Le ecureuil

Нет, все еще нельзя.

В части случаев после сброса настроек и загрузки с конфигом по умолчанию не поднимались точки доступа (2,4 или 5, или обе вместе). Теперь это исправлено.

ACL / Межсетевой экран Для туннелей нет ограничения.

Исправлено, будет в следующей сборке.

Ага, затесалась еще одна мелочевка. Поправлено, будет как обычно в сегодняшней сборке.

Спасибо за репорт, исправлено. Войдет в ближайший релиз.

Нет, IP-адрес или FQDN сервера (он должен быть глобальным, или это должен быть проброшенные порты 500/4500 UDP на этом адресе до сервера). Локальный адрес вычислится автоматом на основе роутинга, так что tunnel source тут лишний. Плюс IPsec сам создаст все настройки для прохода сквозь NAT до реального адреса сервера, ему не нужно в этом помогать.

@enpa, @r13 - туннели на базе EoIP/IPsec и GRE/IPsec концептуально несовместимы с PPTP-подключениями из-за того, что PPTP тоже использует протокол GRE. У вас есть всего лишь один вариант - использовать IPIP/IPsec. Занесу инфу в шапку.

Реакция на команды interface up/down поправлена, войдет в ближайший релиз.

Реализовано, появится в ближайшем релизе.

В базе знаний приведены только протестированные трубки, выбранные с учетом популярности по розничным продажам в России (основные 70-80% рынка). Поэтому есть шанс, что еще какие-то модели поддерживают, но их скорее всего просто так не купишь в России.

Спасибо за напоминание, возможно сделаем уже на этой неделе.

Да, когда все более крупные проблемы будут решены - возможно так и сделаем.

Нет, должно работать с просто "down". Команда "connect" есть только у интерфейсов на базе PPP. Это баг, будем чинить.

>no opkg dns-override >system configuration save

Может осилите наконец объявления под шапкой _КАЖДОЙ_ страницы?

self-test с обоих сторон где?

Ок, принято в работу.

Судя по логу у вас на разных концах задан разный PSK, проверьте внимательно (а лучше вбейте заново).

Сто раз уже описано в темах по запросу фич и багрепортах. Поищите по форуму, или сами попробуйте в морде поковыряться. Ах да, это работает только на 2.08, на 2.06 расписаний в Web нет.

Потому что для PPP-интерфейсов команды up/down не вызывают разрыва линка, они просто опускают работающий интерфейс, сохраняя при этом PPP-соединение. Вам нужно вызывать interface PPPoE0 no connect / interface PPPoE0 connect, тогда все будет работать как ожидается.

Насчет маршрутов придумывайте сами или подсматривайте примеры в БЗ для PPTP и адаптируйте. Все механизмы теперь для этого есть. Я все же не технический писатель, и не техподдержка.

Хоть бы отписали в чем было дело, чтобы другие тоже не наступили на эти грабли.

Насчет proposals примерно вот так: IPSECURE_IKE_MEDIUM_( "aes256-sha1-modp1536,aes128-sha1-modp1536,3des-sha1-modp1536," "aes256-sha1-modp1024,aes128-sha1-modp1024,3des-sha1-modp1024"); IPSECURE_SA_MEDIUM_( "aes128-sha1,aes256-sha1,3des-sha1," "aes256-sha1-modp1536,aes128-sha1-modp1536,3des-sha1-modp1536," "aes256-sha1-modp1024,aes128-sha1-modp1024,3des-sha1-modp1024"); IPSECURE_SA_MEDIUM_3DES_( "3des-sha1,aes256-sha1,aes128-sha1," "aes256-sha1-modp1536,aes128-sha1-modp1536,3des-sha1-modp1536," "aes256-sha1-modp1024,aes128-sha1-modp1024,3des-sha1-modp1024"); IPSECURE_SA_MEDIUM_PFS_( "aes128-sha1-modp1024,aes128-sha1,aes256-sha1,3des-sha1," "aes256-sha1-modp1536,aes128-sha1-modp1536,3des-sha1-modp1536," "aes256-sha1-modp1024,3des-sha1-modp1024"); IPSECURE_SA_MEDIUM_3DES_PFS_( "3des-sha1-modp1024,3des-sha1,aes256-sha1,aes128-sha1," "aes256-sha1-modp1536,aes128-sha1-modp1536,3des-sha1-modp1536," "aes256-sha1-modp1024,aes128-sha1-modp1024"); IPSECURE_IKE_LOW_( "aes128-sha1-modp1024,3des-sha1-modp1024,des-sha1-modp1024," "aes128-sha1-modp768,3des-sha1-modp768,des-sha1-modp768," "aes128-md5-modp1024,3des-md5-modp1024,des-md5-modp1024," "aes128-md5-modp768,3des-md5-modp768,des-md5-modp768"); IPSECURE_SA_LOW_( "des-md5,aes128-sha1,3des-sha1,des-sha1,aes128-md5,3des-md5," "aes128-sha1-modp1024,3des-sha1-modp1024,des-sha1-modp1024," "aes128-sha1-modp768,3des-sha1-modp768,des-sha1-modp768," "aes128-md5-modp1024,3des-md5-modp1024,des-md5-modp1024," "aes128-md5-modp768,3des-md5-modp768,des-md5-modp768"); IPSECURE_SA_LOW_PFS_( "des-md5-modp1024,aes128-sha1,3des-sha1,des-sha1,aes128-md5,3des-md5," "aes128-sha1-modp1024,3des-sha1-modp1024,des-sha1-modp1024," "aes128-sha1-modp768,3des-sha1-modp768,des-sha1-modp768," "aes128-md5-modp1024,3des-md5-modp1024," "aes128-md5-modp768,3des-md5-modp768,des-md5-modp768"); IPSECURE_IKE_STRONG_( "aes256-sha1-modp2048,aes128-sha1-modp2048," "aes256-sha1-modp1536,aes128-sha1-modp1536"); IPSECURE_SA_STRONG_( "aes256-sha1-modp1536," "aes256-sha1-modp2048,aes128-sha1-modp2048," "aes128-sha1-modp1536"); Поскольку используется IKEv1, то клиент отсылает только первый proposal из списка, а сервер сравнивает proposal из запроса со списоком и принимает любой подходящий. Примерно так, только учтите, что туннель всегда будет в состоянии up, если он не работает поверх IPsec, и потому резервирование с ним будет работать странно, хотя зависит от числа в ip global. DHCP проходит насквозь через EoIP, как и любой другой трафик L2. Для фильтрования используйте ebtables из entware или что-то в этом духе, модули ядра все присутствуют в компонентах.

Ога, поправил.