Le ecureuil

Маршрут из iroute должен попадать на сервер, иначе от сервера в эти подсети за клиентами в режиме subnet попасть невозможно (если только их руками не прописать) - как раз эта проблема и была у ТС. Да, можно закостылить с двумя одинаковыми опциями в конфиге - iroute + route, но это некрасиво и неочевидно.

Между двумя кинетиками-клиентами, подключенными к одному серверу, у каждого из которых своя подсеть за ним и каждому настроен iroute - все работает уже сейчас. Однако от сервера к этим подсетям пока доступа нет - это было недоделано. Именно этот сценарий как раз проявляется у вас.

Они лежат реально в /storage. При перезагрузке не удалится. В новом web пока это еще не доделано, а в старом можно все сделать тут: Если у вас KN-1010, то придется на время поставить 2.11, чтобы залить нужные файлы - старый веб для них в 2.12 уже недоступен.

Официальный zabbix-agent здоровый и требует coreutils. Его добавление в непосредственном виде маловероятно.

Раздел /storage есть на любом устройстве с USB-портом, даже если порты не используются. Он обычно пустой, и предназначен в первую очередь для драйверов принтеров. Однако, мы его со спокойной совестью можем использовать для ccd. Да, делаем стандартно, как в большом OpenVPN. Залить файл можно через Web - идите в просмотр файлов, выбираете раздел storage, и заливаете туда файл. Насчет iroute в прошивке - это уже в следующем релизе, потому что еще нужно с PKI разобраться.

Сейчас iroute для внутренней маршрутизации работает, но роуты, которые он добавляет, не приходят в систему. То есть между клиентами связь есть, а от сервера к клиентам (если за клиентами подсети какие-то) без ручной настройки не заведется.

Да, глубинные сведения о каждом из компонентов знает в основном разработчик этого компонента. Меня бесполезно спрашивать что-то про Web, например, я кроме как "зафиксировать вопиющую неисправность" все равно ничего не смогу сделать и сказать.

Итак, удалось разобраться в чем дело. Вся суть в том, что OpenVPN в режиме topology subnet кроме системного роутинга использует еще и внутренний, который как раз и вредит в данном случае. А внутренний роутинг задается только через директиву iroute. Кратко, вывод такой: - дождаться следующего draft, в котором будет полноценная поддержка iroute. - для клиента создать ccd-файл в разделе storage, с указанием подсети, в вашем случае с 2 кинетиками он будет выглядеть так: push "route 192.168.1.0 255.255.255.0" push "route 10.8.0.1 255.255.255.255" iroute 192.168.2.0 255.255.255.0 - убрать все упоминания о push route и route из основного конфига в ccd-файл. - указать в конфиге директиву client-config-dir /storage для работы ccd. - залить ccd-файл клиента в storage можно даже через web. Неустранимый минус такого решения - сервер может быть только на устройстве, где есть раздел /storage, то есть только на устройствах с USB-портом. Клиентом же может выступать абсолютно любое устройство. Если все будет работать нормально, перенесем исправление и в 2.11.

Разработчика DNS proxy на этом форуме нет.

Есть же snmp, чего в нем не хватает, чтобы еще и zabbix-агента приделывать?

Немного дикарский метод, когда есть https://github.com/ndmsystems/packages/wiki/Opkg-Component#ndmifstatechangedd

Ну так задайте жестко для каждого из клиентов свой IP. Это же элементарно делается в web-интерфейсе в настройках.

Во-первых, это оффтоп в этой теме. Во-вторых, это из-за особенностей технологии.

Спасибо, буду разбираться.

@Pablo уважаемый, вы уже решили проблему? Нет желания досвести до конца?

Только opkg. Все.

Ок, поправим.

Да хоть на Start II можно использовать, или на Omni. Вопрос только в нагрузке на процессор.

Пожалуйста, скиньте конфиги сервера и клиента, я проверю что там у вас происходит.

Все верно, у вас ISP висит без адреса, а реальным WAN с Интернет является PPPoE0. На него и нужно перевесить сервер: > interface EoIP0 tunnel source PPPoE0 или же, если WAN может меняться, то можно настроить автовыбор (но у вас необходимости в этом нет): > interface EoIP0 tunnel source auto

В self-test ничего подозрительного нет. Через компонент Монитор снимите дамп с фильтром "udp dst port 161 || udp dst port 161" когда не работает, и приложите сюда.

Кидайте целиком self-test, что-то у вас не то.

1. проверим. Каким клиентом из-под винды цепляетесь? 1.2. никак нельзя. 2. в Интернет-фильтрах. 4. netflow только в cli, смотрите changelog, там есть описание как включить. По поводу Virtual IP - если есть возможность, то мигрируйте на L2TP/IPsec. В нем можно задать статические IP клиентам, и есть родные клиенты под все ОС.

Для этого есть opkg. Ssh будет давать доступ только к cli ndmc и к tcp forwarding.

Клиентов каждого из сервисов можно увидеть на страницах статистики этих сервисов.