[iptv и internet на 2.08 GIGA III]

С 2.08 и так вроде прямой путь в официальную техподдержку 

[ARP-флуд hotspot, батареи мобильников, таблица устройств.. На кой это все?!]

4 минуты назад, vasek00 сказал:

Раз не для него, тогда в WEB кнопку отключения для выбора. А раз ему тогда все по боку так и пусть у него и вертится/включает все что хочет.

Один будущий пользователь спрашивает опытного пользователя, что ему купить из роутеров, ну он иму все описал и посоветовал из диапазона 3000-4000р. описав что если то-то то можно то-то и т.д. Слушал его будущий пользователь и спросил, а этот показав на 1500р. будет работать, ну как сказать ответил пользователь ..... хозяин барин. В результате купил он за 1500р. Так может оставить две/три модели с минимальными наборами функций (по ним и вопросов будет меньше) остальные посерьезней и цена по выше.

 

Это уже сильно не наше дело, у зухеля есть отдел маркетинга, который и должен решать подобные задачи. 

[ARP-флуд hotspot, батареи мобильников, таблица устройств.. На кой это все?!]

1 час назад, vasek00 сказал:

Научите данного пользователя про которого сказал Le ecureuil ранее постом выше через WEB ее отключить, если он даже не знает что она есть. 

Так это и не для него. Ему все это arp по боку. Интернет есть, вконтактик работает и слава богу 

[ARP-флуд hotspot, батареи мобильников, таблица устройств.. На кой это все?!]

1 час назад, vasek00 сказал:

Как же не думаем, только одно стремление к лучшему из того что есть. Только вот данная фитча есть во всех моделях ценовой категории, а может лучше разделить эту ценовую нишу - типа для простого пользователя и для продвинутого. Но такое вряд ли возможно, так как вступает уже маркетинг, хотя кол-во продаж наверное роутеров от 4000р. и выше намного ниже кол-ва продаж до 4000р.

Да какая разница в какой ценовой категории, главное что кому надо ее можно отключить! 

[ошибка отображения ipsec клиентов в 2.09.A.4.0-1]

Уже было.

Здесь только по голым ipsec туннелям информация выводится.

По virtualip клиентам только количество подключенных на вкладке с настройками.

[Настройка ping-check на интерфейс включенный в Bridge]

@Le ecureuil В продолжение нашей беседы

Есть Eoip включенный в бридж (security level public) на бридже висит статический ip и acl на пропуск icmp (пинги между сайтами проходят, все ок) такая сжема с 2х сторон туннеля

По вашему совету удалил ip адрес непосредственно с eoip интерфейса, ip есть только на бридже

Теперь хочу реализовать перезапуск туннеля по ping-check.

Создаю профиль ping-check и привязываю его к eoip туннелю

при этом в cli по команде show ping-check _EoIP10 ошибка:

 pingcheck:
              profile: _EoIP10

                 host: 10.10.1.10

      update-interval: 30
            max-fails: 3
              timeout: 2
                 mode: icmp

            interface:
                     name: EoIP10
             successcount: 0
                failcount: 0
                   status: not ready

Network::Interface::IP error[72220772]: "EoIP10": address is not available.

При этом соответственно ping-check не работает.

Если ping-check привязать к самому бриджу то он работает но насколько я понимаю при обрыве желаемого перезапуска туннеля не произойдет.

Вопрос как реализовать данную схему? Добавить еще 1 фиктивный ip на eoip интерфейс или это не поможет?

ЗЫ селфтест далее

[Все о туннелях IPIP, GRE и EoIP]

@Le ecureuil Я так понимаю на роутере может быть только 1 автоматический over ipsec туннель в режиме сервера и если надо больше, то нужно создавать транспорт вручную?

Или я не прав?

[Выборочное отключение NAT без статического IP]

1 минуту назад, Le ecureuil сказал:

Нет, логика неправильная.

ip static - это ручное управление любым NAT, как SNAT, так и DNAT, так и вообще отключение NAT (подробности в CLI Guide).

ip nat - это автоматика (в первую очередь для упрощения работы Web).

Ок.

[Выборочное отключение NAT без статического IP]

8 минут назад, Le ecureuil сказал:

ip nat - это для "автоматики", которая вам как раз и не нужна.

Автоматика, автоматикой, но по логике ip static команда для проброса портов, ip nat команда для управления NAT. Нам по сути нужна автоматика только более гибкая. По минимуму натить не по условию интерфейса источника а по интерфейсу назначения. 

Если усложнять, то еще добавить в эту схему адрес источника. То есть по сути то что была попытка реализовать с помощью ip static

ИМХО что то вроде:

ip nat {interface | ip address/mask | any} {out interface}

[Выборочное отключение NAT без статического IP]

2 часа назад, Le ecureuil сказал:

Безынтерфейсные пока вообще без вариантов.

Прикрутить не проблема, проблемы в обратной совместимости и в черезмерной перегруженности этой команды и неявном поведении в зависимости от настроек аргументов. Если мы сейчас что-то прикрутим не подумав, придется этот костыль таскать всегда, потому мы десять раз думаем перед разработкой новых команд и особенно расширением старых.

Может тогда стоит не эту команду обвешивать новыми функциями, а расширять команду ip nat ?

 

[Выборочное отключение NAT без статического IP]

35 минут назад, Le ecureuil сказал:

Важное замечание - этот синтаксис не работает так, как ожидается. При этом еще и включается проброс портов с сетей 192.168.0.0/255.255.252.0 на адрес интерфейса ISP, что противоречит логике.

Короче, единственный рабочий вариант:

> ip static <in-iface> <out-iface>

Значит клиентов без интефейса типа VirtualIP выборочно натить не получится?

А то я уже губу раскатал, но глядя на iptables начинаю закатывать обратно

ЗЫ надо бы к команде в первом предикате значение any прикрутить

[ndhcpc GigabitEthernet1: received ACK for IP from IP]

Значит у вашего провайдера аренда ip 30 минут. Это ее продление. Нормально. 

[Непонятный глюк маршрутизации]

Маршруты подтягиваются после переподключения клиентов

[Выборочное отключение NAT без статического IP]

@Le ecureuil Спасибо за разъяснения, а то начал пробовать без отключения nat на интерфейсе( думал новая команда наоборот работает, а так еще лучше!)

[IntelliQoS: unexpectedly stopped]

8 часов назад, Goblin сказал:

@Roman_Petrov, понятно. значит вырубаем и сносим. спасибо. я думал мало ли может при загрузке торрентов как-то канал для серфинга разгружает. а потом вспомнил что торренты выше 5 мбит/с не качает трансмишен в прошивке.... в общем и так обрезано.

4All: извиняйте за беспокойство. тему можно снести. хотя, и не понятно чего оно не пашет.

Этом сценарии qos вообще бесполезен, он только на транзитный трафик влияет.

Себя, и соответственно свой трансмишн qos ограничивать не будет. Только клиентов.

ЗЫ А селфтест с ошибками я бы на вашем месте все же приложил бы. Вдруг баг какой нашелся.

[Giga 3 WDS]

В RT2860APi.dat есть упоминания о WDS, так что видимо железо поддерживает, но в ndms не используется.

Так что тема скорее для раздела развитие.

[сконфигурировать IPsec/L2TP клиент]

https://forum.keenetic.net/announcement/5-где-взять-тестовые-прошивки/

[сконфигурировать IPsec/L2TP клиент]

3 часа назад, tripleNAT сказал:

2.09 так и не вышла. релиз задерживается? По прежнему не могу установить подключение keenetic 4g III rev.A к l2tp over IPsec серверу mikrotik.

До релиза 2.09 еще как до луны. Имется ввиду draft версия. 

[Перезапуск USB модема по штатному расписанию]

6 минут назад, Perevozchic сказал:

При всём уважении, я водитель-дальнобойщик а не программист, если не трудно подскажите что конкретно нужно сделать что бы модем разрывал сессию, перезагружался или что бы перезагружался весь роутер, но именно в одну минуту второго ночи?

Есть вариант дописать в startup-config "system reboot 86400", и перезагрузить устройство в 01:01, но это будет корректно работать до первого отключения электричества...

На текущий момент штатными средствами таких возможностей нет.

Только руками или opkg.

[Перезапуск USB модема по штатному расписанию]

Передергивание питания поможет не всем поддерживаемым устройствам, так как среди заявленных в том числе есть мобильные роутеры с автономным питанием. Думаю для данной задачи правильнее думать в сторону передачи команд дисконнект/коннект мобильному устройству.

ЗЫ но по трудоемкости это конечно на порядок сложнее нежели добавить отключение питания устройства, для начала можно и его добавить.

[Проброс портов и ограничение по IP]

4 минуты назад, kersantinov сказал:

Вот на примере порта для RDP.

Порт проброшен, коннект есть.

Добавляю правило в фаервол - доступ все-равно есть.

 

Правила фильтрации выполняются после трансляции. Соответственно надо в фильтре порт после трансляции указывать.

ЗЫ Информация об этом есть в базе знаний zyxel

[Проброс портов и ограничение по IP]

Должно отрабатывать, чтото не так делаете.

хвастайтесь настройками. 

[KeenDNS]

15 минут назад, flashtr0n сказал:

Так в том-то и дело, что разговор идёт про второй роутер, на котором динамически присваиваются и серые и белые адреса. Выдало роутеру серый адрес - и всё, приехали. DDNS я пробовал, но он не подходит по этой-же причине.

Маршруты я указывал на первом роутере с белой статикой.

В таком случае поставить там где серый IP и ddns и keendns. 1 для работы при присвоении белого адреса, второй для управления через облако. Та как через облако только HTTP ходит, то трафик не велик и при хождении через ваш туннель проблем я думаю не создаст.

[KeenDNS]

12 минуты назад, flashtr0n сказал:

Вручную прописываю маршруты к местным подсетям провайдера через интерфейс с белым IP, и всё прекрасно ходит без VPN. 

Научить KeenDNS брать настройки и ходить только через заданный интерфейс видимо проблема...

Вручную естественно будет ходить. Но как бы вы тогда ограниченны только этими прописанными сетями. Запросы из других сетей не заработают. Раз у вас белый может на него обычный ddns повесить? В отличие от кееndns он на конкретный интерфейс вешается. 

[KeenDNS]

10 минут назад, flashtr0n сказал:

С первых дней подключения обращался к провайдеру с данной проблемой - на безлимитных тарифных планах белая статика не предоставляется 0_о 

Это где Ростелеком отказывается от денег?