Zoomer88
-
Постов
26 -
Зарегистрирован
-
Посещение
Тип контента
Профили
Форумы
Галерея
Загрузки
Блоги
События
Сообщения, опубликованные Zoomer88
-
-
Спасибо большое! Всё так, вы меня подтолкнули и я по ключевым словам нашел вот это дополнение к гайду в базе знаний Keenetic, который я использовал:
А изначально работал по этому:
Всё очень хорошо разжевано, просто супер. Я вообще в восторге от ваших доков. Всё работает именно так как надо - и даже в вебочке мышкой таскать. Ох, как обидно будет, если завтра все эти WG туннели свернет мой провайдер
-
Добрый день! Подскажите, как правильно указать для отдельных клиентов шлюз, через который они должны выходить в интернет?
Имеется site-to-site Wireguard VPN между двумя кинетиками (Giga и Ultra). Две сети 192.168.3.0/24 и 192.168.2.0/24. Хочу, чтобы допустим 192.168.2.10 вышел в интернет через шлюз 192.168.3.1. Как это правильно сделать? И можно ли это как-то все в вебку в connection policies перенести, чтобы на лету решать, какой клиент куда идет? Какой-нибудь виртуальный интерфейс или что-то в этом роде?
Я попробовал руками указать соответствующий шлюз в настройках подключения винды у 192.168.2.10, но tracert показывает, что всё все равно идет через 192.168.2.1 вместо 3.1. Даже после перезапуска соединения и т.п.
Может мне не хватает какого-то правила в фаерволе на втором шлюзе?
-
-
(ох, сейчас забанят наверно)
Добрый день! Настроил Site-to-Site VPN между двумя кинетиками в разных странах. Две подсети, все красиво работает. Но хотелось бы знать как.
Скажите, почему не видно никаких дополнительных статических маршрутов в вебморде? Настраивал все по гайду https://help.keenetic.com/hc/en-us/articles/360000422620-IPsec-VPN-site-to-site . Оно всё как-то само по себе работает, но хотелось бы разобраться, как. Откуда устройства из сети 192.168.2.x знают о том, как найти всё в 192.168.3.x? Ну и наоборот.
Например, в гайде, где объединяется несколько сетей, принцип работы предельно понятен. Статические маршруты тоже ручками прописываются: https://help.keenetic.com/hc/ru/articles/360005620840-Объединение-более-двух-сетей-используя-VPN-сервер-на-Keenetic
А тут как-то не могу разобраться. В википедии про site-to-site очень коротко подано. А гугл дает только гайды настройки site-to-site VPN на разных железках или каком-нибудь софте. А тут и phase 1, phase 2, и терминология а ля nailed-up, tunnel/transport mode.
Уважаемое комьюнити, можете порекомендовать какую-нибудь документацию на эту тему?
И отдельный вопрос про шифрование IKE. По дефолту выбран DES. Есть ли причина? С AES256 будет слишком высокая нагрузка на роутер/высокий пинг/низкая скорость?
Заранее спасибствую
-
Здравствуйте! Удалось отловить интересный момент, связанный с некорректной отработкой конфликта локального DHCP пула и пула адресов клиентов VPN сервера.
Конфигурация:
DHCP пул динамических адресов с 192.168.2.100, размер - 120. Пул VPN IKEv2 с 192.168.2.200, размер 10 (налицо конечно ошибка конфигурации, но продолжим).
К впн клиенты подключаются очень редко и сервер большую часть времени простаивает. В домашней сети движуха. Когда пришел очередной клиент и DCHP сервер решил выдать ему адрес 192.168.2.200 - у него ничего не получилось. Клиент (андроид) отвалился с ошибкой "невозможно получить адрес", а лог роутера заспамило строками следующего содержания:
DHCPDISCOVER received from 54:40:ad:72:xx:xx. Mar 11 16:00:46 ndhcps making OFFER of 192.168.2.200 to 54:40:ad:72:xx:xx. Mar 11 16:00:46 ndhcps sendmsg() failed (operation not permitted).И так по кругу.
Сразу после изменения пула VPN сервера клиент локальной сети зацепился с адресом 192.168.2.200.
Ясное дело, что я тут слегка напортачил с настройками. Но вебморда нигде не ругнулась в процессе создания такой конфиргурации. Да и sendmsg() не очень информативен. Возможно ли добавить какую-то обработку такой ошибки?
И второе в догонку:
VPN клиенты не отображаются в домашнем сегменте и у них нет флага unregistered devices. Возможно так задумано, но в результате выходит, что к ним нельзя через вебморду биндить политики приоритета соединений. Даже если в недефолтную политику закинуть "all unregistered devices", то эта политика не будет применена к клиентам VPN сервера.
Готов прицепить конфиг, если потребуется.
-
Да. Прямо-таки "раззуй глаза". Благодарю!
-
Доброго дня! Сорри, знаю, захламляю, но все же вопрос для местных знатоков. Куда лучше репортить ложные срабатывания AdGuard DNS? В последнее время всё больше проблем с ним. Из последнего - поломали апдейтер Lord of the Rings Online. Причем именно накат апдейтов не работает, сама игра запускается нормально, если Standing Stone Games не выкатывали обновлений, но поскольку выкатывают почти кажду неделю нынче - уже надоело лазить и отключать его на роутере.
Достаточно давно сломан нормалайзер адресов - российский сервис DaData. Если сайт его использует при оформлении онлайн заказа, то не загружаются выпадающие меню с подсказками из базы данных адресов DaData. Устроено, к сожалению, обычно так, что если не воспользоваться такой подсказкой, то онлайн форма дальше не пропускает.
Порыл у них на сайте. Фокус у них конечно же на их собственные приложения, в которых форма обратной связи. Есть некий механизм репортинга, но при открытии ссылки вылазит 404.
Кто имел опыт репортов именно в связке с работой через Keenetic?
Информация о репортах:
https://kb.adguard.com/en/technical-support/reporting-tool
Нерабочая форма:
https://kb.adguard.com/en/technical-support/reporting-tool/agrd.io/report
-
15 hours ago, krass said:
Первое что приходит: предварительно сохранив! ( важно) ваши текущие прошивку и настройки, вернуться на stable канал...
Спасибо за совет. Это тоже первое, о чем я подумал. Но когда я выбираю stable канал - там предлагается та же версия, что у меня стоит с preview, как я понимаю. А можно ли вручную попробовать откатиться на какой-нибудь мартовский билд?
И еще - тут в теме видимо что-то параллельное обсуждается. Как я понимаю, у камрада PHP в настройках чисто, а у меня, если в селфтест глянуть, видно, что ipv6 и auto и вручную прописанный до сих пор стоит. Как-то можно отдельно почистить именно ipv6 сегмент настроек?
Сегодня попробую сброс к заводским сделать на текущем билде. Отпишусь.
И да, у меня тот самый провайдер, который тис ******
Местного калининградского разлива. Он хороший!
-
Доброго времени суток! После почти года счастливой работы с IPv6 у меня снова проблемы. Не хватает знаний, чтобы нормально затраблшутить проблему, поэтому прошу помощи комьюнити
Роутер Keenetic Ultra kn1810. Провайдер дает dualstack с префиксом /56. Все работало как часы с сентября прошлого года. Тогда пришлось немного пошаманить, потому что у провайдера были проблемы с оборудованием, отвечающим за RA. На тот момент я через cli прописал свой ipv6 из их личного кабинета, префикс и dns6 гугла. В декабре прошла информация о том, что RA наконец-то наладили (обновили оборудование). Тогда же я убрал все настройки, сделанные через cli (кроме dns6 гугла) и с тех пор роутер сам успешно получал ipv6 и все работало как часы минимум до первых дней апреля сего года. Не считая, правда, мистической записи, появляющейся периодически в логе: Network::Ip6::Prefixes: prefixes 2a03:5800:xxxx:xxxx::/57 and 2a03:5800:xxxx:xxxx::/56 conflict - и следом _feedback: ndm_feedback_ve: Input/output error. Но я с уверенностью 100% могу сказать, что такая запись появлялась еще с декабря прошлого года и негативного воздействия на работоспособность не оказывала.
К сожалению не смогу точно сказать дату или номер версии прошивки, на которой все работало, потому что роутер обновляется автоматически с preview канала (да я и не уверен, что это связано с обновлением).
Сейчас картина следующая: роутер получает ipv6, о чем сообщает в дашборде. Устройствам в локальной сети ipv6 тоже раздаются, как я понимаю. Во всяком случае, винда об этом рапортует. Также с роутера можно успешно пинговать ipv6 адреса, которые нормально резолвятся. На lan клиентах при этом ipv6 не работает. Если верить информации из Windows - роутер не информирует о ipv6 шлюзе и dns сервере (см. скриншот во вложении).
Прошу помочь кого-нибудь сведущего разобраться на моей ли стороне проблема и если да, то есть ли какая-то ошибка в настройках роутера? (ipv6 параметры через cli вернул в авторежим, кроме dnsv6). selftest прикрепляю скрытым.
-
6 minutes ago, Le ecureuil said:
И да, это совсем непросто. Сложнее, чем mesh. Нужно очень многое в системе менять, простым gui не отделаешься.
Тогда сорямба. Для непосвященного показалось, что просто, ведь оно же под капотом уже работает
Тогда умолкаю и скромно жду(-ём?). В любом случае спасибо за столь оперативный ответ!
-
1
-
-
Уважаемая администрация, будут ли какие-то подвижки в этом вопросе? Тема уже в топе по голосованию на новые фичи, мы перешагнули на 3ю ветку, работа ведется над какими-то невероятными возможности типа MESH и т.д. (хотя для этого существуют специализированные контроллеры), а такой важной и, казалось бы, простой (в плане "запилить") графической настройки IPv6 до сих пор нет. Шел 2020 год.
Был бы благодарен за любые инсайдерские новости :)
-
3
-
-
15 minutes ago, Infy said:
Упал дочерний процесс демона, который читает информацию из LLDP-кадров на интерфейсе Bridge0.
На работу в данном случае это не влияет, но хотелось бы поправить, чтобы убрать эту "красоту" из журнала.Вчера вечером снимал длительный дамп, дергал устройства, но ничего, кроме LLDP от Keenetic поймать к сожалению не удалось. Я еще поковыряю и отпишусь, как поймаю. Роутер, кстати, продолжает нормально работать. Морда функциклирует.
-
1
-
-
Любопытства ради, а в чем заключаются ошибки на 2, 3, 4, 5 и 6 скриншотах?
-
47 minutes ago, Infy said:
Похоже, что в вашей сети одно из устройств отправляет LLDP-пакеты необычного формата.
Если есть возможность, то сделайте, пожалуйста, дамп трафика на интерфейсе "Домашняя сеть" ("Home segment") на пару минут.У меня в локальной сети есть два роутера Asus RT-N56 b1, работающих в режиме точки доступа. На них крутится прошивка от камрада Padavan. По идее из необычного это всё. Дальше компьютеры, телевизоры, холодильники, ресиверы и игровые приставки. К роутеру сейчас не подключены никакие флешки, а дамп наверное во внутреннюю память не уместится. Вечером доберусь до него физически и сделаю дамп.
Можно поинтересоваться, как вы сделали такой вывод? И есть ли у вас подозрения на какой-то конкретный MAC адрес?
Edit:
Ну, не все так страшно оказалось, я почему-то сразу нарисовал в своей голове тонны трафика. Прикрепляю дамп за две минуты на домашнем сегменте (Home segment). LLDP трафик вижу только от Keenetic. Попробовать более длительный промежуток времени?
Да, в сети еще сетевой сервер synology.
-
1
-
-
Прошли почти сутки. Работает все вроде бы нормально. В логах все вроде тоже спокойно, за исключением вот этого:
Mar 26 07:35:49 ndm kernel: do_page_fault(): sending SIGSEGV to nlldo for invalid read access from 00000000 Mar 26 07:35:49 ndm kernel: epc = 00000000 in nlldo[400000+2000] Mar 26 07:35:49 ndm kernel: ra = 77538464 in libndm.so[7752c000+2c000]Селф тест прикрепляю
-
Just now, sergeyk said:
Спасибо. Если у вас будет возможность, снимите еще один через несколько часов, чтобы были видны изменения в состоянии системы.
Сделаю
-
Подтверждаю наличие проблемы на KN1810-Ultra. Но у меня такая проблема появилась на 2.15.C2.0.0. Веб интерфейс не давал залогиниться. При вводе логина и пароля и нажатии кнопки Login ничего не происходило. Если зафорсить перезагрузку страницы по CTRL+F5, то пытался грузиться dashboard (т.е. как бы логин выполнен), но страница была пустая. С разных браузеров и машин была такая же беда. В итоге достучался по приложению с андроида, на котором всплыло предложение об обновлении и после апдейта все работает. Улик после сбоя естественно не сохранилось. Сейчас прикреплю селф тест с нормально работающего роутера.
Перед этим сбоем ничего особенного не происходило. Даже на веб морду в общем-то неделю не заходил. В сети (внутри и снаружи) тоже все спокойно было.
-
Наверняка бамп - нарушение, но... бамп. Кто-нибудь может подсказать, в каком направлении копать?
За ранее спасибо!
-
Не получается настроить IPv6. В этом деле полный профан, но хочу, чтобы работало
Подключение к провайдеру по PPPoE через их SFP модуль, воткнутый в Keenetic. Все работает отлично за исключением IPv6. IPv6 реализуется как DHCP Dualstack (вроде так это называется). Префикс /56
Сменил уже несколько версий прошивок (начинал с последней релизной) - результат одинаковый.
Порядок моих действий: поставил имеющие к IPv6 компоненты из вебморды. Включил IPv6 в настройках IPoE и поставил галку напротив IPv6 CL в настройках PPPoE (возможно, надо было сделать что-то одно из? Я пробовал по разному- все равно не завелось).
В результате роутер вроде получает IPv6 адрес и показывает его на главной странице (правда, я тут видел скрины, что должны показываться еще префиксы и DHCP IPv6 адреса, а у меня только один адрес), но не получает (должен?) адреса DHCP IPv6 и не раздает никакой информации для локальных клиентов. Например, поле IPv6 Gateway у виндовых клиентов пустое. При этом пинг через IPv6 в вебморде роутера на странице диагностики работают. IPv6 домены резолвятся и пингуются.
Думаю, уже понятно, что в голове у меня каша, в теме плаваю. Помогите пожалуйста разобратся, что не так. Прикладываю Self Test лог, как указано в рекомендации. Спасибо.
Проблемы Keenetic Orbiter на прошивке 5.x
в Веб-интерфейс
Опубликовано
Добрый день! Столкнулся с проблемами на прошивке ветки 5.x. Такое наблюдалось и на бета релизе, но я тогда спешно откатился до 4.x и забыл зарепортить. Теперь туда прилетела 5.x и снова всё то же самое.
На данный момент имеем Keenetic Ultra KN-1810 на прошивке 5.0 mainline и два Orbiter. Один из них сидит на 4.3.6.3. Подключен напрямую проводом к KN-1810. Второй - через TP-Link PoE свитч тоже проводом.
Изначально оба получили 5.0 beta 3 и оба вели себя одинаково: на вкладке Wi-Fi System в столбике Alert красный значок. При клике по нему появлялся тултип - либо [12388] failed to connect: operation failed", либо что-то с "headers" и еще было "unable to configure". Настройки могли не синхронизироваться, либо синхронизироваться частично. Если отправить на ребут - появлялись на несколько секунд, отвечали на пинги (вебморда не грузилась), потом отвалиться совсем и ответов на пинги больше не было. Еще минут через 10 снова появлялись, всё заводилось как надо. При этом вышеупомянутый значок не исчезал.
Ну и самое главное - быстрые переходы девайсов с контроллера KN-1810 на Orbiter (любой из них) и обратно прекратились.
Я пытался сбрасывать их полностью (сброс до заводских настроек через их вебинтерфейсы, пока они в ребуте - удаление регистрации с контроллера. После ребута - acquire по новой. После первичной автоматической конфигурации они снова начинали себя вести как ранее.
Проблема тогда решилась откатом на 4.3.6.3 (перевел с preview на main канал). То ли я один из них потом случайно перевел снова в preview и хотел еще потестировать 5.0 beta 3, то ли не знаю еще как получилось. Но теперь один (192.168.2.114 - прямое соединение) в main на 4.3.6.3 и работает исправно. Обновления до 5.0 пока не видит. Второй в preview на 5.0 (192.168.2.113 - через PoE роутер) и тупит по схеме выше. Сейчас можно подумать, что может вина в свитче или его реализации PoE - и т.п., но ранее, как я уже описал, оба глючили совершенно одинаково на 5.0 beta 3.
Прикрепляю селфтесты с KN-1810 и обоих орбитеров. В логе KN1810 должен быть полностью зафиксирован процесс "захвата" свежесброшенного 5.0 орбитера, появление значка ошибки, попытка дополнительной конфигурации (в частности, привязка к статичному DHCP IP), его последующий отвал на 10 минут, неспешное возвращение к жизни - и т.п.
Управляю всей системой удаленно, физически смогу добраться только в следующем месяце.