[Mesh по проводу через модем провайдера / Wired mesh through ISP modem]

По результатам общения с поддержкой выяснено следующее (информация для владельцев Keenetic с таким же юзкейсом):

Для работы нашей Wi-Fi системы требуется прозрачный пропуск VLAN, STP и LLDP.
VLAN нужен для передачи сегментов на ретрансляторы.
Spanning Tree Protocol используется для выбора оптимальных связей между ретрансляторами, контроллер является корневым узлом STP и в случае, если оборудование не может пропускать пакеты BPDU, работа Wi-Fi системы будет нарушена.
LLDP служит для обнаружения ретрансляторов контроллером.

Для захвата ретрансляторы должны получать IP-адреса по DHCP, захват со статическими адресами - неподдерживаемый сценарий. После захвата назначить статические IP можно в меню Wi-Fi системы, при условии, что DHCP-сервером является главный роутер Keenetic.

И также для захвата необходимо, чтобы на ретрансляторах не был задан пароль на вход в настройки.

Если напрямую видит, а через модем не видит, то, вероятно, модем провайдера не обеспечивает полной прозрачности на уровне L2 между своими портами, что-то не пропускает (LLDP или STP). Тогда это вопрос к производителю данного модема.

В качестве альтернативного варианта можно не использовать захват ретранслятора контроллером, а просто настроить Wi-Fi роуминг вручную на Keenetic - указать одинаковые SSID, пароль, шифрование, id и ключ мобильного домена. Все Keenetic в таком случае можно перевести в режим точек доступа/ретрансляторов. Получится та же схема с Wi-Fi роумингом на автономных точках доступа.

[Mesh по проводу через модем провайдера / Wired mesh through ISP modem]

2 hours ago, Monstr86 said:

Кинетик 1 ставите за модемом, (lan модема в wan кинетика), а дальше подключаете в lan кинетика1 ретранслятор, и все.

Я же написал, что такое подключение не вариант для меня. Кинетики должны стоять в разных комнатах, а не в коридоре, где модем провайдера. 

[Mesh по проводу через модем провайдера / Wired mesh through ISP modem]

Оба кинетика подключены к модему провайдера, они получили от него IP (которые я зафиксировал по маку). Оба кинетика в одной подсети (с соседними IP), которую создал модем провайдера. Каким-то ещё образом их подключить нельзя. 

Такая конфигурация, судя по официальному FAQ, поддерживается, но я видимо как-то неверно готовлю этот суп.

[Mesh по проводу через модем провайдера / Wired mesh through ISP modem]

Информация из официальных источников.

Вопрос: Возможно ли ретрансляторы подключить через простой неуправляемый сетевой Ethernet-коммутатор?

Ответ: Да. Можно подключить ретранслятор к главному роутеру через дополнительный коммутатор, "звездой" или последовательно "цепочкой".

[Mesh по проводу через модем провайдера / Wired mesh through ISP modem]

11 hours ago, Mamay said:

Вот как вы это делаете??? Нет решения, но кто-то должен подсказать не существующее. Парадокс. 

Просто стоит читать вопрос не по диагонали. У меня проблема с функционалом, который заявлен производителем, но не работает в моем случае.

[Mesh по проводу через модем провайдера / Wired mesh through ISP modem]

Решения нет. Я могу временно принести и подключить ретранслятор к основному кинетику, но постоянно он должен стоять совсем в другом месте, из которого он соединиться с основным может только через модем провайдера.

Официальная документация говорит, что подключать ретранслятор через маршрутизатор можно, но вот через модем провайдера не выходит.

Возможно, официальная поддержка подскажет?

[Mesh по проводу через модем провайдера / Wired mesh through ISP modem]

Добрый день!

Имеется: модем провайдера практически не поддающийся настройке. В него подключены витой парой два роутера Keenetic (на модеме провайдера для них прописана статика 192.168.0.10 и 192.168.0.11). Keenetic по умолчанию создает сеть 192.168.1.X.

Подключить напрямую проводом второй кинетик в основной не могу - сеть протянута во все комнаты из коридора, где стоит модем провайдера, и эти два кинетика в разных комнатах без прямой проводной связи. 

Пытаюсь объединить два кинетика в меш, но основной не видит рестранслятор в списке устройств, доступных для захвата.

Пытался сделать то же самое, переключив модем провайдера в Bridge Mode - тоже не видит.

При подключении напрямую рестранслятора к основному кинетику - тот его видит (но, к сожалению, такой вариант подключения мне не подходит).

Подскажите, как быть?

[Кто потребляет трафик?]

22 minutes ago, gooorooo said:

вернуть аппаратное ускорение траффика через cli

# ppe hardware
# system configuration save
# reboot

[Кто потребляет трафик?]

Информация для будущих поколений: у darkstat с текущими прошивками кинетиков, видимо, обоюдная неприязнь: будучи запущенным, сервис darkstat через некоторое время убивает всю сеть на кинетике - проверка доступности интернета на самом кинетике не проходит, все подключенные устройства без интернета, но с доступом в локалку. Отключение сервиса и ребут решает проблему. 

Подскажите, пожалуйста, как вернуть аппаратное ускорение траффика через cli? Во всех статьях, на всех языках, описано только выключение данной опции.

[Кто потребляет трафик?]

47 minutes ago, ANDYBOND said:

После перезагрузки посмотрите на результат.

Настройку поменял, сохранил, ребутнулся. Результат на скриншоте. По ощущениям, подсчет траффика изменился (теперь пики RX/TX хотя бы визуально на графиках видны), но все еще считает криво.

Куда еще можно копнуть?

[Кто потребляет трафик?]

5 hours ago, ANDYBOND said:

Аппаратный ускоритель включен?

В моей модели такого переключателя в интерфейсе нет. 

[Кто потребляет трафик?]

Слегка некропостинг, но все равно...

Друзья, я видимо не сильно умный, или лыжи не едут.
Установил OPKG на свой новый Keetetic Titan (KN-1811), в Internal Storage.
Поставил darkstat из репозитория, все работает.

Один только маленький нюанс - трафик считает непонятно как.
В /opt/etc/init.d/S54darkstat прописал интерфейс eth3 (на нем висит айпишник, полученный от другого модема, который уже подключен к провайдеру). На кинетике этот интерфейс отмечен как 0.
Статистика из darkstat по этому интерфейсу показывает буквально несколько килобайт в секунду, хотя там торренты качаются на 15 Mb/s.
Пробовал вешать мониторинг на пару других интерфейсов - та же песня, где-то вообще трафик не показывает в килобайтак, только в пакетах.

Подскажитие, кто-нибудь добился вменяемой статистики с Keenetic-а по дестинейшенам, к которым идут соединения из домашней сети? В каком месте я неправильно готовлю darkstat?

[Прокси-сервер на роутере (Help)]

Господа, а как бы заставить 3proxy ходить в интернет через WireGuard, настроенный на этом же роутере?

Чувствую, надо роуты прописать, но я не достаточно сетевик, чтобы придумать какие именно)

Подскажите плиз.

[Доступ к домашней сети (OpenVPN NDMV vs OpenVPN OPKG)]

1 hour ago, emlen said:

а чем тут все закончилось?

Поддержка молчит....

[Доступ к домашней сети (OpenVPN NDMV vs OpenVPN OPKG)]

Добрый день.
Имеется VPS с установленным сервером OpenVPN.
До появления в прошивке NDMV модуля OpenVPN, был реализован доступ к ресурсам домашней сети через OpenVPN из OPKG: любой подключенный к VPN клиент (172.22.0.X) без проблем ходил в 192.168.1.X.

ovpn клиента из OPKG на Keenetic Ultra II (текущая прошивка 2.12.C.0.0-1):

Spoiler

 

route-nopull
route 172.22.0.0 255.255.255.0
remote X.X.X.X 1194
client
dev tun
proto udp
resolv-retry infinite
nobind
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
persist-key
persist-tun
comp-lzo
reneg-sec 0
verb 3
sndbuf 0
rcvbuf 0
ns-cert-type server

<ca>
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
</ca>
<cert>
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
</cert>
<key>
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
</key>

 

Настройка IPTables: /opt/etc/ndm/netfilter.d/openvpn.sh

Spoiler

#!/opt/bin/sh
PATH=/opt/sbin:/opt/bin:/usr/sbin:/usr/bin:/sbin:/bin
unset LD_LIBRARY_PATH
unset LD_PRELOAD
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A INPUT -p tcp -i br0 --dport 1:13000 -j ACCEPT
iptables -A INPUT -i tun0 -j ACCEPT
iptables -I INPUT -i tun0 -j ACCEPT
iptables -A OUTPUT -j ACCEPT
iptables -A FORWARD -i tun0 -j ACCEPT
iptables -A FORWARD -o tun0 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i tun0 -o br0 -m state --state NEW -j ACCEPT
iptables -I FORWARD -i tun0 -j ACCEPT
iptables -I FORWARD -o tun0 -j ACCEPT
iptables -I FORWARD -s 192.168/24 -j ACCEPT
iptables -A POSTROUTING --table nat -s 192.168.1.0/24 -o br0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE
iptables -t nat -A POSTROUTING --dst 172.22.0.0/24 -p tcp -j SNAT --to-source 192.168.1.1
iptables -t nat -A POSTROUTING -o eth3 -d X.X.X.X  -j MASQUERADE

С той же конфигой ovpn из NDMV подключается без проблем, но без IPTables доступа в 192.168.1.X нет.
Пробовал настроить (через Web интерфейс) форвардинг всего с интерфейса OpenVPN на интерфейс Home VLAN и обратно - не помогает.

Если ли возможность отказаться от использования OPKG и настроить данный сценарий штатными средствами NDMV?

[Правила iptables для openvpn]

Господа, буду благодарен за пинок в нужную сторону.

Есть VPS с OpenVPN. Клиент (разные девайсы) к нему коннектится, через него есть инет и все работает. Но, сервер не видит клиента. Грешу на iptables кинетика.

cat /etc/openvpn/server.conf

Spoiler

 

port 1194
proto udp
dev tun
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
reneg-sec 0
ca /etc/openvpn/easy-rsa/2.0/keys/ca.crt
cert /etc/openvpn/easy-rsa/2.0/keys/server.crt
key /etc/openvpn/easy-rsa/2.0/keys/server.key
dh /etc/openvpn/easy-rsa/2.0/keys/dh1024.pem

#route 192.168.1.0 255.255.255.0
route 172.22.0.0 255.255.255.0

client-to-client

#iroute 192.168.1.0 255.255.255.0

#plugin /usr/share/openvpn/plugin/lib/openvpn-auth-pam.so /etc/pam.d/login
#client-cert-not-required
#username-as-common-name

duplicate-cn

server 172.22.0.0 255.255.255.0

push "route 172.22.0.0 255.255.255.0"
push "route 192.168.1.0 255.255.255.0"

push "redirect-gateway def1"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"

keepalive 5 30
comp-lzo
persist-key
persist-tun
status openvpn-status.log
log-append /var/log/openvpn.log
verb 3

user nobody
group nobody

daemon

 

cat /opt/etc/ndm/netfilter.d/openvpn.sh

Spoiler

 

#!/opt/bin/sh
PATH=/opt/sbin:/opt/bin:/usr/sbin:/usr/bin:/sbin:/bin
unset LD_LIBRARY_PATH
unset LD_PRELOAD

echo "Applying OpenVPN iptables entries - ONLINE"
echo "Table: " $table

echo 1 > /proc/sys/net/ipv4/ip_forward

# This part is useless and DOES NOT WORK!

#iptables -A INPUT -p icmp -j ACCEPT
#iptables -A INPUT -p tcp -j ACCEPT
#iptables -A INPUT -p udp -j ACCEPT
#iptables -A INPUT -i lo -j ACCEPT
#iptables -t nat -F

###########TRIAL #100500
iptables -A INPUT -p tcp -i br0 --dport 1:13000 -j ACCEPT
iptables -A FORWARD -i tun0 -j ACCEPT
iptables -A INPUT -i tun0 -j ACCEPT
iptables -A POSTROUTING --table nat -s 192.168.1.0/24 -o br0 -j MASQUERADE
iptables -A OUTPUT -j ACCEPT
iptables -A FORWARD -o tun0 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i tun0 -o br0 -m state --state NEW -j ACCEPT

iptables -I FORWARD -i tun0 -j ACCEPT
iptables -I FORWARD -o tun0 -j ACCEPT
iptables -I INPUT -i tun0 -j ACCEPT

iptables -I FORWARD -s 192.168/24 -j ACCEPT
iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

iptables -t nat -A POSTROUTING --dst 172.22.0.0/24 -p tcp -j SNAT --to-source 192.168.1.1
iptables -t nat -A POSTROUTING -o eth3 -d X.X.X.X  -j MASQUERADE

echo "OpenVPN iptables - DONE"

 

messages

Spoiler

Nov 18 01:53:17ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpn.sh: Applying OpenVPN iptables entries - ONLINE.
Nov 18 01:53:17ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpn.sh: Table:  filter.
Nov 18 01:53:17ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpn.sh: OpenVPN iptables - DONE.

Клиент (кинетик) -> сервер (centos) достает (TCP, ICMP), но не наоборот. Гайз, куда копать?

PS: tcpdump на кинетике видит пинги сервера openvpn, но они не проходят.