hard_alex@mail.ru
-
Posts
42 -
Joined
-
Last visited
-
Days Won
1
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by hard_alex@mail.ru
-
-
Через некоторое время работы 2-3 недели примерно, получаю следующее:
[E] Jan 25 21:23:22 ndnproxy: unable to create socket: invalid argument.
[E] Jan 25 21:35:07 ndnproxy: Core::Syslog: last message repeated 964599 times.
Процессор загружен на 100% и вроде если не трогать все работает, но бывает сильно деградирует скорость интернет и L2TP.
Ошибка получена на Extra II 3.9.1 , но похожее получаю на Giga (KN-1010) 3.9.2, только вот self-test с гиги не получилось забрать, она зависла так, что пришлось физически ее выключать из сети.
+- настройки одинаковые, оба используются в одной компании в том числе для объединения сетей.
Self-test прилагаю ниже. -
7 часов назад, hellonow сказал:
@hard_alex@mail.ru вышла 3.09.C.1.0-0, проверьте работу IPSec
Рассказываю.
После обновления система запустилась, и ничего не произошло.
Соединение не установилось, в логах [I] Dec 9 19:20:46 ipsec: 08[IKE] no IKE config found for 217.148.209.202...93.100.79.84, sending NO_PROPOSAL_CHOSEN
Ок. Зашел в сервер L2TP Выбрал режим Для устаревших клиентов(Понимаю что никак не связано, но всеже). Перетнул переключатель Site-to-Site , и запустилось.
Ок. Перезагрузил.
И снова -
[I] Dec 9 19:20:46 ipsec: 08[IKE] no IKE config found for 217.148.209.202...93.100.79.84, sending NO_PROPOSAL_CHOSEN
Skip
[C] Dec 9 19:21:07 ndm: IpSec::Vici::Socket: system failed [0xcffd0482], unload: connection 'AstartaMSK' not found.
[C] Dec 9 19:21:07 ndm: IpSec::Vici::Config: "AstartaMSK": system failed [0xcffd0176], unable to unload conn: input/output error (5).
[I] Dec 9 19:21:07 ndm: IpSec::Configurator: "AstartaMSK": crypto map shutdown started.
Обратно, переключил в L2TP по умолчанию. Зашел в настройки Site-to-Site , поменял рандомную настройку, записал, снова зашел вернул обратно Записал.
(Как бы попросил переписать настройки через веб интерфейс)
Перезагрузился.
И пока все ОК!
Буду тестировать.
Спасибо.
- 1
-
3 часа назад, hellonow сказал:
@hard_alex@mail.ru к выпуску готовится новая версия 3.9 с дополнительными исправлениями для IPSec. Работу проверьте с ней.
Спасибо. Как будет обновлюсь, напишу сюда.
-
Добрый день!
- Модель Keenetic Extra II
Понимаю что модель не самая новая, но таки прошивка 3.9.0 на нее ставиться.
Используется для объединения сетей нескольких офисов между собой.
Оборудование Giga (KN-1010) RU, KN-3810 Hopper, Keenetic Extra II
После обновления на новую прошивку Site-to-Site IPSec VPN не запускается (В Web интерфейсе Интернет - Другие подключения - IPsec-подключения).
Получаю следующую ошибку:[E] Dec 7 20:22:45 ndm: IpSec::Configurator: "AstartaMSK": remote peer rejects to authenticate (possibly wrong ID).
SelfTest Снял, сюда прикреплять не очень охота, так как с боевой системы. Вышлю в ЛС.
При этом на версии 3.8.5 все работает нормально в плане соединения, есть проблемы что роутер через пару дней уходит в 100% загрузку процессора и VPN отваливается и соединяется снова только после ручного переключения переключателя ON_OFF по конкретному VPN.
Сейчас откатился на 3.5.10 , т.к. стабильность в данный момент важнее новых и тоже нужных функций 3.8.
Вообще смотрю стэк IPsec 3.9 капризничает.
Прошу помощи, Хоть он и старичек, но возложенные функции выполняет. -
6 минут назад, Le ecureuil сказал:
Несколько L2TP тоже в теории можно настроить в cli,
Этого ответа достаточно. А уж смогу или нет, это уже другой вопрос
-
1 час назад, Le ecureuil сказал:
Нет, проще настроить несколько vpn-серверов.
Несколько VPN-серверов имеется ввиду, разных типов серверов?
PPTP, L2TP?
Это конечно вариант, но, только Ipsec имеет аппаратное ускорение на Lite III Rev.b
Или несколько L2TP?
-
Вопрос такой:
Возможно ли настроить два разных L2TP профиля?
Есть L2TP профиль для доступа к домашней сети из вне. (Домашний сегмент)
Нужен L2TP VPN для гостевого доступа с выходом в интернет (Гостевой сегмент с изоляцией устройств)
Естественно желательно что бы параметры в том числе PSK отличались.
Прошу сильно не пинать, если ответ был, ибо своими кривыми руками через поиск не нашел.
-
В 29.10.2018 в 13:50, hard_alex@mail.ru сказал:
А тем временем в Firefox в последней версии в настройках сети появилась галочка:
Включить DNS через HTTPS43 минуты назад, r13 сказал:dns over https теперь доступен в релизе лисьего браузера(искать в настройках «dns»)
Несколькими сообщениями выше и на две недели раньше )
- 1
-
Итак обещанная инструкция, по автоматическому обновлению IP через DynDns сервис Кинетиков, для IP4Market брокера.
Конкретно команды точно подходят для Lite III Rev.B (незнаю насколько командная строка разная для разных Кинетиков, но мне кажется эти будут одинаковыми для всех)
Необходимо зайти в режим CLI либо через TelNet либо SSH
Выполняем следующие команды для создания и задания параметров Дополнительного Профиля DDNSdyndns profile ip4market type custom username <ваше имя пользователя> password <ваш пароль> url https://tb.ip4market.ru/?page=update&apikey=<Ваш APIKey>
//Обратите внимание на знак ? перед page= , у меня он при вставке перемещался в конец строки и url был неправильный. Поменяйте ручками.no send-address
//Обязательно, иначе не работает.С настройкой профиля закончили.
Теперь нужно настроить интерфейс при смене IP на котором будет срабатывать DynDNS updateinterface <Имя интерфейса>
В моем случае это PPPoE0, при прямом соединении это будет скорее всего ISPdyndns profile ip4market
Записали пометку что данный интерфейс при смене IP должен обновить dyndns профиль ip4marketdyndns update force
И проверяем результат. Должно быть всё ок, если что-то не так разбираемся где накосячили, см. Лог.copy running-config startup-config
Записываем Конфигурацию.
Все. В startup-config должны появиться такие строки:! dyndns profile ip4market type custom username <ваше имя пользователя> password ns3 шифрованный пароль url https://tb.ip4market.ru/?page=update&apikey=<Ваш APIKey> no send-address
В соответствующем интерфейсе
! interface PPPoE0 .... dyndns profile ip4market ....
Ну и если вы ещё не используете DDNS через Web морду, то в соответствии заполните там поля и установите галочкуЦитатаОпределять мой IP-адрес автоматически
Но все же , если в Web в настройках 6in4 сделать соответствующие поля и они бы скриптом системы создавали нужный профиль, вся эта инструкция не имела бы смысла, все было бы нативно.
Так что Прошу голосовать за!- 1
-
2 часа назад, r13 сказал:
Проверил, работает, только в их api ip не надо указывать, с ним что то у сервиса не срастается. Без него ок, обновляется.
Ок. Сейчас кофе попью и сделаю! Спасибо. Ответом инструкцию прилеплю
-
А тем временем в Firefox в последней версии в настройках сети появилась галочка:
Включить DNS через HTTPS
Это говорит о том Защищенный DNS в том или ином виде это будущее , и скоро все перейдут точно так же как перешли на HTTPS.
Но DNS это все же не дело браузера, это дело Маршрутизатора.
Так что плюсик поставил, это ИМХО обязательная штука в наше время -
Доброго времени!
Сама задача:
Добавить в настройку IPv6in4 возможность обновлять IPv4 адрес на серевере ip4market через API.
Описание проблемы:
Есть интернет соединение от провайдера только Динамический белый IPv4.
Для определенных нужд настроен DDNS.
Нужно IPv6 через брокера т.к. 6to4 оказалось очень медленно, постоянно меняющийся IPv6 это ещё больший ужас чем IPv4
Есть всеми признанный Hurricane Electric, по адресу tunnelbroker.net который позволяет изменять IPv4 локальный через API сильно напоминающий DDNS, и на Кинетиках так и настраивается.
Но, 1- HE это больше Американская история, скорость соответственно , 2 - DDNS уже занят,а 2 DDNS профиля Кинетиками не поддерживается.Update: как меня поправили ниже поддерживается, но только через CLI.
Есть Российский IP4MARKET, Тunnel Broker IPv6, потестировал, все быстро и удобно.
Но обновлять Адрес IPv4 надо вручную, у них есть API вида http://tb.ip4market.ru/?page=update&apikey=<APIKEY>&ip=<IPv4Client>
Хочется.
1. Добавить в настройку IPv6in4 Добавить поле с выбором популярных брокеров HE и ip4market
2. Добавить в настройку IPv6in4 Добавить поля для ввода необходимых данных для API автоматической смены IPv4 (Для ip4market) это APIKEY
3. Дергать ссылку Кинетиком при смене динамического IPv4.
ИМХО , в настройке именно тунельных брокеров IPv6in4 это будет удобно и актуально.
Оставить вариант "Другой", с текущей реализацией.
Update: Ниже есть инструкция написана мной по подсказкам r13, как это вот всё получить при помощи CLI, но хочется прям через Веб -
В 27.08.2016 в 23:42, Le ecureuil сказал:
AES Crypto engine стоит в Start II, Lite III rev. B и 4G rev. B и поддерживается в 2.07 и 2.08. По скорости - в идеале можно выжать до 65-70 Мбит/сек, плюс зависит от типа хэширования, которое всегда выполняется программно.
Какие надо создать идеальные условия для того чтобы получить 60 Мбит.
IpsecVPN tunel между Giga II и Lite III Rev.B
параметры - aes-128/Sha-1 DH14, aes-128/Sha-1
При скорости 35-40 мбит Лайт загружен на 100% (даже конекты некоторые рвутся), гига на 40
ipset-dns для выборочного роутинга
in Каталог готовых решений Opkg
Posted
О! Это зачет.
Вопросы.
1. При включенном DoH в мозиле или на устройстве, работать не будет правильно?
2. IPv6 работать будет? а то с нативным ipv6 с интелом проблемка, что не задавай в маршрутах, ipv6 идет родной.
VPN тоже в ipv6 умеет, но обычно его никто не учитывает , как будто его вообще не существует.