soft_warrior

меня больше интерсует "проникновение" информации о фразе шифрования из одного туннеля в другой... тут вопрос даже не про неверно срабатывающий DPD, а то что туннели как то влияют друг на друга - изза своей многочисленности? к сожалению IKEv2 на той стороне не поддерживается и это единственный совместимый протокол туннелей ну и тут возможно из той же оперы: роутер Keeenetic Ultra II - прошивка 4.2.1. при объемном постоянном пинге (10к - 30к фрагменированный пакет) в туннели и/или из них до роутера при таких настройках туннелей роутер периодически стал уходить в жесткий ребут. что никак не радует. просто пинг в инет на хост - никаких проблем нет. хотя раньше я долго не пытался "нагружать" именно туннели и именно большим пакетом пинга... но опять же и перекачки данных туда/обратно на 700мБитах - вообще проблем ни разу не возникало. опять же в туннель не попадает второй маршрут из настроек - тоже глюк.

4.2.1 версия Кинетик Ultra II в монитор при пинге 10к (чтобы он хоть какой то процент сегмента получил ) в ipip туннель с зарегистрированного ip адреса в списке клиентов по какойто причинает данный вид трафика попадать в "незарегистрированные" странно

DPD - обнаружение неработающего пира - включено при чем мой кинетик - инициирующий соединение. лог с текущей даты начиная утра... незначимые строки постарался убрать, ip заменить на ххх.ххх.ххх.nnn туннелей рабочих 7 шт, все ipsec ikev1 конфигурация одинаковая. из глюков что были на 2.16..хх версии, но на 4.2.1/4.2.3 не проверял - нельзя было сделать разные фразы шифрования на разные туннели, бралась от первого инициировавшего начало соединения и просто ко всем применялась, сейчас даже не проверял. второе и далее направления маршрутизации для туннеля на ту сторону, если даже в настройках есть и заполнено, то на туннель никак не применяется, отается только одно - первое по сортировке из них в текущие сутки зависаний было два, заходил на web и делал выкл вкл для туннеля. в 7 ровно, но это мог быть разрыв провайдера. в 12:20-12:30 - один туннель в 12:30- соединился зависший еще с прошлых суток sklad.spb [xx.xxx.xx.2] прожил 10 мин 2 сек и отвалися в 12:40 без помощи, но в статусе на интерфейсе кинетика он был "все хорошо", соединение есть. и прямо сейчас с ним все хорошо, но связи нет (на той стороне пассив - сообщает что нет связи). в 13:50-13:55 - третий туннель log-2024-11-28__3.txt

+1 всем известно - в новой версии прошивки - не только исправлены старые ошибки, но и добавлены НОВЫЕ. а вот их в списке изменений с вероятность в 99.99% не увидишь. +100500 если "инструмент" возврата к предыдущей прошивке будет без сохранения к себе на комп или телефон... возможно может на внешнюю флешку? будет иметь возможность вернуться по железу - кнопкой сброса вернуться к "заводским" - но предыдущей прошивке или командой с web/cli как циско свитч ко второму конфигу или второй биос на материнке....

в холодном можно и иметь usb 4Г свисток к примеру с тарифом билайна "простой", прикупив в нем бессрочный пакет инета.. ток надо всеравно его поддерживать раз в пару мес - через вэбку модема смс там отправить или еще чего. у меня на таком "холодном" - "Тариф Z", но он уже в архиве, хотя в принципе аналогичен новому и достать его можно если захотеть.

вообще интересует "именное" переадресование как dns так и исходящих соединений в установленные vpn туннели и ipip соединения. пример: dns запросы к локальным доменам в туннель, именное соединение по имени с локальными машинами в туннеле. сейчас такое при "основном" роутере кинетик и доменной иерархии хоть и можно организовать, но довольно затратно по усилиям... и не в динамике. желательно dns как прямые *.domain.local -> спрашивать у 192.168.11.2 (а дальше уже маршрутизация так и обратные запросы кто есть: 192.168.11.0/24 -> спрашивать у 192.168.11.2 ну и статические dns записи не помешает возможнось поправить через web интерфейс.

вопрос так и остается актуальным имеется такая же радость, но с другим оборудованием на другом конце. подвисает канал на 2фазе шифрования ipsec ikev1 - возможно кинетик просто не принимает обновленные ключи корректно. водвитает гдето за 10-15 минут до сроков обновления ключа фазы 2... от установленного времени жизни зависит. это так же подтверждено "событийно" на 4.2.1-4.2.3 прошивках. ультра, ультра 2, 4G (KN-1212) в роутере фактически нет накакого контроля живости линии внутри фазы 2 - если та сторона просто перестает получать/отправлять данные - ничего не происходит. к сожалению не получаеся создать "вручную" из консоли автопинговалку для ребута туннеля ip-ip / ipsec.... - можно только "переключателем" дернуть или дропнуть соединение на другой стороне, но и его только на web можно добыть, а в том же приложении на адроиде этой категории соединений просто нет в списке.

Прошло прилично времени... и ядро прошивки, наверное, даже неоднократно обновилось у текущих роутеров. есть в наличии уже в теле прошивки миниатс, возможен донгл для dect трубок, и даже usb на две линии fxs есть! а вопрос остается таким же: возможен ли звонок с роутера кинетик по голосовому (или VoIP 4G) каналу usb модема (через модели которые это умеют конечно) а то, так то, на память уже есть пара решений, умеющих данные вещи делать. даже есть стационарный телефон - звонящий по умолчанию и имеющий на борту небольшой роутер с wifi раздачей никак на звонки не влияющей. ну и иметь тариф, в котором копятся/сгорают соотни тысячи минут... а интернет нужнее... но зеленый земноводный зверь не дремлет даже по ночам может всетаки в кинетике образуется такая (уже вполне реальная по идее) возможность?

получается 4.02.3 даже в природе для Ultra II не существует? в списке полных прошивок я вижу только: ku_rd_draft_4.02.C.1.0-1.bin 25.0 MB 04-Oct-2024 17:56 дальше только 4.03.A.х т.е. альфа по факту?

Добрый день всем не могу получить обновление в предварительных сборках с 4.2.1 текущей до 4.2.3 тот же Keenetic 4G (KN-1212) EAEU вполне видит это обновление. а на Keenetic Ultra 2 (Keenetic EAEU) в предварительном предлагается только 3.5.10. а в девелопер сразу альфа 4.3.... помогите плиз

К сожалению не могу, на той стороне не кинетик и довольно жестко всё прописано. поддержки IKEv2 там тоже нет.

Добрый день Keenetic Ultra II EAEU обновлен до KeeneticOS 4.2 Alpha 17. не могу никак получить дополнительную подсеть в туннель IPsec IKEv1 формата сеть-сеть в настройках она стала возможной. - это супер, но фактически до адресата ничего не доходит. применяется только 1ое по списку направление, 2-ое и далее игнорируются. хоть на той стороне они и ожидаются.

в дополнение к написанному выше. такая ситуация наблюдается именно с прошивкой второй версии, подтверждено на нескольких версиях прошивки и на Giga II, Giga III и Ultra. последний раз сохранял логи в момент смены ключей к одного из туннелей. но вопрос стал из актуальных просто информативным... потому что сегодня психанул и перешел на другой девайс - Keenetic Ultra II с прошивкой 3.9.10. настроил всё аналогично - выждал и проверил - нормально работает, ключи обновляются корректно у каждого туннеля. был только один момент - при настройке 7и туннелей, роутер перестал отображать их в списке - висело "загрузка ..." на страничке. перезагрузка роутера все решила.

На устройстве есть 7 туннелей в разные стороны. все в версии ipsec IKEv1, до разных мест соответственно. фаза 1: Шифрование IKE: 3des, aes-128 целостность sha-1 DH 5 и 14 время жизни: 10800 сек фаза 2: Шифрование IKE: 3des, aes-128 целостность: sha-1 DH: нет время жизни: 3600 сек 1 проблема: Ключ PSK (сейчас он один на все туннели), давным давно в версийном смысле (еще до беты даже), было замечено, что разные ключи по туннелям не работают, они все получают один ключ-фразу от первого стартовавшего/установленного туннеля. тянется очень давно по версиям, с этим я смирился (но было бы неплохо это пофиксить). 2 проблема: возможно она связана логически с первой. туннели обновляют ключи шифрования не по своему времени, а сегодня заметил, что время обновления ключа в "других соединениях" у другого туннеля "соседа" очень сильно совпадает с пропаданием связи по этому. притом "выкл/вкл" делать приходится обоим, т.к. связь пропадает на каждом из них. такая же радость наблюдалась на предыдущих девайсах: giga II, giga III

при создании IP Sec Туннелей, в настройках указаны только две сети - удаленная сеть и локальная сеть Можно ли всетаки добавить возможность иметь в таких туннелях больше одной подсети настройках? местных может быть не одна, в некоторых случаях хочется в маршут включить только несколько хостов с маской 32, запретив тем самым доступ извне другим IP. очень не удобно. поправьте пожалуйста. или подкажите методику добавления маршрутов, т.к. для такого интерфейса не добавляются стандартные маршруты - данного интерфейса просто в списке нет. у меня:Keenetic Giga II сейчас версия 2.16.D.1.0-1