r13

@enpa В Cli прописать то что расписано в инструкции от @Le ecureuil по этим новым подключениям Например для IPIP После этого в системе появится новый интерфейс IPIP0 И для него можно прописывать маршруты в web интерфейсе точно также как и для PPTP подключения.

@Le ecureuil И вдогонку, если остановить этот интерфейс, (сделать Interface IPIP0 down) то связанный с ним IPSec продолжает попытки подключиться. UPD Я так понимаю нужно сделать Interface IPIP0 no connect чтоб перестало коннектиться?

@Le ecureuil Попытался поднять IPIP over IPSec между 1й и 2й ультрами Лог с ошибкой: Nov 08 22:30:12ndm IpSec::Configurator: reconnecting crypto map "IPIP0". Nov 08 22:30:14ndm IpSec::Configurator: start shutting down crypto map "IPIP0" task. Nov 08 22:30:14ipsec 12[CFG] received stroke: unroute 'IPIP0' Nov 08 22:30:14ipsec 05[CFG] received stroke: terminate 'IPIP0{*}' Nov 08 22:30:14ipsec 05[CFG] no CHILD_SA named 'IPIP0' found Nov 08 22:30:14ipsec 14[CFG] received stroke: terminate 'IPIP0[*]' Nov 08 22:30:14ipsec 14[CFG] no IKE_SA named 'IPIP0' found Nov 08 22:30:14ndm IpSec::Configurator: shutting down crypto map "IPIP0" task done. Nov 08 22:30:15ndm IpSec::Configurator: start initiating crypto map "IPIP0" task. Nov 08 22:30:15ipsec 15[CFG] received stroke: initiate 'IPIP0' Nov 08 22:30:15ndm IpSec::Configurator: initiating crypto map "IPIP0" task done. Nov 08 22:30:15ipsec 09[IKE] sending XAuth vendor ID Nov 08 22:30:15ipsec 09[IKE] sending DPD vendor ID Nov 08 22:30:15ipsec 09[IKE] sending Cisco Unity vendor ID Nov 08 22:30:15ipsec 09[IKE] sending NAT-T (RFC 3947) vendor ID Nov 08 22:30:15ipsec 09[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID Nov 08 22:30:15ipsec 09[IKE] initiating Main Mode IKE_SA IPIP0[63] to 176.14.124.109 Nov 08 22:30:15ipsec 11[IKE] received DPD vendor ID Nov 08 22:30:15ipsec 11[IKE] received NAT-T (RFC 3947) vendor ID Nov 08 22:30:15ipsec 11[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/# Nov 08 22:30:15ipsec 11[CFG] configured proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/# Nov 08 22:30:15ipsec 11[CFG] selected proposal: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/# Nov 08 22:30:16upnp sendto(udp_notify=7, 192.168.1.1): No such device Nov 08 22:30:16upnp Core::Syslog: last message repeated 10 times. Nov 08 22:30:17ipsec 06[IKE] received INVALID_KE_PAYLOAD error notify Nov 08 22:30:17ndm IpSec::Configurator: remote peer of crypto map "IPIP0" returned invalid key notification. Nov 08 22:30:17ndm IpSec::Configurator: fallback peer is not defined for crypto map "IPIP0", retry. Nov 08 22:30:17ndm IpSec::Configurator: schedule reconnect for crypto map "IPIP0". Nov 08 22:30:17ndm Network::Interface::SecureIPTunnel: "IPIP0": IPsec layer is down, shutdown tunnel layer. Nov 08 22:30:17ndm Network::Interface::SecureIPTunnel: "IPIP0": secured tunnel is down.

Ну этот момент в задаче не раскрыт, так что исходим из широкого трактования постановки задачи

Это не AP Isolation раз в задаче "разрешить пару портов" стоит.

Для понимания "аккуратнее" надо знать какие маркировки уже заняты IPsec и для ppe software чтоб не пересечься, посему хотелось бы услышать связанные ограничения поподробнее.

@Дмитрий А скрипт в винде случайно не редактировали?

Удалять не обязательно, достаточно лишить прав на доступ на вкладке Система-Пользователи

Вычитал что чтоб ответы на входящие пакеты из резервного интерфейса уходили на резервный интерфейс а не на маршрут по умолчанию надо сделать это: echo 200 isp2 >> /etc/iproute2/rt_tables ip rule add from <interface_IP> dev <interface> table isp2 ip route add default via <gateway_IP> dev <interface> table isp2 Как проверить что работает как надо?

Ultra 2 v2.08(AAUX.2)A9 Наблюдаю рассогласованность значений поля "Интернет" на вкладках подключения и IPoE отеменную на скринах. Баг или фича?

Дело не в установке, а в целесообразности расходования ценного и ограниченного ресурса (разработчик/суппорт) на развитие и поддержку данного расширения

Писать провайдеру

@AlexSm Переходите на 2.08 этой функции нет в 2.07 И поставьте Модуль управления маршрутизатором через облачную службу.

Потому что возможности команды разработки не безграничны, и то что это возможно, не повод к действию.

У нас еще ни один оператор толком VoLTE не поддерживает, да и большинство LTE телефонов не умеют, а вы рассчитываете что модем в роутере это умеет??? Забудьте.

http://forum.keenetic.net/topic/489-журнал-изменений-207/#comment-10044

Ставьте 2.08 на гигу 2 и веб появится и ядро новое.

Уже поставить. Смотрите в обявлениях

Это то ладно, у меня после активации мульти wan начинает облачная служба отваливаться и клиенты pptp сервера начинают постоянно перепотключаться. Да и резервный dhcp интерфейс ресетится постоянно вместо продления аренды( но последнее уже с мультиваном не связано, просто мешается)

Дык на предыдущей страницы одна из ранних версий моего скрипта есть. Там я с пары роутов дергаю gateway

я узнаю из роутов на днс провайдера которые прилетают по dhcp по каждому провайдеру. днс у провайдера конечно могут поменяться но вероятность достаточно низкая.

@Le ecureuil у меня IPSec в качестве вишенки на торте, скорее ради ради развлечения, поэтому я никуда не тороплюсь, будет время, глянете, ну а нет, и на software режиме поработает.

Добрый день Установил на первую ультру экспериментальную 2.08 Включил hardware crypto engine Настройки крипто: AES256/SHA1 Подключаюсь к нему через ультру2 Трафика почти нет, захожу только удаленно на web морду ультры Периодически ульра перезагружается. Фостаточно немного полазить удаленно по web морде и все, роутер недоступен, как становится доступен видно что перезагрузился(таймер uptime сброшен) В софтовом режиме все ок,работает не перезагружаетя. Конфиг в следующем сообщении.

@Le ecureuil На 2.08 на Ультра/Гига2 сохраняется ограничение на совместное использование hardware engine и sha256 или теперь ограничение снято?

По идее вот эта новая функция подойдет вам как нельзя кстати:http://forum.keenetic.net/topic/872-http-reverse-proxy/ будет что-то вроде torrent.{ваше KeenDNS имя}.mykeenetic.ru