KeenTaur

Вчера ездил устанавливть новый Орбитер6 в режиме роутера на его место. Чувствую, плохо объясняю, кто на ком стоял. Попробую наглядно. Есть локальная сеть с отдельными vlan'ами для wifi. Сеть построена на коммутаторах Switch 1,2 и 3. Зелеными обозначены существующие wifi-системы. Оранжевым - куда был подключен Орбитер при предварительной настройке в режиме по умолчанию (Ретранслятор/Точка доступа). Повторюсь, точка доступа была автономная, ни в какую wifi-систему не входила. Предварительная подготовка/настройка нужна потому что место установки в 170 км от моего основного места работы. Красным - куда Орбитер самоопределился при попытке добавить его в приложении. Я бы ещё понял (и это согласовывается с вашими словами), если бы он привязался к роутеру №1 (он же и dhcp-сервер, и шлюз для Орбитера) или, на крайний случай, к wifi-системе №2. Но он влез в систему №3.

Еще в догонку. В документации и на этикетке к Орбитеру 6 указан его адрес в режиме ретранслятора 192.168.1.3 (если он не получил адрес от DHCP), но о том, что при переключении в режим роутера адрес в домашней сети будет 192.168.1.1 нигде не подсказывается. Найти, роутер, конечно, не сложно, но лишние вопросы возникают.

Полностью подтверждаю такое поведение Orbiter 6 NAP-630. Сам столкнулся, сказать, что очень сильно удивился, это не сказать ничего, и отписался в Курилке. Там нет и варианта с переключением в режим Роутер. Только Ретранслятор или загрузить предварительно сделанные настройки из файла. И выхода из Мастера не предусмотрено, убрали такую возможность. И это подтверждаю. Скриншотов только не сделал.

Хорошо, попробую написать на почту официальной поддержки. Правда вчера, до появления вашего сообщения, я обновил Кинетики до 4.3.6.3, соответственно, они были перезагружены. Наскриншотил в приложении раздел События. Wifi-система из двух Viva работает без изменений настроек, пожалуй, уже несколько месяцев. Включена круглосуточно. Не замечал, чтобы из нее зарегистрированный ретранслятор пропадал. А вот новый Орбитер6 был автономным, ни в какую wifi-систему не входил, виделся кандидатом. Тем не менее, при добавлении Орбитера в приложение он попал в один из уже существующих Объектов.

Поправка. Каюсь, перепутал, неожиданно для меня из приложения удалялся-возвращался не контроллер той wifi-системы, а ретранслятор. Но вот не помню, чтобы это я его так.

Коллеги, приветствую! Возможно, связанная проблема. Есть у меня Hero 4G+ (сейчас на 4.3.6.2) с Мегафоном. С одним отключенным 38 бэндом и пингчеком на сайт мегафона, как в одной статье на сайте кинетика рекомендовано. DoT, DoH, все дела. Вроде настроил, подготовил к работе. Как бы пора и на объект ставить. И тут обратил внимание, что после перезапуска роутера модем очень неприлично долго, по нескольку минут, не может выйти на готовность. Попытался разобраться: модем перезагружается. Почему? из-за пингчека. Экспериментировал, даже прошивку модема откатил с A22 на A20. Нет, не оно. Но, кажется, нашел причину. Настроив DoT/DoH, по рекомендациям лучших собаководов, я поставил галочку "Игнорировать DNS интернет-провайдера". Так вот когда я ее снял, модем после перезагрузки роутера стал вести себя гораздо адекватнее. Так и оставил, ведь где-то в статьях сказано, что при настроенных DoT/DoH DNS провайдера игнорируются автоматически. Подозреваю, что DoT/DoH еще не заработали, а пингчек уже модем в ребут отправлял. Провайдерские же DNS уже были доступны.

День добрый! Приобрели Orbiter NAP-630. По умолчанию, он работает в режиме ретранслятора/точки доступа. Находясь в сети, где уже есть три группы Кинетиков, настроил этот Орбитер (он предназначен для другого объекта) в режиме ретранслятора (он не будет пока входит в wifi-систему, работать будет автономно, как точка доступа с маршрутизатором другого производителя). Назначил ему в CrazeDNS-имя и получил сертификат. Добавляю этот Орбитер в приложение Netcraze (Версия 64.2 (312)) через поиск устройств в локальной сети, ввожу сервисный код, логин/пароль. Устройство добавлено. Хочу изменить имя НОВОГО объекта, куда, по моему мнению, должен был добавиться Орбитер, но нового объекта не нахожу. Оказывается, он добавился в один из уже существующих объектов, но не как член wifi-системы, а как бы рядом с wifi-системой, как бы "кандидат". А я его об этом не просил. И почему он выбрал wifi-систему из двух Вив, а не автономный Хоппер или wifi-систему из Хоппера и трех Вояджеров, которые, к слову, подключены в тот же коммутатор, что и новый Орбитер. Три глубоких вдоха, удаляю Орбитер из приложения, добавляю заново - та же картина. Попробовал зарегистрировать Орбитер в RMM, ну, запись-то о нем появилась, но, поскольку он ни к какому контроллеру не привязан, информации никакой, дескать, автономно должен быть исключительно роутером. Решаю перевести Орбитер все-таки в режим роутера. Почитал сразу статью про доменное имя в случае сброса, проблем быть не должно, подтянется само, окей. Сбрасываю ему настройки на заводские, переключаю режим работы на роутер, настраиваю. Получаю (на почту) уведомление о несанкционированном доступе... Дальше начались вообще чудеса. Из объекта в приложении, куда самоопределялся Орбитер, удалилась Вива контроллер wifi-системы. Потом добавилась. И все сама O_O. После этого, Орбитер, не входя в состав этой wifi-системы, затесался в приложении между Вивами. Скриншотов, извините, не делал, не до того было. Приложу только скриншот уведомлений, приходивших на почту. Удалил опять Орбитер и добавление его в приложение отложил до лучших времен, т.е. до момента, когда он будет установлен на "родном" для него объекте. Вопросы: 1. почему приложение выбрало само, а не спрашивало меня, в какой объект добавить устройство, работающее в режиме точки доступа/ретранслятора, хотя подходящих объектов было три? Правда, мне вообще, требовался новый объект. 2. Что за приколы с самовольным (по-моему, так дело было) удалением/добавлением контроллера wifi-системы, куда по ошибке затесался новый Орбитер?

я хозяин своего слова, захотел дал, расхотел - взял. Увы, тот IKEv2-сервер, который у меня был в качестве резервного для удаленного доступа некоторых сотрудников и на котором я мог бы поэкспериментировать в разумных пределах с RADIUS-аутентификацией для vpn, на этих выходных перестал работать. Возможно, из-за глубокого инспектирования пакетов.

Возможно, решение несколько будет зависеть от используемого гипервизора. А так: 1. Создать на Кинетике сегмент для виртуальных машин, например, VMs. Задать сегменту VLAN, например, 30. Указать, что этот VLAN30 передается в тегированном виде (порт "Входит в сегмент с VLAN") для порта, куда подключен ваш гипервизор. Кинетику в этом сегменте дать адрес, например, 192.168.30.1/24. Включить для сегмента NAT. 2. Домашний VLAN1 передается через порт, куда подключен ваш гипервизор, без тега (порт "Входит в сегмент"). 3. На вашем гипервизоре поместить виртуальные машины в VLAN30. Хост (192.168.1.10) оставить в домашнем VLAN'е 1. 4. На Кинетике лучше зарегистрировать ваши ВМ и назначить им статические адреса или зарезервировать в DHCP. 5. На Кинетике, В Переадресации портов создаете правила для проброса портов извне к вашим ВМ. В общем-то всё.

Десять дней назад, по-моему, ваш случай Про роутер "на палке"

А если аналогично вот этой статье Keenetic настроить, не подойдет? Пример удаленного доступа к веб-приложениям домашней сети через KeenDNS Доступ по доменному имени работает как извне, так и из локальной сети. PS вообще, если вы используете DHCP-сервер Кинетика и не задавали явно DNS-серверов в настройках DHCP и на клиентах локальной сети (и у них не используются свои "частные" DNS-сервера), то сам Keenetic и выступает в роли DNS-сервера для клиентов локальной сети.

Тема довольно часто встречается. Посмотрите, например, это сообщение, там сразу указан конфиг порта Кинетика. На коммутаторе VLAN 1 используете для своей LAN. Потому что сегмент Домашняя сеть в Кинетике намертво привязан к VLAN 1. (Хотя, при большом желании, можете попробовать сделать на коммутаторе VLAN mismatch, но есть риск, что коммутатор порт/vlan просто заблокирует) Порт коммутатора в сторону провайдера делаете Access в любой понравившийся вам VLAN. В примере по ссылке это 848. В вашем же случае - 100. Порт коммутатора в сторону Кинетика делаете транком (или гибридным, смотря как у вас производитель коммутатора это называет) с такими параметрами : VLAN 1 native (т.е. не тегированный); VLAN 848 (или 100 в вашем случае) - тегированный. На официальном сайте поддержки тоже есть схожие статьи, но, что-то придется додумывать.

Не уверен точно, с какой версии поправили, но с 4.3.6.1 обратил внимание, что уже работает, маршруты VPN-клиентам IKEv2 передаются. (Почто Le ecureuil отмечен соответствующей благодарностью )

@Le ecureuil День добрый! Также есть желание использовать аутентификацию VPN-клиентов Keenetic'ов через внешний RADIUS-сервер. В идеале бы так же, как для wifi (т.е. ip-адреса клиентам всё-же раздавал бы сам Кинетик), но и ваш вариант был бы готов опробовать с вашей, возможно, поддержкой. Возможно ли уже нынешней стабильной 4.3.6.1 что-то такое?

Например, могли кнопкой отключить wifi на контроллере, чтобы в зоне его охвата проверять работу через настроенные точки доступа перед их установкой на места.

Проблема, вероятно, выявлена. Причина, скорее всего, в одном из туннелей на Экстре, "Рафик (МТ) не уиноуен". Проверялось ранее через попытки голосовых звонков ВА и ТГ, а также просмотр ты-трубы. Удалось подключиться через энидеск к ноуту за Экстрой. Ну и там уже трассировкой смотрел, куда что заруливается. Извиняюсь за дезинформацию.

Еще прошу уточнения. Правильно я понимаю, что проверять МТ надо только из сегментов, которые будут входить в то, что перечислено в конфиге в разделе link (по умолчанию, видимо, это br0 Bridge0, домашняя сеть)? Пинг/трассировка из раздела Диагностика интерфейса роутера и из БизиБокса с такими настройками по правилам МТ работать не будут (даже с указанием адреса источника)? Экстры мне приходится настраивать удаленно, бываю там нечасто, проверять изнутри затруднительно.

Совет был не мне, но это я тоже пробовал. Поправка, команда (в BusyBox v1.37.0) должна быть такая: "opkg install magitrickle --force-reinstall". Не помогло, увы. DoT CF удалил. На Экстрах очень мало места. Для установки opkg пршлось что-то поудалять, а что-то из opkg не ставить. Может быть работа МТ зависит от каких-то компонетов системы? Скажем, "Фильтрация контента и блокировка рекламы при помощи облачных сервисов" нужен? а "Пакеты OPKG - Модули ядра подсистемы Netfilter" ? Хотя на Гиге не установлено.

Так это и есть Export Config, рядом Import Config, ими и воспользовался. Честно говоря, внутрь не заглядывал, может он действительно только группы, интерфейс назначения и списки выгружает 😕

Я не нашел в интерфейсе МТ выгрузить список доменов. Там только Import Rule List для каждой группы правил. Поэтому рискнул сделать Гига Export Config - Экстра Import Config. Видимо, пока проиграл, надо было из выгруженного конфига только группы с правилами оставить. Назначение и имена nwg0 и nwg1 на маршрутизаторах совпадают. link br0 тоже. iptables пока не сравнивал, но какие-то цепочки MT_ на Экстре есть. Про CF уже были мысли убрать. На каждом моем роутере настроены по три DoT и DoH. Ну, будет без CF по два.

День добрый! Спасибо за труд! Присоединяюсь к пожеланию по поводу "ремонта" МТ при активном IKEv2-подключении. Есть несколько вопросов. Насколько корректно с моей стороны было выполнить экспорт-импорт конфига между разными устройствами? Есть Giga KN-1012, на ней настроен МТ, работает на два туннеля, выгрузил конфиг. Загрузил на Экстру KN-1711 с аналогичными туннелями (назначение использования и имена интерфейсов совпадают) - не работает, уходит напрямую через провайдера. Проверил ключевые моменты (адреса, порты, link) в конфиге - вроде все верно. МТ перезапускал, "Started MagiTrickle Daemon from ." Пробовал включать уровень логов debug, но не понял, куда смотреть (в консоли BusyBox, в системном журнале никаких отличий не заметил, лога МТ не нашел). Правила в МТ включал/выключал, интерфейсы перевыбирал, пересохранял, по колесам стучал. Для проверки прописал на Экстре статический маршрут через один из туннелей - работает. Сравнивал вывод netstat на Гиге и Экстре. И там и там ndnproxy слушает 53 порты tcp и udp, magitrickled - 3553. Переставлять МТ на Экстре и там списки создавать? А мне еще вторую такую же Экстру настраивать. В отличие от Гиги (на ней встречается тоже, но сильно реже) на этой Экстре очень много событий типа Сен 16 09:06:24 ndm Service: "DoT "System" proxy #0": unexpectedly stopped. Сен 16 09:06:24 stubby "cloudflare-dns.com": too many failed requests, try to reload process PS хотел было в ТГ-чат обратиться... в итоге, проголосовал за отдельную тему для флуда. PPS корректировка от 19.09.25. Путем более тщательной проверки выяснилось, что маршрутизация МТ работает, проблема в одном из туннелей на Экстре.

Провел эксперимент. "Ах, какое полезное изобретение!.." Думаю, что признаками неработоспособности stp Кинетиков в wifi-системе можно считать картинку ниже (признаки проблемы с stp обведены красным) и отсутствие информации о бридже и корень stp, указывающий на неKeenetic-устройство, в выводе команды show mws member в разделе backhaul: (config)> show mws member ... backhaul: uplink: GigabitEthernet1 root: 4000.MAC-адрес неКинетика bridge: 0000.00:00:00:00:00:00 cost: 4 speed: 1000 duplex: full port-label: 0 ... Тем не менее, насколько я могу судить, эта wifi-система работала. Клиенты регистрировались, перемещались как между диапазонами на контроллере или ретрансляторе, так и между контроллером и ретранслятором. В журнале фиксировались Быстрые переходы. Теперь удаляем ретранслятор, на контроллере вводим mws stp encapsulation system configuration save на всякий случай, я перезагрузил контроллер. Потом захватил ретранслятор. Результат: (config)> show mws member ... backhaul: uplink: GigabitEthernet1 root: 8000.50:ff:20:XX:XX:XX --- MAC-адрес контроллера bridge: 8000.50:ff:20:XX:XX:XX --- MAC-адрес контроллера cost: 4 speed: 1000 duplex: full port-label: 0 ...

Спасибо! Похоже, очень полезная вещь - в одной wifi-системе включил (там stp Кинетиков, похоже, блокировался и повышение приоритета игнорировалось). Жаль только, что об этой команде больше нигде ничего не написано, только в на этом форуме. Очень надеюсь на внесение в Справочник по CLI и на статью на сайте помощи (хотя я-то уже знаю ).

Смайликов реакции на сообщение надо добавить несколько: Спасибо! и Не понял... С контекстом-то я догадывался, но с подробностями работы пока как-то не очень. Ну и порядок действий. Как я видел, необходим перезахват ретрансляторов. Полагаю, что сначала их необходимо удалить из wifi-системы; потом дать команду mws stp encapsulation контроллеру, возможно, перезагрузить его; потом добавить ретрансляторы обратно. Завтра попробую провести натурный эксперимент. Видимо, необходимость в mws stp priority должна отпасть и его можно оставить по умолчанию. Правильно понимаю?

Упс, что-то новенькое пропустил. А можно, пожалуйста, поподробнее, про нее? Перед тем как задать вопрос, честно гуглил яндекс и яндексировал гугл - они про эту команду знают только две темы на этом форуме (одна из которых - эта); перекопал справочник по cli к версии 4.3 - не упоминается; проверил "Список изменений" из раздела обновлений роутера - ничего. Проверил в cli - да, есть такая команда, но хотелось бы знать, что она делает.