Finish25
-
Posts
9 -
Joined
-
Last visited
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by Finish25
-
-
Вот тут IP MTU и туннели IPSec и GRE считают что есть mtu
-
2 минуты назад, Le ecureuil сказал:
MTU у IPsec канала не бывает.
Эта настройка включает подстройку TCP MSS согласно MTU на WAN.
Тогда для чего там же set-tcpmss pmtu? На WAN стоит mtu 1500, учитывается ли, что выход в инет идет через L2TP с mtu 1460. Методом тыка выяснил, что без фрагментации через канал проходит только 1390, все что больше- фрагментируется после шифрования(я так понимаю не пролазит по L2TP), роутер на другом конце перед расшифровкой собирает пакеты.
-
В конфиге есть такая строчка crypto ipsec mtu auto, вопрос- какой будет итоговый mtu ipsec канала от giga2 если выход в интернет идет через L2TP c mtu 1460(по умолчанию роутер создает подключение L2TP c mtu 1400) параметры подключения фаза1 AES-256 SHA1 DH5, фаза 2 AES-128 SHA1 DH5
-
В 14.03.2017 в 11:27, Le ecureuil сказал:
Скорее всего проблемы с MTU, скиньте self-test с устройств с обоих сторон туннеля.
Со стороны сервера стоит tp-link, а там для диагностики нет ничего, кроме как зазеркалить wan порт и шарком снять бегающие пакеты. Могу скинуть отладку только со стороны клиента,т.е. Гига2, куда кидать self-test?
-
Обнаружил такой косяк на 2.08 при попытке со стороны гиги2 зайти по шаре на тачку через тунель, в логах гиги получаю вот такое: kernel: EIP93: PE ring[56] error: AUTH_ERR(весь лог быстро забивается) на шару не заходит, отваливается по таймауту, в обратную сторону на тачку с шарой на стороне кинетика через тунель заходит. Пинги ходят в обе стороны, r-admin работает в обе стороны. В чем может быть дело? Сбрасывал настройки кинетика, не помогло.
-
6 часов назад, Le ecureuil сказал:
Потому что на 2.06 "кривой" драйвер для аппаратного ускорителя.
На 2.08 все поправлено и включено по-умолчанию, скорость должна быть отличной.
обновился до 2,08 подтверждаю улучшения, снизилась нагрузка, включил шифрование фазы2.
ps.
Core::Scgi::Session: file /usr/share/htdocs/RU/dashboard/status.html not found. -
57 минут назад, Le ecureuil сказал:
Да, в курсе, починили. Должен выйти корректирующий релиз.
Однако, если вам нужен IPsec, лучше перейдите на 2.08.
Спасибо за быстрый ответ. Гига2 в качестве релиза предлагает только С2, при обновлении забыл сделать бекап, пока откатился на С1-10(пока проблема только в том что установлены все компоненты, в т.ч. которые и не нужны)
2.08 эта версия? http://files.keenopt.ru/experimental/Keenetic_Giga_II/2016-09-23/kng_rb_draft_2.08.A.7.0-4.bin
UPD: в списке обновления появилась отладочная версия 2.08 С1.0-0
Попутно еще вопрос, как только появился ipsec на гига2 радовался как ребенок, до тех пор пока не настроил туннель и не протестил на скорости 50Мбит, загрузка CPU была под 100%, роутер уходил в кому. Я понимаю что это не ультра с аппаратным чипом, но может есть варианты настроить фазу 2 с шифрованием без "комы" для роутера?
-
Giga2 стояла 2.06С1 обновил до С2 в логах появилась такая бяка Mar 07 11:09:43ndm
IpSec::Configurator: remote peer of IPsec crypto map "имя туннеля" is down. пинги не пропадают, но туннель постоянно пере подключается.На сервере в логах IKE began to negotiate as responder. и IKE began to negotiate as initiator. каждые 30 сек. Первая фаза с шифрованием, вторая без.
Настройка IPsec для NDMS
in Обсуждение IPsec, OpenVPN и других туннелей
Posted · Edited by Finish25
kernel: EIP93: PE ring[56] error: AUTH_ERR сегодня так же без видимых причин посыпались ошибки. v2.08(AAFS.0)C1