sousstudio

Доброго времени суток уважаемые форумчане! Собственно вопрос в сабже: возможна ли в роутере и в прошивке поддержка lte 450?

Пардон, моя ошибка. Выходил с серого IP. Ещё раз спасибо!

За что люблю кинетики: ПО над которым работают постоянно, а не забрасывают с первого релиза; хорошее железо; и конечно дружелюбный и отзывчивый коллектив forum.keenetic.net! Спасибо!!! Действительно заработало! Теперь, немного оффтопа, возвращаясь к предыдущей теме. Скопировал сюда настройки IPSec с удаленного роутера. Но пишет (на головном Ultra II): Remote host is behind NAT. Потом retransmit и deleting half-open IKE_SA after timeout. Почему так? Ведь на Yota удаленном работало. Что я забыл? (в Firewall вроде ничего не надо прописывать, это не PPTP)

Спасибо! Только где её взять? 2.11 под LTE нет. Тут http://files.keenopt.ru/experimental/Keenetic_LTE/2017-07-25/ - тоже нет

Добрый день, форумчане!!! Спасибо ещё раз за помощь по вопросу о KeenDNS. Принял решение поставить Keenetic LTE - чтобы IPSec держал, да и модем лучше Yoto'вского по словам @Le ecureuil. Принес, обновил, обновил до rb_draft_2.10.A.5.0-2 (люблю bleeding edge). Тестирую: Симка №1 от Yota - чуть долго коннектиться, потом всё ок. (Ну почти ок, hello.yota.ru при попытки запустить 64кбитный тариф снова забрасывает на свою главную; в разных браузерах) Симка №2 от Beeline. Вот тут что-то не то. Сначала (презагружаю отключением для исключение других гипотез) Unknown, потом вроде Installed, но коннекта нет. Jan 01 03:09:43ndmkernel: ue_lte 1-1:1.0: lte0: register 'ue_lte' at usb-ehci-platform-1, Altair LTE device, b0:XX:XX:XX:XX:XX Jan 01 03:09:43ndmNetwork::Interface::Usb: "UsbLte0": interface "LTE" is plugged (port 1). Jan 01 03:09:47nimproxyignore reserved multicast group 239.255.255.250 Jan 01 03:09:47nimproxycurrent time: 588 sec, actual entries: Jan 01 03:09:49ndnproxymax. requests 14 132 Jan 01 03:09:51ndmNetwork::Interface::UsbLte: "UsbLte0": USIM network CID: 25099. Jan 01 03:09:51ndmNetwork::Interface::UsbLte: "UsbLte0": connection in progress... Jan 01 03:09:54ndmNetwork::NeighbourTable: neighbour table dump: Jan 01 03:09:54ndmNetwork::NeighbourTable: ID: 1: MAC: 1c:XX:XX:XX:XX:XX, via: 1c:XX:XX:XX:XX:XX, IP: 192.168.1.34, interface: Bridge0, FirstSeen: 572, LastSeen: 14, active. Jan 01 03:09:57nimproxycurrent time: 598 sec, actual entries: Jan 01 03:10:01ndnproxymax. requests 14 132 Jan 01 03:10:07nimproxycurrent time: 608 sec, actual entries: Jan 01 03:10:13ndnproxymax. requests 14 132 Jan 01 03:10:17nimproxycurrent time: 618 sec, actual entries: Jan 01 03:10:24ndmNetwork::NeighbourTable: neighbour table dump: Jan 01 03:10:24ndmNetwork::NeighbourTable: ID: 1: MAC: 1c:XX:XX:XX:XX:XX, via: 1c:XX:XX:XX:XX:XX, IP: 192.168.1.34, interface: Bridge0, FirstSeen: 602, LastSeen: 44, active. Jan 01 03:10:25ndnproxymax. requests 14 132 Jan 01 03:10:27nimproxycurrent time: 628 sec, actual entries: Jan 01 03:10:37ndnproxymax. requests 14 132 Jan 01 03:10:37nimproxycurrent time: 638 sec, actual entries: Jan 01 03:10:37nimproxysending IGMPv2 general query to br0 [192.168.1.1] Jan 01 03:10:41nimproxyignore reserved multicast group 239.255.255.250 Jan 01 03:10:41nimproxycurrent time: 641 sec, actual entries: Jan 01 03:10:49ndnproxymax. requests 14 132 Jan 01 03:10:51nimproxycurrent time: 651 sec, actual entries: Jan 01 03:10:52ndmNetwork::Interface::UsbLte: "UsbLte0": connection failed. Jan 01 03:10:54ndmNetwork::NeighbourTable: neighbour table dump: Jan 01 03:10:54ndmNetwork::NeighbourTable: ID: 1: MAC: 1c:XX:XX:XX:XX:XX, via: 1c:XX:XX:XX:XX:XX, IP: 192.168.1.34, interface: Bridge0, FirstSeen: 632, LastSeen: 30, active. Jan 01 03:11:00ndnproxymax. requests 14 132 Jan 01 03:11:01nimproxycurrent time: 661 sec, actual entries: Jan 01 03:11:11ndmCore::Ndss: no internet connection. Jan 01 03:11:11nimproxycurrent time: 671 sec, actual entries: Jan 01 03:11:12ndnproxymax. requests 14 132 Jan 01 03:11:16ndmCore::Ndss: no internet connection. Jan 01 03:11:21nimproxycurrent time: 681 sec, actual entries: И через некоторое время уходит в : Jan 01 03:12:58ndmNetwork::Interface::UsbLte: "UsbLte0": connection retry (1/7). Jan 01 03:13:02ndmNetwork::Interface::UsbLte: "UsbLte0": connection failed. Jan 01 03:13:08ndmNetwork::Interface::UsbLte: "UsbLte0": connection retry (2/7). Jan 01 03:13:12ndmNetwork::Interface::UsbLte: "UsbLte0": connection failed. Jan 01 03:13:18ndmNetwork::Interface::UsbLte: "UsbLte0": connection retry (3/7). Jan 01 03:13:22ndmNetwork::Interface::UsbLte: "UsbLte0": connection failed. Jan 01 03:13:28ndmNetwork::Interface::UsbLte: "UsbLte0": connection retry (4/7). Jan 01 03:13:33ndmNetwork::Interface::UsbLte: "UsbLte0": connection failed. Jan 01 03:13:38ndmNetwork::Interface::UsbLte: "UsbLte0": connection retry (5/7). Jan 01 03:13:43ndmNetwork::Interface::UsbLte: "UsbLte0": connection failed. Jan 01 03:13:48ndmNetwork::Interface::UsbLte: "UsbLte0": connection retry (6/7). Jan 01 03:13:53ndmNetwork::Interface::UsbLte: "UsbLte0": connection failed. Jan 01 03:13:58ndmNetwork::Interface::UsbLte: "UsbLte0": connection retry (7/7). Jan 01 03:14:03ndmNetwork::Interface::UsbLte: "UsbLte0": connection failed. Jan 01 03:14:08ndmNetwork::Interface::UsbLte: "UsbLte0": connection restart. Вставляю карту назад в мобильный 4G роутер от Билайна - все работает. Переставляю назад - ничего. Пробовал как есть, пробовал через SIM-адаптер - 0 реакции, все тоже самое. Мысли симка какого-то другого формата? Рисунок контактов несколько отличается от Yota'вской. Билайн, продавая роутеры, цепляет SIM к IMEI? Но попробовал ставить симку в телефон - всё отлично работает. плохой сигнал? Но и на телефоне и на роутере Билайн берёт спокойно, 4G. отсутствие поддержки в NDMS/баг? Но ведь я поставил последнюю прошивку (на штатной тоже не запустился), по идеи там уже добавлено всё что только можно (и нужно). Настройки все по умолчанию. Что это может быть? Буду благодарен за любой ответ!

Да, Вы абсолютно правы! Спасибо!!! Вообще мысль взять LTE. Сейчас он решит проблему с IPSec, а в будущем подойдёт для решения с выносной антенной. Ещё вариант вытащить модем из существующей внешней антенны и заменить его на нормальный, может поможет.

Спасибо за информацию!!! Гмм.... дилемма-дилемма. Поставить Keenetic LTE + антенну + мачту и иметь безлимитную Yota, или поставить просто какой-нибудь Start II, Extra II или Giga III, получив нормальный IPSec, а нет подключать по Beeline'у... первое конечно гораздо надежнее, и в перспективе наверное дешевле (особенно если качать много), но дороговато как-то... штук на 15. Будем думать, спасибо ещё раз!

Спасибо большое!!! Будем считать... Кстати, народ, а кто чего может сказать о Keenetic LTE? Конечно в плане вафли он не супер, но во-первых он насколько я понимаю мощнее Omni (будет IPSec/AES-128/SHA1 держать?), во-вторых тут встроенный 4G модем (лучше yotо'вского?), с возможностью подключения внешней MIMO-антенны. Что думаете вообще о нём?

На Yotе??? Не уж то и в прям все дело модеме...

Она вообще у меня вот такая примерно: С прямым подключением по USB к роутеру. Кстати любопытное дело - дача, вокруг яблони, ставил её на чердак - прием CIDR 0, направлял на вышки - 1-3, направил в небо под углом 45 градусов - от 6 до 11 (в лучшие времена). @Le ecureuil А Вы каким модемом и антенной пользуетесь, если не секрет? Просто на самом деле Yota в её нынешнем воплощении меня достала. Может конечно дело в деревьях - поставить мачту и забыть о проблеме, но может и нет. Билайн-то спокойно работает, причём с переносного роутера без всяких внешних антенн и даже в дождь. Удаленность от базовых станций и препятствия примерно одинаковые. Может у Билайна конечно сигнал получше... хз.

Блин, Yota висит... Вроде CINR 6, но периодически падает. Надо антенну поднимать или на Билайн частично переходить... сорри за оффтоп (не могу ничего сделать пока соединение такое).

Гмм... а Вы не могли бы помочь с настройкой L2TP? Клиент Чистый L2TP или L2TP/IPSec? (наверное глупый вопрос, но для меня L2TP новая вещь) Сервер Тут настройки L2TP осуществляются во вкладке IPSec? (просто не вижу отдельно L2TP-сервера)

Спасибо! Видим придётся на PPTP вернутся пока не поменяю Omni. На самом деле 10 мегабит мне бы вполне хватило в данном случае, если бы не 2 НО: 1) отваливается IPSec переодически, и 2) виснет морда. Видимо даже на DES-MD5-DH1 будет также...

@Кинетиковод Что-то у меня пошла сплошная загрузка ЦП на Omni. Он наверное слабоват для IPSec? Или может я намудрил с шифрованием, выставив AES-128/SHA1/DH2-5? Попробовал на 3DES/SHA1/DH2 - опять тоже самое. Кстати, в нём аппаратное шифрование есть? И если да, но нужно ли его активировать как тут: ?

Спасибо всем!!! Решил проблему переводом локальной подсети в другой диапазон. IPSec - жирный плюс! (Отдельное спасибо @Кинетиковод)

Всё получилось! Ну почти все. DES+MD5 конечно не катит, бум переходить на AES (хотя вообще мне кажется компромиссом был бы Blowfish - быстрый, в меру безопасный и малозатратный, но это - детали). Теперь глупый вопрос - вот есть классное IPSec соединение. Заработало как выставил удаленную сетку в 10.0.2.0. Но загвоздка в том, что требуемый HTTP сервак на удаленной сетки требует статику (в нём тупо прописано 10.0.1.2). Можно ли его как-то обмануть и перенаправить в 10.0.2.0? Или только выставив на нём DHCP или поменяв статику (нужно быть там).

Чем это поможет? Засада... обновился до 2.11. Чистка кэша помогла - спасибо @Кинетиковод ещё раз! А вот IPSec ставить не хочешь - место мало. Видимо без флешки никак. (либо чего-то удалить?) Вижу там есть клиент OpenVPN. Не знаю правда есть ли сервак под Ultra II на новых прошивках и насколько он стабилен, но в принципе, OpenVPN должно помочь....

Спасибо, добрый человек, что просветили! Пойду ставить...

Дело в том, что сколько я не пробую ставить туда 2.08 или 2.09, при переходе в вкладки где есть поля ввода (например, там где модули), интерфейс начинает обновляться 2 раза в секунду, что делает его неюзабельным. Может там нужно полный резет сделать, но так как я сейчас удаленно работаю, этого сделать не могу. Да я понимаю, и обязательно от него откажусь, но проблема то останется, скорее всего. У меня на одном конце Ultra II с белым IP, на другом Omni с серным. Omni коннектится к Ultra II - и всё ок. Но так как в обоих сетях одинаковые внутренние диапазоны IP, и так как неделю ещё на удаленном объекте не будут, то чтобы была связь выкручиваюсь созданием прямых машрутов с Omni в локальную сеть Ultra II через PPTP (Omni'вский VPNшный IP), т.е. так: 10.0.1.40 (адрес компа за Ultra с которого обращаюсь в сеть Omni) идёт через 172.16.1.2 (т.е. PPTP IP Omni). При таком раскладе по 172.16.1.2 морда Omni прекрасно открывается, и взаимные пинги идут. Но вот дальше с добавлением правила nat на Omni интерфейс PPTP0 перенаправлять порт (скажем 8080) на локальный (для Omni) 10.0.1.2 - коннекта не происходит. Думал дело firewall'ах - открыл всё и везде на время теста - ничего. По Wireshark пакеты уходят в ретрансмиссию. Такое впечатление что проблема на стороне Ultra II, но на нём то тоже firewall открыт. Так что не понятно. Буду ждать той недели так как ещё одну бессонную ночь на этот тратить не могу. Попробую потом поменять локалку Omni на 10.0.2.0, как в руководстве написано, и соответственно сделать маршруты от сети 10.0.1.0 до 10.0.2.0 и обратно. Хотя в моём представлении должно было работать и так. 2.11 нет для Omni: http://files.keenopt.ru/experimental/Keenetic_Omni/2017-07-25/

Спасибо большое за ответ! А на 2.09 компонент IPSec VPN это клиент? Для Omni на сколько я понимаю IPSec нет вообще. L2TP - хороший вариант! Но думаю по соединению все равно проблема останется. Хочется добить уже PPTP и если всё ок, тогда двигаться дальше.

Не понимаю. Вот через PPTP доступен cli на Omni. Всё прекрасно работает. Как только, эксперимента ради, добавляю на нём NAT с перенаправлением на http-сервер, стоящий за Omni - 0 реакции. Зато Nmap выдает что Port filtered. При этом в Firewall всё открыто, и на устройстве с http-сервером ограничений тоже нет. Мистика какая-то...

PPTP поднято. Прописаны индивидуальные машруты на удаленном Omni, чтобы запросы на локалку 10.0.1.40 шли через шлюз PPTP'шнего IP. На всякий отключил firewall'ы, и открыл все что можно. Пинги от локальной машины до PPTPшнего шлюза удаленной и обратно идут на ура. Через PPTPшный шлюз можно открыть морду роутера - отлично. НО, опять таки не идёт связь с http-сервером за Omni, хотя там четко написано 8080 передавать на 10.0.1.2. В WireShark сплошные TCP Retransmission. В статусе PPTP Server видно что пакеты уходят, но ответов нет. Предположение, что проблема приблизительно как у товарища: Но вот не совсем понимаю как его linux-ове решение: iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 10.0.0.100:80 iptables -t nat -A POSTROUTING -p tcp -d 10.0.0.100 --dport 80 -j SNAT --to-source 10.0.0.1 Реализовать в веб морде. Причём как я понял реализовывается оно на стороне сервера, в данном случае на стороне локального кинетика.

Идём дальше. Настроил PPTP. Omni на сером IP подключается к другому Keenetic'у на белом. Соединение есть. Видимо минус в том что в обеих сетях одинковые внутренние pool'ы - 10.0.1.1 и 10.0.1.1. На "белом" Keenetic добавил маршрут до хоста 10.0.1.2 (http сервер в сети серого кинетика), через адрес шлюза - IP получаемый по PPTP. Соединение с 10.0.1.2 - не выходит. Проблема в том что разные сети? Нужно их развести по скажем 10.0.1.1 и 10.0.2.1? Или я чего-то не понимаю?

В логах, при попытке подсоединения на 8080 Sep 17 00:41:52ndm Sep 17 00:41:52ndmCloud::Agent: invalid tunnelType=8080.

ОК. Сделал так: в NAT выставил TCP 8080 перенаправил на локальный IP порт 80. Сервер там HTTP. Выдает ошибку 400. Далее попробовал добавить NAT 443 на локальный IP с 443 (там тоже есть HTTPS). Рвёмся на TLS Handshake. Вопрос - это Keendns "понимает" что я хочу сделать что-то не заложенное в функционал и блокирует запросы? Просто оставшийся вариант перебрасывания 80 не подходит так как сейчас нахожусь далеко, и если управление по Keendns вырубится, то ничего хорошего не будет.