Jump to content

KorDen

Forum Members
 View Profile  See their activity

  • Content count

    803

  • Joined

  • Last visited

  • Days Won

    6

KorDen last won the day on August 15

KorDen had the most liked content!

Community Reputation

199 Excellent

1 Follower

About KorDen

  • Rank
    Honored Flooder

Equipment

  • Keenetic
    Ultra II, Giga II, Extra II
  1. DPD-интервала там нет, только tunnel-local-source: 1.2.3.4 tunnel-remote-destination: 5.6.7.8 ipsec-enabled: yes ipsec-ikev2-allowed: yes ipsec-ikev2-enabled: yes ipsec-encryption-level: strong
  2. show ipsec ... Connections: VirtualIPServer: %any...%any IKEv1, dpddelay=20s VirtualIPServer: local: [mykeenetic.net] uses pre-shared key authentication VirtualIPServer: remote: uses pre-shared key authentication VirtualIPServer: remote: uses XAuth authentication: eap VirtualIPServer: child: 0.0.0.0/0 === dynamic TUNNEL, dpdaction=restart IPIP0: x.x.x.x...y.y.y.y IKEv2, dpddelay=30s IPIP0: local: [IPIP0] uses pre-shared key authentication IPIP0: remote: [IPIP0] uses pre-shared key authentication IPIP0: child: 0.0.0.0/0[ipencap] === y.y.y.y/32[ipencap] TRANSPORT, dpdaction=restart IPIP1: a.b.c.d...%any IKEv2, dpddelay=30s IPIP1: local: [IPIP1] uses pre-shared key authentication IPIP1: remote: [IPIP1] uses pre-shared key authentication IPIP1: child: e.f.g.h/32[ipencap] === 0.0.0.0/0[ipencap] TRANSPORT, dpdaction=restart
  3. IP или все-таки MAC? От двух интерфейсов с одинаковыми маками вполне себе сходить с ума будет, да. Еще, не знаю как в Ultra II (такую схему не приходилось на ней вроде делать), но на гиге 1 и 2 нельзя было иметь в сети ПК с тем же MAC-адресом, который на WAN-интерфейсе роутера, иначе всё валилось - https://help.keenetic.net/hc/ru/articles/213966709-Не-работает-клонирование-MAC-адреса-в-Keenetic-Giga-Extra-Viva-Ultra-Giga-II
  4. @intelworker, так уже есть DPD-интервал IPsec в 30 секунд, и по нему вроде бы вполне рестартуется соединение, по крайней мере у меня соединение достаточно быстро восстанавливается после рестарта роутера-сервера.
  5. При переходе на резерв будет корректно переключаться маршрут на резервный канал? А если уже есть маршрут до этого узла? А то я теперь осмыслил, что у меня при резерве через 3G туннель-то и не работал (основной канал давно не падал, так что на практике не обнаруживал) Т.е. я рассматриваю два случая с автотуннелями с default route на туннель: 1) к серверу подключается по беляку, стандартное резервирование проводного инета мобильным модемом, при переходе на резерв маршрут перепишется? 2) Опять резерв, но уже специально жестко прописан destination ip маршрутом через проводной инет. Возможна ситуация, когда основной инет лежит, но по локалке сервер доступен (и там есть инет), т.е. мне именно надо чтобы в случае падения сети был вариант остаться на туннеле, и только потом уходить на модем. Собственно, сейчас только так и можно сделать.
  6. @Cha-Cha, ошибки летят сразу или через некоторое время? Чем создаете виртуальный привод?
  7. Да, про это я забыл. И необходимость вполне логична. У меня маршруты уже давно были прописаны, еще когда туннелей не было.
  8. Не-а, не перепутаны. дескрипшен показывает ЧТО подключено через это соединение, т.е. дома у вас отображается соединение _с_ Office, ну и наоборот.
  9. Рабочий пример, чуть адаптированный вам: Дома: interface IPIP4 description Office security-level public ip address 192.168.255.2 255.255.255.252 ip global 1000 ip tcp adjust-mss pmtu ipsec preshared-key <MySecretKey> ipsec ikev2 tunnel destination 92.9.9.1 up ! ip route default 192.168.255.1 IPIP4 На работе interface IPIP4 description Home security-level protected ip address 192.168.255.1 255.255.255.252 ip tcp adjust-mss pmtu ipsec preshared-key <MySecretKey> ipsec ikev2 tunnel source ISP up ! ip nat IPIP4 ipsec ikev2 работает только на 2.10. При его использовании индексы интерфейса (в моем примере это IPIP4) должны совпадать. IP адрса интефейса надо править только если у вас где-то вдруг есть сеть 192.168.255.x, в остальных случаях достаточно оставить так, это P2P линк. Возможно потребуется указать MTU с обоих сторон (если внешний MTU 1500, то "ip mtu 1420") Вроде ничего не забыл
  10. Для того чтобы ходить в интернет через туннель, вам нужен IPIP или GRE-туннель с IPsec. Далее на работе делаете туннель private или protected, делаете условно ip nat IPIP0; дома тип public, ставите ip global 1000 и у вас всё должно начать работать само. Однако если у вас нестабильный сигнал сети, от туннеля он стабильнее не станет, скорее наоборот, из-за инкапсуляции будет медленнее и глючнее.
  11. iptables можно крутить из под OPKG, OPKG работает только с флешкой, на лайте нет возможности подключить флешку.
  12. Создать новое IPoE можно без удаления из Home, он сам удалит
  13. Похоже, на Ultra II действительно у ISP не сменить порт. на Giga II можно выбрать даже если он привязан к сегменту (он тогда сам отвязывается), на U2 не выбирается даже если убрать из сегмента. Думаю это из-за того что на U2 ISP = GigabitEthernet1 (отдельная сетевая от процессора), а на G2(3) все порты идут к свичу. Создайте отдельное IPoE подключение с нужным портом и назначьте его основным
  14. Если порт закрыт - откуда строчкам взяться? Если уж так надо светить морду наружу, ставьте нестандртные порты, условно из 10000+ - ботов, которые долбятся по дефолтным портам, не счесть
  15. Подсети в одном L2 сегменте или в разных? Т.е. они обе в сети Home, или же на кинетик приходит отдельная витуха от свича, куда воткнуты все камеры?
×