Le ecureuil
-
Постов
11 067 -
Зарегистрирован
-
Посещение
-
Победитель дней
648
Тип контента
Профили
Форумы
Галерея
Загрузки
Блоги
События
Весь контент Le ecureuil
-
Опять-таки нет, автоматический туннель в серверном режиме только один MTU должен был выставиться автоматом в 1380 (плюс-минус), попробуйте руками задать 1280 - с этим значением все должно работать. Ну и еще ip tcp adjust-mss pmtu на EoIP-интерфейсе, возможно только этого будет достаточно, или более жесткий вариант с ip tcp adjust-mss 1200. -
Несколько серверных соединений сделать не получится, только одно (это изначальное ограничение автоматического режима, зато все можно сделать руками, если хотите).
-
Проблема в работе, думаем как ее аккуратно решить.
-
Вам не отправляется этот параметр, поскольку вы уже находитесь в сети 192.168.1.0/24. Если у вас IPsec подсоединен к серверу с адресом 192.168.1.1, то вы не можете послать трафик внутрь IPsec с политикой 192.168.1.0/24. Это сломает всю систему. Попробуйте подсоединяться из WAN и на WAN IP.
-
Строго говоря - нет.
-
Opkg это вообще про другое. Хотя можете попробовать mtr или traceroute.
-
http://my.keenetic.net/#web.tc Только нажмите "parse".
-
Исправлено, появится в свежих сборках.
-
Стоит в очереди, но с низким приоритетом.
-
Да, все именно так как описал @r13. Это время следующего пересогласования фаз.
-
Через EoIP/IPsec вполне реализуемо. Однако MTU будет так себе, ну впрочем и на OpenVPN с этим не лучше.
-
Ага, эта команда была специально сделана для snmp, и потому можно напрямую со свича получать время нахождения каждого порта в текущем режиме.
-
Насчет глюков при горячем применении конфигурации - да, есть такое, и из-за высокой сложности управления демоном strongswan непросто добиться идеальной работы, хотя мы постоянно исправляем проблемы. Постарайтесь сперва опускать ipsec, потом перенастраивать, потом поднимать.
-
Вы используете мягко говоря нестандартную настройку. Опция match-remote-identity any нужна только если у вас сервер (set-peer any) с road-warrior клиентами. Попробуйте всегда явно указывать ID обоих сторон соединений, для соединений точка-точка или сеть-сеть рассчитано что будет использоваться именно так. Или же приведите аргументированный пример, когда настройка с match-identity-remote any с обоих сторон является единственно возможным решением.
-
Нет, пароли так и останутся. Это не баг, а фича. Хотите секретности - включайте https.
-
Возможно. Фильтруйте дамп с ISP по протоколу esp, и смотрите на порядок следования esp sequence number.
-
Проверил, NAT работает корректно. Похоже на проблему клиента, который шлет трафик незашифрованным. На какой последней прошивке точно работало?
-
Прогалы между значениями для соседних пакетов в поле "Sequence number":
-
Ах вот оно что. Проверим.
-
А "удаленный конец" туннелей - это какой именно адрес?
-
А вот тут уже интереснее - пришлите пожалуйста в личку startup-config клиента и сервера.
-
Проверил, через двойной NAT ходит нормально, проблем на ровном месте не обнаружил. Основной вопрос тут вот какой: что такое 46.241.10.2? У вас в схеме сети его нет, и в настройках тоже. Только 48.210.2.2.
-
Он может дропать пакеты, а любой дроп - это нарушение SequenceID и инициализационного вектора, нужно их снова пересогласовать.
-
Вооооот! С этого и нужно было начинать! Попробуйте эту бяку выключить. IPsec чувствителен к потере или переупорядочиванию пакетов с данными, возможно вам свитч мешает жить.
-
Нет.
