vadimbn
-
Posts
470 -
Joined
-
Last visited
-
Days Won
7
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by vadimbn
-
-
Новосибирск с сегодняшнего дня +1 час (GMT +7).
Что интересно - оперативно внесли изменения майнтайнеры Ubuntu и CentOS, а те серверы, где стоит Debian, так и живут по старому времени, пришлось туда ставить пакет tzdata от Ubuntu.
-
11 час назад, Владимир сказал:
А инженеру, который додумался всунуть светодиоды на порты надо кое-что оторвать...
Светодиоды на портах - полезная функция. Когда втыкаешь кабели, можно сразу понять, есть соединение, или нет. Просто было бы столь же полезно отключать их.
-
-
По мотивам этой темы . На мой взгляд, запрещение/разрешение диапазона портов не должно быть таким сложным. Может быть следует сделать что-то вроде этого:
permit udp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 4015-6070и то же самое в WEB-интерфейсе?
-
1
-
-
Хе... Так да, будет работать, спасибо. Но с одним диапазоном. А если чуть усложнить задачу, сделать два диапазона? Допустим, надо разрешить только порты UDP 4000-4015 и UDP 6040-6070?
Если делать две ваши конструкции, одну над другой, верхняя всегда будет перекрывать нижнюю.
Можно первым делом разрешить 4000 - 6070. Но как из него вырезать кусок 4015 - 6040?
-
Правила МСЭ, как я понимаю, работают сверху вниз. Применяется первое правило, соответствующее пакету, остальные правила после этого не проходятся, правильно?
Допустим нужно разрешить прохождения пакетов UDP с диапазоном 4000-4015, остальные UDP-порты запретить. Если задать три таких правила:
permit udp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port gt 3999 permit udp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port lt 4016 deny udp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0то второе правило не будет работать никогда. Эта конструкция равносильна приказу "открыть все порты UDP, начиная с 4000". Так ли это? Можно ли вообще в текущей реализации МСЭ разрешать/запрещать диапазоны портов UDP/TCP?
-
А так, чтобы в виде дополнительной вкладочки раздела "Безопасность" -> "Списки адресов", к примеру, и еще одним пунктом выпадающих меню создания/редактирования правил файрвола "IP-адрес источника" и "IP-адрес назначения" -> "Список адресов" : "Имя списка"? Такого никогда не будет?
-
Думаю, было бы неплохо добавить списки адресов для межсетевого экрана, чтобы одно правило действовало не максимум на подсеть, а на список подсетей и адресов. В linux такую функциональность обеспечивает IPSet.
-
2
-
6
-
-
Можно рассмотреть Ваше предложение, но сразу скажем, что управление LED на портах свича поддерживается далеко не на всех моделях.
Ну... Где поддерживается, хотя бы... На UltraII - ведь поддерживается? Когда на нем стояла прошивка Padavan (пока не было NDMS 2.07) - светодиоды выключались, в том числе кнопочкой
В родной прошивке лично мне только этого и нехватает
-
Поставтье мини флешку на 4-8 Гб и все дела. Установить OPKG не так уж сложно и точно можете заметно расширить функционал... Функция потушить светодиоды как вам далеко не каждому нужна, вряд ли такое станут встраивать в прошивку. Хотя все возможно.
Ну... Если бы я хотел расширить функционал - так бы и сделал. Но то, что есть в прошивке устраивает полностью. То, что сейчас есть в NDMS 2.07, прекрасно работает, прекрасная прошивка получилась. И один USB-порт занят кабелем от принтера, второй - DECT-адаптером, мутить сопли проводов и USB-хабов как-то не хочется. К тому же предпочитаю не множить сущности, и не требовать от железки лишнего, стабильнее будет. Если можно и не сильно сложно - то почему бы не встроить? Думаю, не только мне полезно будет. Нет - перетерплю.
-
Эта фича вам не подойдет - viewtopic.php?f=3&t=270&hilit=led+green#p2533 ?
В "бездисковом" варианте как вы ее использовать будете? Представьте себе, что не всем нужно качать что-то роутером, есть люди, которые используют эти приборы только как именно роутеры.
-
Допустим, в таком виде:
led frontpanel - для включения фронтальных светодиодов.
led ethernet - для включения светодиодов на ethernet-портах.
Для выключения светодиодов использовать префикс no, как обычно:
no led frontpanel (led no frontpanel) - для гашения фронтальных светодиодов.
no led ethernet (led no ethernet) - для гашения светодиодов на ethernet-портах.
-
Господа, а можно как-нить настроить звонок? А то при входящем звонке телефоны постоянно звонят, звучит это как постоянное "трыыыыыыыыыыы...". Хотелось бы "трыы" "тррыы" "трыы".
Не знаю как еще это объяснить))
А в настройках трубки нельзя выбрать звонок? Это же, вроде как, ее свойства...
-
В мыслях сразу всплыл этакий Ultra 2 Pro как убийца RB2011Ui с 7+4 гигабитными портами, если бы использовались все порты...
Извиняюсь, но там нечего убивать. Разные аппараты из разных сфер применения. Даже у обычной UltraII перед RB2011Ui в домашнем применении больше преимуществ, чем недостатков. Я честно пытался заменить свои домашние роутеры микротиками, у меня дома их несколько разных. Пробовал RB951G-2HnD и RB850Gx2 - первый откровенно слаб для моих задач (IPsec-туннель с рабочим маршрутизатором, IPTV, Wi-Fi, канал 100 мегабит/с), второй просто роутер, без радиочасти. А UltraII с Keenetic DECT Plus один заменил мне два аппарата (роутер и IP-телефон), закрыв практически все мои потребности. Для дома из микротиков будет хорош еще не вышедший настольный RB3011, он и будет конкурентом UltraII, однако и в нем нет такого "все в одном". Выпустив дополнения DSL и DECT для своих роутеров, Zyxel сделал сильный ход. Еще вот прошивку допилят...
-
Посмотрите в соседней теме —аналогичный сценарий заработал. Пока не очень удобно, будем улучшать настройку.
К Вам вопрос...
Есть там, в настройках интерфейсов, команда
ip dhcp - enable dhcp client (obsolete)
Почему она в статусе Obsolete? Значит ли это, что для произвольных интерфейсов, в дальнейшем, DHCP-клиент включить будет нельзя? Вот в данном примере можно было бы вместо задания IP-адреса интерфейса вручную - просто включить DHCP-клиент... Или я чего-то не понимаю?
-
И так что имеем в итоге:
VLAN SIP: 1400
Proxy SIP Server: 10.200.24.10
SIP Domain: siphip.mts-nn.ru
IP на WAN-порте шлюза: 172.20.183.111
Маска: 255.255.255.128
Gateway: 172.20.183.1
DNS: 168.95.1.1
Как теперь это все настроить в роутере??
По аналогии с моей темой.
1) Cоздайте в WEB-интерфейсе VoIP VLAN с идентификатором 1400 (он будет называться Bridge1400 и VoIP) БЕЗ привязки к физическому интерфейсу, то есть не ставьте галочки под картинкой с портами.
2) Программой telnet подключаетесь к роутеру. Если на компьютере стоит Windows версии выше Windows XP, то telnet придется доустановить, так же можно использовать Putty, или любой другой Telnet-клиент. В MacOS и Linux telnet устанавливать не нужно. Когда установите, вызываете окно командной строки, в нем вводите (предполагаю, что IP-адрес вашего роутера - 192.168.1.1):
telnet 192.168.1.1
На запрос "Login:" вводите admin, на запрос "Password:", соответственно, пароль админа. Попадаете в интерфейс командной строки роутера (CLI).
3) Там набираете команды:
interface Bridge1400 ip address 172.20.183.111 255.255.255.128 up exit ip route 10.200.24.10 172.20.183.1 VoIP auto ip name-server 168.95.1.1 system configuration save
ip name-server 168.95.1.1 вводите в том случае, если такого сервера нет в списке DNS-серверов на странице "Системный монитор" роутера.
Примерно так настраивается сеть. Вот мануал по командам CLI, если возникнут вопросы.
4) Остальные настройки делаются из Web-интерфейса, раздел "Телефонная станция".
-
1
-
-
Эти адреса SIP сервера взял у брата, у него без проблем настроил SIP телефон, правда там все проще - в выделенный порт в Giga 2 подключен SIP DECT телефон Gigaset.
У вашего брата, в его DECT-телефоне Gigaset, помимо sip-настроек должны еще быть настройки сети. IP-телефон - это сетевое устройство, у него должен быть свой IP-адрес, должны быть прописаны шлюз и DNS-серверы. VLAN вы указали, но этого мало. VLAN - это виртуальная сеть, считайте, что к вам в роутер приходят три сосуществующие вместе, в одном кабеле, сети. В каждой такой сети задаются свои настройки. Как у вашего брата задаются параметры VoIP-сети? Явно, или же получаются автоматически (DHCP)?
-
Скорректировал настройки. Заработало, как ни странно. Роутер написал, что линия подключена, звонок на телефон удалось сделать.
Каким образом (Внимание! Указывайте именно ваши VLAN ID и настройки IP!) -
1) Cоздал в WEB-интерфейсе VoIP VLAN (Bridge2124) БЕЗ привязки к физическому интерфейсу.
2) В CLI добавил этому Bridge2124 адрес 10.250.158.3/25 (ip address 10.250.158.3 255.255.255.128)
3) Изменил MAC-адрес Bridge2124 на MAC-адрес телефона (mac address 7C:2F:XX:XX:XX:XX)
4) Поднял интерфейс (up)
5) Добавил маршрут до сервера sipserver.novotelecom.ru: ip route 178.49.132.2 10.250.158.1 VoIP auto (я проверил, этот маршрут можно добавить и в web-интерфейсе, необходимо указывать, что доступ к новотелекомовскому SIP-серверу идет через интерфейс VoIP)
6) Сохранил конфигурацию
Это ключевые настройки сети.
Настройка самой телефонной линии делается элементарно, не прибегая к CLI:
Включить линию: Да
Название линии: произвольное имя, например "Новотелеком"
SIP ID: Ваш телефонный номер с кодом города, но без междугороднего префикса (383209XXXX)
Отображаемое имя: Ваш телефонный номер с кодом города, но без междугороднего префикса (383209XXXX)
Логин: Ваш телефонный номер с кодом города, но без междугороднего префикса (383209XXXX)
Пароль: Ваш телефонный номер с кодом города, но без междугороднего префикса (383209XXXX)
Провайдер: Другой
Сервер регистрации SIP: sipserver.novotelecom.ru
Домен SIP: novotelecom.ru
Прокси-сервер SIP: sipserver.novotelecom.ru
SIP-транспорт: UDP
Протокол передачи аудиоданных: RTP
Таймаут регистрации: 300 секунд (по умолчанию)
Интервал отправки сообщений Keep-Alive: 15 секунд (по умолчанию)
Приоритет: 1 (задать необходимый, если есть несколько линий)
Правило набора:
Правило замены префикса:
Использовать STUN: Нет
Метод передачи сигналов DTMF: RFC2833
В настройках DECT-базы выставить приоритет кодеков так, чтобы кодек G.711a был на первом месте.
Просьба к разработчикам. Если возможно... Вынесите настройки пунктов 2 и 3 в WEB-интерфейс, сделайте в нем более гибкие настройки VLAN... Кроме этих двух пунктов все остальное можно настраивать и из WEB-интерфейса.
Выводы такие -
1) Работа с IP-телефонией провайдера Новотелеком с использованием Keenetic DECT Plus возможна,
2) Часть настроек приходится делать через интерфейс командной строки, что может быть неудобно для некоторых пользователей
3) Новотелеком в своей IP-телефонии помимо отдельного VLAN еще и проверяет MAC-адрес интерфейса, так что если избавляетесь от старого IP-телефона в пользу роутера Keenetic с устройством Keenetic DECT Plus, не забудьте прописать MAC-адрес старого телефона созданному VLAN-интерфейсу.
-
В общем, не долго все работало. То ли после обновления файла прошивки, то ли еще после каких-то действий - все перестало работать.
Тут Keenetic был не при делах, каким-то образом я на Mikrotik умудрился создать статический Peer, без ключа и с адресом 0.0.0.0/0, при подключении именно он и использовался. Ключа в нем не было, подключиться к роутеру используя IPsec было невозможно. После его удаления начал создаваться динамический Peer, с ключом из настроек L2TP-сервера, и все опять заработало.
-
Пока нельзя.
Эта функция будет переработана в ближайшие пару месяцев, тогда и посмотрим.
В общем, не долго все работало. То ли после обновления файла прошивки, то ли еще после каких-то действий - все перестало работать.
В логах вот такое:
Jun 27 01:44:50ndm
Network::Interface::Base: "L2TPoverIPsec0": interface is up.
Jun 27 01:44:51ipsec
Starting strongSwan 5.4.0 IPsec [starter]...
Jun 27 01:44:51ipsec
00[DMN] Starting IKE charon daemon (strongSwan 5.4.0, Linux 3.4.112, mips)
Jun 27 01:44:51ipsec
00[CFG] loading secrets
Jun 27 01:44:51ipsec
00[CFG] loaded IKE secret for 178.49.84.4 217.65.85.194
Jun 27 01:44:51ipsec
00[CFG] starting systime check, interval: 10s
Jun 27 01:44:51ipsec
00[LIB] loaded plugins: charon aes des sha2 sha1 md5 random nonce openssl xcbc cmac hmac attr kernel-netlink socket-default stroke updown eap-mschapv2 eap-dynamic xauth-generic xauth-eap error-notify systime-fix
Jun 27 01:44:51ipsec
05[CFG] received stroke: add connection 'L2TPoverIPsec0'
Jun 27 01:44:51ipsec
05[CFG] added configuration 'L2TPoverIPsec0'
Jun 27 01:44:51ipsec
07[CFG] received stroke: initiate 'L2TPoverIPsec0'
Jun 27 01:44:51ipsec
07[iKE] initiating Main Mode IKE_SA L2TPoverIPsec0[1] to 217.65.85.194
Jun 27 01:44:51ipsec
09[iKE] received NAT-T (RFC 3947) vendor ID
Jun 27 01:44:51ipsec
09[iKE] received DPD vendor ID
Jun 27 01:44:51ipsec
10[iKE] linked key for crypto map 'L2TPoverIPsec0' is not found, still searching
Jun 27 01:44:59ipsec
16[iKE] sending retransmit 1 of request message ID 0, seq 3
Jun 27 01:45:01ipsec
08[iKE] received retransmit of response with ID 0, but next request already sent
Jun 27 01:45:08ipsec
10[iKE] sending retransmit 2 of request message ID 0, seq 3
Jun 27 01:45:11ipsec
13[iKE] received retransmit of response with ID 0, but next request already sent
Jun 27 01:45:18ipsec
16[iKE] sending retransmit 3 of request message ID 0, seq 3
Jun 27 01:45:21ipsec
08[iKE] received retransmit of response with ID 0, but next request already sent
Jun 27 01:45:29ipsec
11[iKE] sending retransmit 4 of request message ID 0, seq 3
Jun 27 01:45:31ipsec
14[iKE] received retransmit of response with ID 0, but next request already sent
Jun 27 01:45:40ipsec
06[iKE] sending retransmit 5 of request message ID 0, seq 3
Jun 27 01:45:41ipsec
07[iKE] received retransmit of response with ID 0, but next request already sent
Jun 27 01:45:43ndm
Network::Interface::L2TPSecure: "L2TPoverIPsec0": shutting down connection.
Jun 27 01:45:43ndm
Network::Interface::PPP: "L2TPoverIPsec0": disabled connection.
В чем может быть дело? Второй день бьюсь, пересоздавал интерфейс, сбрасывал настройки - все равно не работает. Можете подсказать, где косяк? Что нужно для диагностики?
-
В Web L2TP over IPsec пока не настраивается, потому нужны такие команды (компоненты IPsec и L2TP должны уже быть установлены):
(config)> interface L2TPoverIPsec0
(config-if)> peer 1.1.1.1 {внешний адрес DFL}
(config-if)> authentication identity {Имя}
(config-if)> authentication password {Пароль}
(config-if)> ip global 2000 {если хотите, чтобы это соединение стало маршрутом по умолчанию и через него был доступ в Интернет}
(config-if)> ipsecure preshared-key 12345678 {ваш ключ PSK}
(config-if)> up
(config-if)> connect
Настроил соединение L2TP over IPSec таким образом между своим RB1100AHx2 в датацентре и домашним Keenetic Ultra II. Параметры шифрования получаются такие:
L2TPoverIPsec0[10]: IKE proposal: 3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# L2TPoverIPsec0{11}: INSTALLED, TRANSPORT, reqid 3, ESP SPIs: cab4addc_i 026ff67b_o L2TPoverIPsec0{11}: AES_CBC_128/HMAC_SHA1_96/MODP_1024, 98395 bytes_i (725 pkts, 64s ago), 139863 bytes_o (770 pkts, 4s ago), rekeying in 7 hoursВопрос чисто теоретический, так как в принципе вполне хватит и AES_CBC_128, но все же, можно ли поменять это на AES_CBC_256? В Mikrotik я могу изменить настройки Proposal, здесь это можно как-то сделать?
В общем же впечатления сугубо положительные, настройка шифрованного канала между домом и дата-центром была одна из целей покупки этого роутера. Мой канал 100 мегабит/с используется полностью, при практически нулевой загрузке процессоров с обеих сторон (crypto engine hardware прописано в Keenetic, RB1100AHx2 тоже использует аппаратный модуль шифрования).
Но все таки, можно ли менять параметры шифрования, именно для туннеля L2TP over IPsec? Версия прошивки, кстати, v2.07(AAUX.11)B0, свеженький draft.
-
Попробуйте выполнить команду
(config)>ip route 178.49.132.2 10.250.158.1 VoIP auto
(config)>system configration save
Хотя я не уверен, что из сети 10.250.158.3/25 FQDN sipserver.novotelecom.ru разрешается тоже как 178.49.132.2.
Хм... Вот именно... Однако, в базу IP-телефона вбиты те же серверы имен, что и для интернет-подключения...
Попробовал так же прописать для Bridge MAC-адрес базы, может быть там еще и блокировка по MAC...
-
После этого DECT-донгл должен заработать.
Если не заработает, то напишите IP-адрес SIP и STUN серверов, выданные вам провайдером.
Конкретно для них доработаем настройку.
А куда вписывать шлюз для сети 10.250.158.3/25, который 10.250.158.1? В Статические маршруты?
Пока не заработал.
registration-uri sipserver.novotelecom.ru (пингуется с роутера, адрес определяется как 178.49.132.2)
proxy sipserver.novotelecom.ru
STUN-сервер не используется.
-
Провайдер предоставляет IP-телефонию во VLAN, остальное идет безо всяких VLAN, IP белый.
Куплены Keenetic Ultra II и Keenetic Plus DECT, все это подключено к провайдеру и друг к другу, нужные компоненты загружены, вместе со свежей прошивкой версии v2.07(AAUX.2)A3. Пробовалась так же v2.06, но в версии 2.07 больше настроек для DECT, и работает она быстрее. Однако, если необходимо, можно поставить обратно v2.06.
Штатными средствами, в WEB-интерфейсе, получилось только подключить старую базу IP-телефона к отдельному порту. IP-телефон Siemens Gigaset C470 IP, он плохо работает с VLAN, поэтому приходится снимать тег на роутере. Хочется, если это возможно, от старой базы избавиться, и все сделать на одном устройстве.
Идентификатор VLAN пусть будет 2124. В базе заданы такие настройки сети:
IP-адрес 10.250.158.3
Шлюз 10.250.158.1
маска 255.255.255.128
Остальные настройки сняты с базы и перенесены в Keenetic, на страницу Телефонная станция -> Телефонные линии. Трубка Siemens Gigaset подключена к связке Keenetic UltraII/Keenetic Plus DECT без проблем.
Основной вопрос - как в CLI создать VLAN, чтобы Keenetic Plus DECT работал с IP-телефонией провайдера в этой отдельной сети? Есть ли примеры таких конфигураций?
Изменение TTL
in Обмен опытом
Posted
Не оно?