Keenetic III, 2.10, OpenVPN

Dima · 18 июня, 2017

Админчики добрые! Люд простой! Помогите!

Как увидел на форуме -

10.06.2017 00:00 Версия 2.10.A.1.0-0: Экспериментальная версия, Добавлена поддержка OpenVPN.

Так сразу закупил 87 штук Keenetic III. Идеальное для нашей компании решение. 18 передо мной уже лежат и ждут настройки, а остальные по разным городам и странам даже разойдутся на следующей неделе.

А нет прошивочки долгожданной ни тут https://cloud.mail.ru/public/7rAB/ineftbhek

ни тут files.keenopt.ru

Помогите, дайте прошивочку на Keenetic III !!!!

Через opkg - нереально на всех настроить!

Le ecureuil · 18 июня, 2017

Откуда вы только беретесь, что прочитав на неофициальном форуме про неофициальную прошивку, не уточнив реального состояния дел, сразу начинаете сливать миллионы денег, а потом жалуетесь, что не работает.

Сперва хоть бы почитали тему (чтобы понять, насколько там все "сыро"):

Подождите месяц-другой, тогда OpenVPN отладим более-менее и можно будет пользоваться без особых проблем.

И вы тоже начните с одного - двух роутеров под боком, обкатайте схему на них, и только потом внедряйте в production.

ndm · 18 июня, 2017

39 минут назад, Dima сказал:

Так сразу закупил 87 штук Keenetic III. Идеальное для нашей компании решение...

Всё, теперь знаем, кто нам OpenVPN будет тестировать! Скинули файл в личку. Там есть огрехи, но надеемся, для Вас не смертельные.

@Le ecureuil пусть пока отдохнёт.

Dima · 18 июня, 2017

СПАСИБО ОГРОМНО!!!! И как оперативно! Тихо в лесу, только не спит Админ!

Признаю, что покупка такого количества роутеров без тестирования - рискована, но нас ограничили во времени. Я пользуюсь зукселями еще с времен когда модем на 9600 это было круто. Никогда не имел вообще никаких проблем ни с одним и теперь - снова убедившись, что продукт идеален (режим репитера +телефон+ USB модем + VPN) был уверен, что софт заработает, а мелкие баги будут прихлопнуты.

Да, буду тестить, буду писать!

Спасибо огромное!

hellonow · 18 июня, 2017

@Dima ну вы замахнулись с таким количеством не протестировав заранее. Для KIII к сожалению не выкладываю, просьба обращаться к уважаемым @ndm и @Le ecureuil

ndm · 18 июня, 2017

Только что, enpa сказал:

Для KIII к сожалению не выкладываю

Мы тоже пока не выкладываем. Хочется прихлопнуть пару багов, пусть будет точка отсчета поприличнее.

T@rkus · 18 июня, 2017

1 час назад, Dima сказал:

Админчики добрые! Люд простой! Помогите!

Как увидел на форуме -

10.06.2017 00:00 Версия 2.10.A.1.0-0: Экспериментальная версия, Добавлена поддержка OpenVPN.

Так сразу закупил 87 штук Keenetic III. Идеальное для нашей компании решение. 18 передо мной уже лежат и ждут настройки, а остальные по разным городам и странам даже разойдутся на следующей неделе.

А нет прошивочки долгожданной ни тут https://cloud.mail.ru/public/7rAB/ineftbhek

ни тут files.keenopt.ru

Помогите, дайте прошивочку на Keenetic III !!!!

Через opkg - нереально на всех настроить!

Сильно. Чего тут сказать. Особенно если учесть,что ,что Keenetic III (как и все 7620) не получит официальную 2.10 с OVPN со всеми вытекающими.

ndm · 18 июня, 2017

10 минут назад, T@rkus сказал:

Сильно. Чего тут сказать. Особенно если учесть,что ,что Keenetic III (как и все 7620) не получит официальную 2.10 с OVPN со всеми вытекающими.

Не получит. Но 87 штук, да и весь этот форум, далеко позади массового рынка. Там свои методы. "Официальность" нужна для техподдержки, которая в таких задачах малоэффективна. Мы продолжим работать по схеме draft/delta, и качество будет не сильно хуже.

Dima · 18 июня, 2017

3 часа назад, ndm сказал:

Не получит. Но 87 штук, да и весь этот форум, далеко позади массового рынка. Там свои методы. "Официальность" нужна для техподдержки, которая в таких задачах малоэффективна. Мы продолжим работать по схеме draft/delta, и качество будет не сильно хуже.

Дражайшие и уважаемые админы и добрый люди! Что я могу сделать и чем помочь, чтобы вы продолжали работу по схеме draft/delta? И рад бы отлавливать баги, да вот - незадача - все 18 имеющихся в наличии роутеров, без всяких плясок с бубном, мнгновенно подружились с нашим VPN, подхватили все имеющиеся для тестов 3G, 4G и LTE модемы (включая не указанные в совместимых), проклонировали все тестируемые сети, включая допотопный ТП линк, LAN местного провайдера интернет и прекрасно работают как с нашим Астериксом, так и задармой.

Вот хочется чем-то помочь, хотя бы критикой, но ведь все работает! Гоняю, буду пробовать всякие SSL и SSH поверх VPN, хоть и без надобности, но вообще все работает!

PS Спасибо всем, принявшим участие в решении моей проблемы, не отвечаю на некоторые посты, просто, чтобы не пылить излишними постами в очень важном и полезном форуме. T@rkus , enpa,

иногда приходится принимать такие рискованные решения. В данном случае - рискнул и пью шампанское благодаря Админам. Могло быть и иначе :-).

Изменено 18 июня, 2017 пользователем Dima

pachalia · 18 июня, 2017

Надо было ещё взять парочку Giga III. Которые поставили бы в центральном офисе. А чем не устраивает IpSec?

Изменено 18 июня, 2017 пользователем pachalia

Dima · 18 июня, 2017

Уважаемый pachalia. Чтобы ни Ваш вопрос, ни мой ответ не были очевидным и вопиющим оффтопом, сообщаю, что IpSec на 2.10 Кинетик 3 работает также хорошо, как и на 2.9. Претензий нет.

Обсуждение преимуществ протоколов - явно не тема этого форума, но вот если бы keenetic когда нибудь занялся SoftEther VPN, вот это было бы круто. Но пока Open Vpn наиболее популярен, вот и у нас он исторически используется. Это тоже скорее мысль вслух, чтобы сообщения не были оффтопом.

в центральной офисе много всякого стоит, тут речь о простых рабочих местах с телефонами да и лучше купить и обслуживать одинаковые модели, одинаковые прошивки, одинаковые настройки, одинаковые конф файлы....

Le ecureuil · 20 июня, 2017

Учтите, что OpenVPN будет в несколько раз тормознее (особенно на 7621, где IPsec показывает 300 MBps, а OpenVPN - 35 на AES-128-CBC).

Измеренная мной максимальная скорость в идеальных условиях на 7620 с шифром AES-128-CBC в текущей реализации составляет всего 12 Мбит/сек. На BF-CBC скорость выше процентов на 30-40, потому кому не очень важна крутейшая безопасность (см. sweet32), могут принудительно перейти на него.

Тот же IPsec на 7620 покажет минимум 20 Мбит/сек на AES-128-CBC.

Le ecureuil · 20 июня, 2017

В 6/18/2017 в 18:30, Dima сказал:

Дражайшие и уважаемые админы и добрый люди! Что я могу сделать и чем помочь, чтобы вы продолжали работу по схеме draft/delta? И рад бы отлавливать баги, да вот - незадача - все 18 имеющихся в наличии роутеров, без всяких плясок с бубном, мнгновенно подружились с нашим VPN, подхватили все имеющиеся для тестов 3G, 4G и LTE модемы (включая не указанные в совместимых), проклонировали все тестируемые сети, включая допотопный ТП линк, LAN местного провайдера интернет и прекрасно работают как с нашим Астериксом, так и задармой.

Вот хочется чем-то помочь, хотя бы критикой, но ведь все работает! Гоняю, буду пробовать всякие SSL и SSH поверх VPN, хоть и без надобности, но вообще все работает!

PS Спасибо всем, принявшим участие в решении моей проблемы, не отвечаю на некоторые посты, просто, чтобы не пылить излишними постами в очень важном и полезном форуме. T@rkus , enpa,

иногда приходится принимать такие рискованные решения. В данном случае - рискнул и пью шампанское благодаря Админам. Могло быть и иначе :-).

Вот и славно, что у вас все заработало.

Однако учтите, что 2.10 - это draft, и не нужно обновлять все устройства на него каждую неделю по мере выхода. Для партии в сотню штук лучше выбрать одну-единственную прошивку, которая у вас точно и работает и не трогать ее до выхода beta. А draft ставить только на устройства "под рукой" для проверки, что ничего не сломалось / не сломали.

Le ecureuil · 20 июня, 2017

В 6/18/2017 в 23:53, Dima сказал:

Уважаемый pachalia. Чтобы ни Ваш вопрос, ни мой ответ не были очевидным и вопиющим оффтопом, сообщаю, что IpSec на 2.10 Кинетик 3 работает также хорошо, как и на 2.9. Претензий нет.

Обсуждение преимуществ протоколов - явно не тема этого форума, но вот если бы keenetic когда нибудь занялся SoftEther VPN, вот это было бы круто. Но пока Open Vpn наиболее популярен, вот и у нас он исторически используется. Это тоже скорее мысль вслух, чтобы сообщения не были оффтопом.

в центральной офисе много всякого стоит, тут речь о простых рабочих местах с телефонами да и лучше купить и обслуживать одинаковые модели, одинаковые прошивки, одинаковые настройки, одинаковые конф файлы....

softether слишком большая, громоздкая, медленная (+ работающая в userspace) и сложная штука для непосредственной интеграции в ndms (и даже тот же openvpn на самом деле тоже очень непрост, но масовый спрос вынуждает). Пока у нас нет планов на это.

ndm · 20 июня, 2017

В 6/18/2017 в 18:30, Dima сказал:

Что я могу сделать и чем помочь, чтобы вы продолжали работу по схеме draft/delta?

Главное, что необходимо помнить, находясь в этой схеме — есть определенный риск. Мы стараемся поддерживать качество без регресса, но не гарантируем его. Гарантию вы берете на себя. Мы настоятельно рекомендуем перед установкой обновления делать резервную копию firmware и startup-config. В противном случае Вы не сможете вернуться на рабочую версию, т.к. на сервере обновлений её не будет. Чужие прошивки тоже не помогут, т.к. там может не оказаться нужных компонентов.

Dima · 20 июня, 2017

6 часов назад, Le ecureuil сказал:

Учтите, что OpenVPN будет в несколько раз тормознее (особенно на 7621, где IPsec показывает 300 MBps, а OpenVPN - 35 на AES-128-CBC).

совершенно верно! у меня 5Mbs на OpenVpn, против 25. Но этого вполне достаточно (именно для наших задач).

5 часов назад, Le ecureuil сказал:

5 часов назад, ndm сказал:

Главное, что необходимо помнить, находясь в этой схеме — есть определенный риск. Мы стараемся поддерживать качество без регресса, но не гарантируем его. Гарантию вы берете на себя. Мы настоятельно рекомендуем перед установкой обновления делать резервную копию firmware и startup-config. В противном случае Вы не сможете вернуться на рабочую версию, т.к. на сервере обновлений её не будет. Чужие прошивки тоже не помогут, т.к. там может не оказаться нужных компонентов.

Однако учтите, что 2.10 - это draft, и не нужно обновлять все устройства на него каждую неделю по мере выхода. Для партии в сотню штук лучше выбрать одну-единственную прошивку, которая у вас точно и работает и не трогать ее до выхода beta. А draft ставить только на устройства "под рукой" для проверки, что ничего не сломалось / не сломали.

Спасибо! очень полезное замечание для всех! конечно, так и делаю - уже почти на всех стоит ИМЕННО эта прошивка, всем разосланы детальные ОДИНАКОВЫЕ инструкции по настройке и одинаковые ovpn конфиги. Работает - и отлично! Обновление прошивки - не есть цель, цель - работоспособность! И копии сделаны...

5 часов назад, Le ecureuil сказал:

softether слишком большая, громоздкая, медленная (+ работающая в userspace) и сложная штука для непосредственной интеграции в ndms (и даже тот же openvpn на самом деле тоже очень непрост, но масовый спрос вынуждает). Пока у нас нет планов на это.

Еще раз большое спасибо за труд и понимание!

Изменено 20 июня, 2017 пользователем Dima

Dima · 20 июня, 2017

6 часов назад, Le ecureuil сказал:

Учтите, что OpenVPN будет в несколько раз тормознее (особенно на 7621, где IPsec показывает 300 MBps, а OpenVPN - 35 на AES-128-CBC).

совершенно верно! у меня 5Mbs на OpenVpn, против 25. Но этого вполне достаточно (именно для наших задач).

добавлю AES-256-CBC- по UDP на 4MBps - загрузка процессора около 50% на 5 - 60%, на 6 -75, на 8 - 85.

по TCP на 4MBps - загрузка процессора 30% на 5 - 45%, на 6 -50, на 8 - 70.

Насколько я понимаю, TCP аппаратно поддерживается, Однако, высоких скоростей ждать не приходится.

Кому надо - учтите....

AzaxStyle · 6 июля, 2017

Долго выбирал железку и выбрал именно zyxel keenetic ultra ll, микротик, асус и буфало отпали. Либо железо слабое, либо проблемы с кастомными прошивками. В общем искал железку именно для softether. Порадовало, что все завелось из коробки. Очень надеюсь в будующем увидеть нативную потдержку данного vpn в самой ОС роутера. Огромное спасибо сообществу и местным админам! Вы делаете большую, а главное полезную работу!

Le ecureuil · 6 июля, 2017

softether слишком молод (только-только 3 года стукнуло), чтобы его применять направо и налево. Пускай устаканится.

arsik · 2 апреля, 2018

Скажите, как сейчас со скоростью openvpn на данном устройстве. (Zyxel Keenetic III MT7620A 600 МГц)?

Думаю его брать или другой вариант посмотреть.

Le ecureuil · 4 апреля, 2018

В 4/2/2018 в 11:53, arsik сказал:

Скажите, как сейчас со скоростью openvpn на данном устройстве. (Zyxel Keenetic III MT7620A 600 МГц)?

Думаю его брать или другой вариант посмотреть.

До 12-14 Мбит/с в идеальных условиях.

che100 · 18 сентября, 2018

del

Изменено 19 сентября, 2018 пользователем che100

Войти

Keenetic III, 2.10, OpenVPN

Рекомендуемые сообщения

Dima

Le ecureuil

ndm

Dima

hellonow

ndm

T@rkus

ndm

Dima

pachalia

Dima

Le ecureuil

Le ecureuil

Le ecureuil

ndm

Dima

Dima

AzaxStyle

Le ecureuil

arsik

Le ecureuil

che100

Присоединяйтесь к обсуждению

Последние посетители 0 пользователей онлайн

Обзор

Активность

Магазин

My Details

Важная информация