Le ecureuil

И tun, и tap. В системе представляется для совместимости в виде Ethernet-интерфейса, можно включать в Bridge (даже tun ), но для tun недоступны VLAN. OpenVPN уже есть в 2.10 на всем, для чего она собралась. Единственное ограничение - все ключи должны быть интегрированы в один файл конфига (пример ниже). Дерзайте! А если что, я хоть и в отпуске, но периодически буду посматривать форум и подскажу с особо непонятными местами. Если что-то идет не так, то > interface OpenVPNX debug и потом self-test в тему. remote 172.16.1.1 dev tun proto udp nobind persist-tun cipher AES-128-CBC comp-lzo no verb 3 ifconfig 10.8.0.2 10.8.0.1 <secret> # # 2048 bit OpenVPN static key # -----BEGIN OpenVPN Static key V1----- caacc3274dfc05c41f9086261903bb68 adbdd7520caa89ec84a3314eb6eaff5d 49367611a9ec657dbacd47b148ae9f23 cbbbba43ccfc6c6149ee8453a5552944 e31eb1b928c96d9a515dd3f5d486a040 71ccf6a363d94368fb43023c6dcbbb75 3ef0e6fb69525689f3c9bae1ed1fe3b4 72875ae045fe284d70d5388cca730893 c30d4d0d7dd17aafd2e173afd257ab89 9ae308b40cca1f27093e186a59b9f6eb aca37680e01156dd54cd740fb830c994 eaea8a15074b49e85e126841dea57636 f627d50398e5dc756b07806a9f7374a4 a52016cc3ed51c3ae8ba021e26dba3d5 cc5b0e29472961ec0af0ab76b7270e83 ed27316a395fef6ca5f883850f10632e -----END OpenVPN Static key V1----- </secret>

Обратитесь в теподдержку.

Что такое "локальные ресурсы"?

Там хранится так называемый H(A1) из https://tools.ietf.org/html/rfc7616 (то есть MD5(username:realm:password)), причем realm равен модели устройства. Для Ultra2 там будет строка "ZyXEL Keenetic Ultra II" (оно же поле Model: в startup-config).

А wget точно умеет digest-авторизацию? Потому что они разные бывают, тот что в busybox - не умеет. # wget -O /tmp/1 http://admin:test@192.168.12.1/rci/show/ip/hotspot Connecting to 192.168.12.1 (192.168.12.1:80) wget: server returned error: HTTP/1.1 401 Unauthorized А GNU wget умеет: $ wget -O /tmp/1 http://admin:test@172.16.110.87/rci/show/ip/hotspot --2017-06-07 12:43:35-- http://admin:*password*@172.16.110.87/rci/show/ip/hotspot Connecting to 172.16.110.87:80... connected. HTTP request sent, awaiting response... 401 Unauthorized Reusing existing connection to 172.16.110.87:80. HTTP request sent, awaiting response... 200 OK Length: 505 [text/json] Saving to: ‘/tmp/1’ 100%[======================================>] 505 --.-K/s in 0s 2017-06-07 12:43:36 (101 MB/s) - ‘/tmp/1’ saved [505/505] А еще лучше вообще через curl все это делать: curl -X GET --digest http://admin:test@172.16.110.87/rci/show/ip/hotspot

Лучше брать информацию из http://192.168.1.1/rci/show/ip/hotspot - вся инфа по хостам в машиночитаемом виде.

Любой captive portal / перенаправитель трафика успешно пройдет эту проверку, и железка будет ложно считать, что Интернет есть.

Что-то я ничего не понял. Что такое Phone? Какое устройство? Что такое my.dinamic.ip.address? На какой адрес подключается клиент? Через WiFi, находясь в LAN-сегменте?

Это неподдерживаемая железка. 1. Можно. 2. Сойдет. 3. События в /etc/ndm/wan.d 4. /dev/tty* лучше вообще не трогать внешними утилитами, прошивка на это не рассчитана 5. ? 6. Если он показывается как UsbLte, значит он в CDC-режиме. 7. Скорее всего нет.

Что значит "сбой у провайдера"? Конкретнее. Чтобы можно было воспроизвести.

Что хоть у вас за роутер-то?

По выданной ссылке нигде не указано, что хаб позволяет подключить внешнее питание. Если позволяет, и оно помогает - тогда он хороший, но об этом стоило указать.

После восстановления в 2-53 связи с миром не было? То есть по логу как бы все хорошо, а на самом деле пакеты не ходят?

Спасибо за идеи. Давно напрашивается мысль о перепроектировании ping-check, следите за новостями.

Пока ( ) - да.

Исправлено, во всех следующих сборках все будет хорошо. Спасибо за репорт. Пока временно задайте нужные значения через CLI: > crypto ipsec profile <name> xauth-identity <identity> > crypto ipsec profile <name> xauth-password <password> > system config-save

Настройте PingCheck.

А логи?

Нужны дампы EoIP-трафика на WAN-интерфейсах устройств в случае K<>M и M<>M.

Вы забываете про статистический анализ. Пакеты от обычного HTTPS и от OpenVPN/TLS сильно отличаются по статистическим особенностям размера и характера передачи во времени.

На giga2 в официальной прошивке будет только smb v1, и все. В 2.10+ сейчас рассматривается и тестируется вариант с smbv3 и master browser, так что ожидайте.

Ну можно конечно, только у нас в планах сразу сделать нормальную авторизацию на уровне Web приложения + SSL, потому пока текущее состояние ломать не хотим, чтобы через два месяца опять все переделывать.

Вообще вариантов 4. Комбинируя адреса в _WEBADMIN_IPSEC_VirtualIPServer (или все нули - Интернет, или конкретная сеть - адрес и маска + 0.0.0.0 0.0.0.0) мы получаем доступ туда или сюда. Включая/выключая NAT через [no] crypto map VirtualIPServer virtual-ip nat - собственно управляем NAT для подключений независимо от заданной сети. Выбирайте любой вариант (только Интернет без NAT мало кому нужен :))

> no access-list _WEBADMIN_IPSEC_VirtualIPServer > access-list _WEBADMIN_IPSEC_VirtualIPServer permit ip 192.168.1.0 255.255.255.0 0.0.0.0 0.0.0.0 > no crypto map VirtualIPServer virtual-ip nat > system config-save Это даст доступ только в локалку, и отключит NAT.

Сразу нет.