615. kononets, 15.05.2013 11:22

Volt1 может я чего не понимаю. но разве что-то мешает акорпу скачать исходники wive и собирать самостоятельно? даже такой дуб, как я, смог собрать работоспособный образ.

1212. kononets, 07.10.2013 23:40

SORM Пинг идет с впн-клиента на адрес 192.168.1.40, НО ОБРАТНО с компа на впн-клиента 192.168.1.201 НЕ ИДЕТ! на правах гадалки: для l2tp сервера проксиарп не активирован, поэтому из подсети нет пинга на клиента. Добавление от 07.10.2013 23:42: (для конфигурации с нат он не нужен - потому, видно, и нет его по умолчанию)

1214. kononets, 07.10.2013 23:57

то есть с галочкой "NAT" типа все должно работать, нет? все время забываю, что у вас там parprouted

1216. kononets, 08.10.2013 00:02

sfstudio адача как я вижу не стоит в "прозрачном" соединении для чего проксиарп и нужен. я так понял, что товарищ как раз хочет "прозрачного" соединения. он же вроде пишет, что ему надо чтобы в обе стороны пинг шел, по ip: c l2tp клиента на комп в подсеть и обратно, с подсети на l2tp клиента? с компе в подсети на клиента у него не идет, о чем он и жалуется.

1218. kononets, 08.10.2013 00:08

действительно. тогда нифига не понятно, почему у него "в одну сторону" "пинг" "ходит", а в "другую" - "не ходит".

1247. kononets, 12.10.2013 16:30

sfstudio Это не левый способ, а какраз правильный, клиенты с обеих сторон должны знать куда слать пакеты для заданной сети. Иначе только проксиарп юзать. о чем я, собственно, и говорил.

1249. kononets, 12.10.2013 16:37

sfstudio ну при чем тут гадалка? подсеть для локалки и vpn клиентов одна, а на винде маршрут для подсети направлен в езернет интерфейс. если нет на vpn шлюзе проксиарпа - то не пойдет пинг (и любой ip трафик) с винды в локалке на vpn клиента. а вот почему при этом с vpn клиента на винду пинг (ip трафик) идет и возвращается - для меня полнейшая загадка.

1251. kononets, 12.10.2013 16:55

sfstudio 2) Проксиарп тут не причём вовсе. Другое дело что ему нужно чтобы броадкасты с мультикастами бегали, вот тут проксиарп и нужен у него пинги не ходят, а пинги не мультикаст и не броадкаст. 3) Идёт потому что логика в прошивке корректно добавляет статику до клиента и реальной подсети клиента при подключении, а вот клиенту со стороны vpn сервера отдать маршрут не моги, такова реализация. И когда сети пересекаются имеем швах. нифига не объяснение. пинг с vpn клиента на винду в локалке идет, стало быть в обе стороны пакеты проходят. а пинг с винды в локалке, сюрприз, не идет. такого имхо быть просто не может.

1258. kononets, 12.10.2013 18:24

sfstudio Кстати с xl2tpd могут быть варианты. И тогда придётся ещё костыль делать типа там вообще-то l2tp over ipsec. у вас же просто l2tp?

1260. kononets, 12.10.2013 19:32

sfstudio Там немного о другом речь в части костыля. именно

1262. kononets, 12.10.2013 20:21

SORM имхо должно быть достаточно.

1264. kononets, 12.10.2013 21:00

SORM см Прошивка Wive-NG-RTNL для устройств RT305x (http://forum.ixbt.com/topic.cgi?id=14:54583) в заглавном посте есть информация. по коммиту я могу понять следующее. sfstudio интегрировал новую переменную в конфигурацию роутера, сохраняемую в nvram, и добавил механизм активации proxyarp в зависимости от значения новой переменной. это выглядит "поболее двух строчек", но для вас не принципиально, поскольку выполняемая команда не изменилась.

1266. kononets, 13.10.2013 15:26

SORM Включаю NAT, пинг идет с впн-клиента на домашний комп, обратно не идет, т.е. ничего не поменялось. абсолютно логично, так и должно быть. nat пропускает трафик с vpn клиента в lan. а в обратном направлении трафик не пойдет, потому что винда в lan не имеет правильного маршрута на vpn клиента. В файле /etc/ppp-l2tpsrv/options.l2tp вы не сказали noproxyarp убрать, может быть и тут нужно прописать proxyarp? может и тут нужно. я настолько глубоко не вчитывался в логику запуска l2tp сервиса. Заработал межсетевой arp или нет? не заработал, т.к. в списке не появился ip адрес vpn клиента с ethernet адресом, идентичным ethernet адресу с приватным ip шлюза. В общем вывод такой: вывод такой, что ручки шаловливые.

1268. kononets, 13.10.2013 17:54

SORM L2TP NAT OFF + ARP Proxy (parprouted), было бы очень интересно почитать для общего развития... у связки три компонента: vpn клиент (.201), шлюз (.1), винда в lan за шлюзом (.40). ip vpn клиента входит в диапазон lan сети (192.168.1.x). vpn клиент: --- маршрут в lan сеть (должен быть) направлен в vpn соединение. шлюз: --- маршрут на lan сеть направлен в lan езернет интерфейс --- специальный маршрут к vpn клиенту направлен в vpn соединение. --- arp proxy анонсирует на lan езернет интерфейсе шлюза, что ip адрес vpn клиента находится здесь. винда в lan за шлюзом: --- маршрут на lan сеть направлен в езернет --- маршрут по умолчанию направлен на lan ip шлюза 0. arp proxy для vpn сервера включен, nat выключен. Пакет (допустим, ping или icmp echo request) c vpn клиента (.201) для винды в lan(.1). Маршрут в lan сеть (или маршрут по умолчанию ) для ip lan сети направлен на шлюз, и отправляется в vpn соединение. Шлюз принимает пакет, видит адрес назначения .60, смотрит на свою таблицу маршрутов, видит маршрут на lan сеть, направленный в езернет; смотрит в arp таблицу и видит, что ip .1 соответствует езернет адресу винды в lan. Поэтому пакет отправляется винде через езернет. Винда принимает его, формирует ответный пакет (icmp echo reply) для адреса .201. Смотрит свою таблицу маршрутов, там есть маршрут в езернет; смотрит в arp таблицу, а в arp таблице есть запись, которая связывает ip .201 и езернет mac адрес шлюза (это согласно анонсу arp proxy шлюза). Пакет для .201 отправляется на шлюз через езернет. Шлюз принимает езернет пакет, видит адрес назначения .201, смотрит в свою таблицу маршрутов, находит специальный маршрут для .201, который направлен в vpn соединение, и переправляет его vpn клиенту. 1. отключаете arp proxy - винда не знает, куда слать трафик для .201, т.к. arp анонса не было, и ip адреса vpn клиента нет в arp таблице винды. пинги (и любой другой ip трафик) между виндой в lan и vpn клиентом не ходят вообще. 2. отключаете arp proxy и включаете nat для vpn сервера - винда успешно отвечает на запросы (тк nat на шлюзе подменяет адрес vpn клиента .201 на адрес шлюза .1, для которого запись в arp таблице есть). Но свои пинги vpn клиенту винда не может отправить. На винде маршрут для lan направлен в езернет, но arp анонса для адреса .201 в arp таблице на винде нет, поэтому куда слать трафик для .201 - винде неизвестно. 3. включаете и arp proxy, и nat для vpn сервера: трафик для соединений, инициированных с vpn клиента, должен ходить как описано в п (2). трафик для соединений, инициированных с винды на vpn клиента, будет сломан, т.к. "запрос" будет направлен на ip vpn клиента и пойдёт с помощью proxy arp (как в пункте 0), а "ответ" с vpn-клиента будет пропущен шлюзом через nat, и придет на винду с адреса шлюза, а не vpn клиента. т.е. винда в lan будет слать пакеты на ip vpn клиента, а обратно приходить они будут с ip шлюза. этого винда абсолютно не ожидает, такие пакеты будут отброшены. как-то так. форматирование поправлял, чтоб читалось получше адрес шлюза исправлен на .1

1270. kononets, 13.10.2013 18:57

SORM откуда взялся шлюз .60 и с какой он стороны, я про него ничего нигде не указывал. Может быть это вы про сам роутер 192,168,1,1? да, моя ошибка, должен быть роутер, 192.168.1.1 сам не знаю, почему написал .60, вроде проверял по вашим постам. исправил .60 на .1

1321. kononets, 26.11.2013 14:42

Dimana javascript режет

1339. kononets, 01.12.2013 02:01

sfstudio пинговалку что, lcp echo уже отменили? mp3sova автоматом переподнять подключение при потере инета\сигнала? Хотелось бы автономности... зависит от модема. хотите 100% уверенности - тестируйте выбранный вариант. модем может глючить/зависать. питания от usb слота шлюза может "не хватать". я лично нарывался на обе проблемы с одним модемом. то есть вся логика в шлюзе работала, а модем тупо вис. оживал по ресету, либо надо было вручную переподключать модем к порту. на 3420 rev 1 openwrt в принципе неплохо работает, в том числе с usb модемами. rev 2.x только в транке. а профита от эксплуатации модема под вайв - 0.

1368. kononets, 02.12.2013 02:23

termit На первом (подключен к провайдеру) настроил беспроводную сеть с WPA2/PSK и AES, диапазон раздаваемых адресов поставил начиная с 192.168.1.10. Работает. Далее включаю на нём-же WDS в режим bridge, после чего моя беспроводная сеть перестаёт видеться клиентом. Второй маршрутизатор , я настроил в режим bridge, присвоил ему IP=192.168.1.2, wds в нём в режим repeater и отключил DCHP. Маки посмотрел через nvram_show 2860|grep MAC (WLAN2_MAC_ADDR), и прописал (в поле APP MAC Address на странице WDS) у первого мак второго и наоборот. Но второй маршрутизатор пока выключил, т.к. даже с первым связь пропадает при включении WDS. Подскажите, пжалста, ЧЯДНТ? только что проверил у себя. первый шлюз (который подключен к провайдеру): ap-gateway, wds/repeater. модель - длинк на 3352. второй шлюз: ap-gateway, wds/repeater и отключил dhcp. модель - длинк на 3050. все работает. андроидным смартфоном могу подключиться к первому шлюзу или ко второму. тестовый звонок в скайп без проблем. P.S. ОБА шлюза имеют прошивку с новым драйвером (самосбор).

1370. kononets, 02.12.2013 03:59

termit На первом (подключен к провайдеру) настроил беспроводную сеть с WPA2/PSK и AES, диапазон раздаваемых адресов поставил начиная с 192.168.1.10. Работает. Далее включаю на нём-же WDS в режим bridge, после чего моя беспроводная сеть перестаёт видеться клиентом. попробовал первый шлюз настроить как wds/bridge: первый шлюз ap-gateway, wds/bridge. беспроводная сеть не видна клиентам. второй шлюз: ap-gateway, wds/repeater, dhcp отключено. клиенты подключаются и работают (получают адрес и доступ в интернет через wds линк с первым шлюзом). имхо все работает как должно.

1412. kononets, 16.12.2013 16:38

Asmohata У вас же есть готовый vpn канал. Задайте на "Srv 2" статический маршрут в сеть 192.168.45.0/24, направленный в vpn шлюз "GW A1". Пусть доступ к нему из сети B работает тоже через vpn - так же, как и к "Srv 1".

1429. kononets, 11.01.2014 04:55

sfstudio Поправил https://gitorious.org/wive-rtnl-ralink-rt305x-router…693abcaf54ab8840b код: 23 23 #define _PATH_CHAPFILE_SRV _ROOT_PATH "/etc/ppp-l2tpsrv/chap-secrets" 24 24 #define _PATH_SRPFILE _ROOT_PATH "/etc/ppp/srp-secrets" 25 25 #define _PATH_SYSOPTIONS _ROOT_PATH "/etc/ppp/options" 26 #define _PATH_SYSOPTIONS_SRV _ROOT_PATH "/etc/ppp/ppp-l2tpsrv/options" 26 27 #define _PATH_IPUP _ROOT_PATH "/etc/ppp/ip-up" 27 28 #define _PATH_IPDOWN _ROOT_PATH "/etc/ppp/ip-down" 28 29 #define _PATH_IPPREUP _ROOT_PATH "/etc/ppp/ip-pre-up" в новой строке 26 указано "/etc/ppp/ppp-l2tpsrv/options", а должно быть "/etc/ppp-l2tpsrv/options", нет?

1470. kononets, 26.01.2014 17:25

modifier я не мастер, но решал похожую задачу: собирал 3352 без usb в маленький флеш. возьмите за основу конфиг от 3052 2T2R USB. модифицируйте этот конфиг в том что касается платформы и беспроводной части - согласно написанному в конфиге для 3050 1T1R. сделайте копию сборочного скрипта и добавьте новый "профиль" 3050 1T1R USB, опять же на основе 3052 2T2R USB, но с новым конфигом. собирайте новый профиль. будьте готовы восстанавливать окирпиченный роутер. через uart консоль, например. проверьте заранее, что это работает. у меня был длинк с веб интерфейсом для аварийного восстановления, а вот консоль в нем была кастрированная по самое не могу, в консоли делать вводить команды было нельзя.

1553. kononets, 25.02.2014 22:50

вопрос: шлюз на wive работает vpn сервером, хочу форвардить броадкаст udp трафик vpn клиентам. как сделать? самому bcrelay добавлять и пересобирать, или есть альтертантивы? спасибо.

1556. kononets, 27.02.2014 21:18

sfstudio прошу пояснить насчет возможности в wive релеить из LAN броадкаст трафик vpn клиентам. есть ли готовое решение или надо самому добавлять и собирать bcrelay? заранее спасибо.

1589. kononets, 17.04.2014 01:08

uvaxut в /etc/dropbear лежат host keys. host keys используются для проверки подлинности сервера, но не для входа пользователей. Для входа используются другие ключи. На клиенте генерируете пару публичный ключ - приватный ключ, в формате dsa. Приватный ключ нужен на клиенте, а публичный ключ копируете на wive, в файл ~/.ssh/authorized_keys На wive по умолчанию домашним каталогом пользователя admin является "/", т.е. корень, см /etc/passwd. В корне нет подкаталога ".ssh" с файлом "authorized_keys", и в корень нельзя записывать. Поэтому чтобы для пользователя admin заработала авторизация по ключам, надо в файле /etc/passwd задать для пользователя admin такой домашний каталог, где можно будет создать подкаталог .ssh, а внутри файл authorized_keys. Например, домашний каталог может быть /etc/Admin, там внутри надо создать .ssh и .ssh/authorized_keys, и в .ssh/authorized_keys записать публичный ключ. Далее пробуете подключиться клиентом, используя для авторизации приватый ключ.

1591. kononets, 19.04.2014 14:54

uvaxut Кажется, ещё надо выполнить команду "fs save" (без кавычек), тогда роутер запишет во флеш добавленные файлы и изменения в файле /etc/passwd. Если этого не сделать, то добавленные и измененные файлы не сохранятся при перезагрузке роутера.

1593. kononets, 19.04.2014 21:10

Semen на wive небось дополнительно имеются ещё 100500 разных правил в цепочке FORWARD, которые могут порезать ваш трафик. попробуйте заменить -A на -I: код: iptables -I FORWARD -d 1.1.1.1 -p tcp --dport 22 -j ACCEPT iptables -I FORWARD -s 1.1.1.1 -p tcp --sport 22 -j ACCEPT

1595. kononets, 20.04.2014 00:31

тогда не знаю. можно попробовать отключить аппаратный нат, но я не знаю, как аппаратный нат взаимодействует с таким трафиком.

1603. kononets, 25.04.2014 16:00

Semen Dropbear умеет это делать. а это вообще возможно при запуске dropbear из-под inetd?

1611. kononets, 28.04.2014 13:13

st0002 соседних точек всего одна на 1м канале. я свою настроил на 12 канал на правах гадалки: попробуйте 11 канал. бывает, что техника не способна работать на каналах выше 11. шифрование попробуйте отключить, или выбрать TKIP/AES (wireless settings -> security)

1655. kononets, 03.07.2014 22:27

Dr. Deimos делайте dsa ключ

1775. kononets, 20.12.2014 05:56

SargeT И теории все возможно. На практике зависит от опыта, понимания и кривизны рук; в частности предвижу проблемы с настройкой "тырпырлинк на прошивке от производителя". Я бы на вашем месте не "объединял" две домашине сети, а просто подключался к wive с ноута l2tp клиентом по необходимости, а дальше уже запускал RDP. Скажем, можно велеть l2tp серверу выдавать адреса из той же подсети, что и приватная для wive. При этом необходимо исключить адреса, выдаваемые l2tp сервером, из диапазона dhcp сервера wive; активировать l2tp proxyarp и деактивировать enable NAT. В этом случае при подключении с лаптопа l2tp клиентом (без ipsec!) лаптоп окажется "в приватной сети" асуса, и можно будет запускать RDP по приватным адресам сети wive.

1778. kononets, 21.12.2014 00:10

SargeT А разве если я подключу tplink через vpn к предварительно настроенному по вашим пунктам Wive, как если бы подключался к провайдеру, авторизующему по впн, то у меня все устройства не попадут из сети tplink в сеть wive? Я думал если загвоздка будет, то будет в серверном устройстве. Просто мне подключаться с лэптопа не самое главное, мне бы увидеть среди устройств Wive-сети камеру, которая стоит за серой клиентской tplink-сетью то, что вы хотите, называется site-to-site vpn. предложенные мной настройки для этого не подходят. на wive можно настроить что нужно. но вангую, что l2tp клиент вашего тплинка не умеет создавать site-to-site соединение. это значит что подключиться тплинк к вайв вероятно сможет, но для доступа к камере придется открывать порты на тплинке, плюс все будет через полную задницу и не факт вообще будет работать (я хз например как работает веб интерфейс камеры).

1797. kononets, 06.01.2015 20:06

solob как правило, бесперебойная работа wds гарантируется только при использовании одинакового железа и софта на wds-ap и wds-sta. у вас на одном конце вайв, а на другом конце что?

1799. kononets, 07.01.2015 00:07

solob В 20 Мгц канале соответственно скорость ~50-60 МБит, а 40 Мгц никак. Эфир не перегружен? 40 МГц 1T1R пробовали? каналы совпадают или на одной wr-300nu каналы 6+10, а на другой 6+2? Я лично последний раз на 4.7х wds тестировал, но с тех пор ни разу. У меня одна железка на самосборе, который вайв официально не поддерживает, патчить лень. На 4.7 wds соединялось, тесты прошли ок.

1804. kononets, 08.01.2015 19:18

compsmaster Смысла выкладывать лог не вижу смысл выкладывать лог в том, чтобы тот, кому понадобится, мог понять, что там у вас - кривые руки, подземный стук или реальная проблема. выкладывать лог тоже уметь надо. не любой лог годится, нет.

1838. kononets, 15.02.2015 16:43

f0i Нет списка сетей. Список был пока был client mode c client драйвером. В "официальных" сборках для устройств с 4 Мб флеш (в том числе DIR-300) client драйвер не используется, начиная где-то с версии 3.х - по причине нехватки места на флеш. Вместо него используется apcli драйвер. Для apcli имя сети и канал нужно задавать вручную. За это сообщение сказали спасибо [2]: f0i, Мак-Гуру