Jump to content

Le ecureuil

Administrators
  • Content Count

    5,234
  • Joined

  • Last visited

  • Days Won

    196

Everything posted by Le ecureuil

  1. Le ecureuil

    Совместимость по конфигу полная, а по вебу не на всех устройствах. Особенно на уже неподдерживаемых. Ради упрощения web добавлены новые команды и параметры, которые отсутствовали в 2.08 и которые могут "удивить" новый web.
  2. Le ecureuil

    Лучше все загружать руками, потому что эти модули все в blacklist и автоматом не грузятся. Возможно где-то проглядели один-другой, но в целом они тупо лежат на flash. Это сделано из-за неумных пользователей, которые на слабых устройствах ставят full-pack прошивку, а потом жалуются, что кончается ОЗУ.
  3. Le ecureuil

    В любом случае по 2.11 для актуальных устройств поддержки нет, пока это не исправлено в draft / stable. Только потом это будет перенесено в 2.11. Потому да, сначала ставим stable и идем в техподдержку. Когда с ними решится вопрос и будет перенесено в 2.11, тогда и поговорим.
  4. @r13 Исправлены недоработки + немного изменились названия (приведены к общему виду, внесено в документ). В следующей сборке все будет работать.
  5. Да, это баг клиента. В убунте он тот же самый, и не будет работать с mschap, только с pap. Я автору написал, но пока оно прилетит в обновления, придется жить вот так.
  6. Пока не дошел до исследования причин.
  7. Начиная с прошивки 2.08.A.10.0-0 появилась возможность создавать туннели EoIP, GRE, IPIP как в простом виде, так и в сочетании с IPsec. GRE и IPIP-туннели - это туннели уровня L3, на которых видны IP-адреса обоих сторон. Они представляются в системе в виде интерфейсов GreX и IPIPX, и через них можно прокидывать маршрутизацию (в том числе и default route) точно также, как и через любые другие интерфейсы. Плюс ко всему у них также есть security level. Туннели GRE совместимы со всеми Zyxel ZyWall, Mikrotik, а также Linux-роутерами. В теории должно работать вообще со всем оборудованием, которое умеет GRE, в том числе и Cisco, Juniper, etc. Компоненты называются соответственно gre и ipip. EoIP-туннель - это туннель уровня L2, потому обмен через него идет на уровне Ethernet-кадров. При этом видны все mac-адреса, и можно объединить две локальные сети на уровне L2 через Интернет при помощи этого типа туннеля. На нем кроме IP можно гонять любой трафик, в том числе и ARP, DHCP, PPPoE, IPv6, etc. По умолчанию в туннеле при смене security level на private/protected будет работать сканирование подсети посредством ARP. Туннели EoIP разработаны Mikrotik, потому присутствует совместимость с ними, а также с Linux-роутерами, которые умеют EoIP. Компонент называется eoip. Важно понимать, что сами по себе EoIP, GRE и IPIP-туннели являются connectionless, то есть невозможно понять находится ли в работоспособном состоянии туннель или нет. Мы можем только настроить обе стороны и после этого проверить передачу. Плюс ко всему эти туннели в чистом виде никак не проходят через NAT, поэтому сеть между конечными точками для этих туннелей должна обеспечивать прямую связность без трансляции адресов. GRE, IPIP и EoIP-туннели работают непосредственно поверх IPv4-протокола, EoIP и GRE используют номер IP-протокола 47, IPIP использует номер IP-протокола 4. Настройка GRE/IPIP туннеля очень проста: (config)> interface IPIP0 (config-if)> tunnel destination router1.example.com (config-if)> ip address 192.168.100.1 255.255.255.0 (config-if)> security-level private (config-if)> up На другом конце туннеля задаются "зеркальные" настройки: (config)> interface IPIP0 (config-if)> tunnel destination 8.6.5.4 (config-if)> ip address 192.168.100.2 255.255.255.0 (config-if)> security-level private (config-if)> up После этого можно попробовать пропинговать с любой из сторон адрес удаленной стороны в туннеле (это будет подсеть 192.168.100.0/24) для проверки работоспособности туннеля. Стоит обратить внимание, что в качестве destination можно указать как доменное имя (через Cloud-режим в KeenDNS работать _НЕ_ будет), так и IP-адрес удаленной стороны (WAN-интерфейса устройства). Для GRE имя интерфейса будет Gre0. В случае с EoIP настройки абсолютно те же, кроме двух моментов: - можно задать mac-адрес интерфейса. - необходимо задать EoIP tunnel ID, идентификатор туннеля (число в диапазоне от 1 до 65535), причем на обоих концах он должен совпадать. Команды будут выглядеть так: (config)> interface EoIP0 (config-if)> tunnel destination router1.example.com (config-if)> tunnel eoip id 1500 (config-if)> ip address 192.168.100.1 255.255.255.0 (config-if)> security-level private (config-if)> up Другой конец туннеля: (config)> interface EoIP0 (config-if)> tunnel destination 8.6.5.4 (config-if)> tunnel eoip id 1500 (config-if)> ip address 192.168.100.2 255.255.255.0 (config-if)> security-level private (config-if)> up После этого все должно работать. Для туннелей MTU интерфейса автоматически вычисляется на основе интерфейса, через который будет проходить трафик, но также его можно и задать руками через команду interface ip mtu. Более того, L2-интерфейс EoIP можно засунуть в Bridge для объединения локальных сетей. Для этого на обоих сторонах нужно настроить EoIP-интерфейс без IP-адреса, и затем включить в Bridge Home: (config)> interface Home (config-if)> include EoIP0 после этого можно пытаться связаться с хостом из одной домашней сети с хостом из другой домашней сети. В случае установки компонента ipsec появляется возможность защищать эти туннели при помощи IPsec, причем как в автоматическом, так и в полностью ручном режиме. Ручной режим здесь описан не будет, поскольку продвинутые юзеры сами всегда могут сперва настроить IPsec с правильным режимом, а затем поверх IPsec поднять туннель. В случае автоматической настройки решается сразу несколько проблем ручного режима: - правильно выставляется MTU - соединение становится connection-oriented, и нужно выбирать, кто из концов туннеля становится клиентом, а кто сервером - автоматически решается проблема с проходом через NAT, поскольку используется IPsec NAT Traversal, при котором весь туннельный трафик превращается в поток UDP на порт 500/4500 - шифрование и проверка целостности данных Компонент IPsec добавляет следующие настройки к туннелям: interface ipsec preshared-key <key> - PSK для шифрования interface ipsec encryption-level <level> - уровень шифрования, по умолчанию задан таким, чтобы охватывал максимально большое число устройств и ускорялся аппаратно. Можно не менять. Поскольку IPsec разграничивает клиента и сервер, то теперь для настройки клиента (инициатора, той стороны, которая будет пытаться установить соединение) необходимо использовать команду interface tunnel destination, а для включения режима сервера (той стороны, которая будет отвечать на попытки установления соединения) необходимо использовать команду interface tunnel source. Пример настройки EoIP туннеля с IPsec, где сторона с WAN-адресом 8.6.5.4 является сервером: Сервер: (config)> interface EoIP0 (config-if)> tunnel source ISP (config-if)> tunnel eoip id 1500 (config-if)> ipsec preshared-key mytestingkey (config-if)> ip address 192.168.100.1 255.255.255.0 (config-if)> security-level private (config-if)> up Клиент: (config)> interface EoIP0 (config-if)> tunnel destination 8.6.5.4 (config-if)> tunnel eoip id 1500 (config-if)> ipsec preshared-key mytestingkey (config-if)> ip address 192.168.100.2 255.255.255.0 (config-if)> security-level private (config-if)> up Во всех случаях важно, чтобы IPsec PSK совпадал на обоих концах соединения. При этом в команде interface tunnel source можно указать как интерфейс-источник, так и IP-адрес, на котором будет "висеть" сервер. Однако предпочтение отдается интерфейсу, поскольку в данном случае вся перенастройка при смене адреса и прочих событиях будет происходить автоматически. Также можно указать interface tunnel source auto, для автоматического переключения сервера при смене WAN-интерфейса. Известные ограничения: - туннели на базе EoIP/IPsec и GRE/IPsec принципиально несовместимы с PPTP-подключениями из-за использования одного и того же протокола GRE. В этом случае остается использовать всего лишь один доступный вариант: IPIP/IPsec. Важно: - не забывайте про isolate-private: Всех желающих прошу подключиться к тестированию, по мере того, как дело будет продвигаться, мануал будет дополняться.
  8. Вот оно: https://github.com/ndmsystems/packages/wiki/Opkg-Component#ndmpptp_vpn_upd
  9. Да, задача висит, но еще не доделана.
  10. Покажите self-test когда размножаются интерфейсы.
  11. Le ecureuil

    Тогда ой, все...
  12. Le ecureuil

    В подобных случаях лечение только одно: - снять show threads в cli, и приложить сюда - перезагрузить аппаратно
  13. Вообще ничего непонятно. Где отладочная информация?
  14. Нет, ssh-сервер из ndms никогда не включался по-умолчанию. Чтобы его включить, нужно его сперва установить, и еще после этого залезть в cli и включить.
  15. Le ecureuil

    В linux есть 3rd party поддержка драйвером, утекшим из samsung, лицензионный статус и патентная чистота которого неясны. exfat-fuse это печаль с точки зрения скорости, и патентная чистота тоже под вопросом. Потому да, все упирается в бабло. Поднять стоимость всех железок с usb даже на 250 рублей это заметно, и пока никто не хочет идти на эти траты. Ну и на уже проданных устройствах этой поддержки не будет, иначе не 250 рублей добавятся, а "количество активных устройств, которые получат exfat" / "продажи в году", что еще сильнее поднимет цену.
  16. Le ecureuil

    Дайте пожалуйста self-testы с включенным udpxy когда он работает (без igmp) и не работает. Попробуем воспроизвести.
  17. Le ecureuil

    Да, теперь с backup wan все стало возможным
  18. Le ecureuil

    А прошлогоднюю тему не напомните? А то я смотрю, а с апреля 2016 никто udpxy вообще не трогал...
  19. Для бесперебойников есть только два вменяемых пакета - apcupsd (для APC) и nut (для всего остального).
  20. Всем спасибо за дебаг, проблема была обнаружена. После обновления серверного кода, новая версия стала строже проверять CMAC, и это привело к несовместимости. На самом деле проблема в клиенте. Потому для временного решения можно установить только PAP-авторизацию на клиенте, и все заработает. Безопасность заметно не пострадает, поскольку PAP-обмен происходит внутри SSL-соединения. Через cli: > interface SSTP0 authentication pap Фикс будет в ближайших сборках.
  21. В первом же посте темы написано, ну. Нужно установить пакет с поддержкой dvb-тюнеров на странице выбора компонентов.
  22. Без self-test ов от вас с обоих сторон в момент проблемы - нет.
  23. На omni и lite 2 мало ОЗУ и flash, потому 2.11 для них на мой взгляд предпочтительнее. Хотя, если нужный вам набор влезает на delta - пожалуйста.
×