KorDen

- можно разъяснить подробнее weak/normal/strong, какие это proposals? - насколько я понимаю, чтобы ходить через другой роутер, надо на "сервере" прописать, условно "ip nat IPIP0", а на другом просто маршруты, либо задать ip global, и будет работать в том числе с логикой резервирования? - через EoIP DHCP-трафик ходит, или фильтруется? Можно ли это поведение настроить? Пример желаемой реализации я уже описывал - внутренние IP у роутеров 192.168.0.1/24 (DHCP на свои порты 2-100, def .1) и 192.168.0.101/24 (DHCP на свои порты 102-200, def .101), каждый сегмент в интернет ходит через свой роутер (с возможностью ходить по маршрутам через другой), но есть прозрачная сеть.

Мммм... Wat? На белой гиге нет VPN-сервера, или речь о подключении клиентом PPTP к вышестоящему серверу и далее классическая маршрутизация? Можно отключить NAT, поставить на соединение security-level private и настроить DHCP-Relay по идее.

А вы почитайте внимательно ченжлог. В официальном канале на 2.07.C.3-5 IPSec заявлен только для Giga III и Ultra II. Заветное тут, на форуме, читайте прикрепленные темы сверху.

В последнем обновлении 2.08 они появились, как я понимаю, только в CLI. Можно ли пример настройки? Скажем: есть два кинетика, сейчас между ними PPTP-туннель, до определенных маршрутов второй ходит через первый. Возможно ли такое теперь реализовать поверх IPsec, в том числе использование туннеля в качестве маршрута по умолчанию? Что лучше использовать и как? Второй вопрос: насколько я понимаю, EoIP - это этакий dev tap в терминологии OpenVPN, т.е. возможность построить единый L2-сегмент для работы приложений и железок, которым необходим один широковещательные домен, верно? А как в таком случае с пересечением сетей IPsec? Т.е. как я вижу, и как я уже изобретал на OpenVPN с dev tap - два роутера в разных местах, внутренние IP у роутеров 192.168.0.1/24 (DHCP на свои порты 2-100, def .1) и 192.168.0.101/24 (DHCP на свои порты 102-200, def .101) - в итоге все приложения, умеющие работать только в одном сегменте /24 прекрасно уживаются, подключенные в разных сетях. Медленно это было, но работало. Сейчас со скоростью IPsec с аппаратным ускорением на топовых моделях было бы интересно (и практически уже представляю, для чего можно применить) реализовать подобное опять, на других протоколах. Возможно ли?

Быть может, аппаратная часть мешает? Модем - это же вам не SDR (Software-Defined Radio, "как хочу, так и излучаю")

Подробнее суть кипиша: Использовать антенны-удлинители-etc не очень удобно - дело даже не в интерьере (в котором не хватает разве что 19" стойки, так что даже антенна индустриального исполнения его не испортит..), а в расположении. Экспериментально было установлено место наилучшего приема для Yota в (определенный угол балкона), и оно находится достаточно далеко от места установки ультры, чтобы туда аккуратно провести USB, и оно бы работало. Хотя есть вариант попробовать сделать кабель на CAT-6 витухе с активным хабом на конце, или что подобное.. Но это уже тема для другого раздела. Поэтому было решено поставить в этом месте какой-либо роутер. А раз роутер будет стоять возле окна, зачем умная железка будет пропадать зря? Нужно прокинуть на него гостевую сеть, которую можно включать при необходимости подключиться во дворе. Возможно еще прокинуть домашнюю сеть, вдруг захочу на балконе поставить какой-нибудь датчик, или камеру - а вот и розетка свободная! Entware стоит, но хочется максимально штатными средствами. Соответственно первый вариант, простой: делаем на этом роутере домашнюю сеть скажем 192.168.2.x, вланами пробрасываем домашнюю и гостевую сети основного роутера, а на основном роутере делаем второе IPoE с IP 192.168.2.2, таким образом управление вторым роутером через IP 192.168.2.1, соответственно для управления извне по туннелям надо добавлять дополнительный маршрут (если туннель не дефолтный маршрут). Из сети второго роутера нет доступа в сеть основного (за исключением варианта, описанного в KB, где два роутера соединяют кабелем и резирвируют друг через друга - возможно, стоит реализовать его...), кроме того, это второй NAT (192.168.1.x -> 192.168.2.x -> оператор), и по IPsec-туннелю управлять вторым роутером по идее не получится. Хочется попроще, и так уже в туннелях куча подсетей, не хочется делать еще одну подсеть. Хотя, наверное, было бы логичнее порезать сделать /28 или /27 для подобного использования с обоих сторон... Второй вариант - как-то разместить второй роутер в домашней подсети. Третий тогда уж, вытекающий из первых двух - создать на втором роутере и основную сеть для хождения в инет с первого роутера, и домашнюю подсеть первого роутера, как в режиме точки доступа...

Есть Ultra 2 в качестве основного роутера. Сигнал 3/4G для резервирования в месте установки нестабильный (стоит в логическом центре для наилучшего сигнала WiFi по квартире), USB-удлинитель до окна тянуть далеко и не удобно даже с активным хабом. Для этого думаю использовать второй роутер (белый кинетик или же 4G III, или что-нибудь на OpenWRT..). В идеале вижу его как второй шлюз в домашней сети, чтобы не добавлять лишний NAT. С настройкой этой железки понятно - делаем IP в сети скажем x.x.x.2, отключаем DHCP-сервер, при необходимости тегированным вланом прокидываем гостевую сеть или чего там вздумается.. Вопрос собственно в том, можно ли настроить на ультре резервное через другой шлюз в домашней сети, или есть другие красивые варианты, относительно банальной двойной сети и передачи домашней сети тегированным вланом?

Можно например через PulseAudio. Если компьютер на линуксе с pulseaudio, можно прозрачно пробросить все входы-выходы звуковушки в систему.

Хм. v2.08(AAUX.3)A7. В конфиге: permit udp 31.x.x.x 255.255.255.255 0.0.0.0 0.0.0.0 port eq 500 deny udp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 500 Единственный туннель сейчас неактивен (удаленный роутер оффлайн). В логе мелькнуло Sep 17 18:31:56 ipsec 08[IKE] no IKE config found for 31.y.y.y...71.6.135.131, sending NO_PROPOSAL_CHOSEN Как?!

Значит ли это, что возможно в скором времени удастся на 2.08 перетащить и fxs-телефонию? А как на счет LTE - модем тоже только под старое ядро, или же все тормозит одна телефония? С VOX как я понимаю та же петрушка, что и с DSL - нет модема

Настройки и компоненты - разные вещи. При сбросе настроек компоненты остаются, т.к. они в прошивке. Сбрасывая настройки, вы копируете содержимое default-config в startup-config и все. firmware остается неизменным. Речь идет о другом случае: к примеру, у вас в конфиге заданы нестандартные настройки transmission. Если вы поставите прошивку (firmware) без него, у вас в одних случаях будут ошибки в логе, в других случаях при следующем изменении настроек все неизвестное сотрется, т.е. все ваши настройки transmission удалятся.

Как-то слишком волшебно с KeenDNS получается (я пессимист и параноик, ага), не получатся ли потенциальные злоупотребления ? domain - предлагает domain static, это что? allow public - пока без вариантов? Не совсем ясно, как реализовать на своем домене с белым IP - есть к примеру myrouter.mydomain.com, его указывать в domain или куда? Нужна ли в этом случае облачная служба, можно ли поменять порт, защитить правилами фаервола доступ с определенных диапазонов?

Обещанного... Ну вы поняли... Keenetic Plus DSL столько же ждем, только тут ситуация обратная - в прошивке есть, в магазинах нет, и не понятно когда будет.

Пункт 1 реализовали в 2.08.A.7 буквально вчера, но она уходит в бесконечную перезагрузку, ждем фиксов.. Пункт 2 - из-под Entware можно мигать (и не только FN), а так пока ничего.

Нет! Лично мне гораздо больше нравится подход микротика с одинаковым функционалом ROS, но чисто аппаратными ограничениями по возможностям железа (о том, насколько стабильны и полноценны некоторые функции у них другой разговор). NDMS очень близка к этой идеологии, но менеджмент... Т.е. если фича работает, особой переработки под конкретную модель не требует и вполне стабильна - просто сделать ограничения по скорости для стабильности, если необходимо, но не выпиливать "потому что железка нижнего класса".

@NikIv если не ошибаюсь, тот же PPTP-сервер не был изначально заявлен скажем в Giga 2, но сейчас в релизе, как, впрочем, и OPKG. (или я чего путаю?) Я пытаюсь понять, какая сейчас политика партии: IPsec не будет до тех пор, пока его не допилят до определенного уровня, и тогда он появится в релизе в некоторых моделях на 7620, или же раз он на 7620 не заявлен - то его не будет в релизе никогда, даже когда он будет практически идеально работать во всех бетах.

Хотелось бы уточнить: такая позиция будет до стабилизации работы IPsec на определенном уровне, или же постоянно?

Не секурно же, лучше opkg install ca-certificates

Как я уже сказал, мои сомнения основаны на том, что в момент запуска диагностики происходит рестарт IPsec. Постараюсь сделать при следующем обнаружении оба селфтеста, доступ вне туннеля ко второму роутеру есть.

Столкнулся с очередной проблемой в эксплуатации туннеля. Туннель Ultra 2 <-> Giga 2, версии прошивок актуальные на каждый момент времени, проблема похоже на протяжении всего использования (с момента исправления бесконечных пересогласований), но словить и понять трудно. Спустя несколько дней (самое короткое, что видел - двое суток) туннель падает и более не поднимается, пока не передернешь на одном из роутеров no service ipsec / service ipsec. Неделю назад пришлось дергать оба роутера, Позавчера - только Giga 2. Неделю назад при попытке выяснения ситуации заметил проскочившее в логах что-то типа "no statistics ...is strongswan dead?". В остальном - просто в какой-то момент перестают идти строчки о пересогласованиях канала. Первый раз вроде соединение отображалось рабочим, о пинги не шли, и логов пересогласований не было несколько часов (хотя стоит пересогласование раз в час) Трафик в канале почти нулевой, от силы десятки кб/с с периодическими редкими всплесками до мегабита-двух. Не понятно, даст ли что-либо self-test, т.к. в момент запуска диагностики происходит рестарт IPsec и как следствие туннель тут же успешно поднимается. Что можно попробовать сделать в момент наличия проблемы, чтобы как-то помочь ее локализовать?

Голосуйте Вот жеж.. Все настройки фаервола обыскал уже на всех трех роутерах, пытаясь понять, почему не могу зайти на интерфейс удаленных роутеров, хотя доступ к локалке есть и роутеры пингуются.. А это оказывается баг!

Из моей практики: - уровень сигнала у DECT-модуля гораздо ниже штатной базы. У меня в квартире, когда роутер стоит в одном углу квартиры, а я в противоположном за тремя стенами - гигасет уже показывает одну палку из трех. Со штатной базой со всеми имеющимися трубками можно уйти к соседям за еще тройку стен, модуль там уже не ловит. Если дача двухэтажная, да желаете на огороде в надцать соток иметь связь - может и не хватить. - Локальная связь работает (в том числе панасоник <-> гигасет), но нет штатной переадресации вызовов - Из моего набора панасоников-гигасетов все работают одинаково фигово (я про отсутствие даты и прочих мелочей - чисто звонки работают нормально), причем одна старая панасониковская трубка даже номер свой определяет, хотя все более новые не могут.

- в настройках действий для кнопок есть "run Opkg script" (в веб-интерфейсе) - Нужно создать директорию /opt/etc/ndm/buttons.d (там же, где и netfilter.d и проч.), скрипты из нее будут вызываться по этому действию. А в последней версии прошивки теперь и передачу типов нажатий кнопок добавили, так что можно указывать на разные кнопки/разные виды нажатий разные действия

Так а зачем вы ставите галку "задействовать для доступа в интернет" на PPTP-соединении? Если ее не ставить, то никакого понижения скорости не будет, ведь иначе клиенты ходят через ваш основной роутер. Если используете только для доступа на вебморду - попробуйте использовать KeenDNS ("модуль управления маршрутизатором через облачную службу"), описание есть здесь на форуме.

На данный момент количество одновременно активных IPsec-туннелей ограниченно двумя. (Это ограничение не распространяется на L2TP/IPsec). Исходя из прежних сообщений, одной из причин упоминается опасение высокой нагрузки. Другая, очевидная, хоть и не упоминалась [вроде] вслух - "да как же мы тогда zywall будем продавать" Хотелось бы иметь возможность 3-4 активных туннелей хотя бы на актуальных топовых моделях (Giga 3 / Ultra 2).