Jump to content

KorDen

Forum Members
  • Posts

    2,232
  • Joined

  • Last visited

  • Days Won

    38

Everything posted by KorDen

  1. Такс.. Я в принципе ковыряюсь с PPTP/OpenVPN только потому, что мне крайне желательно иметь возможность маршрутизировать некоторые IP в интернете через этот туннель, а IPSec этого не позволяет (в случае кинетиков)... Подумалось тут - запустил на компе за Giga 2 PPTP-соедиение на внутренний IP Ultra 2 (192.168.0.1) - а ведь работает, и даже 60 мбит выдает, и это я MPPE не отключал еще... Костыль конечно, но зато штатными средствами интернет поверх IPSec, без OPKG.. Вот только поднять это самое PPTP до внутреннего IP ультры на гиге нельзя - он упорно добавляет статический маршрут до 192.168.0.1 через шлюз IPoE-соединения
  2. Вот оно че! Вот теперь ощущается - по HTTP ~80 Мбит/с, Giga 2 CPU ~80-90%, морда не зависает... Копирование по самбе между компьютерами по туннелю вообще под 13 МБ/с (сеть гигабитная), но тогда морда перестает отвечать. Самое главное, что подтверждена, а не очередной Шредингер... Теперь руки чешутся поставить на Ultra 2 L2TP/IPSec-сервер...
  3. Поэкспериментировал с PPTP vs IPSec (Giga 2 - Ultra 2) на последних прошивках, в первом приближении: PPTP MPPE128 - скорость около 45-50 Мбит/с, нагрузка на ЦП Giga 2 100%, вебморда подлагивает. IPSec AES128/SHA1/DH14 - около 25 Мбит/с, нагрузка на ЦП Giga 2 100%, вебморда вообще не отвечает в момент передачи. Экспериментировал с разными параметрами шифрования SA, особого прироста не дало. Что-то аппратное шифрование как-то не чувствуется... OpenVPN пока не получилось протестировать - почему-то туннель между роутерами падает при передаче, хотя с внешним сервером на Linux оба работают нормально, расковырять причину пока не удалось. [Ранее между Giga 2 и Giga 1 (оба на NDMS 1.11 / Entware) на AES128/SHA1 скорость была 10-12 Мбит/с, упиралось в процессор Giga 1.]
  4. opkg dns-override переводит его в RPC-режим, т.е. освобождает 53 порт для возможности запуска dnsmasq/bind/unbound из OPKG, но ndnproxy остается работать для штатной системы (проверка обновлений, NTP, ...). Для резанья рекламы у меня стоит Unbound, по совместительству - полноценный рекурсивный резолвер. На этом форуме есть мануал по настройке dnsmasq
  5. teodorre, у хромбука L2TP over IPSec, NDMS его только в качестве клиента поддерживает. Кроме того, IPSec у кинетиков в любом случае только в локалку, доступа в интернет через него нет. Вроде в хромбуке есть OpenVPN - смотрите в сторону OPKG.
  6. В динамическом режиме (SOCKS-прокси) у меня нормально работало на Entware наружу, но не проверял доступность внутренних узлов. Вы какой opkg-то ставили? Keenopt / Entware / Entware-Keenetic?
  7. Хм. Есть подозрение, что по истечении часа (т.е. по истечении времени жизни SA) Как минимум при SA lifetime 3600 спустя некоторое время (несколько часов) начинается бесконечное пересогласование. Лог начинает забиваться подобными сообщениями:
  8. Хм,а у вас страница состояния на 2.07 отображается, или тоже виснет?
  9. Если клиент на 2.05, то IPSec не вариант, смотрите в сторону штатного VPN(PPTP)-сервера.
  10. Да, с SHA1 все заработало. Ох уж это 2.6.22... Как я понимаю, для Giga 2 на этом ядре все и закончится (вроде, 2.06 последняя для поколения Keenetic 2/Giga 2?), до новых версий обновлений не будет?
  11. Хм, что-то не устанавливается соединение Ultra 2 (2.06(AAUX.6)B2) - Giga 2 (2.06(AAFS.3)B2) На "сервере" в логах 13[KNL] unable to add SAD entry with SPI cd97ff8d 13[KNL] unable to add SAD entry with SPI c36be550 13[iKE] unable to install inbound and outbound IPsec SA (SAD) in kernel 13[iKE] closing IKE_SA due CHILD_SA setup failure На "клиенте" 06[iKE] received NO_PROPOSAL_CHOSEN notify, no CHILD_SA built 07[iKE] closing IKE_SA due CHILD_SA setup failure IpSec::Configurator: remote peer of crypto map "KD" returned proposal mismatch for IPsec phase 2.
  12. Какая логика проверки email для идентификатора, почему нельзя использовать выдуманные внтренние зоны типа router@router1.home?
  13. А зачем вешать dnscrypt на другой порт и перехватывать через iptables, если можно сделать opkg dns-override и повесить на 53 порт?
  14. А, т.е. он все же вызывается именно при смене дефолтного маршрута, ясно. После прочтения мне казалось что вызов идет в момент поднятия любого интерфейса, а не в момент изменения главного. Тогда да, можно сохранять текущий wan в файл и сравнивать с ним.. Правильно ли я понимаю "When the internet connection is down...", что wan.d вызывается с неустановленными переменными только когда больше нет вариантов для маршрута по умолчанию, т.е. либо отвалился и резерв, либо упавшее соединение было единственным с галкой "использовать для доступа в интернет"?
  15. А нет возможности ловить не только поднятие, но и момент переключения между основным/резервным? В идеале туда передавать названия откуда и куда переключилось (и причину, если возможно), например (названия с потолка): $old_interface - с которого уходим $new_interface - на который уходим $reason: ethdown - отвал физического линка timeout - отвал VPN/PPP по таймауту terminated - закрытие VPN/PPP сервером pingfailed - неуспешная проверка ping check recovery - возврат с резерва при восстановлении основного линка
  16. Скажите, теоретически, L2TP, или какой еще вариант сможет использовать аппаратную криптографию, как на чистом IPSec? Интересует производительный туннель при неизменных IP-адресах оконечных устройств (с непересекающейся внутренней адресацией) с возможностью использования его как в виде дефолтного маршрута, так и в роли выходной точки - сейчас все это возможно с PPTP-сервером, но огранчиено 30 мбит/с. OpenVPN пока не дошли руки настроить и протестировать между двумя гигами на v2 (раньше был линк между ними на v1.11) - интересует производительность различных решений при сравнительно равном уровне шифрования (скажем, AES128) а так же полезность использования crypto engine.
  17. Правильно ли я понимаю, что IPSec-туннель нельзя назначить штатными подключением по умолчанию (для выхода в интернет через сервер), в том числе с использованием всех возможностей резервирования? Корректно ли будут работать маршруты, чтоб сидя за роутером 192.168.2.1 на некоторые сервисы трафик ходил через 192.168.1.1? Ситуация: IP, где стоит роутер-сервер, прописан в списках доступа на многочисленных сервисах, удобно с помощью OpenVPN/PPTP "телепортироваться", при этом нужна сеть между двумя роутерами. Сейчас у меня PPTP-подключение стоит для связи двух сетей за роутерами, маршруты до пары часто используемых сервисов прописаны для выхода через другой роутер, а при необходимости полной телепортации ставится галка доступа в интернет на нем, смогу ли я что-то подобное сделать на IPSec?
  18. На Хабре были скрипты для авторегулировки yota, их вполне можно завести под Keenopt/Entware, если они написаны на bash/curl, если экзотика - смотреть, что есть/можно запустить на Keenopt/Entware. У самого сейчас мысль воткнуть йотовскй модем в качестве резервного канала, чтобы роутер переключал скорость на боле дорогую при переходе на резерв, и возаращался обратно на минимальный тариф при восстановлении основного канала
  19. В кинетиках по умолчанию нет SSH. Можно взять флешку, установить на нее Keenopt или Entware, воткнуть в роутер, настроить в вебморде/telnet OPKG - и тогда будет SSH
  20. В вашем случае при разрыве происходит сброс PPPoE-подключения. А в случае IPoE, интернет может пропасть без видимых изменений со стороны подключения (соединение с железкой провайдера есть, а дальше все сдохло) - для такого и нужна пинговалка. Опциональный вариант - PPP/VPN-соединение не рвется, но у провайдера падают апстримы.
  21. Возможно, но нужно ставить прошивку вручную - viewtopic.php?f=2&t=26 Учтите, что при обновлении/изменении набора компонентов прошивка сбросится на версию без OPKG
  22. Клиенты и сервер видны напрямую (либо с обоих сторон белые IP, либо серый IP от того же провайдера, что и на роутере-сервере), обходить NAT и фильтрации не придется, а подсети за роутерами уже сейчас жестко поделены без пересечений. Интересно было бы сравнить максимальные скорости и нагрузку на процессор на этих скоростях (PPTP vs OpenVPN vs IPSec), соотнести это с безопасностью (у PPTP с авторизацией немного печально) и стабильностью (скорость и успешность восстановления после разрывов) и выбрать наиболее выигрышное по личным критериям.
  23. Хотелось бы понять, раз уж зашла речь - правильно ли я понимаю, что в 2.06 можно будет вместо сети на базе штатного PPTP-сервера использовать IPsec, терминируемый с обоих сторон на роутерах? Или все-таки на стороне сервера должна быть железка поумнее? Если KG2 сможет выступать сервером - будет ли совместимость с белыми кинетиками в качестве клиента? Сейчас у меня один KG2 является PPTP-сервером, другой KG2 и KG1 - клиенты, эпизодически подключаюсь с ПК, планирую подцепить простой первый кинетик, 4G II и тплинк с OpenWRT. Можно ли будет в таком виде на 2.06 перейти на IPsec, или белые кинетики на 2.04 не будут совместимы?
  24. Вот, например, инструкция по установке Entware-ng: viewtopic.php?f=4&t=27 или она же http://forums.zyxmon.org/viewtopic.php?f=5&t=5246 Текущая сборка пакетов Keenopt, насколько мне известно, не совместима с последними прошивками.
  25. В NDMSv1 была встроенная утилита ledctl, с нее можно было управлять (по крайней мере на белых кинетиках) индикаторами Power, USB, Internet (на Giga), WiFi (но он сбрасывал свое состояние). На черных не тестировал толком, т.к. роутер висит на стене и расположение лампочек в черных неудобное... Процитирую свое старое сообщение с параметрами ledctl для v1: В v2 ledctl нет, но может быть можно как-то через ndm* подавать подобные команды...
×
×
  • Create New...