[Защита от перехвата DNS-трафика с помощью dnscrypt-proxy]

А зачем вешать dnscrypt на другой порт и перехватывать через iptables, если можно сделать opkg dns-override и повесить на 53 порт?

[Запуск скрипта при подключении сессии PPPoE]

wan.d вызывается каждый раз при переходе wan на новый интерфейс. Можно сохранять текущий wan в файл, чтобы знать "старый".

А, т.е. он все же вызывается именно при смене дефолтного маршрута, ясно. После прочтения мне казалось что вызов идет в момент поднятия любого интерфейса, а не в момент изменения главного. Тогда да, можно сохранять текущий wan в файл и сравнивать с ним.. Правильно ли я понимаю "When the internet connection is down...", что wan.d вызывается с неустановленными переменными только когда больше нет вариантов для маршрута по умолчанию, т.е. либо отвалился и резерв, либо упавшее соединение было единственным с галкой "использовать для доступа в интернет"?

[Запуск скрипта при подключении сессии PPPoE]

А нет возможности ловить не только поднятие, но и момент переключения между основным/резервным?

В идеале туда передавать названия откуда и куда переключилось (и причину, если возможно), например (названия с потолка):

$old_interface - с которого уходим

$new_interface - на который уходим

$reason:

ethdown - отвал физического линка

timeout - отвал VPN/PPP по таймауту

terminated - закрытие VPN/PPP сервером

pingfailed - неуспешная проверка ping check

recovery - возврат с резерва при восстановлении основного линка

[сконфигурировать IPsec/L2TP клиент]

единственный технически реализуемый вариант - L2TPoverIPsec. Клиент уже есть в NDMS 2.06, серверная реализация пока не планируется, ждем запросов от пользователей

Скажите, теоретически, L2TP, или какой еще вариант сможет использовать аппаратную криптографию, как на чистом IPSec? Интересует производительный туннель при неизменных IP-адресах оконечных устройств (с непересекающейся внутренней адресацией) с возможностью использования его как в виде дефолтного маршрута, так и в роли выходной точки - сейчас все это возможно с PPTP-сервером, но огранчиено 30 мбит/с. OpenVPN пока не дошли руки настроить и протестировать между двумя гигами на v2 (раньше был линк между ними на v1.11) - интересует производительность различных решений при сравнительно равном уровне шифрования (скажем, AES128) а так же полезность использования crypto engine.

[сконфигурировать IPsec/L2TP клиент]

Правильно ли я понимаю, что IPSec-туннель нельзя назначить штатными подключением по умолчанию (для выхода в интернет через сервер), в том числе с использованием всех возможностей резервирования?

Корректно ли будут работать маршруты, чтоб сидя за роутером 192.168.2.1 на некоторые сервисы трафик ходил через 192.168.1.1?

Ситуация: IP, где стоит роутер-сервер, прописан в списках доступа на многочисленных сервисах, удобно с помощью OpenVPN/PPTP "телепортироваться", при этом нужна сеть между двумя роутерами. Сейчас у меня PPTP-подключение стоит для связи двух сетей за роутерами, маршруты до пары часто используемых сервисов прописаны для выхода через другой роутер, а при необходимости полной телепортации ставится галка доступа в интернет на нем, смогу ли я что-то подобное сделать на IPSec?

[Вопрос от чайника - приложение для оптимизации работы модема Yota]

На Хабре были скрипты для авторегулировки yota, их вполне можно завести под Keenopt/Entware, если они написаны на bash/curl, если экзотика - смотреть, что есть/можно запустить на Keenopt/Entware.

У самого сейчас мысль воткнуть йотовскй модем в качестве резервного канала, чтобы роутер переключал скорость на боле дорогую при переходе на резерв, и возаращался обратно на минимальный тариф при восстановлении основного канала

[Keenetic Viva - нет ssh]

В кинетиках по умолчанию нет SSH. Можно взять флешку, установить на нее Keenopt или Entware, воткнуть в роутер, настроить в вебморде/telnet OPKG - и тогда будет SSH

[Резервирование канала: PPPoE и MTS 829F]

Я в полном замешательстве... Зачем нужен Ping Check и https://zyxel.ru/kb/3600/ настройки резервирования Интернета в интернет-центре серии Keenetic через 3G/4G-модем

В вашем случае при разрыве происходит сброс PPPoE-подключения. А в случае IPoE, интернет может пропасть без видимых изменений со стороны подключения (соединение с железкой провайдера есть, а дальше все сдохло) - для такого и нужна пинговалка. Опциональный вариант - PPP/VPN-соединение не рвется, но у провайдера падают апстримы.

[opkg на keenetic giga I]

Возможно, но нужно ставить прошивку вручную - viewtopic.php?f=2&t=26

Учтите, что при обновлении/изменении набора компонентов прошивка сбросится на версию без OPKG

[сконфигурировать IPsec/L2TP клиент]

В вашей схеме из-за ее высокой гетерогенности возможно стоит остаться на PPTP имхо. Настройть IPsec в такой среде даже для спецов может быть сложно, причем я не знаю адресации в вашей сети, а linux kernel xfrm не поддерживает перекрывающиеся подсети в IPsec SA, потому возможно придется городить GRE/IPIP/EoIP туннели поверх IPsec или NAT.

Клиенты и сервер видны напрямую (либо с обоих сторон белые IP, либо серый IP от того же провайдера, что и на роутере-сервере), обходить NAT и фильтрации не придется, а подсети за роутерами уже сейчас жестко поделены без пересечений.

Интересно было бы сравнить максимальные скорости и нагрузку на процессор на этих скоростях (PPTP vs OpenVPN vs IPSec), соотнести это с безопасностью (у PPTP с авторизацией немного печально) и стабильностью (скорость и успешность восстановления после разрывов) и выбрать наиболее выигрышное по личным критериям.

[сконфигурировать IPsec/L2TP клиент]

В 2.06 появился IPsec и L2TP/IPsec на базе strongSwan, работающий в качестве стандартного компонента

Хотелось бы понять, раз уж зашла речь - правильно ли я понимаю, что в 2.06 можно будет вместо сети на базе штатного PPTP-сервера использовать IPsec, терминируемый с обоих сторон на роутерах? Или все-таки на стороне сервера должна быть железка поумнее?

Если KG2 сможет выступать сервером - будет ли совместимость с белыми кинетиками в качестве клиента?

Сейчас у меня один KG2 является PPTP-сервером, другой KG2 и KG1 - клиенты, эпизодически подключаюсь с ПК, планирую подцепить простой первый кинетик, 4G II и тплинк с OpenWRT. Можно ли будет в таком виде на 2.06 перейти на IPsec, или белые кинетики на 2.04 не будут совместимы?

[Keenetic Giga II]

Вот, например, инструкция по установке Entware-ng: viewtopic.php?f=4&t=27 или она же http://forums.zyxmon.org/viewtopic.php?f=5&t=5246

Текущая сборка пакетов Keenopt, насколько мне известно, не совместима с последними прошивками.

[Индикатор FN]

В NDMSv1 была встроенная утилита ledctl, с нее можно было управлять (по крайней мере на белых кинетиках) индикаторами Power, USB, Internet (на Giga), WiFi (но он сбрасывал свое состояние). На черных не тестировал толком, т.к. роутер висит на стене и расположение лампочек в черных неудобное... Процитирую свое старое сообщение с параметрами ledctl для v1:

1 - вкл "Интернет"

2 - выкл "Интернет"

3 - медленное мигание Power

4 - вкл Power

5 - быстрое мигание Power

6 - выкл Power

7 - выкл WiFi (включается через рандомное время)

8 - медленное мигание WiFi (работает криво, быстро перестает мигать, интервал времени рандомный)

9 - быстрое мигание WiFi (-//-)

10 - вообще "морзянка" (WiFi) - быстро мигает, потом не горит, потом опять быстро мигает, и в конце концов через рандомное время загорается окончательно

11 - не понял, вроде медленное мигание WiFi как 8, но иногда не срабатывает

12 - вкл USB

13 - выкл USB

14 - быстрое мигание USB

В v2 ledctl нет, но может быть можно как-то через ndm* подавать подобные команды...

[Multiple WAN routing policy]

Просто если подсети на разных WAN совпадают, то это любой роутер одуреет и не сможет их сразу вдвоем использовать

Хм, а если на двух интерфейсах гейтом железка с одним MAC но с разными IP? Т.е. к примеру провайдерский магистральник который шлюз по-умолчанию для серых IP идет шлюзом как 10.x.x.1, а для белых a.b.c.1, таким образом это два разных сегмента на L3, но один на L2. Не сойдет ли с ума?

PS: у меня есть возможность протестировать на Giga 2 с вариантом IPoE+4G, вполне возможно что будет и IPoE+IPoE от разных провайдеров (либо IPoE+L2TP), но последнее не в ближайшие пару недель однозначно.

[Multiple WAN routing policy]

Сейчас в мире вообще такие тенденции, что клиенты не спешат покупать ничего дорогого, соглашаются в чем то терять, но платить меньше. Или малые офисы не хотят покупать рутер за 1500 у.е. но функционал хотят.

Есть еще одна дурацкая тенденция, которую уже частично вспомнили. Когда железка за 1.5к, вроде бы имеет основные нужные фичи, но какие-то мелочи, которые хотелось бы сделать в сети, она не может, и уровень колупаемости настроек в этом направлении не позволяет никак это реализовать - только отдельную железку ставить ради пары фич. При этом этот же функционал есть в том же кинетике. Вот и получается смешно, когда железка за 1.5к по необходимым фичам умеет меньше, чем кинетик. Это же относится и к микротикам - я как-то посмотрел, как там реализовать например кастомный hosts-файл (как adblock) и некоторые другие фичи, относительно легко реализуемые в entware, желание пользоваться им отпало.

[О планируемых возможностях Plus DSL]

1) Если хотите соединять Keenetic PLUS DSL между собой, нужно будет включить режим VDSL-CO на одном, и VDSL-CPE на другом. По ADSL он может быть только клиентом, т.е. подключается только к DSLAM-у. Телефон будет работать при подключении через сплиттер, который входит в комплект.

2) С одним роутером можно использовать только один Keenetic PLUS DSL.

1) Про разницу (A/V)DSL понятно, я про сплиттеры - если скажем комплектные потерялись/сломались/..., можно ли на VDSL-линке использовать обычные от ADSL-модемов, или же нужны специальные?

2) Плохо А так хотелось мега-комбайн забабахать... Возможно ли в будущем появление возможности подцепить пару модулей, или там невозможно by-design?

[О планируемых возможностях Plus DSL]

Почитав давеча про планируемые возможности создания vdsl-мостов задумался, но не знаю, где лучше спросить. Т.к. во многом вопрос и по программной части, думаю раздел подходящий. Сходу исходные данные:

Есть фирма с основным корпусом и двумя точками на территории, удаленность ~250 и ~600 метров (если считать возможные варианты прокладки кабеля по существующим опорам). Первое сейчас питается через пару тупых свичей в роли усилителей ethernet, во втором сеть отсутствует. Существующей сетью с запасом рулит Giga 2.

Одна из мыслей на будущее - пробросить интернет до второй точки, к которой от главного здания идет телефонная линия от мини-АТС, да убрать свичи-повторители на первой линии. Посматриваю на Keenetic Plus DSL в качестве одного из вариантов.

Вопросы, на которые пока ответов не нашлось:

1) Правильно ли я понимаю, что посредством пары обычных ADSL-сплиттеров и пары Plus DSL (и пары подходящих кинетиков конечно же) можно будет пробросить интернет по существующей телефонной линии (и в симбиозе с телефоном) от мини-АТС?

2) Планируется ли возможность работы двух-трех DSL-модулей с одним роутером (в том числе через USB-хаб, с доп. питанием если необходимо)?

К примеру к одной гиге 2 подключить три DSL-модуля через хаб, два работают на внутренние VDSL-линки, третий - резервирование интернета через ADSL. В целом, как вариант (хоть и не для меня) - два ADSL-провайдера с резервированием. Хотелось бы также, чтобы при этом все точки были в одной подсети с офисом, т.е. удаленные роутеры работали в режиме моста.

3) Планируется ли какое-нибудь шифрование/авторизация на VDSL-соединении? Или можно будет настроить встроенный PPTP-сервер поверх такого соединения при необходимости?

[Использование /storage]

Под какие цели интересно его можно использовать? Доступа к нему нет, только через opkg

В v1 с Entware я к примеру использовал /storage для сертификатов OpenVPN и Nginx, именно из-за того, что к нему в любом случае нет доступа по SMB/FTP.

Кстати, в v2 /storage затирается при сбросе настроек?

[Автопереключение каналов]

Раз уж поднялся этот вопрос, хотелось бы уточнить логику работы переключателя.

Исходим из того, что основное соединение - IPoE, второе - PPTP, ping check настроен только для первого.

Если по первому пинги не проходят, а второе в этот момент не может соединиться с сервером - я так понимаю основной маршрут останется на первом до поднятия второго.

А если в момент работы на резерве рвется PPTP-сессия, перейдет ли дефолтный маршрут на основное (не смотря на то, что ping check сигнализирует о его неработоспособности)?

Далее... Какой таймаут для ответа на пинг или установление TCP-соединение? Был случай, в момент обрыва магистральной оптики при перебалансировке у провайдера в первые минуты интернет дико глючил, пинги были около 200-300 там, где раньше были ~10 - в тот момент логичнее всего было перейти на резерв до нормализации. Хотелось бы иметь возможность указать таймаут, к примеру если пинг выше 100, уходить на резерв. А до реализации узнать текущие параметры.

Кстати, решение о восстановлении принимается по тому же порогу срабатывания? Можно записать в хотелки возможность указывать интервалы и пороги срабатывания раздельно - к примеру, переходить на резерв быстро (скажем, три пакета с интервалом 10 сек), а возвращаться обратно, убедившись, что все действительно восстановилось (скажем, 10 пакетов с интервалом в 20 секунд)

[Страница настройки opkg]

Тогда объясните более подробно проблему. Она такая же, как в сообщении выше, где представлены скриншоты?

Подтверждаю аналогичную проблему с флешкой в ext2 - везде, кроме страницы настройки OPKG отображается метка. Кстати, при установке opkg из консоли нормально отработало "opkg disk метка".

[Удаленный доступ на нестандартном порту с ограничением по IP]

Сабж - пытаюсь настроить ограничение по IP для вебморды, но при этом кинуть ее на нестандартный порт. Если создать правило перенаправления в NAT к примеру 8888(ISP)->80(lan) - то при создании запрещающего правила в межсетевом экране вебморда все равно остается доступна с любого IP. Какие возможны варианты?

Возможно ли полностью перенести морду на другой порт (как на V1 - после смены порта она доступна и с LAN с указанного порта), чтобы на 80 запустить вебсервер, или его придется поднимать на другом порту (к примеру 8080) и делать отдельное правило 80(ISP)->8080(lan)

[Отключение dns-proxy в CLI Giga 2]

Так DNS-прокси отключить нельзя. На него завязаны внутренние процессы в прошивке. Для dexter-а мы сделали специальную команду: opkg dns-override, которая при втыкании USB-диска вводит встроенный DNS-прокси в режим RPC и освобождает 53-й порт для кастомного DNS-сервера (в частности, Bind).

Аа, теперь понял, а то нигде не увидел, как все же освбодить порт..

Выполнил, запустил unbound из entware-ng, все вроде работает.

Не ясно, что означают строчки типа

Dns::Manager: name server 77.88.8.8 is disregarded while Opkg is active.

Если они игнорируются, то тогда куда сам кинетик для своих операций будет обращаться? В мониторе те сервера все еще отображаются. Можно ли кстати как-то сделать, чтобы до запуска кастомного резолвера внутренний прокси обращался к внешним серверам, а после запуска - к нему? Или вообще задать, чтобы он не брал провайдерские/другие DNSы, а только к себе на 53 порт обращался - не будет ли глюков при указании 192.168.0.1 в качестве DNS для прошивки?

[Отключение dns-proxy в CLI Giga 2]

Не пойму, либо прошивка от 31 декабря (v2.05(AAFS.8)C2) не имеет возможности отключения dns-proxy, либо я что не так делаю? Giga2, все с чистого листа (переезжаю с v1)

При попытке отключения прокси

(config)> no service dns-proxy
Core::Configurator error[1179668]: "no" is not applicable to: dns-proxy[cli].