Le ecureuil
-
Постов
10 886 -
Зарегистрирован
-
Посещение
-
Победитель дней
636
Тип контента
Профили
Форумы
Галерея
Загрузки
Блоги
События
Весь контент Le ecureuil
-
Что-то здесь не так. Какие-нибудь порты снаружи открыты явно?
-
А что, уже лезут по https? На самом деле там механизм авторизации все равно един, потому нет необходимости задавать lockout-policy на https - оно уже работает.
-
Конечно можно, еслт делаете через CLI и сами. Со стороны Web проще работать с раздельными настройками. -
Спокойно. Если вы не используете WISP или режимы Repeater/AP, то вам ничего не страшно. Просто дождитесь, пока 2.10 выйдет в stable для неподдерживаемых устройств, или попробуйте 2.11 (но вот тут стабильность под вопросом :)).
-
Чтобы его MAC появился, нужно чтобы он его разослал в сеть, а он видимо беспробудно молчит. То есть надо зайти на его web/telnet/ssh, или просто на интерфейсе у него настроить адрес из домашней сети, тогда он будет периодически опрашиваться службой Neighbour Explorer, и светится в MAC-таблице роутера и свитча.
-
Да, в последних релизах настройки гармонизированы и если все верно делать, то даже incompatible не нужен. IKEv2 - это уже сертификаты, потому пока не стоит в планах. На самом деле я думаю, что L2TP/IPsec покрывает 99% потребностей в защищенном VPN, ну еще может быть SSTP нужен для тех, у кого не пролезает IPsec через firewall. IKEv2 - это еще один и тот же IPsec, только с другой стороны...
-
На этой неделе уже должно все быть хорошо - настраивать надо из нового Web как Virtual IP, так и L2TP/IPsec. Да, рекомендуется удалить руками всю старую конфигурацию, сделанную вручную, возможны конфликты с ней.
-
Достаточно одного ключа с любым названием с постфиксом any, он будет использоваться обоими соединениями.
-
client-config-dir /storage Только на устройствах с поддержкой USB-накопителей, на других такого раздела нет.
-
Умеет, только обязательно используйте IKEv2.
-
@alexxx0677 у вас в self-test намешано как минимум работа ping-check, ручная перенастройка интерфейса и в итоге все равно OpenVPN соединился и работает. Потому ничего не понятно. Можно попроще ситуацию: отключите pingcheck, ничего не перевключайте в web и воспроизведите эту ситуацию. Иначе гадание сплошное получается. В моих тестах при дисконнекте openvpn все работает нормально.
-
Они совместимы, об этом позаботились. По крайней мере я явных проблем не наблюдаю. Настраивать пока стоит из CLI и включать режим crypto ipsec incompatible. Ключ PSK должен быть один на два сервера, иначе не заработает. Комбинация с другими IPsec-соединениями не проверялась, там может быть все, что угодно. Если у вас что-то не так, то выкладывайте self-test с логами.
-
Поддержки на аппаратном уровне нет и пока не планируется.
-
Попробуйте для проверки сделать > no ppe software если такая ситуация продолжится, то сделайте > system set net.ipv4.netfilter.ip_conntrack_fastnat 0
-
Надо проверить, что там происходит когда снизу IPsec. Так руки и не доходили.
-
Немного странная хотелка, однако у вас все равно не должно быть проблем. Если настроен интерфейс GreX c IPsec, то автоматически расставлены политики и их проверки, потому нешифрованное не пройдет. Если не настроен Gre совсем, то он тоже никуда не пройдет.
-
Настраивать DNS на другом роутере нужно точно также, как и на любом другом интерфейсе. CLI нет.
-
Странно, это означает, что фрагментация не работает.
-
@nita231 Минимальная прошивка для Giga II / draft, в которой отключено абсолютно все, кроме pptp/l2tp/usblte. https://www.dropbox.com/s/h5xos6rwj96cznp/kng_rb_draft_2.11.A.4.0-2.bin?dl=0 Заливайте по tftp, должно завестись.
-
Если включена фрагментация, то MTU ни на что не влияет.
-
МСЭ имеет приоритет перед tunnels input. Потому просто запретите нужные протоколы в МСЭ.
-
Ок, проверим ситуацию.
-
Сами прикиньте, сколько должно быть MTU у туннеля при работе через ISP-интерфейс с MTU 1500, поверх него PPPoE, поверх него PPTP - для Интернета, затем транспортный IPsec и еще L2TP.
