KeenTaur

DHCP в гостевом сегменте точно включён? Проверяли на разных клиентах? У меня, например, хоноры и хуавеи не хотели получать адреса от циски с относительно старым IOs'ом

Обновился до 4.3.4. Маршруты, заданные при помощи virtual-ip dhcp route на сервере IKEv2 клиенту по-прежнему не передаются. В телеграм-бот поддержки отписался.

Ну, тряпками не погнали, и то хорошо Копал 4pda и все что гуглилось и яндексилось. Пробовал перевести модем в Telit (CUSTOMER=2). На ноуте работает, в ZKGII - нет. Пробовал для Telit'а задать SETMODE=2 (в Dell'е эта команда просто игнорировалось), "все пропало, шеф", не работает ни в ноуте, ни в Гиге, пришлось немного повозиться, чтобы получить обратно доступ на ноуте. Вернут SETMODE=0 и CUSTOMER=1 (т.е. Dell). Решил-таки обновить прошивку модема, но не на самую свежую, а на что-то между, выбрал T77W968.F1.0.0.5.2.GC.013 035. И, ура! ZKGII поднял подключение! Постепенно буду "тюнить", смотреть, хватит ли питания с роутера , если нагрузка на модеме будет. Потом посвежее прошивку попробую.

Не могут ли подсказать многоуважаемые доны (а особенно надеюсь на ответы Le ecureuil и slomblobov) можно ли что-то поправить (у меня), чтобы "завести" модем DW5821e (T77W968.01) на ZyXEL Keenetic Giga II? ZK Giga II обновлен до 2.16.D.12.0-11, сброшен кнопкой Reset и настроен с нуля. Установлены все (в т.ч. QMI) компоненты, отвечающие за USB-модемы, кроме DSL и DECT. Модем DW5821e (T77W968.01) определяется с idVendor=413c, idProduct=81d7. Прошивка пришла относительно старая T77W968.F1.0.0.4.2.GC.010 026. IMEI начинается на 35829109 и по онлайн-базам бьется нормально. Сильно подозрительно выглядит серийный номер модема 😕 0123456789ABCDEF. Модем подключен к роутеру при помощи USB3.0-адаптера со слотом для sim-карты через метровый удлинитель, правда, не лучше чем USB2.0. SIM-карта t2, тариф для всех устройств с раздачей. Антеннки подключены до первого включения. В Системном мониторе в разделе Mobile Broadband если раскрыть подробности, то модем виден, но Статус - Нет соединения. В разделе Интернет/Модем 3G/4G закладка Mobile Broadband присутствует, но на ней почти ничего нет. В логе поведение очень похожее на описанное в 2.16.D.12.0-11 Не устанавливает подключение через 4G модем на данный момент кусочек лога скопирую оттуда, отличается только reason (там был 0x3, у меня 0x1) Апр 13 21:53:38 ndm UsbQmi::Interface: "UsbQmi0": device initialized. Апр 13 21:53:38 ndm UsbQmi::Interface: "UsbQmi0": network ready. Апр 13 21:53:38 ndm UsbQmi::Device: "UsbQmi0": system failed [0xcffd08a8], ipv4 connection failed, reason: 0x1. Апр 13 21:53:40 ndm UsbQmi::Device: "UsbQmi0": unable to set radio preference. Апр 13 21:53:40 ndm UsbQmi::Interface: "UsbQmi0": device initialized. Апр 13 21:53:41 ndm UsbQmi::Interface: "UsbQmi0": network ready. Апр 13 21:53:41 ndm UsbQmi::Device: "UsbQmi0": system failed [0xcffd08a8], ipv4 connection failed, reason: 0x1. Апр 13 21:53:43 ndm UsbQmi::Device: "UsbQmi0": unable to set radio preference Модем НЕ в FTM-режиме. CUSTOMER=1. Вся сборка ("бутерброд" с модемом, антенны, удлинитель) успешно работают с ноутбуком с Win10 в порту USB3.0. Мало того, вся сборка работает и на Keenetic Hopper KN-3810 с KeeneticOS 4.3.3. Я, конечно, подумал, что с USB2.0-порта ГигиII модему может не хватать питания и подключил через активный USB3.0-хаб, но поведение, увы, не изменилось. В порядке эксперимента вообще исключил USB-удлинитель и попробовал воткнуть сборку напрямую в роутер - всё то же самое... Поэтому вопросы перед обновлением прошивки модема: может быть есть какие-то ограничения в 2.16.D.12.0-11 по версии прошивки? Если уважаемый Le ecureuil может вспомнить/посмотреть, какая версия прошивки была у DW5821e при переделке ZKLTE? Или нужен какой другой режим, не QMI? Что мне можно поправить? Лог и self-test, если они нужны, смогу только завтра приложить (только скажите, надо ли будет включить и как какой-нибудь дебаг) UPD. USB-удлинитель заменен на метровый 3.0, также попробовал другой порт ZKGII - не влияет.

Приветствую! Возможно. Главное, чтобы на ваших коммутаторах "завелась" wifi-система Keenetic. Для примера, основной маршрутизатор не-Кинетик. Управлянмый PoE-коммутатор с поддержкой VLAN. WiFi-система из Кинетиков: Хоппер как контроллер в режиме точки доступа и три Вояджера в подчинении. В wifi-системе несколько сегментов (vlan'ы), в одном адреса раздает сервер dhcp в локалке через dhcp-релей с основного роутера (не-Кинетик). В остальных сегментах адреса выдает сам основной роутер. Если понадобится подробнее, то не раньше понедельника.

Сегодня ответили, что надо подождать 4.3.4, которая должна выйти на днях. Правда, по поводу получения маршрутов клиентом как-то уклончиво, что надо будет посмотреть после обновления. Ну, подождем-посмотрим.

"Весёлое" для IKEv2/IPsec сервера получилось обновление с 4.2.6.3 на 4.3.2 У кого-то сервер вообще удалило, у кого-то трафик не ходит. Мне повезло, сервер остался на месте, но перестали передаваться маршруты в дополнительные сегменты. Дождался 4.3.3, но ничего не изменилось - в домашнюю сеть трафик ходит, в дополнительные сегменты нет (маршруты не передаются, хотя в конфиге они есть). Если не клиенте маршруты прописать вручную или разрешить "Использовать основной шлюз в удаленной сети", то работает. "crypto map VirtualIPServerIKE2", ... " virtual-ip dhcp route 192.168.1.0 255.255.255.0", ... 192.168.1.0/24 это у меня в дополнительном сегменте. В Домашнем другая адресация. Но выплыла и еще одна проблема, обнаружил, что минут через 20 вообще весь трафик перестает ходить, хотя само соединение не разрывается. В телеграм-бот поддержки обратился пару дней назад (16 числа), отправил self-test. Ответа пока, увы, нет.

Попробуйте на контроллере wifi-системы выключить беспроводную транспортную сеть. Скорее всего, она и есть причина петли и последующего "шторма".

Как обладатель KN-1012 поддерживаю. У меня она обслуживает 58кв.м. IoT можно считать нету, но разных активных клиентов больше десятка. Если будете смотреть другие модели, помимо уже указанных выше форумчанами, обратите внимание, чтобы был USB-порт с возможностью подключения диска (некоторые младшие модели позволяют использовать USB-порт только для модемов). Актуальные модели, к которым можно подключить USB-диск/флешку указаны в статье Установка системы пакетов репозитория Entware на USB-накопитель (вам наверняка захочется что-нибудь установить для "2) легкая настройка как самого роутера так и обхода блокировок")

Возможно, статья Часто задаваемые вопросы по Mesh Wi-Fi-системе Keenetic прояснит что-то. Если ваши условия позволяют, то вы можете построить WiFi-систему по топологии "звезда" используя только подключение PoE-портов Вояджеров к коммутатору. Учтите, что если контроллер wifi-системы будет на одном из этих Вояджеров и он же будет подключен к провайдеру, то на нем придется предварительно поменять функции портов (серому назначить функцию WAN, для провайдера; а порту с PoE, синему, назначить функцию LAN). Но если вам необходимо, вы можете подключать ретрансляторы и последовательно... правда, один PoE-коммутатор вам тогда не сильно поможет.

На ретрансляторы может влиять, и может влиять на wifi-клиентов: какие ip-адреса они получат, что получат в качестве шлюза по умолчанию, какие dns-серверы будут использовать и т.д. Все Вояджеры видны в сети, ну хорошо. Даже если вы не настраивали Zyxel GS1915-24E, хабом он от этого точно не стал. Это smart-коммутатор, и у него есть разные функции, которые могут влиять на работу wifi-системы Keenetic, на работу DHCP, на работу клиентов. Значения по умолчанию, скорее всего, не должны вам мешать, но это не точно То, что периодически клиенты (даже которые работали) не могут подключиться, может быть похоже на то, что они не могут получить ip-адрес (посмотреть оснастку и журнал dhcp-сервера, текущие адреса клиентов). Также можно посмотреть коммутатор, нет ли каких ограничений на порт, в который подключен KN-4610 с wifi-системой (например, лимит mac-адресов. Кстати, я стараюсь отключать всем клиентам wifi-систем рандомизированные адреса). Если не проходят аутентификацию проверить сервер NPS (посмотреть журнал Службы политики сети и доступа, нет ли ошибок, доходят ли запросы). Раз у вас сеть все равно плоская и неуправляемая, попробуйте, если такая возможность есть, подключить ваши сервера DHCP и NPS (вероятно, это один и тот же компьютер еще с AD и DNS) к KN-4610. Один-два ретранслятора можете временно отключить, чтобы освободить порты. То, что недоменные клиенты иногда все же успешно подключаются, а доменные всегда сначала просят ключ сети и не подключаются, может говорить о влиянии групповых политик на доменные компьютеры. Честно говоря, мои попытки помочь иссякли, попробуйте все-же обратиться в поддержку, они лучше разберутся в настройках, логах и диагностике, которые запросят и весьма терпеливы. Возможно, ларчик просто открывается.

что ж вы так держитесь за этот dhcp-relay? Просто выполните рекомендации из статьи. DHCP на Кинетике выключить. Задать ip-адрес Кинетику из вашей локальной сети (по вашей схеме все в одном сегменте и одной подсети должно быть? и wifi-клиенты и локальная сеть, в т.ч. существующий сервер DHCP. Так?). И далее по статье. Вы проверили, "...что все ретрансляторы получили IP-адреса из сети главного роутера"? Хорошо. Естественно, с доменными данными - вы же этого и хотели, настраивая WPA-Enterprise. Смотрите оснастку dhcp-сервера, кому какие адреса он выдал, какие адреса при этом на клиентах сейчас. Посмотрите журнал "Службы политики сети и доступа". На данный момент мне кажется, что ретрансляторы вы так и не внесли в качестве radius-клиентов. Так? Те устройства, что успешно подключаются, возможно, делают это через контроллер wifi-системы, а та "половина ранее подключенных смартфонов аналогично - не могут" ломятся через ретрансляторы. Попробуйте проверить эту версию. Также поделитесь информацией, куда подключен пятый порт коммутатора KN-4610? В локальную сеть. А к какому устройству, что оно умеет и как настроен порт, куда подключен KN-4610?

Как-то странно вы связали nat и dhcp. У вас точно схема включения такая: "Возможно ли использовать контроллер Wi-Fi-системы в режиме обычной точки доступа?" Читайте Пункт 2 статьи отдельно, как пояснения к скриншоту с настройками: 2.а. Встроенный DHCP-сервер на Кинетике выключить. Точка. 2.б. Кинетику-контроллеру назначьте свободный IP-адрес из подсети главного роутера. Точка. Возможно, что получающийся таким образом порядок 2.а и 2.б не случаен, а чтобы в вашей локальной сети не появилось двух одновременно работающих dhcp-серверов. (хотя при правильной настройке это не криминал). 2.в. галочка Использовать NAT не влияет на выход устройств сегмента в интернет, можете оставить, можете снять. Точка. WAN-порт при такой схеме включения wifi-контроллера не подключен к интернет-провайдеру, и его (WAN-порт) можно вообще переназначить для работы в LAN (что у вас вроде бы и сделано). Теперь вернемся к новым подробностям о работе вашей системы. Поскольку смартфоны и MAC-book все-таки подключаются без лишнего запроса ключа wifi-сети, а компьютеры (доменные же?) этот ключ прям хотят ввести, то по-моему, надо искать, например, в ваших политиках Active Directory. Для эксперимента взять компьютер не бывший в домене и посмотреть, как будет вести себя он. Ввести в домен, дождаться применения всех политик и проверить еще раз. Ну или вывести из домена какой-нибудь и сбросить на нем политики на "по умолчанию". Другие направления поиска: компьютеры одинаковые? какие у них wifi-адаптеры и их драйвера? какие ОС?

Практически процитирую себя же. Может, конечно, у вас схема включения wifi-системы другая. У меня контроллер включен как точка доступа согласно статье "Возможно ли использовать контроллер Wi-Fi-системы в режиме обычной точки доступа?" Некоторые ваши фразы все-таки позволяют мне думать, что у вас схема такая же. Может быть вас убедят мои скриншоты. Коллаж из скриншотов первый: фоном картинка из настроек wifi-системы, зеленым выделен адрес одного из ведомых участников wifi-системы; поверх него скриншот со списком RADIUS-клиентов (зеленым выделен адрес того же устройства); и поверх всего запись из журнала "Службы политики сети и доступа" об успешном предоставлении доступа некоему пользователю через этого RADIUS-клиента, опять же зеленым выделен адрес того же устройства. Далее, коллаж второй. В свойствах этого RADIUS-клиента на NPS-сервере я меняю адрес - выделено красным. И что мы видим? В журнале "Службы политики сети и доступа" появилась ошибка о том, что мое устройство (адрес в событии журнала выделен зеленым, поскольку он правильный и на самом устройстве я его не менял) теперь является недопустимым RADIUS-клиентом. А я напоминаю, что это устройство - ведомый участник wifi-системы. ну так вот он, вроде бы, смысл прописывать "ведомых". Попробуйте все-таки заглянуть в свой журнал "Службы политики сети и доступа"... когда у вас заработает выдача ip-адресов wifi-клиентам. Часть следующая Марлезонского балета: DHCP. Вы очень хотите использовать свой dhcp-сервер. ОК, любой каприз... У меня тоже было желание использовать другой DHCP-сервер. Но, возникли проблемы с некоторыми особо умными устройствами: Хуавеи и Хоноры не желали получать адреса от Cisco. IOS более свежий для нее я не нашел (где могла быть исправлена эта проблема), поэтому сначал пришел к вашей схеме, т.е. хотел сделать DHCP-релей на интерфейсах Keenetic'ов. Не прокатило, как и у вас. Общался с поддержкой, и, как я понял из этого общения, DHCP-релей работет только на контроллере, на ретрансляторах dhcp-релей на предусмотрен и менять это поведение не планируется. Тогда я поступил следующим образом: на Кинетиках DHCP выключен; vlan'ы для wifi-сетей все равно уже терминировались на стороннем маршрутизаторе, на его, маршрутизатора, интерфейсах я и указал ip helper-address на DHCP-сервер под Windows Server. Но у меня управляемый коммутатор с VLAN'ами; VLAN'ы (и адресация) домашней сети и клиентов wifi разные, клиенты wifi напрямую к ресурсам локальной сети доступа не имеют, только через маршрутизатор. В вашем же случае, я так думаю, должно быть достаточно просто отключить DHCP на кинетиках.

Прошу прощения, я сейчас Вам накидаю и убегу на выходные Но может быть кто-то из более старших и мудрых товарищей подскажет лучше 1. Я думаю, что возможность задействовать не по два порта на каждом устройстве, а по одному с vlan'ами есть. Но через командную строку. Три близкие по теме ссылки: https://habr.com/ru/articles/850532/ 2. может быть можно что-то придумать на тему продвинутого использования pingcheck? Не уверен, что так получится, но вот те самые более мудрые товарищи могут подсказать, наверное. Примерно так: Герой в локальной сети с Ультрой. Герой проверяет доступность чего-то в интернете через Ультру (статические маршруты до проверочного ресурса через Ультру) при недоступности ресурса Герой включает модем. На ультре есть статический маршрут по умолчанию с низким приоритетом через Героя. Сумбурно, конечно.