KorDen
-
Posts
2,235 -
Joined
-
Last visited
-
Days Won
38
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by KorDen
-
-
Столкнулся с очередной проблемой в эксплуатации туннеля. Туннель Ultra 2 <-> Giga 2, версии прошивок актуальные на каждый момент времени, проблема похоже на протяжении всего использования (с момента исправления бесконечных пересогласований), но словить и понять трудно.
Спустя несколько дней (самое короткое, что видел - двое суток) туннель падает и более не поднимается, пока не передернешь на одном из роутеров no service ipsec / service ipsec. Неделю назад пришлось дергать оба роутера, Позавчера - только Giga 2.
Неделю назад при попытке выяснения ситуации заметил проскочившее в логах что-то типа "no statistics ...is strongswan dead?". В остальном - просто в какой-то момент перестают идти строчки о пересогласованиях канала. Первый раз вроде соединение отображалось рабочим, о пинги не шли, и логов пересогласований не было несколько часов (хотя стоит пересогласование раз в час)
Трафик в канале почти нулевой, от силы десятки кб/с с периодическими редкими всплесками до мегабита-двух.
Не понятно, даст ли что-либо self-test, т.к. в момент запуска диагностики происходит рестарт IPsec и как следствие туннель тут же успешно поднимается. Что можно попробовать сделать в момент наличия проблемы, чтобы как-то помочь ее локализовать?
-
1 час назад, avkuzmin сказал:
Попутно изъявляю своё желание потестировать больше двух IPsec туннелей одновременно
Голосуйте
1 час назад, avkuzmin сказал:Giga II v2.06(AAFS.2)C0 и Keenetic II v2.06(AAFG.2)C0 через IPsec туннели делают connection reset при попытке зайти на web или cli.
Вот жеж.. Все настройки фаервола обыскал уже на всех трех роутерах, пытаясь понять, почему не могу зайти на интерфейс удаленных роутеров, хотя доступ к локалке есть и роутеры пингуются.. А это оказывается баг!
-
Из моей практики:
- уровень сигнала у DECT-модуля гораздо ниже штатной базы. У меня в квартире, когда роутер стоит в одном углу квартиры, а я в противоположном за тремя стенами - гигасет уже показывает одну палку из трех. Со штатной базой со всеми имеющимися трубками можно уйти к соседям за еще тройку стен, модуль там уже не ловит. Если дача двухэтажная, да желаете на огороде в надцать соток иметь связь - может и не хватить.
- Локальная связь работает (в том числе панасоник <-> гигасет), но нет штатной переадресации вызовов
- Из моего набора панасоников-гигасетов все работают одинаково
фигово(я про отсутствие даты и прочих мелочей - чисто звонки работают нормально), причем одна старая панасониковская трубка даже номер свой определяет, хотя все более новые не могут. -
В 01.09.2016 в 19:43, top4ek сказал:
Извините за глупый вопрос, но что такое OpkgRunScript? Гугль ведёт только сюда, директории /etc/ndm/buttons.d/ не наблюдаю. Так же приспичило повесить на долгое нажатие запуск скрипта, ну или хотя бы на обычное нажатие. /dev/input тоже нет.
- в настройках действий для кнопок есть "run Opkg script" (в веб-интерфейсе)
- Нужно создать директорию /opt/etc/ndm/buttons.d (там же, где и netfilter.d и проч.), скрипты из нее будут вызываться по этому действию.
А в последней версии прошивки теперь и передачу типов нажатий кнопок добавили, так что можно указывать на разные кнопки/разные виды нажатий разные действия
-
2
-
-
Так а зачем вы ставите галку "задействовать для доступа в интернет" на PPTP-соединении? Если ее не ставить, то никакого понижения скорости не будет, ведь иначе клиенты ходят через ваш основной роутер. Если используете только для доступа на вебморду - попробуйте использовать KeenDNS ("модуль управления маршрутизатором через облачную службу"), описание есть здесь на форуме.
-
На данный момент количество одновременно активных IPsec-туннелей ограниченно двумя. (Это ограничение не распространяется на L2TP/IPsec).
Исходя из прежних сообщений, одной из причин упоминается опасение высокой нагрузки. Другая, очевидная, хоть и не упоминалась [вроде] вслух - "да как же мы тогда zywall будем продавать"
Хотелось бы иметь возможность 3-4 активных туннелей хотя бы на актуальных топовых моделях (Giga 3 / Ultra 2).
-
Хотелось бы прояснить:
1) Поддержка IPsec есть/будет во всех устройствах с 2.06+, или исключая какие-то младшие модели? Какая (ориентировочно) скорость на AES-128/SHA1 на младших моделях, поддерживающих IPsec?
2) Какие конкретно модели поддерживают crypto engine hardware? Giga 2/3, Ultra 1/2, еще какие-то есть?
-
4 часа назад, Le ecureuil сказал:
а смысла в продолжении мало, и вот почему.
Раз решение ошибки нетривиальное - конечно смысла нет..
4 часа назад, Le ecureuil сказал:В production же никто не будет использовать ESP без шифрования
Теоретически, в зависимости от среды передачи, может быть необходимость туннеля [с проверкой валидности данных (HMAC)], но шифрование не обязательно, если по этому туннелю и так гоняются шифрованные TLS/... данные.
Но это уже сильно частные случаи конечно, я просто игрался - нашел баг - сообщил..
-
6 часов назад, JIABP сказал:
А доступ к интернету будет? Или только к локальной сети
Как я понимаю, доступ к интернету будет, когда запилят IPIP/EoIP-туннели, т.е. позже...
-
10 часов назад, Le ecureuil сказал:
Это в кинетике такой лог? Тогда нужно в нем прописать в качестве ID обоих сторон IP-адреса (то есть выбрать тип Address) и строго их задать в виде a.a.a.a для одной, b.b.b.b для другой стороны.
Да, IP настоящие там, это я "замазал"
-
3 часа назад, JIABP сказал:
Кстати, Shrew VPN Client на одной из моих виндовых машинок не ставится ни в какую. Какой ещё можно клиент для этого использовать?
А я вот пытаюсь понять, вроде же как в винде есть штатная поддержка IPsec через правила фаервола.. Но попытка настроить пока приводит к "no IKE config found for a.a.a.a...b.b.b.b, sending NO_PROPOSAL_CHOSEN", хотя на кинетике указаны все возможные методы согласования в обоих фазах..
-
9 часов назад, IgaX сказал:
в веб-морде показывать просто уровень в mW или dBm на странице настроек wifi
С необходимостью отображения (ввода) голых цифр вместо процентов и попугаев я полностью согласен. Но обывателю сложно понять что шкалы мощности нелинейные. Поэтому в веб-интерфейсе я бы хотел видеть рядом с попугаями в скобках реальные значения - это опять возвращаясь к "Верните вкладку Клиенты WiFi" - палки-попугаи бесят. Почему-то для модемов это отображается, причем разработчики даже иногда высчитывают значения из попугаев, которые передает модем, а сами делают то же самое
Впрочем, для уровней подключенных клиентов есть sh associations, там и rssi и mcs/gi отображаются.
А вот с возможностью превышения разрешенных/рекомендуемых параметров мощности (и других потенциально влияющих на эфир настроек) не могу согласиться - далеко не все "продвинутые" пользователи понимают что делают. Врубить мощу побольше, антенны подлиннее, поставить этот кирпич на окно - чтобы ловить домашнюю сеть со смартфона на работе за пару километров - таких много, и не все переходят на следующую ступень. Для экспериментаторов есть OpenWRT и аналоги, в официальной прошивке этому не место.
-
1
-
-
3 часа назад, vadimbn сказал:
Кто хочет крутилок - пусть покупает Mikrotik, там этого добра навалом.
... в котором ЕМНИП до сих пор, среди кучи редчайших настроек беспроводной сети нет банального Beacon interval... Или чего-то еще из подобного, что было даже в длинках эпохи самых-самых первых DIR-300...
4 часа назад, IgaX сказал:6) TX Power
7) Single/Multi Beamforming
6 - это еще что за мощность? Она же настраивается уже, или вы про другую какую?
7 - могу сильно ошибаться, но вроде бы же оно реально работает только в энтерпрайзных AP, где антенны строго определенно расположены, нет?
-
33 минуты назад, GanjaKyp сказал:
что за хрень была в висте, как то я ее стороной обошел
"Домашняя группа"
-
20 часов назад, Le ecureuil сказал:
Попробуйте еще без crypto engine hardware.
Попробовал с ожиданием, действительно, заработало. Только скорость Ultra 2 - Giga 2 без шифрования ~4 МБ/с, а с AES-128/hardware 12-13 МБ/с... Забавно...
-
На 9.3.3 / 9.3.4 немножко по-другому (у самого яблочной техники нет, прошелся по знакомым..)
Скрытый текст
-
3
-
-
26 минут назад, Le ecureuil сказал:
Отключено было на обоих сторонах туннеля?
Попробуйте еще без crypto engine hardware.
Естественно на обоих сторонах, иначе туннель бы не поднялся, ругнувшись на несоответствие (проверил). Попробовал без аппаратного, аналогично.
В момент отключения еще словил лок на ультре (в аттаче), селфтест чуть позже пытался сделать, не удалось запустить.
-
v2.08(AAUX.0)A4 <-> v2.06(AAFS.11)B4
При экспериментах с производительностью туннеля решил попробовать отключить шифрование ESP. При этом соединение устанавливается и в веб-интерфейсе отображается активным, но удаленная сеть не пингуется. Стоит поставить шифрование - все начинает работать.
Пример конфига:
Скрытый текстcrypto engine hardware crypto ike proposal TTest encryption aes-cbc-128 dh-group 15 integrity sha1 ! crypto ike policy TTest proposal TTest lifetime 3600 mode ikev2 ! crypto ipsec transform-set TTest cypher esp-null hmac esp-sha1-hmac dh-group 15 lifetime 3600 ! crypto ipsec profile TTest dpd-interval 30 identity-local email firnen@ellesmera.alagaesia match-identity-remote any authentication-local pre-share mode tunnel policy TTest ! crypto map TTest set-peer any set-profile TTest set-transform TTest match-address _WEBADMIN_IPSEC_TTest set-tcpmss pmtu nail-up virtual-ip no enable enable ! -
За ~12 часов проблема не проявлялась.Пожалуй можно считать решенной, по крайней мере в моем случае
-
1 час назад, Le ecureuil сказал:
Ну как на новых версиях, проблема сохраняется? Необходимо обновить обе прошивки.
Линк поднят около 4 часов назад, пока проблемы нет, пересогласования раз в час как обычно. Ранее он начинал бесконечно пересогласовывать спустя 2-3 часа вроде бы. Наблюдаю...
-
41 минуту назад, pachalia сказал:
А как добавить пользователя?
Система -> Пользователи
-
Работает, спасибо!
-
35 минут назад, Fandor сказал:
По армейской полёвочке?
Типа того.. Там черт-знает-что советского времени, но зато прямой двухпроводной линк есть между определенными точками, авось хотя бы на 5-10 мбит/с заведется.. А если немного переделать сомнительные места где возможно (в целях повышения скорости), да если еще можно будет IPsec на мост повесить (параноики атакуют) - вообще шикарно будет. Именно ради подобных экспериментов точка-точка и жду Plus DSL.
33 минуты назад, Fandor сказал:А что значит с полноценным USB? Не первый раз вижу эту фразу.
Если по-простому, из моих знаний (возможно ошибочных в нюансах) - то так: в линейке 4G "урезанный" USB, поддерживает только модемы. Во всех других черных кинетиках - "полноценный", можно подключить флешки-мфу-утюги-чайники-ардуины. В белых кинетиках USB были чем-то средним - флешки-мфу заводились, а вот утюги-ардуины уже с нюансами. Что, впрочем, не мешало играть музыку и снимать видео белой гигой, на v1.04 и тогда еще Optware.. Из тех же нюансов белых - на v1.11 звуковушка уже не работала вроде бы.
-
1
-
-
9 часов назад, Fandor сказал:
где-то читал (счас не могу вспомнить где) что модуль DSL PLUS будет работать только с Keenetic Giga III и Ultra II
На оффсайте висит
Скрытый текстЦитатаСовместимость с интернет-центрами:- Keenetic Ultra II
- Keenetic Giga III
Начиная с версии NDMS 2.06 будет добавлена поддержка в следующих моделях:- Keenetic Extra
- Keenetic Omni II
- Keenetic Viva
Речь-то о релизных прошивках, вроде же говорилось что DECT и DSL будут поддерживаться в большинстве черных кинетиков с полноценным USB (т.е. кроме 4G). В бета/альфа-прошивках модули вроде как во всей линейке 2.06 есть, хотя могу ошибаться...
PS: я все жду-не дождусь потестить VDSL-мост по полевке
-
1
Впрочем, для уровней подключенных клиентов есть sh associations, там и rssi и mcs/gi отображаются.
Периодические отключения IPsec
in Обсуждение IPsec, OpenVPN и других туннелей
Posted
Как я уже сказал, мои сомнения основаны на том, что в момент запуска диагностики происходит рестарт IPsec. Постараюсь сделать при следующем обнаружении оба селфтеста, доступ вне туннеля ко второму роутеру есть.