SySOPik

Если это то что я подумал, а именно неправильный учет трафика, то причина в аппаратном обработчике пакетов. ТП уже отвечала, баг лечится отключением сетевого ускорителя либо установкой альфы 3.7. Последнее не проверял, так как жду релиза, роутер в продакшн стоит и ставить тестовые неохота.

Вот потому и интересно, если правило, запретить исходящие tcp/udp запросы на 10.0.0.1/24 повесить на Wan, заблокируется только исходящие с клиента в главную подсеть? С главного можно будет полноценно работать с подсетью клиента (пинг, доступ к ПК, принтерам, видеонаблюдению и т.д.) ? И наводящий вопрос, если на клиенте 2 Wan (Wan+ Wisp) то правила вешать на 2 интерфейса?

Вклинюсь в тему с вопросом. Есть небольшая сеть из нескольких кинетиков с поднятым IpSec site-to-site. Вопрос в том, как грамотней создать решение, чтоб с подсети главного роутера (а-ля 10.0.0.1/24) можно получить доступ в сеть клиентов (10.0.0.х/24), а с клиентской сети заблокировать доступ в подсеть главного роутера? Нужно в файре клиентов, на Wan блочить доступ в подсеть (10.0.0.1/24)?

А зачем так много USB и чем USB хаб не угодил?

Так от оно что, Михалыч. Этого в спеках я не видел, видимо не вникал или не нашел. Это я уже понял. 3010 используются только где есть количество техники, на местах с парой устройств стоят 1110, их там за глаза. Надежд не возлагал, но подумал что хотя бы 25 мегабит стрельнет. И на том спасибо.

Вариант такой тоже обмозговал, но хотелось бы решить все чистым IP-Sec. Но все равно не могу понять, почему на таких низких скоростях такая нагрузка на проц, ведь модуль crypto engine set to "hardware" как бы должен снимать нагрузку с цпу? Или не должен?

Попробовал CHACHA20-POLY1305 + все что можно опробовал в SA AEAD 2 фазы. Больше 12-16 мегабит выжать со Старта видимо нельзя. Процессор скачет 50-90%, CryptoEngineManager: IPsec crypto engine set to "hardware".

Понял. Спасибо. попробуем.

Эмм, я не там смотрю?

Поддержу вопрос, кто подскажет наилучшие настройки по IPSec в плане скорости. На связке speedster-start поднимается туннель и качает до 15 мбит (провайдера дают 100 мбит). Загрузка старта 50-80%, выставлено aes-128/Sha-1 DH1. В логе hardware crypto поднимается.

Возможно проще и удобней IPSec, к тому же аппаратное ускорение протокола есть.

Добавлю еще 5 копеек - очень бы неплохо сделать ручное обновление прошивки для всех устройств в аккаунте, чтоб не лазить в 10+ девайсов отдельно.

Привет всем. Пользуюсь мобильным приложением для управления кинетиками - очень удобно реализовано. Предложу идею для реализации для владельцев 10+ девайсов. Иногда добавляю новые девайсы (или изменяю настройки уведомлений событий) и приходится заходить в каждое устройство и вручную выбирать варианты (Push. Telegram. OFF) для каждого отдельно. Удобно б реализовать фичу, когда для каждого добавленного девайса автоматически применяются настройки тех что уже есть либо создание дефолтной настройки уведомлений под свой вкус и оно будет применятся для других автоматически.

Провайдер поддерживает GRE? Много провов GRE криво пропускают либо вообще не идет через них.

Спасибо, транспортную сеть отключу. Если сообщения сугубо информационные, на сеть не влияют, тогда все good.

Привет всем. Сегодня к контроллеру wi-fi speedster прикрутил по езернету 3 шт start в режиме mesh повторителя. Однако в логе заметил кучу сообщений : или же Кто-то что-то подскажет что за сообщения, откуда растут ноги?

Так то понятно что через облако не будет. Интересовало можно ли юзать именно имя: при отвале основного прова и ввода в работу дежурного второстепенного (у него не статика, а "белая" динамика), будет ли переконнект туннеля, опознает ли keendns что произошла смена IP адреса и пойдут запросы туннеля через другого провайдера. В любом случае спасибо за ответы.

Ясно. Значит в разделе настроек IPSec, в поле "Удаленный шлюз" нельзя юзать router.keendns, только IP адрес. Странно, вроде в хелп где-то біло указано что можно юзать keendns имя. Проблема не серьезная, будем пробовать так. Спасибо за ответы.

Понятно. А если запулить в IPsec вместо конекта по IP конект через имя Keendns, при отвале основного провайдера и переходе на нового, разве подключение не восстановится через резерв? Какой период обновления keendns?

Спасибо за ответ. 2 провайдер с серым IP, чисто как резерв на случай отказа основного. Туннели Site-site IPSec нужны чисто для прямого доступа в подсеть, чтоб посмотреть/пофиксить проблемы. fallback peer опции, когда смотрел настройки не замечал, может плохо смотрел.

Привет всем. В отдалённой перспективе есть задача: некоторое количество мелких торговых точек (30-35 штук), в основном месте стоит сейчас Speedster + 2 инет провайдера. Сможет ли держать активными 30+ IP Seс тунелей, если на каждой точке поставить Start/Lite ? Туннель задействован слабо, иногда по-радминить комп, глянуть запись на камере видеонаблюдения и т.д. Кто-то уже реализовал такое?