Jump to content

hard_alex@mail.ru

Forum Members
  • Posts

    42
  • Joined

  • Last visited

  • Days Won

    1

Posts posted by hard_alex@mail.ru

  1. О! Это зачет.

    Вопросы.

    1. При включенном DoH в мозиле или на устройстве, работать не будет правильно?
    2. IPv6 работать будет? а то с нативным ipv6 с интелом проблемка, что не задавай в маршрутах, ipv6 идет родной.
    VPN тоже в ipv6 умеет, но обычно его никто не учитывает , как будто его вообще не существует.
     

  2. Через некоторое время работы 2-3 недели примерно, получаю следующее:

    [E] Jan 25 21:23:22 ndnproxy: unable to create socket: invalid argument.
    [E] Jan 25 21:35:07 ndnproxy: Core::Syslog: last message repeated 964599 times.

    Процессор загружен на 100% и вроде если не трогать все работает, но бывает сильно деградирует скорость интернет и L2TP.

    Ошибка получена на Extra II 3.9.1 , но похожее получаю на Giga (KN-1010) 3.9.2, только вот self-test с гиги не получилось забрать, она зависла так, что пришлось физически ее выключать из сети.
    +- настройки одинаковые, оба используются в одной компании в том числе для объединения сетей.

    Self-test прилагаю ниже.

  3. 7 часов назад, hellonow сказал:

    @hard_alex@mail.ru вышла 3.09.C.1.0-0, проверьте работу IPSec

     

    Рассказываю.

    После обновления система запустилась, и ничего не произошло.
    Соединение не установилось, в логах [I] Dec  9 19:20:46 ipsec: 08[IKE] no IKE config found for 217.148.209.202...93.100.79.84, sending NO_PROPOSAL_CHOSEN
    Ок. Зашел в сервер L2TP Выбрал режим Для устаревших клиентов(Понимаю что никак не связано, но всеже). Перетнул переключатель Site-to-Site , и запустилось.

    Ок. Перезагрузил.
    И снова -
    [I] Dec  9 19:20:46 ipsec: 08[IKE] no IKE config found for 217.148.209.202...93.100.79.84, sending NO_PROPOSAL_CHOSEN
    Skip
    [C] Dec  9 19:21:07 ndm: IpSec::Vici::Socket: system failed [0xcffd0482], unload: connection 'AstartaMSK' not found.
    [C] Dec  9 19:21:07 ndm: IpSec::Vici::Config: "AstartaMSK": system failed [0xcffd0176], unable to unload conn: input/output error (5).
    [I] Dec  9 19:21:07 ndm: IpSec::Configurator: "AstartaMSK": crypto map shutdown started.

    Обратно, переключил в L2TP  по умолчанию. Зашел в настройки Site-to-Site , поменял рандомную настройку, записал, снова зашел вернул обратно Записал.
    (Как бы попросил переписать настройки через веб интерфейс)
    Перезагрузился.

    И пока все ОК!

    Буду тестировать.
    Спасибо.
     

    • Thanks 1
  4. Добрый день!
     

    • Модель Keenetic Extra II

    Понимаю что модель не самая новая, но таки прошивка 3.9.0 на нее ставиться.
    Используется для объединения сетей нескольких офисов между собой.
    Оборудование Giga (KN-1010) RU, KN-3810 Hopper, Keenetic Extra II

    После обновления на новую прошивку Site-to-Site IPSec VPN не запускается (В Web интерфейсе Интернет - Другие подключения - IPsec-подключения).
    Получаю следующую ошибку:

    [E] Dec  7 20:22:45 ndm: IpSec::Configurator: "AstartaMSK": remote peer rejects to authenticate (possibly wrong ID).

    SelfTest Снял, сюда прикреплять не очень охота, так как с боевой системы. Вышлю в ЛС.

    При этом на версии 3.8.5 все работает нормально в плане соединения, есть проблемы что роутер через пару дней уходит в 100% загрузку процессора и VPN отваливается и соединяется снова только после ручного переключения переключателя ON_OFF по конкретному VPN.

    Сейчас откатился на 3.5.10 , т.к. стабильность в данный момент важнее новых и тоже нужных функций 3.8.

    Вообще смотрю стэк IPsec 3.9 капризничает.

    Прошу помощи, Хоть он и старичек, но возложенные функции выполняет.

  5. 1 час назад, Le ecureuil сказал:

    Нет, проще настроить несколько vpn-серверов.

    Несколько VPN-серверов имеется ввиду, разных типов серверов?
    PPTP, L2TP?
    Это конечно вариант, но, только Ipsec имеет аппаратное ускорение на Lite III Rev.b


    Или несколько L2TP?
     

  6. Вопрос такой:
    Возможно ли настроить два разных L2TP профиля?

    Есть L2TP профиль для доступа к домашней сети из вне. (Домашний сегмент)
    Нужен L2TP VPN  для гостевого доступа с выходом в интернет (Гостевой сегмент с изоляцией устройств)
    Естественно желательно что бы параметры в том числе PSK отличались.
     

    Прошу сильно не пинать, если ответ был, ибо своими кривыми руками через поиск не нашел.

  7. В 29.10.2018 в 13:50, hard_alex@mail.ru сказал:

    А тем временем в Firefox в последней версии в настройках сети появилась галочка:
    Включить DNS через HTTPS

     

    43 минуты назад, r13 сказал:

    dns over https теперь доступен в релизе лисьего браузера(искать в настройках «dns»)  

    Несколькими сообщениями выше и на две недели раньше )

    • Upvote 1
  8. Итак обещанная инструкция, по автоматическому обновлению IP через DynDns сервис Кинетиков, для IP4Market брокера.
    Конкретно команды точно подходят для Lite III Rev.B (незнаю насколько командная строка разная для разных Кинетиков, но мне кажется эти будут одинаковыми для всех)
    Необходимо зайти в режим CLI либо через TelNet либо SSH

    Выполняем следующие команды для создания и задания параметров Дополнительного Профиля DDNS

    dyndns profile ip4market
    type custom
    username <ваше имя пользователя>
    password <ваш пароль>
    url https://tb.ip4market.ru/?page=update&apikey=<Ваш APIKey>


    //Обратите внимание на знак ? перед page= , у меня он при вставке перемещался в конец строки и url был неправильный. Поменяйте ручками.

    no send-address


    //Обязательно, иначе не работает.

    С настройкой профиля закончили.
    Теперь нужно настроить интерфейс при смене IP на котором будет срабатывать DynDNS update

    interface <Имя интерфейса>


    В моем случае это PPPoE0, при прямом соединении это будет скорее всего ISP

    dyndns profile ip4market


    Записали пометку что данный интерфейс при смене IP должен обновить dyndns профиль ip4market

    dyndns update force


    И проверяем результат. Должно быть всё ок, если что-то не так разбираемся где накосячили, см. Лог.

    copy running-config startup-config


    Записываем Конфигурацию.

    Все. В startup-config должны появиться такие строки:

    !
    dyndns profile ip4market
        type custom
        username <ваше имя пользователя>
        password ns3 шифрованный пароль
        url https://tb.ip4market.ru/?page=update&apikey=<Ваш APIKey>
        no send-address



    В соответствующем интерфейсе
     

    !
    interface PPPoE0
     ....
        dyndns profile ip4market
    ....


    Ну и если вы ещё не используете DDNS через Web морду, то в соответствии заполните там поля и установите галочку

    Цитата

    Определять мой IP-адрес автоматически


    Но все же , если в Web в настройках 6in4 сделать соответствующие поля и они бы скриптом системы создавали нужный профиль, вся эта инструкция не имела бы смысла, все было бы нативно.
    Так что Прошу голосовать за!

    • Upvote 1
  9. 2 часа назад, r13 сказал:

    Проверил, работает, только в их api ip не надо указывать, с ним что то у сервиса не срастается. Без него ок, обновляется.

    Ок. Сейчас кофе попью и сделаю! Спасибо. Ответом инструкцию прилеплю :)

  10. А тем временем в Firefox в последней версии в настройках сети появилась галочка:
    Включить DNS через HTTPS

    Это говорит о том Защищенный DNS в том или ином виде это будущее , и скоро все перейдут точно так же как перешли на HTTPS.
    Но DNS это все же не дело браузера, это дело Маршрутизатора.
    Так что плюсик поставил, это ИМХО обязательная штука в наше время 

  11. Доброго времени!

    Сама задача:
    Добавить в настройку IPv6in4 возможность обновлять IPv4 адрес на серевере ip4market через API.

    Описание проблемы:
    Есть интернет соединение от провайдера только Динамический белый IPv4.
    Для определенных нужд настроен DDNS.

    Нужно IPv6 через брокера т.к. 6to4 оказалось очень медленно, постоянно меняющийся IPv6 это ещё больший ужас чем IPv4
    Есть всеми признанный Hurricane Electric, по адресу tunnelbroker.net который позволяет изменять IPv4 локальный через API сильно напоминающий DDNS, и на Кинетиках так и настраивается.
    Но, 1- HE это больше Американская история, скорость соответственно , 2 - DDNS уже занят, а 2 DDNS профиля Кинетиками не поддерживается. Update: как меня поправили ниже поддерживается, но только через CLI.
    Есть Российский IP4MARKET, Тunnel Broker IPv6, потестировал, все быстро и удобно.
    Но обновлять Адрес IPv4 надо вручную, у них есть API вида http://tb.ip4market.ru/?page=update&apikey=<APIKEY>&ip=<IPv4Client>

    Хочется.
    1. Добавить в настройку IPv6in4 Добавить поле с выбором популярных брокеров HE и ip4market
    2. Добавить в настройку IPv6in4 Добавить поля для ввода необходимых данных для API автоматической смены IPv4 (Для ip4market) это APIKEY
    3. Дергать ссылку Кинетиком при смене динамического IPv4.

    ИМХО , в настройке именно тунельных брокеров IPv6in4 это будет удобно и актуально.
    Оставить вариант "Другой", с текущей реализацией.

    Update: Ниже есть инструкция написана мной по подсказкам r13, как это вот всё получить при помощи CLI, но хочется прям через Веб :)

  12. В 27.08.2016 в 23:42, Le ecureuil сказал:

    AES Crypto engine стоит в Start II, Lite III rev. B и 4G rev. B и поддерживается в 2.07 и 2.08.  По скорости - в идеале можно выжать до 65-70 Мбит/сек, плюс зависит от типа хэширования, которое всегда выполняется программно.

    Какие надо создать идеальные условия для того чтобы получить 60 Мбит.
    IpsecVPN tunel между Giga II и Lite III Rev.B
    параметры - aes-128/Sha-1 DH14, aes-128/Sha-1
    При скорости 35-40 мбит Лайт загружен на 100% (даже конекты некоторые рвутся), гига на 40
     

×
×
  • Create New...