[Периодически разрывается на 5-10 минут LTE соединение]

Здравствуйте все!

Пару лет мучался с перегревом модема в Hero 4G+ (KN-2311) на прошивке A16, оператор МТС. A14 вообще не хотела подключаться к МТС.

Причём грели только приложения на Apple TV: KION и Кинопоиск. Температуры уходили за 100+ градусов. Приходилось отключать роутер и ждать когда остынет.

Самое интересное, что всякие туннели (IPSec, WG, SSTP...) роутер вообще не грели (не более 72 градусов, передавал виртуальные машины по SMB, по 250-300Гб каждая), несмотря на полную загрузку канала LTE (75/25Mbps максимум, что можно у меня выжать из 4G)

Обновился на A20 (спасибо D. в телеграмме): температура в KION/Кинопоиск упала до 67-69 градусов, в обычном состоянии 45 градусов, подключение к базовой станции теперь занимает 17-20 секунд (на А16 занимало примерно 1.5 минуты). 

Пока перегревов/спорадических перезагрузок модема не наблюдаю, прошивка 4.2 beta 2, антенна Kroks KAA15-700/2700, кабель 10м по 50Ом.

 

 

 

По прошествии времени... чуда не бывает: температуры упали, но и скорости тоже: было 75/25Mbps (A16) стало 30/5Mbps (A20) 

[Канал oldstable]

2 часа назад, KeyYerS сказал:

Обществом наверняка сможем "скинуться" на оплату аренды VDS, на котором разработчики смогут "развернуть"  сервер для OldStable 3.9.8.

У меня дома, сервер 10Gbps с публичным ip и PTR простаивает который год, всё пытаюсь придумать ему применение, да так и не придумал (изредка использую как файлообменник для знакомых - когда надо обменяться чем-то большим, порядка несколько терабайт, в облако такое не положишь). Думаю он бы был хорошим подспорьем в данной ситуации.

[подружить 📱 смартфон с viva]

12 часа назад, Denis P сказал:

не мешало бы проверить в первую очередь

Ну вы за дурака то не держите меня, естественно всё проверяется. И про стандарты, вы это батенька зря говорите: время draft давно прошло!

12 часа назад, Denis P сказал:

Никаких проблем ни со старыми ни с новыми моделями Huawei не возникало при длине ключей 8-16

Возникает! Они не хотят принимать даже 123456789! Только смена шифрования на WEP решает вопрос, а это естественно 802.11g - 54Mbps!

Даже сброс роутера на заводские настройки не решает проблему: не подключается HUAWEI по данным указанным на шильде, в отличие от других устройств!

PS: вчера вечером, приехав на дачу, стрельнула шальная мысль, а не попробовать ли старую прошивку (сейчас везде 4.1.6 stable): прошил KN-2310_stable_3.09.C.3.0-3_firmware.bin (была сохранена ранее вместе с конфигом 15.02.2023) и о чудо, дочкин P60 подключился с WPA2! Обновил прошивку до 4.1.6 - опять отвал! Возвращаюсь на старую прошивку - подключается!

[подружить 📱 смартфон с viva]

12 минуты назад, Denis P сказал:

количество символов в пароле уменьшать не пробовали?

Пробовал. Длина WPA2 до 63 байт, у меня 62.

[подружить 📱 смартфон с viva]

Такая же фигня  на даче с дочкиными HUAWEI P60 (LNA-LX9) - ни в какую не хочет подключаться к mesh (МТС: KN-2311+KN-1910 и на другом участке Мегафон: KN-2310+KN-1910). Пришлось на гостевой сети поставить WEP и туда уже подцеплять (ну не домашнюю же сеть отдавать под WEP).

Недавно приезжали знакомые с HUAWEI Mate 60 RS и Pure 70 Ultra - такая же фигня, но уже с KN-2710. Походу у Keenetic проблема со смартфонами HUAWEI.

 

В 09.02.2022 в 22:28, krass сказал:

Он сначала конектится, потом отключается. Пишеться что связь запрещена

Аналогично: коннектится и тут же отваливается - и так до бесконечности. Провал и в ручную вводить и QR-код - бесполезно.

 

Настройки 2.4 и 5Ghz одинаковы

PS: куча разношерстных устройств/смартфонов других марок подключено - без проблем, а проблема конкретно только с телефонами HUAWEI.

[Собственный аналог zerotier для роутеров Keenetic]

В 17.04.2024 в 14:45, Urikadze сказал:

А в чем опасность сориентируйте?

В неконтролируемой сетевой активности zerotier, я об этом где-то в соседних темах писал. Если в IPSec у вас точка-точка, то в Zerotier, кто рулит хабом, тот рулит вашей сеткой, хотите вы этого или нет.

[Разрешить 0.0.0.0 и 127.0.0.1 в команде ip host]

В 14.07.2023 в 10:14, ANDYBOND сказал:

А можно уточнить для правильного понимания вот что.

Сейчас на маршрутизаторе можно любое устройство добавить в профиль без доступа в Интернет. Доступ к устройству не нужен вообще.

А также можно отдельные адреса или сети маршрутизировать на любой несуществующий адрес статическими маршрутами.

Чем Ваш вариант превосходит эти, уже имеющиеся, возможности?

1) Доступ в интернет всё-таки нужен, иначе робот отказывается запускаться (синхронизация времени с сервером производителя по протоколу Modbus TCP...)

2) Блокируются адреса производителя робота для удалённого управления (тк производитель блокирует работу из-за санкций)

3) Если указать несуществующие ip, то робот опрашивая их впадает в ступор по таймауту, (толи косяк прошивки, толи какая-то защита, сложно разобраться, тк прошивка частично зашифрована), а если прилетает 0.0.0.0 или 127.0.0.1 (насколько я понял ковыряя EPROM, он переходит в специальный режим [типа тестового-заводского]) то продолжает работу как ни в чем небывало (опрос 0.0.0.0 или 127.0.0.1 всё же делает, но это происходит намного быстрее, чем несуществующий адрес).

[Проброс портов на удаленные узлы из VPN сети]

Я не понял: в чём проблема? VPN в nat (ip nat VPN), указали маршрут и поехали (обычный проброс портов на "Другой клиент", указываем ip клиента в туннеле).

У меня так ~ с полгода крутились DNS/почта/web, пока родственник (в другой стране) не получил белый ip, временно пользуясь моими белыми ip: всё крутилось через wireguard 😁, да, латентность сумасшедшая, но работало!

ЗЫ: Единственно, не забыть на удалённом хосте указать шлюз по умолчанию - туннель, иначе трафик будет отдаваться через локальный шлюз (внешний ip удалённого роутера - ASUS) и тогда клиенты не смогут получать ответы от вашего Keenetic.

[Разрешить 0.0.0.0 и 127.0.0.1 в команде ip host]

Разрешить 0.0.0.0 и 127.0.0.1 в команде ip host для того, чтобы можно было делать глобальные блокировки на уровне роутера, а не на отдельных хостах (особенно когда нет root-прав).

[URL-фильтрация]

В 04.07.2018 в 11:52, Le ecureuil сказал:

Включите торрент на ПК на всю скорость, и при этом пару фильтров. Лучший тест.

На R8000 проблем нет, причем на штатной прошивке 1.0.4.84, а ведь ему уже пошёл 9-й год.

[Passthrough в dns-proxy для переадресованных портов 53 (TCP/UDP)]

2 часа назад, keenet07 сказал:

Чтоб транзит заработал нужно либо интерфейс перезагрузить, либо устройство полностью.

Делал. И перегружал и конфиг перезаливал - без толку, в tsig опять мусор.

[Passthrough в dns-proxy для переадресованных портов 53 (TCP/UDP)]

Прошивка 3.9.2 - сломали 🙁 Опять не работает (KN-2710, KN-1810, KN-1910)

[Passthrough в dns-proxy для переадресованных портов 53 (TCP/UDP)]

Ура!

Прошивка 3.9b2 - заработало: зоны оттрансферились и напрямую и с TSIG!

DNS были настроены и каждый час сыпали мне в телеграм ошибки. И вдруг, буквально час назад, ошибки исчезли. Заглянул в DNS-slave - зоны наконец-то оттрансферены, заглянул Keenetic'и, а у них прошивки обновились и в changelog есть упоминание [NDM-2403].

Вы даже представить себе не можете мою радость - эта проблема, сломала мне все мозги начиная с Zyxel Keenetic Ultra (ku_ra). Это ж сколько лет (почти десяток) прошло!

[Два интеренета(два WAN кабеля) от одного и того же провайдера - реально ли это?]

Странно, у меня когда-то был 1 провайдер с 2 договорами и KN-1810 тогда работал, но пользы от этого было 0, тк кабели шли с одного и того же свитча: и в один прекрасный момент в свитч попала молния - оба канала легли. Поэтому сейчас 3 провайдера: 2 витая пара и 1 GPON

[Wireguard и несколько peer(клиетов) одновременно.]

21 час назад, vasek00 сказал:

А если allow-ips прописать 192.168.10.0/24

Не помогает

21 час назад, beepop сказал:

У вас наверное стоит security level private (скорее всего по гайду настраивали) в таком режиме доступ у подключенным клиентам заблокирован.

Не, не по гайду, изначально он был public, я его специально в private переключил, чтобы multicast работал для Siemens SIMATIC NET, тк:

access-list _WEBADMIN_Wireguard18
    permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
    auto-delete
!
interface Wireguard18
    ip access-group _WEBADMIN_Wireguard18 in

эту проблему не решает.

 

PS: Проблема появляется только когда в туннеле имеется 2+ пира, с 1 пиром проблем нет. В принципе жить не мешает, да и с точки безопасности это к лучшему (тк при падении сервера отлетят все пиры [и трафик между ними]) - но не красиво, хотелось бы сгруппировать заводы/полёвку по группам.

[Wireguard и несколько peer(клиетов) одновременно.]

Прошивка 3.9b0

Не работает

interface Wireguard18
    description OFFICE
    security-level private
    ip address 10.10.0.254 255.255.255.0
     wireguard peer jmi... !01. Клиент 01
        allow-ips 10.10.0.1 255.255.255.255
        allow-ips 0.0.0.0 0.0.0.0
    !
    wireguard peer Wr2... !02. Клиент 02
        allow-ips 10.10.0.2 255.255.255.255
        allow-ips 0.0.0.0 0.0.0.0
    !
    wireguard peer rFE... !03. Клиент 03
        allow-ips 10.10.0.3 255.255.255.255
        allow-ips 0.0.0.0 0.0.0.0
    !
    up
!
ip route 192.168.10.0 255.255.255.0 10.10.0.3 Wireguard18
ip nat Wireguard18

Клиенты ко мне ходят, а я не могу. Например в клиентскую сетку 192.168.10.0/24 клиента 3, хотя 10.10.0.3 пингуется.

[3.9 Alpha 8: не работает интернет от Билайн]

Такая же проблема и с ipoe: SkyNet/Дом.ру.

[Passthrough в dns-proxy для переадресованных портов 53 (TCP/UDP)]

43 минуты назад, Le ecureuil сказал:

это из-за того, что хост в политике находится.

Даже если хост переместить в политику "по умолчанию", то всё равно ничего не меняется.

Политика Server включает в себя только проводные сегменты (WAN + SFP), Wireless ISP - это резервный канал (iPhone)

[Passthrough в dns-proxy для переадресованных портов 53 (TCP/UDP)]

Попробовал синхронизировать зоны через Wireguard и IPSec (ну раз не работает через переадресацию портов, решил попробовать синхронизировать зоны через Site-to-Site VPN) - dns-proxy перехватывает трафик и тут.

[Passthrough в dns-proxy для переадресованных портов 53 (TCP/UDP)]

Прошивка 3.9a7

Установлено, но не работает, всё равно трафик перехватывается

Приходиться удалять компонент.

[Passthrough в dns-proxy для переадресованных портов 53 (TCP/UDP)]

Предлагаю добавить режим passthrough для переадресованных портов 53 (TCP/UDP) в dns-proxy.

dns-proxy всегда вмешивается в работу DNS-сервера, стоящего за Keenetic, в частности из-за этого не работает синхронизация зон (портит даже содержимое TSIG).

На текущий момент, единственный выход, это только удаление компонента "Фильтрация контента и блокировка рекламы при помощи облачных сервисов" (Интернет-фильтр) - установка режима фильтрации в "Интернет-фильтре" в положение "выключен" не помогает.

[Собственный аналог zerotier для роутеров Keenetic]

В 31.08.2022 в 20:33, Denys сказал:

Например, чтобы было возможно двумя нажатиями кнопок в веб-интерфейсе соединить пару своих роутеров в единую сеть

Я еще раз повторю: а сейчас в чём проблема? Вам не хватает IPSec...?

С точки зрения безопасности: я против!

[Собственный аналог zerotier для роутеров Keenetic]

А сейчас в чем проблема? Плюс, с точки зрения безопасности, zerotier весьма сомнительное решение.

[Агрегация портов, добавить поддержку 802.3ad (LACP)]

Прошу добавить к имеющемуся balance-xor, 802.3ad (LACP), чтобы можно было подключать стандартное оборудование: управляемые коммутаторы/СХД/сервера...

На текущий момент, balance-xor, я даже не припомню кто поддерживает, так, что польза от его наличия весьма сомнительна.

[3.9 Alpha 7: не удается подключиться к сервису KeenDNS, ошибка DPN]

К серверу обновлений тоже нет доступа.