SySOPik

Ну отчасти правда, дешевый Китай работает очень так себе. Прошивки раз в год, если повезет, может и того меньше. Однако кинетик в плане стабильности прошивок за последний год-два тоже субъективно прям не айс. То обновление кривое на серверах положило все кинетики, то глюк пинг-чека с отвалом гейта (кстати новые узлы проверки в авторежиме, за год, так и не добавились), то DOT/DOH с WG/IP-Sec периодически с "фичами". Причем много глюков инфраструктуры тянут за собой отвал работы роутера, то есть при нештатной работе клауд сервисов он превращается в "кирпич" и например кнопкой FN временно его превратить в "тупой роутер" не получится. PS. Прошу прощения за оффтоп, конструктивная критика о наболевшем.

Странно. AES 128 / SHA256 довольно стандартно. Скорей проблема в группе дифф-хельмана.

А какие до того использовались настройки шифрования фаз?

Странно, фортики очень хорошие устройства, для корпоратива вообще супер (учитывая что там есть IPS, веб защита, антивир, контроль приложений - то чего нет в Кинетах), правда цена подороже будет. Да и поддержка у регионального партнера, если купил много девайсов куда более приоритетная, а не как у кинетика норматив 3 рабочих дня, даже если у тебя под 60 + девайсов в проекте. Тогда навряд в статусе писало б подключено. А с другого провайдера запустить тестово? PS. Форт 40F с сисько, микротом и джунипером работают с VPN нормально.

Рекомендую поднять Site-to-site ipsec, проще и безопаснее.

У меня похожее случалось, проблема решилась после изучения файра и стат маршрутов, была ошибка допущена.

А в файрволе правильно прописано разрешение? На скрине стат маршрут, а не разрешения файра.

У меня работает через десятки кинетиков более 100 камер. Если на видио Дахуа прицеплять камери Хиквижн, будет идти передача по 554 порту, так как задействован onvif, если на родное Дахуа повесить нативно камеру дахуа, пойдет по порту 37777. Вы плагин не путайте с передачей потока с камеры на видеорегистратор. Вопрос звучит как камеру дахуа прикрутить к видеорегистратору, а не смотреть в плагине.

Видео идет не всяко, оно по RTSP , также Dahua работает с TCP и UDP, потому там и указаны порты. Порт 80,433 для доступа к вебу. Через Keendns ходит только https трафик, коим не является видео по 554 порту и 37777.

Я не говорю что он врет, я говорю что такой протокол не заявлен в KeenDNS. Если б он упоминался в описании, я б не покупал белые IP у провайдеров для работы Dahua, а пользовался KeenDNS.

Вебморда будет работать, потому как там https. Видео идет в RTSP , а данный протокол не заявлен в KeenDNS.

Dahua передает видео не по https, а Keendns работает только через http/https.

Так то ж сервер WG отдает IP через сервис DDNS, кинетик конектится туда, куда ему DDNS говорит. Какая IP в логе отображается во время смен адреса.

Значит оно сделано не по стандартам работи с сетями. Как минимум зачем от маршрутизатора требовать работу в нештатном режиме?

Link-Local Address — адреса сети, которые предназначены только для коммуникаций в пределах одного сегмента местной сети или магистральной линии. Они позволяют обращаться к хостам, не используя общий префикс адреса. Подсети link-local не маршрутизируются: маршрутизаторы не должны отправлять пакеты с адресами link-local в другие сети.

Зачем проставлять там вручную ip? У вас там PPPoE, автополучения адреса идет от провайдера именно в разделе PPPoE. Он и не должен получатся в первом пункте.

У вас там скорей всего одинаковые адреса на роутере и на PPPOE. Потому и не работает. Или же что-то с настройками пинг-чека.

Все что меньше 2 ядер/2потоков не подходит.

4.0.7 на всем, 4.1 не использую, но я сомневаюсь что дело в "сломаном" WG в бете. У меня нет потерь связи даже без пингчека на внутренние адреса.

В туннеле несколько клиентов. Трафик периодический. Обрывов туннеля нету. Клиенты и с белым и с серыми адресами. Нужно смотреть настройки WG, скорей всего там где-то проблема. Мне не понятно: "ip_сервера" , "старый_ip_сервера", (новый_ip_сервера:порт) то внутренние адреса WG или внешние белые? Логи с клиента или сервера?

Странно, у меня белый адрес на интерфейсе провайдера, Keendns нормально на него резолвит. В случае смены адреса на другой IP, через несколько минут Keendns опросит и подхватит другой адрес и уже резолвится на него. WG автоматически восстанавливает коннект и без пинг чека на внутрение адреса. В принципе все DynDNS так и работают. Я так понял, в даном случае на Keendns висит старая IP, он не обновляет на новую? Потому WG стучится на xxxxx.keenetic.pro и попадает на старую IP? Надо в ТП узнавать, в чем проблема, смотреть настройки.

Тогда в чем проблема? На кинетике сервере меняется IP, keendns обновляется, клиент переподключится автоматически. Ну да несколько минут не будет связи, но то вполне адекватно.

А создать keendns имя типа firma.keenetic.pro на сервере и прописать его в клиенте, вместо IP адреса не?

Так верно, много чего уже с Украины заблочено в чебурнет. Купить новый EU или UA девайс с евро облаком нужно. Переводить старое железо в новое облако никто не будет. Да и чебурнет скорей всего накроют великим иранско-китайско-северокорейским файрволом в будущем, с мирового инета ловить на той инфраструктуре уже нечего.