PoliceMan
-
Posts
70 -
Joined
-
Days Won
1
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by PoliceMan
-
-
Продолжаю эксперименты на тему EoIP. Проблема с SMB. С компьютера за новой ультрой, пытаюсь установить связь до старой ультры с включенным smb.
Судя по дампам траффика, сессия устанавливается нормально, пакеты бегут, но когда доходит дело до обмена данными, старая ультра отвечает SMB-пакетом размером 15к с установленным DF и до клиента он не доходит, клиент запрашивает ретрансмиты, старая ультра бьет на пакеты по 1514, но они так же не доходят до цели. Я правильно понимаю, что net.core.eoip_allow_fragment 1 должен такую проблему решать? Но толи лыжи не едут, толи проблема в другом? -
Поигрался с mtu, потом вернул все на место, без ребутов, скорость стала 60 мегабит. Мистика какаято)
Вообще первая ультра у меня держит в аппаратно ускоренном ipsec'е скорости выше 20 мегабит, поэтому я грешил на mtu или eoip, вон у человека постом выше, скорости пободрее.~ # iperf -m -c 10.0.0.101 ------------------------------------------------------------ Client connecting to 10.0.0.101, TCP port 5001 TCP window size: 20.7 KByte (default) ------------------------------------------------------------ [ 3] local 10.0.0.1 port 54458 connected with 10.0.0.101 port 5001 [ ID] Interval Transfer Bandwidth [ 3] 0.0-10.1 sec 71.1 MBytes 59.4 Mbits/sec [ 3] MSS size 1440 bytes (MTU 1500 bytes, ethernet)
-
Сделал EoIP туннель, между новой ультрой и первой ультрой с ipsec в автоматическом режиме.
Забриджевал с home, включил фрагментацию.
С одной стороны интернет ipoe, с другой pppoe.
mtu на стороне ipoe на всех интерфейсах 1500, на стороне pppoe 1492 (кроме isp, там 1500).
Скорость не поднимается выше 20 мегабит в туннеле. Напрямую, через интернет, скорость поднимается до 100 мегабит.
Подскажите плз в какую сторону копнуть? -
Цитата
Версия 2.12.B.0.0-4:
- Web: добавлена перезагрузка веб-приложения после обновления прошивки
Подскажите плз, что это значит? При обновлении прошивки, весь роутер же перезагружается? Или это о другом?
Спасибо.
-
Использовать PPTP небезопасно уже около шести лет:
https://technet.microsoft.com/library/security/2743314Можно митигировать используя PEAP, но лучше перейти на более безопасные протоколы.
-
Вроде починилось на билайне. И правда, сутки почти были какие-то проблемы.
-
Да, действительно, посмотрев дампы пакетов, понял, что проблема была у провайдера, после обращения к нему, все починилось.
-
Привет!
IPv6 так и не работает.
Может подскажете что сделать то, что бы заработал?
Или над проблемой работают? -
Потестировал еще, какая-то нестабильная фигня. ip static помогло, но ненадолго. Некоторое время работает, затем пакеты начинают прилетать с адресом внутреннего интерфейса без nat.
Заработало так же и при ip nat, сразу после перезагрузки, но через некоторое время отваливается и пакеты начинают опять прилетать с адресом 77.77.77.77, но для 8.8.8.8 прилетают с внешним IP, а пинги на 8.8.4.4 работают и все ок, причем для одного внутреннего хоста так, а для хоста подключающегося к кинетику по l2tp/ipsec все продолжает работать нормально. Похоже на какой-то кеш, который работает не совсем корректно.
Вот сейчас, не трогая никаких настроек, опять заработало. Чудеса какие-то)
-
Всем привет!
Есть роутер кинетик ультра и сервер в облаке в интернете, на сервере установлен openvpn, конфиг сервера простейший:
# cat /etc/openvpn/server.conf dev tun ifconfig 172.31.255.253 172.31.255.254 cipher AES-256-CBC verb 3 <secret> # # 2048 bit OpenVPN static key # </secret>
Конфиг на кинетике:
dev tun remote 66.66.66.66 ifconfig 172.31.255.254 172.31.255.253 cipher AES-256-CBC verb 3 <secret> # # 2048 bit OpenVPN static key # </secret>
У кинетика статический белый IP, пусть будет 77.77.77.77.
Тунель устанавливается без проблем, пинги с домашних устройств за кинетиком ходят до 172.31.255.253.
Теперь хочется, например, пустить трафик до гугл днс через VPN. Добавляем в кинетике маршрут 8.8.8.8/32 via 172.31.255.254 и с самого кинетика все начинает отлично работать. Но вот с домашних устройств не работает. Если смотреть tcpdump на сервере, то пакеты на него прилетают с src=77.77.77.77 через тунель, помогите разобраться почему, плз)
Теперь фокус, если на сервере указать push "route 8.8.8.8 255.255.255.255" а на кинетике поставить опцию "получать маршруты от удаленной стороны", то при установке туннеля маршрут не поялвяется, но если прописать его опять вручную, то все работает! Даже с хостов за кинетиком, пакеты на сервер прилетают с адресом 172.31.255.254, т.е. как и должны, но такое у меня получилось только с одним хостом, если в push route указать подсеть, то магия пропадает)
Я правильно понимаю, что проблема в ip nat и ip static мне поможет? Если да, то вопрос, почему это работает с единичным IP и может всетаки можно обойтись без полного отключения ip nat?
Интернет на кинетике через pppoe, галка использовать это подключение для выхода в интернет на соединении openvpn не установлена.
Заранее благодарен!
-
Может проще использовать проброс портов в ssh? Или VPN на кинетике настроить.
-
4 часа назад, ndm сказал:
IPv6 не раздается VPN-клиентам. Можно перевести эту тему в "Развитие" и поставить голосовалку. По идее, сложность не очень высокая. Кто за?
Однозначно за!
-
Поддерживаю, не хватает фильтрации по mac-адресам в вебе. Как для 2.4, так и для 5.
- 1
-
Т.к. не работает всегда, то да, можно сказать в этот момент)
На 2.11.C.1.0-3 работает, но проверялось это на гиге2, у меня щас нет возможности поставить проверить, но на моей ультре на 2.11 тоже работало.
mac 90:e6:ba:ca:02:e1 это комп с десяткой, на ios тоже не пашет.
Если понадобится, могу дампов наснимать.
-
Новая опция, которая теперь позволяет настраивать отдельно доступ для незарегистрированных устройств в домашней и гостевой сети не реагирует на изменение, т.е. она отражает текущее положение дел, и если руками добавить в "ip hotspot"
policy Guest permit
то для гостевой сети политика доступа меняется в интерфейсе, но поменять через веб все равно не дает. При нажатии на сохранить и заходе оптять на страницу домашней или гостевой сети, изменения не сохраняются. Может эта опция подразумевает чуть другие опции в конфиге? Тогда подскажите плз как правильно поправить, полный сброс делал несколько релизов назад, пока не хочется повторять подобную процедуру. Спасибо!
- 1
-
День добрый, проблема появилась несколько драфтов назад, точно установить, когда, не могу. Где-то в середине разработки 2.12.
Имеется первая ultra и последний драфт 2.12. Провайдер домру, с роутера пинги ipv6 работают успешно, у клиентов же ipv6 не работает вообще, адреса они получают, пакеты дальше роутера не уходят. Если делать трейс, то первым откликается ipv6 внешний адрес роутера и дальше тишина. Вычитал в соседней теме, что проблема может быть из за запрета выхода незарегистрированных устройств по умолчанию, разрешил такой доступ, не помогло. Но там ipv6 отваливается не сразу, у меня же он не работает вообще. Раньше все работало отлично, на 2.11 с тем же провайдером все так же работает.
-
55 минут назад, r13 сказал:
На 443 порту будет только sstp
А как такое проделать?
-
День добрый! При использовании функции "Доступ к веб-приложениям домашней сети" получается домен четвертого уровня, но https сертификат выписан на домен третьего, и при заходе выдается ошибка сертификата, можно это как то решить? Например выписыванием отдельных сертификатов или wildicard'ом? Что бы при добавлении имени на него делался сертификат например.
-
Kiborg_Man, да, вручную закрыл. В настройках отключить не могу, т.к. тогда sstp не работает. Было бы не плохо, если в настройках теперь появилось отдельно http и https. С другой стороны http тупо редиректит на https если переходить по имени, но если идти по IP, то не редиректит.
-
Подскажите а SSTP-сервер, я так понимаю аппаратно не ускоряется? И не ожидается такой функционал?
-
В 28.02.2018 в 16:25, Le ecureuil сказал:
А через 60 дней роутер начнет долбить LE, LE начнет приходить снаружи на 80 порт, и... Короче на 90-й день ваш сертификат станет самоподписанной тыквой.
Т.е. то что я закрыл 80 порт в межсетевом экране, выйдет мне боком через 90 дней? Выход только один? Вернуть обратно 80 порт?
-
Да, спасибо, вот и ответ. Печально. Странно, на драфте 2.09 было на русском до определенного момента.
В 09.09.2016 в 16:47, ndm сказал:Нет. язык поменять, к сожалению, не можем. Он не переключается, а нашу прошивку, может быть, когда-нибудь продадут ну... там, где по-русски не понимают
Смотрели в других minidlna-подобных изделиях тоже только английский.
-
Ultra, примерно с 2.09.A.3.0-4 - 2.09.A.3.0-6 сменился язык встроенного DLNA сервера с русского на английский.
Раньше в корневом меню при заходе с любого устройства все было по русски, теперь по английски.
Можно вернуть обратно русский? -
14 часа назад, mamuka сказал:
Здравствуйте, хочется осуществить такой скриптик запущенный по крону каждую минуту, который при пропадании связи с машиной посылал бы волшебный пакет. а при наличии связи ничего не делал... если у кого-нибудь есть подобное решение данной проблемы буду очень благодарен!!!
#!/opt/bin/sh INTERFACE=br0 HOST_IP=127.0.0.1 HOST_MAC=AA:BB:CC:DD:EE:FF /opt/bin/ping -c 1 $HOST_IP > /dev/null 2>&1 if [ "$?" != 0 ] then /opt/bin/etherwake -i $INTERFACE $HOST_MAC > /dev/null 2>&1 fi
Но я бы тупо раз в минуту посылал wol-пакет без лишних проверок, хуже от него не будет все равно и нагрузка никакая.
- 1
Все о туннелях IPIP, GRE и EoIP
in Обсуждение IPsec, OpenVPN и других туннелей
Posted
А человек выше пишет про баг в хардварном крипто модуле, это не оно же?