Oleg Nekrylov

Вы не понимаете о чем говорите, интерфейс bond0 неактивен и не сконфигурирован и трафик на нем RX/TX 0!!! У меня не используется агрегация LAN-портов!!! Или вы не видите разницу между LAN и WAN? Судя по всему вы даже не понимаете об уровнях OSI: как вы на втором уровне собираетесь рулить пакетами (не кадрами) прилетающими с разных интерфейсов? L2 агрегация предполагает объединение портов в один, здесь же независимые WAN-порты, и весь трафик разруливается на L3/L4. К сожалению прав нет, чтобы глубже залезть в SRM (в отличие от DSM, нет ни sudo, ни su - пока занимаюсь этим вопросом), но пока могу предположить, что они используют для этих целей ~teql, тк в балансировку (на странице Smart WAN, на скриншоте выше, вместо LAN1 возможно задать и PPPoE/LTE/VPN-туннели.... - это комбобокс) можно включить интерфейсы с разной топологией, а не только ethernet (bonding же предполагает агрегацию интерфейсов с одинаковой топологией) .

Вы ошибаетесь, нет там агрегации (L2), единственный интерфейс bond0 предназначен для агрегации LAN-портов, а не WAN

Смысла нет: дизайн посредственный, с туннелями (в отличие от Keenetic) скудновато..., Safe Access/Threat Prevention сначала радовали, а сейчас вызывают лишь раздражение (и иногда злость), причем в Safe Access невозможно отключить фильтрацию для определенного хоста (даже если создать профиль без фильтров и туда засунуть нужное устройство, все равно трафик фильтруется).

Думаю, если есть нужда в балансировке 3+ WAN, то я бы рассматривал устройства другого уровня, в конце-концов, можно посмотреть многопортовый ПК (формата Intel NUC) на али (ищите по ключевому слову pfsense) и собрать свой балансер, хоть на том же pfSense..или если сделать "по красоте": можно и Ideco UTM (для SMB он бесплатен) запихнуть. А IDECO SX+, вообще копия девайсов с али

Пирометра под рукой не было, поэтому точных цифр не приведу, но руку держать на верхней крышке, в районе SFP, не сможете - обжигает, да и пластик начинает характерно прогибаться. Причем ситуация идентичная на обоих KN-1810 (куплены с разницей ~ в полгода, в разных городах, так что это "не брак одной партии"), в независимости от типа SFP К сожалению только 2 (из web-морды), но я пробовал засунуть и 3-й, через ssh, но тогда в web-морду (на страницу Smart WAN) не зайти - сразу выбивает.

Вот как раз по поводу SFP я бы и не беспокоился. Если в Keenetic поставить SFP-модуль (без разницы оптика/медь), то его температура выходит за "пределы комфорта" (не хотелось бы устроить пожар в собственном жилище), а вот это уже более существенно, поэтому медиаконвертер (видел даже с питанием от USB) - наше все. Кстати, в июле (как раз были грозы) был случай: пропал интернет, буквально за неделю до этого, я воткнул SFP-медь (если что-то и прилетит от провайдера, то сдохнет копеечный SFP [у меня их "как грязи"], а не KN-1810), нет интернета и все, Keenetic показывает обрыв. Я всю голову сломал (все приборы к сожалению на работе, поэтому проверить нечем), уже кабель весь выдрал и заменил на категорию 6A (представляете мои мучения, когда я его прокладывал в плинтусах), не помогает, в итоге случайно втыкаю кабель не в SFP, а в WAN и "о чудо!", интернет появился, но какой-то вялый, смотрю, скорость 10Мб/с полудуплекс (ни один имеющийся у меня SFP, не умеет работать на такой скорости). Итогом оказалось, у провайдера полностью сгорел кросс, даже часть стенок шкафа в виде металлических брызг красиво украсило закопченное помещение, а я еще 2 недели сидел на 10Мб/с полудуплекс, и сейчас, вместо старого канала 1Гб/с, имею 2 новых, но только по 100Мб/с Ну какое-то подобие все-таки есть, но вот устроит ли оно вас? Меня нет.

Вот о чем я говорил. iSCSI на Synology RT2600ac разлетается (все остальное естественно тоже), а на Keenetic Ultra KN-1810 ни в какую, выше 9Мб/с не выжать. На скриншоте видна общая нагрузка (на одном канале тариф 100Мб/с, на другом 70-100Мб/с), тренд кривоватенький, но все-таки показательный. На Upload не смотрите - это я чего-то с QoS наигрался, не могу понять единицы измерения используемые Synology (в правилах QoS, КБ/с - это килобайт или килобит, ни то ни другое не подходит, в результате хрень получается)

Вот я и говорю, что нужна балансировка, на данный момент, весь трафик iSCSI бежит только через основной канал, при этом если запустить торрент (на этом же хосте), то он спокойно разлетается по обоим каналам. Пытался делать и по весу, все равно идет только через основной. Даже Steam и тот разлетается, а iSCSI ни в какую. В конце концов, думаю, придется отдать основной канал iSCSI, а все остальные девайсы придется пересадить на резервный - ну если уж совсем не получается (SRX5308/UTM150 дома гонять не будешь - тк они своими вентиляторами весь мозг съедят)

Ничего удивительного, я об этом уже писал выше. ip policy Policy0 description torrent-multipath permit global ISP ------------------------------------- main permit global GigabitEthernet0/Vlan4 ------------------- backup multipath ip hotspot policy Home permit host 0c:c4:7a:dc:49:06 permit host 0c:c4:7a:dc:49:06 policy Policy0 Все тоже самое, что и у вас, вот только торрент != MPIO iSCSI!

Сегодня специально проверил - только для torrent (запустил Download Station на Synology DS2419+), для MPIO iSCSI фокус не проходит (Windows 2016/2019, Debian, Synology NAS, Dell/IBM SAN). А на D-Link DFL-860e/1500, Netgear SRX5308/UTM150 - MPIO iSCSI работает, к сожалению на Ubiquiti ER-10X проверить не смог, девайс окончательно сдох.

Может когда-то это и работало, но по факту, начиная с 3.3 (а у меня 3.5 beta 4) - не работает, так же как и OpenVPN TAP (ходит только ICMP), так же как и IKEv2 (коннект есть, а трафик не ходит - никакой). А что касается балансировки, то мне нужна именно балансировка, а не ручное рассаживание устройств по каналам - у меня большая часть трафика генерируется iSCSI (Hyper-V, ESX) с SAN/NAS

Так она и так есть: интернет-фильтр, только я не думал, что интернет-фильтр так же вмешивается и в транзитный трафик (проброшены порты 53 TCP/UDP на bind9 и в bind9 указаны forward ip провайдера, а не роутера) ему не предназначенный - пришлось поставить "Без фильтрации". Но сколько при этом было убито в пустую времени и нервов...

Фактически, мы имеем вот такую неприглядную картину (цифры пока маленькие, из-за малого аптайма - недавно обновил прошивку, а потом выходные, а так, за неделю, цифры на main исчисляются терабайтами) :

Из-за того, что границы закрыты (COVID-19), приходится просить родственников (а они уже в возрасте), которые живут в сопредельном государстве, но в принципе, можно заказать самому и здесь. Да, начинка стоит того, правда если у вас есть нужды и потребители, которые смогут ее соответственно нагрузить - иначе смысла нет, тк это не просто роутер, а межсетевой экран в настольном исполнении. Вот то-то и оно, что имея 2 канала, основной забит "под завязку" и все тормозит, а резервный при этом стоит и прохлаждается, а деньги между прочим, платятся за оба канала.

Все это красиво, до тех пор, пока вам не придется синхронизировать master/slave-зоны на собственных DNS-серверах - я уже "эти танцы с бубном" прошел (оказывается интернет-фильтр [Adguard...] этим занимался и если бы не TSIG, фиг бы нашел в чем дело), спасибо не надо. В свое время, даже Zyxel Keenetic Ultra пришлось отправить "на полку" надолго (порядка пару-тройку лет валялся) - с роутерами других производителе было все нормально, а как ставишь Keenetic - все, зоны расползаются.

Вот как это изящно сделано у Synology. К сожалению свое видео снять не могу: мой роутер дети залили кока-колой еще весной, но к концу этой недели (надеюсь) приедет новый экземпляр Synology RT2600ac. Хотелось бы, чтобы и у Keenetic было что-то подобное "из коробки", без использования всяких entware...

Все нормально качается. Сегодня попробовал тоже самое сделать на работе, на Ubiquiti ER-10X (валялся без дела - были PoE порты пожжены, но пришлось заморочиться и починить) - работает, все качается (специально из-за этого качал сборку от ALM 😁). Вообще, это стандартная функция у роутеров/межсетевых экранов с несколькими WAN-портами и не понятно почему это не должно, по вашим словам, работать.

Я это и имел в виду. Странно, но на D-Link DFL-860E и Netgear SRX5308 таких проблем не наблюдается (девайсы хорошие, но надо признать - VPN слишком старые, чтобы ими было интересно пользоваться сейчас). Зато когда попытался отсадить Wireguard и IPSec (Site-to-Site) на резервный канал (как менее загруженный), они не захотели работать (на моей стороне Kennetic с "белыми" IP, а клиенты все за NAT - поэтому коннектятся они ко мне, а не я к ним), хотя с наружи, пинги на резервный канал идут, сайты и почта работает (серверы находится в LAN и проброшены порты с основного и резервного каналов, а в DNS используется round-robin), .

У меня 2 разных аккаунта (IPoE) и Load Balancing не помешал бы - очень неудобно ждать падения канала (или в ручную переключать "основной/резервный")

Вот наличие нативного ntpd было бы просто праздником: entware не устраивает тем, что внешний накопитель может "отвалиться" со всеми вытекающими...

Вы не понимаете о чем говорите - то что вы бегаете изнутри (из локальной сети провайдера) наружу (в интернет) - это вовсе не означает, что вы сможете пойти в обратном направлении. Не думайте, что вы один такой исключительный, что имеется у провайдера: прилетел пакет снаружи (мы не рассматриваем conntrack, пакет реально снаружи), дальше что с ним делать, кому посылать? Васе-1, Васе-2 Васе-3...? Вы поставили "Прямой доступ" находясь за NAT, что вы еще хотите? Что поставили, то и получили - адрес WAN-порта роутера. Вам надо ставить "Через облако". Не знаю как работает KeenDNS (не разбирался, не было необходимости - у меня белые IP, а серый IP и так работает без проблем), но предполагаю 2 варианта: 1) Обратный туннель L2 (собственно я о нем намекал в предыдущем посте), но это чревато большим оверхедом. 2) Обратный туннель L3

Здравствуйте! Планируется ли выпуск устройств: 1) для монтажа на стандартную DIN-рейку 2) с промышленными питанием 24V DC и заземлением PS: было бы вообще замечательно, если бы был форм-фактор Siemens Simatic S7-1500

Приватные сети ("серые"): 10.0.0.0 – 10.255.255.255 172.16.0.0 – 172.31.255.255 192.168.0.0 – 192.168.255.255 Если ваш адрес находится в этих диапазонах, то ни о каком "белом" адресе речи быть не может, вы выходите в интернет через NAT провайдера, так что KeenDNS тут абсолютно прав, вам стоит обратиться к вашему провайдеру и получить "белый" IP. Но можно изловчиться (если у вас есть пул свободных адресов, например принадлежащий вашей компании и доступ к шлюзу) и кинуть внутрь туннель, и из свободных адресов организовать себе "домашний" сегмент - когда нельзя, но очень хочется 😁

Вы оперируете словами, ни сколько не задумываясь о их смысле: агрегация != round robin, тк предполагает поверх физики, еще один программный объединенный интерфейс (будет ли это 802.3ad или что-то другое, не важно), через который уже и идет работа, при round robin это только независимые интерфейсы и ротация IP происходит уже на уровне DNS (для примера вам pool.ntp.org) В названных вами устройствах, на тот момент когда я ими пользовался (лет 5-10 назад), были: последние мной виденные ASUS RTN-16 тоже есть, D-Link DIR-655/DFL-860e/1660 тоже есть, Netgear (от SOHO, до UTM) тоже есть... Про OpenWRT/DD-WRT вы абсолютно не правы: для примера вам Buffalo По поводу вездесущего Микротик - этого хлама у меня и так куча, в SOHO он даже до Keenetic не дотягивает (из-за своих "обрезков" и "фирменных реализаций"), а что касается бизнес-сегмента, я пожалуй предпочту Juniper/Cisco/Netgear. Единственно из-за чего связался с Keenetic - санкции, из-за которых многие фирмы закрыли свои представительства (и службы бета-тестирования/локализации) в РФ. PS: Все-таки шальную идею переложить DHCP/DNS на Keenetic пока пришлось отложить (в Keenetic поставил DHCP relay), вернув связку isc dhcpd+bind в строй как было - .на объекте сервера убивают Keenetic (интернет нужен только для NTP, поэтому изначально выбор пал на Keenetic, а не какой-то UTM), а дома Яндекс.Розетки (что стало неприятным сюрпризом).

Вы не понимаете о чем идет речь: забудьте об агрегации, и других плюшках - это удел управляемых коммутаторов... я говорю о нескольких A/PTR-записях для одного хоста - это и есть round robin. И ничего здесь заумного нет: возьмите любой ASUS, D-Link...., наконец DD-WRT/OpenWRT... ни у кого проблем нет, а у Keenetic есть Не знаю, что внутри, но предполагаю, что банально обычный dnsmasq - никакой сложности там нет (кстати, включить tftp-сервер тоже нет проблем [для PXE], а загрузочные файлы держать на внешнем накопителе, например флешке, но почему-то это до сих пор не сделано) Это не "чисто моя хотелка", тут столкнулся еще и с Яндекс.Розетками - там вообще все нехорошо: Розетка подключившись к WI-FI получает на свой основной MAC, адрес от DHCP, но у нее есть еще один MAC (динамический?) и адрес 192.168.1.60 (статический?), который предназначен для работы в режиме AP. А теперь представьте, что твориться в сети при наличии нескольких таких девайсов, а "Список устройств" у Кинетика вообще сходит с ума и в итоге приводит к зависанию самого Кинетика - приходится рубить питание и больше не заходить в закладку "Список устройств".