Leksey118 Posted July 22, 2019 Share Posted July 22, 2019 2 часа назад, Orbit сказал: прежде чем встревать вы сначала почитайте о чем речь! Мой косяк, извиняюсь. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted July 22, 2019 Author Share Posted July 22, 2019 18 часов назад, Orbit сказал: прошу прощенья но ответа я так и не видел ни тогда ни сейчас. А вообще хотелось бы что б хоть базовые функции работали без костылей! Я ответил - аномалий не вижу с первого взгляда. Если есть желание выяснить что не так - прошу пожаловать в ТП. Quote Link to comment Share on other sites More sharing options...
Orbit Posted July 22, 2019 Share Posted July 22, 2019 6 часов назад, Le ecureuil сказал: Я ответил - аномалий не вижу с первого взгляда. Если есть желание выяснить что не так - прошу пожаловать в ТП. что то в этом духе я и ожидал. желание есть тк планируется расширение парка (а костыли не к месту) но вот объяснять всё по новой... Тем более что в основном все тп как одна вкл выкл перезагрузите обнулите и тп. Quote Link to comment Share on other sites More sharing options...
Sergey Zozulya Posted July 22, 2019 Share Posted July 22, 2019 2 minutes ago, Orbit said: Тем более что в основном все тп как одна вкл выкл перезагрузите обнулите и тп. Здесь не так. Проверьте сами. Quote Link to comment Share on other sites More sharing options...
Namenloss Posted July 27, 2019 Share Posted July 27, 2019 6 минут назад, r13 сказал: По upnp никто порты не открыл? Нет, компонент UPNP не установлен, но задействован IPSec/VPN между двумя роутерами в данной инсталляции (KN-1010 <> KN-1010), выставлены только правила доступа для сетей используемых за роутерами. Quote Link to comment Share on other sites More sharing options...
Namenloss Posted August 1, 2019 Share Posted August 1, 2019 Перенастроил с нуля один роутер из связки после полного сброса, L2TP/IPSec туннель до публичного VPN с security-level public открывает доступ к роутеру из Public сегмента. Странная ситуация, хотелось бы услышать комментарии разработчиков. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted August 5, 2019 Author Share Posted August 5, 2019 В 01.08.2019 в 17:56, Namenloss сказал: Перенастроил с нуля один роутер из связки после полного сброса, L2TP/IPSec туннель до публичного VPN с security-level public открывает доступ к роутеру из Public сегмента. Странная ситуация, хотелось бы услышать комментарии разработчиков. Странно. Напишите в техподдержку, там будем исправлять. Quote Link to comment Share on other sites More sharing options...
KorDen Posted August 25, 2019 Share Posted August 25, 2019 (edited) @Le ecureuil > no_reauth_passive = yes Я правильно понимаю, судя по коммиту, что это позволяет избежать "двойного" пересогласования ipsec для туннеля (вначале пересогласовывается по инициативе сервера, затем через минуту клиент полностью переустанавливает), но этот код должен быть именно на "сервере" (passive)? Edited August 25, 2019 by KorDen Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted August 26, 2019 Author Share Posted August 26, 2019 15 часов назад, KorDen сказал: @Le ecureuil > no_reauth_passive = yes Я правильно понимаю, судя по коммиту, что это позволяет избежать "двойного" пересогласования ipsec для туннеля (вначале пересогласовывается по инициативе сервера, затем через минуту клиент полностью переустанавливает), но этот код должен быть именно на "сервере" (passive)? Это в первую очередь для l2tp/ipsec сервера, чтобы они никогда не начинал сам reauth. Ну и чтобы если клиент "ушел не попрощавшись" он не пытался пересогласовать туннель. Quote Link to comment Share on other sites More sharing options...
KorDen Posted August 26, 2019 Share Posted August 26, 2019 6 часов назад, Le ecureuil сказал: Это в первую очередь для l2tp/ipsec сервера Но это есть и в конфиге для IPIP-туннелей. Поясню тогда вопрос подробнее. Кинетик - клиент, сервер - свой strongSwan 5.7.2, где настройки IPsec практически аналогичны тем что на кинетике в режиме сервера. Наблюдаю иногда двойное пересогласование, как я понимаю из-за того, что таймеры reauth/rekey выставляются в случайные значения (8 часов плюс-минус несколько минут). Со стороны сервера выглядит как Aug 25 15:39:48 db-a2 charon: 14[KNL] creating rekey job for CHILD_SA ESP/... *пересогласование ESP* Aug 25 15:39:49 db-a2 charon: 10[IKE] CHILD_SA closed через пару минут полная переустановка: Aug 25 15:42:08 db-a2 charon: 11[IKE] received DELETE for IKE_SA *полная переустановка IKE/ESP* Со стороны кинетика I [Aug 25 18:39:48] ipsec: 05[CFG] received proposals: ESP:... *пересогласование ESP* I [Aug 25 18:39:48] ndm: kernel: EIP93: release SPI.... .... I [Aug 25 18:42:07] ipsec: 06[IKE] reauthenticating IKE_SA IPIP0[7] *полное пересогласование* ... I [Aug 25 18:42:08] ipsec: 04[IKE] scheduling reauthentication in 28780s ... I [Aug 25 18:42:08] ipsec: 04[IKE] received AUTH_LIFETIME of 28037s, scheduling reauthentication in 28017s На туннеле кинетик-кинетик вот этого вот лишнего пересогласования ESP перед полным пересогласованием не наблюдаю. Подозреваю, дело собственно в таймерах - когда таймер пересогласования ESP меньше таймера пересогласования IKE - так и происходит (таймер со стороны сервера), а в кинетиковской реализации оно подавлено. Просто хочу для себя понять, в правильную ли я сторону копаю. Хочу максимально уменьшить лишние телодвижения по пересогласованию, потому что это лишние потери пакетов как обычно в самый неподходящий момент. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted August 26, 2019 Author Share Posted August 26, 2019 Тогда на сервере нужно установить rekey интервал для ike и для transform в 1,5 - 2 раза больше, чем на клиенте. И на клиенте поставить сутки на оба. Тогда будет хорошо. Quote Link to comment Share on other sites More sharing options...
Кинетиковод Posted August 30, 2019 Share Posted August 30, 2019 @Le ecureuil Как на 3.1 включается фрагментация EoIP? Команда для 2.15 на 3.1 не работает. Пытаюсь наладить работу EoIP между 2.15 и 3.1 Заметил, что при пинговании через eoip пакетами больших размеров потерь либо вообще нет, либо они низкие, а пакеты маленького размера теряются все, либо почти все. Возможно фрагментация eoip как-то решит проблему, но непонятно как на 3.1 её включить. На стороне 2.15 фрагментацию включил, картина не изменилась. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted September 3, 2019 Author Share Posted September 3, 2019 В 30.08.2019 в 15:50, Кинетиковод сказал: @Le ecureuil Как на 3.1 включается фрагментация EoIP? Команда для 2.15 на 3.1 не работает. Пытаюсь наладить работу EoIP между 2.15 и 3.1 Заметил, что при пинговании через eoip пакетами больших размеров потерь либо вообще нет, либо они низкие, а пакеты маленького размера теряются все, либо почти все. Возможно фрагментация eoip как-то решит проблему, но непонятно как на 3.1 её включить. На стороне 2.15 фрагментацию включил, картина не изменилась. Да, в 3.1 модуль eoip встроен в ядро 4.9, и этой управлялки больше нет. Однако пока есть некоторые нарекания на его работу. Постараемся починить как можно скорее. 1 Quote Link to comment Share on other sites More sharing options...
M.Os Posted September 4, 2019 Share Posted September 4, 2019 9 часов назад, Le ecureuil сказал: Да, в 3.1 модуль eoip встроен в ядро 4.9, и этой управлялки больше нет. Однако пока есть некоторые нарекания на его работу. Постараемся починить как можно скорее. Подтверждаю - после обновления на 3.1 связка "Ultra II <-iPsec(EoIP)IpSec-> 4G" Тоннель поднимается, но трафик через него практически не проходит простые пинги примерно так: 263 packets transmitted, 28 packets received, 89.4% packet loss :( Может нужно какие нибудь данные или тесты или еще что то, что могло бы помочь решению данной проблемы? Готов собрать. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted September 4, 2019 Author Share Posted September 4, 2019 EoIP починен, скоро будет выложен. 1 1 Quote Link to comment Share on other sites More sharing options...
Кинетиковод Posted September 6, 2019 Share Posted September 6, 2019 В 04.09.2019 в 20:26, Le ecureuil сказал: EoIP починен, скоро будет выложен. 3.1.2 потерь пакетов нет, но скорость доступа к диску через eoip просто ужасная. Напоминает аналогичную проблему с wifi, которую недавно починили и вот опять. У меня скорость в районе 1 мегабита, процы Кинетиков не нагружены. На стороне сервера система менять mtu не даёт, на клиенте 2.15 игры с mtu, включение фрагментации положительных результатов не дало. Интернет через eoip работает без нареканий. Quote Link to comment Share on other sites More sharing options...
Кинетиковод Posted September 6, 2019 Share Posted September 6, 2019 3.3 Alpha 1.1 проблема на месте. Quote Link to comment Share on other sites More sharing options...
KorDen Posted September 8, 2019 Share Posted September 8, 2019 В 08.11.2016 в 17:11, Le ecureuil сказал: IPSECURE_IKE_STRONG_( "aes256-sha1-modp2048,aes128-sha1-modp2048," "aes256-sha1-modp1536,aes128-sha1-modp1536"); IPSECURE_SA_STRONG_( "aes256-sha1-modp1536," "aes256-sha1-modp2048,aes128-sha1-modp2048," "aes128-sha1-modp1536"); Наткнулся в логах на "peer didn't accept DH group MODP_1536, it requested MODP_2048" и последующий полный рестарт при пересогласовании (с той стороны прописано только ....-modp2048). Есть какой-то тайный смысл в том. что в SA первым идет modp1536? Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted September 8, 2019 Author Share Posted September 8, 2019 1 час назад, KorDen сказал: Наткнулся в логах на "peer didn't accept DH group MODP_1536, it requested MODP_2048" и последующий полный рестарт при пересогласовании (с той стороны прописано только ....-modp2048). Есть какой-то тайный смысл в том. что в SA первым идет modp1536? Это все сто лет как поменялась. Актуальная версия в конце cli guide. Скорее всего ради совместимости, точных причин не помню. Quote Link to comment Share on other sites More sharing options...
KorDen Posted September 8, 2019 Share Posted September 8, 2019 48 минут назад, Le ecureuil сказал: Это все сто лет как поменялась. Для strong всё так и осталось, 1536 для SA впереди: ~ # cat /tmp/ipsec/ipsec.conf ... conn IPIP0 ... ike = aes256-sha1-modp2048,aes256-sha1-ecp384,aes256-sha1-modp1536,aes128-sha1-modp2048,aes128-sha1-ecp256,aes128-sha1-modp1536! ... esp = aes256-sha1-modp1536,aes256-sha1-modp2048,aes128-sha1-modp2048,aes128-sha1-modp1536! (в CLI Guide аналогично) Quote Link to comment Share on other sites More sharing options...
Alex_Foks Posted September 9, 2019 Share Posted September 9, 2019 подскажите, а через sstp vpn можно пропустить EoIP? Нужно потому как с двух сторон серые ip Quote Link to comment Share on other sites More sharing options...
r13 Posted September 9, 2019 Share Posted September 9, 2019 10 минут назад, Alex_Foks сказал: подскажите, а через sstp vpn можно пропустить EoIP? Нужно потому как с двух сторон серые ip Должно завестись. Quote Link to comment Share on other sites More sharing options...
Alex_Foks Posted September 9, 2019 Share Posted September 9, 2019 Скрытый текст что я не так делаю? пишет ERROR: Quote Link to comment Share on other sites More sharing options...
Кинетиковод Posted September 9, 2019 Share Posted September 9, 2019 1 минуту назад, Alex_Foks сказал: Скрыть содержимое что я не так делаю? пишет ERROR: Компонент то установлен? Quote Link to comment Share on other sites More sharing options...
Alex_Foks Posted September 9, 2019 Share Posted September 9, 2019 12 минуты назад, Кинетиковод сказал: Компонент то установлен? на одном из кинетиков нет, спасибо Quote Link to comment Share on other sites More sharing options...
Roman Balaev Posted October 11, 2019 Share Posted October 11, 2019 Всем привет, подскажите пж. Есть два роутера кинетеик ультра 2, поднял на обоих eoip, тунель есть, сетка видна. но с кинетика в одну сторону файлы качаются со скоростью от 5 мегабайт в сек. а вот в другую сторону 355кб/с, в чем может быть проблема. уже всю голову сломал. Спасибо. Quote Link to comment Share on other sites More sharing options...
romzzzo Posted October 15, 2019 Share Posted October 15, 2019 В 11.10.2019 в 12:12, Roman Balaev сказал: Всем привет, подскажите пж. Есть два роутера кинетеик ультра 2, поднял на обоих eoip, тунель есть, сетка видна. но с кинетика в одну сторону файлы качаются со скоростью от 5 мегабайт в сек. а вот в другую сторону 355кб/с, в чем может быть проблема. уже всю голову сломал. Спасибо. Тоже заметил. Очень медленная скорость доступа к ресурсам, подключенным по USB по EoIP. Quote Link to comment Share on other sites More sharing options...
Roman Balaev Posted October 15, 2019 Share Posted October 15, 2019 похоже ответов не будет, у меня скорость низкая только в одну сторону в соседнюю сеть. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted October 15, 2019 Author Share Posted October 15, 2019 Обращаетесь через tsmb? Попробуйте через ftp или http, и сравните скорость. tsmb - сторонний закрытый компонент, и особых возможностей влиять на его развитие нет. Quote Link to comment Share on other sites More sharing options...
Roman Balaev Posted October 15, 2019 Share Posted October 15, 2019 расшареная папка на другом компьютере, длна тоже самое и тп Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.