r13

Собственно сабж, настраивал экстру ( v2.09(ABGH.3)A0 ) как точку доступа вручную, и в брижде изменение галки NAT не сохраняется. Перезаходишь и галка NAT опять на месте. Через cli nat выключился.

Ну это уж на вкус на цвет

Используйте 255.255.128.0 Это хосты с 192.168.0.1 по 192.168.127.254 ЗЫ Локальная сеть зухеля не должна пересекаться с этим диапазоном.

Не, не поможет, как уже сказал @KorDen голый ipsec на зухеле не маршрутизируется. Выдны только непосредственно соединенные локальная и удаленная сеть. Если все сети 192.168.ххх.yyy то можно попробовать в настройках ipsec объявить удаленную сеть 192.168.0.0 с соответствующей маской, но тогда локальную сеть зухеля нужно будет в другом диапозоне перенастроить.

Ну и я поддержу

@ndm Упомянутая тема немного о другом, там тоже один маршрут по умолчанию, но через мулти wan, разве что рассматривать эту тему в более широком смысле(гибче)

Да

В транспортном пока не пробовал, так как текущий ipsec туннель и просто для доступа к локалке используется.

@KorDenЯ через веб создал обычный IPSec туннель, но на всю подсеть а не /32, а потом через cli создал сабжевый туннель указывая для tunnel source и tunnel destination ip адреса локального и удаленного роутеров с каждой стороны туннуля. Вот конфиг: interface EoIP10 security-level private ip address 10.0.10.1 255.255.255.0 tunnel source 192.168.1.1 tunnel destination 192.168.10.1 tunnel eoip id 10 up с другой стороны ip для source и destination поменяны местами Вот в общем то и вся настройка ЗЫ ACL не трогал

Невероятно, но... на текущей версии v2.09(AAUX.3)A0 у меня вполне себе уживается EoIP туннель и PPTP сервер Так что одно из ограничений из первого поста можно поставить под сомнение Когда проверял на ранних версиях где появились туннели действительно PPTP сервер переставал работать, а сейчас все ок.

@Le ecureuil Если туннель(EoIP) создан поверх ручного IPSec туннеля то mtu в ручную выставлять или авто настройка корректно отработает?

В вебе никогда не было этой настройки. http://www.cisco.com/c/en/us/support/web/redirects/ipsec-overhead-calc.html (требуется регистрация)

Там отдельный блок процессора аппаратно шифрует и хешы считает Если обрабатывается им то это и будет минимальная потеря пропускной способности. Разница в производительности для разных алгоритмов шифрования в пределах погрешности. В cli включается crypto engine hardware

Все тонкие настройки этого режима либо через cli, либо путем редактирования конфигурационного файла.

Насколько я знаю регистрация в приложении возможна только из локальной сети.

Эта версия пока бета, поэтому на странице обновлений нужно выбрать Бета-Версия

@MuKu В документации перепутана запись аргументов для команды crypto ike proposal encryption: В доке aes-128-cbc aes-192-cbc aes-256-cbc В cli aes-cbc-128 aes-cbc-192 aes-cbc-256

Значит проблема либо с сервером обновлений либо на вашей стороне так как беты получаются через стандартное обновление. Подождем коментариев от разработчиков.

Тут:

Попробуйте так https://blog.radic.ru/vpn_on_demand/ сам пока не пробовал, будете первым.

Клиент случайно не зареган на вклаке устройств домашней сети с постоянным ip? Если так, то удалить привязку, тогда пустят в гостевую.

нужно в выпадающем списке "локальная сеть " выбрать интернет

Без белого ip работать не будет. Сервер должен быть доступен из интернета.

Самое простое, прописать адрес роутера.

Как настроить телефоны - компьютеры описано в соседних темах. А на роутере в virtualip прописываете общий ключ выбираете локалку(если доступ нужен только к локалке или интернет в выпадающем списке) если нужен интернет то ставим галку nat. Ну и заполняем сеть из которой будут присваиваться адреса клиентам, любая свободная например из старого примера 10.4.0.1 ну и все.