KorDen

https://wi-cat.ru/wi-fi-roaming/migraciya-rouming-v-wi-fi-setyah-chast-2-band-steering/

Для начала отключите на роутере BandSteering, и, возможно, WPA3

... Где в RFC говорится о том что UA должен ходить сам на указанный в Service-Route хост?!

@Joe D, описанное вами - это стандартная Challenge-Response аутентификации чтобы не передавать пароль в открытом виде. Там может быть что угодно, значения полей из раздела WWW-Authenticate в других местах не используются. Если хочется поискать различия, надо смотреть финальное сообщение 200 OK в ответ на REGISTER и строчку Service-Route в нём. Наверняка там дается в одних случаях какой-нибудь обычный айпишник или домен, а в других это самое 3gppnetwork. Ога, SIP и IPsec - два монстра... Сидишь себе с парой SIP-прокси и несколькими транками, всё вроде понятно, и даже домофон созванивается с видеотелефоном как-то сам по себе, только кодек одинаковый выбрать и разрешить. А как окунешься в "serious business" с outbound proxy, раздельными регистрантами-прокси, раздельными логинами-номерами-etc и кучей расширений-заголовков, так уже перестаешь понимать, что вообще происходит. Вишенка на торте - согласование этой тысячи расширений с SS7-фиксой, экстра-бонус контент - с опсосами

Стоп. Нет. "6.1. Procedures at the UA": "it uses the content of the Service-Route header field as a preloaded Route header field in outgoing initial requests". И всё. Service-Route - это не outbound-прокси, и тем более не редирект регистрации. Пример описан в разделе 6.4. Клиенту UA1 возвращают в качестве Service-Route P2 и HSP, но он продолжает обращаться к P1, просто у себя в Route он МОЖЕТ подставлять присланные P2 и HSP.

Но его значение при успешных регах не блаблабла-3gpp, а вполне нормальный IP или домен же?

Видимо билайн решил не тратить лишние ресурсы и SIP-телефония стыкуется с остальное сетью через уже имеющийся IMS. Но не регистрироваться же на него Хм. В тех дампах, что сходу гуглятся, это безобразие присутствует в полях Contact для INVITE, а так же в realm и domain для ответов на REGISTER. По этим полям кинетик по идее не должен лезть на такой домен

Пожалуй лучше так: нужна возможность задавать вес STP для всех интерфейсов

без Ipsec это stateless туннель, в логах ничего и не должно быть (он просто постоянно UP будет), это у вас микрот чего-то чудит

Чрут же вроде только в Debian, в Entware /opt без чрута, не? Или вы сами устроили себе чрут, а теперь оно вам аукнулось?

Вы возможно не совсем понимаете, что "пакет" от @McMCC и модуль в прошивке - это в какой-то степени одно и то же. Грубо говоря: компонент в прошивке кладет собранные (но некорректно работающие на ядре 4.9) модули в /lib. "пакет"/"образ" - это те же самые модули (но исправленные), только собраны немного "вслепую" и кладутся в /opt/lib. А дальше делается костыльная магия по подгрузке модулей из /opt/lib вместо /lib. Чтобы продолжать собирать модули в качестве компонента - нужно чтобы кто-то из разработчиков был заинтересован в обновлении того, чем пользуется хорошо если 0.001% пользователей. Удаление и так поломанного компонента - логичный шаг. Кинуть камень в огород разработчиков прошивки пожалуй можно разве что за необновление исходников 4.x на гитхабе. Ну, еще, если развивать мысль возможность развития таких вот пользовательских модулей - недостаточность исходников для сборки модулей (понятно, что там вопрос и к NDA по всяким SDK и т.п., но насколько возможно...) и подумать о возможных упрощениях для того чтобы делать меньше костылей при загрузке сторонних модулей.

Предполагаю, у них SBC проксирует PBX, PBX проксирует софтсвич, софтсвич проксирует провайдерский транк, и так далее... Каждый вначале дает свое SDP а затем заменяет на то что прилетело дальше по цепочке, или что-то в этом роде. Там и 180 вон с SDP летит. Может воспроизводиться при звонках на определенные нумерации. Еще вспомнилось - 183+180 бывают при переходах SIP-ОКС7 на некоторых железках.

А эта подсеть терминируется за одним из IP в домашней сети или как? Смотрите ip static и ip nat. По идее вам достаточно просто "ip nat 192.168.36.0 255.255.255.0"

3V3 же не обязателен? На заметку, у китайских USB-TTL обычно цвета Vcc TX RX GND и Vcc=5V

А у этого дополнительного сегмента галка "Использовать NAT" стоит?

Ээээ... Да, Россия 24 теперь тоже plp=1, то есть ваш лист вроде правильный, вот всё в plp=1: 02 РОССИЯ-1;ГП КС:618000::T:27500:1021:1022:1024:0:1020:8835:2:0 07 РОССИЯ-24;ГП КС:618000::T:27500:1071:1072:0:0:1070:8835:2:0 09 ОТР;ГП КС:618000::T:27500:1091:1092:0:0:1090:8835:2:0 Радио России;ГП КС:618000::T:27500:0:1132:0:0:1130:8835:2:0

@dadaduda, ЕМНИП Россия 24 во втором PLP, т.е. "plp=2" должно быть, а не 1

Разрешающие ACL для интерфейса ISP

Так он же на 3DES преимущественно, на AES-128 и выше там требуемый объем в эксабайты, не? Вот только rekey в кинетике вызывает пересогласование всего соединения с переподнятием линка и потерей пакетов, и хорошо если не всех соседних туннелей "за компанию".

Сейчас для всех туннелей задано жесткое значение lifebytes в 20 гигабайт, из-за чего имеются проблемы с передачей через туннель больших объемов за раз. Как вариант расширить имеющееся "crypto ipsec transform-set <set> lifetime <seconds>" до цисковского "crypto ipsec security-association lifetime {seconds seconds | kilobytes kilobytes}" (шепотом: и для 2.16.D, если реально)

Так сделать третью опцию: Через облако / Прямой доступ (IP интерфейса провайдера) / Прямой доступ (определяемый облаком внешний IP)

это как

Ага, и сколько было время работы на момент странностей? Сохранились логи/self-test/какой-нибудь дамп или еще чего на тот момент?

Вспоминается и ныне актуальная статья https://habr.com/ru/post/205612/

А роутер во время экспериментов перезагружался?