PoliceMan

July 31, 2018

В 23.07.2018 в 22:37, Le ecureuil сказал:

По идее должно быть нормально, но в столь редко используемом функционале может быть тысяча причин не работать.

А человек выше пишет про баг в хардварном крипто модуле, это не оно же?

July 15, 2018

Продолжаю эксперименты на тему EoIP. Проблема с SMB. С компьютера за новой ультрой, пытаюсь установить связь до старой ультры с включенным smb.
Судя по дампам траффика, сессия устанавливается нормально, пакеты бегут, но когда доходит дело до обмена данными, старая ультра отвечает SMB-пакетом размером 15к с установленным DF и до клиента он не доходит, клиент запрашивает ретрансмиты, старая ультра бьет на пакеты по 1514, но они так же не доходят до цели. Я правильно понимаю, что net.core.eoip_allow_fragment 1 должен такую проблему решать? Но толи лыжи не едут, толи проблема в другом?

July 7, 2018

Поигрался с mtu, потом вернул все на место, без ребутов, скорость стала 60 мегабит. Мистика какаято)
Вообще первая ультра у меня держит в аппаратно ускоренном ipsec'е скорости выше 20 мегабит, поэтому я грешил на mtu или eoip, вон у человека постом выше, скорости пободрее.

~ # iperf -m -c 10.0.0.101
------------------------------------------------------------
Client connecting to 10.0.0.101, TCP port 5001
TCP window size: 20.7 KByte (default)
------------------------------------------------------------
[  3] local 10.0.0.1 port 54458 connected with 10.0.0.101 port 5001
[ ID] Interval       Transfer     Bandwidth
[  3]  0.0-10.1 sec  71.1 MBytes  59.4 Mbits/sec
[  3] MSS size 1440 bytes (MTU 1500 bytes, ethernet)

July 7, 2018

Сделал EoIP туннель, между новой ультрой и первой ультрой с ipsec в автоматическом режиме.
Забриджевал с home, включил фрагментацию.
С одной стороны интернет ipoe, с другой pppoe.
mtu на стороне ipoe на всех интерфейсах 1500, на стороне pppoe 1492 (кроме isp, там 1500).
Скорость не поднимается выше 20 мегабит в туннеле. Напрямую, через интернет, скорость поднимается до 100 мегабит.
Подскажите плз в какую сторону копнуть?

June 4, 2018

Цитата

Версия 2.12.B.0.0-4:

Web: добавлена перезагрузка веб-приложения после обновления прошивки

Подскажите плз, что это значит? При обновлении прошивки, весь роутер же перезагружается? Или это о другом?

Спасибо.

June 2, 2018

Использовать PPTP небезопасно уже около шести лет:
https://technet.microsoft.com/library/security/2743314

Можно митигировать используя PEAP, но лучше перейти на более безопасные протоколы.

May 18, 2018

Вроде починилось на билайне. И правда, сутки почти были какие-то проблемы.

May 6, 2018

Да, действительно, посмотрев дампы пакетов, понял, что проблема была у провайдера, после обращения к нему, все починилось.

May 5, 2018

Привет!
IPv6 так и не работает.
Может подскажете что сделать то, что бы заработал?
Или над проблемой работают?

April 22, 2018

Потестировал еще, какая-то нестабильная фигня. ip static помогло, но ненадолго. Некоторое время работает, затем пакеты начинают прилетать с адресом внутреннего интерфейса без nat.

Заработало так же и при ip nat, сразу после перезагрузки, но через некоторое время отваливается и пакеты начинают опять прилетать с адресом 77.77.77.77, но для 8.8.8.8 прилетают с внешним IP, а пинги на 8.8.4.4 работают и все ок, причем для одного внутреннего хоста так, а для хоста подключающегося к кинетику по l2tp/ipsec все продолжает работать нормально. Похоже на какой-то кеш, который работает не совсем корректно.

Вот сейчас, не трогая никаких настроек, опять заработало. Чудеса какие-то)

April 21, 2018

Всем привет!

Есть роутер кинетик ультра и сервер в облаке в интернете, на сервере установлен openvpn, конфиг сервера простейший:

# cat /etc/openvpn/server.conf
dev tun
ifconfig 172.31.255.253 172.31.255.254
cipher AES-256-CBC
verb 3
<secret>
#
# 2048 bit OpenVPN static key
#
</secret>

Конфиг на кинетике:

dev tun
remote 66.66.66.66
ifconfig 172.31.255.254 172.31.255.253
cipher AES-256-CBC
verb 3
<secret>
#
# 2048 bit OpenVPN static key
#
</secret>

У кинетика статический белый IP, пусть будет 77.77.77.77.

Тунель устанавливается без проблем, пинги с домашних устройств за кинетиком ходят до 172.31.255.253.

Теперь хочется, например, пустить трафик до гугл днс через VPN. Добавляем в кинетике маршрут 8.8.8.8/32 via 172.31.255.254 и с самого кинетика все начинает отлично работать. Но вот с домашних устройств не работает. Если смотреть tcpdump на сервере, то пакеты на него прилетают с src=77.77.77.77 через тунель, помогите разобраться почему, плз)

Теперь фокус, если на сервере указать push "route 8.8.8.8 255.255.255.255" а на кинетике поставить опцию "получать маршруты от удаленной стороны", то при установке туннеля маршрут не поялвяется, но если прописать его опять вручную, то все работает! Даже с хостов за кинетиком, пакеты на сервер прилетают с адресом 172.31.255.254, т.е. как и должны, но такое у меня получилось только с одним хостом, если в push route указать подсеть, то магия пропадает)

Я правильно понимаю, что проблема в ip nat и ip static мне поможет? Если да, то вопрос, почему это работает с единичным IP и может всетаки можно обойтись без полного отключения ip nat?

Интернет на кинетике через pppoe, галка использовать это подключение для выхода в интернет на соединении openvpn не установлена.

Заранее благодарен!

April 16, 2018

Может проще использовать проброс портов в ssh? Или VPN на кинетике настроить.

April 16, 2018

4 часа назад, ndm сказал:

IPv6 не раздается VPN-клиентам. Можно перевести эту тему в "Развитие" и поставить голосовалку. По идее, сложность не очень высокая. Кто за?

Однозначно за!

April 14, 2018

Поддерживаю, не хватает фильтрации по mac-адресам в вебе. Как для 2.4, так и для 5.

April 14, 2018

Т.к. не работает всегда, то да, можно сказать в этот момент)

На 2.11.C.1.0-3 работает, но проверялось это на гиге2, у меня щас нет возможности поставить проверить, но на моей ультре на 2.11 тоже работало.

mac 90:e6:ba:ca:02:e1 это комп с десяткой, на ios тоже не пашет.

Если понадобится, могу дампов наснимать.

April 14, 2018

Новая опция, которая теперь позволяет настраивать отдельно доступ для незарегистрированных устройств в домашней и гостевой сети не реагирует на изменение, т.е. она отражает текущее положение дел, и если руками добавить в "ip hotspot"

policy Guest permit

то для гостевой сети политика доступа меняется в интерфейсе, но поменять через веб все равно не дает. При нажатии на сохранить и заходе оптять на страницу домашней или гостевой сети, изменения не сохраняются. Может эта опция подразумевает чуть другие опции в конфиге? Тогда подскажите плз как правильно поправить, полный сброс делал несколько релизов назад, пока не хочется повторять подобную процедуру. Спасибо!

April 14, 2018

День добрый, проблема появилась несколько драфтов назад, точно установить, когда, не могу. Где-то в середине разработки 2.12.

Имеется первая ultra и последний драфт 2.12. Провайдер домру, с роутера пинги ipv6 работают успешно, у клиентов же ipv6 не работает вообще, адреса они получают, пакеты дальше роутера не уходят. Если делать трейс, то первым откликается ipv6 внешний адрес роутера и дальше тишина. Вычитал в соседней теме, что проблема может быть из за запрета выхода незарегистрированных устройств по умолчанию, разрешил такой доступ, не помогло. Но там ipv6 отваливается не сразу, у меня же он не работает вообще. Раньше все работало отлично, на 2.11 с тем же провайдером все так же работает.

March 6, 2018

55 минут назад, r13 сказал:

На 443 порту будет только sstp

А как такое проделать?

March 3, 2018

День добрый! При использовании функции "Доступ к веб-приложениям домашней сети" получается домен четвертого уровня, но https сертификат выписан на домен третьего, и при заходе выдается ошибка сертификата, можно это как то решить? Например выписыванием отдельных сертификатов или wildicard'ом? Что бы при добавлении имени на него делался сертификат например.

March 3, 2018

Kiborg_Man, да, вручную закрыл. В настройках отключить не могу, т.к. тогда sstp не работает. Было бы не плохо, если в настройках теперь появилось отдельно http и https. С другой стороны http тупо редиректит на https если переходить по имени, но если идти по IP, то не редиректит.

March 3, 2018

Подскажите а SSTP-сервер, я так понимаю аппаратно не ускоряется? И не ожидается такой функционал?

March 3, 2018

В 28.02.2018 в 16:25, Le ecureuil сказал:

А через 60 дней роутер начнет долбить LE, LE начнет приходить снаружи на 80 порт, и... Короче на 90-й день ваш сертификат станет самоподписанной тыквой.

Т.е. то что я закрыл 80 порт в межсетевом экране, выйдет мне боком через 90 дней? Выход только один? Вернуть обратно 80 порт?

March 5, 2017

Да, спасибо, вот и ответ. Печально. Странно, на драфте 2.09 было на русском до определенного момента.

В 09.09.2016 в 16:47, ndm сказал:

Нет. язык поменять, к сожалению, не можем. Он не переключается, а нашу прошивку, может быть, когда-нибудь продадут ну... там, где по-русски не понимают

Смотрели в других minidlna-подобных изделиях тоже только английский.

March 5, 2017

Ultra, примерно с 2.09.A.3.0-4 - 2.09.A.3.0-6 сменился язык встроенного DLNA сервера с русского на английский.
Раньше в корневом меню при заходе с любого устройства все было по русски, теперь по английски.
Можно вернуть обратно русский?

February 4, 2017

14 часа назад, mamuka сказал:

Здравствуйте, хочется осуществить такой скриптик запущенный по крону каждую минуту, который при пропадании связи с машиной посылал бы волшебный пакет. а при наличии связи ничего не делал... если у кого-нибудь есть подобное решение данной проблемы буду очень благодарен!!!

#!/opt/bin/sh
INTERFACE=br0
HOST_IP=127.0.0.1
HOST_MAC=AA:BB:CC:DD:EE:FF

/opt/bin/ping -c 1 $HOST_IP > /dev/null 2>&1

if [ "$?" != 0 ]
then
  /opt/bin/etherwake -i $INTERFACE $HOST_MAC > /dev/null 2>&1
fi

Но я бы тупо раз в минуту посылал wol-пакет без лишних проверок, хуже от него не будет все равно и нагрузка никакая.

Sign In

Profiles

Forums

Gallery

Downloads

Blogs

Events

Posts posted by PoliceMan