KorDen

Так он же на 3DES преимущественно, на AES-128 и выше там требуемый объем в эксабайты, не? Вот только rekey в кинетике вызывает пересогласование всего соединения с переподнятием линка и потерей пакетов, и хорошо если не всех соседних туннелей "за компанию".

Сейчас для всех туннелей задано жесткое значение lifebytes в 20 гигабайт, из-за чего имеются проблемы с передачей через туннель больших объемов за раз. Как вариант расширить имеющееся "crypto ipsec transform-set <set> lifetime <seconds>" до цисковского "crypto ipsec security-association lifetime {seconds seconds | kilobytes kilobytes}" (шепотом: и для 2.16.D, если реально)

Так сделать третью опцию: Через облако / Прямой доступ (IP интерфейса провайдера) / Прямой доступ (определяемый облаком внешний IP)

это как

Ага, и сколько было время работы на момент странностей? Сохранились логи/self-test/какой-нибудь дамп или еще чего на тот момент?

Вспоминается и ныне актуальная статья https://habr.com/ru/post/205612/

А роутер во время экспериментов перезагружался?

..., в том числе self-hosted,...

А хотя чего бы и нет. Вполне себе прыжки между цепочками-таблицами netfilter. "ip policy Policy10 permit global Policy20" (астанавите меня кто-нибудь, а то мысли уже в netgraph улетели)

Покидайте устройство между профилями и посмотрите как меняется в конфиге блок ip hotspot. Так охота и тортик съесть и не потолстеть.

Нет. "Основной профиль" это на самом деле его отсутствие. Кажется, подобный разговор уже был, и эта фича может вполне пригодиться. Пример с выходом одного сегмента через VPN уже приводился. Каждый раз лезть в морду переключать профиль крайне неудобно во многих ситуациях, гораздо удобнее иметь две ТД или два VLAN (два LAN-порта) с разными параметрами. На мой взгляд, это ближе к реализации PBR по ACL, хотя даже в какой-то степени это уже VRF. Собственно говоря о вопросе "как должен выглядеть PBR по портам", который был в курилке - да просто матчить по ACL как с IPsec. Это одновременно решит и это предложение (матчить по SRC IP сегмента). Но пока в голове не укладывается, как правильнее матчить, чтобы это охватило разные варианты использования - если по принципу IPsec, то что делать с устройствами/сегментами с нестандартным полиси? Кто должен иметь приоритет? Если же в каждой строчке ACL указывать полиси, то тогда появляется второй уровень вложенности...

Это и есть отдельный reject-маршрут.

Уточню: ожидается например ввод в CLI ip route 192.168.5.0/24 reject ip route 192.168.5.0/24 IPIP0 auto Поведение аналогично через старый линуксовый route route add -net 192.168.5.0/24 dev ipip0 route add -net 192.168.5.0/24 reject

Но если хочется максимальной производительности, лишней фрагментации надо по максимуму избегать. Какая именно фрагментация поддерживается теперь аппаратно?

Ну подключите вы 4 LAN, а дальше оно все в бутылочное горлышко на 1 гбит/с уходит. Вы на WiFi до гигабита хотя бы дойдите.. на KN-1010 это явно невозможно.

Схема возможна. Смотреть security-level для интерфейсов VPN, isolate-private, маршруты, NAT, ACL.

Вариантов два.. Первый, правильный - поставить управляемый свич и разрулить вланами. Стоимость управляемых свичей (гигабитных) начинается где-то от 2к, дешевле пожалуй будет купить Keenetic Start по скидкам [насколько я понимаю, у вас Lite, т.е. сеть стомегабитная], и тогда вопрос вообще можно будет закрыть как угодно. Второй, экономный - попробовать пошаманить на L3. Если на PON-терминале можно отключить DHCP-сервер, можно попробовать повесить сегмент WAN алиасом на LAN и сделать маршурт туда.. Фиг знает, насколько вообще это будет работать... т.е. терминал 100.1, на кинетике статикой 100.2 и дефолтный маршрут на 100.1, но в этот же L2-сегмент кинетик выдает свой домашний сегмент... Еще приходят на ум мысли о MAC-based VLAN, но в кинетиках наверное такое не прокатит.. Так вам надо распилить сетку не там где кинетик ведь.

А при помощи виндовой Realtek Diagnostic Utility длину меряет чуть ли не любой реалтек, включая встроенные. Она же кстати позволяет создавать VLAN-сабинтерфейсы в винде.

При отсутствии заземления (или иногда еще хуже - заземление есть, но уравнивания потенциалов нет) этот самый экран может сыграть еще более злую шутку. Особенно если с обоих сторон будет по всем правилам обжат коннекторами с экраном и соприкасатаься с корпусом свича. Подобные проблемы можно наблюдать у операторов с КТВ по коаксиалу (DVB-C) в домах старой постройки, особенно с газовыми плитами. Разница потенциалов между экраном приходящего кабеля и экраном ТВ в половину сетевого напряжения - запросто. В итоге получаем постоянный уравнивающий ток. Тут смотришь как лепят нынешнюю электрику с TN-C-S на бумаге и ужасом на деле (алюминиевый СИП на столбе закручен в хиленькую латунную нулевую шинку и это типа повторное заземление на новой линии, и так далее и тому подобное) - и понимаешь, что чаще всего лучше просто принимать за данность, что заземления нет.

IMHO самая надежная грозозащита - Giga/Ultra, SFP-модуль, оптический патчкорд и медиаконвертер. Разве что через 220 как-то прошибет. Без покупки Giga/Ultra - просто пару медиаконвертеров в разрыв... Если скорости максимум сотка, и учитывая, что SFP-порт в кинетике крайне всеядный и спокойно поднимает стомегабитный линк на гигабитном SFP - можно на авито стомегабитных медиаконвертеров прикупить за копейки.

А вам оно точно-точно надо?

У Giga II все порты висят на одном свиче, и проц ничего, накатить 2.11/2.16 и юзать как управляемый свич с возможностью чего-нибудь полезное воткнуть в USB. Хотя интересно, как себя будет вести WiFi-система в случае "неопознанного" устройства в середине...

Сегменты - домашняя сеть

А... Я про текущую линейку - трубки 72x/73x, базы 75x/76x - там уже проприетарщина

Extra II конечно хит продаж, но в 2018 еще вполне продавалась. Гарантия 2 года, так что всё зависит от даты покупки (точнее, даты активации)