r13
-
Posts
5,217 -
Joined
-
Last visited
-
Days Won
64
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by r13
-
-
44 минуты назад, Le ecureuil сказал:
Так оно уже есть.
Делаете opkg dns-override, и прошивочный резолвер соскакивает на 10053 UDP/TCP.
Спасибо, не знал, и в документации про соскакивает тоже нету.
А точно соскакивает?
Смотрю конфиг при этой настройке:
rpc_only = on
И никаких портов не прописано.
-
Еще дополню:
Добавить возможность запускать прошивочный резолвер на нестандартном порту.
Применение:
Основная служба на 53 порту например dnscpypt
из которого переход на прошивочный резолвер для разрешения имен локальных устройств.
В этом случае нет необходимости настраивать трансляцию адресов для входящих dns запросов.
-
29 минут назад, SigmaPlus сказал:
Да нет. Порт 80. Сейчас заглянул в журнал вижу даже ряд ошибок проскочил, вот так:
Acme::Client: no Content-Length returned.Oct 28 16:57:01ndmAcme::Client: system failed [0xcffd0117].Oct 28 16:57:01ndmAcme::Client: system failed [0xcffd03b2].Посмотрите в cli
show acme
Может чего путного скажет.
- 1
-
2 часа назад, svoron сказал:
Кстати, в новой морде в статистике подключений IPsec/L2tp пусто, хотя прямо сейчас подключен клиент. В старой морде подключение отображается.
В новой видимо еще не сделали, а в старой показывается там где туннели, поэтому тоже не совсем корректно
-
7 минут назад, drianuz сказал:
Ввел команду
(config)> crypto engine hardware
IpSec::CryptoEngineManager: IPsec crypto engine set to "hardware".
(config)>Но скорость и загрузка ЦП не изменились. Даже перезагрузил после этого.
Тогда точно селфтест разработчикам выкладывайте.
-
26 минут назад, drianuz сказал:
А как проверить включен или нет?
Проверить в конфиге есть ли
crypto engine hardware
или просто выполнить эту команду в cli
-
2 часа назад, drianuz сказал:
DES стоит.
Поставил AES128 - скорость выросла до 5.5 Мбайт в сек при 100% загрузке ЦП.
Все равно сильно меньше чем должно, проверьте точно ли включен аппаратный ускоритель. Ну или селфтест для разработчиков.
-
20 минут назад, drianuz сказал:
Скажите пожалуйста.
Настроил между Ультра2 и Экстра2 ipsec тоннель. Скорость при копировании файла с компа на комп через тоннель максимум 2.5Мбайт сек. при 100% загрузке процессора в экстре2. На ультре 5%-7%. Прошивки везде последние 2.09
Это вообще нормально? Не ужели настолько слабое железо? Что можно сделать?
Проверяйте на экстре включено ли аппаратное шифрование, и какой шифр настроили?
на экстре только aes аппаратно ускоряется
-
В настройке у вас указан параметр client-config-dir ccd
А в ccd папке файлы с iroute есть?
Если нет, то читайте как работает iroute и настраивайте далее.
Через iroute openvpn сервер получает информацию за каким именно клиентом находится требуемая подсеть.
ЗЫ в обратную сторону работает из-за nat на гиге.
- 2
-
5 минут назад, Le ecureuil сказал:
Нет, это слишком специфичный сценарий. Его нужно делать руками в CLI.
@Le ecureuil А как кстати можно настроить OpenVPN через cli?
-
-
-
Только что, KorDen сказал:
а интерфейсы private/public где как?
за тесты спасибо, попробую тогда все же у себя вместе с тестированием фрагментирования EoIP заодно и это проверить.
с обоих сторон private, на ультре соответственно ip nat IPIP
-
Собрал стендик, к ультре цепляется старт по IPIP c настройкой ip global через IPIP
Запускаю трассировщик из cli старта(на клиентах за стартом нет возможности проверить, их нет)
В такой схеме все ок.
Во всяком случае трасса до того же ip(74.125.205.102) c ультры такая же и хопы c 8-17 также не отвечают.
Если трасса до другого ip гугла (172.217.20.174) то там не отвечает только 1 хоп, но так же паритет что с IPIP, что без.
1й хоп - конец туннеля на ультре далее идут ответы уже от интернет узлов:
Скрытый текстstarting traceroute to google.com...
traceroute to google.com (74.125.205.102), 30 hops maximum, 60 byte packets.
1 172.32.5.1 (172.32.5.1) 1.200 ms 1.021 ms 0.915 ms
2 broadband-77-37-136-1.moscow.rt.ru (77.37.136.1) 8.159 ms 5.513 ms 4.053 ms
3 7950-111-lag100-89.msk.ip.ncnet.ru (77.37.254.94) 3.324 ms 3.421 ms 3.147 ms
4 m9-cr01-be4-89.msk.ip.ncnet.ru (77.37.254.93) 3.906 ms 3.931 ms 3.791 ms
5 72.14.209.81 (72.14.209.81) 5.577 ms 6.086 ms 4.490 ms
6 108.170.250.134 (108.170.250.134) 4.546 ms 108.170.250.99 (108.170.250.99) 4.308 ms 108.170.250.34 (108.170.250.34) 4.117 ms
7 64.233.174.85 (64.233.174.85) 18.912 ms 209.85.240.116 (209.85.240.116) 50 .275 ms 26.579 ms 8 216.239.56.216 (216.239.56.216) 18.658 ms 18.623 ms 216.239.40.174 (216.23 9.40.174) 18.821 ms
9 * * *
10 * * *
11 * * *
12 * * *
13 * * *
14 * * *
15 * * *
16 * * *
17 * * *
18 * * *
19 le-in-f102.1e100.net (74.125.205.102) 18.545 ms 18.552 ms 18.405 ms- 1
-
Ладно завтра попробую сценарий с ip global
-
23 минуты назад, KorDen сказал:
Да, первый хоп (локальный роутер) проходит, со второго обрывается, но в паре случаев (если маршрут уходит в WAN с кучей хопов) видел что с этак пятого узла начинается нормальная трассировка (за вычетом пропущенных хопов).
У меня в тестовом туннеле между 2мя напрямую соединенными по лан роутерами вроде все ок с трассировкой. А откуда у вас хопы в wan ? Вроде как независимо от того через сколько хопов идет туннель для трассировки весь туннель должен быть одним хопом?!
-
@KorDen я поавильно понимаю что у вас трассировка обрывается на первом же хопе (локальный роутер) и более ничего нет?
-
-
24 минуты назад, Andrew Voronkov сказал:
И очень не хватает пуш уведомлений по смене канала - с основного на резерв. Привык к ним на асусе (сторонний скрипт + гейт email-push через pushover). Так без уведомлений можно и на деньги попасть, решив посмотреть фильмец через резервный свисток.
Кстати, сегодня заказал Ультра2, так что в выходные буду изучать уже не теорию, а практику.
Всем участвующим в теме огромное спасибо, получаю истинное удовольствие от уровня квалификации и дружелюбности участников! Это был последний довод для перехода с асуса66 на ультру2.
Так сторонний скрипт и тут пожалуйста благо и entware и инструкции лежат. Мой к примеру при изменениях на wan присылает сообщение в телеграм.
-
В 18.10.2017 в 15:42, Le ecureuil сказал:
А что, уже лезут по https?
На самом деле там механизм авторизации все равно един, потому нет необходимости задавать lockout-policy на https - оно уже работает.
Потыкался к себе (2.11A5):
Если по http идти, то неуспешные попытки войти не логгируются. Появляется только лог о бане ip
Если по https идти, то неуспешные попытки логгируются, но бан не наступает.
Так что для https пока не работает.
- 1
-
@KorDen Я сейчас на L2TP/IPSec переполз. Попробую воссоздать при случае.
-
14 минуты назад, Andrew Voronkov сказал:
То есть если я поставлю по приоритету «проводной от провайдера - wisp от соседа - 4g модем» то роутер будет держать и пингать все 3 источника, иметь 3 ip адреса и при этом, видимо, постоянно работать на wifi канале соседского роутера (не может же он работать на двух разных wifi каналах - для пинга резерва и для основной сети в доме?)?
И тогда если упадет основной канал - он переключится на соседа, если соседский тоже упал - то на 4g, когда соседский поднимется - то обратно на соседа. А когда поднимется основной канал - вернется на него. Хм круто то как! Спасибо!
Да именно так, канал wifi естественно будет определяться соседским wifi.
-
1 минуту назад, Andrew Voronkov сказал:
Ого, круто! Даже не ожидал, что так можно. Спасибо большое!
интересно, в случае wisp как резерва - это соединение тоже держится постоянно поднятым (как в случае с резервом через 4g модем)? Тогда получается, что роутер будет работать постоянно на wifi канале резерва, если там есть служебный коннект (и происходит пинг чек), хоть интернет и идет через основной проводной источник?
Все соединения на кинетике активны постоянно, wisp не исключение. Будет, Пинг чек через резервы реализуется через перестройку таблицы маршрутов для пинг чека.
-
30 минут назад, Andrew Voronkov сказал:
По этому вопросу нет информации?
Спасибо!
Можно, только тут нет репитера, просто будет резервный WAN через WISP.
Возможность указания порта для DNS-сервера
in Реализованные пожелания
Posted
@Le ecureuil Не, не соскакивает. Нет на 10053 порту никакого резолвера.
Так что просьба остается в силе.
Или еще какую то хитрую команду надо ввести?