Jump to content

yoman

Forum Members
  • Posts

    19
  • Joined

  • Last visited

Posts posted by yoman

  1. Подскажите, может кто в курсе. После обновления на 3.3.1 перестали работать тоннели на strongswan из opkg. Была потеря пакетов около 80%. Обновился на 3.4.3, потери пакетов прекратились, но, похоже, возникла проблема с MTU, так как перестал ходить SSL траффик. Есть решение проблемы?

  2. В 05.01.2018 в 21:19, TheBB сказал:

    ещё смешней )))))

    Вам может быть и смешно, но у нас около 100 точек на которых мы хотим поменять асусы с кастомной прошивкой на кинетики. И такие вот мелочи не позволяют сделать это сразу и безболезненно. У каждого из решений свои слабые места и,  соответственно, своя стоимость владения. Вы видимо привыкли ориентироваться на домашний сектор, но те же ультры по 9000 за штуку для дома это явный перебор, поэтому и хочется от устройства чуть больше того, что могут младшие модели. 

    • Upvote 1
  3. В 29.12.2017 в 00:31, McMCC сказал:

    Качнуть livecd с gparted, записать на CD или флешку, и загрузится с них, не? Или как вам поможет не отформатированная флешка в роутере?

    Вот вам несколько вариантов:

    1. В офисе нет квалифицированного персонала.

    2. В офисе вообще нет компьютера/ноутбука, с помощью которого можно было бы отформатировать флешку.

    В случае, если роутер будет поддерживать форматирование, то сотрудник на месте просто вставляет новую флешку в роутер, а все остальное настраивается удаленно/автоматически.

  4. 1 час назад, Mamay сказал:

    Это всего лишь ваше субъективное видение данного вопроса. Попробуйте абстрагироваться и прикинуть, для чего и зачем впиливать в ndms возможность Форматирования в ext3/ext4, если этим будут пользоваться ровно полтора землекопа... 

    К счастью, на данном форуме есть раздел с запросами новых функций, которые при определенных условиях могут быть включены в соостав ndms. На данный момент я не увидел от вас каких-либо конкретных данных, говорящих о том, что это действительно ресурсоемкий процесс. Например, мой старенький Synology c 1.33ГГц ARM форматирует 4Tb в ext4 меньше чем за минуту. Если флешка будет форматироваться за 5 минут, то я не думаю, что это будет что-то очень страшное. Как контрпример могу привести работу OpenVPN на младших моделях роутеров. Это тот еще мазохизм. Но это не значит, что нужно реализовывать только те функции, которые безупречно работают на младших моделях. 

    Про субъективность... Как и мое мнение, ваше также является субъективным. Я могу также как и вы в каждом неинтересном мне посте с запросом каких-либо новых фич говорить о том, что это никому не интересно, но говорить за других это моветон. Как минимум двух человек данная тема заинтересовала. Вы, наверное, не поверите, но 90% пользователей данных роутеров пользуются от силы 10% всего функционала. Отсюда следует вывод, что объем продаж очень косвенно зависит от функционала, а зависит немного от других вещей. Но это уже оффтоп.

    Хотелось бы услышать какой-нибудь ответ от разработчиков, который бы прояснил ресурсоемкость данной задачи и возможность/сложность реализации. Возможно следует включить данный функционал в состав пакета opkg, чтобы не смущать обычных пользователей наличием данной функции. 

    • Thanks 1
    • Upvote 1
  5. В 15.12.2017 в 18:26, Mamay сказал:

    Железо у всех разное. Для бюджетных моделей с их малым ОЗУ и мегагерцами задача посложнее, чем для топов. Будет долго и нудно... 

    Долго и нудно это ехать в область или на другой конец Москвы, чтобы засунуть отформатированную в офисе флешку.

    • Upvote 1
  6. Есть ли возможность добавить форматирование флешки прямо из веб интерфейса для установки Entware? 

    Раз уж нет возможности добавить чекдиск, то неплохо было бы добавить форматирование флешки, так как часто имеется необходимость удалённой настройки роутера, а пользователь не имеет возможности отформатировать диск в ext4/ext3. 

    На данный момент приходится "готовить" специальную флешку и посылать человека, чтобы он её "воткнул", что отнимает много ресурсов и времени. В случае присутствия данной функции в интерфейсе, пользователю было бы достаточно лишь вставить новую флешку в роутер, а все остальное можно было бы сделать удалённо. 

    • Upvote 4
  7. 42 минуты назад, KorDen сказал:

    Да, с резервированием все очень печально, я сам с этим столкнулся (вначале с бесконечной перезаписью правил, затем со сложностями работа прошивочного IPsec за нат, если не использовать автоматические туннели) - пока без авторезервирования, думаю как все лучше реализовать.

    У меня примерно следующее:

    1. monitor.sh, который пингует хосты через туннель, если что-то не так, то пингует напрямую. Если не удалось никак пропинговать, то меняет маршрут на модем и перезапускает StrongSwan

    2. Второй скрипт положил в wan.d, таким образом при пропадании линка, также меняет маршрут на модем и перезапускает ipsec.

    3. Третий скрипт отсеживает появление инета на основном канале и переключает все обратно...

    Ну и поверх всего этого еще скрипт, который мониторит правила iptables.

    Сейчас вот отлаживаю, чтобы все запускалось в правильном порядке.

  8. 2 часа назад, KorDen сказал:

    @yoman, нат можно отключить - делаете 'no ip nat Home' а дальше задаете что куда натить через ip static (типа ip static Home ISP). У меня IPsec в транспортном режиме, весь траффик ходит по IPIP-туннелям

    А нагрузка на проц при этом какая, т.е. у вас тоже аппаратный криптомодуль работает без проблем, насколько я понимаю?

    Проблема, в том, что StrongSwan в режиме клиента поднимает alias на eth3. Таким образом у меня на внешнем интерефейсе IP от провайдера и IP, полученный от сервера StrongSwan, в который и нужно натить трафиик. Сейчас нат приписывается скриптом _updown из плагина updown. Проблемы начинают возникать, когда кинетик переходит на резервный канал на модеме 4G, а правила iptables остаются с натом на ethernet. Приходится отлавливать это переключение скриптами. Кстати, встроенный ping checker зачем-то для каждой своей проверки переписывает все правила iptables, поэтому пришлось отказаться от встроенного механизма резервирования канала и писать свои скрипты.

    'no ip nat home' решит для меня задачу не пускать клиентов в инет, пока не запустится StrongSwan

    При включенном аппаратном криптомодуле и скорости ококло 80-90 Mbit softirq около 50%

  9. У меня StrongSwan на роутере работает в качестве клиента. Роутер натит весь траффик из локальной сети в тоннель.

    При esp=aes128-sha2_256-modp4096 почти выдает заявленные провайдером 100Mbit.

    У вас траффик натится в тоннель или маршрутизируется? Как боретесь с тем, что ndms перезаписывает правила iptables для IPSec?

×
×
  • Create New...