r13

@eralde добрый день Прошу добавить в настройку доменов 4го уровня в вебе возможность выбора "другого" ip (по аналогии с настройкой в пробросе портов) А также галку включения Аутентификации.

Принудительное стряхивание давным давно реализовано. Band Steering

Как-то так https://help.keenetic.com/hc/ru/articles/115005898525-Доступ-к-веб-интерфейсу-USB-модема-через-сервис-KeenDNS

Для EoIP да, не должно быть NAT, а для EoIP over IPSec достаточно 1го белого IP

@enpa Если там только порт и не нужно редактировать исходный файл, то можно просто эхом в файл записать без установки чего либо дополнительно.

@Le ecureuil Как public интерфейсы без ip global работают совместно с policy routing? Или они работают только в основном профиле?

посмотреть в конфиге. вы эти команды в контексте интерфейса вводите или нет? Так же посмотрите текущее состояние в конфиге

@Le ecureuil а вот эта тема, с возможностью использовать политики для vpn соединений вместо «подключаться через» жива или загнулась? разработка ведется?

я как бы упомянул человека который может на это повлиять, дождемся его ответа.

Так на вскидку без костылей типа выставления статики на роутере вместо получения адреса по dhcp не придумывается. Разве что @Le ecureuil предложит какой нибудь вариант с подстановкой другого ip в идентификатор. а чем не устраивает смена ip модема?

в общем поробуйте разные сети на модемах завести

а кто такой. тогда многоликий 192.168.8.100? модемы что ли везде? Надо бы на модемах разные сети сдалать, а то этот ip как идентификатор стороны в ipsec используется

я про внутренний лан адрес

@vitalik6243 у вас клиентские внутренние ip одинаковые что ли? поробуйте их поменять.

Предназначение для драйверов принтеров, таже в нем удобно хранить сертификаты от openvpn

да

Для этого делаете бекап существующих прошивки/конфига.

По умолчанию закрыто для входящих пакетов снаружи, для соединений пораждаемых изнутри локальной сети вашим торрентом ограничений нет.

2й сценарий рабочий. Открываете доступ галкой, включаете sstp, закрываете доступ галкой, и открываете 443 в firewall. sstp работает

Да какая-то взаимосвязь у opkg c ipsec имеется... Dec 18 21:23:41 192.168.255.1 ndm: Core::Authenticator: user "gigatest1" tagged with "opt". Dec 18 21:23:41 192.168.255.1 ndm: Opkg::Manager: unmount existing /opt disk: 97153723-0d90-42a0-be49-e037b40360af. Dec 18 21:23:42 192.168.255.1 ndm: Opkg::Manager: /opt/etc/init.d/rc.unslung: Saving ipset. Dec 18 21:23:43 192.168.255.1 ndm: IpSec::Manager: create IPsec reconfiguration transaction... Dec 18 21:23:44 192.168.255.1 ndm: IpSec::Manager: add config for crypto map "VPNL2TPServer". Dec 18 21:23:44 192.168.255.1 ndm: IpSec::Manager: add config for crypto map "IPIP2". Dec 18 21:23:44 192.168.255.1 ndm: IpSec::Manager: add config for crypto map "IPIP4". Dec 18 21:23:44 192.168.255.1 ndm: IpSec::Manager: add config for crypto map "IPIP6". Dec 18 21:23:44 192.168.255.1 ndm: IpSec::Manager: add config for crypto map "IPIP7". Dec 18 21:23:44 192.168.255.1 ndm: IpSec::Manager: add config for crypto map "IPIP8". Dec 18 21:23:44 192.168.255.1 ndm: IpSec::Manager: add config for crypto map "IPIP9". Dec 18 21:23:44 192.168.255.1 ndm: IpSec::Manager: IPsec reconfiguration transaction was created. У кого-нибудь еще такое проявляется, или локальная проблема?

Да, я указал что для такого сценария нужна 2.15, выйдет наверное через пару месяцев, сейчас пока в драфте. 2й сценарий проверю на досуге.

Начиная с 2.15 можно смело закрывать, для обновления сертификата 80 порт более не требуется. ЗЫ а на текущих прошивках можно открыть 443 через firewall а не галкой, тогда 80 будет закрыт, но это не помешает обновлению сертификатов.

Да без проблем, просто паровозом лишитесь расширений netfilter opkg и все, если это не смущает, то просто удалить компонент ipv6.

@MuKu @ndm @Le ecureuil В документации как-то криво описан пункт "ipv6 static", полная калька с проброса портов v4, даже с упоминанием ната, хотя по факту это не так, и является открытием портов в firewall. Может исправим?

ndnproxy это вроде dns proxy nlldo/nlda - какой-то из них отключается через lldp disable на интерфейсах radvd/dhcp6s - вычищать ipv6 subnet в конфигурации. dhcp6c - no ipv6 address auto на интерфейсах а также prefix и dns по аналогии Короче, читать в доке все про v6 и выключать.