Jump to content

Le ecureuil

Forum Members
 View Profile  See their activity

  • Posts

    9,453

  • Joined

  • Last visited

  • Days Won

    542

 Content Type 

Everything posted by Le ecureuil

  1. Le ecureuil
    А oetX это точно EoIP, а не EtherIP по RFC3378?
  2. Le ecureuil
    Да, web стирает настройки в cli, и это не считается багом: как только вы сами полезли в cli, то считается что вы понимаете что делаете.
  3. Le ecureuil
    ip nat - это для "автоматики", которая вам как раз и не нужна.
  4. Le ecureuil
    Безынтерфейсные пока вообще без вариантов. Прикрутить не проблема, проблемы в обратной совместимости и в черезмерной перегруженности этой команды и неявном поведении в зависимости от настроек аргументов. Если мы сейчас что-то прикрутим не подумав, придется этот костыль таскать всегда, потому мы десять раз думаем перед разработкой новых команд и особенно расширением старых.
  5. Le ecureuil
    Web ничего не знает о новой команде, и затирает ее полностью (как и любую другую команду ip static, не относящуюся к пробросу портов). Потому если хотите выключения nat индивидуально по сегментам - настраивайте проброс портов через ip static тоже только в CLI. Больше проблем не замечено.
  6. Le ecureuil
    Важное замечание - этот синтаксис не работает так, как ожидается. При этом еще и включается проброс портов с сетей 192.168.0.0/255.255.252.0 на адрес интерфейса ISP, что противоречит логике. Короче, единственный рабочий вариант: > ip static <in-iface> <out-iface>
  7. Le ecureuil
    Сюда. Сперва ознакомьтесь в объявлениях с правилами оформления постов с отладкой. С tplink неужели даже системный журнал нельзя получить?
  8. Le ecureuil
    Спасибо за репорт, проверим.
  9. Le ecureuil
    Проблема нашлась, она таилась в Web-интерфейсе. Из CLI смена работает как надо. Будем чинить.
  10. Le ecureuil
    Адрес тоже поддерживается. > ip static 192.168.0.0 255.255.252.0 ISP > ip static 192.168.0.0 255.255.252.0 UsbLte0 Единственное важное - чтобы исходящие интерфейсы были public.
  11. Le ecureuil
    О, спасибо! Попробуем найти почему это так, и поправить.
  12. Le ecureuil
    Снимайте дамп Wireshark в случае WS2012 и в случае Keenetic, иначе это гадание на пальцах.
  13. Le ecureuil
    Остается полностью прошлое поведение. Если включен nat - будет с ним, если выключен - будет без него.
  14. Le ecureuil
    Сейчас у нас главное - это обратная совместимость. Да, возможно решение неидеальное и требует особого внимания со стороны настраивающего, но это самое простое что можно было реализовать с сохранением прямой совместимости команд и всех инструкций в базе знаний. ip static out у нас вообще нет ;(
  15. Le ecureuil
    Изменилось все. WPS отключен по-умолчанию, нужно нажать кнопку. Плюс есть проверка на брутфорс, которая сильно замедляет перебор и даже банит устройства при таких действиях. Подробнее у @Padavan
  16. Le ecureuil
    Уже сказали ведь, что проблема не в реализации QoS, а в классификации потоков, и пока основная проблема именно с этим.
  17. Le ecureuil
    Насчет tunnel source auto сделано, насчет недоступности целевого интерфейса продолжаем работу.
  18. Le ecureuil
    Скорее всего проблемы с MTU, скиньте self-test с устройств с обоих сторон туннеля.
  19. Le ecureuil
    IPsec не может быть простым по определению, если он для вас таков - значит уже поработало много людей бессонными ночами У нас же реализация относительно "молодая", возможны несовместимости. Постараюсь проверить ситуацию с Kerio, оставайтесь на связи.
  20. Le ecureuil
    А PSK точно-точно совпадает? Постараюсь проверить, просто никак руки не дойдут до создания стенда с mikrotik.
  21. Le ecureuil
    Пожалуйста Все непонятки описывайте здесь, возможно что-то работает не совсем корректно или не учтено
  22. Le ecureuil
    Тоже сделано, см. тут:
  23. Le ecureuil
    Сделано. Можете указывать tunnel source auto, при этом будет использоваться любой доступный WAN (а если WAN нет вообще, то соединение уйдет в standby).
  24. Le ecureuil
    Реализовано. Создаете на интерфейсе профиль ping-check с обязательным указанием restart-interface (без этого не будет переподключения). На мой взгляд лучше всего указать интервал проверки в 30 секунд, а количество попыток - 3. При меньшем интервале при недоступности удаленной стороны у вас весь лог будет завален сообщениями о рестарте туннеля.
  25. Le ecureuil
    Все верно, если этот пакет пришел через IPsec, то он будет "принят" первым правилом, иначе будет отброшен. Это нужно, чтобы роутер не принимал пакеты из незащищенных сетей и не отправлял пакеты в них, если поднят IPsec с определенной удаленной сетью. Плюс из-за особенностей работы XFRM локальная и удаленная подсеть не могут пересекаться. Если вам это нужно - используйте Gre, IPIP или EoIP over IPsec.
×
×
  • Create New...