Le ecureuil

nfs есть в Entware, мало?

Огромное спасибо за помощь в воспроизведении, все починено и появится во всех ближайших сборках.

Конкретно ваш случай исправлен, появится в ближайшей сборке.

Спасибо за ценный дебаг, кажется я нашел где был упущен один маленький момент в реализации...

А можно попродробнее, прямо с тестовым конфигом с которого начинаем и командами в CLI, исполняемыми по порядку? Есть шанс, что сейчас заборем это дело.

linked key for crypto map был практически сразу же починен.

С такой целью у вас остается пожалуй только PPTP без шифрования. Зато он будет быстр, и по идее должен пролезть через NAT.

У вас на сервере (в данном случае ультра 2) вместо tunnel destination надо указать tunnel source (и в качестве аргумента WAN-интерфейс или ключевое слово "auto", чтобы использовался интерфейс с default route).

1. На Lite III лучше использовать PPTP + MPPE40 - будет в разы быстрее (тем более безопасность не интересует). 2. Сперва определитесь, на каком уровне вам нужно объединять сегменты/подсети - на L2 или на L3. Если L3 устроит - то вам подойдет проверенный веками вариант с PPTP. 3. Да, ограничений нет.

Прямо сейчас это не сделано, но если дойдут руки - сделаю. Не забывайте подпинывать это сообщение, чтобы они дошли

Все, дошел до той темы, и отписался. Насчет команды подумаем.

Насчет lifebytes - пока наверное никак, это сделано для обхода sweet32. Тем более у вас rekey нормально должен отработать, волноваться смысла мало. Насчет interfaces_ignore - тема поднята интересная, как минимум невалидные интерфейсы вроде ezcfg0 туда внесем однозначно, а вот с командой для ручного задания нужно подумать. Суть в том, что ручной туннельный режим практически никто не проверял, поскольку у него было изсчезающе мало применений было до появления Gre/EoIP/IPIP.

Должно быть, но пока без сроков.

Проверим.

В 2.09 сейчас ведется работа по улучшению качества проверок, в итоге будет так как описано в посте - проверяются версии протокола, режимы, настройки 1 фазы и принимается решение о совместимости или несовместимости. Требование "чтобы всегда безукоснительно работал VirtualIP, независимо от того, что настроено еще" введено сверху, и является самой массовой фичей для пользователей, потому этот режим всегда будет вытеснять все остальные, которые с ним не будут совместимы по настройкам. А вот то, что совместимо - сейчас дорабатывается.

Старая сессия и не используется, она "завершается", и начинает создаваться новая.

Нужно выгружать сперва esp4_hw, а затем crypto_k, и только потом загружать esp4.

А зачем это?

Но на pfsense в качестве ядра используется freebsd, и это в корне меняет дело. Как мы видим, проблем с IKE у вас нет, и соединение устанавливается. Однако прохождение пакетов - это уже забота ядра FreeBSD, PFKEY и pf.

Собственно, @ndm уже написал что в будущем будет эта фича. Пока же только через команду.

В пятничной сборке draft наконец-то должно выйти "окончательное решение туннельного вопроса" Пробуйте, если падения будут продолжаться - продолжим работу.

На 2.08 это невозможно. Была специально добавлена проверка для того, чтобы отключать несовместимые по настройкам туннели, поскольку это так или иначе ведет к труднодиагностируемым проблемам и регулярным отвалам соединения. В 2.09 все еще ведется работа по уточнению этой проверки, возможно в будущем удастся разрешить некоторые сейчас запрещенные конфигурации.

Эти интерфейсы не предназначены для удаления, Web полагается на их существование и всегда их будет показывать (или сыпать кучей ошибок). Поэтому единственное, что могу посоветовать ТС - не трогать их.

https://habrahabr.ru/post/308860/

Я думаю, что тут что-то с настройками pfsense, поскольку site-to-site между любыми Keenetic, а также Keeentic <> ZyWall и Keenetic <> Linux + Strongswan работает нормально.