ipsec 07[iKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID May 19 00:25:19ipsec 07[iKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID May 19 00:25:19ipsec 07[iKE] received NAT-T (RFC 3947) vendor ID May 19 00:25:19ipsec 07[iKE] received DPD vendor ID May 19 00:25:20ipsec 08[iKE] linked key for crypto map 'L2TPoverIPsec0' is not found, still searching Мало логов, скиньте полный self-test после нескольких неудачных попыток подключиться. (config)> service ipsec - делать было не нужно, все отработает автоматически. (config)> interface L2TPoverIPsec0 connect - вот этой команды выполнено не было, выполните ее обязательно, иначе соединение не будет подниматься. -
ndnproxy - с чем его едят?
Le ecureuil replied to comradepashka's topic in Вопросы по сборке и настройке Opkg
Да, именно так. -
Настройка IPsec для NDMS
Le ecureuil replied to steils's topic in Обсуждение IPsec, OpenVPN и других туннелей
сейчас как раз изучаю Руководство CLI и осмелюсь предположить, что может так надо: (config)> interface L2TPoverIPsec0 no connect ? Вы имеет ввиду, что маршрутизация настраивается через раздел Web-интерфейса: Интернет - Дополнительно - Статические маршруты Тип маршрута: Маршрут до сети Адрес сети назначения: 192.168.21.0 Маска подсети: 255.255.255.0 Добавлять автоматически: Да Адрес шлюза: 192.168.11.1 Интерфейс: L2TPoverIPsec0 - ТАК ??? Метрика: {можно не указывать} А разрешения настраиваются в: Безопасность - Межсетевой экран - Правила для интерфейса - L2TPoverIPsec0 ? 2. Нет, префикс no всегда указывается в самом начале команды. 3. Да, так. -
сконфигурировать IPsec/L2TP клиент
Le ecureuil replied to slad's topic in Обсуждение IPsec, OpenVPN и других туннелей
Есть планы приделать GRE/IPIP/EoIP туннели (в вариантах с IPsec и без него, а уже поверх них можно будет и маршрутизацию более правильную, и default route, и даже L2-сегменты объединять в случае с EoIP), но это без обещания каких-либо сроков: задача висит в беклоге уже год, и руки не доходят. -
Настройка IPsec для NDMS
Le ecureuil replied to steils's topic in Обсуждение IPsec, OpenVPN и других туннелей
Потрясающе просто, а я тут больше недели экспериментировал. Огромное спасибо ! Жаль попробовать сейчас не могу, роутер не со мной. Но обязательно отпишусь по результатам. Остается у Вас уточнить: 1. Какой командой можно проверить состояние подключения ? 2. Какой командой можно отключить подключение ? 3. Как маршрутизировать и прописывать разрешения на доступ из локальной сети в удаленную ? 4. И наоборот: из удаленной в локальную ? 1. Состояние интерфейса будет показываться в веб-интерфейсе, только его редактирование будет все ломать: аккуратнее. Ну и можно воспользоваться командой (config)> show interface L2TPoverIPsec0 2. (config)> no interface L2TPoverIPsec0 connect 3. Так же как обычно это делается в веб-интерфейсе для другого VPN-подключения навроде L2TP или PPTP. 4. Переведите интерфейс в приватный режим: (config)> interface L2TPoverIPsec0 security-level private а дальше точно также как для других интерфейсов. -
Настройка IPsec для NDMS
Le ecureuil replied to steils's topic in Обсуждение IPsec, OpenVPN и других туннелей
Уточняю ПАРАМЕТРЫ L2TP Microsoft Point-to-Point Encryption (MPPE): No, 128 bit - так и было, просто посчитал, что неважно есть "No" или нет. Уточняю ПАРАМЕТРЫ IPsec Фаза 1 Проверка целостности IKE: MD5, SHA1 - так и было, просто когда настраивал IPsec-тоннель между DFL-260E и Giga-III, то он поднялся именно на MD5. Фаза 2 Проверка целостности SA: MD5, SHA1 - так и было, просто когда настраивал IPsec-тоннель между DFL-260E и Giga-III, то он поднялся именно на MD5. На своем опыте использования подтверждаю, что эти настройки совместимы с клиентами на Android и Windows ! Правильно ли я понял, что через CLI создается и запускается только L2TP, а сам IPsec должен быть уже настроен через WEB ? Тогда правильно ли я настроил IPsec-клиента ? (скриншот прилагается) Нет, IPsec настраивается, подключается и управляется автоматически при вводе тех команд, что я описал выше. Настраивать в Web вообще ничего не стоит. -
Настройка IPsec для NDMS
Le ecureuil replied to steils's topic in Обсуждение IPsec, OpenVPN и других туннелей
Не волнуйтесь, я модератор и все ваши сообщения вижу и одобряю. Сразу небольшое замечание: наш L2TP-клиент несовместим с MPPE/MPPC, потому его стоит отключить. Должен быть простой L2TP без MPPE/MPPC. За безопасность данных волноваться не стоит, у вас и так весь обмен L2TP будет заширован и проверен на целостность при передаче с помощью IPsec. Также подправьте "Проверка целостности IKE" и "Проверка целостности SA" с MD5 на SHA1 (на DFL-260). По идее это не должно сломать совместимость с Android и Windows. В Web L2TP over IPsec пока не настраивается, потому нужны такие команды (компоненты IPsec и L2TP должны уже быть установлены): (config)> interface L2TPoverIPsec0 (config-if)> peer 1.1.1.1 {внешний адрес DFL} (config-if)> authentication identity {Имя} (config-if)> authentication password {Пароль} (config-if)> ip global 2000 {если хотите, чтобы это соединение стало маршрутом по умолчанию и через него был доступ в Интернет} (config-if)> ipsecure preshared-key 12345678 {ваш ключ PSK} (config-if)> up (config-if)> connect -
сконфигурировать IPsec/L2TP клиент
Le ecureuil replied to slad's topic in Обсуждение IPsec, OpenVPN и других туннелей
Аппаратное шифрование включается через команду (config)> no service ipsec (config)> crypto engine hardware (config)> service ipsec (config)> system configuration save Для AES128/SHA1 все точно должно работать. По умолчанию оно отключено во избежание возможных проблем при массовом применении. Проблема с периодическим разрывом, когда одна и сторон - Giga II на ядре 2.6.22 подтверждена, но прямо сейчас нет времени ей заниматься. Как только - так сразу. -
Настройка IPsec для NDMS
Le ecureuil replied to steils's topic in Обсуждение IPsec, OpenVPN и других туннелей
Удаленные и локальные подсети в L2TP over IPsec не нужны, т.к. используется транспортный режим IPsec. Плюс у вас не хватает L2TP-PPP специфичных данных навроде логина, пароля и типа авторизации PPP. Проясните про вышеназванные пункты и тогда решим. -
Настройка IPsec для NDMS
Le ecureuil replied to steils's topic in Обсуждение IPsec, OpenVPN и других туннелей
Помогите пожалуйста с настройками L2TPoverIPsec-Клиента, т.к. техподдержка умыла руки. И очень правильно сделала: эта фича официально нигде не заявлена, не оттестирована и используется всеми, кто о ней знает, на свой страх и риск. На будущее всем стоит запомнить: обсуждения фич на этом форуме относятся только к этому форуму, и если сотрудники NDM вас явно не посылают в техподдержку с этими фичами (а такое бывает), то туда _ВООБЩЕ_ не стоит соваться с предъявами "а вот на _НЕОФИЦИАЛЬНОМ_ форуме написали". По поводу вашего вопроса: L2TP over IPsec сервера на Keenetic _НЕТ_, есть только клиент. Удаленные и локальные подсети в L2TP over IPsec не нужны, т.к. используется транспортный режим IPsec. Плюс у вас не хватает L2TP-PPP специфичных данных навроде логина, пароля и типа авторизации PPP. Это вообще что за сервер и откуда настройки? Говорите точнее, пока для меня это выглядит так, что вы пытаетесь на Keenetic настроить L2TP over IPsec сервер, что невозможно. -
Keenetic VOX: соединение 2 устройств через DSL
Le ecureuil replied to himik's question in Обмен опытом
Нет. ADSL подразумевает использование DSLAM со стороны сервера, VDSL же позволяет соединять два CPE.