Jump to content

dvg_lab

Forum Members
  • Content count

    14
  • Joined

  • Last visited

Community Reputation

1 Neutral

About dvg_lab

  • Rank
    Member

Equipment

  • Keenetic
    extra II, rev. A
  1. Имхо сервер в таких железках на данном этапе это баловство. А вот скоростной клиент это в приоритете. Как у SoftEther с этим? Я так понимаю там свой клиент, совместимый с OpenVPN.
  2. Понял, уже заказал пару Ultra II... надеюсь выжать поболее, хотелось бы мегабит 30 хотябы...
  3. Тестирую скорость, клиент на Extra II (2.12.A.5.0-4) WAN статика 100Мб и сервер на FreeBSD 11.1 (OpenVPN 2.4.5) 1 Гбит фактически подключены к одному свитчу, показывает скорость закачки в районе 1Мб, это так и должно быть или я где-то чего-то недокрутил? В обход OpenVPN с того же сервера скорость честные 100Мбит. Конфиг сервера Конфиг клиента И что странно, при применении параметров chipher none и ncp-disable скорость вырастает всего до 16 мегабит...
  4. Спасибо за развернутый ответ! По железке пусть это будет любая другая модель, главное чтобы 7 LAN + 1WAN (всё гигабит), 2 USB, и один из 7 LAN портов с поддержкой PoE, так как счетчики посетителей у всех вендоров на PoE питании. И тогда вы заткнёте за пояс еще и Microtic с их RB2011, я за ними тоже пристально слежу, но они до сих пор не могут реализовать UDP OpenVPN, хотя грозятся вот-вот в победить и в 7й версии RouterOS он якобы будет. Для ритейла стандартный набор - в точке продаж стоит комп с 1С, иногда плюс планшет, все это требует подключения к базе в центральном офисе, в большинстве случаев по OpenVPN (как одной из самых стабильных VPN технологий), причем соединение требуется с резервированием, т.к. все работает в режиме онлайн, плюс для техперсонала возможность зайти на кассовый комп отработать Trouble Call по RDP. Весь мониторинг завязан на Zabbix (snmp) с Autodiscovery, и алертами напрямую в техсаппорт. Поэтому идеальная железка та которую я описал она у вас уже есть фактически, плюс к этому софтовая обвязка для системы управления и вот он идеал. Если кого-то заинтересует проект единого центра управления роутерами для нужд распределенного офиса можем начать опенсорс разработку совместно на github. Я то по любому буду делать. PS: В одном из магазинов мы насчитали 18 блоков питания от разных устройств в удлинителях (кассовый терминал, валютный детектор, роутер, счетчик посетителей, модуль ОФД, БП планшета, БП свитча, БП системы контроля доступа, резервный роутер от МТС и тд, и тп), и будет счастьем выкинуть хотябы свитч, PoE адаптер для счетчика и вместо резервного роутера воткнуть USB свисток. Спасибо за помощь, будем обращаться, судя по всему я тут надолго! ))
  5. Спасибо большое за ссылки, NAT победил, все нормально. NAT Loopback пока вроде не мешает, таким образом констатирую факт что на данный момент Keenetic является вполне конкурентным решением. Пожалую тормозну КП от Cisco, на которые уже собрался было переходить, так то RV320 тоже умеет OpenVPN, но он явно дороже и не в каждом магазине продается. Антенны да придется очевидно разбирать роутеры и "складывать внутрь" - причина отказа от съемных антенн я так понимаю выходящие из строя усилители без нагрузки? Мне понравилась модель Ultra II с 7 LAN портами и 2 USB, что решает все наши вопросы по локалке, нехватает только PoE, но его так понимаю можно не ждать, не того уровня девайс. Спасибо за ответы на вопросы!
  6. Спасибо, за быстрый ответ. Да собсно я писал чуть выше, я как раз НЕ хочу видеть NAT на интерфейсе OpenVPN, сейчас дело в том, что все пакеты следующие по пути от компа подключенного к Кинетику в сеть за OpenVPN сервером подвергаются нату на интерфейсе OpenVPN0, хотелось бы чтобы этого не было, либо это было опционально. У меня обширная сеть магазинов по всей России и странам СНГ, и каждый магазин это отдельная сетка /24, и все эти сетки имеют доступ в часть офисной сети, которая также /24, так вот сейчас на тестовом сетапе я с офиса могу достучаться до компа за Кинетиком, и пинги приходят с моего офисного IP, т.е. все идет по роутингу, все нормально, а вот обратно с если пинговать некий сервер в офисной сети я вижу что пакеты приходят с IP адреса интерфейса OpenVPN0, а это значит что на этом интерфейсе включен маскарадинг. Прочитав ветку выше я уже нашел подобный вопрос и народ писал что либо выключать NAT для всех интерфейсов (что совсем не входит в планы) либо никак. NAT сильно мешает так как хочется OSPF (по факту сеток у меня тут гораздо больше). Так как Вы писали про планы относительно Policy Based Routing я и подумал что возможно с приходом PBR появится возможность выключать NAT на OpenVPN интерфейсе. Спасибо еще раз за отклик. PS: Опишу как работаем сейчас. В данный момент мы используем Asus RT-N16/WL500-W на собственной прошивке основанной на прошивке от энтузиастов (бывшая прошивка от Олега), у меня отдельное сборочное окружение, в прошивку вкомпиливается OpenVPN, также наши скрипты управления, автоконфигурации, snmp и тд. Автоконфиг основан на мак адресе, все что мне надо это просто прописать мак адрес в своей системе инициализации, роутер же при включении грузит бутстрап скрипт, который проверяет наличие конфигурации по своему мак адресу, после авторизации скачивает конфиг, разворачивает его в nvram, перегружается и вуа-ля готовый роутер, который можно отправлять в магазин, предварительно прописав WAN настройки провайдера. Минусы подобной схемы только в наличии самих Асусов, эти модели тыщу лет как не производятся, а моя прошивка с новыми моделями не совместима. Поэтому в идеале хочется а) совсем уйти от самосборных прошивок и добиться стандартизации, чтобы с выходом новой модели не переделывать все кардинально, серия Keenetic как раз подкупает единой операционной системой на всех моделях и уже встроенным OpenVPN клиентом и наличием моделей в любом магазине любого города, б) Съемных рогов, т.к. у нас не везде используется Wi-Fi, а рога мешают в) централизованного управления - сейчас буду мутить схему на ансибле, JSON +rci, некой обвязке на каком-либо фреймворке, чтобы IT персонал мог конфигать роутеры централизованно из веб приложения, у нас строгий список адресов которые можно посещать с магазина через NAT и его периодически приходится менять. Сделать это на одном роутере не проблема, но когда их 200...
  7. Ух ты, JSON поддерживается, это уже хорошо! Спасибо за примеры, буду мучить Ansible... Малость почитал, rci крутая штука, а уже существует мануал по JSON и RCI? По поводу NATа на OpenVPN интерфейсе ждать ли изменений в будущих прошивках?..
  8. Почитал тему... походу NAT на интерфейсе openvpn не выключается... это печаль.. Господа, правильно ли я понял что когда будет внедрён PBR, то тогда появится возможность вырубать NAT на openvpn интерфейсе?
  9. Я в замешательстве. За Кинетиком сеть 10.4.49.0/24, она роутится, вот ccd: ifconfig-push 10.8.0.3 255.255.0.0 iroute 10.4.49.0 255.255.255.0 в openvpn.conf на сервере также прописано: route 10.4.49.0 255.255.255.0 10.8.0.3 Я с компа за Кинетиком (10.4.49.200) пингую комп уже за OpenVPN сервером, то есть условно между двумя компами находится OpenVPN сервер с двумя интерфейсами и Кинетик, а на OpenVPN клиенте (?) пакеты натятся, хотя не должны. Подробнее: пинг уходит по такой цепочке Комп 10.4.49.200 -> Keenetic 10.4.49.1 (OpenVPN клиент 10.8.0.3) -> Сервер 10.8.0.1 (второй интерфейс сервера 192.168.200.11) -> комп 192.168.200.5 и вот тут я вижу что пакеты приходят с 10.8.0.3, хотя должны приходить с 10.4.49.200. В конфиге кинетика не нашел где может натится на OpenVPN интерфейсе. Да topology subnet... Подскажите куда копнуть плс. Причем с сервера пинги на 10.4.49.200 проходят..
  10. Заработало и пока повторить подобное поведение не удается (пока еще на отладочной прошивке), сейчас экспериментирую с lz4-v2, там не все так очевидно, клиент вангует что применяется опция comp-lzo но это я так понимаю косяки самого openvpn и к интеграции отношения не имеют. Планируется ли к выпуску железка со съемными рогами? У меня под кассой места категорически нет, рога мешают Не совсем по теме маленький вопрос - ткните чем автоматизировать настройку новых роутеров, как заливать openvpn.conf в железку, ато мне их 200шт подымать, руками копипастить или curl к вебу прикручивать это изврат кмк.
  11. Забыл сказать, что я на отладочной 2.12.А.4.0-9, после нескольких перезагрузок стал нормально работать и этот мелкий роут исчезает при обрыве WAN. Изначальная настройка на OpenVPN подключаться через любой доступный интерфейс. Возможно проблема именно в бетта версии прошивки.. попробую откатить на сток и потестить там. PS: Похоже я похороню все свои 200 асусов и перезакуплюсь зухелями )) Казалось бы простой функционал - OpenVPN клиент с резервированием аплинка и вменяемым файрволингом из коробки нормально работает только на Кинетиках. Из хотелок остались съемные рога (не везде нужен WiFi), питание через POE, соответственно и POE инжектор хотябы на одном порту и 8 портов LAN, и конкуренты будут долго и нервно курить в сторонке, это будет Killer фича для бизнеса с мелкими филиалами по всей стране, куда железку дороже 10к просто экономически невыгодно ставить.
  12. Коллеги, подскажите зачем создается роут /32 в сторону OpenVPN сервера? Суть в чем, у меня например статический WAN, дублирующийся USB модемом через MTC, так вот openvpn клиент поднимает соединение, все хорошо, потом у меня падает статический WAN, пингчекер это видит, сразу же дефолт переключает на USB модем, но OpenVPN не может пере-поднять соединение потому что в таблице маршрутизации стоит жесткий роут на IP адрес OpenVPN сервера через тот упавший интерфейс. При этом интернет функционирует, сайты открываются и все нормально, но на сайты таких вот роутов нет.. Пока что кроме ребута роутера ничего не придумал, понимаю что можно каким-то макаром этот /32й роут переставлять на свисток... но мож я что не так делаю подскажите плс как победить резервирование OpenVPN подключения в автомате?
×