Le ecureuil
-
Постов
10 882 -
Зарегистрирован
-
Посещение
-
Победитель дней
635
Тип контента
Профили
Форумы
Галерея
Загрузки
Блоги
События
Весь контент Le ecureuil
-
Пока не планируется.
-
1. source routing в 2.04 нет. 2. да, просто добавляете роут к этому адресу через нужный интерфейс и все.
-
Скорее это подсистема, которая определяет хосты с мусорным тяжелым трафиком в сети (например, торренты) и зарезает их, если они начинают перегружать сеть. Порог перегрузки определяется в настройках. Хосты с полезным трафиком при этом не трогаются.
-
Тут к сожалению аппаратное ограничение - PDMA (а именно самая ключевая часть сетевой карты роутера) не поддерживает jumbo-фреймы, потому мы ничего не можем сделать на текущих чипах. -
Неплохо бы включить verb 5 в обоих случаях (на клиенте и на сервере) и выдать сюда полный лог с обоих. Похоже на MITM или на отсутствующий ciphersuite.
-
У Dacha proposal отличается о того, что используется у IPIP2: [I] Jul 3 22:17:37 ndm: IpSec::Manager: crypto map "4Dacha" has different proposal from crypto map "IPIP2". Попробуйте вот такие настройки: crypto ike proposal 4Dacha encryption aes-cbc-256 encryption aes-cbc-128 dh-group 14 dh-group 5 integrity sha1 ! crypto ike policy 4Dacha proposal 4Dacha lifetime 28800 mode ikev2 ! crypto ipsec transform-set 4Dacha cypher esp-aes-256 cypher esp-aes-128 hmac esp-sha1-hmac dh-group 14 dh-group 5 lifetime 3600 ! Порядок encryption, hmac, intergrity и dh-group важен!
-
Опять - давайте конкретные примеры конфигов, и разберем вместе почему так сделано. Если окажется, что совместимо - разрешим. Только конкретные примеры, только хардкор!
-
Если совсем тяжко, могу сделать cli-команду которая отключает все проверки на совместимость и гордо декларирует, что юзер сам на себя берет всю ответственность по работе, но техподдержка с этой взведенной командой будет посылать в лес, да и я буду с неохотцей смотреть (только если совсем явные проблемы). Так устроит?
-
Что такое "голый IPsec"? Надо конкретные конфиги соединений, по ним будем смотреть, может и улучшим проверку. Но в любом случае если есть хоть одно IKEv1-соединение, то могут быть проблемы из-за его врожденной ненависти к ID, отличным от IP-адресов у endpoint-ов. Пока алгоритм немного загрубляет, но для массового юзера оно лучше.
-
Собственно не успел, уже все ответили
-
Свитч на гигабитных (между портами) поддерживает Jumbo, больше же нигде Jumbo кроме baby-jumbo (pppoe + vlan) не поддерживаются.
-
Ничего из указанного не воспроизвелось. Проверку подлинности ставьте MSCHAPv2 или CHAP, у них даже на сайте в "мурзилке" это описано. Ошибок аутентификации с этим же сервером не выявлено, скорость около 100 Мбит на прием, chrome 59 в винде отлично работает. Похоже, это у вас самодеятельность у провайдера, где-то теряются/бьются пакеты или же опять неправильные сетевые настройки.
- 1 ответ
-
- 2
-
-
Использовать прошивку 2.08 и новее.
-
Не забудьте про eoip_allow_fragment, иначе может быть "бо-бо".
-
Значит просто выставляйте "NailUp", и все.
-
На 2.09 и 2.10 не воспроизводится. Проверьте на них, тем более бета 2.09 уже вышла.
-
В Entware - да.
-
Спасибо за репорт, действительно, в рамках разработки 2.09 "потерялась" часть логики. Теперь все возвращено и работает.
-
Спасибо за репорт, будем разбираться. Приложите self-test для пущей достоверности, и еще неплохо бы дамп IKE трафика на WAN Keenetic, полученный через компонент monitor (можно задать ограничение на захват только UDP, чтобы избежать большого дампа) во время установки соединения.
-
Да, по идее этого достаточно. Не забудьте на сервере поставить security level у IPIP в private или protected, иначе могут быть странности. На клиенте по большому счету все равно.
- 1 ответ
-
- 1
-
-
Чтобы отвечать по LLMNR, нужно чтобы кто-то знал наше имя и его у нас спросил. А в случае с Master Browser у него сразу узнаешь список всех узлов в сети, и нет проблем.
-
Кстати, allow_eoip_fragment работает?
-
Да, именно, когда он внутри IPIP - все будет хорошо.
-
У вас еще EoIP настроен, у него номер протокола - 47, он совпадает с GRE. Потому и не работает.