dvg_lab

Я понимаю что нельзя, но если очень, очень, просто очень, нужно вместо IP адреса вбивать в МСЭ доменное имя, каким образом это можно реализовать, пусть даже это будет очень сложно, но нужно чтоб IP адрес резолвился при включении роутера, и грубо говоря подставлялся в МСЭ уже в виде IP адреса. На ум приходит opkg... но это флешка, а у меня роутеры без флешек. Если никак то придется придумывать костыльное решение - резолвить с линуха, а потом REST'ом менять данные в МСЭ, но блин овер 200 роутеров

Спасибо огромное еще раз! По continued так и сделал, закциклил до нужного ответа. С ip static все получилось, намедни правда применил хак, отправил POST к /rci с таким запросом {"parse":"ip static Home ISP"} и это сработало, подсмотрел в /a на вкладке Parse )) После того как увидел спросил сам себя - А что так можно было?... )) Вобщем теперь роутер настраивается перловым скриптом за 5 минут, следующий этап прикрутить к нему веб морду и отдать в эксплуатацию. ЗЫЖ Чем лучше сохошный кинетик для кровавого энтерпрайза, чем тот же ZyWall или Cisco 810 и даже RV320, а тем что кинетик можно купить в первом попавшемся магазине. Натравить на него конфигурилку, заббикс и вот тебе корп. VPN сеть для розничных точек. Раньше мне приходилось билдить прошивки для Асусов (RT-N16 и иже с ними), вкорячивать OpenVPN, обвязку и тд, и дохли те асусы словно мухи, ну а теперь красота. Одна печаль 8-портовую Ultra II похоронили, не найти уж в магазинах, успели только 10шт отхватить.

Запрашиваю POST'ом /rci/components/list и не пойму почему, но иногда, (чаще после какого-то значительного простоя , минут 20 по ощущениям), между GET/POST запросами роутер отвечает кодом 200 и таким контентом: '_content' => '{ "continued": true }', При этом следующий такой же запрос уже отвечает по полной форме. Это куда копать? И еще вопрос, подскажите как в JSON переводится команды "no ip nat" и "ip static Home ISP", чего-то не могу подобрать правильный формат.

Все получилось, спасибо, на perl если кто столкнётся булев тип в хеше устанавливается так {"disable" => \0} и потом функция JSON->new->utf8->encode() обрабатывает это корректно в false, а true это соотв \1.

Запихиваю вот такой JSON Правила попадают на свои интерфейсы и отображаются в веб интерфейсе, все нормально, но они все в состоянии "Выключено", несмотря на параметр "disable":"False" Вроде никакого специфичного запроса на включение больше не отлавливается. Что нужно сделать чтобы они заенаблились?

Спасибо огромное, а за ссылку на /a отдельное спасибо, не знал, а теперь все гораздо проще! По новому способу хранения правил, значит перед тем как отправлять правила в /rci нужно будет еще и версию release проверять, подскажите с какой версии поменяется алгоритм хранения?

Накопилось некоторое количество вопросов по интерфейсу /rci, и так как пока не готов мануал по rci, буду задавать вопросы здесь в отдельном треде и надеюсь на помощь сообщества: Создаю правило в МСЭ через веб морду и смотрю как формируется JSON, например интерфейс OpenVPN0, на котором не было ни одного правила в первых строках удаляет вроде бы не существующий access-list [{"access-list": { "acl":"_WEBADMIN_OpenVPN0", "no":true } }, { "access-list": [{"permit": {"source":"0.0.0.0", ... далее понятно И ответ подтверждает удаление "message": "_WEBADMIN_OpenVPN0" access list removed." Вопрос, это необходимая процедура перед началом создания первого правила на интерфейсе, сначала удалить, а потом он автоматически создастся при первом же permit/deny правиле? И второй вопрос, можно ли одним JSON запросом сформировать сразу все правила (у меня их около 18) на все интерфейсы и тем же запросом сказать {"system":{"configuration":{"save":true}}} ?

Да, да спасибо, уже нашел, тему можно закрывать.

Привет всем, Сабж есть? Ато найти не могу, ткните пальцем, очень надо. Keenetic Ultra PS: Нашел, вопрос, закрыт (никогда бы не подумал туда лезть )))

Да с новой прошивкой что-то сломалось. OpenVPN не подымается, иные роутеры по 2-3 раза приходится ребутать пока зацепится.

Спасибо, изучил вопрос, прописал везде sndbuf и rcvbuf в 0. На Ultra II и BF-CBC получилось теже 45 мегабит, этого нам более чем.

Спасибо, да, на Home интерфейсе удалось собрать необходимую рабочую конструкцию и все заработало как надо. Потом уже на ISP интерфейсе увидел что дефолтное правило действительно выглядит вот так ip access-group _WEBADMIN_ISP in а по идее мне нужен был out. PS: В качестве эксперимента поменял на out в консоли и тут же отвалился ))))

Нужна хитрая конфигурация, пока не понял как сделать. С LAN в ISP нужно разрешить выход в инет только определенным IP адресам (скажем для 192.168.1.128/26 куска) я пытался сделать два правила в МСЭ на ISP интерфейс, первое пермит с указанного куска сети на любые адреса, второе запрет всего и вся. Но даже если оставить одно правило с запретом, то все равно пинги наружу идут. Это очень странно или я делаю что-то не так? Далее для всего LAN нужно разрешить выход в инет только на определенные IP адреса... Пока такая конструкция не работает как ожидается access-list _WEBADMIN_ISP permit ip 0.0.0.0 0.0.0.0 178.248.xxx.xxx 255.255.255.255 permit tcp 192.168.1.128 255.255.255.192 0.0.0.0 0.0.0.0 deny ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 Выход в инет в итоге есть у всех IP адресов и куда угодно.

Имхо сервер в таких железках на данном этапе это баловство. А вот скоростной клиент это в приоритете. Как у SoftEther с этим? Я так понимаю там свой клиент, совместимый с OpenVPN.

Понял, уже заказал пару Ultra II... надеюсь выжать поболее, хотелось бы мегабит 30 хотябы...

Тестирую скорость, клиент на Extra II (2.12.A.5.0-4) WAN статика 100Мб и сервер на FreeBSD 11.1 (OpenVPN 2.4.5) 1 Гбит фактически подключены к одному свитчу, показывает скорость закачки в районе 1Мб, это так и должно быть или я где-то чего-то недокрутил? В обход OpenVPN с того же сервера скорость честные 100Мбит. Конфиг сервера Конфиг клиента И что странно, при применении параметров chipher none и ncp-disable скорость вырастает всего до 16 мегабит...

Спасибо за развернутый ответ! По железке пусть это будет любая другая модель, главное чтобы 7 LAN + 1WAN (всё гигабит), 2 USB, и один из 7 LAN портов с поддержкой PoE, так как счетчики посетителей у всех вендоров на PoE питании. И тогда вы заткнёте за пояс еще и Microtic с их RB2011, я за ними тоже пристально слежу, но они до сих пор не могут реализовать UDP OpenVPN, хотя грозятся вот-вот в победить и в 7й версии RouterOS он якобы будет. Для ритейла стандартный набор - в точке продаж стоит комп с 1С, иногда плюс планшет, все это требует подключения к базе в центральном офисе, в большинстве случаев по OpenVPN (как одной из самых стабильных VPN технологий), причем соединение требуется с резервированием, т.к. все работает в режиме онлайн, плюс для техперсонала возможность зайти на кассовый комп отработать Trouble Call по RDP. Весь мониторинг завязан на Zabbix (snmp) с Autodiscovery, и алертами напрямую в техсаппорт. Поэтому идеальная железка та которую я описал она у вас уже есть фактически, плюс к этому софтовая обвязка для системы управления и вот он идеал. Если кого-то заинтересует проект единого центра управления роутерами для нужд распределенного офиса можем начать опенсорс разработку совместно на github. Я то по любому буду делать. PS: В одном из магазинов мы насчитали 18 блоков питания от разных устройств в удлинителях (кассовый терминал, валютный детектор, роутер, счетчик посетителей, модуль ОФД, БП планшета, БП свитча, БП системы контроля доступа, резервный роутер от МТС и тд, и тп), и будет счастьем выкинуть хотябы свитч, PoE адаптер для счетчика и вместо резервного роутера воткнуть USB свисток. Спасибо за помощь, будем обращаться, судя по всему я тут надолго! ))

Спасибо большое за ссылки, NAT победил, все нормально. NAT Loopback пока вроде не мешает, таким образом констатирую факт что на данный момент Keenetic является вполне конкурентным решением. Пожалую тормозну КП от Cisco, на которые уже собрался было переходить, так то RV320 тоже умеет OpenVPN, но он явно дороже и не в каждом магазине продается. Антенны да придется очевидно разбирать роутеры и "складывать внутрь" - причина отказа от съемных антенн я так понимаю выходящие из строя усилители без нагрузки? Мне понравилась модель Ultra II с 7 LAN портами и 2 USB, что решает все наши вопросы по локалке, нехватает только PoE, но его так понимаю можно не ждать, не того уровня девайс. Спасибо за ответы на вопросы!

Спасибо, за быстрый ответ. Да собсно я писал чуть выше, я как раз НЕ хочу видеть NAT на интерфейсе OpenVPN, сейчас дело в том, что все пакеты следующие по пути от компа подключенного к Кинетику в сеть за OpenVPN сервером подвергаются нату на интерфейсе OpenVPN0, хотелось бы чтобы этого не было, либо это было опционально. У меня обширная сеть магазинов по всей России и странам СНГ, и каждый магазин это отдельная сетка /24, и все эти сетки имеют доступ в часть офисной сети, которая также /24, так вот сейчас на тестовом сетапе я с офиса могу достучаться до компа за Кинетиком, и пинги приходят с моего офисного IP, т.е. все идет по роутингу, все нормально, а вот обратно с если пинговать некий сервер в офисной сети я вижу что пакеты приходят с IP адреса интерфейса OpenVPN0, а это значит что на этом интерфейсе включен маскарадинг. Прочитав ветку выше я уже нашел подобный вопрос и народ писал что либо выключать NAT для всех интерфейсов (что совсем не входит в планы) либо никак. NAT сильно мешает так как хочется OSPF (по факту сеток у меня тут гораздо больше). Так как Вы писали про планы относительно Policy Based Routing я и подумал что возможно с приходом PBR появится возможность выключать NAT на OpenVPN интерфейсе. Спасибо еще раз за отклик. PS: Опишу как работаем сейчас. В данный момент мы используем Asus RT-N16/WL500-W на собственной прошивке основанной на прошивке от энтузиастов (бывшая прошивка от Олега), у меня отдельное сборочное окружение, в прошивку вкомпиливается OpenVPN, также наши скрипты управления, автоконфигурации, snmp и тд. Автоконфиг основан на мак адресе, все что мне надо это просто прописать мак адрес в своей системе инициализации, роутер же при включении грузит бутстрап скрипт, который проверяет наличие конфигурации по своему мак адресу, после авторизации скачивает конфиг, разворачивает его в nvram, перегружается и вуа-ля готовый роутер, который можно отправлять в магазин, предварительно прописав WAN настройки провайдера. Минусы подобной схемы только в наличии самих Асусов, эти модели тыщу лет как не производятся, а моя прошивка с новыми моделями не совместима. Поэтому в идеале хочется а) совсем уйти от самосборных прошивок и добиться стандартизации, чтобы с выходом новой модели не переделывать все кардинально, серия Keenetic как раз подкупает единой операционной системой на всех моделях и уже встроенным OpenVPN клиентом и наличием моделей в любом магазине любого города, б) Съемных рогов, т.к. у нас не везде используется Wi-Fi, а рога мешают в) централизованного управления - сейчас буду мутить схему на ансибле, JSON +rci, некой обвязке на каком-либо фреймворке, чтобы IT персонал мог конфигать роутеры централизованно из веб приложения, у нас строгий список адресов которые можно посещать с магазина через NAT и его периодически приходится менять. Сделать это на одном роутере не проблема, но когда их 200...

Ух ты, JSON поддерживается, это уже хорошо! Спасибо за примеры, буду мучить Ansible... Малость почитал, rci крутая штука, а уже существует мануал по JSON и RCI? По поводу NATа на OpenVPN интерфейсе ждать ли изменений в будущих прошивках?..

Почитал тему... походу NAT на интерфейсе openvpn не выключается... это печаль.. Господа, правильно ли я понял что когда будет внедрён PBR, то тогда появится возможность вырубать NAT на openvpn интерфейсе?

Я в замешательстве. За Кинетиком сеть 10.4.49.0/24, она роутится, вот ccd: ifconfig-push 10.8.0.3 255.255.0.0 iroute 10.4.49.0 255.255.255.0 в openvpn.conf на сервере также прописано: route 10.4.49.0 255.255.255.0 10.8.0.3 Я с компа за Кинетиком (10.4.49.200) пингую комп уже за OpenVPN сервером, то есть условно между двумя компами находится OpenVPN сервер с двумя интерфейсами и Кинетик, а на OpenVPN клиенте (?) пакеты натятся, хотя не должны. Подробнее: пинг уходит по такой цепочке Комп 10.4.49.200 -> Keenetic 10.4.49.1 (OpenVPN клиент 10.8.0.3) -> Сервер 10.8.0.1 (второй интерфейс сервера 192.168.200.11) -> комп 192.168.200.5 и вот тут я вижу что пакеты приходят с 10.8.0.3, хотя должны приходить с 10.4.49.200. В конфиге кинетика не нашел где может натится на OpenVPN интерфейсе. Да topology subnet... Подскажите куда копнуть плс. Причем с сервера пинги на 10.4.49.200 проходят..

Заработало и пока повторить подобное поведение не удается (пока еще на отладочной прошивке), сейчас экспериментирую с lz4-v2, там не все так очевидно, клиент вангует что применяется опция comp-lzo но это я так понимаю косяки самого openvpn и к интеграции отношения не имеют. Планируется ли к выпуску железка со съемными рогами? У меня под кассой места категорически нет, рога мешают Не совсем по теме маленький вопрос - ткните чем автоматизировать настройку новых роутеров, как заливать openvpn.conf в железку, ато мне их 200шт подымать, руками копипастить или curl к вебу прикручивать это изврат кмк.

Забыл сказать, что я на отладочной 2.12.А.4.0-9, после нескольких перезагрузок стал нормально работать и этот мелкий роут исчезает при обрыве WAN. Изначальная настройка на OpenVPN подключаться через любой доступный интерфейс. Возможно проблема именно в бетта версии прошивки.. попробую откатить на сток и потестить там. PS: Похоже я похороню все свои 200 асусов и перезакуплюсь зухелями )) Казалось бы простой функционал - OpenVPN клиент с резервированием аплинка и вменяемым файрволингом из коробки нормально работает только на Кинетиках. Из хотелок остались съемные рога (не везде нужен WiFi), питание через POE, соответственно и POE инжектор хотябы на одном порту и 8 портов LAN, и конкуренты будут долго и нервно курить в сторонке, это будет Killer фича для бизнеса с мелкими филиалами по всей стране, куда железку дороже 10к просто экономически невыгодно ставить.

Коллеги, подскажите зачем создается роут /32 в сторону OpenVPN сервера? Суть в чем, у меня например статический WAN, дублирующийся USB модемом через MTC, так вот openvpn клиент поднимает соединение, все хорошо, потом у меня падает статический WAN, пингчекер это видит, сразу же дефолт переключает на USB модем, но OpenVPN не может пере-поднять соединение потому что в таблице маршрутизации стоит жесткий роут на IP адрес OpenVPN сервера через тот упавший интерфейс. При этом интернет функционирует, сайты открываются и все нормально, но на сайты таких вот роутов нет.. Пока что кроме ребута роутера ничего не придумал, понимаю что можно каким-то макаром этот /32й роут переставлять на свисток... но мож я что не так делаю подскажите плс как победить резервирование OpenVPN подключения в автомате?