KorDen

Столкнулся с очередной проблемой в эксплуатации туннеля. Туннель Ultra 2 <-> Giga 2, версии прошивок актуальные на каждый момент времени, проблема похоже на протяжении всего использования (с момента исправления бесконечных пересогласований), но словить и понять трудно. Спустя несколько дней (самое короткое, что видел - двое суток) туннель падает и более не поднимается, пока не передернешь на одном из роутеров no service ipsec / service ipsec. Неделю назад пришлось дергать оба роутера, Позавчера - только Giga 2. Неделю назад при попытке выяснения ситуации заметил проскочившее в логах что-то типа "no statistics ...is strongswan dead?". В остальном - просто в какой-то момент перестают идти строчки о пересогласованиях канала. Первый раз вроде соединение отображалось рабочим, о пинги не шли, и логов пересогласований не было несколько часов (хотя стоит пересогласование раз в час) Трафик в канале почти нулевой, от силы десятки кб/с с периодическими редкими всплесками до мегабита-двух. Не понятно, даст ли что-либо self-test, т.к. в момент запуска диагностики происходит рестарт IPsec и как следствие туннель тут же успешно поднимается. Что можно попробовать сделать в момент наличия проблемы, чтобы как-то помочь ее локализовать?

Голосуйте Вот жеж.. Все настройки фаервола обыскал уже на всех трех роутерах, пытаясь понять, почему не могу зайти на интерфейс удаленных роутеров, хотя доступ к локалке есть и роутеры пингуются.. А это оказывается баг!

Из моей практики: - уровень сигнала у DECT-модуля гораздо ниже штатной базы. У меня в квартире, когда роутер стоит в одном углу квартиры, а я в противоположном за тремя стенами - гигасет уже показывает одну палку из трех. Со штатной базой со всеми имеющимися трубками можно уйти к соседям за еще тройку стен, модуль там уже не ловит. Если дача двухэтажная, да желаете на огороде в надцать соток иметь связь - может и не хватить. - Локальная связь работает (в том числе панасоник <-> гигасет), но нет штатной переадресации вызовов - Из моего набора панасоников-гигасетов все работают одинаково фигово (я про отсутствие даты и прочих мелочей - чисто звонки работают нормально), причем одна старая панасониковская трубка даже номер свой определяет, хотя все более новые не могут.

- в настройках действий для кнопок есть "run Opkg script" (в веб-интерфейсе) - Нужно создать директорию /opt/etc/ndm/buttons.d (там же, где и netfilter.d и проч.), скрипты из нее будут вызываться по этому действию. А в последней версии прошивки теперь и передачу типов нажатий кнопок добавили, так что можно указывать на разные кнопки/разные виды нажатий разные действия

Так а зачем вы ставите галку "задействовать для доступа в интернет" на PPTP-соединении? Если ее не ставить, то никакого понижения скорости не будет, ведь иначе клиенты ходят через ваш основной роутер. Если используете только для доступа на вебморду - попробуйте использовать KeenDNS ("модуль управления маршрутизатором через облачную службу"), описание есть здесь на форуме.

На данный момент количество одновременно активных IPsec-туннелей ограниченно двумя. (Это ограничение не распространяется на L2TP/IPsec). Исходя из прежних сообщений, одной из причин упоминается опасение высокой нагрузки. Другая, очевидная, хоть и не упоминалась [вроде] вслух - "да как же мы тогда zywall будем продавать" Хотелось бы иметь возможность 3-4 активных туннелей хотя бы на актуальных топовых моделях (Giga 3 / Ultra 2).

Хотелось бы прояснить: 1) Поддержка IPsec есть/будет во всех устройствах с 2.06+, или исключая какие-то младшие модели? Какая (ориентировочно) скорость на AES-128/SHA1 на младших моделях, поддерживающих IPsec? 2) Какие конкретно модели поддерживают crypto engine hardware? Giga 2/3, Ultra 1/2, еще какие-то есть?

Раз решение ошибки нетривиальное - конечно смысла нет.. Теоретически, в зависимости от среды передачи, может быть необходимость туннеля [с проверкой валидности данных (HMAC)], но шифрование не обязательно, если по этому туннелю и так гоняются шифрованные TLS/... данные. Но это уже сильно частные случаи конечно, я просто игрался - нашел баг - сообщил..

Как я понимаю, доступ к интернету будет, когда запилят IPIP/EoIP-туннели, т.е. позже...

Да, IP настоящие там, это я "замазал"

А я вот пытаюсь понять, вроде же как в винде есть штатная поддержка IPsec через правила фаервола.. Но попытка настроить пока приводит к "no IKE config found for a.a.a.a...b.b.b.b, sending NO_PROPOSAL_CHOSEN", хотя на кинетике указаны все возможные методы согласования в обоих фазах..

С необходимостью отображения (ввода) голых цифр вместо процентов и попугаев я полностью согласен. Но обывателю сложно понять что шкалы мощности нелинейные. Поэтому в веб-интерфейсе я бы хотел видеть рядом с попугаями в скобках реальные значения - это опять возвращаясь к "Верните вкладку Клиенты WiFi" - палки-попугаи бесят. Почему-то для модемов это отображается, причем разработчики даже иногда высчитывают значения из попугаев, которые передает модем, а сами делают то же самое Впрочем, для уровней подключенных клиентов есть sh associations, там и rssi и mcs/gi отображаются. А вот с возможностью превышения разрешенных/рекомендуемых параметров мощности (и других потенциально влияющих на эфир настроек) не могу согласиться - далеко не все "продвинутые" пользователи понимают что делают. Врубить мощу побольше, антенны подлиннее, поставить этот кирпич на окно - чтобы ловить домашнюю сеть со смартфона на работе за пару километров - таких много, и не все переходят на следующую ступень. Для экспериментаторов есть OpenWRT и аналоги, в официальной прошивке этому не место.

... в котором ЕМНИП до сих пор, среди кучи редчайших настроек беспроводной сети нет банального Beacon interval... Или чего-то еще из подобного, что было даже в длинках эпохи самых-самых первых DIR-300... 6 - это еще что за мощность? Она же настраивается уже, или вы про другую какую? 7 - могу сильно ошибаться, но вроде бы же оно реально работает только в энтерпрайзных AP, где антенны строго определенно расположены, нет?

"Домашняя группа"

Попробовал с ожиданием, действительно, заработало. Только скорость Ultra 2 - Giga 2 без шифрования ~4 МБ/с, а с AES-128/hardware 12-13 МБ/с... Забавно...

На 9.3.3 / 9.3.4 немножко по-другому (у самого яблочной техники нет, прошелся по знакомым..)

Естественно на обоих сторонах, иначе туннель бы не поднялся, ругнувшись на несоответствие (проверил). Попробовал без аппаратного, аналогично. В момент отключения еще словил лок на ультре (в аттаче), селфтест чуть позже пытался сделать, не удалось запустить. threads-ipsec.zip

v2.08(AAUX.0)A4 <-> v2.06(AAFS.11)B4 При экспериментах с производительностью туннеля решил попробовать отключить шифрование ESP. При этом соединение устанавливается и в веб-интерфейсе отображается активным, но удаленная сеть не пингуется. Стоит поставить шифрование - все начинает работать. Пример конфига:

За ~12 часов проблема не проявлялась.Пожалуй можно считать решенной, по крайней мере в моем случае

Линк поднят около 4 часов назад, пока проблемы нет, пересогласования раз в час как обычно. Ранее он начинал бесконечно пересогласовывать спустя 2-3 часа вроде бы. Наблюдаю...

Система -> Пользователи

Работает, спасибо!

Типа того.. Там черт-знает-что советского времени, но зато прямой двухпроводной линк есть между определенными точками, авось хотя бы на 5-10 мбит/с заведется.. А если немного переделать сомнительные места где возможно (в целях повышения скорости), да если еще можно будет IPsec на мост повесить (параноики атакуют) - вообще шикарно будет. Именно ради подобных экспериментов точка-точка и жду Plus DSL. Если по-простому, из моих знаний (возможно ошибочных в нюансах) - то так: в линейке 4G "урезанный" USB, поддерживает только модемы. Во всех других черных кинетиках - "полноценный", можно подключить флешки-мфу-утюги-чайники-ардуины. В белых кинетиках USB были чем-то средним - флешки-мфу заводились, а вот утюги-ардуины уже с нюансами. Что, впрочем, не мешало играть музыку и снимать видео белой гигой, на v1.04 и тогда еще Optware.. Из тех же нюансов белых - на v1.11 звуковушка уже не работала вроде бы.

На оффсайте висит Речь-то о релизных прошивках, вроде же говорилось что DECT и DSL будут поддерживаться в большинстве черных кинетиков с полноценным USB (т.е. кроме 4G). В бета/альфа-прошивках модули вроде как во всей линейке 2.06 есть, хотя могу ошибаться... PS: я все жду-не дождусь потестить VDSL-мост по полевке

В сетевом окружении компьютеры удаленной сети не будут видны ни по IPsec ни по PPTP, т.к. через туннель не ходят бродкасты. Но в обоих случаях они будут доступны, если обращаться напрямую к IP, например "\\192.168.2.3"