Le ecureuil

Не наглейте DNS и http трафик точно не будут включены в обозримом будущем, поскольку в случае с http вступают в роль ppe software и ppe hardware. Второй вообще невозможно настроить на мониторинг трафика по UDP/TCP портам, так как он аппаратный.

Интерфейсы будут без сомнения.

Хотелось бы уточнить, в данном ограничении учитываются только IPsec-туннели, или же L2TPoverIPsec тоже считаются? На данный момент есть два IPsec-туннеля между кинетиками, + туннель на OpenVPN, который думаю перевести на L2TPoverIPSec ради повышения производительности (кстати, он же тоже использует crypto engine hardware?). Дополнительно вопрос - по-умолчанию домашние адреса будут натироваться в L2TPoverIPSec? Как я понимаю, инструкция по предотвращению натирования аналогична https://zyxel.ru/kb/3252/ - но она работает только если есть один WAN со статическим IP? А что делать в случае с динамическим IP и/или резервированием? L2TPoverIPSec не считаются. Использует crypto engine hardware. В скором времени функция будет немного переделана, изменится и конфигурация, будьте внимательны. Да, отключение NAT делается именно как в статье, и работает только для статического IP. Для динамического (по крайней мере пока) нет.

Есть идеи по реализации в ближайшие полгода (а может и раньше, но загадывать не будем, понятно, что пользователи draft-прошивок все получат первыми ) (по состоянию примерно как в посте viewtopic.php?p=5951#p5951 ), если кто еще что напишет - постараемся принять к сведению. Сейчас самая очевидная проблема - при реализации статуса портов свича на устройствах с MT7628 (то есть Start II) не будет расширенной статистики (навроде сколько на каждом порту принято/отправлено байт, ошибок, мультикастных пакетов, коллизий - все эти параметры будут присутствовать, но будут равны нулю). Он позволяет получить только информацию о количестве пройденных RT/TX пакетов. На остальных устройствах сильных сложностей не предвидится..

Эта строка называется "shebang", и правильное ее написание таково: #!/bin/sh У вас же пропущен символ '#' в начале, потому некорректно работает.

Пока нет, пользуйтесь Opkg/Entware.

У процессора роутера в отличие от компьютерного нет расширенных режимов энергосбережения и ACPI, который используется для отключения системы. Он может только жарить на 100%, и все. А из-за отсутствия ACPI (или его аналога) программное управление питанием системы не предусмотрено (кроме USB-портов, где можно снять / подать питание).

Именно! Это невозможно, поскольку после полной остановки системы происходит автоматическая перезагрузка по watchdog.

Да, должно.

Ну попробуйте, с РТ судиться - дело неподъемное, у них все отмазы везде мелким шрифтом прописаны и юристы соответствующей квалификации.

Нет, выдрать нельзя. Это вообще разные технологии. У нас пока нет возможности работать по сертификатам.

Временный бан от них легко можно получить за частые реконнекты.

Надо на самом модеме прописать роут к 192.168.1.0 через VPN-интерфейс Ultra II. На модеме нет роута к 192.168.1.0, и потому от отвечает в default route, то есть в мобильную сеть Как вариант - на Ultra II включить NAT на VPN-интерфейсе.

Если вы будете использовать свой роутер, а не ростелековский, это будет крайне тяжело сделать, практически невозможно. Говорю вам как бодавшийся с ними из-за низкокачественного ADSL с 2007 по 2011.

я понадеялся, что легко найду здесь ответ - "как в CLI увидеть недостающую информацию по Wi-Fi клиентам"... в упор не вижу. Прошу модератора в шапку кинуть. Помогите люди добрые. (config)> show associations (config)> show ip arp

Это невозможно. Кнопка "Выключение" работает чисто аппаратно, разрывая линии питания. Выключить роутер программно невозможно, только перезагрузить.

у меня на смарте стареньком флешка криптуется трюкриптом и вообще ни разу не тупит :-/ Можем добавить модули ядра для LUKS и dm-crypt, а дальше сами разбирайтесь.

Настроил соединение L2TP over IPSec таким образом между своим RB1100AHx2 в датацентре и домашним Keenetic Ultra II. Параметры шифрования получаются такие: L2TPoverIPsec0[10]: IKE proposal: 3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# L2TPoverIPsec0{11}: INSTALLED, TRANSPORT, reqid 3, ESP SPIs: cab4addc_i 026ff67b_o L2TPoverIPsec0{11}: AES_CBC_128/HMAC_SHA1_96/MODP_1024, 98395 bytes_i (725 pkts, 64s ago), 139863 bytes_o (770 pkts, 4s ago), rekeying in 7 hours Вопрос чисто теоретический, так как в принципе вполне хватит и AES_CBC_128, но все же, можно ли поменять это на AES_CBC_256? В Mikrotik я могу изменить настройки Proposal, здесь это можно как-то сделать? В общем же впечатления сугубо положительные, настройка шифрованного канала между домом и дата-центром была одна из целей покупки этого роутера. Мой канал 100 мегабит/с используется полностью, при практически нулевой загрузке процессоров с обеих сторон (crypto engine hardware прописано в Keenetic, RB1100AHx2 тоже использует аппаратный модуль шифрования). Но все таки, можно ли менять параметры шифрования, именно для туннеля L2TP over IPsec? Версия прошивки, кстати, v2.07(AAUX.11)B0, свеженький draft. Пока нельзя. Эта функция будет переработана в ближайшие пару месяцев, тогда и посмотрим.

И yandex.dns.

Лучше всего использовать винты с внешним питанием, тогда любой хаб подойдет.

Напишите-ка сабсет snmp, который вам нужен. Только аргументированно и по возможности минимальный, а не "так везде, значит и вы делайте". Конкретно список элементов данных.

(config)> system log suppress transmissiond (config)> system configuration save

И где же тут противоречие? Вы же не записали в /opt/etc/TZ другую таймзону и не вывели значение времени в ней. Пока все выглядит нормально.

Я уже писал, но еще раз напишу что интенсивность слишком мала. Скорее похоже на гаджет, который периодически пытается подцепиться к точке, но не может (например в нем уже забита точка с SSID как у вас, но с другим паролем).

У вас на диске скорее всего права на доступ к каталогу выставлены в "Запрещено для всех, кроме некоторых пользователей". Пока не сделана нормальная поддержка acl, нужно дать полный доступ на чтение _всем_ (Полный доступ / Access to everyone вроде это называется), в том числе и подкаталогам, и нужно это сделать не через кинетиковский web, а в винде, подключив туда диск. nginx работает от пользователя nobody в целях безопасности, и скорее всего он не может получить доступ к файлу. Попробуйте на флешке с fat32, если все заработает - проблема именно в правах.