KorDen

Для PPTP-сервера на кинетике (TCP/1723) можно штатным МСЭ ограничить долбежку китайских ботов, добавив вначале нужные IP с allow, а потом добавив deny all. Для IPsec (UDP/500) этого сделать не получается. Есть ли варианты это сделать без opkg/iptables?

@Rezdbic При копировании файлов по SMB по туннелю Giga II <-> Ultra II (AES128, crypto engine hardware с обоих сторон) по гигабитной сети скорость в туннеле у меня была около 13 МБайт/с или чуть более 100 мбит/с. Единственно - там есть баг, который пока ставит крест на IPsec, описывал здесь:

А если апач заменить на nginx+php-fpm? Я все хочу запустить кактус на Entware (keenle либо 3x), но у меня что-то Mysql не запускается на keenle, да и похоже может не хватить некоторых модулей php... В итоге в раздумьях - пробовать ли debian, или все же пытаться завести на Entware PS: С появлением SNMP похоже надо пилить отдельную тему по запуску Cacti и аналогов прямо на роутере и всеми связанными с ними багами...

Ради интереса проверил наличие проблемы после обновления strongswan на Ultra 2 (v2.08(AAUX.1)A2 <-> v2.06(AAFS.9)B4) - проблема сохраняется

А если Giga III обновить хотя бы до беты 2.07.B.2.0-2 (а то и до последних delta/draft)?

Как я сказал ("при этом в логах отображается что был введен неверный") - строчки такие были. Другой вопрос, что я пока не разобрался, это браузер пытался отправить пароль как-то странно (может скажу бред, но с http auth знаком очень поверхностно - может браузер отправляет старую сессию, а роутер это считал за неверный пароль, и выдавал форму авторизации - но это отражалось в логах), или расширение какое умничает, или я действительно не с первого раза вводил правильный пароль. Сейчас пока воспроизвести не удалось.

С одной стороны, было бы хорошо, например 5 попыток за минуту - бан на 15 минут, в идеале настраиваемо или хотя бы отключаемо. Опционально - аналогичный функционал для внутренних сегментов, отключаемо индивидуально для каждого сегмента (например разрешить доступ к роутеру с гостевого сегмента, но с проверкой на перебор) С другой стороны, у меня сейчас есть предположение о наличии какого-то бага с авторизацией, никак не возьмусь протестировать - после перезагрузки роутер может перезапросить пароль дважды-трижды, при этом в логах отображается что был введен неверный - хотя конечно могу и я ошибаться, но не так систематически же. Из-за автообновления страниц можно легко себя так забанить.

Поставьте канал "Авто" и он сам будет их использовать. А в последней 2.08 он может раз в несколько часов повторно сканировать и менять канал на оптимальный, если нет трафика по WiFi.

Поставьте хотя бы 2.07 Beta прямо из вебморды, баги 2.06 для Ultra II уже никто не будет смотреть.

Насколько я понимаю, на данный момент отдельного фида под 2.07 с ядром 3.4 все еще нет, все пакеты собраны под 2.6.22?

Ключевая особенность - ядро: 2.05/2.06 - Linux 2.6, 2.07 - Linux 3.4. В целом - 2.07 производительнее.

swnat - это что? ppe software? Какой метод подключения? Пробовали ввести подряд ppe software ppe hardware и сохраниться? 2.07 пробовали? http://files.keenopt.ru/experimental/Keenetic_Viva/

Я могу сильно ошибаться, но когда я заморачивался подобным (xbmc-мастер с базой на Windows, клиенты на малинах) - выходило, что (по крайней мере на Windows) Xbmc нельзя запустить как службу/демон или попросту не запускать GUI-оболочку. Вроде, под линуксом аналогично. Пришел к выводу, что в моем случае пожалуй проще будет поднять единую БД контента на MySQL и шаринг медиафайлов по SMB, но так и не реализовал единую базу, сейчас просто гоняется с шары. Если это так и осталось, то Kodi запустить на кинетике не удастся.

А смысл от Kodi на кинетике, как вы его собираетесь использовать-то, без вывода видео? Как DLNA-сервер? Так он вроде не умеет работать без GUI, не?

Telnet: opkg disk entware2 opkg initrc /opt/etc/init.d/rc.unslung Можно из ndmc.. Правда вопрос, рестартнет ли его сразу, или потребуется ребут роутера...

По первому (пересогласования) - нет вариантов, как пока можно попробовать избежать проблему настройками? По второму - без hw было где-то 30 мбит/с с загрузкой ЦП Giga 2 в потолок, с ним чуть выше сотни. Пока с большой нагрузкой много не тестировали, т.к. использовать постоянно мешает п.1

Вступление: Есть туннель между Ultra 2 (сейчас v2.07(AAUX.2)B1) и Giga 2 (v2.06(AAFS.1)B4). Эпизодически подключается вторая Giga 2 на аналогичной прошивке, но пока только для экспериментов.

В мыслях сразу всплыл этакий Ultra 2 Pro как убийца RB2011Ui с 7+4 гигабитными портами, если бы использовались все порты... SFP еще бы, но, пожалуй, он ни к чему, т.к. точка подключения оптики и кучи Ethernet-кабелей зачастую очень сильно удалена от лучшей точки раздачи WiFi, уже сейчас приходится придумывать место установки, чтобы обеспечить и нормальный WiFi в доме, и стабильный 4G для резерва, 8 Ethernet'ов как-то провести... А о каких именно бриджах тут речь? Если просто проброс VLANа wan>lan (как iptv/voip например) - то вроде TTL не уменьшается. Или это речь о варианте как у тов. dexter vlan на каждый порт+Bridge между ними будет понижение TTL?

Присоединяюсь к предложению - раз уж есть галка "VLAN для телефонии", можно было бы добавить галку терминирования телефонии на роутере для использования с DECT / FXS

"VLAN для телефонии" это просто проброс порт для подключения IP-телефона, он не используется во встроенном SIP. Смотрите обсуждение отсюда - viewtopic.php?f=8&t=223&start=30#p3743

Выполните по телнету "opkg dns-override" перед стартом

Тема навеяна "в Ultra 2 LAN висят на внешнем свиче, WAN - отдельная сетевая карта". Вариант 1 Имеем: на WAN прилетает нетегированный интернет/локалка + тегированный VLAN. На ультре один из LAN-портов - растегированный влан, другой - простой бридж с WAN. Сделаны штатными функциями вебморды как VOIP/IPTV-порты. Исходя из устройства U2, я так понимаю, что весь трафик влана и бриджа гоняются через ЦП, верно? Могут ли в теории быть проблемы с ним, если ЦП прилично нагружен, например активной передачей через IPSec-туннель? Размышления: в качестве WAN назначить один из LAN-портов, если я правильно понимаю, то тогда этот трафик будет гоняться внутри свича и не заходить на ЦП, или же все не так просто? При этом возникает вопрос, как соединен свич с ЦП? Если точнее, что будет в данном случае, если из домашней сети будет актвиный дуплексный обмен с интернетом - суммарная скорость будет упираться в 1 Гбит/с, или же в 2 Гбит/с? Вариант 2 Все то же самое, что и в п.1, но до кучи вторым тегированным вланом на WAN цепляем сегменты Home/Guest. Тут уже понятно, что суммарная (RX+TX) скорость интернета клиентов Home/Guest на вышестоящем свиче, где растегируется все это (и куда приходит и интернет) будет не более 1 Гбит/с, т.к. появляется бутылочное горлышко в виде гигабитного линка, но в данном случае это не критично. Других возможных артефактов такой конструкции с точки зрения кинетика не вижу, или чего очевидного упускаю?

... спустя 5 месяцев - поддержка утверждает, что сроки поступления Plus DSL в продажу неизвестны

Хотелось бы уточнить, в данном ограничении учитываются только IPsec-туннели, или же L2TPoverIPsec тоже считаются? На данный момент есть два IPsec-туннеля между кинетиками, + туннель на OpenVPN, который думаю перевести на L2TPoverIPSec ради повышения производительности (кстати, он же тоже использует crypto engine hardware?). Дополнительно вопрос - по-умолчанию домашние адреса будут натироваться в L2TPoverIPSec? Как я понимаю, инструкция по предотвращению натирования аналогична https://zyxel.ru/kb/3252/ - но она работает только если есть один WAN со статическим IP? А что делать в случае с динамическим IP и/или резервированием?

Скрипты на поднятие интерфейса выполняются из /opt/etc/ndm/wan.d (вместо /etc/hotplug.d/iface/ ) - вроде там и IP есть, но в принципе получить IP интерфейса можно командой вида ndmq -p "show interface ISP-IPTV" -P address (подставить правильное имя интерфейса, выдаст IP в чистом виде) интерфейсы тоже можно переподключать через ndmq... За основу взять скрипт OpenWRT