Le ecureuil

А в чем смысл? Если устройство ушло в Offline, то его точка доступа через пару секунд сама отстрелит, а если вы кикните рабочее устройство, то оно тут же переподключится заново.

Нужен глобано-маршрутизируемый адрес, но вообще говоря можно и FQDN, привязанное к этом адресу через любой dynamic dns.

А через Интернет-соединение все нормально? При помощи чего измеряете скорость?

IKEv2 в iOS и в винде полностью основан на сертификатах, и Keentic пока его в таком виде вообще не поддерживает. Вам нужен именно Cisco VPN, возможно он и не умеет VPN on demand.

Варианты такие: - использовать IPsec. - использовать PPTP без шифрования. Сперва попробуйте второе. Для этого включите на вашем роутере VPN-сервер, установив галку "Разрешить нешифрованные подключения", а на роутере друга настройте туннель PPTP до своего роутера. Скорость должна быть около 100 Мбит/с. Все остальное требует перехода на вашем роутере на прошивку 2.08 и дополнительных телодвижений, потому сперва стоит попробовать обойтись без них.

На Giga II с прошивкой 2.08 все отлично работает, памяти более чем достаточно для большинства несложных задач. Ну а mysql - это все же перебор для такого слабого устройства.

На 4G всех ревизий не поддерживается работа с накопителем, и в том числе не поддерживается opkg.

На Keenetic все кроме конфига находится в режиме "только для чтения", потому самое худшее что вас может ждать - сброс настроек в дефолт на устройстве + форматирование внешнего накопителя. А чаще всего ничего не нужно, просто все удалить подчистую с внешнего диска достаточно. debian отличается от Entware тем, что Entware не делает chroot, то есть у вас доступны все файлы выше каталога /opt. Debian же делает chroot к себе в /opt, и он становится его корнем, то есть изнутри Debian попасть в ФС Keenetic невозможно без ухищрений.

Каталог /opt создается системой, и ваш диск с opkg монтируется туда. Разумеется, на самом диске этого каталога не будет.

Принято, будем воспроизводить и проверять.

Это оффтопик, идите в курилку с обсуждением прошивок модемов.

Это так называемый Carrier-Grade NAT: https://en.wikipedia.org/wiki/Carrier-grade_NAT То есть, говоря по-простому, самые обычные "серые" адреса, хоть не из диапазонов RFC1918 (192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8).

Да, можно спокойно нарезать по /30 сети, все будет работать. IPIP есть не во всяком оборудовании навроде Mikrotik, Cisco, Zywall, и. т. п. Потому сделан еще и GRE, чтобы устанавливать связь с ними.

Я вроде уже не раз писал, что у всех серверов должны совпадать IKE proposal, IKE PSK, IKE mode, иначе будет беда. Насчет перезагрузки просьба поподробнее, если можно с crypto engine hardware и crypto engine software, а также с self-test.

Я и имел в виду сброс активных сессий на pptp и ipsec серверах.

У вас нет ошибок в логе, однако конфигурация кривая. Удалите все ошметки ручной конфигурации (включая access-list) и отныне настраивайте только через Web, чтобы был настроен только один сервер. Можете прислать в личку startup-config, я вам удалю весь мусор.

Скиньте self-test и опишите, из какой сети подключаетесь (LAN, WAN, Guest).

Только что обсуждали. Задача такая стоит в очереди, но приоритет у нее не самый высокий. Так что пока терпение и терпение, но скорее всего будет сделано.

Пока никаких планов.

Пока такой возможности нет.

А кто именно мешает отключить все ускорители, установить Entware и в netfilter.d добавить скрипт со строчкой из первого поста? Правильно, никто.

Virtual IP client не поддерживается, поскольку и так существует много разновидностей IPsec для создания туннелей самого разного сорта.

1. Сброс соединения без блокировки в firewall практического смысла не имеет, поскольку следующий пакет снова создаст запись в conntrack. Или вы хотите, чтобы всем сторонам разослался TCP RST? 2. Вот это интереснее, подумаем. Однако тут нет интерфейсов, потому непонятно как создавать блокировку. 3. Тоже нужно подумать. 4. Насчет журнала тоже надо подумать. А вообще будущее этой вкладки туманно.

Это все тоже планируется, но пока никаких сроков Сперва нужно стабилизировать то, что уже есть.

Да, можно радоваться!