Jump to content

intelworker

Forum Members
  • Content count

    14
  • Joined

  • Last visited

Community Reputation

0 Neutral

About intelworker

  • Rank
    Member

Equipment

  • Keenetic
    Ultra II
  1. Проблема в том, что я это могу делать только ночью когда время появляется, попробую селф-тесты позже. Сейчас журналы просмотрел и судя по всему что-то происходит с туннелем когда синхронизируется время, а не когда IP на модеме сменяется. В прошлый раз в журнале тоже самое наблюдал, последние записи были относительно обновления времени, а потом мертвая тишина в логе. [I] Aug 18 00:40:26 ndm: Ntp::Client: unable to communicate with "0.pool.ntp.org". [I] Aug 18 00:40:26 ndm: Ntp::Client: could not synchronize, waiting... [I] Aug 18 00:40:26 ndm: kernel: EIP93: build outbound ESP connection, (SPI=c5b3432f) [I] Aug 18 00:40:26 ndm: kernel: EIP93: build inbound ESP connection, (SPI=c254ab9e) [I] Aug 18 08:48:50 ndm: Core::System::Clock: system time has been changed. [I] Aug 18 08:48:53 ipsec: 05[CFG] system time jump detected from 1503006024s to 1503035333s, initiate SA rekeying [I] Aug 18 08:48:53 ipsec: 05[IKE] establishing CHILD_SA IPIP0 Понимаю, этот кусок лога мало что скажет разработчику, но вот в логе записей нет после 00:40, хотя по логам приложений запущенных на ноуте, интернет пропал в 1:44, т.е. через час после последней записи. Часовые пояса настроены верно, если что. В 8:48 я выключил/включил роутер.
  2. Ну, через час после того как я это ping-check прописал у меня роутер просто повис походу, видать IP на модеме сменился и что-то пошло не так. До этого просто была такая ситуация что IP видать тоже сменился, а туннель об этом узнал через час или более, как итог, отсутствие инета полностью час и более. Не понимаю что с этим делать пока.
  3. А как посмотреть включен ли он для интерфейса IPIP0? Это же все через командную строку так понимаю смотреть, в вебе я этого всего для IPIP не увижу В справочнике команд есть только упоминание dpd для профилей crypto ipsec. А пока настроил такой вот ping-check, вроде даже работает и проверяет, осталось дождаться поведения при фейлах. ping-check profile IPIP0 host 8.8.8.8 update-interval 30 mode icmp max-fails 5 timeout 10 restart-interface show ping-check IPIP0 pingcheck: profile: IPIP0 host: 8.8.8.8 update-interval: 30 max-fails: 5 timeout: 10 mode: icmp interface: name: IPIP0 successcount: 6 failcount: 0 status: pass
  4. Ребята, а не подскажите как правильно ping-check прописать для IPIP0 в моей ситуации? Чтобы был рестарт интерфейса на стороне клиента в случае если перестает пинговаться офисный роутер/статический внешний IP. Пытался искать и сам пробовал разобраться, но что-то по ходу я не в силах понять,как создать новый профиль через командную строку.
  5. Ну да было бы идеально если бы не приходилось прописывать маршруты, т.к. все само у меня не заработало (активным отображалось подключение модема, а не туннеля IPIP), пока я не прописал дефолтный маршрут и не добавил маршрут до узла сервера. ps: Конечно ошибки "ndm kernel: hw_nat: not found ip host: 192.168.1.44, ifindex: 7(7)" весь журнал забивают) Читал в соседней теме, что работаете над этим, ждем. Спасибо.
  6. Методом проб и ошибок (в адрес шлюза просто ничего не вписал, как и в метрику) в итоге вроде как заработало, не знаю надолго ли, и что произойдет когда у модема очередной раз будет реконнект и IP сменится. PS: для истории: как не странно канал очень стабильный, проседаний по скорости не заметил, даже наверно наоборот, но может и самовнушение (спидтест до провайдера - 27 Мбит/с входящий, 14 Мбит/с исходящий, даже без туннеля канал временами выдавал результаты похуже).
  7. @r13 Что-то пока не получается. Пакеты уходят, но с офиса ничего не приходит в ответ. Можете пояснить с учетом моей конфигурации какие данные вписывать? Открыл вкладку Интернет-Прочее, нажал добавить статический маршрут. Выбрал "Маршрут до узла", в адрес узла назначения вписал внешний статический IP офиса (у нас это 92.9.9.1), поставил галку добавлять автоматически, интерфейс выбрал модема CdcEthernet0, вот в адрес шлюза не понимаю что вписывать и метрику не знаю какую указать.
  8. @KorDen а по MTU что скажете? И хотелось бы уточнений про этот маршрут, где его добавлять и что понимается под "нормальным" интерфейсом А лучше командной строкой сразу, чтобы уж вопрос был полностью решен)))
  9. @KorDen по поводу MTU, в офисе внешний MTU на интерфейсе PPPoE0 равен 1492. На интерфейсе модема дома CdcEthernet0 равен 1500. Надо ли все-таки что-то менять в IPIP0 на обеих сторонах?
  10. Понял, поправил и у себя, тогда уж назвал ConnectWithOffice/Home. Благодарю!
  11. Спасибо ребята, буду пробовать! Внес последние правки в свой второй пост для истории, чтобы другие смогли воспользоваться моей инструкцией, если она верна. А вот в ТП Keenetic отписали коротко и ясно: Как чувствовал, что лучше просто спросить тут у ребят на форуме. @KorDen немного смутили поля description, они у вас перепутаны для моего случая :) Но спасибо! Разобрался быстро!
  12. @Le ecureuil@r13 спасибо друзья, проверьте пожалуйста мой второй пост, правильно ли все по вашим замечаниям поправил?
  13. Ребята давайте я напишу порядок своих действий, а вы меня поправьте если что, т.к. мои админские навыки немного слабоваты. Исходные параметры: а) офисная сеть 192.168.2.0/24, адрес роутера 192.168.2.1 (внешний статический IP - пусть будет 92.9.9.1) б) домашняя сеть 192.168.1.0/24, адрес роутера 192.168.1.1 (внешний IP серый/динамический/мне не подконтролен) В общем порядок моих действий: 1. Устанавливаю на оба роутера пакет "Туннели IPIP" (прошивка у роутеров 2.10+, это на момент написания поста еще отладочная прошивка, т.е. даже не бета). 2. На офисном Ultra II по телнету открываю командную строку и ввожу следующее: (config)> interface IPIP0 (config-if)> description ConnectWithHome (config-if)> security-level private (config-if)> ip address 192.168.255.1 255.255.255.0 (config-if)> ip tcp adjust-mss pmtu (config-if)> ipsec preshared-key MyLongSuperKey (config-if)> ipsec ikev2 (config-if)> tunnel source auto (config-if)> up (config-if)> exit (config)> ip nat IPIP0 (config)> system config-save 4. На домашнем Ultra II по телнету открываю командную строку и ввожу следующее: (config)> interface IPIP0 (config-if)> description ConnectWithOffice (config-if)> security-level public (config-if)> ip address 192.168.255.2 255.255.255.0 (config-if)> ip tcp adjust-mss pmtu (config-if)> ip global 1000 (config-if)> ipsec preshared-key MyLongSuperKey (config-if)> ipsec ikev2 (config-if)> tunnel destination 92.9.9.1 (config-if)> up (config-if)> exit (config)> ip route default 192.168.255.1 IPIP0 (config)> system config-save Далее идем в веб интерфейс домашней Ultra II, вкладка Интернет-Прочее, добавляем статический "маршрут до узла". В адрес узла назначения вписываем внешний IP офиса (92.9.9.1) и ниже выбираем только интерфейс модема (у меня это CdcEthernet0) и жмем "Применить". Судя по всему адрес шлюза роутер выбирает сам исходя из текущего адреса шлюза модема.
  14. Добрый день. Пробежался по статьям на сайте zyxel и ответам на вопросы и не удалось выяснить то, что мне нужно. Собираюсь организовать IPSec туннель между двумя Ultra II (прошивки самые последние) по статье "Организация туннеля IPSec VPN между двумя интернет-центрами Keenetic Ultra II и Giga III". Там вроде все понятно написано, но нет главного ответа на мой вопрос, как сделать так, чтобы IPSec "клиент" в виде одной из Ultra II забирал интернет с IPSec "сервера" в виде другой Ultra II. Т.е. суть проста, у меня за городом дом, там стоит LTE антенна с модемом ZTE MF823, воткнутым в Ultra II и получаю интернет от мобильного оператора. В городе у меня офис и стоит роутер Ultra II и сверх быстрый интернет со статическим внешним IP. Мне по факту нужно из загородного дома использовать мой офисный интернет (доступ к офисной сети и компам даже не нужен), т.к. во-первых на каждом сайте у меня не будут просить вводить сложнейшую рекапчу из-за того, что с таким IP ходит в интернет тысячи людей и во-вторых рассчитываю на более стабильный доступ в интернет (насколько он получится стабильным это уже узнаю на практике конечно). Поискал здесь на форуме, тоже есть некоторые похожие вопросы, но боюсь там настолько краткие ответы и устаревшие прошивки, что просто не понимаю где искать какие-то дефолтные маршруты и надо ли. Друзья, если не сложно, подскажите по пунктам как это правильно организовать. Заранее благодарен.
×