Le ecureuil
-
Постов
11 324 -
Зарегистрирован
-
Посещение
-
Победитель дней
665
Тип контента
Профили
Форумы
Галерея
Загрузки
Блоги
События
Весь контент Le ecureuil
-
Попытаюсь настроить, может дам какие советы по тюнингу, чтобы хоть еле-еле, но устойчиво работало. -
Маршрутизация - только через туннели, чистый ipsec построен на принципе политик, и совсем не поддерживает маршрутизацию.
-
В 23-44 strongswan обнаруживает, что пора бы инициировать rekey самому, но так как настроен этого не делать, то тупо удаляет устаревшие SA и отправляет об этом отчет другой стороне без инициирования rekey (а новые SA уже есть от rekey в 23-32, потому это происходит безболезненно). Весь rekey и вся реаутентификация управляются полностью пожеланиями инициатора.
-
Пробуйте, сообщайте о наблюдениях.
-
Для ccd на устройствах с storage-разделом можете попробовать использовать его. Он располагается по адресу /storage Использование USB-drive неразумно, поскольку порядок поднятия интерфейсов и монтирования дисков не связан, и у вас будут рандомные глюки.
-
Серверная сторона настроена так, чтобы не инициировать rekey сама, но отвечает на него.
-
Какой именно счетчик? Счетчик CHILD_SA в {X}? Так он и не должен.
-
Понятие "сервер" и "клиент" в IPsec немного неверное, обе стороны вообще говоря равноправны. Скорее их нужно называть "инициатор" и "ответчик". Именно поэтому в IKEv1 мы не можем сказать, к какому именно соединению пришел ответный IKE-пакет, и это определяется перебором с небольшой эвристикой, которая не всегда правильно (и не всегда может из-за недостатка информации) срабатывает.
-
Попробуйте поиграться с tx-burst на WifiMaster0 и WifiMaster1, потому что показометр от спидтеста очень своеобразен и не всегда показывает истину:
-
Потолок на 7628 - 70 Мбит/с (это когда шифрование и хэш равны NULL, openvpn только переклеиванием заголовков занимается). Не сильно-то и разгуляешься. На 7621 наверное в такой синтетике можно выжать 100 Мбит/с. В таких условиях блок шифрования применять смысла нет, потому что ускорение с условных 30 до условных 40 Мбит/с (а выше 70 не прыгнешь даже в теории - см. выше + overhead на копирование в ядро/обратно) - очень жидко для столь большого объема работы. Потому все полностью программно. Если нужна максимальная скорость с шифрованием - тогда нужно выбирать BF-CBC/MD5 или AES-GCM - по тестам они самые лучшие.
-
>> crypto map VPNL2TPIPsecServer no l2tp-server nat
-
Такой вариант пока никак, без вариантов.
-
Она уже есть, просто настройте ее Насчет встраивания ipp посмотрю.
-
Скиньте пример дерева конфигов в виде файлов, а там я подумаю что вам можно предложить.
-
Поправлено.
-
Конечно, почему нет? Все, что позволяет настроить обычный конфиг - все можно. Единственное ограничение - все внешние файлы нужно сделать inline-блоками в конфиге.
-
Собственно, реализовано. Дальше обсуждение тут.
-
Гыгы. В принципе, логичное поведение. У вас интерфейс OpenVPN имеет security-level private или public? Исправим, чтобы ip hotspot autoscan игнорировал OpenVPN-интерфейсы.
-
Хорошо, поработаем над этим.
-
Через утилиту ndmq.
-
Оно само запускается только для автотуннелей и L2TP/IPsec клиента, в противном случае эта команда обязана быть в конфиге. Просто сейчас Web сам ее шлет без отдельной галки, потому и кажется, что стало "само".
-
Роутер точно не перезагружался?
-
А service ipsec выполнен?
-
Для ppp операция up/down не вызывает реконнекта. Используйте утилиту ndmq и вызывайте команды "interface PPPoE0 no connect" / "interface PPPoE0 connect via ISP". Подробнее смотрите в теме про переполучение серого адреса на Ростелеке.
