KorDen

@cbloner шифрует и MD5/DES, я немного спутал (мне казалось, что EIP умеет только 3DES/AES/SHA), вот: Могу сильно ошибаться, но вроде бы шифрование на процент служебных данных не влияет. Т.е. в пакете есть фрагмент IPsec, и есть данные. Зашифрованы они (и как) или нет - не важно.

Нет, это сырые данные для #dashboard.connections. По крайней мере для 2.09 ссылка такая, может на стабильных версиях отличается. Что-то типа

Открываете http://192.168.1.1/rci/show/ip/nat и дальше парсите как надо

А как-то можно узнать, какие трубки его поддерживают, по списку или косвенным признакам? В инструкции вроде пишут только про CAT-iq 2.0 для новых трубок, про 1 никто не пишет, насколько я понимаю. Скажем, есть трубки Gigaset A420 - в инструкции только стандартное "Поддержка DECT/GAP", про качество звука говорится только в контексте маркетинговой технологии полнодуплексной передачи на громкой связи. Или пока единственный вариант - банальный - подключить две такие трубки к кинетику на разные линии и сравнивать качество при внутреннем и внешнем вызовах между ними?

Может немного глупое предложение.. Но зачем вам DES/MD5, при двух ультрах? AES-128/SHA1 прекрасно ускоряется аппаратно и с ними лично у меня фризов не замечалось, кроме как при пересогласовании.

Так есть же, если не ошибаюсь, 183 Progress with SDP или как там, который Early Media.. Другой вопрос, что его не все операторы поддерживают передачу пользовательского Early Media и второй стороне выдают стандартный гудок... В любом случае, IMO это на данной стадии лишнее - ведь все это можно реализовать через промежуточный астер в энтвари/дебиане, и это уже функции PBX.. Гораздо интересно развитие именно взаимосвязи трубок с базой и возможностями SIP, хотя бы для дорогих трубок... Я тут думал про репитеры или микросотовую сеть из нескольких DECT-модулей (DECT-соты) - чисто теоретически интересно, возможно ли что-нибудь подобное на текущих модулях? Понятно, что количество поддерживаемых трубок совсем не то, что у серьезных DECT-микросот, и хэндовер наверное не получится (хотя, интересно, можно ли синхронизироваться по IP?), тем не менее...

Смотрите на букву A - отладочные B - бета C - релиз

Стоп. Я так понимаю, вы ведете речь про телефонию в LTE? Тогда возможно мои предложения не подходят, я не в курсе, как там реализованы SIP-аккаунты и FXS-порты - как в DECT линии/трубки, или как-то иначе. Вначале я говорил про DECT, там все это есть.

1) Так это уже реализовано. Принимать звонки на одну трубку можно, как и рулить исходящими вызовами - минимально через код выбора линии (перед номером вводить #0 или #1), так и через диалплан ("правила набора"). Есть кнопка "тест маршрутизации" для проверки правил.. 2) Где именно вы "авто" указываете? Нужно просто добавить маршруты до IP серверов через соответствующие интерфейсы/шлюзы,

Что-то я не пойму. Попробовал настроить два IPIP (на "сервере") - второй подключающийся все равно цепляется на IPIP0, и второй туннель вроде как не поднимается. Если попробовать просто разные IP в рамках IPIP0 (как с PPTP-сервером), то тоже не работает. Так все-таки, возможно ли сделать несколько соединений IPIP over IPsec (или IPIP и EoIP), для которых "сервером" будет один роутер, и как правильно это сделать? До кучи: ради интереса попробовал мельком на "клиенте" сделать IPIP0 соединением по-умолчанию (ip global 1000) - вроде как не взлетело, основным так и осталось IPoE, хотя у него был стандартный вес 700. Посмотрел пару минут, сделал up/down, так ничего не получил, убрал.

Так уже, только обработать напильником - ставите астериск под энтварью и понеслась.. У меня прекрасно работала связь между тремя кинетиками, парой шлюзов и парой софтфонов, астер на одном из роутеров, по туннелям и напрямую до остальных... Костыльно немного было, но работало как надо. Сейчас разломал - надо костыли переделать, а то немасштабируемо получилось.

Мини-TFTP - не проблема на Entware/Debian еще со времен создания этой темы (и гораздо раньше) Я тут подумал - а что если в качестве промежуточного варианта (пока не добавили) сделать local relay сам на себя, с отдельного интерфейса? Ну, там, ставим ics, натравливаем его на отдельно созданный интерфейс, настраиваем релей на него же..

А зачем IPsec отдельно настраивать-то? Это разные вещи, у вас либо голый IPsec (без маршрутизации), либо IPIP over IPsec. Если вам нужен IPIP поверх IPsec, то: Один роутер-"сервер": interface IPIP0 security-level private ip address 192.168.100.1 255.255.255.252 ipsec preshared-key ключ tunnel source ISP up возможно потребуется поменять tunnel source, если у вас не IPoE-подключение "клиент": interface IPIP0 security-level private ip address 192.168.100.2 255.255.255.252 ipsec preshared-key ключ tunnel destination 11.22.33.44 up Все! Никаких IPsec отдельно настраивать не нужно! Дальше нужно добавить маршруты до удаленных локалок с каждой стороны, условно ip route 192.168.2.0 255.255.255.0 IPIP0 auto И либо отключить isolate-private, либо настроить правила фаервола - на каждом роутере создать для интерфейсов Home и IPIP0 правила. Можно строго, расписав конкретные подсети, можно просто всю 192.168.0.0/16 в обе стороны разрешить. Ну а дальше уже можно мудрить с ip nat IPIP0 и маршрутами в интернет через туннель

После тестов вчера убрал тестовый EoIP (просто удалил интерфейс на U2), IPIP0 работал, сейчас IPIP0 опять не работает, и "клиент" G2-1 не хочет этого видеть. Приблизительно в 22:30 24 декабря я обновлял прошивку на U2 (2.08.A.12.0-4 -> 2.09.A.0.0-1), перед обновлением туннель не работал (по крайней мере, я не мог зайти на Giga 2 по внутреннему IP), и после обновления уже прошел час, а туннель так и не поднялся - ситуация аналогична тому, что описывал отдельно, только тут он лежал и до ребута. Селфтест к сожалению, только с G2-1, т.е. "клиента", на всякий случай сделал до поднятия туннеля, и после down/up

Итак, имеется следующая конфигурация: (везде туннели поверх IPsec, 2.08.A.12.0-4, crypto engine hardware) Ultra II (U2) - "сервер", 192.168.0.1/24 Giga II (G2-1) - подключается к U2 по IPIP0, 192.168.1.1/24 Giga II (G2-2) - сброшен в дефолт, настроен интернет, в Home отключен DHCP-сервер, 192.168.0.101/24, подключается к U2 по EoIP0, с обоих сторон прибриджован в Home. Первоначально тут планировался микротик, пока для тестов поставил гигу. До начала настройки EoIP-туннеля IPIP0 работал корректно. Первый и основной вопрос: могут ли одновременно работать EoIP over IPsec и IPIP over IPsec? А то он в логах при подключении IPIP пишет "ipsec: 07[IKE] IKE_SA EoIP0[6] established between ....", и пока на сервере включен EoIP0, IPIP0 вроде поднимается, но пакеты не идут. Далее: Что делать с MTU в EoIP? Ничего специально не шаманил, а с ПК за G2-2 не открываются сайты, в частности HTTPS (скажем в Firefox этот форум не открывается, яндекс открывается с трудом, steamcommunity.com открывается нормально), и не ходят пинги 1400 пакетами. На этой конфигурации словил один раз ребут G2-2, когда с ПК за G2-2 попытался зайти по самбе по NetBios-имени на ПК, подключенный к U2. U2 при этом не перезагрузился. Случилось один раз, повторить не удалось. Селфтесты со всех роутеров будут ниже.

Если на клиенте включен NAT (а он включен стандартно), возможно.

По поводу перезагрузки - постараюсь завтра воспроизвести после полной перенастройки и перезагрузки всего и вся. Хотелось бы уточнить. Правильно ли я понимаю, что нет нужды для IPIP использовать /24, если есть несколько IPIP-интерфейсов, для каждого должен быть уникальный IP и подсеть, поэтому можно для каждого нарезать /30. GRE over IPsec или IPIP over IPsec - есть ли какая-то неочевидная разница и неочевидные плюсы/минусы, кроме невозможности использовать PPTP в первом случае?

Мда.. Приблизительные цены: KX-TPA60 - 4250 S850HX - в районе 5000 (4500-5500) SL450HX - 7000

Насколько я понял, как раз X и показывает наличие CAT iq 2.0. У гигасета на общем сайте есть фильтр по его наличию, и там отображаются следующие трубки: C530HX, CL660HX, S850HX, SL450HX CL750HX - Sculpture. Есть еще A540 CAT А в РФ в большинстве случаев продаются именно H, а не HX.. На российском сайте гигасета этих трубок вообще нет. Из того, что сходу можно найти - только SL450HX в Технопоинте за 7000.

Подружил кинетик с микротиком по EoIP, сделав "продолжение локалки" кинетика за микротиком. Имеем: Ultra 2, hAp lite. создаем туннель, добавляем в локальные бриджи с обоих сторон, вырубаем DHCP-сервер на микротике... После часа экспериментов (с микротиком можно сказать что не знаком вообще) все заработало, скорость около 15 мегабит (слабенький микротик). Но жизнь была бы слишком проста. С "удаленной" локалки почему-то не открываются некоторые сайты, например этот форум. Какую-то закономерность пока понять не могу. Кроме того, кинетик уходит в перезагрузку, когда кабели от LAN кинетика и LAN микротика подключены к разным сетевушкам одного компа. Стоит еще упомянуть, что для нескольких туннелей поверх IPsec на одном роутере должны совпадать не только ключи, но и уровни шифрования - это очевидно становится только когда догадаешься, что не так, как с isolate-private

@des, а можете привести примеры других трубок с CAT-iq 2, которые реально купить в РФ, кроме S850HX? Чтобы понимать, на что смотреть, если покупать с запасом на будущее.

После появления (и базовой стабилизации) ** over IPsec уже в целом радость не такая сильная, голый IPsec без маршрутизации и NAT лично для меня не имеет особого смысла. Дальнейшей радостью будет разве что появление авторизации по сертификатам (с проверкой IP или ожиданием строго определенного CN), а то держать один ключ на всех устройствах как-то не улыбается, когда количество устройств перевалит за 3-4.

Эгей! 2.08.A.12.0-4

Вот опять удалось повторить то, что было с самого появления IPIP-туннелей Имеем: Ultra 2 (v2.08(AAUX.2)A12) - "сервер", Giga 2 на аналогичной прошивке - "клиент". Запускаем обновление Ultra 2 на .3, после обновления и перезагрузки ждем час, гигу 2 не трогаем.. А туннель все не поднимается... Замечаем явно абсурдный MTU на ультре, перевключаем туннель на гиге, и все начинает работать Селфтесты до и после с обоих устройств ниже.

Нужно в "интернет -> другое" прописать маршруты до подсетей городской локалки через шлюз 10.10.160.1