[Вопросы по интеграции OpenVPN в NDMS]

 

2 часа назад, Le ecureuil сказал:

Если очень нужно, попробуем вернуть BF.

Было бы неплохо, так как должен быть выбор скорость vs безопасность.  Дело в том что даже дырявый bf-cbc для некоторых данных например вполне достаточен, а вот скорости cpu может уже и не хватать.

[Вопросы по интеграции OpenVPN в NDMS]

1 час назад, Byuri сказал:

прошу прощения, на 1210 перестало работать

 Это да, не хватило памяти...

[Вопросы по интеграции OpenVPN в NDMS]

1 час назад, Byuri сказал:

Изменили в настройках сервера тип шифрования?

 

Да, строка cipher

[MWS и соответствия VLAN портам]

Хорошо, как вернусь с отпуска закину в ТП.

[Вопросы по интеграции OpenVPN в NDMS]

11 минуту назад, Le ecureuil сказал:

Это очень странно.

Пожалуйста, обратитесь в официальную поддержку.

BF-CBC на 1310 точно должен работать.

Да в телеге уже пообщались с народом, вроде как пока только в 1210 выпилили, у меня слава Богу таких нет, но я на всякий случай перешел на aes-128-gcm

[Вопросы по интеграции OpenVPN в NDMS]

1 час назад, Byuri сказал:

Перестал работать OpenVPN на роутере KN-1310. Обновился до последней прошивки.

В логе такая ошибка:

Сен 3 15:18:54 OpenVPN1
Cipher BF-CBC not supported
Сен 3 15:18:54 OpenVPN1
Exiting due to fatal error
Сен 3 15:18:54 ndm
Service: "OpenVPN1": unexpectedly stopped.

Что делать?

 

Ну вот и настал конец лайтовому протоколу шифрования. у меня вся сеть на нём, походу надо готовиться к переходу на новый более ресурсоёмкий шифр.

[MWS и соответствия VLAN портам]

Я тут проэкспериментировал, если питание на ТД пропадает кратковременно и контроллер не успевает это засечь, то все нормально, а если на контроллере ТД "посерела" тогда при следующем включении весь конфиг перезаписывается.. Короче свитч..

[MWS и соответствия VLAN портам]

2 минуты назад, r13 сказал:

Или настроить все руками, без mws

Ну нет, у меня уже 11 точек, а будет 15 вместе с контроллером, и я не готов все это руками сопровождать... свитч гораздо проще, тем более уже подобрал маленький 5 портовый управляемый зухель, ну а в целом будем надеется на адекватный механизм в прошивке. Куда маякнуть чтоб взяли на заметку?

[MWS и соответствия VLAN портам]

Так и есть переопределяет после ребута. Печально... 

Получается этот вопрос можно решить только расположив рядом управляемый свитч..

[MWS и соответствия VLAN портам]

Зашел в консоль, настроил нужный порт ручками, вроде все ОК, для меня это не вопрос. Вопрос вызывает лишь надпись в веб интерфейсе "Этот параметр задается контроллером Wi-Fi системы", главное чтоб потом при неких манипуляциях на контроллере, на ТД не прилетело что-то, что переопределит порт. Либо при добавлении новой ТД, либо при добавлении ТД с другим количеством LAN портов, например сатарый Zyxel Keenetic Air, у не которого 1 LAN и 1 WAN, но в режиме ТД, они оба LAN.

Если надпись лишь предостерегает домашних пользователей от ковыряния ручками где не надо это одно, а если предполагается что с контроллера таки может что-то прилететь в interface, тот же  switchport access или switch port trunk, это уже совсем другое, порушить всю MWS одним движением руки как-то не очень хочется, а ведь уже самый что ни на есть кровавый продакшен. ))

[MWS и соответствия VLAN портам]

На контроллере (Ultra) назначаю порты соответствующим VLAN, а на ТД (Air) приезжает совсем другой конфиг, где все порты одинаковы. Вообще можно сделать так чтобы на контроллере и на ТД была одинаковая конфига по портам и соотв. VLAN ?

 

[Найден баг в MWS]

MWS позволяет создать всего три сегмента, при попытке создания 4-го сегмента настройки с контроллера на ТД приезжают очень странно. Если настроена и включена только сеть 2,4Ггц, то все выглядит более менее рабочим. (правда если с ТД скачиваешь starup-config, то в нем 4-го сегмента нет, в отличие от runing-config). Так вот как только включаешь 5ГГц диапазон на 4-ом сегменте, так все настройки портятся. На ТД сегмент отображается уже не тегированным в оличие от контроллера и соотв. ничего не работает. Никакие манипуляции на контроллере не позволяют пофиксить настройки на ТД, спасает только удаление сети. Заявку кинул, тут надеюсь найти тех кто еще столкнулся.

Также похоже найден еще один баг - если переименовать сегмент, то статический роутинг слетает, нужно либо перегружать контроллер, либо дважды менять статический роутинг - на левый хост, а потом возвращать на правильный. По этой проблеме заявку пока не кидал. Но уже дважды наткнулся на этот баг.

[WiFi ARP мобильные устройства аккумулятор, батарея]

3 часа назад, Le ecureuil сказал:

Вы же его можете выключить в любой момент.

Насколько я понял проблема не только в  ip hotspot no auto-scan interface Home, а в том что каждые 30 сек роутер будит телефон и требует ответа на arp запрос, то о чем говорил @KorDen

А по поводу вышеуказанной команды, правильно ли я понимаю, что её нужно давать на все Bridge интерфейсы соответствующие созданным сегментам?

 

ЗЫ: Мне лично не сложно в консоли ввести команду, главное чтоб работало, но с другой стороны я приверженец теории упрощения конфигурирования устройств, поэтому полнофункциональный веб интерфейс был бы плюсом. Можно рассмотреть вопрос basic/advanced режимов, где в basic будут доступны только опции чаще требуемые для домашнего использования, а для advanced режима будет доступен максимум настроек для развертывания больших сетей.

[WiFi ARP мобильные устройства аккумулятор, батарея]

В 07.02.2019 в 12:52, Le ecureuil сказал:

@KorDen спасибо за трезвый взгляд со стороны, есть над чем подумать.

Появились ли идеи как пофиксить арп флуд?

[Технология "802.11k/r/v roaming" пояснения]

Промежуточный результат. Настроил на Ultra II "Домашнюю сеть" она у меня не тегируется, и с 1го LAN порта нативным VLAN 65 заходит в свитч, дальше в свитче тегируется и уходит на внутреннюю инфраструктуру, все работает. Добавил второй сегмент (назовём его Limit_Inet, он только для выхода в инет и никуда больше), его уже сразу на том же 1ом LAN порту тегирую в 66 VLAN.  Настроил соседний порт свитча, настроен точно также - тип транк, нативный VLAN 65 "Домашняя Сеть" плюс тегируемый VLAN66 туда воткнут Air (KN1610). На самих кинетиках домашнюю сеть с VLAN 1 на другую не менял, как раз по причине того, что распакованный с коробки Air понимает только акцессный порт. В спойлере настройки порта на свитче, чтоб понятнее было.

Скрытый текст

 

[5500G-EI]display interface GigabitEthernet 1/0/9
 GigabitEthernet1/0/9 current state : UP
 Port hardware type is 1000_BASE_T
 100Mbps-speed mode, full-duplex mode
 PVID: 65
 Port link-type: trunk
  VLAN passing  : 65-66
  VLAN permitted: 65-66
  Trunk port encapsulation: IEEE 802.1q

 

 

 

Далее для надежности сбрасываю Air в заводские установки и цепляю к Wi-Fi системе, все настройки приезжают ПОЧТИ корректно. Изначально с завода все кинетики имеют "Гостевую сеть", я её вообще не трогал, но настройки этой сети переехали в мою сеть Limit_Inet на ТД Air(оба диапазона выключены, номер VLAN отсутствует и тд), и только когда я удалил сегмент "Гостевая сеть" на Ультре, тогда настройки Limit_Inet приехали корректные. Думаю это явный баг в Wi-Fi системе, потому призываю @Padavan, готов предоставить подробные логи. Версия ОС на обоих кинетиках 2.15.C.5.0-0.

[Технология "802.11k/r/v roaming" пояснения]

Спасибо, направление куда копать понял, как сделаю отпишусь. Скорее всего у меня будет даже 3 сегмента. Один для гостей выпускать в инет, его просто транком пробросить по всем свитчам и вывести на ТД тем же транком. Другой сегмент для VIP персон кому и VoIP нужен и в ВК почилить, он скорее всего и будет домашней сетью, а на свитче будет нативным VLAN'ом без тегирования. И еще один сегмент для древних мотороловских сканеров (терминалов) на складе, там только 2.4ГГц диаппазон будет включен, и он также тегированным VLAN'ом пробросится по всем ТД. Насколько я понял кинетики умеют гибридный режим натив + тегированные вланы. Завтра буду экспериментировать. 

[Технология "802.11k/r/v roaming" пояснения]

Начал экспериментировать, вроде как все должно работать, транк завел, два сегмента включил, но пока что заткнулся на том что для "Домашней сети" не могу поменять VLAN ID с 1 на свой 389, вопрос не по теме конечно, но это вообще возможно? Или там гвоздями прибит VLAN 1 и ничего не сделаешь? Ковыряю на Ultra II + Air

[Технология "802.11k/r/v roaming" пояснения]

3 минуты назад, kosyak_kpol сказал:

Вероятно, - нет.

Самый первый пост Padavan-а в теме об этом: "Также IP подсеть в рамках домена должна быть одна."

Я так понял что на каждый сегмент должна быть одна WiFi сеть. Если вообще для работы FT должна быть только одна подсеть то это печально... 

[Технология "802.11k/r/v roaming" пояснения]

Хочется запилить две Wi-Fi сети на последней ультре и нескольких Air'ах, одну типа гостевой для инета чисто, а вторую внутреннюю чисто для VoIP в интрасети, но чтоб 802.11k/r/v и все плюшки типа FT работали на обеих сетях. Ессно они будут в разных сегментах, сегменты будут подводится к ТД и контроллеру VLAN'ами (транками по сути). Осуществимо?

[Облачное доменное имя c сертификатом на keenetic.link]

1 минуту назад, Илья Картавенко сказал:

Значит конденсаторы не качественные ставят. У меня был асус RX-3041, он стал терять локальную сеть. Вообще конденсаторы это болезнь всей электроники.

Корпорациям не нужно чтоб работало, им нужен кешфлоу. Одноразовый мир... 

По теме, роутер успели сдать по гарантии, потому сервисных кодов уже не посмотреть, ладно будем ждать когда сертификат отвалится по идее Lets Encrypt 3 месяца.

[Облачное доменное имя c сертификатом на keenetic.link]

7 минут назад, Илья Картавенко сказал:

Да, очень интересно было бы почитать.. У меня extra в черном корпусе работает 3-ий год. А асус отработал шесть лет.

Асусы были WL-500 и RT-N16, и самое частое это дохли конденсаторы по питанию, это прям массово, запрограммированное старение. Надеюсь в кинетиках такого нет. ))

[Облачное доменное имя c сертификатом на keenetic.link]

2 минуты назад, Илья Картавенко сказал:

Нууу, я думаю, что роутеры вылетают не часто. Так что можно, коды собирать автоматически. Думаю, для реализации более простого решения, нужно все равно обратиться в поддержку, что бы они сделали в будущих релизах какой-то иной механизм переноса домена.

Кстати про нечастно.. за пол года уже второй, но первый Extra пролежал новым на полке с полгода (куплен в Киеве) и при установке просто не включился, вернули по гарантии, сейчас вот первый раз когда столкнулись с переносом. Да, асусы конечно не в пример чаще вылетали там просто десятками в месяц меняли, кстати у меня будет статистика по надежности кинетиков (основная масса Омни, и чутка Ультра II) буду делиться ей тут.

[Облачное доменное имя c сертификатом на keenetic.link]

2 минуты назад, Илья Картавенко сказал:

Прочитайте в этой статье написано что нужно делать https://help.keenetic.com/hc/ru/articles/213965569-Использование-сервиса-удаленного-доступа-KeenDNS-для-версий-NDMS-2-11-и-более-ранних- 

Спасибо, в данном случае пригодится, но когда роутеров гора нужны автоматизированные решения.

[Облачное доменное имя c сертификатом на keenetic.link]

Спасибо, в ТП обращусь конечно. Но как я уже говорил роутеров у нас уже порядка 30, а будет 230, понятно что хочешь не хочешь они будут вылетать, и нужно какое-то более универсальное решение, которое можно заскриптовать, пока что в голову ничего не приходит кроме как натравить краулера и собирать коды переноса раз в неделю, думал может что проще есть..

[Облачное доменное имя c сертификатом на keenetic.link]

Сгорел роутер (Омни), к нему было привязано доменное имя на https://my-name.keenetic.link сейчас при входе по этому адресу высвечивается страничка "Not Reachable (0xff)"... куплен новый роутер, но хотелось бы вернуть старое имя, но понятно что код переноса доменного имени я уже никак не получу, и заранее его запасать тоже смысла нет, т.к. он всего на 7 дней.. Подскажите выход из ситуации, и сколько по времени ждать пока освободится доменное имя?