Jump to content
  • 0
Saymer

2.12.B.0.0-4 и странная работа прошивки

Question

Доброго времени суток!

Имеется роутер Keenetic 4G III Rev.b, на котором установлена прошивка 2.12.B.0.0-4 (последняя на момент написания) этого поста.

Имеется некоторая странная зависимость, прошивка работает по разному в зависимости от установленных компонентов. Вчера (по отношению ко дню написания поста), у меня всё работало как задумано.

Но вчера, при меньшем количестве компонентов необходимые настройки удалось произвести, после была проверена работа, а после компоненты были установлены, и необходимая работа сохранилась.

Исходя из этого я могу сделать вывод такой. Что если текстовый файл конфигурации сформировался правильно, и всё работает так, как задумано, то уже дальнейшая установка компонентов ничего не ломает.

 

Если же установить все необходимые компоненты, потом сделать сброс и попытаться настроить всё ещё раз, но уже с компонентами, то уже ничего не работает. То есть, не работает совсем.

При этом в журнале пишет ошибку, при попытке сохранения необходимой конфигурации.

 

Сегодня спрашивал в чате неофициальной технической поддержки про это, но ответа там не получил и мне посоветовали написать вопрос здесь.

Так как там есть некоторые скриншоты, то продублирую сюда ссылки из чата.

https://t.me/Keenetic_ru/7977

 

Опишу, что хочу сделать и как сделано сейчас.

 

Есть сеть предприятия, есть DHCP сервер и есть клиенты, которые подключаются к сети. Есть устройство Keenetic 4G III Rev.b с прошивкой 2.12.B.0.0-4.

Ранее  данный роутер работал в режиме ТД (точки доступа), сам ни каких изменений не вносил, DHCP не раздавал. Работал как коммутатор и раздавал при этом Wi-Fi. Проблем это не вызывало.

 

Задумал сделать одну вещь. К одному из портов подключен SIP шлюз D-Link 5112s, который может работать только в режиме UDP или TCP. Он подключен к SIP серверу.

На SIP сервере имеется возможность подключаться по VPN тоннелю, при этом сервер выдает маршруты, что до сервера идет только SIP трафик, а другой трафик идет как обычно, даже без создания отдельного профиля для отдельно устройства.

Вчера взял и выделил отдельный порт, порт 1 в отдельный сегмент. Для этого сегмента сделал необходимые настройки и шлюз стал работать через VPN туннель как и задумано.

 

Так же сделал отдельный сегмент, чисто с Wi-Fi сетью, и сделал там правило, что бы все устройства этого сегмента ходили через VPN сервер, другой VPN сервер, который находится во Франции. Это было сделано для того, что бы тестировать на предмет работы при всяких блокировках.

 

Так же сделал третий сегмент. Третий сегмент это 3 порта LAN и Wi-Fi сеть, которые бы работали как в режиме точки доступа. Отключил там DHCP и снял чек бокс использовать NAT.

Вчера у меня всё работало как и задумано, и я решил сделать сброс, что бы настроить всё так же, но с нуля. Но вот, пол дня ничего не получалось сделать, и тогда в качестве предположения я удалил все компоненты, и оставил только самые необходимые и всё стало работать нормально. Но всё равно немного не так как вчера.

То есть от каждого компонента есть некоторая зависимость, но стабильной работы и зависимости от какого компонента это происходит мне пока установить не удалось.

 

Одно только понятно, что если текстовый конфигурационный файл правильно сгенерирован, то всё работает нормально. Если же нет, то не работает.

Файл генерирует web-интерфейс, который зависит от компонентов.

 

Компоненты которые добавлял/удалял

 

Режим клиента Wi-Fi - вчера этот компонент я не удалял, но сегодня удалил на всякий случай

Клиент L2TP - нужно для подключения к серверу VPN

SSTP VPN-сервер - для подключения к сети через облако, роутер за NAT находится

L2TP/IPsec VPN-сервер - пишет, что это обязательный компонент

IPsec VPN - на сервере l2tp ipsec

Клиент OpenVPN - нужно для подключения к другому серверу

Шлюз прикладного уровня (ALG) для SIP - вчера был, сегодня удалил его

Контроль состояния интернет-подключения (Ping Check) - вчера был, сегодня удалил его

Captive portal - вчера был, сегодня удалил

 

И да, сегодня при попытке сохранить конфиг (при компонентах установленных) была вот такая вот ошибка.

 

Июн 6 16:09:20 ndm
Network::Nat: no removing NAT rule found.

Вот эта ошибка.
Но вчера её не было.

self-test (1).txt

self-test.txt

Edited by Saymer

Share this post


Link to post
Share on other sites

4 answers to this question

  • 0

Не могу добавить в сообщение выше. Спросил на другом форуме. По сути тоже самое, что выше, но может чуть понятнее будет, чем выше написал. Если возможно, то добавить в вопрос выше.

 

vasek00
Скажите, хочу реализовать следующую задачу, увидел на картинке выше. Попробую описать, что хочу получить на выходе.

Есть сеть предприятия, имеем сетку 10.0.4.0/24, DHCP выдается сервером в этой сетке. Есть роутер ZyXEL Keenetic 4G III rev.A. Раньше он работал у меня в режиме точки доступа, начиная с какой то версии появилось отдельный режим такой, переключается в web интерфейсе и проблем с этим нет, понятно. В этом режиме отключается NAT, а так же отключается встроенный DHCP сервер. При этом трафик со всех портов работает как на обычном неуправляемом коммутаторе, LAN и WAN порт объединяются и работают все одинаково. Так же там поднимается Wi-Fi точка доступа, которая находится в одном сегменте с LAN портами и все устройства, которые подключаются к этой Wi-Fi сети, которую создает эта точка доступа получают ip адреса от DHCP сервера сети предприятия и могут обращаться к другим компьютерам в этой сети, а другие компьютеры могут обращаться к клиентам, которые подключены по воздуху без каких либо проблем. Тут всё просто, понятно и логично.

Далее, у меня возникла потребность сделать следующее.
1. Поднять ещё две Wi-Fi точки доступа с NAT. Два разных VPN подключения, для них две разных Wi-Fi сети.
2. Выделить один порт LAN для подключения через VPN. Остальные порты оставить как были в режиме точки доступа.

Как я понял, в режиме ТД такое сделать невозможно. Поэтому вчера перевел устройство в режим роутера, и попытался настроить то, что описано выше. И надо сказать, у меня получилось это сделать. Правда, я проверял получение DHCP от сервера предприятия только клиентом по Wi-Fi, на проводных портах вчера не проверял. После, вчера установил ещё некоторые пакеты, что бы реализовать ещё клиента l2tp ipsec, а после и sstp сервер через облако.

Сегодня сделал сброс, и попытался произвести настройки как вчера, и у меня ничего не вышло. Стал по разному разбираться, делал сброс несколько раз. Пришел к выводу, что если удалить компоненты, которых изначально вчера не было, а потом произвести настройку как вчера, они у меня сохраняются. С компонентами не настройки не сохранялись.
Но вчера я проверял на Wi-Fi клиенте, что бы он получал DHCP от сервера предприятия.
Сегодня я проверял на 3 портах LAN. И эти порты у меня не получали DHCP от от сервера предприятия.

Один из вариантов, сделать 3 LAN порта - портами для TV приставки, тогда они объединятся в один с портом WAN, и клиенты проводные будут получать DHCP от сервера предприятия.

Вопрос, а как сделать, что бы один из Wi-Fi сетей стал тоже получать как TV порт, если по другому сделать нельзя?

Share this post


Link to post
Share on other sites
  • 0

Есть схемы с одним роутером, но есть и с двумя. В схемах с двумя всегда выбираю функционал на обоих как РОУТЕРЫ в виду максимального функционала в прошивке, ну если и его не хватает то всегда есть Entware. Оба роутера соединяются LAN кабелем, т.е. функционал который нужно реализовать как бы делиться на части, где одна часть выполняется на одном, а другая на другом. Пакеты стоят все, за исключение 3-5 ну которые совсем не нужны и не могут понадобиться.

Примечание :
после того как что-то получается и работает ВСЕГДА сохраняю конфиг файл (ну люблю в него смотреть, а иногда и ПОДЧИЩАТЬ от не нужных хвостов или даже в ручную добавлять туда команды, для быстроты ну или cli) если что-то пошло не так то всегда есть шанс вернуться.

Цитата

Далее, у меня возникла потребность сделать следующее.
1. Поднять ещё две Wi-Fi точки доступа с NAT. Два разных VPN подключения, для них две разных Wi-Fi сети.
2. Выделить один порт LAN для подключения через VPN. Остальные порты оставить как были в режиме точки доступа.
Как я понял, в режиме ТД такое сделать невозможно. Поэтому вчера перевел устройство в режим роутера, и попытался настроить то, что описано выше. И надо сказать, у меня получилось это сделать. Правда, я проверял получение DHCP от сервера предприятия только клиентом по Wi-Fi, на проводных портах вчера не проверял. После, вчера установил ещё некоторые пакеты, что бы реализовать ещё клиента l2tp ipsec, а после и sstp сервер через облако.

При схеме например

Клиент2.1---------Роутер2-(LAN)--------(LAN)-Роутер---------Инет
Клиент1.1---------Роутер1-(LAN)--------(LAN)-+

В функционале 2.12 есть управление "Приоритеты подключений" в нем "Привязка устройств к профилям".

Цитата

Сегодня сделал сброс, и попытался произвести настройки как вчера, и у меня ничего не вышло. Стал по разному разбираться, делал сброс несколько раз. Пришел к выводу, что если удалить компоненты, которых изначально вчера не было, а потом произвести настройку как вчера, они у меня сохраняются. С компонентами не настройки не сохранялись.
Но вчера я проверял на Wi-Fi клиенте, что бы он получал DHCP от сервера предприятия.
Сегодня я проверял на 3 портах LAN. И эти порты у меня не получали DHCP от от сервера предприятия.
Один из вариантов, сделать 3 LAN порта - портами для TV приставки, тогда они объединятся в один с портом WAN, и клиенты проводные будут получать DHCP от сервера предприятия.

Вопрос, а как сделать, что бы один из Wi-Fi сетей стал тоже получать как TV порт, если по другому сделать нельзя?

Как писал выше - проверяю конф файл и ЛЕГКАЯ чистка от мусора, замечал если что использовать сервис, а потом его в WEB выключить то настройки в конф остаются - мало ли что.

Что такое ТV порт - это как бы "зеркало" WAN порта, т.е. со всеми пакетиками/протоколами на данном порту => вопрос нужно ли тогда такой вид подключения

Цитата

что бы один из Wi-Fi сетей стал тоже получать как TV порт

В виду сег. стоимости роутеров думаю не возникнет проблеме в доп.покупке.

Ilya Khrupalov уже показывал скрины, но повторю их ниже.

12926343.png

12926341.png

12926312.png

Share this post


Link to post
Share on other sites
  • 0

Не много по последнему конфигу который к посту выше про описание
 

self-test.txt

1. WAN порт
- ISP ip address dhcp / ip global 49325 / ping-check profile default / bandwidth-limit 89016
- L2TP connect via ISP / ip global 33117
- OpenVPN0 connect via ISP / ip global 16908

2. LAN порт1 / LAN порт 4
- VLAN4 / VLAN5

LAN порт2 и 3
- VLAN1

3. Bridge
- Bridge2 / include Vlan4 / include Wifi-Point2 / ip address 192.168.2.1 / ip dhcp pool - range 192.168.2.100 192.168.2.119 / ip nat Bridge2
- Bridge3 / include Vlan5 / ip address 192.168.3.1 / ip dhcp relay lan Bridge3 / ip nat Bridge3
- Bridge1 / include Vlan3 / include GuestWiFi / ip address 10.1.30.1 / traffic-shape rate 51200
- Bridge0 / inherit Vlan1 / include AccessPoint / ip address 192.168.1.1

4. Guest - down

5. Policy
- policy Home permit / Guest Policy0 / Bridge2 Policy0 / Bridge3 permit / host 14:.......:2a permit
- policy Policy0 -> VPN / permit global L2TP0 / no permit global OpenVPN0 / no permit global ISP
- policy Policy1 -> Talk37 / permit global OpenVPN0 / no permit global L2TP0 / no permit global ISP

6. host
- host 14:...:2a 192.168.2.12

к посту

Цитата

Вчера взял и выделил отдельный порт, порт 1 в отдельный сегмент. Для этого сегмента сделал необходимые настройки и шлюз стал работать через VPN туннель как и задумано.

Так же сделал отдельный сегмент, чисто с Wi-Fi сетью, и сделал там правило, что бы все устройства этого сегмента ходили через VPN сервер, другой VPN сервер, который находится во Франции. Это было сделано для того, что бы тестировать на предмет работы при всяких блокировках.

Так же сделал третий сегмент. Третий сегмент это 3 порта LAN и Wi-Fi сеть, которые бы работали как в режиме точки доступа. Отключил там DHCP и снял чек бокс использовать NAT.

Edited by vasek00

Share this post


Link to post
Share on other sites
  • 0

Задал вопрос на двух форумах, поэтому часть ответов есть на другом форуме, а на этом ответов нет. Может кому пригодится, поэтому думаю, что стоит сюда скопировать.

Так же прилагаю схему, которую хочу получить на выходе.

 

Цитата

Прилагаю схему, сделал сейчас.

Вроде как, схема не сложная, но есть нюансы. Можно сделать как, три порта LAN1, LAN2, LAN3 перевести в режим TV приставки. Тогда они будут в одной подсети с портом WAN роутера и трафик там будет ходить, как через коммутатор.
LAN4 останется с NAT, с которым можно уже дальше делать как обычно, на роутере манипуляции.

Вопрос.
А как сделать, что бы WLAN1 так же попал к этим вот портам, которые "для ТВ приставки" ?

Цитата

 

 
Роутер стоит в организации. По фай фай на него цепляются устройства, которые не могут быть подключены по проводу. Например, комп с двумя сетевыми картами. Провод и Wi-Fi адаптер. Разные адаптеры находятся в разных подсетях. Комп берет данные из одной подсети и собирает их в своей базе. Но к этому компу по Wi-Fi из другой сети цепляются клиенты и забирают данные.
Компы из сети предприятия. В сети предприятия несколько подсетей, вида 10.0.3.0/24, 10.0.4.0/24, 10.0.6.0/24. Между этими сетями компы могут ходить и обращаться к устройствам, которые находятся в этих подсетях, прописаны маршруты на оборудовании, Zyxel тут ни при чём.

У нас была точка доступа, которая работала в режиме точки доступа была, сломалась. Принёс свой роутер Zyxel, поставил его в режим точки доступа. Прописал там SSID и пароль, как было раньше. Все устройства подключились к Wi-Fi сети и получили IP адреса от оборудования предприятия. Ну соответственно мы можем обращаться с устройств предприятия на устройства, которые подключены по Wi-Fi.
Устройства по проводу. Так как всегда возникает проблема нехватки портов, коммутаторов лишних как правило не бывает у нас, каждый сетевой порт ценный. И если есть пара свободных портов, хотелось бы их задействовать как коммутатор.
 
 У Кинетика есть 5 портов Ethernet. В один порт приходит кабель от коммутатора предприятия. Остаются 4 порта свободных, в них можно подключать клиентов, компьютеры, устройства.
Одним из устройств является шлюз SIP D-Link 5112s. Этот шлюз умеет только UDP и TCP. Шлюз подключен к облачной АТС. Так же на АТС имеется свой VPN сервер, который присылает маршруты, таким образом, что всё что все пакеты, которые идут на АТС идут через тоннель, а всё что идет на другие адреса идет мимо тоннеля. Но в новой прошивке можно делать разные профили для устройств, и это можно обойти.

Вот и хотелось поэтому, сделать SIP шлюз через тоннель, а всё остальное оставить как было, в режиме точки доступа.
 
По сути мне нужна функция роутера только на одном порту LAN. На остальный портах мне нужно функцию точки доступа. То есть функцию коммутатора.
Нужно функцию коммутатора и функцию точки доступа. Но на одном порту нужна функция роутера (для VPN) и раз уж есть функция роутра, хочу сеть Wi-Fi тоже с VPN отдельную.
 


 

 

Основная идея оставить режим точки доступа, но один LAN порт сделать с режимом роутера, что бы там можно было поднять VPN.

 

Роутрер_схема.png

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

×