KorDen

Присоединяюсь к предложению - раз уж есть галка "VLAN для телефонии", можно было бы добавить галку терминирования телефонии на роутере для использования с DECT / FXS

"VLAN для телефонии" это просто проброс порт для подключения IP-телефона, он не используется во встроенном SIP. Смотрите обсуждение отсюда - viewtopic.php?f=8&t=223&start=30#p3743

Выполните по телнету "opkg dns-override" перед стартом

Тема навеяна "в Ultra 2 LAN висят на внешнем свиче, WAN - отдельная сетевая карта". Вариант 1 Имеем: на WAN прилетает нетегированный интернет/локалка + тегированный VLAN. На ультре один из LAN-портов - растегированный влан, другой - простой бридж с WAN. Сделаны штатными функциями вебморды как VOIP/IPTV-порты. Исходя из устройства U2, я так понимаю, что весь трафик влана и бриджа гоняются через ЦП, верно? Могут ли в теории быть проблемы с ним, если ЦП прилично нагружен, например активной передачей через IPSec-туннель? Размышления: в качестве WAN назначить один из LAN-портов, если я правильно понимаю, то тогда этот трафик будет гоняться внутри свича и не заходить на ЦП, или же все не так просто? При этом возникает вопрос, как соединен свич с ЦП? Если точнее, что будет в данном случае, если из домашней сети будет актвиный дуплексный обмен с интернетом - суммарная скорость будет упираться в 1 Гбит/с, или же в 2 Гбит/с? Вариант 2 Все то же самое, что и в п.1, но до кучи вторым тегированным вланом на WAN цепляем сегменты Home/Guest. Тут уже понятно, что суммарная (RX+TX) скорость интернета клиентов Home/Guest на вышестоящем свиче, где растегируется все это (и куда приходит и интернет) будет не более 1 Гбит/с, т.к. появляется бутылочное горлышко в виде гигабитного линка, но в данном случае это не критично. Других возможных артефактов такой конструкции с точки зрения кинетика не вижу, или чего очевидного упускаю?

... спустя 5 месяцев - поддержка утверждает, что сроки поступления Plus DSL в продажу неизвестны

Хотелось бы уточнить, в данном ограничении учитываются только IPsec-туннели, или же L2TPoverIPsec тоже считаются? На данный момент есть два IPsec-туннеля между кинетиками, + туннель на OpenVPN, который думаю перевести на L2TPoverIPSec ради повышения производительности (кстати, он же тоже использует crypto engine hardware?). Дополнительно вопрос - по-умолчанию домашние адреса будут натироваться в L2TPoverIPSec? Как я понимаю, инструкция по предотвращению натирования аналогична https://zyxel.ru/kb/3252/ - но она работает только если есть один WAN со статическим IP? А что делать в случае с динамическим IP и/или резервированием?

Скрипты на поднятие интерфейса выполняются из /opt/etc/ndm/wan.d (вместо /etc/hotplug.d/iface/ ) - вроде там и IP есть, но в принципе получить IP интерфейса можно командой вида ndmq -p "show interface ISP-IPTV" -P address (подставить правильное имя интерфейса, выдаст IP в чистом виде) интерфейсы тоже можно переподключать через ndmq... За основу взять скрипт OpenWRT

Вы, возможно, слишком идеализированного мнения о провайдерах провинций. Бывают конечно невезучие дома, где регулярно горят свичи/рвут кабели/..., но бывают и те, где ничего не отваливается месяцами. А вот проблемы по п.2 могут происходить чаще из-за постоянных улучшений/изменений в инфраструктуре. Да, такие проблемы быстрее чинятся, но, по крайней мере у нас, мелочи встречаются довольно часто. Обычно это не полный отказ, а некорректно отработавшее резервирование, например кривая балансировка после отвала магистрали. В итоге интернет вроде есть, но либо не везде, либо с большими потерями. Пока скорректируют, может пройти условно полчаса-час, а в это время есть более стабильный резерв. Кроме того, принципы работы сети разнятся - у одного провайдера коммутатор может сверять IP-MAC-Port каждый час и блокировать при недоступности биллинга, а у другого будет сохраняться последняя запомненная таблица до восстановления связи. А то и вообще может такой связки не быть, или она будет на более удаленном уровне (привязка только к дому/"лучу" оптики от районника или еще какая экзотика). В таких случаях вполне возможно сохранение связности в рамках [микро]района при проблемах чуть дальше. На мой взгляд, логичнее было бы видеть дополнительный параметр у каждого маршрута, оставлять ли конкретный маршрут при отвале по пингу. Хотя и предложенный вами в принципе сойдет, по крайней мере в моей текущей ситуации. Дополнительно хотелось бы видеть в пинговалке установку таймаута/размера пакета для отлавливания ситуаций, описанных выше, но это уже совсем другая история...

Ultra 2 / 2.07. Есть основной провайдер (IPoE), есть резерв (Yota либо 3G-модем), уходит на резерв по ping check. Есть несколько маршрутов до внутренних сетей провайдера IPoE (например 10.0.0.0/9), в том числе диапазоны беляков, пример: ip route 10.0.0.0 255.128.0.0 31.132.x.y ISP-IPTV auto (31.132.x.y -default gateway) По логике вещей, при уходе на 3G/4G по отвалу пинга у меня должен оставаться доступ к локалке IPoE согласно указанным маршрутам. На практике же получается что в этот момент через br2 роутится только дефолтный маршрут до подсети приходящего IP. В давние времена у меня была Giga 1 (еще кажется 2.01, 2012 год вроде), основным было PPTP/L2TP, резерв был IPoE, работало в обратную сторону - при основном соединении по PPTP у меня была доступна локалка провайдера IPoE, при падении PPTP маршрут перекидывался на резерв, но сохранялись маршруты до локалок обоих провайдеров. Думал сделать аналогично, с учетом текущих условий, но логика похоже поменялась, либо я что-то делаю не так.

FTP-сервер не имеет никакого внешнего вида. Надпись "Generated ... by nl5.brwsc.org (squid)" не намекает ни на что? Это генерирует ваш прокси

В случае с Ultra 2 (где WAN отдельная сетевушка) в данном случае не имеет значения, куда воткнут аплинк? Скажем, если у меня два гигабитных линка от двух разных провайдеров с IPoE, один воткнут в WAN, другой в LAN1, то железный PPE (для проводного клиента) будет одинаково хорошо работать для любого из них?

С новым делением разделов IMO перемудрили, даже теперь и не знаю, куда стоит о таком писать: как минимум профиль Sipnet не задает транспорт TLS и SRTP, по умолчанию так и остается UDP/RTP. Пощелкал - вроде профили вообще не задают тип транспорта, или я ошибаюсь? Как мне кажется, было бы логичнее сделать использование шифрования по умолчанию в профилях провайдеров, которые его поддерживают. PS: у меня нормально работает по крайней мере исходящая связь на сипнет с TLS (SIP-TLS)/SRTP

Где-то на этом форуме уже говорили, что чтобы работал HW, надо включить и HW и SW. У меня на Giga 2 спокойно качались-раздавались торренты при тарифе в 300 мбит/с (IPoE), нагрузка даже к 50% не подходила. В провайдерской локалке файлики гоняли на 500-700 мбит/с...

А бесконечное переподключение на Giga 2 будет поправлено?

Да, действительно, с IPSec это работает. В случае с PPTP, наверное, можно опрашивать подключенных к серверу пользователей (ndmq -P "tunnel/username" [ну или tunnel/clientaddress] -p "show vpn-server" ), дальше по своим соответствиям добавлять фильтры в iptables... Но хука никакого же нет на подключение/отключение клиентов VPN-сервера?

Интересует, какими способами можно заставить кинетик (Giga 2/2.06, Ultra 2/2.07) отвечать No route to host при обращении к сетям, которые должны быть доступны через туннель, но сейчас недоступны? Т.е. к примеру моя сеть 192.168.0.0/24, удаленная по IPSec 192.168.1.0/24 и удаленная по PPTP 192.168.2.0/24. Если туннель не работает, то пакеты на 192.168.x.0/24 пойдут через дефолтный маршрут в сеть провайдера, чего не хочется. Если no route to host нельзя сделать (было бы наиболее красивым вариантом), по идее можно запретить через iptables, в таком случае вопрос - netfilter.d вызывается и при поднятии/падении IPSec / L2TP/IPSec?

Можно банально открыть через межсетевой экран, указав только номер порта назначения и протокол Можно через iptables - ставим его (opkg install iptables), далее в /opt/etc/ndm/netfilter.d создать исполняемый sh-файл с любым наванием, содержимое вида: #!/opt/bin/sh [ "$table" != "filter" ] && exit 0 /opt/sbin/iptables -I INPUT -p udp --dport 12345 -j ACCEPT /opt/sbin/iptables -I INPUT -p tcp --dport 12345 -j ACCEPT

Такс.. Я в принципе ковыряюсь с PPTP/OpenVPN только потому, что мне крайне желательно иметь возможность маршрутизировать некоторые IP в интернете через этот туннель, а IPSec этого не позволяет (в случае кинетиков)... Подумалось тут - запустил на компе за Giga 2 PPTP-соедиение на внутренний IP Ultra 2 (192.168.0.1) - а ведь работает, и даже 60 мбит выдает, и это я MPPE не отключал еще... Костыль конечно, но зато штатными средствами интернет поверх IPSec, без OPKG.. Вот только поднять это самое PPTP до внутреннего IP ультры на гиге нельзя - он упорно добавляет статический маршрут до 192.168.0.1 через шлюз IPoE-соединения

Вот оно че! Вот теперь ощущается - по HTTP ~80 Мбит/с, Giga 2 CPU ~80-90%, морда не зависает... Копирование по самбе между компьютерами по туннелю вообще под 13 МБ/с (сеть гигабитная), но тогда морда перестает отвечать. Самое главное, что подтверждена, а не очередной Шредингер... Теперь руки чешутся поставить на Ultra 2 L2TP/IPSec-сервер...

Поэкспериментировал с PPTP vs IPSec (Giga 2 - Ultra 2) на последних прошивках, в первом приближении: PPTP MPPE128 - скорость около 45-50 Мбит/с, нагрузка на ЦП Giga 2 100%, вебморда подлагивает. IPSec AES128/SHA1/DH14 - около 25 Мбит/с, нагрузка на ЦП Giga 2 100%, вебморда вообще не отвечает в момент передачи. Экспериментировал с разными параметрами шифрования SA, особого прироста не дало. Что-то аппратное шифрование как-то не чувствуется... OpenVPN пока не получилось протестировать - почему-то туннель между роутерами падает при передаче, хотя с внешним сервером на Linux оба работают нормально, расковырять причину пока не удалось. [Ранее между Giga 2 и Giga 1 (оба на NDMS 1.11 / Entware) на AES128/SHA1 скорость была 10-12 Мбит/с, упиралось в процессор Giga 1.]

opkg dns-override переводит его в RPC-режим, т.е. освобождает 53 порт для возможности запуска dnsmasq/bind/unbound из OPKG, но ndnproxy остается работать для штатной системы (проверка обновлений, NTP, ...). Для резанья рекламы у меня стоит Unbound, по совместительству - полноценный рекурсивный резолвер. На этом форуме есть мануал по настройке dnsmasq

teodorre, у хромбука L2TP over IPSec, NDMS его только в качестве клиента поддерживает. Кроме того, IPSec у кинетиков в любом случае только в локалку, доступа в интернет через него нет. Вроде в хромбуке есть OpenVPN - смотрите в сторону OPKG.

В динамическом режиме (SOCKS-прокси) у меня нормально работало на Entware наружу, но не проверял доступность внутренних узлов. Вы какой opkg-то ставили? Keenopt / Entware / Entware-Keenetic?

Хм. Есть подозрение, что по истечении часа (т.е. по истечении времени жизни SA) Как минимум при SA lifetime 3600 спустя некоторое время (несколько часов) начинается бесконечное пересогласование. Лог начинает забиваться подобными сообщениями:

Хм,а у вас страница состояния на 2.07 отображается, или тоже виснет?