SergeIv

Починил, но помнится раньше этого не требовалось… … access-list _WEBADMIN_OpenVPN0 permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 permit description "allow all" auto-delete ! access-list _WEBADMIN_OpenVPN1 permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 permit description "allow all" auto-delete access-list _WEBADMIN_OpenVPN2 permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 permit description "allow all" auto-delete ! …

Попробую, но по поведению больше похоже на работу НАТ'а. OpenVPN хоть и глючит в 4ке но работает… Может теперь по умолчанию НАТ на tun интерфейсах работает? но исходящие соединения идут с честных адресов… непонятно. P.S. для 4.0.6 - "The issue with the OpenVPN server showing a Not Connected state after the router reboot has been fixed. [NDM-2874] ", это хорошо, но явно не про мой случай.

Hi. VPN работает нормально, связаны две локалки, до апгрейда на v4 входящие работали. После перехода на v4 – перестали работать входящие соединения, так ощущение что режутся натом. Исходящие – без проблем. Подскажите куда смотреть, может менялось что…

а, так надо было искать, я подумал что ввести команду и всё заработает (config)> interface Home no ip nat loopback Network::StaticNat: NAT loopback is explicitly disabled on "Home". спасибо!

(config)> ip nat loopback Command::Base error[7405602]: address: argument parse error.

увы, это про настройку NAT. мне же надо сделать роут внешней сети на адрес внутри локальной сети без всяких там изменений. отключение правила работы SNAT для хоста в локальной сети - ip static 192.168.1.100 255.255.255.255 192.168.1.100 эффекта не дало. да и не должно это быть так сложно. любой грошовый роутер когда зароучиваешь сеть обратно на локальный хост - просто делает на него icmp redirect и все работает как должно…

это я уже читал, там нет ответа на то как настроить icmp redirect или пусть без редиректа но и без изменения адреса натом.

Hi, есть потребность зароутить в домашнем сегменте внешнюю подсеть на локальный адрес, т.е. Home: route 192.168.2.0/24 -> 192.168.1.100 предыдущий DLink давал icmp redirect на 192.168.1.100 для пакетов которые пытались уйти в эту сеть и всё было прекрасно, но вот Keenetic вместо этого похоже пропускает пакет сначала через NAT. как бы сделать простой icmp redirect?

грусть-печаль… спасибо.

поэтому я и спросил про возможность подключения аппаратной шифрации, зачем это делать на процессоре если есть аппаратная поддержка крипто движка… openvpn поддерживает (openvpn --show-engines), в роутере галочка на hardware network accel стоит. возмножно просто собран без неё или надо явно что-то указать в "engine <engine-name>"?

всем привет подскажите - в openvpn можно как-то включить поддержку аппаратной шифрации? а то с AES-128-GCM на чистом 100Мб канале всего 20Мб и одно из ядер загружено на 100%. в то время как если запустить с компа - ~80Мб.