r13

@KorDenЯ через веб создал обычный IPSec туннель, но на всю подсеть а не /32, а потом через cli создал сабжевый туннель указывая для tunnel source и tunnel destination ip адреса локального и удаленного роутеров с каждой стороны туннуля. Вот конфиг: interface EoIP10 security-level private ip address 10.0.10.1 255.255.255.0 tunnel source 192.168.1.1 tunnel destination 192.168.10.1 tunnel eoip id 10 up с другой стороны ip для source и destination поменяны местами Вот в общем то и вся настройка ЗЫ ACL не трогал

Невероятно, но... на текущей версии v2.09(AAUX.3)A0 у меня вполне себе уживается EoIP туннель и PPTP сервер Так что одно из ограничений из первого поста можно поставить под сомнение Когда проверял на ранних версиях где появились туннели действительно PPTP сервер переставал работать, а сейчас все ок.

@Le ecureuil Если туннель(EoIP) создан поверх ручного IPSec туннеля то mtu в ручную выставлять или авто настройка корректно отработает?

В вебе никогда не было этой настройки. http://www.cisco.com/c/en/us/support/web/redirects/ipsec-overhead-calc.html (требуется регистрация)

Там отдельный блок процессора аппаратно шифрует и хешы считает Если обрабатывается им то это и будет минимальная потеря пропускной способности. Разница в производительности для разных алгоритмов шифрования в пределах погрешности. В cli включается crypto engine hardware

Все тонкие настройки этого режима либо через cli, либо путем редактирования конфигурационного файла.

Насколько я знаю регистрация в приложении возможна только из локальной сети.

Эта версия пока бета, поэтому на странице обновлений нужно выбрать Бета-Версия

@MuKu В документации перепутана запись аргументов для команды crypto ike proposal encryption: В доке aes-128-cbc aes-192-cbc aes-256-cbc В cli aes-cbc-128 aes-cbc-192 aes-cbc-256

Значит проблема либо с сервером обновлений либо на вашей стороне так как беты получаются через стандартное обновление. Подождем коментариев от разработчиков.

Тут:

Попробуйте так https://blog.radic.ru/vpn_on_demand/ сам пока не пробовал, будете первым.

Клиент случайно не зареган на вклаке устройств домашней сети с постоянным ip? Если так, то удалить привязку, тогда пустят в гостевую.

нужно в выпадающем списке "локальная сеть " выбрать интернет

Без белого ip работать не будет. Сервер должен быть доступен из интернета.

Самое простое, прописать адрес роутера.

Как настроить телефоны - компьютеры описано в соседних темах. А на роутере в virtualip прописываете общий ключ выбираете локалку(если доступ нужен только к локалке или интернет в выпадающем списке) если нужен интернет то ставим галку nat. Ну и заполняем сеть из которой будут присваиваться адреса клиентам, любая свободная например из старого примера 10.4.0.1 ну и все.

VirtualIP это для конечных клиентов, телефоны или компы. Для объединения роутеров(локалок) либо просто ipsec либо тунель поверх ipsec.

Предлагаю сделать возможность выполнения cli команды не только расписанием по и с возможностью повесить команду на любую кнопку, тогда товарищи из соседней темы получат желаемое, И у будущих пожеланий будет готовое универсальное решение.

Если известно откуда доступ осуществляется то прописать маршрут до этой сети в маршрутах через 2е подключение.

Вписать no перед командой Посмотреть в документации...

@demos.vlz там где модем.

Для команды надо свои адреса подставлять В моем случае IP модема 192.168.0.1 Модем выдает Удаленному роутеру адрес 192.168.0.100 Локальная сеть удаленного роутера 192.168.2.0/24 Сеть из которой сейчас лезу 192.168.1.0/24 Надо соответственно определить свои значения и подставить. ЗЫ 48.88.80.141 это я так понимаю внешний белый IP на модеме? Если так, то он нам не важен ибо мы из VPN(локалки) пытаемся на модем попасть.

@vitgan попрововал, работает, на модем заходит, но какие побочные эффекты будут хз... команда ip static 192.168.1.0/24 192.168.0.100 192.168.1.0/24 Локальная сеть из которой надо зайти на модем 192.168.0.100 - адрес выданный модемом удаленному кинетику.

В порядке предположения еще могу предложить рассмотреть команду cli: ip static Но какой для этого случая будет правильный синтаксис и заработает ли, не уверен, надо пробовать По этой команде думаю разработчики смогут подсказать возможно ли реализовать... ЗЫ пошел пробовать.