KorDen

Есть Ultra 2 в качестве основного роутера. Сигнал 3/4G для резервирования в месте установки нестабильный (стоит в логическом центре для наилучшего сигнала WiFi по квартире), USB-удлинитель до окна тянуть далеко и не удобно даже с активным хабом. Для этого думаю использовать второй роутер (белый кинетик или же 4G III, или что-нибудь на OpenWRT..). В идеале вижу его как второй шлюз в домашней сети, чтобы не добавлять лишний NAT. С настройкой этой железки понятно - делаем IP в сети скажем x.x.x.2, отключаем DHCP-сервер, при необходимости тегированным вланом прокидываем гостевую сеть или чего там вздумается.. Вопрос собственно в том, можно ли настроить на ультре резервное через другой шлюз в домашней сети, или есть другие красивые варианты, относительно банальной двойной сети и передачи домашней сети тегированным вланом?

Можно например через PulseAudio. Если компьютер на линуксе с pulseaudio, можно прозрачно пробросить все входы-выходы звуковушки в систему.

Хм. v2.08(AAUX.3)A7. В конфиге: permit udp 31.x.x.x 255.255.255.255 0.0.0.0 0.0.0.0 port eq 500 deny udp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 500 Единственный туннель сейчас неактивен (удаленный роутер оффлайн). В логе мелькнуло Sep 17 18:31:56 ipsec 08[IKE] no IKE config found for 31.y.y.y...71.6.135.131, sending NO_PROPOSAL_CHOSEN Как?!

Значит ли это, что возможно в скором времени удастся на 2.08 перетащить и fxs-телефонию? А как на счет LTE - модем тоже только под старое ядро, или же все тормозит одна телефония? С VOX как я понимаю та же петрушка, что и с DSL - нет модема

Настройки и компоненты - разные вещи. При сбросе настроек компоненты остаются, т.к. они в прошивке. Сбрасывая настройки, вы копируете содержимое default-config в startup-config и все. firmware остается неизменным. Речь идет о другом случае: к примеру, у вас в конфиге заданы нестандартные настройки transmission. Если вы поставите прошивку (firmware) без него, у вас в одних случаях будут ошибки в логе, в других случаях при следующем изменении настроек все неизвестное сотрется, т.е. все ваши настройки transmission удалятся.

Как-то слишком волшебно с KeenDNS получается (я пессимист и параноик, ага), не получатся ли потенциальные злоупотребления ? domain - предлагает domain static, это что? allow public - пока без вариантов? Не совсем ясно, как реализовать на своем домене с белым IP - есть к примеру myrouter.mydomain.com, его указывать в domain или куда? Нужна ли в этом случае облачная служба, можно ли поменять порт, защитить правилами фаервола доступ с определенных диапазонов?

Обещанного... Ну вы поняли... Keenetic Plus DSL столько же ждем, только тут ситуация обратная - в прошивке есть, в магазинах нет, и не понятно когда будет.

Пункт 1 реализовали в 2.08.A.7 буквально вчера, но она уходит в бесконечную перезагрузку, ждем фиксов.. Пункт 2 - из-под Entware можно мигать (и не только FN), а так пока ничего.

Нет! Лично мне гораздо больше нравится подход микротика с одинаковым функционалом ROS, но чисто аппаратными ограничениями по возможностям железа (о том, насколько стабильны и полноценны некоторые функции у них другой разговор). NDMS очень близка к этой идеологии, но менеджмент... Т.е. если фича работает, особой переработки под конкретную модель не требует и вполне стабильна - просто сделать ограничения по скорости для стабильности, если необходимо, но не выпиливать "потому что железка нижнего класса".

@NikIv если не ошибаюсь, тот же PPTP-сервер не был изначально заявлен скажем в Giga 2, но сейчас в релизе, как, впрочем, и OPKG. (или я чего путаю?) Я пытаюсь понять, какая сейчас политика партии: IPsec не будет до тех пор, пока его не допилят до определенного уровня, и тогда он появится в релизе в некоторых моделях на 7620, или же раз он на 7620 не заявлен - то его не будет в релизе никогда, даже когда он будет практически идеально работать во всех бетах.

Хотелось бы уточнить: такая позиция будет до стабилизации работы IPsec на определенном уровне, или же постоянно?

Не секурно же, лучше opkg install ca-certificates

Как я уже сказал, мои сомнения основаны на том, что в момент запуска диагностики происходит рестарт IPsec. Постараюсь сделать при следующем обнаружении оба селфтеста, доступ вне туннеля ко второму роутеру есть.

Столкнулся с очередной проблемой в эксплуатации туннеля. Туннель Ultra 2 <-> Giga 2, версии прошивок актуальные на каждый момент времени, проблема похоже на протяжении всего использования (с момента исправления бесконечных пересогласований), но словить и понять трудно. Спустя несколько дней (самое короткое, что видел - двое суток) туннель падает и более не поднимается, пока не передернешь на одном из роутеров no service ipsec / service ipsec. Неделю назад пришлось дергать оба роутера, Позавчера - только Giga 2. Неделю назад при попытке выяснения ситуации заметил проскочившее в логах что-то типа "no statistics ...is strongswan dead?". В остальном - просто в какой-то момент перестают идти строчки о пересогласованиях канала. Первый раз вроде соединение отображалось рабочим, о пинги не шли, и логов пересогласований не было несколько часов (хотя стоит пересогласование раз в час) Трафик в канале почти нулевой, от силы десятки кб/с с периодическими редкими всплесками до мегабита-двух. Не понятно, даст ли что-либо self-test, т.к. в момент запуска диагностики происходит рестарт IPsec и как следствие туннель тут же успешно поднимается. Что можно попробовать сделать в момент наличия проблемы, чтобы как-то помочь ее локализовать?

Голосуйте Вот жеж.. Все настройки фаервола обыскал уже на всех трех роутерах, пытаясь понять, почему не могу зайти на интерфейс удаленных роутеров, хотя доступ к локалке есть и роутеры пингуются.. А это оказывается баг!

Из моей практики: - уровень сигнала у DECT-модуля гораздо ниже штатной базы. У меня в квартире, когда роутер стоит в одном углу квартиры, а я в противоположном за тремя стенами - гигасет уже показывает одну палку из трех. Со штатной базой со всеми имеющимися трубками можно уйти к соседям за еще тройку стен, модуль там уже не ловит. Если дача двухэтажная, да желаете на огороде в надцать соток иметь связь - может и не хватить. - Локальная связь работает (в том числе панасоник <-> гигасет), но нет штатной переадресации вызовов - Из моего набора панасоников-гигасетов все работают одинаково фигово (я про отсутствие даты и прочих мелочей - чисто звонки работают нормально), причем одна старая панасониковская трубка даже номер свой определяет, хотя все более новые не могут.

- в настройках действий для кнопок есть "run Opkg script" (в веб-интерфейсе) - Нужно создать директорию /opt/etc/ndm/buttons.d (там же, где и netfilter.d и проч.), скрипты из нее будут вызываться по этому действию. А в последней версии прошивки теперь и передачу типов нажатий кнопок добавили, так что можно указывать на разные кнопки/разные виды нажатий разные действия

Так а зачем вы ставите галку "задействовать для доступа в интернет" на PPTP-соединении? Если ее не ставить, то никакого понижения скорости не будет, ведь иначе клиенты ходят через ваш основной роутер. Если используете только для доступа на вебморду - попробуйте использовать KeenDNS ("модуль управления маршрутизатором через облачную службу"), описание есть здесь на форуме.

На данный момент количество одновременно активных IPsec-туннелей ограниченно двумя. (Это ограничение не распространяется на L2TP/IPsec). Исходя из прежних сообщений, одной из причин упоминается опасение высокой нагрузки. Другая, очевидная, хоть и не упоминалась [вроде] вслух - "да как же мы тогда zywall будем продавать" Хотелось бы иметь возможность 3-4 активных туннелей хотя бы на актуальных топовых моделях (Giga 3 / Ultra 2).

Хотелось бы прояснить: 1) Поддержка IPsec есть/будет во всех устройствах с 2.06+, или исключая какие-то младшие модели? Какая (ориентировочно) скорость на AES-128/SHA1 на младших моделях, поддерживающих IPsec? 2) Какие конкретно модели поддерживают crypto engine hardware? Giga 2/3, Ultra 1/2, еще какие-то есть?

Раз решение ошибки нетривиальное - конечно смысла нет.. Теоретически, в зависимости от среды передачи, может быть необходимость туннеля [с проверкой валидности данных (HMAC)], но шифрование не обязательно, если по этому туннелю и так гоняются шифрованные TLS/... данные. Но это уже сильно частные случаи конечно, я просто игрался - нашел баг - сообщил..

Как я понимаю, доступ к интернету будет, когда запилят IPIP/EoIP-туннели, т.е. позже...

Да, IP настоящие там, это я "замазал"

А я вот пытаюсь понять, вроде же как в винде есть штатная поддержка IPsec через правила фаервола.. Но попытка настроить пока приводит к "no IKE config found for a.a.a.a...b.b.b.b, sending NO_PROPOSAL_CHOSEN", хотя на кинетике указаны все возможные методы согласования в обоих фазах..

С необходимостью отображения (ввода) голых цифр вместо процентов и попугаев я полностью согласен. Но обывателю сложно понять что шкалы мощности нелинейные. Поэтому в веб-интерфейсе я бы хотел видеть рядом с попугаями в скобках реальные значения - это опять возвращаясь к "Верните вкладку Клиенты WiFi" - палки-попугаи бесят. Почему-то для модемов это отображается, причем разработчики даже иногда высчитывают значения из попугаев, которые передает модем, а сами делают то же самое Впрочем, для уровней подключенных клиентов есть sh associations, там и rssi и mcs/gi отображаются. А вот с возможностью превышения разрешенных/рекомендуемых параметров мощности (и других потенциально влияющих на эфир настроек) не могу согласиться - далеко не все "продвинутые" пользователи понимают что делают. Врубить мощу побольше, антенны подлиннее, поставить этот кирпич на окно - чтобы ловить домашнюю сеть со смартфона на работе за пару километров - таких много, и не все переходят на следующую ступень. Для экспериментаторов есть OpenWRT и аналоги, в официальной прошивке этому не место.