r13

Тогда точно селфтест разработчикам выкладывайте.

Проверить в конфиге есть ли crypto engine hardware или просто выполнить эту команду в cli

Все равно сильно меньше чем должно, проверьте точно ли включен аппаратный ускоритель. Ну или селфтест для разработчиков.

Проверяйте на экстре включено ли аппаратное шифрование, и какой шифр настроили? на экстре только aes аппаратно ускоряется

В настройке у вас указан параметр client-config-dir ccd А в ccd папке файлы с iroute есть? Если нет, то читайте как работает iroute и настраивайте далее. Через iroute openvpn сервер получает информацию за каким именно клиентом находится требуемая подсеть. ЗЫ в обратную сторону работает из-за nat на гиге.

@Le ecureuil А как кстати можно настроить OpenVPN через cli?

У кого он есть

Свою на вкладке файлы (firmware)

с обоих сторон private, на ультре соответственно ip nat IPIP

@KorDen Собрал стендик, к ультре цепляется старт по IPIP c настройкой ip global через IPIP Запускаю трассировщик из cli старта(на клиентах за стартом нет возможности проверить, их нет) В такой схеме все ок. Во всяком случае трасса до того же ip(74.125.205.102) c ультры такая же и хопы c 8-17 также не отвечают. Если трасса до другого ip гугла (172.217.20.174) то там не отвечает только 1 хоп, но так же паритет что с IPIP, что без. 1й хоп - конец туннеля на ультре далее идут ответы уже от интернет узлов:

Ладно завтра попробую сценарий с ip global

У меня в тестовом туннеле между 2мя напрямую соединенными по лан роутерами вроде все ок с трассировкой. А откуда у вас хопы в wan ? Вроде как независимо от того через сколько хопов идет туннель для трассировки весь туннель должен быть одним хопом?!

@KorDen я поавильно понимаю что у вас трассировка обрывается на первом же хопе (локальный роутер) и более ничего нет?

Чуток погоняют в бета канале и перенесут в релизный канал теже самые прошивки без изменений.

Так сторонний скрипт и тут пожалуйста благо и entware и инструкции лежат. Мой к примеру при изменениях на wan присылает сообщение в телеграм.

Потыкался к себе (2.11A5): Если по http идти, то неуспешные попытки войти не логгируются. Появляется только лог о бане ip Если по https идти, то неуспешные попытки логгируются, но бан не наступает. Так что для https пока не работает.

@KorDen Я сейчас на L2TP/IPSec переполз. Попробую воссоздать при случае.

Да именно так, канал wifi естественно будет определяться соседским wifi.

Все соединения на кинетике активны постоянно, wisp не исключение. Будет, Пинг чек через резервы реализуется через перестройку таблицы маршрутов для пинг чека.

Можно, только тут нет репитера, просто будет резервный WAN через WISP.

В старом дизайне вообще нет настройки L2TP/IpSec сервера, Только VirtualIP, так что или новый дизайн использовать для настройки или cli ЗЫ Если есть проблемы, выкладывайте selftest

Да, хотя бы /64 они давать обязаны иначе бы это было кривое решение, но в нашем случае надо чтобы роутер получил не адрес, а подсеть. А значит нужна либо нативная поддежка Dual-APN кинетиком(и модем в stick режиме) либо вышестоящее устройство умело выдавать подсеть. ЗЫ А что нам даст ipv6 от мтс?

Врядли, обычно все резолвься на сайт провайдера, который вполне отвечает по tcp и клянчит денег.

В cli: ipv6 name-server ‹address› И отключить ipv6 dns от провайдера: interface <name> no ipv6 name-servers

Судя по доке на кинетик ничего кроме задания apn нет. Так что видимо никакого dual stack apn у нас нет и ipv6 из мтс нам пока не грозит.