SySOPik

странно, у меня все отображается. Там скорей всего будет на 2 подключении висеть, оно ж не пропадает, а висит в фоне скорей всего.

А в чем суть в 1 соединение запихивать еще и PPPoE? Что провайдер ночью выключает линк? А там что нет шлюза и локальной и удалённой сети? Как трафик ходит? Нужно лог смотреть, может там не штатно глюки после впихивания 2 линка в основной.

Тогда нужно смотреть лог, на что ругается IP-Sec.

Ну как минимум, чтоб понять какой интернет и когда включен, какие настройки IP-Sec, ну и отрезок лога когда IP-Sec жалуется. а сам IP возвращается тот же или другой?

Без подробностей и скринов настроек ответа не будет. Возможно белый IP меняется, тогда лучше воспользоваться Keendns, подключатся по доменному имени.

1. Зачем в сервере стоит галочка выход в интернет? Сеть что должна через мобилку в инете выходить в инет? Почему в клиенте 10.0.7.2/32? Если должно /24? В настройках пиров и там и там что-то вообще не по инструкции. В серверной части в пире вписано зачем-то лишнее. Зачем-то переадресация портов, которая не нужна. У вас вообще белый IP? На картинке затерто. Походу вы скрестили 2 инструкции и вышла смесь бульдога с носорогом. Если нужно просто с мобилки пользовался инетом с роутера, рекомендую поднять PPTP или L2TP. Сильно проще и удобнее

Маловато, хотя смотря с чего и как заходить. Я использую связки с 7628 start + 7621 speedster - wireguard линк качает около 12-14 мегабит. На 7621 speedster + 7621 speedster реально около 20-25 мегабит. Входные каналы 100 мбит. Причем что интересно, в обоих случаях загрузка процессора 35-60% .

Все не так. Вам сервер нужен для доступа в локалку извне с мобильного?

А Вы что хотели в сохо девайсе, чтоб 10G порты? Это не циско и не джунипер, на минутку. Посмотрите блок схему MT7622, почитайте даташит, там четко написано: One HSGMII(1/2.5Gbps) and one RGMII/MII interface, что как б намекает... PS. Кстати, наличие в спецификации пункта SATA3.0 x 1, как б тоже намекает, что за 1$ можно было распаять порт Sata и сделать еще за 1 $ крышечку с салазками в корпусе топовых роутеров.

вполне обычные разъёмы ,как и везде, с 1 китайской бочки. а зачем его убирать, если он там есть, так и задумано.

Если на офисах тоже стоят кинетики, создайте site-to-site Ip-Sec/Wireguard и включайтесь на сервер по VPN внутренней сети. Более безопасно и всякая гадость не будет стучатся на порты RDP.

Сторонний сервис покажет IP шлюза, который один на всех при серой IP.

Я догадывался, что провайдер видимо "пионер", раз сеть так построена и нет реальных айпи. Разработчики вряд будут отключать функцию проверки keendns на реальность адреса, из-за единого кейса с "кривой" сеткой.

Может проще реальный адрес купить или попробовать с IPv6 поиграться, все проблемы отпадут сами собой и будет все нормально.

Так оно работает исключительно, при попустительстве Вашего провайдера, который допустил дырку в безопасности, разрешив напрямую обмен между точками внутри сети, и разработчиками, что допустили навешивание DDNS на внутренний адрес. Если провайдер сделает Vlan per User и выключит обмен, то обмена не будет.

Потому, что DDNS не предназначен для внутренних сетей, только для наружных реальных IP. Вы городите костыли и упорно хотите "выстрелить себе в ногу". Если есть доступ между точками в сети провайдера, через CGN сети 100.64.0.0./10, что уже само по себе фейспалм и проблема безопасности, защит от вирусов и ддос атак, просто сделайте подключение в клиенте на адрес сервера напрямую.

Ничего не понятно по фоткам, кроме того что один "серый" адрес на интерфейсе 100.64.0.0/10 CGN. А какой второй адрес? Через них WG не работает. А можно норм скрины с веб-интерфейса? И с вкладками маршрутов.

DDNS тоже не работает через серый. Выложите скрин WAN с обоих роутеров. Возможно, WG поднят на внутреннем адресе провайдера, на OpenWRT. И 2 точка подключения с другой стороны тоже внутри его сети, так вы и подключаетесь через провайдера, практически по Lan.

Значит на другой роутер, видимо, по MAC адресу дается белый IP. Посмотрите на обоих роутерах Wan интерфейс чтоб удостоверится. Через "серый адрес" не взлетит.

Агрегация

Вроде в бете 4.0 WISP сделали уже с "холодным" резервированием, возможно с таким сценарием нет проверки соединения, пока не отвалится проводной вход. Проверить не могу, так как у меня все в продакшн и бету ставить крайне неохота.

Зачем? Если нет портов прокинутых, извне к серверу, с инета, не достучатся. Или на сервер лазят сомнительные люди? Тоже не уловил сути ,если внутри сети надо работать, зачем городить ВПН в локалке? Проще сервер перенести в сеть 192.168.1.х и с локалки ходить напрямую, а на сервере нарезать правила своя и чужая сеть

Keendns. Подключатся по RDP по адресу server.firma.keenetic.link:3389. С неудобств - повисит терминалка, пока сервисы кинета раздуплятся что сменился IP.

Ну так в Опен логи по удобоваримости как в кинете. Только за опен врт не надо платить, а за кинет надо. Если уж платить, так за нормальное решение? Ну хотя б фильтры для начала.

Зачем мне внешнее устройство? У меня куча кинетиков в разных местах? Зачем мне городить лог сервер где-то в датацентре с белой IP, для того, чтоб посмотреть логи в удобоваримом формате, как реализовано у 90% других производителей? Можно купить самый дешёвый роутер, сгородить опен-врт, скриптами написать все самому. Тогда зачем мне кинетик? Можно купить Ruijie c их Cloud, развернуть там VPN или Некротик с теми ж функциями. Можно просто купить другого хорошего производителя руотеров, посмотреть как у него сделаны лог и сделать точно так же. Там не нужно 1000000$ и 5 лет работы.