Le ecureuil

Посмотрим, если на 7620 с ipoe воспроизведется, то починим.

Ну он официальный именно для общения пользователей - каждый здесь может что-то написать, обсудить, спросить. А вот в плане технической поддержки и разработки - он неофициальный, поскольку техподдержка в другом месте.

Ничего там не забито, он просто при старте пытается загрузить эти модули, и все: https://git.strongswan.org/?p=strongswan.git;a=blob;f=src/starter/netkey.c;h=b150d3e80beed726c944c1779268e847654c16fd;hb=HEAD#l47. Можно даже racoon или libreswan использовать, все должно работать. Ядро в плане ускорителя никак не связано с userspace в данный момент.

А чем вас версия из ndms не устраивает?

Да, ACMEv2 в роутере готов (2.13+). Посему жду от вас предложений как должен выглядеть хук для acme, чтобы интегрировать его со сторонними способами авторизации.

IKEv1 это тоже поддерживает через Cisco Unity Plugin, но это очень vendor-specific вещь.

Это всем усложнит жизнь, потому пока не планируется.

Явно обещать ничего не могу, но постараюсь.

Я что-то никак не пойму, о чем вы говорите имея в виду "NAT на входе". Вот правила в таблице NAT на устройстве с IPoE. Покажите, какие именно вас смущают? ~ # iptables-save # Generated by iptables-save v1.4.21 on Tue Sep 4 21:23:51 2018 *nat :PREROUTING ACCEPT [5339:545959] :INPUT ACCEPT [264:43210] :OUTPUT ACCEPT [5058:274139] :POSTROUTING ACCEPT [5058:274139] :_NDM_DNAT - [0:0] :_NDM_DNS_REDIRECT - [0:0] :_NDM_EZ_DNAT - [0:0] :_NDM_HOTSPOT_DNSREDIR - [0:0] :_NDM_IPSEC_POSTROUTING_NAT - [0:0] :_NDM_NAT_UDP - [0:0] :_NDM_SL_PRIVATE - [0:0] :_NDM_SNAT - [0:0] :_NDM_STATIC_DNAT - [0:0] :_NDM_STATIC_LOOP - [0:0] :_NDM_STATIC_SNAT - [0:0] -A PREROUTING -j _NDM_DNAT -A PREROUTING -j _NDM_DNS_REDIRECT -A OUTPUT -j _NDM_DNAT -A POSTROUTING -j _NDM_IPSEC_POSTROUTING_NAT -A POSTROUTING -j _NDM_SNAT -A POSTROUTING -i br0 -p udp -m udp -j _NDM_NAT_UDP -A POSTROUTING -i br0 -j MASQUERADE -A POSTROUTING -i br1 -p udp -m udp -j _NDM_NAT_UDP -A POSTROUTING -i br1 -j MASQUERADE -A _NDM_DNAT -j _NDM_STATIC_DNAT -A _NDM_DNS_REDIRECT -j _NDM_HOTSPOT_DNSREDIR -A _NDM_NAT_UDP -p udp -m udp --sport 35000:65535 -j MASQUERADE --to-ports 1024-34999 -A _NDM_NAT_UDP -p udp -m udp --sport 1024:34999 -j MASQUERADE --to-ports 35000-65535 -A _NDM_NAT_UDP -p udp -m udp --sport 0:411 -j MASQUERADE --to-ports 412-1023 -A _NDM_NAT_UDP -p udp -m udp --sport 412:1023 -j MASQUERADE --to-ports 0-411 -A _NDM_SL_PRIVATE -i ra2 -j _NDM_EZ_DNAT -A _NDM_SL_PRIVATE -i ra3 -j _NDM_EZ_DNAT -A _NDM_SL_PRIVATE -i br0 -j _NDM_EZ_DNAT -A _NDM_SNAT -j _NDM_STATIC_LOOP -A _NDM_SNAT -o apcli0 -j _NDM_STATIC_SNAT -A _NDM_SNAT -o eth2.2 -j _NDM_STATIC_SNAT -A _NDM_STATIC_LOOP -i ra2 -o ra2 -j MASQUERADE -A _NDM_STATIC_LOOP -i ra3 -o ra3 -j MASQUERADE -A _NDM_STATIC_LOOP -i br0 -o br0 -j MASQUERADE -A _NDM_STATIC_LOOP -i br1 -o br1 -j MASQUERADE COMMIT

Это lockout-policy. Оно уже настроено нормально, можно не трогать.

А не напомните, что уж там за хук?

Собственно, в Keenetic все готово. Уже интегрирован ACMEv2. Ждем теперь поддержки от облака dns-01.

Этот файл трогать не надо. На самом деле были небольшие расхождения по коду разных линеек драйверов, это поправлено.

Поставить пароль понадежнее, знаков в 15+. Если и его подберут с включенным BFD (правда это займет вечность), тогда уже ничего не спасет. Потому что точно такой же перебор можно и на VPN устроить.

SSTP-клиент есть во всех виндах, начиная с Vista SP2. Настройте на кинетике доступ по SSTP до локалки через облако и гоняйте спокойно RDP.

Так, я правильно понял, что в режиме N-only все равно светятся рейты от B и G?

Пока вы не указали версию прошивки, кроме NTFS посоветовать нечего.

По идее все должно быть гладко. Лучше показать self-test и вообще описать, что именно происходит при попытке доступа.

Изменений по облачным сервисам не было относительно 2.11.C. Потому если там было нормально, а тут стало плохо - возможно проблема не в Keenetic, и нужно смотреть куда-то в стороны...

И зачем открывать тему, если не собираетесь в ней конструктивно работать? Отнимаете мое время зря?

Раз пошла такая пьянка, то говорю для всех - трогать Web-интерфейс в 2.11 никто больше не будет вообще, потому что ни у кого нет на это времени и сил. Максимум - исправления в системе, обновления внешних компонентов, затыкание дыр. Если не устраивает - ну мы вас на этот огонек и не звали.

Старый Web не менялся с марта 2018, конечно там ничего этого нет. Если нужно - ставьте через CLI.

Пока не в работе.

Для link-local всегда нужно указывать интерфейс (и в винде, и на keenetic).

Заходить снаружи по https://qnp.xxx.keenetic.link/