KorDen

Keenetic уже не Zyxel, а Zywall - древнющие.. Забудьте о покупке лучше, если конечно где по бросовой цене (меньше цены б/у кинетика на 6856) не найдете... Кинетики на MT7621 и RT6856/63368 (из актуальных - Giga III / Ultra II / Giga KN-1010 / Ultra KN-1810, из старых - Keenetic II, Giga II, Ultra) могут протянуть аппаратно 200+mbps IPsec. (Keenetic II из-за 100мбит портов - 100) У Extra II криптомодуль тоже есть, но он "странный", не для всех нагрузок годится, и выдать может этак от силы 40Mbps в идеальных условиях. Настройки шифрования, в особенности 2 фаза, у вас какие? Ставьте AES+SHA1 и пробуйте с выключенным/выключенным криптомодулем на вашей нагрузке (crypto engine hardware / no crypto engine hardware) На роутере - нет

Прямо подробно нет, мысли тут

Это независимые технологии, каждая из которых решает свою проблему. 11k - ускоряет поиск "соседей", передавая список клиенту и позволяя ему не выполнять фоновое сканирование всех каналов 11r - ускоряет сам процесс переключения с точки на точку (хэндшейк)

no ip http ssl enable

Немножко оффтоп - я немного отстал от жизни видимо... Это получается CI и CI+ различаются чисто в софте, никаких архитетурно-аппаратных отличий нет? Т.е. действительно есть шансы успешно запустить модули CI+ на тюнерах типа сабжевого 5580, или же там есть нюансы?

Карта имеет смысл только если сеть многоранговая. Мало у кого больше двух роутеров или роутер+свич... Разве что схематически отображать что к какому порту подключено, особенно если есть второй роутер в доп.режиме... Но это не совсем карта сети.

no isolate-private полностью вырубает фильтрацию в фаерволе между разными private/protected сетями. Это отправная точка понять что оно таки работает с точки зрения маршрутизации. Если же изоляция каких-то сегментов между собой нужна - лучше его включить обратно и разбираться с ACL. Есть предположение, что в вашем исходном варианте ACL нужны не только на интерфейс первой сети, но и на интерфейс второй. Маршруты прописывать дополнительно никакие не нужно, если у ПК дефолтроутом кинетик и у него эта сетка directly connected-сегмент, пускай даже и с внешним DHCP.

Для начала no isolate-private

Сегодня

Подозреваю - выполнить по сути прямо все команды из доступных, mdid и ключ IAPP должны совпадать, только вопрос в каком виде их надо задавать. Дальше роутеры общаются бродкастом или мультикастом (?) между собой в пределах сегмента.

Пожалуй первый "ой" относительно 11r - https://hashcat.net/forum/thread-7717.html - как с этим жить? Есть ли поддержка чего-либо на старых устройствах (RT5392)? 11k - точки взаимодействуют по IAPP - бродкаст/мультикаст, или как? Отдается список всех точек в сегменте? Корректно ли в теории должны работать дополнительные ТД, если они будут в режиме "основной" (с отключенным NAT/DHCP/...), а не в режиме ТД? Как будет сосуществовать 2.4/5 - отдается список всех? И еще вопрос рядом - роуминг отстрелом по уровню сигнала предвидится?

В консоль CLI? Ну так тогда "sh run" и ищем: - наличие "service http" (а вдруг выключен?) - параметры ip http (в частности, ip http port)

PPTP ALG на всей цепочке NATов, через которые пробирается клиент

Нет, одно устройство может принадлежать только к одному профилю. В профиле задается только порядок подключений (для резервирования), индивидуальных route-таблиц на несколько подключений для каждого устройства/профиля задать нельзя. (кроме основной таблицы маршрутизации в дефолтном профиле). Задать src/dst port для политики тоже нельзя.

Если у вас загрузится с той прошивкой - дальше уже можете добавлять компоненты по желанию

Ну вы откопали старую тему... Точно-точно все компоненты с упоминанием WiFi убрали? Прошивка под гигу тут была - https://forum.keenetic.net/topic/3272-прошивка-для-giga-ii-без-wi-fi/?sortby=date

Ой, да, переклинило меня.. Точнее 2LUN он в той коробке называется

O_o Только хотел написать, что у меня на похожем 3U2B3A тоже в кинетике второй диск никак не определялся, причем я RAID не баловался, изначально в JBOD 2LUN юзал...

@Le ecureuil, похоже, работает, по крайней мере для IPIP

Для большинства случаев использования туннелей в роутерах нужно фиксированное значение а-ля 64. По-умолчанию же идет inherit. По RFC2003 "The Time To Live (TTL) field in the outer IP header is set to a value appropriate for delivery of the encapsulated datagram to the tunnel exit point.", но linux ставит inherit если параметр ttl отсутствует при создании туннеля. В качестве быстрого фикса установка того же 64 закроет вопрос. Аналогично по идее и для GRE, за EoIP не скажу. Но в идеале бы хотелось бы видеть опцию для настройки, хоть и не обязательно..

Отвечу себе же на свой же вопрос: ipip0: ip/ip remote 1.2.3.4 local 5.6.7.8 ttl inherit Короче говоря, "ip tunnel change ipip0 ttl 64" решает проблему. Остается вопрос - как перманентно установить TTL для исходящего туннельного пакета из CLI? ip adjust-ttl устанавливает не то что нужно... Похоже это в фичреквесты добавления команды типа interface tunnel ttl как минимум для IPIP и GRE (с EoIP непонятно, поскольку RFC-подобного описания сходу не нашел), которая будет устанавливать TTL внешнего пакета. @Le ecureuil...? P.S.: временно решил проблему через /opt/etc/ndm/ifstatechanged.d: #!/bin/sh [ "$system_name" != "ipip0" ] && exit 0 ip tunnel change ipip0 ttl 64

Дано: туннель IPIP over IPsec через интернет. Туннель работает, но напрягает сломанная трассировка через туннель. На стенде из пары роутеров не воспроизводилось, начал ковырять дальше и таки выяснил причину - при трассировке через IPIPoverIPsec туннель TTL=1 выставялется для "внешнего" пакета, как следствие, time exceeded приходит от провайдера! На tcpdump ISP это выглядит условно так: 19:23:42.163312 IP (tos 0x0, ttl 1, id 0, offset 0, flags [DF], proto ESP (50), length 152) localrouter > remoterouter: ESP(spi=0x11111111,seq=0x11), length 132 19:23:42.164677 IP (tos 0x0, ttl 30, id 0, offset 0, flags [none], proto ICMP (1), length 56) isp-gateway > localrouter: ICMP time exceeded in-transit, length 36 IP (tos 0x0, id 0, offset 0, flags [DF], proto ESP (50), length 152, bad cksum 82e0 (->83e0)!) При этом при пинге удаленного конца туннеля видим, что внешний пакет приходит с TTL равен исходящему минус количество внешних хопов, однако в развернутом пакете TTL равен исходящему минус 1. Вопрос - возможно ли его изменить, чтобы исходящий пакет уходил с нормальным TTL, не взирая на TTL заворачиваемого пакета?

По pingcheck переключилось на резерв (понятное дело с обрывом вызова). Первую минуту после этого исходящих не было (хотя инет уже был), Nvox видимо ждал таймаута повтора регистрации, или что подобное. Для этого обычно есть таймеры ожидания хоть какого-либо ответа, составляющие буквально несколько секунд, и тут мне кажется тишина вполне уместна. КМК - если на INVITE не прилетает 100/401/... в течение условных 5-10 сек - значит что-то не так и отбиваем.

Словил тут в момент переключения провайдеров: nvox: Outgoing call from HS ... to ... was rejected. Lines were unavailable because of SIP registration failure. Хотелось бы напомнить, что регистрация не является обязательной для выполнения исходящего звонка.

В вашем случае либо а) IPsec в туннельном режиме, ориентировочно AES128-SHA1 / DH14 во второй фазе пожалуй будет достаточно, в первой максимум AES256/SHA256, выше смысла нет. Транспортный режим вручную настраивать смысла нет, если не понимаете до конца как это все работает. б) автоматический туннель IPIPoverIPsec, пример настройки скажем тут - https://forum.keenetic.net/topic/4562-объединение-2-ух-интернет-центров-какой-туннель-оптимальнее/?do=findComment&comment=53412 У Gre/EoIP оверхед выше, и в общем случае они не нужны Из моей практики - на Giga II IPIPoverIPsec IKEv2 спокойно жует чуть больше 100 мбит/с в обе стороны (по отдельности конечно).