KorDen

Не осилил распарсить это сообщение. Хотя тут до меня дошло... cli_manual_kl_rh.pdf Модель Keenetic Lite III Версия OC 3.1 Редакция 1.63 13.09.2019 Процессор MediaTek MT7620N MIPS® 24KEc 575 MHz Оперативная память EtronTech EM6AB160TSD-5G 64Mb SDRAM Флеш-память Winbond W25Q64FVSIG 8Mb

Хм. http://docs.help.keenetic.com/cli/3.1/ru/cli_manual_kl_rh.pdf "Флеш-память Winbond W25Q64FVSIG 8Mb" (знаю что чушь, а у kl_rg правильно W25Q128CSIG)

Нет. Нормальное рабочее состояние - 1 IKE_SA (control channel) и 1 CHILD_SA (data channel). 2 CHILD_SA - это разве что при Make-before-break и то на короткий интервал. На туннеле 2.15 - 2.15 между MT7628 1 CHILD_SA

"Клиент" Giga II на 2.11.D.5, заметил что создается второй CHILD_SA, на 2.15+ такого не видно. Похоже из-за скачка времени при синхронизации NTP во время загрузки. (NTP-сервер доступен уже после поднятия IPIP, на 2.15 есть аналогичная конфигурация) В итоге оно так постоянно и пересогласует по два CHILD_SA, по второму трафика всегда нет.

Обновление - везде, это то что вы делаете заходя на роутер сами. Автообновление - только на новых моделях (в т.ч. например ваш Lite 3 r.B) с двойным флешем, роутер сам обновляется без вашего участия по команде с сервера.

Не путайте "обновление" и "автообновление"

IPIP over IPsec. ну или GRE/EoIP/L2TP over Ipsec, без разницы, у IPIP оверхед меньше

Для strong всё так и осталось, 1536 для SA впереди: ~ # cat /tmp/ipsec/ipsec.conf ... conn IPIP0 ... ike = aes256-sha1-modp2048,aes256-sha1-ecp384,aes256-sha1-modp1536,aes128-sha1-modp2048,aes128-sha1-ecp256,aes128-sha1-modp1536! ... esp = aes256-sha1-modp1536,aes256-sha1-modp2048,aes128-sha1-modp2048,aes128-sha1-modp1536! (в CLI Guide аналогично)

Наткнулся в логах на "peer didn't accept DH group MODP_1536, it requested MODP_2048" и последующий полный рестарт при пересогласовании (с той стороны прописано только ....-modp2048). Есть какой-то тайный смысл в том. что в SA первым идет modp1536?

Проверка идет в момент загрузки (первоначального опроса шины)? Если отвалится находу (после нормальной инициализации и работы) - теоретически улетит как обычно в ребут, или заблочит и продолжит работу без него?

О, а это в 3.x появилось? При full-cone как соотносится с фаерволом?

Есть же dehydrated, в котором только в одном месте надо поменять "#!/usr/bin/env bash" на "#!/opt/bin/bash" Достаточно открыть в фаерволе Что мешает перманентно перенести сервер кинетика на другой порт?

Ничего не устареет, два сертификата для одного домена - нормальная практика

Если каких-то особых требований нет, попробуйте чистый IPsec-туннель (AES128/SHA, AES128/MD5) или IPIP over IPsec, если нужна маршрутизация. Там оверхед поменьше, чем в L2TP/IPsec, и максимальная скорость скорость чуть больше (30-35), хотя конечно зависит от характера нагрузки. На 1010/1910/1810 в туннеле IPIPoverIPsec практическая скорость порядка 150-200 мбит/с (на гигабитном линке), при этом интерфейс не отваливается, проц не упирается в 100%.

Есть Giga II, у которой WiFi работает, но она изредка самопроизвольно ребутается. Либо не ребутается, но WiFi в какой-то момент и до ребута начинает работает очень паршиво (сеть видна, но не подключается и т.п.). Подозреваю, это "ранние симптомы"? (наблюдается уже с полгода) Или такого не наблюдалось? Если прошить той прошивкой - WiFi вырубится совсем?

Вопрос именно в том - можно ли без последствий заниматься разработкой кода того же exFAT (если MS внесет патенты в пул OIN), самому не вступая в OIN. Иначе говоря - если патенты будут в пуле OIN, потребуется ли от Keenetic членство в OIN (пускай и формальное) для соблюдения всех формальностей при включении поддержки exFAT, или можно не вступать? // еще вспоминается ситуация с AV1 - AOM vs Sisvel, где AOM это аналог OIN, но это уже совсем другая история

Вопрос по OIN - подразумевается ли, что если патент в пуле OIN, то код, подпадающий под этот патент, может использоваться для коммерческой разработки любой компанией в мире, или только компаниями, состоящими в OIN? Ну или еще какой-нибудь RedHat-way там, или другие подобные ограничения по использованию/бэкпортированию в свою ветку ядра? (это я про используемое там везде "Linux System" и The definition of the Linux System relevant to the OIN license agreement is described on this page and associated tables.)

По мотивам данной темы, из чата: аналогичная проблема с туннелями 6in4, тоже желательно хотя бы IPDEFTTL вместо inherit

Но это есть и в конфиге для IPIP-туннелей. Поясню тогда вопрос подробнее. Кинетик - клиент, сервер - свой strongSwan 5.7.2, где настройки IPsec практически аналогичны тем что на кинетике в режиме сервера. Наблюдаю иногда двойное пересогласование, как я понимаю из-за того, что таймеры reauth/rekey выставляются в случайные значения (8 часов плюс-минус несколько минут). Со стороны сервера выглядит как Aug 25 15:39:48 db-a2 charon: 14[KNL] creating rekey job for CHILD_SA ESP/... *пересогласование ESP* Aug 25 15:39:49 db-a2 charon: 10[IKE] CHILD_SA closed через пару минут полная переустановка: Aug 25 15:42:08 db-a2 charon: 11[IKE] received DELETE for IKE_SA *полная переустановка IKE/ESP* Со стороны кинетика I [Aug 25 18:39:48] ipsec: 05[CFG] received proposals: ESP:... *пересогласование ESP* I [Aug 25 18:39:48] ndm: kernel: EIP93: release SPI.... .... I [Aug 25 18:42:07] ipsec: 06[IKE] reauthenticating IKE_SA IPIP0[7] *полное пересогласование* ... I [Aug 25 18:42:08] ipsec: 04[IKE] scheduling reauthentication in 28780s ... I [Aug 25 18:42:08] ipsec: 04[IKE] received AUTH_LIFETIME of 28037s, scheduling reauthentication in 28017s На туннеле кинетик-кинетик вот этого вот лишнего пересогласования ESP перед полным пересогласованием не наблюдаю. Подозреваю, дело собственно в таймерах - когда таймер пересогласования ESP меньше таймера пересогласования IKE - так и происходит (таймер со стороны сервера), а в кинетиковской реализации оно подавлено. Просто хочу для себя понять, в правильную ли я сторону копаю. Хочу максимально уменьшить лишние телодвижения по пересогласованию, потому что это лишние потери пакетов как обычно в самый неподходящий момент.

@Le ecureuil > no_reauth_passive = yes Я правильно понимаю, судя по коммиту, что это позволяет избежать "двойного" пересогласования ipsec для туннеля (вначале пересогласовывается по инициативе сервера, затем через минуту клиент полностью переустанавливает), но этот код должен быть именно на "сервере" (passive)?

KN Start = KN Lite = KN City = KN Air = Z Air = Z Start II = Z Lite III r.B по CPU-RAM-Flash. Ну и KN 4G и Z 4G III r.B туда же. Туннелей всего PPPoE до провайдера + IPIP over IPsec, без FTP ALG по FTP не пошаришься

Что из этого списка вам кажется лишним? Ну вот берем Air. Инет по PPPoE, нужен IPsec-туннель, есть IPTV. На роутер по telnet ходить небезопасно, IPsec зависит от L2TP. Лишние тут PPTP, с натяжкой UPnP и Cloud (и это еще не V2). А вообще по PPPoE еще IPv6 прилетает, а заюзать его не получается... Зато у нас ACME и это всё уже нифига не модульное и вшито в базовый набор ЕМНИП, хотя HTTPS бы нафиг оттуда убрать, потому что бестолковый. P.S.: у меня Air из-за нехватки места так и не автообновился 2.14->2.15.. 3.xx не пробовал, но чую опять придется урезать.

Ну вот на 2.15 впритык влезает: Базовые: WiFi, ускоритель, DHCP-сервер, IGMP Proxy, UPnP, SSH Сетевые: PPPoE, PPTP, L2TP, IPsec, FTP ALG, PPTP ALG, туннели Сервисы: Cloud, PingCheck, tcpdump Лишний тут пожалуй только PPTP-клиент. IPv6, SNMP или банальный L2TP/IPsec-сервер уже не влезет.

Bump... Впрочем, продолжу чертыхаться каждый раз при дебаге...

Multipath уже имеется, но он для WAN, вам же нужна агрегация портов. Учитывая схему портов в нынешних кинетиках - разве что в Ultra II можно получить какой-либо профит, проще поставить рядом свич