r13

По списку устройств возможно @Le ecureuil подскажет что еще надо подкорректировать, он этот компонент разрабатывает. От себя могу предложить вычистить из конфига ISP интерфейса который по умолчанию выглядит так: interface GigabitEthernet1 rename ISP description "Broadband connection" mac address factory wan ip address dhcp ip global 700 security-level public up Все кроме нужного, чтобы осталось так: interface GigabitEthernet1 rename ISP up Скорее всего после этого начнет показывать и в списке устройств

Теперь должно работать. Для закрепления результата(сохранения настроек) выполнить system configuration save

Это ответ на 1ю или 2ю команду? так как 1я и должна выдать ошибку так как она и в первый раз не отработала. interface Home include ISP На эту тоже ошибка выдается?

Если так не заведется то включаем ISP и запихиваем интерфейс целиком в Home no interface Home include GigabitEthernet1/0 interface Home include ISP system configuration save

Поменял свой пост. так как в ультра 2 более замороченная физ реализация, там по другому.

А, так как ультра 2 В web отключить интерфейс ISP(этот пункт под вопросом возможно и не надо.) и в cli выполнить: interface Home include GigabitEthernet1/0 system configuration save Вроде так...

Как раз лишняя нагрузка идет от mppe который не ускоряется, а ipsec во многих кинетиках ускоряется аппаратно и поэтому скорости с ним на много выше по сравнению с mppe.

@des Panasonic KX-TGA250RU IPUI:00A1BED687

@Megavolt1000 в entware есть утилита ndmq которая позволяет выполнять cli команды и получать их результат. за примерами в поиск.

Неа, зачем на винте подключенном к роутеру хранить что-то ценное, что требует шифрования.

@des На 2.09А5 при загрузке в логе вижу: ndm: Command::Base: commands "codec" and "password" (from libndmNvox) have the same id. И ndm: Command::Base: no such command: codec. С первым не понятно, второе я так понимаю из-за переезда приоритетов кодеков на линии. Селф далее

Работает, теперь в логе при недоступности интерфейса ndm: Network::Interface::Tunnel: "IPIP6": source interface CdcEthernet0 is down, standby. Но в процессе включений отключений интерфейсов в логе вылезла кучка красноты system failed Mar 27 22:26:43ndm Io::Netlink: unable to bind: address already in use. Mar 27 22:26:43ndm Ip6::Util::NetlinkTools: system failed [0xcffd003c]. Mar 27 22:26:43ndm Ip6::Addressing: system failed [0xcffd0055], unable to set 2a02:2168:18db:8800:ee43:f6ff:fe04:9b24 to br0: no error. Mar 27 22:26:43root Modem NAT rule applied Mar 27 22:26:43root Core::Syslog: last message repeated 3 times. Mar 27 22:26:44ipsec 10[KNL] fe80::ee43:f6ff:fe04:9b25 appeared on eth2.2 Mar 27 22:26:45ipsec 13[KNL] interface ipip2 deactivated Mar 27 22:26:45ndm Network::Interface::Base: "IPIP2": interface is down. Mar 27 22:26:45ipsec 08[KNL] interface ipip2 activated Mar 27 22:26:45ndm Network::Interface::Base: "IPIP2": interface is up. Mar 27 22:26:45ndhcpc GigabitEthernet0/Vlan2: NDM DHCP client (version 3.2.11) started. Mar 27 22:26:45ndhcpc GigabitEthernet0/Vlan2: created PID file "/var/run/ndhcpc-eth2.2.pid". Mar 27 22:26:45root Modem NAT rule applied Mar 27 22:26:46root Core::Syslog: last message repeated 2 times. Mar 27 22:26:46ndm Ip6::Addressing: system failed [0xcffd0055], unable to remove 2a02:2168:18db:8800:ee43:f6ff:fe04:9b24 from br0: address not available. С доработкой не связано, но кину пока селф сюда. Порезвлюсь если будет воспроизводимо, создам новую тему.

Наверное коряво выразился. В ручном режиме ipsec работающий в транспортном режиме через интернет с динамическими концами поднять реально или только автоматический режим динамику и nat переваривает?

В нормальных организациях где за безопастностью следят все на сертификатах с единым управлением, а не на soho роутерах.

@Le ecureuil В текущей реализации автоматических туннелей ipsec поднимается в транспортном режиме? Или я не прав? Если так возможно ли реализовать транспортный режим в ручном туннеле при условии динамических ip на endpoint? Или только со статикой будет работать?

Ikev2 пока только psk

Андройд у меня работает. Для винды нужно ставить клиента. Встроенный не подходит.

Нет, entware это универсальный репозиторий никак не завязанный на кинетики.

Это да, лишнее.

По разному, на айфоне такой вызов считается пропущеным, на нокии звонилке принятым. Единого подхода нет.

В текущей релизации, в голом ipsec туннеле ходит только трафик из подсетей указанных в настроке туннеля. Секюрно типа. Поверх него можно натянуть ipip туннель и маршрутизировать трафик свободно.

А вообще мануалы надо читать, там все расписано... https://help.keenetic.net/hc/ru/articles/115000443245-Настройка-VPN-подключения-IPSec-между-Keenetic-и-мобильным-устройством-с-iOS

Любой доступный dns, например ip роутера

На скринах dns не заполнен...

А галка nat на кинетике в настройке стоит?