KorDen

Для начала - забудьте про OpenVPN. Напрочь, на любом роутере. Steam осуществляет поиск ПК в рамках одного Broadcast-сегмента. Однако, с не очень давнего времени в консоли десктопного клиента присутствует команда connect_remote, а в Steam Link и приложении Steam Link на Android прямо в интерфейсе есть возможность прописать IP. Поэтому - организовываем обычный туннель L3, в случае с тплинком это PPTP, и подключаемся по IP. Никаких пробросов портов, ничего не нужно, должно штатно заработать. Консоль открывается либо запуском steam.exe -console либо выполнением steam://open/console в браузере, порт указывать 27036. В идеале - заменить второй роутер на что-нибудь с оффлоадом IPsec (б/у кинетики на RT6856, или любой современный роутер с MT7621 и адекватной прошивкой с поддержкой аппаратного оффлоада IPsec), и поднять IPsec-туннель любого вида. Через Start II можно вполне и по IPsec гонять, крипточип там есть, хоть и странный, но ~25mbit/s вполне тянет стабильно, если поэкспериментировать- можно и шустрее получить. Обновитесь хотя бы до 2.11 legacy, бодрее будет P.S.: стримил Ultra II -> Giga II через объединение EoIP over IPsec еще в начале 2017, когда не было возможности подключиться по IP... Последнее развлечение - стримить через LTE на смартфон.

Как я понимаю, по крайней мере на какую-то часть роутеров эта команда была отдана вчера в районе 23:30 MSK. Ребут одного из роутеров таки заметили его пользователи ("аааа, где wifi, WTF")... Хотелось бы иметь настройку перезагрузки по расписанию при автообновлении, или еще какую-то логику перезагрузки скажем глубокой ночью. В идеале - возможность указать в недельном расписании.

Вот тут начинает что-то идти не так. А именно - как бриджевать домашний сегмент с сегментом VPN так, чтобы всё это не перемешалось. Если вам просто нужно ограничить доступ из VPN только к определенному IP и нет обязательной привязки к единой адресации - лучше посмотреть в сторону ACL. Т.е. вполне логичная реализация - мы просто разрешаем клиенту VPN (из пула 10.8.0.0/24) ходить в другой сегмент только на IP 172.16.0.10, по-умолчанию isolate-private включен, но зависит от типа VPN, который вы настраиваете, там может не быть выделенного интерфейса у сервера и все настраиваться только через ACL. Какой VPN-сервер вы используете?

Я в курсе, спасибо. Отдельное спасибо за сборный список, навскидку знал только о первых четырех. Про мультисоты было из серии "мечтать не вредно" скорее, а вот обычные репитеры я бы не сказал что прям дорогущие.. Хотя да, не самые дешевые, и не особо популярные. Вопрос скорее из-за слабой антенны у существующего донгла. Не экономить бы на размерах и сделать нормальные антенны... Ну как бы... Но я так понимаю RTX3740 похоже уже EOL, раньше на сайте был. Или просто скрыли.

no ip nat Home # отключит NAT для исходящих из Home пакетов совсем ip static Home ISP # включит NAT для Home -> ISP, только 2.09+ Для 2.08 и ниже нужно задавать исходящий IP (должен быть статичным), а не интерфейс

Будет увеличение размеров (антенны)? Были ли мысли о репитерах (второй донгл в режиме репитера? Или это невозможно)/мультисотах (хотя наверное перебор для SOHO?)? Текущий донгл за двум стенами уже фигово начинает ловить

Keenetic уже не Zyxel, а Zywall - древнющие.. Забудьте о покупке лучше, если конечно где по бросовой цене (меньше цены б/у кинетика на 6856) не найдете... Кинетики на MT7621 и RT6856/63368 (из актуальных - Giga III / Ultra II / Giga KN-1010 / Ultra KN-1810, из старых - Keenetic II, Giga II, Ultra) могут протянуть аппаратно 200+mbps IPsec. (Keenetic II из-за 100мбит портов - 100) У Extra II криптомодуль тоже есть, но он "странный", не для всех нагрузок годится, и выдать может этак от силы 40Mbps в идеальных условиях. Настройки шифрования, в особенности 2 фаза, у вас какие? Ставьте AES+SHA1 и пробуйте с выключенным/выключенным криптомодулем на вашей нагрузке (crypto engine hardware / no crypto engine hardware) На роутере - нет

Прямо подробно нет, мысли тут

Это независимые технологии, каждая из которых решает свою проблему. 11k - ускоряет поиск "соседей", передавая список клиенту и позволяя ему не выполнять фоновое сканирование всех каналов 11r - ускоряет сам процесс переключения с точки на точку (хэндшейк)

no ip http ssl enable

Немножко оффтоп - я немного отстал от жизни видимо... Это получается CI и CI+ различаются чисто в софте, никаких архитетурно-аппаратных отличий нет? Т.е. действительно есть шансы успешно запустить модули CI+ на тюнерах типа сабжевого 5580, или же там есть нюансы?

Карта имеет смысл только если сеть многоранговая. Мало у кого больше двух роутеров или роутер+свич... Разве что схематически отображать что к какому порту подключено, особенно если есть второй роутер в доп.режиме... Но это не совсем карта сети.

no isolate-private полностью вырубает фильтрацию в фаерволе между разными private/protected сетями. Это отправная точка понять что оно таки работает с точки зрения маршрутизации. Если же изоляция каких-то сегментов между собой нужна - лучше его включить обратно и разбираться с ACL. Есть предположение, что в вашем исходном варианте ACL нужны не только на интерфейс первой сети, но и на интерфейс второй. Маршруты прописывать дополнительно никакие не нужно, если у ПК дефолтроутом кинетик и у него эта сетка directly connected-сегмент, пускай даже и с внешним DHCP.

Для начала no isolate-private

Сегодня

Подозреваю - выполнить по сути прямо все команды из доступных, mdid и ключ IAPP должны совпадать, только вопрос в каком виде их надо задавать. Дальше роутеры общаются бродкастом или мультикастом (?) между собой в пределах сегмента.

Пожалуй первый "ой" относительно 11r - https://hashcat.net/forum/thread-7717.html - как с этим жить? Есть ли поддержка чего-либо на старых устройствах (RT5392)? 11k - точки взаимодействуют по IAPP - бродкаст/мультикаст, или как? Отдается список всех точек в сегменте? Корректно ли в теории должны работать дополнительные ТД, если они будут в режиме "основной" (с отключенным NAT/DHCP/...), а не в режиме ТД? Как будет сосуществовать 2.4/5 - отдается список всех? И еще вопрос рядом - роуминг отстрелом по уровню сигнала предвидится?

В консоль CLI? Ну так тогда "sh run" и ищем: - наличие "service http" (а вдруг выключен?) - параметры ip http (в частности, ip http port)

PPTP ALG на всей цепочке NATов, через которые пробирается клиент

Нет, одно устройство может принадлежать только к одному профилю. В профиле задается только порядок подключений (для резервирования), индивидуальных route-таблиц на несколько подключений для каждого устройства/профиля задать нельзя. (кроме основной таблицы маршрутизации в дефолтном профиле). Задать src/dst port для политики тоже нельзя.

Если у вас загрузится с той прошивкой - дальше уже можете добавлять компоненты по желанию

Ну вы откопали старую тему... Точно-точно все компоненты с упоминанием WiFi убрали? Прошивка под гигу тут была - https://forum.keenetic.net/topic/3272-прошивка-для-giga-ii-без-wi-fi/?sortby=date

Ой, да, переклинило меня.. Точнее 2LUN он в той коробке называется

O_o Только хотел написать, что у меня на похожем 3U2B3A тоже в кинетике второй диск никак не определялся, причем я RAID не баловался, изначально в JBOD 2LUN юзал...

@Le ecureuil, похоже, работает, по крайней мере для IPIP