Le ecureuil

Да, сделаем, спасибо за репорт.

Сделано

сделать так, чтобы - ifTable/IfDescr - бралось из ID - ifXTable/ifName - бралось из rename (если непустое, иначе ID) - ifXTable/ifAlias - бралось из description (если непустое, иначе rename) пойдет?

При работе через NAT, а также при недоступности 500 порта клиент автоматом переходит на 4500.

Попробуйте выполнить > interface L2TP0 ip mtu 1300

Попробуйте написать.

Обычный IPsec в туннельном режиме без энкапсуляций.

У нас планируются opkg-пакеты, которые будут ставиться из облака в RAM, что позволит их использовать даже на устройствах без USB и flash. Вот dnssec и dnscrypt - идеальные кандидаты на роль таких пакетов.

Вообще странно, выходит, что именно iOS сначала выполняет rekey, а потом сама разрывает соединение. Возможно эти вещи связаны: https://wiki.strongswan.org/issues/2090 В конце февраля выйдет новая версия strongswan с этим патчем, добавим ее в 2.09 и проверим.

Если на всех версиях прошивок так работает, то я бы стал искать причину в провайдере сотового Интернета и его особенностях NAT для PPTP/GRE.

Пока даже в этой теме голосов около нуля, а теперь представьте, что всем юзерам придется объяснять, что же это за новая галка и что такое dnssec... Это явно будете делать не вы, и не за свой счет. И если страдальцев по ipsec и snmp реально куча и маленькая тележка (включая крупных игроков, у которых есть монетизированный спрос (не забывайте про этот очень важный фактор)), потому им пошли на встречу, то dnssec на данном этапе развития по популярности ближе к i2p и подобному андерграунду, то есть пока ему место только в кастомных opkg установках.

Эээ... Ну у нас форум построен на личном энтузиазме разработчиков в первую очередь. DNS-резолвером занимается человек, которому неинтересен форум, и который тут не сидит. Ему конечно можно передать, но сами понимаете...

Похоже, что инициатором разрыва стал клиент, а не роутер. Прикрепите self-test, снятый сразу после разрыва.

Если у вас на текущих 2.08 / 2.09 есть проблемы, то обратитесь в техподдержку.

Скиньте self-test с устройства с "белым IP". Подумаем.

Насчет xtables-addon подумаем, может скоро и будут

Да, это только первый этап - самое (по нашему мнению) безболезненное. Постараемся в каждой новой сборке оптимизировать сильнее по мере возможности.

Скажите точный сервис sip и программу, которой вы соединяетесь. Проверим.

Да, мы знаем о проблеме, она стоит в списке на "решение", постараемся сделать как только получится. Скорее всего будет сделан перезапрос адреса удаленного endpoint если настроен FQDN вместо IP + поддержка PingCheck на случай, если сменился локальный адрес.

Удаленная подсеть _НИ_В_КОЕМ_СЛУЧАЕ_ не должна пересекаться с уже настроенными сетями на роутере. Просто придумать и тут указать. Если нет идей, используйте 172.20.20.1. DNS-сервер можете указать 192.168.1.1.

Уже обсуждалось

По поводу свича вообще ничего не могу вам подсказать

Я же говорил, что дело явно не в Keenetic. Broadcast storm control видимо глючит, и любой burst в pps воспринимает как шторм, временно дропая пакеты (или там очень-очень маленькая очередь, что опять-таки ведет к дропу). Из-за этого нарушается последовательность, и...

Для сертификатов надо многое менять в системе. Запланировано, но без конкретных сроков.

Насколько я помню, он не поддерживает PSK, потому не подойдет. Ему только сертификаты подавай.