KorDen

Немножко поворчу, "незаметно" с маленькой оговоркой - при каждой проверке перестраиваются правила iptables, и при настройке своих правил через OPKG это таки может быть заметно. По крайней мере так было этак в 2.09 и раньше, не знаю как сейчас дела обстоят. Пинг-чек надо включать на обоих каналах. Проверка на модеме позволит модем перезагрузить (вплоть до передергивания USB-порта и даже ребута всего роутера, если настроить) в случае проблем, вне зависимости от того, кто сейчас основным каналом.

Проверил - на сервере свой таймаут не стоит. Пример конечного 200 цепочки Register - 100 - 401 - Register - 100 - 200, которая повторяется каждые 2 минуты SIP/2.0 200 OK Via: SIP/2.0/UDP 5.6.7.8:5060;rport=5060;branch=<...>;received=5.6.7.8 From: "0071234567890" <sip:0071234567890@servername>;tag=<...> To: "0071234567890" <sip:0071234567890@servername>;tag=<...> Call-ID: <...> CSeq: 18770 REGISTER Contact: <sip:0071234567890@1.2.3.4:5070>;expires=1261, <sip:0071234567890@5.6.7.8:5060;ob>;expires=1800 Server: kamailio (5.0.0-dev6 (x86_64/freebsd)) Content-Length: 0 Конфиг линии sip 2 name <...> login 0071234567890 password <...> domain servername identity 0071234567890 display-name 0071234567890 registration-uri servername proxy servername incoming-mask <...> outgoing-mask <...> reg-timeout 1800 disable-stun priority 2 codec g711u codec g711a !

У сервера таймаут однозначно больше, либо его вообще нет - не помню сходу, сколько там стоит, но по крайней мере другие SIP-железки с таймаутом 3600 нормально обновляют регу только раз в час.

В настройках линии стоит таймаут регистрации в 1800 сек, keepalive 15, NAT нет. При этом на сервер летят регистрации приблизительно каждые 2 минуты. self-test/дампы скину при необходимости позже.

Одновременно могут работать несколько туннелей IKEv2 и сервер VirtualIP. Если попытаться настроить туннели IKEv1 и VirtualIP - будет работать только одно (приоритеты сходу не помню)

Да, и тоже с аппаратной разгрузкой, хоть и более слабой. Я думал у вас железки постарее будут, или других производителей. Ситуация приблизительно такова: на PPTP вы получаете до 30-40 мбит суммарно, плюс PPTP небезопасен, на IPsec при покдлючении пары Extra II к Ultra II во всех направлениях (вплоть до передачи Extra -> Ultra -> Extra) порядка 50-60 мбит/с, причем с более гибкими возможностями настройки Если нужно связываться только с основным офисом - берете чистый Ipsec-туннель, если нужно ходить всем друг к другу (включая связь между 2 и 3) - смотрите в сторону туннелей IPIP/GRE, ну а посредством EoIP можно вообще сделать абсолютно прозрачную локалку, как будто вы и не разъезжались (в этом случае скорость будет поменьше из-за увеличения служебного трафика, но в некоторых случаях это вполне вариант)

А роутеры в других точках умеют в IPsec? Он куда лучше PPTP, причем Ultra 2 имеет аппаратный криптомодуль, и спокойно может гонять 150+ мбит/с (на PPTP около 30-40 мбит вроде). Netbios между сегментами L3 не ходит, как вариант можно прописать необходимые имена в DNS каждого роутера (для кинетиков команда ip host). Если вдруг очень нужен единый широковещательный сегмент - можно посмотреть в сторону EoIP (поверх IPsec).

Тогда увы, на чужих серверах без возможности настройки такого скорее всего не сделать.

Если вам не нужно, чтобы ходил broadcast-трафик и был единый сегмент (обычно это нужно для какого-нибудь старого софта, не умеющего обращаться на указанный IP), то вам нужен OpenVPN tap или EoIP. В большинстве случаев же будет достаточно либо OpenVPN tun, либо IPIP/GRE-туннеля. На OpenVPN, при условии что оба клиента подключены к одному серверу, навскидку: - раскомментируйте в конфиге опцию client-to-client, назначьте клиентам статические адреса (например, 192.168.255.2 и 192.168.255.3, сервер скажем 192.168.255.1 255.255.255.240) - настройте на роутерах разные подсети.Например, на одном 192.168.0.1/24, на другом 192.168.1.1/24 - добавьте на каждом роутере маршруты до другого клиента через его IP в туннеле, отключите isolate-private (можно настроить фаервол, но это надо заморачиваться) Для уменьшения служебного трафика можно использовать IPIP поверх IPsec, но это потребует более заморочной настройки сервера. Кроме того, встречались причуды у операторов с глюками IPsec, это уже надо будет проверять самому.

Вы не поняли проблему. В сети проблем нет, голый EoIP с фрагментацией работает. Вроде бы если завернуть это в ручной транспорт - тоже проблем нет, но я такое проверял несколько месяцев назад. А сегодня я попытался сделать автотуннель, и тут уже фрагментация похоже не работает. Собрать стенд проверить напрямую еще не было времени.

Ну, не знаю - без ipsec у меня идут пинги по 1472, стоит включить ipsec - уже выше 1388 из присоединенного сегмента не проходят. Конфиг приблизительно такой system set net.core.eoip_allow_fragment 1 interface EoIP0 security-level private ip mtu 1500 ipsec preshared-key 12345678 ipsec ikev2 tunnel destination 1.2.3.4 tunnel eoip id 123 up ! interface Home include EoIP0 ip mtu пробовал не ставить. self-test с обоих сторон при необходимости скину вечером.

Попытался тут сделать EoIP-автотуннель (прямо как в шапке, только без IP) и засунуть его в Home (с фрагментацией), Ultra II @ 2.11.A.4.0-2 <-> Start II @ 2.10.B.0. Автоустановка mtu ставит принудительно 1416 и повлиять на это похоже никак нельзя, "ip mtu 1500" ничего не дает. Кстати, после этого отключил ipsec на туннеле, mtu (в show interface) остается 1416, и без удаления туннеля или ребута вернуть его обратно в 1500 не получилось ни перевключением туннеля ни принудительным "ip mtu 1500"

Уже объяснили, что автообновления пушатся позже. Кроме того, если даже прилетит автообновление, роутер сам не перезагрузится. В моделях на 7621/7628 с dual-image идет традиционная загрузка прошивки в неактивный слот. Т.е. прошивка скачается, но применится только после перезагрузки вами вручную, автоматом роутер в перезагрузку не уйдет. Условно, как обычно работает такой процесс (не знаю, насколько точно это относится к кинетикам, но суть схожа): Есть слоты/образы прошивок, OS1, OS2. Например, на текущий момент у нас в OS1 прошивка 2.09.C.1, в OS2 - 2.09.C.0, сейчас роутер настроен на загрузку с OS1 Руотер начинает автоообновление и закачивает прошивку в слот OS2. Если во время загрузку роутер ребутнуть, ничего не произойдет - да, в OS2 будет кривая прошивка, но в OS1 у нас рабочая, и грузимся мы именно с него После завершения загрузку образа в OS2 могут быть проведены какие-то внутренние проверки на целостность, после этого будет выставлен флаг загрузки с OS2, но текущая система еще работает с OS1. Дальше при перезагрузке, не важно - по питанию, или програмно - начнет грузиться прошивка из OS2, т.е. обновленная. Если вдруг произойдет бутлуп до завершения загрузки - в теории загрузчик должен будет переключить на OS1.

Ага, а потом выгребаем сюрпризы.. Это в минусы автообновления. Те же проблемы с WiFi на нексусах и некоторых других смартфонах, и так далее... Но все же про "работает - не трогай" я чуть бы поспорил. Во-первых - уязвимости. Во-вторых - ошибки, которые уже давно исправлены, но аукаются спустя несколько лет. Я вживую наблюдал проблему "работает - не трогай" по отношении к кинетикам, и кажется как-то уже рассказывал о ней здесь. После обновления DNS-серверов у провайдера, которое вроде бы ничего не должно было поломать, внезапно начали жаловаться люди на то что все сломалось и ничего не работает. Начали выяснять - казалось, что у всех жалующихся кинетики (впрочем, была еще пара роутеров других производителей, но это были буквально 1-2 человека). При этом никто из нас воспроизвести проблему на своих роутерах не мог. Оказалось - у людей так и стоит прошивка с завода, или обновленная один раз при настройке. Исправили тот баг с DNS кажется еще в 2.03, а у людей стояли куда более старые версии NDMSv2 (v1 вроде не задело) - и это в 2016 году!

Хотелось бы уточнить, как в текущем виде реализовано автообновление? В моем представлении это должно быть как-то так: - после релиза ждем пару недель или даже месяц, если жалоб нет - пушим апдейт - роутер загружает обновление в неактивный слот - после загрузки в идеале дополнительно проверить контрольные суммы и блаблабла, и только потом выставлять флаг загрузки с другого слота - после ребута роутер уже будет на новой прошивке, ну и если что-то пошло не так - откатится на другой слот. А как на самом деле это будет происходить? Еще интересный момент: вот у меня тогда был бутлуп - это получается он возникал и во второй прошивке, или же на вторую не переходило по каким-то причинам? До кучи, хоть и чуть не по теме: будет ли где-то в консоли, или где еще, информация о прошивках в слотах и возможность вручную переключать? "дребезг контактов" уже был -------------- А вообще, может устроить массовую проверку автообновления в draft? Ну, там, выкатить символическую 2.11.A.4.0-3 без изменений или с чем-то незначительным, перед этим попросив народ включить автоапдейт?

PLP - очень веселая штука из спецификаций DVB-T2, используемая кажется только в России (хотя я давно не читал транспондерные новости, может уже еще кто использует). Все каналы, кроме России 1, России 24 и Радио России, находятся в дефолтном PLP0 (поэтому параметр plp не указывается), а эти - в PLP1 и PLP2. И вот с ними постоянно сюрпризы - то они не находятся автоматом, то не открываются из-за низкого битрейта (привет ТВ на тюнерах Si2xxx, или как там), то еще чего.

Тема уже явно опять в курилку.. Проблема в том, что вы смешиваете эти две группы. Текущий веб-интерфейс кинетика не очень подходит для гикового использования, для этого есть CLI. А массовый домашний пользователь об IPsec и прочих OPKG не слышал, у него непонимание от кучи этих странных компонентов. Про OpenVPN может быть слышал, когда читал что-нибудь на тему анонимайзеров, не более того. Хотя для домашнего пользования он все же перегружен, это как видно пытаются решить в новом. И если на IPoE/PPPoE можно вполне использовать OpenWRT и прочих кастомах, и оно вполне будет переваривать пару десятков активных проводных клиентов на дешевом тплинке, то возьмем тот же билайн с его L2TP, который еще совсем не везде перевели на IPoE, и уже начинается ой, когда юзер хочет и торренты качать, и в игры играть. Кажется, еще можно выкрутиться микротиком (хотя это уже не "простой девайс", что бы вы не говорили про Quick Set), но добавим к этому IPTV и похоже приплыли. Настроить можно, если вы в категории гиков, а не домашних пользователей. Кинетик же относительно хорошо сочетает на официальной прошивке как простоту для массового пользователя, так и большой простор для фантазий гиков (хоть и пасует в чем-то перед микротиками, но там своя атмосфера и свои костыли).

a@192.168.1.1 ну или какой-там-у-вас-ip (при условии, что у вас нет юзера с логином a)

Словил нечто подобное, в моем случае попытки переподключиться к серверу в качестве клиента рестартовали и серверное подключение Сменился внешний IP у роутера, нужно было обновить туннели. После смены IP первым обновил destination на удаленной гиге-клиенте (соединение IPIP2), и оно заработало. Затем пошел обновлять на сервере (strongswan 5.3.5/4.4.0-96-generic, соединение IPIP0), и при изменении ошибся в right. Т.е. rightsubnet был корректный, а right - нет, и сервер бесконечно отвечал NO_PROPOSAL_CHOSEN. В итоге все это время дергалось и IPIP2 (ну и VirtualIP заодно, короче говоря все)

А, вот она! Я помнил, что у вас было что-то похожее, но сходу не нашел, где вы отписывались.. Отпишусь там тогда пожалуй

Сейчас на 2.11.A.4.0-0 обнаружил крайне неприятное поведение автотуннелей - при падении одного (и попытках переподключиться) как я понимаю рестартуются все остальные на этом роутере, а за ним по цепочке начинают рестартоваться и на остальных роутерах - в итоге все туннели дохнут капитально, если хоть один глючит. Можно ли этого избежать?

Похоже, по ARP на 192.168.3.133 сервер отвечает с двух маков, или чего еще подобное Можно тупо отключить сканирование arp (no ip hotspot auto-scan interface Home) - вместо Home подставить нужный интерфейс, если что.

А в метрической системе...?

А как часто ощущаются подлагивания? Белый пропуск - это лаг игры, лаги сети отображаются оранжевыми полосками.. У меня кратковременные оранжевые изредка появляются вне зависимости от того, кабель или WiFi. Сейчас поиграл Archer T4UH <-> Ultra II @ 2.11.A.3.0-2, до роутера стенка в один кирпич, чтобы чуть пригрузить WiFi с мобилы (тоже ac) включил плейлист видюшек на ютубе, каких-либо ощутимых отличий от кабеля вроде не заметил. PS: пояснения графиков в OW тут - https://eu.battle.net/support/ru/article/37007 - выбрать "сетевой график"

Модель роутера известна - уже хорошо.. Версия прошивки роутера? Модель адаптера на компьютере? Версия драйверов? ОС? В Overwatch, во время игры, слева сверху появляются такие значки: ? Обращаю внимание: интересует именно во время игры, в начале матча или при окончании они часто появляются, это нормально. Если такое постоянно, в том числе и на полигоне - для начала зайдите на тестовый полигон, откройте Netgraph (Shift+Ctrl+N по умолчанию), побегайте с ним - как будете ощущать лаги, делайте скрины - погадаем на кофейной гуще PS: надо будет самому попробовать поиграть по WiFi...