KeenTaur

День добрый! Приобрели Orbiter NAP-630. По умолчанию, он работает в режиме ретранслятора/точки доступа. Находясь в сети, где уже есть три группы Кинетиков, настроил этот Орбитер (он предназначен для другого объекта) в режиме ретранслятора (он не будет пока входит в wifi-систему, работать будет автономно, как точка доступа с маршрутизатором другого производителя). Назначил ему в CrazeDNS-имя и получил сертификат. Добавляю этот Орбитер в приложение Netcraze (Версия 64.2 (312)) через поиск устройств в локальной сети, ввожу сервисный код, логин/пароль. Устройство добавлено. Хочу изменить имя НОВОГО объекта, куда, по моему мнению, должен был добавиться Орбитер, но нового объекта не нахожу. Оказывается, он добавился в один из уже существующих объектов, но не как член wifi-системы, а как бы рядом с wifi-системой, как бы "кандидат". А я его об этом не просил. И почему он выбрал wifi-систему из двух Вив, а не автономный Хоппер или wifi-систему из Хоппера и трех Вояджеров, которые, к слову, подключены в тот же коммутатор, что и новый Орбитер. Три глубоких вдоха, удаляю Орбитер из приложения, добавляю заново - та же картина. Попробовал зарегистрировать Орбитер в RMM, ну, запись-то о нем появилась, но, поскольку он ни к какому контроллеру не привязан, информации никакой, дескать, автономно должен быть исключительно роутером. Решаю перевести Орбитер все-таки в режим роутера. Почитал сразу статью про доменное имя в случае сброса, проблем быть не должно, подтянется само, окей. Сбрасываю ему настройки на заводские, переключаю режим работы на роутер, настраиваю. Получаю (на почту) уведомление о несанкционированном доступе... Дальше начались вообще чудеса. Из объекта в приложении, куда самоопределялся Орбитер, удалилась Вива контроллер wifi-системы. Потом добавилась. И все сама O_O. После этого, Орбитер, не входя в состав этой wifi-системы, затесался в приложении между Вивами. Скриншотов, извините, не делал, не до того было. Приложу только скриншот уведомлений, приходивших на почту. Удалил опять Орбитер и добавление его в приложение отложил до лучших времен, т.е. до момента, когда он будет установлен на "родном" для него объекте. Вопросы: 1. почему приложение выбрало само, а не спрашивало меня, в какой объект добавить устройство, работающее в режиме точки доступа/ретранслятора, хотя подходящих объектов было три? Правда, мне вообще, требовался новый объект. 2. Что за приколы с самовольным (по-моему, так дело было) удалением/добавлением контроллера wifi-системы, куда по ошибке затесался новый Орбитер?

я хозяин своего слова, захотел дал, расхотел - взял. Увы, тот IKEv2-сервер, который у меня был в качестве резервного для удаленного доступа некоторых сотрудников и на котором я мог бы поэкспериментировать в разумных пределах с RADIUS-аутентификацией для vpn, на этих выходных перестал работать. Возможно, из-за глубокого инспектирования пакетов.

Возможно, решение несколько будет зависеть от используемого гипервизора. А так: 1. Создать на Кинетике сегмент для виртуальных машин, например, VMs. Задать сегменту VLAN, например, 30. Указать, что этот VLAN30 передается в тегированном виде (порт "Входит в сегмент с VLAN") для порта, куда подключен ваш гипервизор. Кинетику в этом сегменте дать адрес, например, 192.168.30.1/24. Включить для сегмента NAT. 2. Домашний VLAN1 передается через порт, куда подключен ваш гипервизор, без тега (порт "Входит в сегмент"). 3. На вашем гипервизоре поместить виртуальные машины в VLAN30. Хост (192.168.1.10) оставить в домашнем VLAN'е 1. 4. На Кинетике лучше зарегистрировать ваши ВМ и назначить им статические адреса или зарезервировать в DHCP. 5. На Кинетике, В Переадресации портов создаете правила для проброса портов извне к вашим ВМ. В общем-то всё.

Десять дней назад, по-моему, ваш случай Про роутер "на палке"

А если аналогично вот этой статье Keenetic настроить, не подойдет? Пример удаленного доступа к веб-приложениям домашней сети через KeenDNS Доступ по доменному имени работает как извне, так и из локальной сети. PS вообще, если вы используете DHCP-сервер Кинетика и не задавали явно DNS-серверов в настройках DHCP и на клиентах локальной сети (и у них не используются свои "частные" DNS-сервера), то сам Keenetic и выступает в роли DNS-сервера для клиентов локальной сети.

Тема довольно часто встречается. Посмотрите, например, это сообщение, там сразу указан конфиг порта Кинетика. На коммутаторе VLAN 1 используете для своей LAN. Потому что сегмент Домашняя сеть в Кинетике намертво привязан к VLAN 1. (Хотя, при большом желании, можете попробовать сделать на коммутаторе VLAN mismatch, но есть риск, что коммутатор порт/vlan просто заблокирует) Порт коммутатора в сторону провайдера делаете Access в любой понравившийся вам VLAN. В примере по ссылке это 848. В вашем же случае - 100. Порт коммутатора в сторону Кинетика делаете транком (или гибридным, смотря как у вас производитель коммутатора это называет) с такими параметрами : VLAN 1 native (т.е. не тегированный); VLAN 848 (или 100 в вашем случае) - тегированный. На официальном сайте поддержки тоже есть схожие статьи, но, что-то придется додумывать.

Не уверен точно, с какой версии поправили, но с 4.3.6.1 обратил внимание, что уже работает, маршруты VPN-клиентам IKEv2 передаются. (Почто Le ecureuil отмечен соответствующей благодарностью )

@Le ecureuil День добрый! Также есть желание использовать аутентификацию VPN-клиентов Keenetic'ов через внешний RADIUS-сервер. В идеале бы так же, как для wifi (т.е. ip-адреса клиентам всё-же раздавал бы сам Кинетик), но и ваш вариант был бы готов опробовать с вашей, возможно, поддержкой. Возможно ли уже нынешней стабильной 4.3.6.1 что-то такое?

Например, могли кнопкой отключить wifi на контроллере, чтобы в зоне его охвата проверять работу через настроенные точки доступа перед их установкой на места.

Проблема, вероятно, выявлена. Причина, скорее всего, в одном из туннелей на Экстре, "Рафик (МТ) не уиноуен". Проверялось ранее через попытки голосовых звонков ВА и ТГ, а также просмотр ты-трубы. Удалось подключиться через энидеск к ноуту за Экстрой. Ну и там уже трассировкой смотрел, куда что заруливается. Извиняюсь за дезинформацию.

Еще прошу уточнения. Правильно я понимаю, что проверять МТ надо только из сегментов, которые будут входить в то, что перечислено в конфиге в разделе link (по умолчанию, видимо, это br0 Bridge0, домашняя сеть)? Пинг/трассировка из раздела Диагностика интерфейса роутера и из БизиБокса с такими настройками по правилам МТ работать не будут (даже с указанием адреса источника)? Экстры мне приходится настраивать удаленно, бываю там нечасто, проверять изнутри затруднительно.

Совет был не мне, но это я тоже пробовал. Поправка, команда (в BusyBox v1.37.0) должна быть такая: "opkg install magitrickle --force-reinstall". Не помогло, увы. DoT CF удалил. На Экстрах очень мало места. Для установки opkg пршлось что-то поудалять, а что-то из opkg не ставить. Может быть работа МТ зависит от каких-то компонетов системы? Скажем, "Фильтрация контента и блокировка рекламы при помощи облачных сервисов" нужен? а "Пакеты OPKG - Модули ядра подсистемы Netfilter" ? Хотя на Гиге не установлено.

Так это и есть Export Config, рядом Import Config, ими и воспользовался. Честно говоря, внутрь не заглядывал, может он действительно только группы, интерфейс назначения и списки выгружает 😕

Я не нашел в интерфейсе МТ выгрузить список доменов. Там только Import Rule List для каждой группы правил. Поэтому рискнул сделать Гига Export Config - Экстра Import Config. Видимо, пока проиграл, надо было из выгруженного конфига только группы с правилами оставить. Назначение и имена nwg0 и nwg1 на маршрутизаторах совпадают. link br0 тоже. iptables пока не сравнивал, но какие-то цепочки MT_ на Экстре есть. Про CF уже были мысли убрать. На каждом моем роутере настроены по три DoT и DoH. Ну, будет без CF по два.

День добрый! Спасибо за труд! Присоединяюсь к пожеланию по поводу "ремонта" МТ при активном IKEv2-подключении. Есть несколько вопросов. Насколько корректно с моей стороны было выполнить экспорт-импорт конфига между разными устройствами? Есть Giga KN-1012, на ней настроен МТ, работает на два туннеля, выгрузил конфиг. Загрузил на Экстру KN-1711 с аналогичными туннелями (назначение использования и имена интерфейсов совпадают) - не работает, уходит напрямую через провайдера. Проверил ключевые моменты (адреса, порты, link) в конфиге - вроде все верно. МТ перезапускал, "Started MagiTrickle Daemon from ." Пробовал включать уровень логов debug, но не понял, куда смотреть (в консоли BusyBox, в системном журнале никаких отличий не заметил, лога МТ не нашел). Правила в МТ включал/выключал, интерфейсы перевыбирал, пересохранял, по колесам стучал. Для проверки прописал на Экстре статический маршрут через один из туннелей - работает. Сравнивал вывод netstat на Гиге и Экстре. И там и там ndnproxy слушает 53 порты tcp и udp, magitrickled - 3553. Переставлять МТ на Экстре и там списки создавать? А мне еще вторую такую же Экстру настраивать. В отличие от Гиги (на ней встречается тоже, но сильно реже) на этой Экстре очень много событий типа Сен 16 09:06:24 ndm Service: "DoT "System" proxy #0": unexpectedly stopped. Сен 16 09:06:24 stubby "cloudflare-dns.com": too many failed requests, try to reload process PS хотел было в ТГ-чат обратиться... в итоге, проголосовал за отдельную тему для флуда. PPS корректировка от 19.09.25. Путем более тщательной проверки выяснилось, что маршрутизация МТ работает, проблема в одном из туннелей на Экстре.

Провел эксперимент. "Ах, какое полезное изобретение!.." Думаю, что признаками неработоспособности stp Кинетиков в wifi-системе можно считать картинку ниже (признаки проблемы с stp обведены красным) и отсутствие информации о бридже и корень stp, указывающий на неKeenetic-устройство, в выводе команды show mws member в разделе backhaul: (config)> show mws member ... backhaul: uplink: GigabitEthernet1 root: 4000.MAC-адрес неКинетика bridge: 0000.00:00:00:00:00:00 cost: 4 speed: 1000 duplex: full port-label: 0 ... Тем не менее, насколько я могу судить, эта wifi-система работала. Клиенты регистрировались, перемещались как между диапазонами на контроллере или ретрансляторе, так и между контроллером и ретранслятором. В журнале фиксировались Быстрые переходы. Теперь удаляем ретранслятор, на контроллере вводим mws stp encapsulation system configuration save на всякий случай, я перезагрузил контроллер. Потом захватил ретранслятор. Результат: (config)> show mws member ... backhaul: uplink: GigabitEthernet1 root: 8000.50:ff:20:XX:XX:XX --- MAC-адрес контроллера bridge: 8000.50:ff:20:XX:XX:XX --- MAC-адрес контроллера cost: 4 speed: 1000 duplex: full port-label: 0 ...

Спасибо! Похоже, очень полезная вещь - в одной wifi-системе включил (там stp Кинетиков, похоже, блокировался и повышение приоритета игнорировалось). Жаль только, что об этой команде больше нигде ничего не написано, только в на этом форуме. Очень надеюсь на внесение в Справочник по CLI и на статью на сайте помощи (хотя я-то уже знаю ).

Смайликов реакции на сообщение надо добавить несколько: Спасибо! и Не понял... С контекстом-то я догадывался, но с подробностями работы пока как-то не очень. Ну и порядок действий. Как я видел, необходим перезахват ретрансляторов. Полагаю, что сначала их необходимо удалить из wifi-системы; потом дать команду mws stp encapsulation контроллеру, возможно, перезагрузить его; потом добавить ретрансляторы обратно. Завтра попробую провести натурный эксперимент. Видимо, необходимость в mws stp priority должна отпасть и его можно оставить по умолчанию. Правильно понимаю?

Упс, что-то новенькое пропустил. А можно, пожалуйста, поподробнее, про нее? Перед тем как задать вопрос, честно гуглил яндекс и яндексировал гугл - они про эту команду знают только две темы на этом форуме (одна из которых - эта); перекопал справочник по cli к версии 4.3 - не упоминается; проверил "Список изменений" из раздела обновлений роутера - ничего. Проверил в cli - да, есть такая команда, но хотелось бы знать, что она делает.

Присоединяюсь к вопросу, какой коммутатор у вас сейчас (хотя бы чтоб и мы были в курсе, что, возможно, не надо брать)? Действительно, может быть и не доконфигурировали. Так-то даже поддержка не дает прямых рекомендаций на счет выбора коммутаторов, только пропускать BPDU и широковещательные LLDP и сделать wifi-контроллер корнем stp. При этом, есть комплекты Вояджеров и Орбитеров с неуправляемыми коммутаторами Кинетик (под ваши условия не хватает портов в них). Со своей стороны могу сказать, с какими коммутаторами работали wifi-системы Кинетик у меня (без наименования производителя, найдете легко): DGS-1100-08P Gigabit Ethernet Switch Hw.Rev. B1, веб-интерфейс - сняты с производства, вам не подходит, 8-портовый. Мне нравились, если нужно было где-то быстро развернуть несколько рабочих мест; С этим производителем нужно быть очень внимательным. Под одним названием могут выпускаться модели разных ревизий с разными возможностями, ну и не всякие прошивки, э-ммм, хороши... WS-C3750-48PS-S cli - есть и 24-портовые версии, но вам не подходит, основные порты только до 100 Мбит/с, только PoE (не PoE+), но Вояджеры, которым нужен PoE+, на нем работали; Примерно то же могу сказать про WS-C3560-24PS; WS-C2960RX-48FPD-L (на R не смотрим, в данном случае, это обозначает произведено в/для России) cli/web - есть и 24-портовые версии. Возможно, это мог бы быть и ваш выбор. На данный момент, на них я не задавал Кинетикам приоритет в stp, поэтому есть нюансы, но вообще - wifi-система работает. Покупка на вторичном рынке. Наверное можно и что-то попроще из серии 2960. Во всех моих wifi-системах несколько сегментов/VLAN/SSID.

Приветстую! Пока за сутки никто ничего не ответил, встряну. На одной площадке у меня такая же комбинация Кинетиков: Viva в качестве контроллера WiFi-системы с подключением ко второму провайдеру и Вояджер в качестве ретранслятора. Коммутаторы между ними другие. Попробуйте отключить на контроллере использование беспроводной транспортной сети, шторм уйдет. Если ничего не изменилось с прошлого года, то надо обеспечить работу STP для Кинетиков и прохождение широковещательных LLDP. Также поддержка постоянно рекомендует сделать Кинетик-контроллер корнем STP.

У меня на одном роутере созданное некоторое время (несколько прошивок) назад подключение работает. На двух других созданные несколько дней назад подключения проработали около суток, сейчас нет хендшейка. Провайдеры разные, но адреса пиров у двух неработающих из одной подсети, скорее всего попали в блок.

Спасибо за ответ! Хотя пока особых проблем и не замечал (нагрузка на Героях сейчас почти никакая), на одном 2311 обновил прошивку через файл, наблюдаю. Поскольку канал обновлений не менял, роутер говорит: Установленная версия EG060VEAAAR01A22M1G Доступная версия EG060VEAAAR01A20M1G "Обновить встроенный модем" Ну, вы, наверное, и так знаете о таком поведении.

На WAN Кинетиков - нет, на LAN - да. На WAN неКинетиков делал как для L2, так и для L3 интерфейсов.