KorDen

Стоп. Нет. "6.1. Procedures at the UA": "it uses the content of the Service-Route header field as a preloaded Route header field in outgoing initial requests". И всё. Service-Route - это не outbound-прокси, и тем более не редирект регистрации. Пример описан в разделе 6.4. Клиенту UA1 возвращают в качестве Service-Route P2 и HSP, но он продолжает обращаться к P1, просто у себя в Route он МОЖЕТ подставлять присланные P2 и HSP.

Но его значение при успешных регах не блаблабла-3gpp, а вполне нормальный IP или домен же?

Видимо билайн решил не тратить лишние ресурсы и SIP-телефония стыкуется с остальное сетью через уже имеющийся IMS. Но не регистрироваться же на него Хм. В тех дампах, что сходу гуглятся, это безобразие присутствует в полях Contact для INVITE, а так же в realm и domain для ответов на REGISTER. По этим полям кинетик по идее не должен лезть на такой домен

Пожалуй лучше так: нужна возможность задавать вес STP для всех интерфейсов

без Ipsec это stateless туннель, в логах ничего и не должно быть (он просто постоянно UP будет), это у вас микрот чего-то чудит

Чрут же вроде только в Debian, в Entware /opt без чрута, не? Или вы сами устроили себе чрут, а теперь оно вам аукнулось?

Вы возможно не совсем понимаете, что "пакет" от @McMCC и модуль в прошивке - это в какой-то степени одно и то же. Грубо говоря: компонент в прошивке кладет собранные (но некорректно работающие на ядре 4.9) модули в /lib. "пакет"/"образ" - это те же самые модули (но исправленные), только собраны немного "вслепую" и кладутся в /opt/lib. А дальше делается костыльная магия по подгрузке модулей из /opt/lib вместо /lib. Чтобы продолжать собирать модули в качестве компонента - нужно чтобы кто-то из разработчиков был заинтересован в обновлении того, чем пользуется хорошо если 0.001% пользователей. Удаление и так поломанного компонента - логичный шаг. Кинуть камень в огород разработчиков прошивки пожалуй можно разве что за необновление исходников 4.x на гитхабе. Ну, еще, если развивать мысль возможность развития таких вот пользовательских модулей - недостаточность исходников для сборки модулей (понятно, что там вопрос и к NDA по всяким SDK и т.п., но насколько возможно...) и подумать о возможных упрощениях для того чтобы делать меньше костылей при загрузке сторонних модулей.

Предполагаю, у них SBC проксирует PBX, PBX проксирует софтсвич, софтсвич проксирует провайдерский транк, и так далее... Каждый вначале дает свое SDP а затем заменяет на то что прилетело дальше по цепочке, или что-то в этом роде. Там и 180 вон с SDP летит. Может воспроизводиться при звонках на определенные нумерации. Еще вспомнилось - 183+180 бывают при переходах SIP-ОКС7 на некоторых железках.

А эта подсеть терминируется за одним из IP в домашней сети или как? Смотрите ip static и ip nat. По идее вам достаточно просто "ip nat 192.168.36.0 255.255.255.0"

3V3 же не обязателен? На заметку, у китайских USB-TTL обычно цвета Vcc TX RX GND и Vcc=5V

А у этого дополнительного сегмента галка "Использовать NAT" стоит?

Ээээ... Да, Россия 24 теперь тоже plp=1, то есть ваш лист вроде правильный, вот всё в plp=1: 02 РОССИЯ-1;ГП КС:618000::T:27500:1021:1022:1024:0:1020:8835:2:0 07 РОССИЯ-24;ГП КС:618000::T:27500:1071:1072:0:0:1070:8835:2:0 09 ОТР;ГП КС:618000::T:27500:1091:1092:0:0:1090:8835:2:0 Радио России;ГП КС:618000::T:27500:0:1132:0:0:1130:8835:2:0

@dadaduda, ЕМНИП Россия 24 во втором PLP, т.е. "plp=2" должно быть, а не 1

Разрешающие ACL для интерфейса ISP

Так он же на 3DES преимущественно, на AES-128 и выше там требуемый объем в эксабайты, не? Вот только rekey в кинетике вызывает пересогласование всего соединения с переподнятием линка и потерей пакетов, и хорошо если не всех соседних туннелей "за компанию".

Сейчас для всех туннелей задано жесткое значение lifebytes в 20 гигабайт, из-за чего имеются проблемы с передачей через туннель больших объемов за раз. Как вариант расширить имеющееся "crypto ipsec transform-set <set> lifetime <seconds>" до цисковского "crypto ipsec security-association lifetime {seconds seconds | kilobytes kilobytes}" (шепотом: и для 2.16.D, если реально)

Так сделать третью опцию: Через облако / Прямой доступ (IP интерфейса провайдера) / Прямой доступ (определяемый облаком внешний IP)

это как

Ага, и сколько было время работы на момент странностей? Сохранились логи/self-test/какой-нибудь дамп или еще чего на тот момент?

Вспоминается и ныне актуальная статья https://habr.com/ru/post/205612/

А роутер во время экспериментов перезагружался?

..., в том числе self-hosted,...

А хотя чего бы и нет. Вполне себе прыжки между цепочками-таблицами netfilter. "ip policy Policy10 permit global Policy20" (астанавите меня кто-нибудь, а то мысли уже в netgraph улетели)

Покидайте устройство между профилями и посмотрите как меняется в конфиге блок ip hotspot. Так охота и тортик съесть и не потолстеть.

Нет. "Основной профиль" это на самом деле его отсутствие. Кажется, подобный разговор уже был, и эта фича может вполне пригодиться. Пример с выходом одного сегмента через VPN уже приводился. Каждый раз лезть в морду переключать профиль крайне неудобно во многих ситуациях, гораздо удобнее иметь две ТД или два VLAN (два LAN-порта) с разными параметрами. На мой взгляд, это ближе к реализации PBR по ACL, хотя даже в какой-то степени это уже VRF. Собственно говоря о вопросе "как должен выглядеть PBR по портам", который был в курилке - да просто матчить по ACL как с IPsec. Это одновременно решит и это предложение (матчить по SRC IP сегмента). Но пока в голове не укладывается, как правильнее матчить, чтобы это охватило разные варианты использования - если по принципу IPsec, то что делать с устройствами/сегментами с нестандартным полиси? Кто должен иметь приоритет? Если же в каждой строчке ACL указывать полиси, то тогда появляется второй уровень вложенности...