Le ecureuil

Обычный IPsec в туннельном режиме без энкапсуляций.

У нас планируются opkg-пакеты, которые будут ставиться из облака в RAM, что позволит их использовать даже на устройствах без USB и flash. Вот dnssec и dnscrypt - идеальные кандидаты на роль таких пакетов.

Вообще странно, выходит, что именно iOS сначала выполняет rekey, а потом сама разрывает соединение. Возможно эти вещи связаны: https://wiki.strongswan.org/issues/2090 В конце февраля выйдет новая версия strongswan с этим патчем, добавим ее в 2.09 и проверим.

Если на всех версиях прошивок так работает, то я бы стал искать причину в провайдере сотового Интернета и его особенностях NAT для PPTP/GRE.

Пока даже в этой теме голосов около нуля, а теперь представьте, что всем юзерам придется объяснять, что же это за новая галка и что такое dnssec... Это явно будете делать не вы, и не за свой счет. И если страдальцев по ipsec и snmp реально куча и маленькая тележка (включая крупных игроков, у которых есть монетизированный спрос (не забывайте про этот очень важный фактор)), потому им пошли на встречу, то dnssec на данном этапе развития по популярности ближе к i2p и подобному андерграунду, то есть пока ему место только в кастомных opkg установках.

Эээ... Ну у нас форум построен на личном энтузиазме разработчиков в первую очередь. DNS-резолвером занимается человек, которому неинтересен форум, и который тут не сидит. Ему конечно можно передать, но сами понимаете...

Похоже, что инициатором разрыва стал клиент, а не роутер. Прикрепите self-test, снятый сразу после разрыва.

Если у вас на текущих 2.08 / 2.09 есть проблемы, то обратитесь в техподдержку.

Скиньте self-test с устройства с "белым IP". Подумаем.

Насчет xtables-addon подумаем, может скоро и будут

Да, это только первый этап - самое (по нашему мнению) безболезненное. Постараемся в каждой новой сборке оптимизировать сильнее по мере возможности.

Скажите точный сервис sip и программу, которой вы соединяетесь. Проверим.

Да, мы знаем о проблеме, она стоит в списке на "решение", постараемся сделать как только получится. Скорее всего будет сделан перезапрос адреса удаленного endpoint если настроен FQDN вместо IP + поддержка PingCheck на случай, если сменился локальный адрес.

Удаленная подсеть _НИ_В_КОЕМ_СЛУЧАЕ_ не должна пересекаться с уже настроенными сетями на роутере. Просто придумать и тут указать. Если нет идей, используйте 172.20.20.1. DNS-сервер можете указать 192.168.1.1.

Уже обсуждалось

По поводу свича вообще ничего не могу вам подсказать

Я же говорил, что дело явно не в Keenetic. Broadcast storm control видимо глючит, и любой burst в pps воспринимает как шторм, временно дропая пакеты (или там очень-очень маленькая очередь, что опять-таки ведет к дропу). Из-за этого нарушается последовательность, и...

Для сертификатов надо многое менять в системе. Запланировано, но без конкретных сроков.

Насколько я помню, он не поддерживает PSK, потому не подойдет. Ему только сертификаты подавай.

Скрыл темы по подключению устройств к VirtualIP, поскольку они лет сто как устарели. Актуальные инструкции такие: iOS, Android. Используйте Web, по багам в нем заводите темы. Инструкция по подключению винды оставлена, поскольку в ней нет стандартных средств.

Скидывайте конфиги обоих сторон, посмотрим что не так. Еще важна точная версия прошивки на Keentic.

Спасибо за конструктивные идеи, подумаем, поэкспериментируем. Мы на самом деле готовы заняться оптимизацией расхода батареи и использования ресурса радиоканала при discovery, и любые (возможно даже кажущиеся бредовыми) идеи рассмотрим и подумаем что реально можно сделать. Так что чем больше предложите, тем лучше. Пока у нас в 2.09 в рамках активной альфа-разработки на это есть время.

Такое техническое задание. Исчерпывающе, не так ли?

Уже сто раз обсуждалось. Этого в целом недостаточно, потому что у клиентов может быть не прописан default route, они могут быть забиты статикой, они могут вообще не ходить в Интернет. А отображать их всех нужно. Насчет более толерантной логики сканирования - вот тут можно подумать. Предлагайте варианты.

Никто не тестировал и не проверял мультикаст с Virtual IP.