Le ecureuil

На деревянной двери один еще советский замок "от честных людей", да и его не закрываю, когда дома.

Потому что я пытаюсь понять, зачем же она вообще может быть нужна. А какие страницы оставить / добавить - решает @Dmitry Tishkin - это нужно ему рассказывать про необходимость.

Эта, скажем так, кхм, "защита" - примерно как в доме со обычными стеклянными окнами от пола до потолка на первом этаже ставить крутую железную входную дверь, которую ломать автогеном пару часов. Любой, кто захочет получить доступ подслушает эфир и поменит mac - для этого даже автоматические утилиты есть. То есть конечно от совсем дураков оно может и поможет, но если вы таким образом пытаетесь сделать защиту от мало-мальски образованных злоумышленников - только раззадорите сильнее.

Кошмар, это размер NDMS на младших устройствах. Короче, не в этих годах похоже.

А зачем это нужно, можете рассказать?

А размер бинарника сколько?

Это условно нормально. Работаем над исправлением, оно не критичное, но все же.

А где в старом web фильтрация по MAC?

Тогда вам в opkg.

Это не будет работать, нужно перейти на tap-режим.

100+ Мбит/сек, да. Видимо у вас VPS не выдерживает нагрузку (что вполне реально, так как у вас используется юзерспейсный xl2tpd), или провайдер.

Да, возможность настроить резервирование в IPsec была всегда. Только она реализована в cli. > crypto map <test> set-peer 201.201.1.1 > crypto map <test> set-peer-fallback 211.211.1.1 > crypto map <test> fallback-check-interval 600 Приоритет будет у 201.201.1.1, если с ним пропадет связь, то перейдет работать на 211.211.1.1, но раз в 600 секунд будет в фоне проверяться работоспособность 201.201.1.1, и при появлении связи с 201.201.1.1 все вернется туда.

Ок, подумаем.

А почему вы так против SL = public? Именно public включает source NAT, без него у вас в IPIP все полетит с оригинальным адресом и будет ой.

up

Создайте отдельную тему в "Развитии", подумаем.

При чем тут вообще Zywall? Мы вроде Keenetic обсуждаем.

Там все правильно написано, кроме одного - пакеты openwrt нужно пересобрать так, чтобы они смогли запуститься на устройстве.

Если все пингуется (в том числе и полноразмерными пакетами с MTU == MTU интерфейса), то проверьте как работает DNS. DNS пока идет по системной таблице, и может разрешать имена через другие интерфейсы. Знаем об этой ситуации, работаем над ней, но пока сложно сказать когда точно будет сделано - слишком много завязано на DNS.

По первому пункту можно поподробнее? Где именно у вас настроен tunnel broker, на Keenetic, или на устройстве за ним?

Нужен policy routing для IPsec - используйте IPIP/GRE/EoIP over IPsec туннели.

Перед тем, как мы будем копировать функционал из Cisco за $10k+, давайте сначала хотя бы базовые сценарии отладим.

Да.

interface CdcEthernet0 up / down

NAS подключается как NFS, CIFS, или еще как-нибудь?