KorDen

Да, у меня Home с .0.1 (.1.1/24 - удаленная сеть через другой туннель), и по IP в X-Plore на SMB-шару роутера захожу, а вот при указании на мобильнике DNS 192.168.0.1 - DNS не работает. Пробовал и со своим DNS-сервером в Entware, и с прошивочным - резолвинг не идет. Есть один нюанс Android - для работы "Постоянный VPN" нужно, чтобы сервер был указан IP-шником (а не доменом) и в настройках соединения был вручную прописан адрес DNS-сервера. В Android 4.4-6.0 появляется ошибка с таким описанием, когда пытаешься выбрать в меню "постоянный VPN", а в Android 7 это вообще неочевидно - просто недоступна кнопка сохранить пока стоит галка "Постоянный VPN" и не выполнены требования - и гадай, что не так.

@dexter, попробуйте для EoIP заюзать недавно добавленную фрагментацию - system set net.core.eoip_allow_fragment 1 - по идее будет нормально работать при бриджевании с MTU 1500 (сам так и не попробовал еще..)

Если у вас с двух сторон белые статические IP, то Если же где-то NAT - сделать не получится, если динамический IP - придется писать скрипты обновления

Стандартная настройка Virtual IP на роутере и на мобильнике (Android 7). Все работает до тех пор, пока в качестве DNS для VPN не пытаюсь указать IP роутера (.0.1) - при этом пакеты на 192.168.0.1:53 похоже уходят в ISP (или это просто захват так показывает?). Причем к SMB-шаре на роутере с мобильника спокойно подключается, не работает только DNS. Это баг или фича?

Не подтверждаю, у меня отображается корректно, что 1 что 2 клиента

Просто для статистики: знакомый активно сидит в Discord с Giga II @ 2.08 (UPnP включен), я изредка захожу с Ultra II @ актуальная 2.09 (но UPnP выключен) - проблем со слышимостью не наблюдал. TeamSpeak последнее время уже не использую, сказать не могу, раньше проблем не наблюдалось. В обоих случаях соединение с интернетом IPoE.

Еще не успел проверить. Надо поменять железку на удаленной точке (там сейчас Giga 1 по PPTP) на поддерживающую EoIP. Ну, еще можно на столе тесты провести, но это не интересно.

Думаю одно, говорю другое *в дефолтном виде автоматическое указание MSS, а не PMTU. Могу ошибаться, но при set-tcpmss pmtu у меня через автотуннель ранее когда тестировал все сайты открывались, а вот через VirtualIP без ручного указания MSS те же сайты не открываются.

В таком случае хотелось бы в дефолтном виде автоматическое указание pmtu, а то получается вкладку настройки VirtualIP упростили, но лезть в консоль все равно приходится

@r13, у меня нормально работает VirtualIP совместно с транспортом IKEv2 AES-128/SHA1/modp2048, в том числе нормально ходит из VirtualIP в другой.

Сейчас попробовал поднять Virtual IP - наткнулся на аналогичную проблему, при mss=1300 все ок, при pmtu сайты не открываются.

Если взлетит и в моем случае будет приемлемо работать, то возможно будет постоянно гоняться между ультрой и микротиком в виде бриджа с сегментом LAN

А будет как-то отображаться несовместимость параметров? Чтобы не гадать "а почему у меня подключение не взлетает", а явно писалось, мол у вас несовместимые параметры для разных подключений, попробуйте следующие: ... ...

Меня интересует второй сценарий, т.е. звонок на user@ip:port из списка + настройка своего номера. Банальнейший кейс - p2p связь между точками (по *x), между которыми уже существует IPsec/PPTP-туннель. Сейчас приходится для этого на одном из роутеров запускать астериск с простейшим диалпланом. В идеале такие звонки должны иметь возможность объединяться в 3-party конференцию (voip-шлюзы обычно такое умеют), в еще большем идеале - группы вызова, т.е. возможность задать, что по коду *9 надо звонить одновременно на *2 и *5. Короче, хочется встроенную мини-pbx, да...

Я думал, придется пересобирать strongswan с esp4_hw.ko, ведь там жестко забит esp4.ko, на практике же он только при запуске ругается что не может подгрузить, но не валится при этом, Да, с резервированием все очень печально, я сам с этим столкнулся (вначале с бесконечной перезаписью правил, затем со сложностями работа прошивочного IPsec за нат, если не использовать автоматические туннели) - пока без авторезервирования, думаю как все лучше реализовать.

@Goblin, какое-то радикальное решение у вас.. Я вообще предпочитаю для постоянных клиентов делать ручной проброс, а не UPnP - для торрентов ведь не нужно кучи портов

@yoman, нат можно отключить - делаете 'no ip nat Home' а дальше задаете что куда натить через ip static (типа ip static Home ISP). У меня IPsec в транспортном режиме, весь траффик ходит по IPIP-туннелям А нагрузка на проц при этом какая, т.е. у вас тоже аппаратный криптомодуль работает без проблем, насколько я понимаю?

Небольшой оффтоп, но... Понятно, что речь о фиксах прошивочного strongswan, но вы же вроде уже пользовались лебедем из Entware - чем он вас не устраивает с точки зрения работы в транспортном режиме, какого взаимодействия не хватает? Интересуюсь потому, что мне надоело ждать сертификаты, хочется поэкспериментировать с настройками, и поэтому я сейчас медленно перехожу на strongswan из Entware. Больше всего боялся, что аппаратное шифрование не взлетит, или придется устраивать много костылей - как оказалось, напрасно боялся, по крайней мере в простом виде с одним туннелем оно взлетело само.

@Goblin, а если поставить "любой интерфейс"/"любой IP"? Или у вас несколько сетей? Сейчас попробовал у себя включить upnp и принудительно поставить IP/интерфейс, qB 3.3.12 x64, прошивка 2.09.A.7.0-2 - все работает, как и при "любом" [I] May 8 19:16:16 ndm: UPnP::Manager: a new rule appended. [I] May 8 19:16:16 ndm: UPnP::Manager: redirect rule added: tcp GigabitEthernet1:56982 -> 192.168.0.25:56982. [I] May 8 19:16:16 ndm: UPnP::Manager: a new rule appended. [I] May 8 19:16:16 ndm: UPnP::Manager: forward rule added: tcp GigabitEthernet1 -> 192.168.0.25:56982. [I] May 8 19:16:16 ndm: UPnP::Manager: a new rule appended. [I] May 8 19:16:16 ndm: UPnP::Manager: redirect rule added: udp GigabitEthernet1:56982 -> 192.168.0.25:56982. [I] May 8 19:16:16 ndm: UPnP::Manager: a new rule appended. [I] May 8 19:16:16 ndm: UPnP::Manager: forward rule added: udp GigabitEthernet1 -> 192.168.0.25:56982. [I] May 8 19:16:16 ndm: UPnP::Manager: redirect and forward rules deleted: tcp 56982. [I] May 8 19:16:16 ndm: UPnP::Manager: a new rule appended. [I] May 8 19:16:16 ndm: UPnP::Manager: redirect rule added: tcp GigabitEthernet1:56982 -> 192.168.0.25:56982. [I] May 8 19:16:16 ndm: UPnP::Manager: a new rule appended. [I] May 8 19:16:16 ndm: UPnP::Manager: forward rule added: tcp GigabitEthernet1 -> 192.168.0.25:56982. [I] May 8 19:16:16 ndm: UPnP::Manager: redirect and forward rules deleted: udp 56982. [I] May 8 19:16:16 ndm: UPnP::Manager: a new rule appended. [I] May 8 19:16:16 ndm: UPnP::Manager: redirect rule added: udp GigabitEthernet1:56982 -> 192.168.0.25:56982. [I] May 8 19:16:16 ndm: UPnP::Manager: a new rule appended. [I] May 8 19:16:16 ndm: UPnP::Manager: forward rule added: udp GigabitEthernet1 -> 192.168.0.25:56982.

>redirect target address is invalid: 127.0.0.1 Кажется у вас что-то с настройками qB, посмотрите в дополнительных настройках адреса и интерфейсы для привязки - у меня нормально работает при "любой ..." Или это появилось на какой-то прошивке? Какая версия прошивки и qB?

Пытаюсь запустить Strongswan из Entware-3x на Ultra II, для начала повторяя текущие настройки из прошивки. Прошивочный говорит что у него loaded plugins: charon random nonce openssl hmac attr kernel-netlink socket-default stroke updown eap- mschapv2 eap-dynamic xauth-generic xauth-eap error-notify systime-fix unity Поставим что-то навроде, без eap: Сделаем соединение, для начала с пассфразой (копия прошивочного): Теперь начинается интересное: по-умолчанию загружен модуль esp4_hw - при запуске естественно ругается что не может подгрузить esp4, но работает, причем с аппаратным ускорением! charon: 11[IKE] CHILD_SA test{1} established with SPIs cef20fca_i ca0394c8_o and TS 1.2.3.4/32[ipencap] === 5.6.7.8/32[ipencap] ndm: kernel: EIP93: build outbound ESP connection, (SPI=cadc4717) ndm: kernel: EIP93: build inbound ESP connection, (SPI=cef20fca) Главное не забыть в фаерволе вручную разрешить входящие ESP (и, возможно, UDP/500; UDP/4500) Но стоит выгрузить esp4_hw и загрузить esp4 - при запуске и попытке пинга (т.е. при установке ESP) роутер вообще уходит в ребут Меня конечно в первую очередь интересует работа с EIP93, но если вдруг что-то из желаемого на нем не взлетит, хотелось бы иметь возможности протестировать без него.

Если оно и на v1 и на v2 говорит о сдохшем WiFi, маловероятно... Чертов маркетинг. Можно еще развести холивар на тему "роутер - L3-коммутатор", ибо роутит и вообще NAT - происки с Нибиру. Что в вашем понимании свич, а что - роутер? Так ли уж обязательно роутеру (c NAT) иметь WiFi, чтобы быть роутером? Или все же это "WiFi-роутер"? У меня Keenetic (I) как-то продолжительное время работал в качестве проводного роутера. Просто потому что от двух десятков WiFi-устройств начинаются дикие лаги у большинства домашних роутеров. А стоит поставить точку доступа (UniFi AP) - и все прекрасно. Не-а И получаем весьма вероятные лаги при нескольких подключенных устройствах

Умный свич не умеет NAT и торренты Чисто проводной роутер со всеми остальными функциями. У него ведь WiFi и сейчас в 1.xx / 2.02 не работает.

Исходя из ответа @sergeyk, попробуйте на 2.02 зайти в компоненты и снять галку со всех компонентов WiFi - он у вас вероятно дохлый - по идее, должно обновиться нормально