Le ecureuil

Нет, через IPsec невозможно пробрасывать default route.

Вообще, любые знания - это в первую очередь соглашения между людьми. Если бы вы реально хорошо разбирались в настройке *swan, то хорошо бы знали, что left принято считать локальной стороной, а right - удаленной. Теперь по картинке: - идентификатором лучше сделать какой-нибудь FQDN или e-mail, использование IP-адресов для этого - прошлый век и в первую очередь вопрос совместимости со всяким старьем. - DH-группу для IKE ставьте не ниже 2 (modp1024), и то этого уже мало. - SHA256 для IPsec SA плохо совместима с аппаратным ускорением, используйте SHA1. - Почему не задаете DH для IPsec SA? Не нужна Perfect Forward Secrecy? - В качестве удаленной подсети назначьте 192.168.2.0/255.255.255.0 Конфиг клиента попробуйте набросать сами, если не сможете - завтра помогу.

Где и какие должны стоять знаки пунктуации и препинания во втором предложении? Пишите грамотно, мы вас понять не можем.

Стоит обязательно сообщать о времени экспериментов: в середине ноября crypto engine был кардинально переработан, и больше не должен вызывать проблем. Более того, начиная с 2.08.A.12-3 аппаратное ускорение включено для всех по-умолчанию.

Можно попробовать при помощи skydns и yandex.dns. Или при помощи ip host, как по ссылке выше.

А в чем смысл? Если устройство ушло в Offline, то его точка доступа через пару секунд сама отстрелит, а если вы кикните рабочее устройство, то оно тут же переподключится заново.

Нужен глобано-маршрутизируемый адрес, но вообще говоря можно и FQDN, привязанное к этом адресу через любой dynamic dns.

А через Интернет-соединение все нормально? При помощи чего измеряете скорость?

IKEv2 в iOS и в винде полностью основан на сертификатах, и Keentic пока его в таком виде вообще не поддерживает. Вам нужен именно Cisco VPN, возможно он и не умеет VPN on demand.

Варианты такие: - использовать IPsec. - использовать PPTP без шифрования. Сперва попробуйте второе. Для этого включите на вашем роутере VPN-сервер, установив галку "Разрешить нешифрованные подключения", а на роутере друга настройте туннель PPTP до своего роутера. Скорость должна быть около 100 Мбит/с. Все остальное требует перехода на вашем роутере на прошивку 2.08 и дополнительных телодвижений, потому сперва стоит попробовать обойтись без них.

На Giga II с прошивкой 2.08 все отлично работает, памяти более чем достаточно для большинства несложных задач. Ну а mysql - это все же перебор для такого слабого устройства.

На 4G всех ревизий не поддерживается работа с накопителем, и в том числе не поддерживается opkg.

На Keenetic все кроме конфига находится в режиме "только для чтения", потому самое худшее что вас может ждать - сброс настроек в дефолт на устройстве + форматирование внешнего накопителя. А чаще всего ничего не нужно, просто все удалить подчистую с внешнего диска достаточно. debian отличается от Entware тем, что Entware не делает chroot, то есть у вас доступны все файлы выше каталога /opt. Debian же делает chroot к себе в /opt, и он становится его корнем, то есть изнутри Debian попасть в ФС Keenetic невозможно без ухищрений.

Каталог /opt создается системой, и ваш диск с opkg монтируется туда. Разумеется, на самом диске этого каталога не будет.

Принято, будем воспроизводить и проверять.

Это оффтопик, идите в курилку с обсуждением прошивок модемов.

Это так называемый Carrier-Grade NAT: https://en.wikipedia.org/wiki/Carrier-grade_NAT То есть, говоря по-простому, самые обычные "серые" адреса, хоть не из диапазонов RFC1918 (192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8).

Да, можно спокойно нарезать по /30 сети, все будет работать. IPIP есть не во всяком оборудовании навроде Mikrotik, Cisco, Zywall, и. т. п. Потому сделан еще и GRE, чтобы устанавливать связь с ними.

Я вроде уже не раз писал, что у всех серверов должны совпадать IKE proposal, IKE PSK, IKE mode, иначе будет беда. Насчет перезагрузки просьба поподробнее, если можно с crypto engine hardware и crypto engine software, а также с self-test.

Я и имел в виду сброс активных сессий на pptp и ipsec серверах.

У вас нет ошибок в логе, однако конфигурация кривая. Удалите все ошметки ручной конфигурации (включая access-list) и отныне настраивайте только через Web, чтобы был настроен только один сервер. Можете прислать в личку startup-config, я вам удалю весь мусор.

Скиньте self-test и опишите, из какой сети подключаетесь (LAN, WAN, Guest).

Только что обсуждали. Задача такая стоит в очереди, но приоритет у нее не самый высокий. Так что пока терпение и терпение, но скорее всего будет сделано.

Пока никаких планов.

Пока такой возможности нет.