Le ecureuil
-
Постов
10 833 -
Зарегистрирован
-
Посещение
-
Победитель дней
634
Тип контента
Профили
Форумы
Галерея
Загрузки
Блоги
События
Весь контент Le ecureuil
-
Unicast ARP хоть и стандартизован, но многими антивирусами и IDS воспринимается как "атака" или "подозрительная активность", потому сразу нет. -
Адрес 10.70.70.10 точно отвечает на ping от 10.70.70.200?
-
Задать адрес EoIP3 статикой, а не по DHCP. Именно в этом и кроется причина всех проблем. Да и вообще, если нужен ping-check внутри туннеля, то лучше задать адреса обоих концов статикой.
-
Нет, логика неправильная. ip static - это ручное управление любым NAT, как SNAT, так и DNAT, так и вообще отключение NAT (подробности в CLI Guide). ip nat - это автоматика (в первую очередь для упрощения работы Web).
-
А oetX это точно EoIP, а не EtherIP по RFC3378?
-
Да, web стирает настройки в cli, и это не считается багом: как только вы сами полезли в cli, то считается что вы понимаете что делаете.
-
ip nat - это для "автоматики", которая вам как раз и не нужна.
-
Безынтерфейсные пока вообще без вариантов. Прикрутить не проблема, проблемы в обратной совместимости и в черезмерной перегруженности этой команды и неявном поведении в зависимости от настроек аргументов. Если мы сейчас что-то прикрутим не подумав, придется этот костыль таскать всегда, потому мы десять раз думаем перед разработкой новых команд и особенно расширением старых.
-
Web ничего не знает о новой команде, и затирает ее полностью (как и любую другую команду ip static, не относящуюся к пробросу портов). Потому если хотите выключения nat индивидуально по сегментам - настраивайте проброс портов через ip static тоже только в CLI. Больше проблем не замечено.
-
Важное замечание - этот синтаксис не работает так, как ожидается. При этом еще и включается проброс портов с сетей 192.168.0.0/255.255.252.0 на адрес интерфейса ISP, что противоречит логике. Короче, единственный рабочий вариант: > ip static <in-iface> <out-iface>
-
Сюда. Сперва ознакомьтесь в объявлениях с правилами оформления постов с отладкой. С tplink неужели даже системный журнал нельзя получить?
-
Спасибо за репорт, проверим.
-
Проблема нашлась, она таилась в Web-интерфейсе. Из CLI смена работает как надо. Будем чинить.
-
Адрес тоже поддерживается. > ip static 192.168.0.0 255.255.252.0 ISP > ip static 192.168.0.0 255.255.252.0 UsbLte0 Единственное важное - чтобы исходящие интерфейсы были public.
-
О, спасибо! Попробуем найти почему это так, и поправить.
-
Снимайте дамп Wireshark в случае WS2012 и в случае Keenetic, иначе это гадание на пальцах.
-
Остается полностью прошлое поведение. Если включен nat - будет с ним, если выключен - будет без него.
-
Сейчас у нас главное - это обратная совместимость. Да, возможно решение неидеальное и требует особого внимания со стороны настраивающего, но это самое простое что можно было реализовать с сохранением прямой совместимости команд и всех инструкций в базе знаний. ip static out у нас вообще нет ;(
-
Изменилось все. WPS отключен по-умолчанию, нужно нажать кнопку. Плюс есть проверка на брутфорс, которая сильно замедляет перебор и даже банит устройства при таких действиях. Подробнее у @Padavan
-
Уже сказали ведь, что проблема не в реализации QoS, а в классификации потоков, и пока основная проблема именно с этим.
-
Насчет tunnel source auto сделано, насчет недоступности целевого интерфейса продолжаем работу.
-
Скорее всего проблемы с MTU, скиньте self-test с устройств с обоих сторон туннеля.
-
IPsec не может быть простым по определению, если он для вас таков - значит уже поработало много людей бессонными ночами У нас же реализация относительно "молодая", возможны несовместимости. Постараюсь проверить ситуацию с Kerio, оставайтесь на связи.
-
А PSK точно-точно совпадает? Постараюсь проверить, просто никак руки не дойдут до создания стенда с mikrotik.
-
Пожалуйста Все непонятки описывайте здесь, возможно что-то работает не совсем корректно или не учтено
