Le ecureuil

Все правильно. С Android подключаетесь? Android пишет, что подключено, но реально устанавливает соединение и запрашивает адрес только если по нему идет трафик. До прохождения трафика соединения как такового нет. Потому так и отображается. Именно эта ситуация у вас и в логе.

Да, все нормально. У нас роутер не умеет принимать/отсылать кадры более 1536 байт, потому при пинге с внешнего устройства в LAN пролезет максимум 1536 - L2 - L3. А вот с устройства на устройство хоть десять тысяч, значит работает.

Довольно сложно в реализации, потому пока врядли. Как минимум не раньше IKEv2 для автотуннелей.

А dump пакетов на WAN показывает, что создаются фрагменты, или нет?

Ну что, как там с фрагментацией? Оно хоть работает (у кого-то кроме меня)?

Вам по DSL-линии, или сколько позволит процессор в Keenetic DSL для PPTP/MPPE? По поводу DSL-линий ничего не менялось с середины 2000-х.

Для PPTP с шифрованием это предел. Да, для большей скорости стоит взять Ultra II - мегабит 50...70 легко.

В случае автотуннеля MSS просто меньше сильно получается, вот все и работает. А PMTU для MSS выставляется и там, и там, если явно его не задавать в виде числа в консоли.

В дефолтной настройке и так идут PMTU, просто идиоты-администраторы некоторых сайтов запрещают ICMP Fragmentation Needed, вот и выходит, что часть не работает.

В 2.08 / 2.09 уже полгода как есть расписания на все искаропки.

Да, думаем над этим.

Ожидаемо, Giga2 слабее по шине памяти и скорости работы CPU, потому она просто не успевает полностью обеспечить работой crypto engine. Двухядерный 7621A с DDR3 успевает

То, что разное с обоих концов - это нормально, где-то WAN на IPoE, а где-то на PPTP. Естественно, будет разный MTU. Перезагружать не надо, после появления сообщения в логе все должно начать работать. Еще проверьте, умеет ли сеть (провайдер/магистраль) правильно передавать фрагментированные пакеты. Это очень важно, поскольку IP-пакеты уже фрагментированы, и сеть их фрагментировать еще раз в случае "непролезания" не сможет. Возможно на WAN у обоих устройств придется снизить MTU до одинаково низкого значения, которое устроит обе стороны (начните с 1400 и по убывающей). На каком размере пакета перестает пролезать?

Я делал только реагирование для EoIP, линк на порту свитча по идее не должен трогаться.

@vst

@m__a__l попрбуйте отключить ping-check вообще, похоже это он вам рвет соединение. Если поможет - потом попрбуем настроить правильно.

Там передергивание занимает сотню миллисекунд, скорее всего не заметите даже

Такова жизнь - IKEv1 сервер очень недружелюбен ко множественным конфигурациям.

Переходите на IKEv2 везде для site-to-site туннелей, оставляйте IKEv1 только для Virtual IP. И все будет хорошо

У вас слегка несовместимые настройки, IKEv1 плохо работает с несколькими туннелями сразу как ответчик с разными PSK. Попробуйте везде перейти на IKEv2, должно помочь.

Это невозможно, все что мы могли - прикреплено в 3 посте темы.

Команда будет только в 2.10, в 2.09 добавлять новое уже запрещено. Но это будет уже скоро

@Cha-Cha в выходящем draft должно быть реализовано, проверяйте. UPD: версия 2.09.A.7.0-3.

@HolodN @Amigokot ПОЛНОСТЬЮ НА ВАШ СТРАХ И РИСК собрал 2.08.C.2-0 с полным набором компонентов с разными версиями прошивки LTE-модема. Полного кирпича получиться не должно, все прошивки загрузились и firmware модема везде выдало "USIM card is not inserted" (проверял без sim-карты), однако рекомендую сделать бекап прошивки, конфига и не прошивать устройства, которые находятся не в шаговой доступности. Эти комбинации NDMS и прошивки никто вообще не проверял (кроме первой). 1. Версия с текущей прошивкой LTE модуля (05_00_02_00_56_TF) :https://www.dropbox.com/s/3yv5mvned164ocn/20170512_1445_Firmware-Keenetic_LTE-v2.08[AATF.0]C2_56.bin?dl=0 2. Версия с предыдущей прошивкой LTE-модуля, которая использовалась до октября 2016 (05_00_02_00_49_TF): https://www.dropbox.com/s/vrvib8l5b33olq2/20170512_1509_Firmware-Keenetic_LTE-v2.08[AATF.0]C2_49.bin?dl=0 3. Версия с самой старой прошивкой LTE-модуля, которая использовалась в v1 (04_05_06_10_87_TF): https://www.dropbox.com/s/r61xn3cg7n7o5vm/20170512_1511_Firmware-Keenetic_LTE-v2.08[AATF.0]C2_04_87.bin?dl=0 Пробуйте, возможно кому-то повезет

Да, спасибо большое за отладку, будем искать проблему.