Werld

interface pppoe0 lcp echo 30 3 adaptive

Есть статья как раз на эту тему.

Можно сделать через cli. show interface и в списке интерфейсов выбираете какой-нибудь из WifiMaster/AccessPoint. К примеру WifiMaster0/AccessPoint2 - это на 2.4Ггц. Далее добавляете выбранный wifi-интерфейс в свой сегмент. Т.е. если вам нужно добавить в основной Home сегмент, то это будет Bridge0. interface Bridge0 - для доступа к настройке этого интерфейса. Далее include WifiMaster0/AccessPoint2 - для включения точки доступа в сегмент. Подробнее в cli manual для вашего устройства. Для KN-1910

Huawei HG8245 - это оптический GPON терминал. Если он работает в режиме роутера, то необходимо перевести его в режим бриджа, чтобы функции роутера выполнял кинетик, тогда никаких пробросов делать не понадобится.

Не согласен с Вами. Я это понимаю так: пакет сначала попадет на сетевой интерфейс, входящий в интерфейс home(bridge0), затем принимается решение о маршрутизации. Т.к. пакет транзитный, он попадает в цепочку FORWARD, а не в INPUT. Цепочку FORWARD проходят ВСЕ пакеты, идущие транзитом через роутер. Если вы сделаете из cli "show netfilter", то вы увидите , что правила, добавленные через веб-интерфейс, попадают в цепочку "_NDM_ACL_IN" прыжок на которую есть не только в цепочке INPUT, но и в цепочке FORWARD, что вам и нужно. Так что, транзитный пакет будет обработан и при добавлении правил через веб-морду для интерфейса Home(Bridge0). Должен заметить, что правила добавленные для интерфейса L2TP0 на out, по идее точно так же должны отработать на проходящем трафике (если вы все верно указали и действительно не ошиблись с 0.0.0.0/32). Если они не отрабатывают, тогда и вправду похоже на баг.

Запись 0.0.0.0/32 - это не верно, она не может быть адресом назначения. Да и вообще, если я правильно понял, чего Вы хотите добиться, то для начала Вам нужно прописать маршруты в нужную сеть через нужный интерфейс. А далее для интерфейса Home уже добавить правила разрешающие доступ определенным адресам к корпоративной сети, и одно правило, запрещающее доступ всем остальным. По аналогии с примером настройки, разрешающей доступ в Интернет только одному определенному компьютеру локальной сети, а для всех остальных блокирующей. Только адрес назначения у вас будет не "любой", как в примере, а конкретный адрес вашей корпоративной сети. Эти правила можно добавить через веб-интерфейс, т.к. это будет по сути access-list на in для интерфейса Home.

В порядке бреда, TX Burst попробуйте выключить. Во всплывающей подсказке к этой функции написано "...если оборудование провайдера не совместимо с этим режимом, скорость интернета для WIFI устройств может снизиться". Может это как раз тот случай и работа именно через бридж порт приводит к этому.

Почему на А? На кинетике В, для интерфейса ISP добавьте правила разрешающие. Сеть назначения 192.168.2.0/24 для icmp, tcp, udp, в общем всего что вам нужно.

Какой протокол VPN используется от роутера до офиса? Если что-то типа pptp, l2tp/ipsec, openvpn, то проверьте чтобы на соответствующем сетевом интерфейсе в Giga стоял признак ip global. Есть интересная особенность у Кинетик, заключается в том, что для впн-клиентов роутера, маршруты, прописанные в интерфейсы не отмеченные признаком global не отрабатывают. Если у вас именно такая ситуация, то выставление признака global на впн интерфейс к офису - поможет. Только приоритет заданный этим параметром не должен быть выше чем у основного соединения ведущего в интернет, чтобы через туннель не гнался весь трафик.

К слову, для работы с iptables нужно установить пакеты opkg, т.е вам в любом случае нужен с usb портом

У kn-3010 нет usb порта. kn-1910 (viva) 2 x usb2.0, у kn-1010 (giga) 1 х usb2.0, 1 x usb3.0.

Keenetic, насколько я знаю, пока не умеет ikev2. Какой версии у вас strongswan на сервере? Некоторые параметры в вашем ipsec.conf не имеют эффекта в новых версиях strongswan, подробнее см здесь. К примеру в параметре esp=aes128-sha1-modp1024 Выделенное - это вы указали группу Диффи-Хелмана, что, в соответствии с wiki.strongswan.org (PFS is enforced by defining a Diffie-Hellman dhgroup in the esp parameter), принуждает использовать pfs, в то же время у вас написано pfs=no. Может и не в этом дело. У меня к серверу с убунтой 16.04 кинетик подключается по l2tp/ipsec. Версия strongswan у меня там 5.3.5 Мой ipsec.conf: config setup # strictcrlpolicy=yes # uniqueids = no # Add connections here. conn L2TP fragmentation=yes dpdaction=clear dpddelay=60s dpdtimeout=180s keyexchange=ikev1 keyingtries=3 ikelifetime=8h lifetime=1h ike=aes128-sha1-modp1536,aes128-sha1-ecp384,aes128-sha1-modp1024,aes256-sha1-modp1536,aes256-sha1-ecp384,aes256-sha1-modp1024,aes12$ esp=aes128-sha1,aes256-sha1,aes128-sha256,aes256-sha256 left=здесь был ip сервера leftsubnet=%dynamic[/1701] right=%any rightsubnet=%dynamic leftauth=psk rightauth=psk type=transport auto=add

Если кому-то будет полезно, то установка признака ip global на нужный интерфейс помогла, маршруты к сетям за этим интерфейсом стали отрабатывать нормально для впн-клиентов. НО еще раз хочу акцентировать внимание, до версии ОС 3.х.х маршруты прекрасно отрабатывали для впн клиентов l2tp/ipsec-сервера. До этого в версиях со старым интерфейсом все отрабатывало и для клиентов pptp-сервера. Считаю, что это баг и его нужно исправлять.

Под старыми я имел в виду 2.15 на которой работало хотя бы для клиентов l2tp/ipsec впн-сервера. На версии 3.1.6 не работает ни для кого. Я не ищу промежуточных решений, я могу потерпеть, лишь бы взялись за исправление.

А установка этого признака не приведет к тому, что маршрутом по умолчанию станет маршрут через это дополнительное соединение и вес трафик пойдет туда? Кроме того, ведь работало же все на предыдущих версиях ос, может все-таки обратят внимание и исправят.

По словам техподдержки, суть проблемы, если коротко, в том, что для клиентов впн сервера роутера маршрут, который должен идти через дополнительное (резервное соединение) отрабатывает только в том случае, если на этом соединении есть признак ip global, то есть соединение используется для выхода в интернет. В противном случае соединение отсутствует в основном профиле доступа и маршрут не отрабатывает.

Здравствуйте. Описанная мной в этой теме проблема появилась теперь и при использовании l2tp/ipsec. Напомню, проблема для pptp сервера так и не была решена, ответом техподдержки стала рекомендация использовать l2tp раз на нем работает. Теперь перестало работать и c l2tp... Версия ос сейчас 3.1.6. На версиях 2.хх работало на l2tp. На версии 3.1 не проверял. KN-1710. Нужно ли приложить селф-тест или какие еще сведения нужны, чтобы разработчики обратили внимание на проблему? Сложилось впечатление, что в прошлый раз техподдержка вроде воспроизвела у себя эту проблему, но воз и ныне там.

С этим тоже разобрался. Опять же просто добавил маршрут до сети 172.16.2.0/24 на Lite и все заработало. Еще раз спасибо Кинетиковод за помощь.

Такс, не совсем все решено. Из локальной сети сервера пинги до клиента пошли, действительно дело было в отсутствии маршрута на клиенте. Но вот непосредственно между 172.16.2.33 и 172.16.2.34 так и не ходят, и здесь не понятно, по идее они в одной сети, воообще без проблем должны друг друга видеть.

Да, простите, затупил это и правда маршрут до узла. Прописал маршрут до сети сервера, как рекомендовали, и пинги пошли. Большое спасибо за помощь.

Маршрут в сеть сервера клиент получает. Только не понимаю, как наличие на клиенте маршрута в сеть сервера поможет устройству в сети сервера получить доступ до самого клиента? В том-то и прикол, что с устройств в сети сервера не пингуется 172.16.2.34 (адрес на l2tp интерфейсе клиента, получаемый от сервера.) Также он не пингуется с других ПК- клиентов подключаемых к l2tp серверу. При этом с веб-морды самого сервера(Extra KN17-10) этот же адрес пингуется! Для Keenetic Lite 3 rev.a прошивка v2.08(AAUQ.4)C2 самая последняя.

Да я для начала хочу хотя бы пинга добиться до роутера этого. Прочтите еще раз пожалуйста внимательно первый пост. Я понимаю, что чтобы зайти на роутер нужно будет на нем еще и tcp открыть. Но даже с открытым icmp пинга до него нет. Вот, открыл, но ничего не поменялось.

Да, спасибо за совет. Только вот мне не нужен доступ в удаленную сеть за Lite'ом, мне не понятно почему нет доступа к нему самому по адресу, который он получил от впн сервера. Дописал тем не менее, как советовали, но доступ к роутеру впн-клиенту не появился.

Здравствуйте. Есть Extra (2.15.C.2.0-2) На ней поднят l2tp/ipsec сервер. К этому серверу подключается клиент Lite3 rev.a (v2.08(AAUQ.4)C2) На клиенте, т.е. на Lite 3 есть разрешение для icmp на нужном интерфейсе На сервере автоматически появляется маршрут: Теперь проблемы. Для начала первое, не пингуется Lite 3 (т.е. клиент). При попытке пинговать айпишник Lite3 (172.16.2.34) с ПК из домашней сети Экстры пинг не проходит. Также есть удаленный ПК на винде, который при подключении к этому же l2tp серверу получает ip 172.16.2.33 и с него также не проходит пинг до Lite3. Все это при том, что, с самой Экстры со страницы "Диагностика" айпишник Lite'a прекрасно пингуется. Кроме того, с ПК в домашней сети Экстры пингуется 172.16.2,33, т.е. удаленный ПК. Есть подозрение, что раз так, то проблема где-то у Lite, но ведь с веб морды экстры все пингуется... В общем не понятно. Поэтому и нужна помощь знатоков, что я делаю не так. Статью Маршрутизация сетей через VPN читал.

Боялся этого ответа, примерно о том же и сам подумал, т.к. видел в веб-морде что во время копирования проц уходит в 100%. Печалька, что сказать. Эх если бы можно было добиться скорости хотя бы в 10,5 мбат/с как по кабелю.