KorDen

Теперь и я присоединюсь к теме. Хотелось бы видеть текущие, а не стартовые параметры и + наличие растущих ошибок.

Если с обоих сторон статические белые IP - strongswan+ip tunnel на линуксе и ipip-туннель (можно авто с ikev2) очень прост. Если с одной из сторон динамический IP или NAT - потребуются скрипты для обновления айпишников туннеля.

Как проверяете открытость портов? IP - первые две цифры - какие?

А в логе продолжает предлагать зайти под 5-буквенным

Давно не имел дела с провайдерами, предоставляющими инет по L2TP... Ситуация такая: Keenetic Giga II, стояла v2.06.C.3.0-0. Не ходят фрагментированные пинги (выше 1372), на интерфейсе L2TP почему-то выставляется MTU 1400, он же отображается как статический в running-config, хотя в startup-config его нет. Сделал interface L2TP0 no ip mtu и передернул соединение - подключилось с MTU 1454, соответственно поднялся и максимально возможный размер нефрагментированного пакета, но фрагментированные все еще не ходили. Далее перешел на дельту 2.10.C.2.0-4. Ситуация аналогична (MTU ставится 1400), и заставить его работать с MTU 1454 автоматом по аналогии с 2.06 не получилось Теперь интересное - в таком виде пингую снаружи - большим пакетом - фрагментированный пакет прилетает на L2TP0, но ответ с него уже не уходит. При пинге с этого роутера - большие пакеты уходят вникуда Что можно сделать, кто виноват? self-test с 2.10 ниже

Видео и аудио идут отдельными RTP-потоками.. Потоки ниже 500 кб/с по идее уходят мелкими пакетами, не делясь. У VLC пакетизация 1442 байта например при стримиинге, в рекомендациях кажется 1460 максимум. Но это и так и так не умещается при оверхеде IPsec. это при пинге через туннель? По идее можно сделать захват пакетов прямо на удаленном кинетике на интерфейсе Home по фильтру "ip host <ip камеры>" и посмотреть, какого размера прилетают пакеты с камеры на большом битрейте - ну и дальше уже танцевать от этого значения. Если камера позволяет указать MTU - можно попробовать поставить 1400 например для проверки.

Это когда только одна камера шлет уже проблема, или суммарно когда с каждой по 700 летит? Перестает проходить - вообще ничего не приходит, или же поток начинает сыпаться?

К той статье еще вопрос - нафига говорить что нужно NDMS v2.08+ и при этом использовать entware-keenetic, а не entware-3x? И более спорный вопрос - уже сгенерированные хост-ключи

У роутера одна таблица маршрутизации, поэтому без костылей с Entware/iptables - нельзя. А c ними можно и общий multi-wan сделать

На всякий случай уточню - захватывается в любом случае если netflow установлен, даже если не настроен?

А что там нужно-то сейчас? Перейти на delta/draft на любых моделях можно через консоль, промежуточные версии уже давно там не обновлялись, CLI Manual есть в офф.поддержке. Интерес представляют разве что сборки под старые белые кинетики.

Если вам нужно просто принять на WAN пару тегированных вланов и отдать их untagged на определенные LAN-порты, можно воспользоваться штатными "VLAN для ТВ/телефонии" (в настройках IPoE)

Для сегментов уже есть. Хотя, конечно, хотелось бы указывать так же вланы и на public-интерфейсах, не ограничиваясь "vlan для телефонии/ТВ" прямо на этой же странице

Была такая мысль, уже пробовал подключать (да и сейчас подключены) с БП на 3А каждый... Кстати говоря. Первый (глючащий) при продолжительном включении остается холодным и потребляет постоянно ~0.13А, второй (рабочий) чуть нагревается, при старте ~0.12А, через несколько секунд возрастает и остается на уровне- 0.38А. До кучи xDSL>show summary Port|Link time Rate US/DS Status INP US/DS Delay US/DS CRC US/DS TxPkts/RxPkts 1 | 0 0/0 Error 0/0 0/0 0/0 0/0 xDSL>show status 1 Status of Line 1: Error Команды выполняются с задержкой, после show status 1 в основном логе получаем "ndm: Network::Interface::Mt2311::UsbDsl: system failed [0xcffd014c].". Второй модем при этом выдает в Status адекватные Power Off / Idle / ... Короче, отправлю завтра в московский СЦ...

Нет, модемы свежекупленные, хотел поиграться с VDSL и таки поднять линк на 500м по существующему кабелю, пока оптику не протянут. На первом модеме состояние "Отключено" переходит в "Сбой соединения" и через несколько секунд опять "отключено" (и так по кругу), в логе бесконечно kernel: device eth0 entered promiscuous mode kernel: device eth0 left promiscuous mode Network::Interface::Mt2311::UsbDsl: reconfiguring DSL line... Это в любом режиме, VDSL сервер/клиент/ADSL, даже без подключенного кабеля (ну, понятно, что по последнем не законенктится, но ведь должно отображать "нет соединения", или нет?) На 4G кстати нет команды exec, поиграться с dslcli нельзя. Попробую потом соединить второй модем с ультрой для сравнения. У меня стойкое подозрение на неисправность конкретного модема, только вопрос - однозначно аппаратная проблема, или может быть как-то может решиться прошивкой там, etc?

Пробовал ~20-30 метровую лапшу, этого недостаточно? И все же повторюсь - оно так и должно писать "сбой соединения" и вяло мигать (с 10+секундным интервалом), или же должно как и на первом модеме писать "нет соединения" и мигать с 2-секундным (или около того)?

Пытался поднять мост между Extra II и 4G на прошивке 2.10.C.1.0-0 с свежеприобретенными PlusDSL, пока на столе с коротким кабелем Один из модемов упорно во всех вариантах настройки (клиент/сервер) и с любым из роутеров показывает "Сбой соединения" и светодиод загорается на пару секунд раз в 10-20 секунд. Другой прямо по инструкции мигает с нормальной периодичностью и отображает "нет соединения". У меня стойкое подозрение, что с этим вторым модемом что-то не так. С поддержкой пока идет вялая переписка по сообщению на день.. Хотелось бы понять - с подобными симптомами это скорее всего аппаратный брак, или же возможны программные проблемы? Плюс сразу вопрос - если линк (~500 метров) используется только для VDSL, без телефонии, необходимо ли использовать сплиттеры?

Если UPnP отключен или не запускались приложения, его использующие - не будет Именно! И если мне не изменяет память, при определенных условиях (как минимум отсутствие ipsec, ping-check и, возможно, upnp) при холодной загрузке какие-то из таблиц ни разу не переписываются с момента старта opkg, пока чего-нибудь не дернется. Как минимум речь о mangle, и возможно nat

Я не уверен, но кажется у меня уже был похожий случай. Если нет ipsec и pingcheck, инет по IPoE, то первоначально скрипт кажется не вызывался, или еще нечто подобное.

А если передернуть PPTP-подключение? Если не поможет - передернуть модем...

О, вы пробовали выставить MTU > 1520 ? Впрочем, толку особого от этого нет, выше 1536 (точнее, 1516) все равно не пролезет в LAN...

Ну, я тестировал приблизительно так, роутер 1: system set net.core.eoip_allow_fragment 1 interface ISP ip address 192.168.5.1 255.255.255.0 no isolate-private interface EoIP0 ip address 192.168.6.1 255.255.255.252 ip mtu 1500 ipsec preshared-key password ipsec ikev2 tunnel destination 192.168.5.2 tunnel eoip id 1 up ! ip route 192.168.2.0 255.255.255.0 192.168.6.2 Роутер 2 - зеркально, т.е. system set net.core.eoip_allow_fragment 1 interface ISP ip address 192.168.5.2 255.255.255.0 interface Home ip address 192.168.2.1 255.255.255.0 ip dhcp pool _WEBADMIN range 192.168.2.33 192.168.2.72 no isolate-private interface EoIP0 ip address 192.168.6.2 255.255.255.252 ip mtu 1500 ipsec preshared-key password ipsec ikev2 tunnel destination 192.168.5.1 tunnel eoip id 1 up ! ip route 192.168.1.0 255.255.255.0 192.168.6.1 После настройки вроде все встало, но на первом роутере упорно MTU на EoIP ставился 1416 после поднятия (в show interface), ну и как следствие при пингах удаленной сети (например, 192.168.1.2 -> 192.168.2.2) с запретом фрагментации ругалось. После ребута стало нормально пинговаться по 1472 байта с флагом DF, и в show interface уже было 1500. L2 бридж не проверял еще, в прошлый раз (уже не помню на какой прошивке у меня как раз и не работал он, L3 я тогда не проверял.

Подтверждаю, работает. Фрагментация с автоматическим IPsec IKEv2 тоже работает, по крайней мере в L3-режиме EoIP

Странные у вас цифры. PPTP-сервер - порядка 40 мбит/с (~4-5 МБайт/с) Чистый IPsec и туннели с ним - порядка 150 мбит/с (18 МБайт/с), L2TP/Ipsec вроде тоже как-то так (не юзал, не знаю) OpenVPN самый медленный. TheGreenBow - теоретически может заработать, если поддерживает авторизацию по пассфразе.

А на удаленном роутере маршрут в локальную сеть ультры через туннель есть-то? Или включить "ip nat vpn" на ультре..