KorDen

... в котором ЕМНИП до сих пор, среди кучи редчайших настроек беспроводной сети нет банального Beacon interval... Или чего-то еще из подобного, что было даже в длинках эпохи самых-самых первых DIR-300... 6 - это еще что за мощность? Она же настраивается уже, или вы про другую какую? 7 - могу сильно ошибаться, но вроде бы же оно реально работает только в энтерпрайзных AP, где антенны строго определенно расположены, нет?

"Домашняя группа"

Попробовал с ожиданием, действительно, заработало. Только скорость Ultra 2 - Giga 2 без шифрования ~4 МБ/с, а с AES-128/hardware 12-13 МБ/с... Забавно...

На 9.3.3 / 9.3.4 немножко по-другому (у самого яблочной техники нет, прошелся по знакомым..)

Естественно на обоих сторонах, иначе туннель бы не поднялся, ругнувшись на несоответствие (проверил). Попробовал без аппаратного, аналогично. В момент отключения еще словил лок на ультре (в аттаче), селфтест чуть позже пытался сделать, не удалось запустить. threads-ipsec.zip

v2.08(AAUX.0)A4 <-> v2.06(AAFS.11)B4 При экспериментах с производительностью туннеля решил попробовать отключить шифрование ESP. При этом соединение устанавливается и в веб-интерфейсе отображается активным, но удаленная сеть не пингуется. Стоит поставить шифрование - все начинает работать. Пример конфига:

За ~12 часов проблема не проявлялась.Пожалуй можно считать решенной, по крайней мере в моем случае

Линк поднят около 4 часов назад, пока проблемы нет, пересогласования раз в час как обычно. Ранее он начинал бесконечно пересогласовывать спустя 2-3 часа вроде бы. Наблюдаю...

Система -> Пользователи

Работает, спасибо!

Типа того.. Там черт-знает-что советского времени, но зато прямой двухпроводной линк есть между определенными точками, авось хотя бы на 5-10 мбит/с заведется.. А если немного переделать сомнительные места где возможно (в целях повышения скорости), да если еще можно будет IPsec на мост повесить (параноики атакуют) - вообще шикарно будет. Именно ради подобных экспериментов точка-точка и жду Plus DSL. Если по-простому, из моих знаний (возможно ошибочных в нюансах) - то так: в линейке 4G "урезанный" USB, поддерживает только модемы. Во всех других черных кинетиках - "полноценный", можно подключить флешки-мфу-утюги-чайники-ардуины. В белых кинетиках USB были чем-то средним - флешки-мфу заводились, а вот утюги-ардуины уже с нюансами. Что, впрочем, не мешало играть музыку и снимать видео белой гигой, на v1.04 и тогда еще Optware.. Из тех же нюансов белых - на v1.11 звуковушка уже не работала вроде бы.

На оффсайте висит Речь-то о релизных прошивках, вроде же говорилось что DECT и DSL будут поддерживаться в большинстве черных кинетиков с полноценным USB (т.е. кроме 4G). В бета/альфа-прошивках модули вроде как во всей линейке 2.06 есть, хотя могу ошибаться... PS: я все жду-не дождусь потестить VDSL-мост по полевке

В сетевом окружении компьютеры удаленной сети не будут видны ни по IPsec ни по PPTP, т.к. через туннель не ходят бродкасты. Но в обоих случаях они будут доступны, если обращаться напрямую к IP, например "\\192.168.2.3"

Это у вас самый первый белый кинетик чтоль?

На данный момент OpkgRunScript запускает все из /etc/ndm/buttons.d/ с параметром start. Понять, какая кнопка нажата (и как - одинарное, двойное, или длинное нажатие) нельзя. Предложение мельком всплывало в марте от кого-то, но так и забыли про него. Лично я вижу два варианта: Первый, более логичный, на мой взгляд, - передавать в параметрах к запускаемым скриптам кнопку и тип нажатия (в результате $2=FN1 $3=click например) Второй - добавить параметр в CLI, указывающий имя конкретного скрипта для каждой кнопки и варианта нажатия. -- Кстати, в текущем мануале по CLI (свежий от 15 августа) нет OpkgRunScript, кроме того, для Ultra 2 говорится про кнопку FN, хотя там FN1 и FN2.

Для PPTP-сервера на кинетике (TCP/1723) можно штатным МСЭ ограничить долбежку китайских ботов, добавив вначале нужные IP с allow, а потом добавив deny all. Для IPsec (UDP/500) этого сделать не получается. Есть ли варианты это сделать без opkg/iptables?

@Rezdbic При копировании файлов по SMB по туннелю Giga II <-> Ultra II (AES128, crypto engine hardware с обоих сторон) по гигабитной сети скорость в туннеле у меня была около 13 МБайт/с или чуть более 100 мбит/с. Единственно - там есть баг, который пока ставит крест на IPsec, описывал здесь:

А если апач заменить на nginx+php-fpm? Я все хочу запустить кактус на Entware (keenle либо 3x), но у меня что-то Mysql не запускается на keenle, да и похоже может не хватить некоторых модулей php... В итоге в раздумьях - пробовать ли debian, или все же пытаться завести на Entware PS: С появлением SNMP похоже надо пилить отдельную тему по запуску Cacti и аналогов прямо на роутере и всеми связанными с ними багами...

Ради интереса проверил наличие проблемы после обновления strongswan на Ultra 2 (v2.08(AAUX.1)A2 <-> v2.06(AAFS.9)B4) - проблема сохраняется

А если Giga III обновить хотя бы до беты 2.07.B.2.0-2 (а то и до последних delta/draft)?

Как я сказал ("при этом в логах отображается что был введен неверный") - строчки такие были. Другой вопрос, что я пока не разобрался, это браузер пытался отправить пароль как-то странно (может скажу бред, но с http auth знаком очень поверхностно - может браузер отправляет старую сессию, а роутер это считал за неверный пароль, и выдавал форму авторизации - но это отражалось в логах), или расширение какое умничает, или я действительно не с первого раза вводил правильный пароль. Сейчас пока воспроизвести не удалось.

С одной стороны, было бы хорошо, например 5 попыток за минуту - бан на 15 минут, в идеале настраиваемо или хотя бы отключаемо. Опционально - аналогичный функционал для внутренних сегментов, отключаемо индивидуально для каждого сегмента (например разрешить доступ к роутеру с гостевого сегмента, но с проверкой на перебор) С другой стороны, у меня сейчас есть предположение о наличии какого-то бага с авторизацией, никак не возьмусь протестировать - после перезагрузки роутер может перезапросить пароль дважды-трижды, при этом в логах отображается что был введен неверный - хотя конечно могу и я ошибаться, но не так систематически же. Из-за автообновления страниц можно легко себя так забанить.

Поставьте канал "Авто" и он сам будет их использовать. А в последней 2.08 он может раз в несколько часов повторно сканировать и менять канал на оптимальный, если нет трафика по WiFi.

Поставьте хотя бы 2.07 Beta прямо из вебморды, баги 2.06 для Ultra II уже никто не будет смотреть.

Насколько я понимаю, на данный момент отдельного фида под 2.07 с ядром 3.4 все еще нет, все пакеты собраны под 2.6.22?