Report post 06/18/2017 10:27 AM Админчики добрые! Люд простой! Помогите! Как увидел на форуме - 10.06.2017 00:00 Версия 2.10.A.1.0-0: Экспериментальная версия, Добавлена поддержка OpenVPN. Так сразу закупил 87 штук Keenetic III. Идеальное для нашей компании решение. 18 передо мной уже лежат и ждут настройки, а остальные по разным городам и странам даже разойдутся на следующей неделе. А нет прошивочки долгожданной ни тут https://cloud.mail.ru/public/7rAB/ineftbhek ни тут files.keenopt.ru Помогите, дайте прошивочку на Keenetic III !!!! Через opkg - нереально на всех настроить! Quote Share this post Link to post Share on other sites
Report post 06/18/2017 10:32 AM Откуда вы только беретесь, что прочитав на неофициальном форуме про неофициальную прошивку, не уточнив реального состояния дел, сразу начинаете сливать миллионы денег, а потом жалуетесь, что не работает. Сперва хоть бы почитали тему (чтобы понять, насколько там все "сыро"): Подождите месяц-другой, тогда OpenVPN отладим более-менее и можно будет пользоваться без особых проблем. И вы тоже начните с одного - двух роутеров под боком, обкатайте схему на них, и только потом внедряйте в production. 3 Quote Share this post Link to post Share on other sites
Report post 06/18/2017 11:10 AM 39 минут назад, Dima сказал: Так сразу закупил 87 штук Keenetic III. Идеальное для нашей компании решение... Всё, теперь знаем, кто нам OpenVPN будет тестировать! Скинули файл в личку. Там есть огрехи, но надеемся, для Вас не смертельные. @Le ecureuil пусть пока отдохнёт. 3 Quote Share this post Link to post Share on other sites
Report post 06/18/2017 11:31 AM СПАСИБО ОГРОМНО!!!! И как оперативно! Тихо в лесу, только не спит Админ! Признаю, что покупка такого количества роутеров без тестирования - рискована, но нас ограничили во времени. Я пользуюсь зукселями еще с времен когда модем на 9600 это было круто. Никогда не имел вообще никаких проблем ни с одним и теперь - снова убедившись, что продукт идеален (режим репитера +телефон+ USB модем + VPN) был уверен, что софт заработает, а мелкие баги будут прихлопнуты. Да, буду тестить, буду писать! Спасибо огромное! Quote Share this post Link to post Share on other sites
Report post 06/18/2017 11:42 AM @Dima ну вы замахнулись с таким количеством не протестировав заранее. Для KIII к сожалению не выкладываю, просьба обращаться к уважаемым @ndm и @Le ecureuil Quote Share this post Link to post Share on other sites
Report post 06/18/2017 11:45 AM Только что, enpa сказал: Для KIII к сожалению не выкладываю Мы тоже пока не выкладываем. Хочется прихлопнуть пару багов, пусть будет точка отсчета поприличнее. 1 Quote Share this post Link to post Share on other sites
Report post 06/18/2017 12:28 PM 1 час назад, Dima сказал: Админчики добрые! Люд простой! Помогите! Как увидел на форуме - 10.06.2017 00:00 Версия 2.10.A.1.0-0: Экспериментальная версия, Добавлена поддержка OpenVPN. Так сразу закупил 87 штук Keenetic III. Идеальное для нашей компании решение. 18 передо мной уже лежат и ждут настройки, а остальные по разным городам и странам даже разойдутся на следующей неделе. А нет прошивочки долгожданной ни тут https://cloud.mail.ru/public/7rAB/ineftbhek ни тут files.keenopt.ru Помогите, дайте прошивочку на Keenetic III !!!! Через opkg - нереально на всех настроить! Сильно. Чего тут сказать. Особенно если учесть,что ,что Keenetic III (как и все 7620) не получит официальную 2.10 с OVPN со всеми вытекающими. 2 Quote Share this post Link to post Share on other sites
Report post 06/18/2017 12:38 PM 10 минут назад, T@rkus сказал: Сильно. Чего тут сказать. Особенно если учесть,что ,что Keenetic III (как и все 7620) не получит официальную 2.10 с OVPN со всеми вытекающими. Не получит. Но 87 штук, да и весь этот форум, далеко позади массового рынка. Там свои методы. "Официальность" нужна для техподдержки, которая в таких задачах малоэффективна. Мы продолжим работать по схеме draft/delta, и качество будет не сильно хуже. 7 Quote Share this post Link to post Share on other sites
Report post 06/18/2017 03:30 PM (edited) 3 часа назад, ndm сказал: Не получит. Но 87 штук, да и весь этот форум, далеко позади массового рынка. Там свои методы. "Официальность" нужна для техподдержки, которая в таких задачах малоэффективна. Мы продолжим работать по схеме draft/delta, и качество будет не сильно хуже. Дражайшие и уважаемые админы и добрый люди! Что я могу сделать и чем помочь, чтобы вы продолжали работу по схеме draft/delta? И рад бы отлавливать баги, да вот - незадача - все 18 имеющихся в наличии роутеров, без всяких плясок с бубном, мнгновенно подружились с нашим VPN, подхватили все имеющиеся для тестов 3G, 4G и LTE модемы (включая не указанные в совместимых), проклонировали все тестируемые сети, включая допотопный ТП линк, LAN местного провайдера интернет и прекрасно работают как с нашим Астериксом, так и задармой. Вот хочется чем-то помочь, хотя бы критикой, но ведь все работает! Гоняю, буду пробовать всякие SSL и SSH поверх VPN, хоть и без надобности, но вообще все работает! PS Спасибо всем, принявшим участие в решении моей проблемы, не отвечаю на некоторые посты, просто, чтобы не пылить излишними постами в очень важном и полезном форуме. T@rkus , enpa, иногда приходится принимать такие рискованные решения. В данном случае - рискнул и пью шампанское благодаря Админам. Могло быть и иначе :-). Edited June 18, 2017 by Dima 3 Quote Share this post Link to post Share on other sites
Report post 06/18/2017 07:13 PM (edited) Надо было ещё взять парочку Giga III. Которые поставили бы в центральном офисе. А чем не устраивает IpSec? Edited June 18, 2017 by pachalia Quote Share this post Link to post Share on other sites
Report post 06/18/2017 08:53 PM Уважаемый pachalia. Чтобы ни Ваш вопрос, ни мой ответ не были очевидным и вопиющим оффтопом, сообщаю, что IpSec на 2.10 Кинетик 3 работает также хорошо, как и на 2.9. Претензий нет. Обсуждение преимуществ протоколов - явно не тема этого форума, но вот если бы keenetic когда нибудь занялся SoftEther VPN, вот это было бы круто. Но пока Open Vpn наиболее популярен, вот и у нас он исторически используется. Это тоже скорее мысль вслух, чтобы сообщения не были оффтопом. в центральной офисе много всякого стоит, тут речь о простых рабочих местах с телефонами да и лучше купить и обслуживать одинаковые модели, одинаковые прошивки, одинаковые настройки, одинаковые конф файлы.... 3 Quote Share this post Link to post Share on other sites
Report post 06/20/2017 10:46 AM Учтите, что OpenVPN будет в несколько раз тормознее (особенно на 7621, где IPsec показывает 300 MBps, а OpenVPN - 35 на AES-128-CBC). Измеренная мной максимальная скорость в идеальных условиях на 7620 с шифром AES-128-CBC в текущей реализации составляет всего 12 Мбит/сек. На BF-CBC скорость выше процентов на 30-40, потому кому не очень важна крутейшая безопасность (см. sweet32), могут принудительно перейти на него. Тот же IPsec на 7620 покажет минимум 20 Мбит/сек на AES-128-CBC. 1 Quote Share this post Link to post Share on other sites
Report post 06/20/2017 10:48 AM В 6/18/2017 в 18:30, Dima сказал: Дражайшие и уважаемые админы и добрый люди! Что я могу сделать и чем помочь, чтобы вы продолжали работу по схеме draft/delta? И рад бы отлавливать баги, да вот - незадача - все 18 имеющихся в наличии роутеров, без всяких плясок с бубном, мнгновенно подружились с нашим VPN, подхватили все имеющиеся для тестов 3G, 4G и LTE модемы (включая не указанные в совместимых), проклонировали все тестируемые сети, включая допотопный ТП линк, LAN местного провайдера интернет и прекрасно работают как с нашим Астериксом, так и задармой. Вот хочется чем-то помочь, хотя бы критикой, но ведь все работает! Гоняю, буду пробовать всякие SSL и SSH поверх VPN, хоть и без надобности, но вообще все работает! PS Спасибо всем, принявшим участие в решении моей проблемы, не отвечаю на некоторые посты, просто, чтобы не пылить излишними постами в очень важном и полезном форуме. T@rkus , enpa, иногда приходится принимать такие рискованные решения. В данном случае - рискнул и пью шампанское благодаря Админам. Могло быть и иначе :-). Вот и славно, что у вас все заработало. Однако учтите, что 2.10 - это draft, и не нужно обновлять все устройства на него каждую неделю по мере выхода. Для партии в сотню штук лучше выбрать одну-единственную прошивку, которая у вас точно и работает и не трогать ее до выхода beta. А draft ставить только на устройства "под рукой" для проверки, что ничего не сломалось / не сломали. 2 Quote Share this post Link to post Share on other sites
Report post 06/20/2017 10:51 AM В 6/18/2017 в 23:53, Dima сказал: Уважаемый pachalia. Чтобы ни Ваш вопрос, ни мой ответ не были очевидным и вопиющим оффтопом, сообщаю, что IpSec на 2.10 Кинетик 3 работает также хорошо, как и на 2.9. Претензий нет. Обсуждение преимуществ протоколов - явно не тема этого форума, но вот если бы keenetic когда нибудь занялся SoftEther VPN, вот это было бы круто. Но пока Open Vpn наиболее популярен, вот и у нас он исторически используется. Это тоже скорее мысль вслух, чтобы сообщения не были оффтопом. в центральной офисе много всякого стоит, тут речь о простых рабочих местах с телефонами да и лучше купить и обслуживать одинаковые модели, одинаковые прошивки, одинаковые настройки, одинаковые конф файлы.... softether слишком большая, громоздкая, медленная (+ работающая в userspace) и сложная штука для непосредственной интеграции в ndms (и даже тот же openvpn на самом деле тоже очень непрост, но масовый спрос вынуждает). Пока у нас нет планов на это. 1 Quote Share this post Link to post Share on other sites
Report post 06/20/2017 11:16 AM В 6/18/2017 в 18:30, Dima сказал: Что я могу сделать и чем помочь, чтобы вы продолжали работу по схеме draft/delta? Главное, что необходимо помнить, находясь в этой схеме — есть определенный риск. Мы стараемся поддерживать качество без регресса, но не гарантируем его. Гарантию вы берете на себя. Мы настоятельно рекомендуем перед установкой обновления делать резервную копию firmware и startup-config. В противном случае Вы не сможете вернуться на рабочую версию, т.к. на сервере обновлений её не будет. Чужие прошивки тоже не помогут, т.к. там может не оказаться нужных компонентов. 3 Quote Share this post Link to post Share on other sites
Report post 06/20/2017 03:36 PM (edited) 6 часов назад, Le ecureuil сказал: Учтите, что OpenVPN будет в несколько раз тормознее (особенно на 7621, где IPsec показывает 300 MBps, а OpenVPN - 35 на AES-128-CBC). совершенно верно! у меня 5Mbs на OpenVpn, против 25. Но этого вполне достаточно (именно для наших задач). 5 часов назад, Le ecureuil сказал: 5 часов назад, ndm сказал: Главное, что необходимо помнить, находясь в этой схеме — есть определенный риск. Мы стараемся поддерживать качество без регресса, но не гарантируем его. Гарантию вы берете на себя. Мы настоятельно рекомендуем перед установкой обновления делать резервную копию firmware и startup-config. В противном случае Вы не сможете вернуться на рабочую версию, т.к. на сервере обновлений её не будет. Чужие прошивки тоже не помогут, т.к. там может не оказаться нужных компонентов. Однако учтите, что 2.10 - это draft, и не нужно обновлять все устройства на него каждую неделю по мере выхода. Для партии в сотню штук лучше выбрать одну-единственную прошивку, которая у вас точно и работает и не трогать ее до выхода beta. А draft ставить только на устройства "под рукой" для проверки, что ничего не сломалось / не сломали. Спасибо! очень полезное замечание для всех! конечно, так и делаю - уже почти на всех стоит ИМЕННО эта прошивка, всем разосланы детальные ОДИНАКОВЫЕ инструкции по настройке и одинаковые ovpn конфиги. Работает - и отлично! Обновление прошивки - не есть цель, цель - работоспособность! И копии сделаны... 5 часов назад, Le ecureuil сказал: softether слишком большая, громоздкая, медленная (+ работающая в userspace) и сложная штука для непосредственной интеграции в ndms (и даже тот же openvpn на самом деле тоже очень непрост, но масовый спрос вынуждает). Пока у нас нет планов на это. Еще раз большое спасибо за труд и понимание! Edited June 20, 2017 by Dima Quote Share this post Link to post Share on other sites
Report post 06/20/2017 04:56 PM 6 часов назад, Le ecureuil сказал: Учтите, что OpenVPN будет в несколько раз тормознее (особенно на 7621, где IPsec показывает 300 MBps, а OpenVPN - 35 на AES-128-CBC). совершенно верно! у меня 5Mbs на OpenVpn, против 25. Но этого вполне достаточно (именно для наших задач). добавлю AES-256-CBC- по UDP на 4MBps - загрузка процессора около 50% на 5 - 60%, на 6 -75, на 8 - 85. по TCP на 4MBps - загрузка процессора 30% на 5 - 45%, на 6 -50, на 8 - 70. Насколько я понимаю, TCP аппаратно поддерживается, Однако, высоких скоростей ждать не приходится. Кому надо - учтите.... Quote Share this post Link to post Share on other sites
Report post 07/06/2017 06:16 PM Долго выбирал железку и выбрал именно zyxel keenetic ultra ll, микротик, асус и буфало отпали. Либо железо слабое, либо проблемы с кастомными прошивками. В общем искал железку именно для softether. Порадовало, что все завелось из коробки. Очень надеюсь в будующем увидеть нативную потдержку данного vpn в самой ОС роутера. Огромное спасибо сообществу и местным админам! Вы делаете большую, а главное полезную работу! Quote Share this post Link to post Share on other sites
Report post 07/06/2017 07:20 PM softether слишком молод (только-только 3 года стукнуло), чтобы его применять направо и налево. Пускай устаканится. Quote Share this post Link to post Share on other sites
Report post 04/02/2018 08:53 AM Скажите, как сейчас со скоростью openvpn на данном устройстве. (Zyxel Keenetic III MT7620A 600 МГц)? Думаю его брать или другой вариант посмотреть. Quote Share this post Link to post Share on other sites
Report post 04/04/2018 07:15 PM В 4/2/2018 в 11:53, arsik сказал: Скажите, как сейчас со скоростью openvpn на данном устройстве. (Zyxel Keenetic III MT7620A 600 МГц)? Думаю его брать или другой вариант посмотреть. До 12-14 Мбит/с в идеальных условиях. 1 Quote Share this post Link to post Share on other sites
Report post 09/18/2018 07:05 PM (edited) del Edited September 19, 2018 by che100 Quote Share this post Link to post Share on other sites