Le ecureuil

Уже поправлено - означает, что поправлено в исходном коде на момент публикации и появится во всех следующих сборках. Если сборок не было - значит в том, что выложено еще не поправлено.

"Сделайте то, не знаю что..."

Это все железка делает сама, без участия софта.

У GigabitEthernet1 какой MTU в настройках и в выводе show interface?

Ставьте бета-версию через страницу обновления, а этот файл с префиксом draft вам не нужен. По идее настройки слететь не должны.

Надо перепиливать не дрова, а железо. Оно просто не умеет заниматься такими извращениями с доступом к индивидуальным парам.

Скиньте ссылку на более-менее популярный MIB с подобной информацией, подумаем.

Для Keenetic III в бета-канале лежит версия 2.08 с IPsec и с официальной поддержкой. А скоро выйдет стабильная 2.08 с множеством улучшений в IPsec. Так что не волнуйтесь, уже можно ставить и настраивать.

При работе crypto engine EIP93 вы увидете в логе следующие строки: [I] Nov 13 21:43:52 ndm: kernel: EIP93: outbound ESP connection, SPI: ced84c75 [I] Nov 13 21:43:52 ndm: kernel: EIP93: outbound ESP connection, SPI: ced84c75 [I] Nov 13 21:43:52 ndm: kernel: EIP93: inbound ESP connection, SPI: cb744335 [I] Nov 13 21:43:52 ndm: kernel: EIP93: inbound ESP connection, SPI: cb744335

Там "особая" команда, которая не работает через web.tc

Есть же CLI-команда > tools traceroute

У нас есть более интересные идеи на этот счет, stay tuned.

По оси X отложены номера каналов размером в 4.3125 кГц каждый, расположенные по возрастанию друг за другом. Bits означает количество бит, передаваемое в этом канале за один такт. Косвенно это указывает на уровень шумов в этом канале - чем больше бит, тем меньше шум.

Все автоматические туннели ради совместимости с Mikrotik, Cisco и ZyWall, а также Virtual IP (он же Cisco IPsec) требуют IKEv1. Если все делать руками, то да, можно и на IKEv2 спокойно перейти.

Принято, посмотрим.

nginx не падал, он просто не стартовал в не-роутер режиме из-за неправильного конфига. Уже все поправлено.

В таком режиме да, причем не только версию IKE (только IKEv1), но и общий PSK для всех из них, и общий IKE proposal, и нужно использовать ID сторон в виде IP-адресов (ограничение протокола IKEv1). В таком случае все реально.

Если ноды 1 и 2 будут только VIP-серверами, а соединения для туннелей будут устанавливать ноды 1 и 2 в клиентском режиме к нодам 3-4-5 (они будут серверами), то тогда все отлично.

Попробуйте еще отключить аппаратный модуль для IPsec: > crypto engine software

Собирайте голоса, возможно в opkg-kmod-netfilter добавим модули ядра из xtables-addons. Но это будет только версия 1.42, ветка 2.x нам не подойдет.

В свежих сборках много изменений по части стабильности, попробуйте их.

У вас на сервере (Giga) судя по всему бардак с default route. Сами смотрите. Extra все делает правильно, предпринимая попытки открыть IKE SA с Giga, это видно как в ее логе, так и в логе Giga (видим в логе Giga начиная с Jan 20 23:47:20 постоянные получаемые от Extra пакеты и отправляемые ей ответы, которые уходят не в GigabitEthernet0/Vlan2, а неизвестно куда, потому что Extra их не получает обратно). А то, что у вас запасным default route становится USB-модем хорошо видно вот здесь: Jan 20 23:38:44 ndm: Dhcp::Client: adding a default route via 192.168.0.1. После чего сразу отваливается PPTP по таймауту и IPsec. Возможно стоит создать отдельную тему по поводу маршрутизации и приоритетов на default route, но сперва проверьте как вообще все это работает, в какой интерфейс реально идут пакеты и что при этом наблюдается в Web и логах.

ping с устройства в Интернет всегда проходит? Если да, то выставите MSS для crypto map вашего Virtual IP сервера поменьше: >crypto map <servername> set-tcpmss 1200

Конфигурации с set-peer на обоих сторонах не спасут ситуацию, вам нужно чтобы сервер цеплялся к вам (тогда фактически он будет клиентом множества туннелей), но это возможно только если есть прямая видимость удаленных узлов.

Попробуйте.