r13

Понадобится флешка в роутере, на которой разворачивается opkg например entware, инструкция по установке есть в соответствующей теме. ставим iptables: opkg install iptables далее из под entware вводим команду ifconfig и и узнаем интерфейс нашего модема, наример это cdc_br0 Выолняем следующую команду содержащую имя интерфейса и ip вашего модема: iptables -t nat -A POSTROUTING -o cdc_br0 -d 192.168.0.1 -j MASQUERADE И доступ получен. ЗЫ Если нужно на постоянку то команда оборачивается в хук-скрипт, и этот скрит кладется в папку /opt/etc/ndm/netfilter.d

нужно либо прописывать маршрут в ваш впн на модеме( если есть такая возможность что маловероятно) или opkg + iptables и натить трафик к модему.

Вот кстати вкраце я и описал как, дальше google в помощь

@JIABP Я говорил о встроенном нативном клиенте, внешние(OperaVPN/OpenVPN etc) это совсем другая тема, в них все проще

На IOS on demand через одно место настраивается(типа для корапоратов через iPhone Configuration Utility ) и работает только по сертификатам, так же особенностью релизации энергосбережения явдляется разрыв соединения при засыпании устройства. Если настроен on demand то при пробуждении происходит переподключение если идет запрос к ресурсу находящимуся за vpn. На Android же при засыпании VPN не разрывается если конечно не настроить отключение интернета в режиме сна. Режим "Постоянная VPN" (Always-On VPN) предполагает что весь трафик ходит только через VPN такая настройка требует явного указания IP адреса VPN сервера(така как отрезолвить имя не разрешено) и DNS серверва. Работает не только с сертификатами но и с ключами.

Поменять порт веб интерфейса, и ходить по новому порту

Для первой ультры релизной не будет для нее все закончилось на 2.06, так что выбор за вами что предпочесть. Где взять для нее экспериминтальную написано в обявлениях.

@ankar84 Для "Постоянная VPN" (Always-On VPN) вам еще статический белый IPадрес понадобится, имейте ввиду, а так IPSec Xauth PSK уже есть, но пока без возможности использовать его как маршрут по умолчанию.

@Le ecureuil куда-то отвалился конфиг, в конфиге вроде все есть, а в логе для IPIP10 07[CFG] no config named 'IPIP10' селфтест далее

Добавишь такую проверку для этой лампочки, начнут ныть те у кого трафик через ван начал утекать на модеме не пойми куда ...Нет в жизни счастия.

В логе в последнее время часто вижу следующее: Dec 01 20:15:14ndm kernel: usb 1-1: reset high-speed USB device number 2 using xhci-hcd Dec 01 20:15:14ndm kernel: xhci-hcd xhci-hcd: xHCI xhci_drop_endpoint called with disabled ep 8ff00e80 Dec 01 20:15:14ndm kernel: xhci-hcd xhci-hcd: xHCI xhci_drop_endpoint called with disabled ep 8ff00eac Оно хоть и зеленое в логе, но что бы это значило? ЗЫ Работает вроде нормально.

ССылка есть в первом объявлении: http://files.keenopt.ru/cli_manual/

В CLI vpn-server lcp echo {interval} {count} [adaptive] Подробнее в мануале по CLI

Индикатор фиксирует что установлено интернет соединение, а если что- то за шлюзом (провайдер, али роскомнадзор не дает вам подключиться к желаемому, то индикатору не ведомо) То что вы подключены к провайдеру, но за неуплату на все запросы он вас редиректит на страничку с предложением оплатить это как считать есть интернет или нет? (это уже вопрос из области филосовских предпочтений :))

Ура, Правильно я понимаю что теперь можно организовать полноценный MultiWan и при этом использовать IPSec из прошивки? если использовать iptables без патча только для добавления своих записей и не пользоваться save/restore то ничего не поломается я полагаю?

@ndm Еще к предложениям о использованию: возможность Менять состояние Индикатора FN из под OPKG.

Напишу тут, Что-то на крайней v2.08(xxxx.4)A11 В части IPSec поломалось, настройки не менялись, только обновление. Причем только в части серверной функции. так как после обновления пары девайсов они перестали коннектиться, но исходящий коннект к 1му еще не обновленному поднимался исправно. После обновления последнего и к нему перестало коннектиться. VirtualIP сервер тоже перестал пускать.

тут было: https://forum.keenetic.net/topic/358-ip-cloud-keendns/?do=findComment&comment=10943

@Le ecureuil Это решение предполагает переименование интерфейсов, а как показывает практика, ndms к этому плохо относится, может стоит использовать description интерфейсов? https://forum.keenetic.net/topic/864-интерфейс-isp-пропадает-из-вкладки-ipoe-при-переименовании/

А это уже вопрос к вашему dropbear, что он в лог откинул, ndms тут ни при чем, к тому же сеть ваша и вы по хорошему знаете какие порты у вас открыты и какие сервисы на этих портах висят.

Это же порты источника, они зачастую всегда рандомные, а порт назначения 22

И еще не баг а скорее наблюдение, пинг через IPIP10 over IPSec сильно выше чем через PPTP Через PPTP 5-6 Через IPIP over IPSec 60-70 между одними и теми же точками.

Сейчас на ультре 2 крутится IPIP over IPSec клиент + IPIP over IPSec сервер + IPSec virtual IP Вроде все работает, После перезагрузки роутера криво поднялся IPIP10 over IPSec клиент, по логу вроде все ок, а пакеты не ходят. interface IPIP10 up исправило ситуацию (селфтест ниже) PS IPSec virtual IP как шлюз по умолчанию еще не работает или уже работает? Если работает, то как настроить?

Административно отключен точно не надо т.к. это ручная операция и хук на нее не нужен. А вот 2й и 3й пункт интересны. Уход default route думаю является следствием На Ethernet интерфейсе пропал линк / У PPP упало PPP-соединение так что тоже видимо не актуально. З Ы Текущий wan.d без переменных срабатывает при полном отсутствии интернет подключения или как то иначе?