Le ecureuil

А в Entware есть необходимый userspace для них? Или он не нужен? Плюс боюсь в ядре 3.4 они старые и плохие, их спецом никто не обновлял. Если же вы про 2.06 и 2.6.22, то там вообще без вариантов.

Тонкости настройки zywall лучше выпытывать у официальной техподдержки, тем более у вас есть купленные устройства и право на нее. Я с этими устройствами знаком очень поверхностно. Да, Ultra II может показывать лучшие результаты, но более ограничена по функционалу и неизвестно подойдет ли вам. К сожалению у меня нет ни времени, ни желания детально разбираться в вашей схеме, делать макеты и прочее. Пробуйте сами, а если возникнут технические вопросы относительно Keenetic - здесь их можно задавать.

Под DMZ подразумевается проброс всего входящего трафика с WAN на определенный хост в LAN?

Встроенный модем умеет только LTE, 3G не умеет совсем.

Вам известен этот MAC? Скорее всего кто-то с неправильным паролем долбит вашу точку, или пытается подобрать его.

Версия прошивки какая? На 2.08 тоже воспроизводится?

Используйте с каждой из сторон в качестве IPsec-маршрутизатора Zywall. Он имеет более продвинутые функции, особенно в отношении подклюения удаленных клиентов к нему по L2TP/IPsec.

Вы про клиента L2TP over IPsec на Keenetic? В версии 2.08, что сейчас готовится, это будет исправлено.

На экспериментальных прошивках внимательно следите за темами в разделе 2.08: возможно ваша версия подвержена багам, или эти баги уже исправляют. Есть опасность напороться на грабли.

http://files.keenopt.ru/ стоит именно на Giga III + Debian, и довольно успешно справляется с задачами А вот насчет перезагрузок можете создать отдельную тему в 2.08.

Как ни печально это признавать, но для IPv6 в наших прошивках отсутствует поддержка NAT. Она появилась только в ядре 3.9+. Можно попробовать блокировать такие обращения: ip6tables -t filter -I FORWARD -d 2a02:2168:208:1::1/128 -p udp --dport 53 -j REJECT

Это не баг, а скорее особенность устройства веб-интерфейса. Отключать сегмент смысла мало, просто не включайте Guest AccessPoint в настройках WiFi, и он никак не будет проявлять себя.

1. Да, но в упрощенном виде, как сейчас для VPN-сервера. 2. Да, роутер сможет быть клиентом, но не сможет быть сервером. Насчет настроек: почему же такие невнимательные? Уже больше месяца висят темы:

Нет, пока будет только Cisco VPN для вас (точнее уже есть в 2.08, но настраивается из CLI). L2TP/IPsec будет как клиент.

Это неофициальные прошивки от Zyxel. Собираемые из одного и того же кода, но не выпущенные по официальному каналу и не прошедшие через QA. 2. Для работы IPsec достаточно, чтобы один (любой из двух) роутеров мог коннектится к другому по UDP 500/4500. Это все требования. 3. ZyWALL - это маршрутизаторы промышленного уровня ( https://zyxel.ru/catalog/business/security/usg/ ). Они платные и стоят дороже любого Keenetic. Может быть и возможно, надо пробовать. Задача определена крайне неточно и расплывчато.

У вас не может быть одновременно одно и тоже устройство и III версии, и Extra. Что-то одно. Определитесь. Если это два разных устройства, то нужно две разные прошивки, обе версии не ниже 2.07.

Вам же предложили - попробуйте с adaptive.

В официальном канале 2.07 на Keenetic Extra нет IPsec, если он вам нужен ставьте delta.

Для этого нужен opkg и дополнительный пакет с модулями ядра для файловых систем, можете делать это из Entware/Debian. Реализация в прошивке не планируется.

Наша реализация шейпера несовместима с VPN-сервером, и на 7621 не используется QDMA по разным причинам. Реализация пока не планируется.

Да, поставить в Entware или в Debian пакет ntp.

Проблема не воспроизводится, компонент "Ядерные модули подсистемы netfilter для открытых пакетов" отображается и устанавливается.

Шейпер и VPN-клиенты несовместимы, ограничения скорости производится не будет.

Таблицы raw не будет, она сильно просаживает скорость. Все остальное есть в пакете opkg-kmod-netfilter.

Поддержка этого режима работы в 2.06 не осуществляется из-за некорректной реализации. Через некотрое время выйдет (для ваших устройств - неофициальная) версия 2.08 с поддержкой всех шифрованных туннелей - можете попробовать на ней.