IgaX

извините, если вмешиваюсь если кратко: по симптомам, если activex, то скорее всего пахнет rtsp, раз rtsp, то логично, что внутри локалки работает, а по туннелю - нет (т.к. только http)

возможно, я не прав, но когда пробовал, то улучшений (честно) не заметил .. как мне кажется, это все же больше влияет на качество в сторону вертикальной диаграммы направленности при неравномерном распределении сигнала .. у меня один клиент 2T2R стационарно для тестов в пределах 40 см. радиуса в почти идеальной горизонтальной плоскости с антеннами роутера, деградации линка не замечаю, клиент не "глохнет" от 100% мощности. (другое дело, что мне приходится держать 100% мощность, т.к. в пределах 1.5м радиуса для тестов стоит "относительно мощный" bt-излучатель и когда он начинает "шуметь", то при снижении мощности радио становится совсем не айс .. даже при 100% мощности на G3 этот линк под нагрузкой способен легко деградировать на ~40-50% .. поэтому и ратую за bt coex .. как лучше его включить пока еще думаю в ожидании новой прошивки).

no ppe software, как я это теперь понимаю, отключает программный ускоритель на аплинке (wan) и имеет значение при переходе wan <-> wlan, т.е. в Вашем тесте влиять не должно. Извиняюсь за ложный посыл (сам не знал).

Так чтобы задокументированных в конкретно моем случае - нет. Когда выключил летом - "вроде бы" стало получше, но так чтобы совсем "шик-блеск" - я бы не сказал (на тот момент штудировал форум и пробовал разные рекомендации). Потом перешел на 2.08 и больше не трогал эту настройку. Да и опять же: http://forum.keenetic.net/topic/1163-низкая-скорость-wifi-v208aagn0a10-vox/?do=findComment&comment=13341 Но если ppe software только на сторону аплинка, то да, виноват, каюсь, все от незнания

т.е. ppe hardware это hw_nat и не более? я просто не знал, думал, еще какие-то твики включает и мне казалось (могу путать, на ixbt вроде было), что свитч на U2 как-то интересно собран (опять же, могу ошибаться).

если без телнета, то скачайте startup-config с вкладки "файлы", там будет 2 строки: ppe software ppe hardware для воздуха сделайте no ppe software, сохраните и залейте обратно на роутер с ребутом, возможно, поможет.

сетевой ускоритель установлен? какие настройки с ppe есть в конфиге? насколько я понимаю, ppe hardware должно положительно отразиться на проводных подключениях роутера (не знаю, нету), а отключение через no ppe software - помогает воздуху, но скажем .. кто-то больше рад, кто-то меньше.

я бы за, но риск есть, что случайно придет совсем черный косяк и дальше только гемор (шутка)

@ndm Еще бы для N-only дал бы педаль к: 1) HT_OpMode (HT_OpMode = 1 включило бы гринфилд, а не миксд как сейчас); 2) HT_MCS (авто на 33 мне не нравится, я бы попробовал в топ загнать на 15 или 32); 3) Вообще бы дал доступ к тюнингу всей группы HT, т.к. если клиенты стационарны, то там тоже можно попробовать выжать в зависимости от расстояния и стенок. Для WISP-а бы аналогично к: 1) ApCliTxMode 2) ApCliTxMcs Потом бы перешел к другим параметрам .. ближе к телу, так сказать, касательно антенн, lna, pa, разных уровней отсечек итд. Т.е. как бы пространство для маневра угугу какое.

если usb-донгл будет поддерживать bt, то можно заодно организовать управление голосом по a2dp c любой подключенной гарнитуры по принципу событий с кнопок и выхода на скрипты opkg. например: "зухель, включить свет" - включает led-иллюминацию, "зухель, подать воздух" - включает радио итд. со сбытом тогда точно проблем не будет. *** (помимо стандартного BT-линка для работы с данными smb, ftp итд.)

да просто в копилку разных идей, не более

На правах идеи Если есть возможность "снимать" копию исходящих биконов с AP радио, то как расширение функционала роутера, - разработать мини usb-донгл а-ля plus dect по принципу беспроводного адаптера, слушающего эфир на предмет "чужих" биконов от evil twin (например, производит сравнение исходящих "дружественных" биконов и приходящих "аномалий" - чужих дублирующих) и запускающего через прошивку некоторый набор мер противодействия, например, оповещение в том или ином виде .. пуш-сообщение на приложение кинетик/емейл итп., м.б. еще что-нибудь полезное, но в рамках ненарушения работоспособности беспроводной сети. В качестве "побочного" функционала может сканировать эфир на предмет загруженности каналов и передавать данные о наиболее оптимальном в прошивку (чтобы не прерывать передачу данных на основном радио во время сканирования). М.б. что-нибудь еще полезного по диагностике фреймов или функционала решений от metageek по воздуху помимо расширения линейки. Маркетосы приправят паникой, продукт найдет своего покупателя среди бизнеса помимо параноиков. Обертка, по идее, не проблема, только объемы. Как-то так. *** + про управление голосом по BT и дополнительные линки ниже в комментах.

Да я бы с радостью, но все жду исправления ситуации с каналами, чтобы сделать новый экспериментальный билд опорным для себя. Там по старому мануалу, на мой взгляд, просто кладезь возможностей по развитию воздуха и по его оптимизации. Например, из простого и быстрого .. для N-only: 1) Сейчас BGProtection = 0 (авто) - независимо от режима, а HT_GI = 1 (что должно давать короткий защитный интервал - gi: 400). По факту, (config)> show associations для 2.4 ГГц в большинстве случаев показывает, что gi: 800, что нормально для любых смешанных режимов с B и G (но N-only подразумевает, что gi: 800 не нужен, т.к. нет смысла поддерживать интервал для b/g устройств). Под нагрузкой в хороших условиях действительно можно увидеть gi: 400, что проявляется, например, в тех же "прыжках" линка с 270 до 300, с 135 до 150 итп. и обратно. Т.е. настройка BGProtection "авто" при флаге на HT_GI работает. Но это все лишние фреймы согласования STA и AP, профита от защитного интервала в таком кейсе либо мало, либо нет, либо вообще в минус идет. Если кратко, по мне: а) для смешанных режимов надо давать пользователю возможность ставить HT_GI = 0 (чтобы не было "лишних прыжков" скорости линка и согласования MCS). б) для N-only нужно поставить BGProtection = 2 (т.е. выключить нафиг защитные фреймы устаревших режимов), тогда HT_GI = 1 будет работать, по идее, как надо и show associations будет показывать gi 400, что и должно быть по концепту, что даст теоретический прирост к скорости в ~10%. 2) DisableOLBC .. если не путаю, то OLBC имеет значение для G, т.е. очередной защитный механизм. Сейчас DisableOLBC=0. Опять же, я думаю, что будет лучше для всех режимов где нет G, - форсировать отключение механизма через DisableOLBC=1 .. не факт, что поможет, но в теории воздух станет чище .. и быстрее И так далее и тому подобное, идей много-много, прошивки ведь экспериментальные .. так давайте экспериментировать все вместе!

подразумевается только compatibility N в web-gui или что-то еще в плане параметров драйвера с момента v2.08(AAUW.1)A5? и чтобы не плодить лишнюю тему, не подскажите, что именно имеется ввиду тут чейнджлогу?

т.е. смысл настройки в том, что должен происходить override GTK и клиенты в BSSID как бы уже пропускают "мимо ушей" подобные фреймы и стелс-атака не проходит.

Безболезненно - вряд ли, плюс особого смысла нет, т.к. в wpa2 предполагается, что только AP шифрует броадкаст при помощи GTK, а клиент его дешифрует при помощи GTK, следовательно, если делать инъекцию соответствующих фреймов, то до бриджа роутера оно, по идее, и не дойдет, поэтому и валидации кэша arp не будет, поэтому и stealth. А если без stealth, то просто включится частный случай evil twin (но т.к. шлет биконы, то ids (если есть) уже сможет уловить при определенных условиях). По относительно старому мануалу: 1) NoForwarding - отвечает за форвард пакетов клиентов (STA) внутри одной и той же BSSID. 2) NoForwardingMBCast - аналогично, но только мультикаст/броадкаст внутри одного и того же BSSID интерфейса. На данный момент в прошивке включен NoForwardingBTNBSSID (аналогично, но между BSSID интерфейсами), поэтому если поднято несколько SSID (скажем, обычная и гостевая) в рамках одного радио, то тут все ок, враг не пройдет, рулят правила роутера, но проблемы клиентов в рамках одной BSSID остаются. тут скорее имеются ввиду vlan, которые на радио (к слову, у нас на уровне драйвера wireless их вроде можно указывать и приоритизировать). а проводные здесь не в тему, там уже роутер на прокладке. тут только если романтика большой дороги с врезкой хаба в кабель итд.)

грубо говоря, даже если несколькими устройствами долбить точку брутфорсом со скоростью 1К пассов в минуту (даже если она при этом будет достойно держаться и не зависнет), то 12-ть знаков получится перебрать (если не попутал) за ~1 квадриллион лет. длинный пасс прежде всего предназначен для защиты от вычисления psk со стороны, например, того же amazon ec2 или ферм по майнингу биткоинов, когда уже невыгодно будет добывать))

Например, с картинками, но на буржуйском: https://www.defcon.org/images/defcon-18/dc-18-presentations/Ahmad/DEFCON-18-Ahmad-WPA-Too.pdf можно через подмену гейта на mitm по arp да, беспроводных клиентов с одинаковым GTK (если конкретно про эту уязвимость) от конкретно этой - включить AP Isolation в прошивке .. либо с бубном поставить NoForwarding=1 и/или NoForwardingMBCast=1 в RT2860AP*.dat подбор рандомного пароля от 12-ти знаков в лоб: (95^8+95^9+95^10+95^11+95^12+..) при средней скорости хэндшейка и так займет примерно ее половину . а так можно попробовать покопать в сторону AuthFloodThreshold

Лишним не будет, конечно, чтобы заодно и на Radius потом выйти, но это уже не совсем SOHO, хотя многие стоки предлагают уровень Enterprise. Уже спрашивали. Можно попробовать накидать голосов. Из того, что я видел в мануале, в принципе, настроить можно на уровне драйвера. Если конкретно по теме изоляции - не поможет, если атакующий пройдет авторизацию. GTK на броадкасте все равно будет общим. Без AP Isolation атака пройдет по всем подключенным к конкретной AP устройствам. Другое дело, что без фантазии авторизацию вряд ли пройдешь.

возможно, будет проще посмотреть оба ваших startup-config, чтобы тот же @vasek00 мог Вам внести напрямую настройки уже рабочего решения (если захочет), а Вы бы просто залили конфиги обратно с перезагрузкой роутеров.

м.б., путаю, но в примере, возможно, перепутаны клиент и сервер

плохо. возможно, придется по стопам https://zyxel.ru/kb/4903/ но с подменой версии прошивки (это уже специалисты должны посоветовать).

+1. AP Isolation особенно нужен тете Фросе, если она подторговывает семечками вифи "публичный". Иначе в определенный момент сможет придти stealth arp cache poisoning, а мужики ничего даже и не узнают. Например: малый бизнес, открытая сеть или простой пароль для клиентов. Атака MITM пройдет как нож по маслу и весь траффик клиентов будет скомпрометирован. От появления конкурирующего по уровню сигнала и простоте сэтапа evil twin не спасет, но по крайней мере никто не сможет обвинить в преступной халатности.

наверное, нужно здесь посмотреть сначала:

думаю, обращают, но надежнее упомянуть при этом @ndm и @Padavan