Le ecureuil

Итак, в ветке 2.11 был реализован L2TP/IPsec сервер. На данный момент его настройка осуществляется только из CLI, потому здесь будет приведен список команд для желающих настроить и попробовать. Конфиг CLI: access-list VPNL2TPIPsecServer permit udp 0.0.0.0 0.0.0.0 port eq 1701 0.0.0.0 0.0.0.0 ! crypto ike key VPNL2TPIPsecServer l2tpipsecvpn any crypto ike proposal VPNL2TPIPsecServer encryption 3des encryption des encryption aes-cbc-128 encryption aes-cbc-256 dh-group 2 dh-group 1 dh-group 14 integrity sha1 integrity md5 ! crypto ike policy VPNL2TPIPsecServer proposal VPNL2TPIPsecServer lifetime 28800 mode ikev1 negotiation-mode main ! crypto ipsec transform-set VPNL2TPIPsecServer cypher esp-aes-128 cypher esp-3des cypher esp-des hmac esp-sha1-hmac hmac esp-md5-hmac lifetime 28800 ! crypto ipsec profile VPNL2TPIPsecServer dpd-interval 30 dpd-clear identity-local address 0.0.0.0 match-identity-remote any authentication-local pre-share mode transport policy VPNL2TPIPsecServer ! crypto map VPNL2TPIPsecServer set-peer any set-profile VPNL2TPIPsecServer set-transform VPNL2TPIPsecServer match-address VPNL2TPIPsecServer set-tcpmss pmtu nail-up no reauth-passive virtual-ip no enable l2tp-server range 172.16.2.33 172.16.2.43 l2tp-server interface Home l2tp-server nat l2tp-server multi-login l2tp-server lcp echo 30 3 l2tp-server enable enable ! При этом "Общий ключ PSK" равен l2tpipsecvpn, настроен пул из 10 адресов, привязка к интерфейсу Home, включен NAT для доступа в Интернет и разрешено несколько подключений для одного и того же пользователя. В целом настройки полностью повторяют функционал стандартного PPTP VPN-сервера. Не забудьте добавить пользователей и установить им тег ipsec-l2tp, чтобы они могли коннектится к серверу! PS: Проверена совместимость с Windows XP, 7, 10, Android, iOS и macOS. Везде использовались стандартные средства. Однако возможны разные странности в работе, поскольку это только первый релиз. Жду self-test'ов и описания ситуации, если что-то не работает. PS2: Да, перед настройкой удалите все настроенные IPsec соединения, иначе могут быть разные глюки. Хотя совместимость с Virtual IP и другими туннелями в теории есть, ее нужно _специально_ готовить. Это все будет учтено в версии, которая будет настраиваться из Web, а пока лучше не рисковать.

Вроде удалось нейтрализовать пропадание default route, проверьте на новом draft из 2.11.

Проблема не воспроизводится, и вообще очень странно формулируется, потому что по коду нигде нет очистки счетчиков, есть только добавление и наращивание. Проверьте подробнее, все ли условия выполняются.

Пока работающей связки OpenVPN и KeenDNS нет.

allow fragment разрежет L2-фреймы, заходящие в EoIP-интерфейс (хоть пусть и 1500 байт будут) на подходящие, если path MTU ниже чем размер пакета + заголовки, а потом на приемнике их прозрачно соберет.

Ну это, ну вы чо, ну. https://github.com/ndmsystems/packages/wiki/Opkg-Component#ndmwand

Она сохранилась, просто не выводится потому что сейчас система не знает IP этого устройства. Вновь подключив его к сети и получив прежний IP-адрес вы получите весь трафик этого устройства с момента включения.

Если клиент зарегистрирован и у него сохраняется постоянный IP-адрес между переподключениями, то информация о трафике сохраняется.

Мультикаст через GRE никогда не планировался и скорее всего работать не будет.

Учет трафика всех зарегистрированных клиентов уже есть с января, пока просто не выведен в Web. Смотрите на http://192.168.1.1/rci/show/ip/hotspot

Примерно понятна ситуация, будем воспроизводить и чинить.

Везде нужны self-test, иначе ничего непонятно. Я даже слова ccd не понял.

Потому что у вас на клиенте нет Интернета, он постоянно обрывается в site-survey.

Тогда можете игнорировать эти ошибки. Насчет исправления не скажу, потому что слишком узкоспецифичная ситуация.

@Lordmaster а сами DNS активны при этом, к ним есть доступ, ping?

Да, я о том, что на Keeentic нормально использовать bonding у вам врядли выйдет без поддержки со стороны прошивки.

А можно полноценный self-test? Я по обрубкам лога гадать не умею.

Нет, даже не проверялось. На Keeentic хранить что-либо кроме конфига нельзя.

Потому что вы в одну и ту же точку соединяетесь по этим туннелям. IPIP уже прописал host route к 77.37.136.81 через 192.168.1.1, потому PPTP тоже подбирает этот маршрут.

Там же в логе все предельно ясно написано: [I] Aug 30 20:27:37 ndm: IpSec::Manager: "EoIP0": IP secure connection was added. [I] Aug 30 20:27:39 ndm: IpSec::Manager: create IPsec reconfiguration transaction... [I] Aug 30 20:27:39 ndm: IpSec::Manager: crypto map "VirtualIPServer" has higher priority than crypto map "EoIP0". [I] Aug 30 20:27:39 ndm: IpSec::Manager: crypto map "VirtualIPServer" has different Xauth settings from crypto map "EoIP0". [I] Aug 30 20:27:39 ndm: IpSec::Manager: crypto map "VirtualIPServer" has different proposal from crypto map "EoIP0". [W] Aug 30 20:27:39 ndm: IpSec::Manager: skip crypto map "EoIP0" due to incompatible settings with crypto map "VirtualIPServer". [I] Aug 30 20:27:39 ndm: IpSec::Manager: add config for crypto map "VirtualIPServer". Используйте IKEv2 для автотуннелей.

Системный демон не рассчитан, что его интерфейсами будет управлять кто-то другой и у вас постоянно будет глюк на глюке.

Пока мало желающих для каких-либо телодвижений + используя интерфейсы таким образом вы разломаете NDMS, этот функционал надо встраивать явно.

Происходит перенастройка аппаратуры и перенастройка ПО. Учитывая, что роутер - далеко не ПК по мощности CPU, то и выполняется все помедленнее.

У вас проблемы не касаются интеграции OpenVPN в NDMS -> читайте официальные доки, читайте форумы по OpenVPN. Я не официальная техподдержка, и меня на всех не хватит. Кто жалуется именно на интеграцию с NDMS - все получили ответы.

Она уже есть, если что не работает - пишите.