Le ecureuil

Обратитесь в теподдержку.

Что такое "локальные ресурсы"?

Там хранится так называемый H(A1) из https://tools.ietf.org/html/rfc7616 (то есть MD5(username:realm:password)), причем realm равен модели устройства. Для Ultra2 там будет строка "ZyXEL Keenetic Ultra II" (оно же поле Model: в startup-config).

А wget точно умеет digest-авторизацию? Потому что они разные бывают, тот что в busybox - не умеет. # wget -O /tmp/1 http://admin:test@192.168.12.1/rci/show/ip/hotspot Connecting to 192.168.12.1 (192.168.12.1:80) wget: server returned error: HTTP/1.1 401 Unauthorized А GNU wget умеет: $ wget -O /tmp/1 http://admin:test@172.16.110.87/rci/show/ip/hotspot --2017-06-07 12:43:35-- http://admin:*password*@172.16.110.87/rci/show/ip/hotspot Connecting to 172.16.110.87:80... connected. HTTP request sent, awaiting response... 401 Unauthorized Reusing existing connection to 172.16.110.87:80. HTTP request sent, awaiting response... 200 OK Length: 505 [text/json] Saving to: ‘/tmp/1’ 100%[======================================>] 505 --.-K/s in 0s 2017-06-07 12:43:36 (101 MB/s) - ‘/tmp/1’ saved [505/505] А еще лучше вообще через curl все это делать: curl -X GET --digest http://admin:test@172.16.110.87/rci/show/ip/hotspot

Лучше брать информацию из http://192.168.1.1/rci/show/ip/hotspot - вся инфа по хостам в машиночитаемом виде.

Любой captive portal / перенаправитель трафика успешно пройдет эту проверку, и железка будет ложно считать, что Интернет есть.

Что-то я ничего не понял. Что такое Phone? Какое устройство? Что такое my.dinamic.ip.address? На какой адрес подключается клиент? Через WiFi, находясь в LAN-сегменте?

Это неподдерживаемая железка. 1. Можно. 2. Сойдет. 3. События в /etc/ndm/wan.d 4. /dev/tty* лучше вообще не трогать внешними утилитами, прошивка на это не рассчитана 5. ? 6. Если он показывается как UsbLte, значит он в CDC-режиме. 7. Скорее всего нет.

Что значит "сбой у провайдера"? Конкретнее. Чтобы можно было воспроизвести.

Что хоть у вас за роутер-то?

По выданной ссылке нигде не указано, что хаб позволяет подключить внешнее питание. Если позволяет, и оно помогает - тогда он хороший, но об этом стоило указать.

После восстановления в 2-53 связи с миром не было? То есть по логу как бы все хорошо, а на самом деле пакеты не ходят?

Спасибо за идеи. Давно напрашивается мысль о перепроектировании ping-check, следите за новостями.

Пока ( ) - да.

Исправлено, во всех следующих сборках все будет хорошо. Спасибо за репорт. Пока временно задайте нужные значения через CLI: > crypto ipsec profile <name> xauth-identity <identity> > crypto ipsec profile <name> xauth-password <password> > system config-save

Настройте PingCheck.

А логи?

Нужны дампы EoIP-трафика на WAN-интерфейсах устройств в случае K<>M и M<>M.

Вы забываете про статистический анализ. Пакеты от обычного HTTPS и от OpenVPN/TLS сильно отличаются по статистическим особенностям размера и характера передачи во времени.

На giga2 в официальной прошивке будет только smb v1, и все. В 2.10+ сейчас рассматривается и тестируется вариант с smbv3 и master browser, так что ожидайте.

Ну можно конечно, только у нас в планах сразу сделать нормальную авторизацию на уровне Web приложения + SSL, потому пока текущее состояние ломать не хотим, чтобы через два месяца опять все переделывать.

Вообще вариантов 4. Комбинируя адреса в _WEBADMIN_IPSEC_VirtualIPServer (или все нули - Интернет, или конкретная сеть - адрес и маска + 0.0.0.0 0.0.0.0) мы получаем доступ туда или сюда. Включая/выключая NAT через [no] crypto map VirtualIPServer virtual-ip nat - собственно управляем NAT для подключений независимо от заданной сети. Выбирайте любой вариант (только Интернет без NAT мало кому нужен :))

> no access-list _WEBADMIN_IPSEC_VirtualIPServer > access-list _WEBADMIN_IPSEC_VirtualIPServer permit ip 192.168.1.0 255.255.255.0 0.0.0.0 0.0.0.0 > no crypto map VirtualIPServer virtual-ip nat > system config-save Это даст доступ только в локалку, и отключит NAT.

Сразу нет.

Управлением сессиями в данном случае занимается браузер, а не Keenetic. Нужно сбросить настройки digest-авторизации в браузере. Сделать это программно невозможно, только если плагин поставите к Firefox или Chrome.