r13

Поэкерементировал с 2я поднятыми каналами и 2мя маршрутами до одной сети через них (PPTP и IPIP) Результаты: 1. Ничего страшного не происходит, производится какая-то хитрая приоритезация: Если поднят IPIP то есть маршрут через него, если подняты оба то есть маршрут только через PPTP Если отключить PPTP то возвращается маршрут через IPIP (проверял через веб и через opkg) 2. Метрики таки есть, если смотреть через opkg то добавленные в web маршруты с метриками действительно содержат метрики. 3. Вылез мелкий баг в web при редактировании маршрутов к одной и той же сети: Добавил 2 маршрута к одной сети через IPIP и PPTP, все ок Если затем отредактировать PPTP маршрут например убрать галку "добавлять автоматически" то маршрут через IPIP удаляется. Зеркальная операция не работает, Если редактировать маршрут через IPIP то все ок UPD Даже редактировать не обязательно, если сначала добавить маршрут через IPIP а затем до той же сети через PPTP то маршрут через IPIP затирается В логе следующее: Nov 26 18:43:15ndm Network::RoutingTable: added static route: 192.168.10.0/24 via IPIP10. Nov 26 18:43:15ndm Core::ConfigurationSaver: saving configuration... Nov 26 18:43:19ndm Core::ConfigurationSaver: configuration saved. Nov 26 18:43:23ndm Network::RoutingTable: deleted static route: 192.168.10.0/24 via IPIP10. Nov 26 18:43:23ndm Network::RoutingTable: renewed static route: 192.168.10.0/24 via PPTP0. Nov 26 18:43:23ndm Core::ConfigurationSaver: saving configuration...

В качестве шлюза со строны клиента указывается созданный интерфейс (PPTP0 например) этого достаточно.

Здравствуйте. В wiki сказано что при падении wan.d сксрипты запускаются с всеми пустыми переменными. Возможно ли изменить это поведение и передавать переменную $interface что бы знать какой именно интерфейс упал.

Ну сама функция фиксации врядли сомнительна, здесь сомнительна цель топикстартера PS Смена IMEI да сомнительна. @msya OPKG + iptables в части ttl вас спасет.

@Le ecureuil Почитал документацию, в текущей реализации метрика в маршрутах не используется. Как будет осуществляться маршрутизация если скажем у меня 2 соединения между роутерами PPTP и IPIP и маршруты на них висят одинаковые?

@KorDen Спасибо. @Le ecureuil IPIPoverIPsec туннель завелся только после того как удалил крито карту обычного IPSec туннеля на сервере(на вкладке безопасность) Там был ike v2 сервер, видимо они как то мешают друг другу. селф тесты далее.

Судя по таблице маршрутов да )

насколько я знаю все торрент клиенты так работают, если состав данных в торренте изменился то это новая загрузка.

скорее всего со стороны клиента работает файвол который блокирует входящие пакеты из сети роутера.надо с эти разбираться. маршрут нормальный.

@Le ecureuil Не, не помогло та же картина(пересоздал тоннели без strong encription, проверил одинаковость PSK сравнив значения running-config). Господа, у кого нибудь на последней прошивке IPIP over IPSec поднимается?

Курить это https://zyxel.ru/kb/4214/ в части маршрутов и сетевого экрана

@Le ecureuil Что-то на v2.08(AAUX.1)A11 у меня савсем IPIP over IPSec подниматься отказывается (IPSec туннель не поднимается) Сервер Ultra, клиент Ultra2 Уже несколько раз туннели пересоздавал, не заводится. селфтесты с обоих ниже.

Еще бага: На гиге 2 создан IPIP туннель в режиме клиента. находится в состоянии down. В конфиге состояние сохранено После перезагрузки IPSec все равно пытается создать туннель не смотря на состояние down. Если через cli выполнить interface IPIP0 down то попытки создать IPSec туннель прекращаются но постоянно пересоздаются iptables таблицы в цикле (срабатывает netfilter хук) селфтест далее.

В вебе, вкладка Сегменты, если для гостевой

Команда трассировке работает за счет формирования пакетов с нарастающим ttl А подобная доработка меняет ломает ее работу, поэтому при фиксации ttl все заканчивается сразу за модемом, шлюзы при этом остаются те же самые.

@Padavan Даже с этой незначительной частью есть явные улучшения, ultra первая уже 2 дня аптайма с поднятым ipsec туннелем.(ранее и часа не держалась) Спасибо.

Нет, так как это только увеличение ttl а не фиксация. Если за роутером зоопарк из разнородных устройств с разным исходным ttl то и на выходе будет разный. ЗЫ проверить что работает на модеме просто: Запустить трассировку любого узла в интернете. Если следующий узел после модема сразу конечный то значит изменение ttl в модеме работает.

Места в роутере не хватит. В некоторых моделях одна то прошивка с более менее большим набором компонентов не входит.

Вылезла еще одна бяка с ресолвером ip туннеля. В текущей реализации насколько я понимаю если ресолвинг удался то полученный ip запоминается, и по нему происходит попытка соединения Если подключение идет через USB модем и соединение с интернет еще не установлено, то такие модемы резолвят все на себя и IPSec начинает долбится в модем Как часто происходит повторный ресолвинг адреса endpoint туннеля?

Еще вопрос поднятый @KorDen по соединению home-ipip пока добавил в iptables правило iptables -A FORWARD -o ipip0 -j ACCEPT Соединение работает. Через штатный ACL такое можно реализовать? Или оставить это в opkg?

Спрошу тут так эта новая фича, Как подружить IPSec туннеля и IPSec Virtual IP? У меня они могут пытаться лезть не в свою критокарту и ничего хорошего при этом не происходит. Как происходит выбор криптокарты при входящем соединении? Селфтест с примером далее.

Не поделитесь как проще смотреть куда реально идут пакеты?

@Le ecureuil Если на момент запуска не возможно отресолвить dns имя endpoint туннеля (доступ в интернет еще не поднялся после перезагрузки) то туннель IPSec больше не поднимается. down/ up на интерфейсе не помогает, помогает пересоздание endpoint адреса селфтест ниже.

@Le ecureuil В дальнейшем планируете реализовать для клиент серверного режима указывать не конкретный интерфейс а использовать интерфейс текущего подключения к Интернет? что-то вроде tunnel source default что бы работало в том числе в схеме с резервированием интернета

@Le ecureuil Пока удалось поднять GRE over IPsec и IPIP over IPsec но чисто номинально, по логам все ок поднялось, но трафик не ходит. Попутно вылезла несовместимость GRE туннеля и штатного PPTP клиента: создал туннель, клиент отвалился и покругу пытается безуспешно подключиться. Грохнул туннель и клиент сразу же подключился. селф тест в следующем посте. UPD пинги из под ентвари до удаленного роутера работают, а пинги с компьютера не идут, не понятно....