KorDen

@Le ecureuil > no_reauth_passive = yes Я правильно понимаю, судя по коммиту, что это позволяет избежать "двойного" пересогласования ipsec для туннеля (вначале пересогласовывается по инициативе сервера, затем через минуту клиент полностью переустанавливает), но этот код должен быть именно на "сервере" (passive)?

KN Start = KN Lite = KN City = KN Air = Z Air = Z Start II = Z Lite III r.B по CPU-RAM-Flash. Ну и KN 4G и Z 4G III r.B туда же. Туннелей всего PPPoE до провайдера + IPIP over IPsec, без FTP ALG по FTP не пошаришься

Что из этого списка вам кажется лишним? Ну вот берем Air. Инет по PPPoE, нужен IPsec-туннель, есть IPTV. На роутер по telnet ходить небезопасно, IPsec зависит от L2TP. Лишние тут PPTP, с натяжкой UPnP и Cloud (и это еще не V2). А вообще по PPPoE еще IPv6 прилетает, а заюзать его не получается... Зато у нас ACME и это всё уже нифига не модульное и вшито в базовый набор ЕМНИП, хотя HTTPS бы нафиг оттуда убрать, потому что бестолковый. P.S.: у меня Air из-за нехватки места так и не автообновился 2.14->2.15.. 3.xx не пробовал, но чую опять придется урезать.

Ну вот на 2.15 впритык влезает: Базовые: WiFi, ускоритель, DHCP-сервер, IGMP Proxy, UPnP, SSH Сетевые: PPPoE, PPTP, L2TP, IPsec, FTP ALG, PPTP ALG, туннели Сервисы: Cloud, PingCheck, tcpdump Лишний тут пожалуй только PPTP-клиент. IPv6, SNMP или банальный L2TP/IPsec-сервер уже не влезет.

Bump... Впрочем, продолжу чертыхаться каждый раз при дебаге...

Multipath уже имеется, но он для WAN, вам же нужна агрегация портов. Учитывая схему портов в нынешних кинетиках - разве что в Ultra II можно получить какой-либо профит, проще поставить рядом свич

По-умолчанию ip nat Home - натить все исходящие пакеты. Т.е. при выходе с R2 ставится IP 192.168.201.2 - а до транзитных сетей на R2/R3 у вас прописаны маршруты? (R3: ip route 192.168.201.2 192.168.201.1)

И при этом DoH/DoT так же является "интернет-фильтром"... // + 1 гвоздь

Оно на самом деле очень скачет, если подампить вывод несколько раз в течение продолжительного времени. Пиковые цифры как я понимаю выскакивают когда keepalive закончился и он пересогласовывает TLS - если активности в сети не много, оно кмк часто будет дохнуть. У меня например такая картина получается tls upstream 8.8.8.8 sni dns.google tls upstream 1.1.1.1 sni cloudflare-dns.com tls upstream 9.9.9.9 sni dns.quad9.net Ip Port R.Sent A.Rcvd NX.Rcvd Med.Resp Avg.Resp Rank 127.0.0.1 40500 184 168 11 24ms 32ms 10 127.0.0.1 40501 317 226 10 314ms 1102ms 4 127.0.0.1 40502 19 3 7 207ms 1296ms 5 ---чуть позже--- Ip Port R.Sent A.Rcvd NX.Rcvd Med.Resp Avg.Resp Rank 127.0.0.1 40500 285 255 11 24ms 23ms 10 127.0.0.1 40501 336 236 10 52ms 250ms 8 127.0.0.1 40502 33 3 7 207ms 1296ms 3

IMHO претензия тут в любимой EULA фразе "включая, но не ограничиваясь", современные приложения уже приучили понимать её как "мы скопируем себе всё, до чего сможем дотянуться". Что ни установи - лезет всюду. Поэтому новому пользователю, не знакомому плотно с кинетиками, кажется, что тут тоже всё всюду лезет. Этому мнению (для устройства "из коробки") вполне способствуют автополучаемый сертификат на *.keenetic.io, автообновление, подтягивание статей поддержки при наведении на вопросик и т.п. Нынешней статье в поддержке не хватает конкретики в первых двух пунктах. В идеале бы иметь отдельный раздел или статью с техническим описанием, что будет отправляться при минимальной конфигурации. Или еще лучше - иметь возможность "предпросмотра" отправляемых данных. Скажем, что-то типа: - проверка подлинности и базовая статистика - минимально (если не использовать KeenDNS/etc) это передача серийник+IP+минимальная статистика, можно посмотреть отправляемые данные командой show support-info short (вывод по аналогии show self-test) - информация об ошибках - можно посмотреть пример отчета через show support-info diag. Так же туда может быть включен дамп ядра, которого у вас в выводе может и не быть, если еще ничего не крашилось, пример: ...

Хотелось бы поднять эту тему. А так же заметить, что через ip host нули сейчас добавить невозможно (config)> ip host www.google-analytics.com 0.0.0.0 Dns::Manager error[22544392]: address: invalid IP address: 0.0.0.0. (config)> ip host www.google-analytics.com 127.0.0.1 Dns::Manager error[22544392]: address: invalid IP address: 127.0.0.1.

SPKI - это замена авторизации через CA по домену, "не заполнять, если не знаете, для чего нужно". У DNS Message оверхед меньше

У Keenetic есть отличная техподдержка - https://help.keenetic.com/hc/ru - не стесняйтесь задавать вопросы туда, вам там обязательно помогут. Это форум пользователей - тут тоже могут помочь, но - это форум "Поиск - самая неиспользуемая часть форума © Лурк". Поиск тут в лучших традициях search.php ничего нормального типа поиска форм слов не умеет

Vlan tag не для этого. Нужно настраивать межсетевой экран или сделать "no isolate-private" в CLI

Похоже не надо специально отключать, при включении DoT/DoH он сам отрубает все остальные прописанные и полученные обычные name-server

Хотелось бы понять логику работы DoT/DoH и взаимодействие с name-server. Пробуем прописать, при включенном opkg dns-override и полном отсутствии ydns/adguard/...: (config)> dns-proxy tls upstream 1.1.1.1 sni cloudflare-dns.com Dns::Secure::ManagerDot: DNS-over-TLS name server "1.1.1.1" is disregarded while Internet Filter is active. Т.е. как я понимаю, для резолва запросов самим роутером (RPC) DoT/DoH использовать нельзя, они будут ходить напрямую? (использовать name-server только для необходимых резолвов для DoH, и затем переходить полностью на DoH/DoT) Как можно диагностировать работу DoT/DoH?

Точно так же как набор vdsl profile для Plus DSL например. Отсутствие списка - дефолтные параметры, при наличии хоть одной команды типа "interface WifiMaster1 channel allowed 36 width 20" - автовыбор работает только в пределах указанных каналов. Ну и подробное описание стандартной логики автовыбора и используемых по умолчанию каналов на KB не помешает.

@enpa, 😕 Чегось?

Wut? Это точно-точно SFP ONU? Ничего не путаете? Да и самим операторам весело - SFP ONU по закупке чаще всего стоят этак чуть меньше ONU "3в1" (скажем, сейчас актуальное у вендоров условно Econet+MT7615), в 2-4 раза выше стоимости "бриджового" однопортового ONU

Название опции говорит само за себя. При обычном прохождении NAT исходящий порт 500 заменяется на произвольный, а дальше возможно оператором еще раз меняется. При включенной опции кинетик сохраняет исходящий порт 500, CG-NAT провайдера скорее всего тоже сохраняет его, и тогда всё ок. У вас в центре случаем никакого фаервола нет? Вот старый топик по очень похожей ситуации, но там были проблемы другого рода - https://forum.keenetic.net/topic/2811-ipsec-туннель-через-keenetic/?tab=comments

С точностью наоборот же?

4x4 в ноутах вроде бы нет, 3x3 раз-два и обчелся, а вот 2x2 BW160 можно поискать например в распоследних интеловских чипах (9560) которые CNVi.

Большинство мобильников 1x1, топовые 2x2. 3x3 - удел топовых ноутбуков/моноблоков и топовых адаптеров для ПК, а 4x4 адаптеров раз-два и обчелся.

UDP/500 - т.е. установка соединения вообще не начинается? Или всё-таки что-то начинается, но потом тухнет (где-то забыли включить NAT-T?) ip nat udp-port-preserve проблему решает, или нет/не везде/частично? Компонент IPsec на кинетике установлен или нет? IPsec довольно капризная штука. И да, некоторые провайдерские CG-NAT его умудряются ломать так или иначе. Можно еще вспомнить МТС с поломаной фрагментацией пакетов (хотя может уже починили). Увы, с учетом нынешнего состояния тех.блока опсосов решать подобные технические проблемы очень затруднительно.