KorDen

Нет! Лично мне гораздо больше нравится подход микротика с одинаковым функционалом ROS, но чисто аппаратными ограничениями по возможностям железа (о том, насколько стабильны и полноценны некоторые функции у них другой разговор). NDMS очень близка к этой идеологии, но менеджмент... Т.е. если фича работает, особой переработки под конкретную модель не требует и вполне стабильна - просто сделать ограничения по скорости для стабильности, если необходимо, но не выпиливать "потому что железка нижнего класса".

@NikIv если не ошибаюсь, тот же PPTP-сервер не был изначально заявлен скажем в Giga 2, но сейчас в релизе, как, впрочем, и OPKG. (или я чего путаю?) Я пытаюсь понять, какая сейчас политика партии: IPsec не будет до тех пор, пока его не допилят до определенного уровня, и тогда он появится в релизе в некоторых моделях на 7620, или же раз он на 7620 не заявлен - то его не будет в релизе никогда, даже когда он будет практически идеально работать во всех бетах.

Хотелось бы уточнить: такая позиция будет до стабилизации работы IPsec на определенном уровне, или же постоянно?

Не секурно же, лучше opkg install ca-certificates

Как я уже сказал, мои сомнения основаны на том, что в момент запуска диагностики происходит рестарт IPsec. Постараюсь сделать при следующем обнаружении оба селфтеста, доступ вне туннеля ко второму роутеру есть.

Столкнулся с очередной проблемой в эксплуатации туннеля. Туннель Ultra 2 <-> Giga 2, версии прошивок актуальные на каждый момент времени, проблема похоже на протяжении всего использования (с момента исправления бесконечных пересогласований), но словить и понять трудно. Спустя несколько дней (самое короткое, что видел - двое суток) туннель падает и более не поднимается, пока не передернешь на одном из роутеров no service ipsec / service ipsec. Неделю назад пришлось дергать оба роутера, Позавчера - только Giga 2. Неделю назад при попытке выяснения ситуации заметил проскочившее в логах что-то типа "no statistics ...is strongswan dead?". В остальном - просто в какой-то момент перестают идти строчки о пересогласованиях канала. Первый раз вроде соединение отображалось рабочим, о пинги не шли, и логов пересогласований не было несколько часов (хотя стоит пересогласование раз в час) Трафик в канале почти нулевой, от силы десятки кб/с с периодическими редкими всплесками до мегабита-двух. Не понятно, даст ли что-либо self-test, т.к. в момент запуска диагностики происходит рестарт IPsec и как следствие туннель тут же успешно поднимается. Что можно попробовать сделать в момент наличия проблемы, чтобы как-то помочь ее локализовать?

Голосуйте Вот жеж.. Все настройки фаервола обыскал уже на всех трех роутерах, пытаясь понять, почему не могу зайти на интерфейс удаленных роутеров, хотя доступ к локалке есть и роутеры пингуются.. А это оказывается баг!

Из моей практики: - уровень сигнала у DECT-модуля гораздо ниже штатной базы. У меня в квартире, когда роутер стоит в одном углу квартиры, а я в противоположном за тремя стенами - гигасет уже показывает одну палку из трех. Со штатной базой со всеми имеющимися трубками можно уйти к соседям за еще тройку стен, модуль там уже не ловит. Если дача двухэтажная, да желаете на огороде в надцать соток иметь связь - может и не хватить. - Локальная связь работает (в том числе панасоник <-> гигасет), но нет штатной переадресации вызовов - Из моего набора панасоников-гигасетов все работают одинаково фигово (я про отсутствие даты и прочих мелочей - чисто звонки работают нормально), причем одна старая панасониковская трубка даже номер свой определяет, хотя все более новые не могут.

- в настройках действий для кнопок есть "run Opkg script" (в веб-интерфейсе) - Нужно создать директорию /opt/etc/ndm/buttons.d (там же, где и netfilter.d и проч.), скрипты из нее будут вызываться по этому действию. А в последней версии прошивки теперь и передачу типов нажатий кнопок добавили, так что можно указывать на разные кнопки/разные виды нажатий разные действия

Так а зачем вы ставите галку "задействовать для доступа в интернет" на PPTP-соединении? Если ее не ставить, то никакого понижения скорости не будет, ведь иначе клиенты ходят через ваш основной роутер. Если используете только для доступа на вебморду - попробуйте использовать KeenDNS ("модуль управления маршрутизатором через облачную службу"), описание есть здесь на форуме.

На данный момент количество одновременно активных IPsec-туннелей ограниченно двумя. (Это ограничение не распространяется на L2TP/IPsec). Исходя из прежних сообщений, одной из причин упоминается опасение высокой нагрузки. Другая, очевидная, хоть и не упоминалась [вроде] вслух - "да как же мы тогда zywall будем продавать" Хотелось бы иметь возможность 3-4 активных туннелей хотя бы на актуальных топовых моделях (Giga 3 / Ultra 2).

Хотелось бы прояснить: 1) Поддержка IPsec есть/будет во всех устройствах с 2.06+, или исключая какие-то младшие модели? Какая (ориентировочно) скорость на AES-128/SHA1 на младших моделях, поддерживающих IPsec? 2) Какие конкретно модели поддерживают crypto engine hardware? Giga 2/3, Ultra 1/2, еще какие-то есть?

Раз решение ошибки нетривиальное - конечно смысла нет.. Теоретически, в зависимости от среды передачи, может быть необходимость туннеля [с проверкой валидности данных (HMAC)], но шифрование не обязательно, если по этому туннелю и так гоняются шифрованные TLS/... данные. Но это уже сильно частные случаи конечно, я просто игрался - нашел баг - сообщил..

Как я понимаю, доступ к интернету будет, когда запилят IPIP/EoIP-туннели, т.е. позже...

Да, IP настоящие там, это я "замазал"

А я вот пытаюсь понять, вроде же как в винде есть штатная поддержка IPsec через правила фаервола.. Но попытка настроить пока приводит к "no IKE config found for a.a.a.a...b.b.b.b, sending NO_PROPOSAL_CHOSEN", хотя на кинетике указаны все возможные методы согласования в обоих фазах..

С необходимостью отображения (ввода) голых цифр вместо процентов и попугаев я полностью согласен. Но обывателю сложно понять что шкалы мощности нелинейные. Поэтому в веб-интерфейсе я бы хотел видеть рядом с попугаями в скобках реальные значения - это опять возвращаясь к "Верните вкладку Клиенты WiFi" - палки-попугаи бесят. Почему-то для модемов это отображается, причем разработчики даже иногда высчитывают значения из попугаев, которые передает модем, а сами делают то же самое Впрочем, для уровней подключенных клиентов есть sh associations, там и rssi и mcs/gi отображаются. А вот с возможностью превышения разрешенных/рекомендуемых параметров мощности (и других потенциально влияющих на эфир настроек) не могу согласиться - далеко не все "продвинутые" пользователи понимают что делают. Врубить мощу побольше, антенны подлиннее, поставить этот кирпич на окно - чтобы ловить домашнюю сеть со смартфона на работе за пару километров - таких много, и не все переходят на следующую ступень. Для экспериментаторов есть OpenWRT и аналоги, в официальной прошивке этому не место.

... в котором ЕМНИП до сих пор, среди кучи редчайших настроек беспроводной сети нет банального Beacon interval... Или чего-то еще из подобного, что было даже в длинках эпохи самых-самых первых DIR-300... 6 - это еще что за мощность? Она же настраивается уже, или вы про другую какую? 7 - могу сильно ошибаться, но вроде бы же оно реально работает только в энтерпрайзных AP, где антенны строго определенно расположены, нет?

"Домашняя группа"

Попробовал с ожиданием, действительно, заработало. Только скорость Ultra 2 - Giga 2 без шифрования ~4 МБ/с, а с AES-128/hardware 12-13 МБ/с... Забавно...

На 9.3.3 / 9.3.4 немножко по-другому (у самого яблочной техники нет, прошелся по знакомым..)

Естественно на обоих сторонах, иначе туннель бы не поднялся, ругнувшись на несоответствие (проверил). Попробовал без аппаратного, аналогично. В момент отключения еще словил лок на ультре (в аттаче), селфтест чуть позже пытался сделать, не удалось запустить. threads-ipsec.zip

v2.08(AAUX.0)A4 <-> v2.06(AAFS.11)B4 При экспериментах с производительностью туннеля решил попробовать отключить шифрование ESP. При этом соединение устанавливается и в веб-интерфейсе отображается активным, но удаленная сеть не пингуется. Стоит поставить шифрование - все начинает работать. Пример конфига:

За ~12 часов проблема не проявлялась.Пожалуй можно считать решенной, по крайней мере в моем случае

Линк поднят около 4 часов назад, пока проблемы нет, пересогласования раз в час как обычно. Ранее он начинал бесконечно пересогласовывать спустя 2-3 часа вроде бы. Наблюдаю...