Jump to content

Alexey Lyahkov

Forum Members
  • Content Count

    32
  • Joined

  • Last visited

Community Reputation

4 Neutral

About Alexey Lyahkov

  • Rank
    Member

Equipment

  • Keenetic
    Keenetic Giga III / Keenetic Viva

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. вопрос снят. после обновления в конфиге появилось isolate-private. вынес - заработало.
  2. День добрый. После обновления одного из кинетиков (giga) на 3.6.3 начались чудеса. дано ipip0 security private , отключен nat на ipip0 (no ip nat Home, ip static nat Home ISP), в ipip0 завернут роутинг для сети 192.168.1.0/24, локальная сеть 192.168.3.0/24. Судя по захвату пакетов пакеты в ipip0 не ходят 😕 при этом с самого роутера сеть 192.168.1.0/24 отлично пингуется. Подскажите что проверить стоит.
  3. Пример web сервера не очень удачный - хотя.. смотря как посмотреть. Если мой склероз не изменяет (ну или можно спросить у авторов) nginx поддерживает откат на использование ipv4 если ipv6 не доступен. В крайнем случае можно собрать ядро с поддержкой ipv6 - но при этом userspace делать опциональной компонентой. у и всякие forward / iptables - они отдельными sysctl и пакетами. И того - у вас ровно одно тестирование nginx (listen [::]:80) - ну или можно озадачить Сысоева и сотоварищей - думаю даже после перехода в F5 они возьмут на сапорт ваш nginx.
  4. а Микротик сделал ipv6 опциональным.. Может и вам так же ? Там по сути набор userspace софта который можно и не ставить 😕
  5. Но роутинг странный. 198.18.0.2 via 31.x.x.x dev eth3 table 248 proto static src 198.18.0.1 mtu 1500 advmss 1460 адрес 31.x.x.x не является direct reachable для этого хоста - я честно удивлен что его дали добавить. Гораздо логичнее был адрес 100.x.x.1 который является шлюзом для этого кинетика для ISP интерфейса
  6. попробую, но не гарантирую что это будет быстро. Кроме того отваливание интерфейса - меня волнует достаточно слабо. Как раз таки умирающий трафик был бы лучше - иначе пришлось быть делать отдельно blackhole для этих IP адресов. Ибо специфика доступа из Крыма к некоторым адресам на территории US. PS. только сейчас обратил внимание что destination ip печатается криво в ifconfig ipip0 PPS. нашел таки роутинг на пира в ipip0 в 248 таблице
  7. Не будет работать в моем случае - по двум причинам. 1. На той стороне Mikrotik 4011 - к которому надо подбирать отдельные настройки. Возможно получится - возможно нет. 2. На стороне "клиента" - динамический "серый" адрес. В то время как ip tunnel ipip требует указания на обоих сторонах destination ip. PS. и все это что бы при создании ipsec peer не добавлять его адрес в роутинг.. собственно это больше для других кто наступит на эту же бяку.
  8. Я лишь хотел сказать - если нужна именно надежность - то журналируемые FS это далеко не панацея. И выключение питания - убивает данные на журналируемых FS - ровно так же как на обычных. Тем более на единичном винте который вы можете подключить к Кинетику. С этой колокольни нету разницы между ext4/xfs/exFAT. И жаловаться на повржедение данных не стоит. Можете попробовать сделать ext4 + data=journal + запретить delayed allocation (nodelalloc опция) - и уменьшить commit iterval до 5с. Но нужно понимать что data=journal - может убить ssd под +/- нагрузкой на запись за год. Из своих тепличны
  9. в смысле автоматический? вы имеете ввиду ipsec в туннельном режиме? Тогда прикиньте сколько нужно политик прописать когда с обоих сторон туннеля по 5-7 сетей. Я молчу о том что с другой стороны Mikrotik 4011 - как vpn шлюз. У того проблемы с несколькими сетями в рамках фазы 2 есть проблемы. Или вы о l2tp ?
  10. Хм.. вроде привел пример. Давайте еще раз. 1. По совету KorDen был сделан ip route add default ipip0 и через политику назначено 2м хостам в локалке. ip route default IPIP0 2. Через политику назначено некоторым хостам. ip policy vpn-gw description vpn-gw permit global IPIP0 permit global Wireguard0 permit global ISP ! 3. crypto map home2 set-peer xxxxx.keenetic.name .. ---- Таблица роутинга как ее видел кинетик - я показал выше. > show ip route =====================================================================
  11. Позволю себе заметить - что шанс потерять данные есть почти всегда. У журналируемых FS - как правило журналируются только метаданные - а вот данные... Тормозное это все. Вполне себе журналируемая XFS славилась тем что после вырубания питания оставляла кучу файлов с длиной 0. Сейчас это исправлено .. но.. Хотите уйти от проверки диска - zfs/btrfs - ваше все. За счет механизма copy-on-write - там наиболее гарантированное сохранение всего. Но ценой за это будет скорость и специфические проблемы при близком к полному заполнении диска.
  12. @Le ecureuil маленькое дополнение по глюкам. Воспользовавшись советом default в ipip0 наткнулся на баго/фичу. IPsec тунель не добавляет свой peer в роутинг на дефолтовый интерфейс. В результате ipsec тихо умирает и не может найти пира. Хотя show ip route видит default в нужный интерфейс 😕 Добавление руками адреса пира в роутинг решает проблему - но не кошерно система должна сама это делать. С туннельными адресами меня берет сомнение.. но выглядит как тоже надо бы добавить - во избежание глюков.
  13. ~ # opkg list | grep openconnect openconnect - 8.10-3 - A VPN client compatible with several SSL VPN implementations (ocserv, Cisco AnyConnect, Juniper, Palo Alto) OpenConnect is an SSL VPN client initially created to support Cisco's AnyConnect SSL VPN. It has since been extended to support the Pulse Connect Secure VPN (formerly known as Juniper Network Connect or Junos Pulse) and the Palo Alto Networks GlobalProtect SSL VPN. A corresponding OpenConnect VPN server implementation can be found in the ocserv package. только генерировать пароль от токенов прийдется на чем нить.
  14. спасибо, за подсказки! заработало адекватно. хотелось еще PBR в виде - вот эти хосты ходят в интерфейс только если это не к этим адресам - но в тех местах где стоят кинетики - это наверно не нужно. А в тике это было реализовано одним правилом с 2мя IPSET списками.
  15. (config)> ip route default IPIP0 auto Network::RoutingTable error[5046298]: automatic default routes are invalid. > show interface ipip0 id: IPIP0 index: 0 type: IPIP description: interface-name: IPIP0 link: up connected: yes state: up mtu: 65516 tx-queue: 1 address: 198.18.1.1 mask: 255.255.255.252 uptime: 12856 global: yes defaultgw: no priority: 350 security-level: private tu
×
×
  • Create New...