KorDen

Сейчас попробовал поднять Virtual IP - наткнулся на аналогичную проблему, при mss=1300 все ок, при pmtu сайты не открываются.

Если взлетит и в моем случае будет приемлемо работать, то возможно будет постоянно гоняться между ультрой и микротиком в виде бриджа с сегментом LAN

А будет как-то отображаться несовместимость параметров? Чтобы не гадать "а почему у меня подключение не взлетает", а явно писалось, мол у вас несовместимые параметры для разных подключений, попробуйте следующие: ... ...

Меня интересует второй сценарий, т.е. звонок на user@ip:port из списка + настройка своего номера. Банальнейший кейс - p2p связь между точками (по *x), между которыми уже существует IPsec/PPTP-туннель. Сейчас приходится для этого на одном из роутеров запускать астериск с простейшим диалпланом. В идеале такие звонки должны иметь возможность объединяться в 3-party конференцию (voip-шлюзы обычно такое умеют), в еще большем идеале - группы вызова, т.е. возможность задать, что по коду *9 надо звонить одновременно на *2 и *5. Короче, хочется встроенную мини-pbx, да...

Я думал, придется пересобирать strongswan с esp4_hw.ko, ведь там жестко забит esp4.ko, на практике же он только при запуске ругается что не может подгрузить, но не валится при этом, Да, с резервированием все очень печально, я сам с этим столкнулся (вначале с бесконечной перезаписью правил, затем со сложностями работа прошивочного IPsec за нат, если не использовать автоматические туннели) - пока без авторезервирования, думаю как все лучше реализовать.

@Goblin, какое-то радикальное решение у вас.. Я вообще предпочитаю для постоянных клиентов делать ручной проброс, а не UPnP - для торрентов ведь не нужно кучи портов

@yoman, нат можно отключить - делаете 'no ip nat Home' а дальше задаете что куда натить через ip static (типа ip static Home ISP). У меня IPsec в транспортном режиме, весь траффик ходит по IPIP-туннелям А нагрузка на проц при этом какая, т.е. у вас тоже аппаратный криптомодуль работает без проблем, насколько я понимаю?

Небольшой оффтоп, но... Понятно, что речь о фиксах прошивочного strongswan, но вы же вроде уже пользовались лебедем из Entware - чем он вас не устраивает с точки зрения работы в транспортном режиме, какого взаимодействия не хватает? Интересуюсь потому, что мне надоело ждать сертификаты, хочется поэкспериментировать с настройками, и поэтому я сейчас медленно перехожу на strongswan из Entware. Больше всего боялся, что аппаратное шифрование не взлетит, или придется устраивать много костылей - как оказалось, напрасно боялся, по крайней мере в простом виде с одним туннелем оно взлетело само.

@Goblin, а если поставить "любой интерфейс"/"любой IP"? Или у вас несколько сетей? Сейчас попробовал у себя включить upnp и принудительно поставить IP/интерфейс, qB 3.3.12 x64, прошивка 2.09.A.7.0-2 - все работает, как и при "любом" [I] May 8 19:16:16 ndm: UPnP::Manager: a new rule appended. [I] May 8 19:16:16 ndm: UPnP::Manager: redirect rule added: tcp GigabitEthernet1:56982 -> 192.168.0.25:56982. [I] May 8 19:16:16 ndm: UPnP::Manager: a new rule appended. [I] May 8 19:16:16 ndm: UPnP::Manager: forward rule added: tcp GigabitEthernet1 -> 192.168.0.25:56982. [I] May 8 19:16:16 ndm: UPnP::Manager: a new rule appended. [I] May 8 19:16:16 ndm: UPnP::Manager: redirect rule added: udp GigabitEthernet1:56982 -> 192.168.0.25:56982. [I] May 8 19:16:16 ndm: UPnP::Manager: a new rule appended. [I] May 8 19:16:16 ndm: UPnP::Manager: forward rule added: udp GigabitEthernet1 -> 192.168.0.25:56982. [I] May 8 19:16:16 ndm: UPnP::Manager: redirect and forward rules deleted: tcp 56982. [I] May 8 19:16:16 ndm: UPnP::Manager: a new rule appended. [I] May 8 19:16:16 ndm: UPnP::Manager: redirect rule added: tcp GigabitEthernet1:56982 -> 192.168.0.25:56982. [I] May 8 19:16:16 ndm: UPnP::Manager: a new rule appended. [I] May 8 19:16:16 ndm: UPnP::Manager: forward rule added: tcp GigabitEthernet1 -> 192.168.0.25:56982. [I] May 8 19:16:16 ndm: UPnP::Manager: redirect and forward rules deleted: udp 56982. [I] May 8 19:16:16 ndm: UPnP::Manager: a new rule appended. [I] May 8 19:16:16 ndm: UPnP::Manager: redirect rule added: udp GigabitEthernet1:56982 -> 192.168.0.25:56982. [I] May 8 19:16:16 ndm: UPnP::Manager: a new rule appended. [I] May 8 19:16:16 ndm: UPnP::Manager: forward rule added: udp GigabitEthernet1 -> 192.168.0.25:56982.

>redirect target address is invalid: 127.0.0.1 Кажется у вас что-то с настройками qB, посмотрите в дополнительных настройках адреса и интерфейсы для привязки - у меня нормально работает при "любой ..." Или это появилось на какой-то прошивке? Какая версия прошивки и qB?

Пытаюсь запустить Strongswan из Entware-3x на Ultra II, для начала повторяя текущие настройки из прошивки. Прошивочный говорит что у него loaded plugins: charon random nonce openssl hmac attr kernel-netlink socket-default stroke updown eap- mschapv2 eap-dynamic xauth-generic xauth-eap error-notify systime-fix unity Поставим что-то навроде, без eap: Сделаем соединение, для начала с пассфразой (копия прошивочного): Теперь начинается интересное: по-умолчанию загружен модуль esp4_hw - при запуске естественно ругается что не может подгрузить esp4, но работает, причем с аппаратным ускорением! charon: 11[IKE] CHILD_SA test{1} established with SPIs cef20fca_i ca0394c8_o and TS 1.2.3.4/32[ipencap] === 5.6.7.8/32[ipencap] ndm: kernel: EIP93: build outbound ESP connection, (SPI=cadc4717) ndm: kernel: EIP93: build inbound ESP connection, (SPI=cef20fca) Главное не забыть в фаерволе вручную разрешить входящие ESP (и, возможно, UDP/500; UDP/4500) Но стоит выгрузить esp4_hw и загрузить esp4 - при запуске и попытке пинга (т.е. при установке ESP) роутер вообще уходит в ребут Меня конечно в первую очередь интересует работа с EIP93, но если вдруг что-то из желаемого на нем не взлетит, хотелось бы иметь возможности протестировать без него.

Если оно и на v1 и на v2 говорит о сдохшем WiFi, маловероятно... Чертов маркетинг. Можно еще развести холивар на тему "роутер - L3-коммутатор", ибо роутит и вообще NAT - происки с Нибиру. Что в вашем понимании свич, а что - роутер? Так ли уж обязательно роутеру (c NAT) иметь WiFi, чтобы быть роутером? Или все же это "WiFi-роутер"? У меня Keenetic (I) как-то продолжительное время работал в качестве проводного роутера. Просто потому что от двух десятков WiFi-устройств начинаются дикие лаги у большинства домашних роутеров. А стоит поставить точку доступа (UniFi AP) - и все прекрасно. Не-а И получаем весьма вероятные лаги при нескольких подключенных устройствах

Умный свич не умеет NAT и торренты Чисто проводной роутер со всеми остальными функциями. У него ведь WiFi и сейчас в 1.xx / 2.02 не работает.

Исходя из ответа @sergeyk, попробуйте на 2.02 зайти в компоненты и снять галку со всех компонентов WiFi - он у вас вероятно дохлый - по идее, должно обновиться нормально

А вы проверяли, шара в роутере (Приложения -> Сеть Windows) вообще активна? На какой прошивке была Giga II, на 2.06?

@Boomer, у вас шара с паролем, или без авторизации? Может помочь ковыряние "Центр управления сетями и общим доступом\Дополнительные параметры общего доступа", либо настройка учетки с паролем винды на роутере (доступ с авторизацией)

Для устройств с FXS, насколько я понял, не так давно появилась возможность p2p-соединени (по IP, без sip-прокси). Планируется ли поддержка P2P для DECT?

В принципе поддерживаю, но уже неоднократно говорилось - настройка правил из веба дико неудобная по куче параметров, менять надо сразу все, а не по мелочам.

@Himmler, у вас Lite III rev. A или rev. B? Потому что у rev.B есть криптомодуль AES, на котором можно получить, по заявлениям, до 60 Мбит/с. У rev.A криптомодуля нет, поэтому с IPsec получите довольно слабые результаты. PPTP-сервер везде ограничен около 40 мбит/с. Если безопасность совсем не интересует, и если с обоих сторон белые IP прямо на кинетиках, можно вообще использовать туннели без IPsec. Вам нужно обязательно объединить сетки в один broadcast-сегмент, или все же ПО может ходить на IP из другого сегмента?

А какой у вас тип идентификаторов используется, email или что?

@SigmaPlus, они в отдельных PLP (PLP_ID 1 и 2), их надо отдельно прописывать. при сканировании. Например: T2 618000000 8MHz AUTO AUTO AUTO AUTO AUTO NONE 0 T2 618000000 8MHz AUTO AUTO AUTO AUTO AUTO NONE 1 T2 618000000 8MHz AUTO AUTO AUTO AUTO AUTO NONE 2 T2 674000000 8MHz AUTO AUTO AUTO AUTO AUTO NONE 0

Это вы откуда взяли?

Скорее всего инет-провайдер/сип-провайдер пошаманили с SIP ALG / STUN, вот и поломалось, если прошивку конечно не обновляли в момент ломания

Пригодится тем, кто создает ручные туннели. Возможно где-то ошибся. Оверхед ESP (в байтах) 20 IP Header 8 ESP Header (4 SPI + 4 Sequence) [8|16] - IV, для DES/3DES - 8, для AES - 16 <данные> 4 ESP Trailer 12 ESP Auth Trailer Итого: для DES/3DES - 56 байт, для AES - 60 байт Оверхед туннелирования IPIP - 20 (IP Header) = 20 GRE - 20 (IP Header) + 4 (GRE) = 24 EoIP - 20 (IP Header) + 8 (GRE) [+ 14 (ETH)] = 28 (42) Итого, скажем, для туннеля IPIP over IPsec (AES) оверхед будет равен 80 байт, т.е. например при канале с MTU 1500 у туннеля будет 1420. Для вычисления MSS - добавьте в оверхед TCP Header (20 байт) ---------- Небольшая путанница у меня с режимом IPsec Tunnel, там получается оверхед варьируется в пределах 58-65 байт (для AES). Тут не уверен до конца.

В "Опции" "перевод вызова"