dvg_lab

Было бы неплохо, так как должен быть выбор скорость vs безопасность. Дело в том что даже дырявый bf-cbc для некоторых данных например вполне достаточен, а вот скорости cpu может уже и не хватать.

Это да, не хватило памяти...

Да, строка cipher

Хорошо, как вернусь с отпуска закину в ТП.

Да в телеге уже пообщались с народом, вроде как пока только в 1210 выпилили, у меня слава Богу таких нет, но я на всякий случай перешел на aes-128-gcm

Ну вот и настал конец лайтовому протоколу шифрования. у меня вся сеть на нём, походу надо готовиться к переходу на новый более ресурсоёмкий шифр.

Я тут проэкспериментировал, если питание на ТД пропадает кратковременно и контроллер не успевает это засечь, то все нормально, а если на контроллере ТД "посерела" тогда при следующем включении весь конфиг перезаписывается.. Короче свитч..

Ну нет, у меня уже 11 точек, а будет 15 вместе с контроллером, и я не готов все это руками сопровождать... свитч гораздо проще, тем более уже подобрал маленький 5 портовый управляемый зухель, ну а в целом будем надеется на адекватный механизм в прошивке. Куда маякнуть чтоб взяли на заметку?

Так и есть переопределяет после ребута. Печально... Получается этот вопрос можно решить только расположив рядом управляемый свитч..

Зашел в консоль, настроил нужный порт ручками, вроде все ОК, для меня это не вопрос. Вопрос вызывает лишь надпись в веб интерфейсе "Этот параметр задается контроллером Wi-Fi системы", главное чтоб потом при неких манипуляциях на контроллере, на ТД не прилетело что-то, что переопределит порт. Либо при добавлении новой ТД, либо при добавлении ТД с другим количеством LAN портов, например сатарый Zyxel Keenetic Air, у не которого 1 LAN и 1 WAN, но в режиме ТД, они оба LAN. Если надпись лишь предостерегает домашних пользователей от ковыряния ручками где не надо это одно, а если предполагается что с контроллера таки может что-то прилететь в interface, тот же switchport access или switch port trunk, это уже совсем другое, порушить всю MWS одним движением руки как-то не очень хочется, а ведь уже самый что ни на есть кровавый продакшен. ))

На контроллере (Ultra) назначаю порты соответствующим VLAN, а на ТД (Air) приезжает совсем другой конфиг, где все порты одинаковы. Вообще можно сделать так чтобы на контроллере и на ТД была одинаковая конфига по портам и соотв. VLAN ?

Насколько я понял проблема не только в ip hotspot no auto-scan interface Home, а в том что каждые 30 сек роутер будит телефон и требует ответа на arp запрос, то о чем говорил @KorDen А по поводу вышеуказанной команды, правильно ли я понимаю, что её нужно давать на все Bridge интерфейсы соответствующие созданным сегментам? ЗЫ: Мне лично не сложно в консоли ввести команду, главное чтоб работало, но с другой стороны я приверженец теории упрощения конфигурирования устройств, поэтому полнофункциональный веб интерфейс был бы плюсом. Можно рассмотреть вопрос basic/advanced режимов, где в basic будут доступны только опции чаще требуемые для домашнего использования, а для advanced режима будет доступен максимум настроек для развертывания больших сетей.

Появились ли идеи как пофиксить арп флуд?

Промежуточный результат. Настроил на Ultra II "Домашнюю сеть" она у меня не тегируется, и с 1го LAN порта нативным VLAN 65 заходит в свитч, дальше в свитче тегируется и уходит на внутреннюю инфраструктуру, все работает. Добавил второй сегмент (назовём его Limit_Inet, он только для выхода в инет и никуда больше), его уже сразу на том же 1ом LAN порту тегирую в 66 VLAN. Настроил соседний порт свитча, настроен точно также - тип транк, нативный VLAN 65 "Домашняя Сеть" плюс тегируемый VLAN66 туда воткнут Air (KN1610). На самих кинетиках домашнюю сеть с VLAN 1 на другую не менял, как раз по причине того, что распакованный с коробки Air понимает только акцессный порт. В спойлере настройки порта на свитче, чтоб понятнее было. Далее для надежности сбрасываю Air в заводские установки и цепляю к Wi-Fi системе, все настройки приезжают ПОЧТИ корректно. Изначально с завода все кинетики имеют "Гостевую сеть", я её вообще не трогал, но настройки этой сети переехали в мою сеть Limit_Inet на ТД Air(оба диапазона выключены, номер VLAN отсутствует и тд), и только когда я удалил сегмент "Гостевая сеть" на Ультре, тогда настройки Limit_Inet приехали корректные. Думаю это явный баг в Wi-Fi системе, потому призываю @Padavan, готов предоставить подробные логи. Версия ОС на обоих кинетиках 2.15.C.5.0-0.

Спасибо, направление куда копать понял, как сделаю отпишусь. Скорее всего у меня будет даже 3 сегмента. Один для гостей выпускать в инет, его просто транком пробросить по всем свитчам и вывести на ТД тем же транком. Другой сегмент для VIP персон кому и VoIP нужен и в ВК почилить, он скорее всего и будет домашней сетью, а на свитче будет нативным VLAN'ом без тегирования. И еще один сегмент для древних мотороловских сканеров (терминалов) на складе, там только 2.4ГГц диаппазон будет включен, и он также тегированным VLAN'ом пробросится по всем ТД. Насколько я понял кинетики умеют гибридный режим натив + тегированные вланы. Завтра буду экспериментировать.