Перейти к содержанию

Le ecureuil

Участники форума
 Профиль  Обзор контента

  • Постов

    11 068

  • Зарегистрирован

  • Посещение

  • Победитель дней

    648

 Тип контента 

Весь контент Le ecureuil

  1. Le ecureuil
    Реализовано, появится в следующей сборке.
  2. Le ecureuil
    Ключ может быть любой, в том числе и одинаковый. Правило такое - локальный для одной стороны должен совпадать с удаленным для другой стороны. Все. В итоге у роутеров GIGA и 4G идентификаторы должны быть прописаны так: на GIGA: local: GIGA, remote: 4G; на 4G: local: 4G, remote: GIGA.
  3. Le ecureuil
    Должно быть поправлено в следующей сборке.
  4. Le ecureuil
    Спасибо, видимо сказывается нереализованный у нас прием DNS-опций. Постараемся реализовать к пятнице.
  5. Le ecureuil
    Да, это явный баг, поправим.
  6. Le ecureuil
    Поставьте везде 2.09 или 2.10. Этот баг в Web уже давно поправлен в них.
  7. Le ecureuil
    @timon348 Вот смотрите. У вас на клиенте с 4G так: identity-local email 7443434@mail.ru match-identity-remote email 7443434@mail.ru А на сервере так: crypto ipsec profile Office-Bakaleya dpd-interval 130 identity-local email 7443438@mail.ru match-identity-remote any authentication-local pre-share mode tunnel policy Office-Bakaleya ! crypto ipsec profile Office-Myaso dpd-interval 130 identity-local email 7443434@mail.ru match-identity-remote any authentication-local pre-share mode tunnel policy Office-Myaso ! А должно быть на сервере вот так: crypto ipsec profile Office-Bakaleya dpd-interval 130 identity-local email 7443438@mail.ru match-identity-remote email 7443438@mail.ru authentication-local pre-share mode tunnel policy Office-Bakaleya ! crypto ipsec profile Office-Myaso dpd-interval 130 identity-local email 7443434@mail.ru match-identity-remote email 7443438@mail.ru authentication-local pre-share mode tunnel policy Office-Myaso ! То есть ID сторон должны быть заполнены и совпадать с каждым из клиентов.
  8. Le ecureuil
    Мне на тему радио писать абсолютно бесполезно, я им не занимаюсь Сразу @Padavan упоминайте
  9. Le ecureuil
    Да я уже устал печатать одно и то же всем. Буду постить так. Поищите по форуму - у меня будет 500 постов с одним только вопросом "Где self-test?".
  10. Le ecureuil
  11. Le ecureuil
    Там есть ссылка на исходники на go, попробуйте собрать руками.
  12. Le ecureuil
    И где self-test со всех трех устройств?
  13. Le ecureuil
    Сами же можете глянуть код драйверов WiFi, там прекрасно видно, что в систему из него все прилетает уже преобразованное в 802.3, и в него улетает только таким же.
  14. Le ecureuil
    Пока не планируется.
  15. Le ecureuil
    1. source routing в 2.04 нет. 2. да, просто добавляете роут к этому адресу через нужный интерфейс и все.
  16. Le ecureuil
    Уже задан, MTU на интерфейсах без IP везде и так максимален.
  17. Le ecureuil
    Скорее это подсистема, которая определяет хосты с мусорным тяжелым трафиком в сети (например, торренты) и зарезает их, если они начинают перегружать сеть. Порог перегрузки определяется в настройках. Хосты с полезным трафиком при этом не трогаются.
  18. Le ecureuil
    Тут к сожалению аппаратное ограничение - PDMA (а именно самая ключевая часть сетевой карты роутера) не поддерживает jumbo-фреймы, потому мы ничего не можем сделать на текущих чипах.
  19. Le ecureuil
    Неплохо бы включить verb 5 в обоих случаях (на клиенте и на сервере) и выдать сюда полный лог с обоих. Похоже на MITM или на отсутствующий ciphersuite.
  20. Le ecureuil
    У Dacha proposal отличается о того, что используется у IPIP2: [I] Jul 3 22:17:37 ndm: IpSec::Manager: crypto map "4Dacha" has different proposal from crypto map "IPIP2". Попробуйте вот такие настройки: crypto ike proposal 4Dacha encryption aes-cbc-256 encryption aes-cbc-128 dh-group 14 dh-group 5 integrity sha1 ! crypto ike policy 4Dacha proposal 4Dacha lifetime 28800 mode ikev2 ! crypto ipsec transform-set 4Dacha cypher esp-aes-256 cypher esp-aes-128 hmac esp-sha1-hmac dh-group 14 dh-group 5 lifetime 3600 ! Порядок encryption, hmac, intergrity и dh-group важен!
  21. Le ecureuil
    Опять - давайте конкретные примеры конфигов, и разберем вместе почему так сделано. Если окажется, что совместимо - разрешим. Только конкретные примеры, только хардкор!
  22. Le ecureuil
    Если совсем тяжко, могу сделать cli-команду которая отключает все проверки на совместимость и гордо декларирует, что юзер сам на себя берет всю ответственность по работе, но техподдержка с этой взведенной командой будет посылать в лес, да и я буду с неохотцей смотреть (только если совсем явные проблемы). Так устроит?
  23. Le ecureuil
    Что такое "голый IPsec"? Надо конкретные конфиги соединений, по ним будем смотреть, может и улучшим проверку. Но в любом случае если есть хоть одно IKEv1-соединение, то могут быть проблемы из-за его врожденной ненависти к ID, отличным от IP-адресов у endpoint-ов. Пока алгоритм немного загрубляет, но для массового юзера оно лучше.
  24. Le ecureuil
    Собственно не успел, уже все ответили
  25. Le ecureuil
    Свитч на гигабитных (между портами) поддерживает Jumbo, больше же нигде Jumbo кроме baby-jumbo (pppoe + vlan) не поддерживаются.
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.

  Я принимаю