KorDen

Итак, имеется следующая конфигурация: (везде туннели поверх IPsec, 2.08.A.12.0-4, crypto engine hardware) Ultra II (U2) - "сервер", 192.168.0.1/24 Giga II (G2-1) - подключается к U2 по IPIP0, 192.168.1.1/24 Giga II (G2-2) - сброшен в дефолт, настроен интернет, в Home отключен DHCP-сервер, 192.168.0.101/24, подключается к U2 по EoIP0, с обоих сторон прибриджован в Home. Первоначально тут планировался микротик, пока для тестов поставил гигу. До начала настройки EoIP-туннеля IPIP0 работал корректно. Первый и основной вопрос: могут ли одновременно работать EoIP over IPsec и IPIP over IPsec? А то он в логах при подключении IPIP пишет "ipsec: 07[IKE] IKE_SA EoIP0[6] established between ....", и пока на сервере включен EoIP0, IPIP0 вроде поднимается, но пакеты не идут. Далее: Что делать с MTU в EoIP? Ничего специально не шаманил, а с ПК за G2-2 не открываются сайты, в частности HTTPS (скажем в Firefox этот форум не открывается, яндекс открывается с трудом, steamcommunity.com открывается нормально), и не ходят пинги 1400 пакетами. На этой конфигурации словил один раз ребут G2-2, когда с ПК за G2-2 попытался зайти по самбе по NetBios-имени на ПК, подключенный к U2. U2 при этом не перезагрузился. Случилось один раз, повторить не удалось. Селфтесты со всех роутеров будут ниже.

Если на клиенте включен NAT (а он включен стандартно), возможно.

По поводу перезагрузки - постараюсь завтра воспроизвести после полной перенастройки и перезагрузки всего и вся. Хотелось бы уточнить. Правильно ли я понимаю, что нет нужды для IPIP использовать /24, если есть несколько IPIP-интерфейсов, для каждого должен быть уникальный IP и подсеть, поэтому можно для каждого нарезать /30. GRE over IPsec или IPIP over IPsec - есть ли какая-то неочевидная разница и неочевидные плюсы/минусы, кроме невозможности использовать PPTP в первом случае?

Мда.. Приблизительные цены: KX-TPA60 - 4250 S850HX - в районе 5000 (4500-5500) SL450HX - 7000

Насколько я понял, как раз X и показывает наличие CAT iq 2.0. У гигасета на общем сайте есть фильтр по его наличию, и там отображаются следующие трубки: C530HX, CL660HX, S850HX, SL450HX CL750HX - Sculpture. Есть еще A540 CAT А в РФ в большинстве случаев продаются именно H, а не HX.. На российском сайте гигасета этих трубок вообще нет. Из того, что сходу можно найти - только SL450HX в Технопоинте за 7000.

Подружил кинетик с микротиком по EoIP, сделав "продолжение локалки" кинетика за микротиком. Имеем: Ultra 2, hAp lite. создаем туннель, добавляем в локальные бриджи с обоих сторон, вырубаем DHCP-сервер на микротике... После часа экспериментов (с микротиком можно сказать что не знаком вообще) все заработало, скорость около 15 мегабит (слабенький микротик). Но жизнь была бы слишком проста. С "удаленной" локалки почему-то не открываются некоторые сайты, например этот форум. Какую-то закономерность пока понять не могу. Кроме того, кинетик уходит в перезагрузку, когда кабели от LAN кинетика и LAN микротика подключены к разным сетевушкам одного компа. Стоит еще упомянуть, что для нескольких туннелей поверх IPsec на одном роутере должны совпадать не только ключи, но и уровни шифрования - это очевидно становится только когда догадаешься, что не так, как с isolate-private

@des, а можете привести примеры других трубок с CAT-iq 2, которые реально купить в РФ, кроме S850HX? Чтобы понимать, на что смотреть, если покупать с запасом на будущее.

После появления (и базовой стабилизации) ** over IPsec уже в целом радость не такая сильная, голый IPsec без маршрутизации и NAT лично для меня не имеет особого смысла. Дальнейшей радостью будет разве что появление авторизации по сертификатам (с проверкой IP или ожиданием строго определенного CN), а то держать один ключ на всех устройствах как-то не улыбается, когда количество устройств перевалит за 3-4.

Эгей! 2.08.A.12.0-4

Вот опять удалось повторить то, что было с самого появления IPIP-туннелей Имеем: Ultra 2 (v2.08(AAUX.2)A12) - "сервер", Giga 2 на аналогичной прошивке - "клиент". Запускаем обновление Ultra 2 на .3, после обновления и перезагрузки ждем час, гигу 2 не трогаем.. А туннель все не поднимается... Замечаем явно абсурдный MTU на ультре, перевключаем туннель на гиге, и все начинает работать Селфтесты до и после с обоих устройств ниже.

Нужно в "интернет -> другое" прописать маршруты до подсетей городской локалки через шлюз 10.10.160.1

А что с этим не так, входящий номер вполне себе отображается

Если у вас голый IPsec и он правильно работает, то порты никакие открывать не нужно, удаленная локалка доступна по своим внутренним IP. Что вы подразумеваете под пробросом?

Внесу свои пять копеек. Вначале тоже посчитал, что упрощение обновления до кнопки или даже полного автоообновления - зло. Потом вспомнил один случай. В этом году один местный провайдер обновил свои DNS-серверы. Все было хорошо, но тут начались проблемы - что характерно, у всех были Keenetic, и иногда асусы. С длинками и прочим жалоб не было. Как выяснилось - была бага в dns-прокси на кинетике, исправленная еще зимой 2013-2014, а народ так и сидел чуть ли не на стоковой прошивке, потому что все работало. Ну а длинки на стоковой все равно что не работают, их уже до этого обновили Поэтому я бы сказал что для массового пользователя упрощение обновления прошивки крайне полезно. Не забывайте, речь идет о stable, это у нас тут "в 12.0 сломали фичу, пойду откачусь на 11.5", там критичных багов вроде не было давно. Главное не уподобляться Microsoft и не делать это обязательным. Пожалуй, реализация dual image с фоновой загрузкой прошивки - лучший вариант - ну а дальше можно даже не ребутать - ставим загрузку в другой слот и ждем как мигнет свет или пользователь сам роутер ребутнет по питанию

- Поставить описание в начало, по возможности увеличить размер этого поля - когда много правил, все-таки в первую очередь смотришь на имя, чтобы не запутаться. - объединить "Интерфейс" и "IP-адрес", переименовав скажем в "Источник (Source)" - они не могут отображаться одновременно, а место пустует, можно использовать под другие поля. - добавить отображение состояния правила - ручное вкл/выкл и имя расписания, если имеется. - добавить возможность массового включения/выключения; массового выбора расписания - в идеале - добавить массовую смену интерфейса/IP источника и IP назначения. А вообще - хотелось бы видеть компактное массовое редактирование прямо в таблице - сейчас гораздо проще это делать через CLI...

На данный момент хотелось бы предложить: - добавить коды ответа SIP на страницу истории звонков и фильтры истории по трубке/линии/удаленному номеру. - сделать возможность сохранения внутренней истории вызовов в энергонезависимую память и отображение в вебе + доступ из OPKG - в топах есть неразмеченная область, или можно было бы указывать раздел на внешней флешке (как с захватом пакетов), да и во всех моделях с поддержкой модуля вроде есть /storage, условный файлик в стиле csv на 100 кб вместит вполне достаточное количество вызовов IMO Обе хотелки пригодились бы при диагностике всяких "а вот позавчера вечером мы что-то не могли дозвониться, ребутнули роутер, вроде дозвонились, не стали беспокоить" Теперь вопросы. Из текущих планов, что видел в последнее время, не увидел того, о чем было мельком сказано ранее, поэтому хотелось бы понять: - будет ли автоустановка даты и времени на каких-либо трубках? - будет ли история вызовов, берущаяся с базы? ________________________ С трубками, правда, есть один дурацкий момент.. Гигасеты в целом по качеству связи конечно лучше, но у них есть огромная проблема - дурацкий интерфейс, как по мне. И тут получается - гигасет поддерживается лучше, но панасоники гораздо дружелюбнее, по крайней мере из тех моделей, что использовал я. После панасоников, у которых в большинстве своем в истории вызовов в три строчки на одном экране отображается номер-имя-дата, при вызове и в телефонной книге в две строчки отображаются имя и номер, а при ожидающем вызове в три строчки пишут "ожидающий вызов" и имя с номером, гигасеты с гораздо бОльшим экраном, но НЕ УМЕЮЩИЕ ВЫВОДИТЬ ИНФУ В НЕСКОЛЬКО СТРОЧЕК и вечным блужданием по меню для просмотра даты звонка, или выводом по очереди в одну строчку имени и номера дико бесят. А многострочный экран они только на домашнем экране умеют адекватно заполнять. Скажите мне, если есть что на примете - есть ли сейчас модели, которые можно сейчас купить и использовать с базовым функционалом, но в будущем будут иметь поддержку всяких планируемых фич, и в которых нет такого дурацкого интерфейса, как на недорогих гигасетах? Где нормально используется большой многострочный экран, как в панасониках?

С появлением IPIP / GRE-туннелей пожалуй (как минимум для моих задач) вопрос практически не имеет смысла, поскольку ограничение касается только чистого IPsec. Хотя мне бы хотелось видеть более гибкую настройку туннелей в плане шифрования.. Только хотелось бы понять, в чем разница между голым IPsec и IPIP/GRE/EoIP over IPsec в данном случае...

Его легко обмануть при желании, если отдавать домен www.msftncsi.com - у того же Билайна например, по крайней мере раньше, винда считала что интернет есть даже если L2TP не подключено.

На 11-3 так и не проверил, проверил сразу с 11-4 на обоих - вроде, после ребута "сервера" спустя несколько минут "клиент" подключился сам, но сервер отправлялся в перезагрузку через веб, а не по питанию.. Проверю с отключением питания позже...

По крайней мере, "клиент" Giga 2 на 11-1 (v2.08(AAFS.1)A11) за пять часов с момента ребута Ultra 2 на 11-3 так и не переподключился. Клиент только сейчас перешил на 11-3, ультру пока не могу ребутнуть для проверки той же ситуации.

Можно ли (и как) настроить проверку доступности туннеля и таймауты отвала/переподключения, для ***overIPsec? Сейчас, насколько я понимаю, если "сервер" перезагрузился, то клиент не переподключится без дополнительного пинка вообще, или все-таки это уже сейчас настраивается?

Не обязательно, есть еще уход по ping-check

У меня подобного не наблюдается. Одна сетка подключена по IPIP over IPsec (AES256/SHA1/2048), другая по PPTP (MPPE128), между роутерами без туннелей пинг 1 мс, между компами через туннели без нагрузки пинг 1000 байтами стабильно 2-3 мс в обоих случаях.

Наконец-то добрался до роутеров, обновил, IPIPoverIPsec Ultra 2 - Giga 2 после обновления обоих поднялся нормально. Впрочем, и до обновления на 11.0-0 работал неделю без проблем

Нет, вам либо уйти обратно на v1, либо купить более новый роутер.