KorDen

Сегодня

Подозреваю - выполнить по сути прямо все команды из доступных, mdid и ключ IAPP должны совпадать, только вопрос в каком виде их надо задавать. Дальше роутеры общаются бродкастом или мультикастом (?) между собой в пределах сегмента.

Пожалуй первый "ой" относительно 11r - https://hashcat.net/forum/thread-7717.html - как с этим жить? Есть ли поддержка чего-либо на старых устройствах (RT5392)? 11k - точки взаимодействуют по IAPP - бродкаст/мультикаст, или как? Отдается список всех точек в сегменте? Корректно ли в теории должны работать дополнительные ТД, если они будут в режиме "основной" (с отключенным NAT/DHCP/...), а не в режиме ТД? Как будет сосуществовать 2.4/5 - отдается список всех? И еще вопрос рядом - роуминг отстрелом по уровню сигнала предвидится?

В консоль CLI? Ну так тогда "sh run" и ищем: - наличие "service http" (а вдруг выключен?) - параметры ip http (в частности, ip http port)

PPTP ALG на всей цепочке NATов, через которые пробирается клиент

Нет, одно устройство может принадлежать только к одному профилю. В профиле задается только порядок подключений (для резервирования), индивидуальных route-таблиц на несколько подключений для каждого устройства/профиля задать нельзя. (кроме основной таблицы маршрутизации в дефолтном профиле). Задать src/dst port для политики тоже нельзя.

Если у вас загрузится с той прошивкой - дальше уже можете добавлять компоненты по желанию

Ну вы откопали старую тему... Точно-точно все компоненты с упоминанием WiFi убрали? Прошивка под гигу тут была - https://forum.keenetic.net/topic/3272-прошивка-для-giga-ii-без-wi-fi/?sortby=date

Ой, да, переклинило меня.. Точнее 2LUN он в той коробке называется

O_o Только хотел написать, что у меня на похожем 3U2B3A тоже в кинетике второй диск никак не определялся, причем я RAID не баловался, изначально в JBOD 2LUN юзал...

@Le ecureuil, похоже, работает, по крайней мере для IPIP

Для большинства случаев использования туннелей в роутерах нужно фиксированное значение а-ля 64. По-умолчанию же идет inherit. По RFC2003 "The Time To Live (TTL) field in the outer IP header is set to a value appropriate for delivery of the encapsulated datagram to the tunnel exit point.", но linux ставит inherit если параметр ttl отсутствует при создании туннеля. В качестве быстрого фикса установка того же 64 закроет вопрос. Аналогично по идее и для GRE, за EoIP не скажу. Но в идеале бы хотелось бы видеть опцию для настройки, хоть и не обязательно..

Отвечу себе же на свой же вопрос: ipip0: ip/ip remote 1.2.3.4 local 5.6.7.8 ttl inherit Короче говоря, "ip tunnel change ipip0 ttl 64" решает проблему. Остается вопрос - как перманентно установить TTL для исходящего туннельного пакета из CLI? ip adjust-ttl устанавливает не то что нужно... Похоже это в фичреквесты добавления команды типа interface tunnel ttl как минимум для IPIP и GRE (с EoIP непонятно, поскольку RFC-подобного описания сходу не нашел), которая будет устанавливать TTL внешнего пакета. @Le ecureuil...? P.S.: временно решил проблему через /opt/etc/ndm/ifstatechanged.d: #!/bin/sh [ "$system_name" != "ipip0" ] && exit 0 ip tunnel change ipip0 ttl 64

Дано: туннель IPIP over IPsec через интернет. Туннель работает, но напрягает сломанная трассировка через туннель. На стенде из пары роутеров не воспроизводилось, начал ковырять дальше и таки выяснил причину - при трассировке через IPIPoverIPsec туннель TTL=1 выставялется для "внешнего" пакета, как следствие, time exceeded приходит от провайдера! На tcpdump ISP это выглядит условно так: 19:23:42.163312 IP (tos 0x0, ttl 1, id 0, offset 0, flags [DF], proto ESP (50), length 152) localrouter > remoterouter: ESP(spi=0x11111111,seq=0x11), length 132 19:23:42.164677 IP (tos 0x0, ttl 30, id 0, offset 0, flags [none], proto ICMP (1), length 56) isp-gateway > localrouter: ICMP time exceeded in-transit, length 36 IP (tos 0x0, id 0, offset 0, flags [DF], proto ESP (50), length 152, bad cksum 82e0 (->83e0)!) При этом при пинге удаленного конца туннеля видим, что внешний пакет приходит с TTL равен исходящему минус количество внешних хопов, однако в развернутом пакете TTL равен исходящему минус 1. Вопрос - возможно ли его изменить, чтобы исходящий пакет уходил с нормальным TTL, не взирая на TTL заворачиваемого пакета?

По pingcheck переключилось на резерв (понятное дело с обрывом вызова). Первую минуту после этого исходящих не было (хотя инет уже был), Nvox видимо ждал таймаута повтора регистрации, или что подобное. Для этого обычно есть таймеры ожидания хоть какого-либо ответа, составляющие буквально несколько секунд, и тут мне кажется тишина вполне уместна. КМК - если на INVITE не прилетает 100/401/... в течение условных 5-10 сек - значит что-то не так и отбиваем.

Словил тут в момент переключения провайдеров: nvox: Outgoing call from HS ... to ... was rejected. Lines were unavailable because of SIP registration failure. Хотелось бы напомнить, что регистрация не является обязательной для выполнения исходящего звонка.

В вашем случае либо а) IPsec в туннельном режиме, ориентировочно AES128-SHA1 / DH14 во второй фазе пожалуй будет достаточно, в первой максимум AES256/SHA256, выше смысла нет. Транспортный режим вручную настраивать смысла нет, если не понимаете до конца как это все работает. б) автоматический туннель IPIPoverIPsec, пример настройки скажем тут - https://forum.keenetic.net/topic/4562-объединение-2-ух-интернет-центров-какой-туннель-оптимальнее/?do=findComment&comment=53412 У Gre/EoIP оверхед выше, и в общем случае они не нужны Из моей практики - на Giga II IPIPoverIPsec IKEv2 спокойно жует чуть больше 100 мбит/с в обе стороны (по отдельности конечно).

А разве пчела уже перестала выдавать динамические беляки? Или это отголоски купленных сеток?

Речь про раздельные инстансы роуминга для каждого SSID (e.g. Main/Guest)

Роуминг будет отстрелом как я понимаю? Будет ли совместимость с Band Steering + учтено ли, что доп.точки могут быть 2.4-only например? Рассматривается ли роуминг для дополнительных SSID (гостевая)?

В компонентах прошивки есть сенсор Netflow, позволяющий сливать инфу по соединениям на внешний сервер.Теоретически коллектор можно поставить и на роутер. Вы же понимаете, что сейчас бОльшая часть трафика - HTTPS, максимум отслеживаемый по имени домена в SNI при установлении соединения?

У них поговаривают сегодня после вброса и выброса 1к IP что-то поплохело очень сильно.

Стоп. Речь про именно галку components auto-update, а не про components commit. Каково её поведение?

Предлагаю добавить возможность по нажатию кнопки делать usb power-cycle нужного порта (без привязки к интерфейсу модема, просто порт 1/2) и/или (re)mount устройства в указанном порту. Лично мне это надо для возможности примонтировать обратно флешку (и запустить сервисы на ней) без физического перетыкания (и входа в CLI). На практике так же может пригодиться для быстрого ручного ребута модема, если роутер и USB-удлинитель закреплены на стене и заходить в морду долго, а роутер вон на стенке висит

Там в идеале не только шторку, а надо все padding'и уменьшать вдвое и так далее, потому что даже на FullHD дашборд занимает три экрана, а можно было уместить всё в одном 1366*768. Но этот чертов тренд win10 чтобы скороллить-скроллить-скроллить и поменьше текста на квадратный сантиметр, иначе хомячки выпадают от переизбытка информации.