KorDen

o_O Если закинуть с обоих сторон DSL-подключение в бридж Home - по идее не должно быть проблем. Хотя в вашем случае от k/r/v толку будет мало по идее. Ведь это улучшайзеры для быстрого переключения, если нет больших зон перекрытия сигналом от разных точек. Напомню, что единую сеть дают в первую очередь одинаковые имя сети и пароль. а r/k/v нужны для наиболее шустрого переключения между точками поддерживающих эти протоколы устройств

Кинетики со встроенным DSL-модемом не поддерживает Plus DSL ни на каких прошивках. Поэтому практический вариант - ваш 4G III + Plus DSL в качестве сервера, и докупить Keenetic DSL KN-2010 в качестве клиента (можно найти по скидкам за ~2800). Ну или второй Plus DSL и совместимый кинетик с авито/по скидкам

Какая у вас модель роутера?

Максимум домены, да и то не факт, т.к. TLS

Это начало динамического пула. Статические записи могут быть в пределах всего диапазона домашней сети.

А если вводить любой домен, который гарантированно HTTP - всё так же крутится? Например, myip.ru

Не осилил распарсить это сообщение. Хотя тут до меня дошло... cli_manual_kl_rh.pdf Модель Keenetic Lite III Версия OC 3.1 Редакция 1.63 13.09.2019 Процессор MediaTek MT7620N MIPS® 24KEc 575 MHz Оперативная память EtronTech EM6AB160TSD-5G 64Mb SDRAM Флеш-память Winbond W25Q64FVSIG 8Mb

Хм. http://docs.help.keenetic.com/cli/3.1/ru/cli_manual_kl_rh.pdf "Флеш-память Winbond W25Q64FVSIG 8Mb" (знаю что чушь, а у kl_rg правильно W25Q128CSIG)

Нет. Нормальное рабочее состояние - 1 IKE_SA (control channel) и 1 CHILD_SA (data channel). 2 CHILD_SA - это разве что при Make-before-break и то на короткий интервал. На туннеле 2.15 - 2.15 между MT7628 1 CHILD_SA

"Клиент" Giga II на 2.11.D.5, заметил что создается второй CHILD_SA, на 2.15+ такого не видно. Похоже из-за скачка времени при синхронизации NTP во время загрузки. (NTP-сервер доступен уже после поднятия IPIP, на 2.15 есть аналогичная конфигурация) В итоге оно так постоянно и пересогласует по два CHILD_SA, по второму трафика всегда нет.

Обновление - везде, это то что вы делаете заходя на роутер сами. Автообновление - только на новых моделях (в т.ч. например ваш Lite 3 r.B) с двойным флешем, роутер сам обновляется без вашего участия по команде с сервера.

Не путайте "обновление" и "автообновление"

IPIP over IPsec. ну или GRE/EoIP/L2TP over Ipsec, без разницы, у IPIP оверхед меньше

Для strong всё так и осталось, 1536 для SA впереди: ~ # cat /tmp/ipsec/ipsec.conf ... conn IPIP0 ... ike = aes256-sha1-modp2048,aes256-sha1-ecp384,aes256-sha1-modp1536,aes128-sha1-modp2048,aes128-sha1-ecp256,aes128-sha1-modp1536! ... esp = aes256-sha1-modp1536,aes256-sha1-modp2048,aes128-sha1-modp2048,aes128-sha1-modp1536! (в CLI Guide аналогично)

Наткнулся в логах на "peer didn't accept DH group MODP_1536, it requested MODP_2048" и последующий полный рестарт при пересогласовании (с той стороны прописано только ....-modp2048). Есть какой-то тайный смысл в том. что в SA первым идет modp1536?

Проверка идет в момент загрузки (первоначального опроса шины)? Если отвалится находу (после нормальной инициализации и работы) - теоретически улетит как обычно в ребут, или заблочит и продолжит работу без него?

О, а это в 3.x появилось? При full-cone как соотносится с фаерволом?

Есть же dehydrated, в котором только в одном месте надо поменять "#!/usr/bin/env bash" на "#!/opt/bin/bash" Достаточно открыть в фаерволе Что мешает перманентно перенести сервер кинетика на другой порт?

Ничего не устареет, два сертификата для одного домена - нормальная практика

Если каких-то особых требований нет, попробуйте чистый IPsec-туннель (AES128/SHA, AES128/MD5) или IPIP over IPsec, если нужна маршрутизация. Там оверхед поменьше, чем в L2TP/IPsec, и максимальная скорость скорость чуть больше (30-35), хотя конечно зависит от характера нагрузки. На 1010/1910/1810 в туннеле IPIPoverIPsec практическая скорость порядка 150-200 мбит/с (на гигабитном линке), при этом интерфейс не отваливается, проц не упирается в 100%.

Есть Giga II, у которой WiFi работает, но она изредка самопроизвольно ребутается. Либо не ребутается, но WiFi в какой-то момент и до ребута начинает работает очень паршиво (сеть видна, но не подключается и т.п.). Подозреваю, это "ранние симптомы"? (наблюдается уже с полгода) Или такого не наблюдалось? Если прошить той прошивкой - WiFi вырубится совсем?

Вопрос именно в том - можно ли без последствий заниматься разработкой кода того же exFAT (если MS внесет патенты в пул OIN), самому не вступая в OIN. Иначе говоря - если патенты будут в пуле OIN, потребуется ли от Keenetic членство в OIN (пускай и формальное) для соблюдения всех формальностей при включении поддержки exFAT, или можно не вступать? // еще вспоминается ситуация с AV1 - AOM vs Sisvel, где AOM это аналог OIN, но это уже совсем другая история

Вопрос по OIN - подразумевается ли, что если патент в пуле OIN, то код, подпадающий под этот патент, может использоваться для коммерческой разработки любой компанией в мире, или только компаниями, состоящими в OIN? Ну или еще какой-нибудь RedHat-way там, или другие подобные ограничения по использованию/бэкпортированию в свою ветку ядра? (это я про используемое там везде "Linux System" и The definition of the Linux System relevant to the OIN license agreement is described on this page and associated tables.)

По мотивам данной темы, из чата: аналогичная проблема с туннелями 6in4, тоже желательно хотя бы IPDEFTTL вместо inherit

Но это есть и в конфиге для IPIP-туннелей. Поясню тогда вопрос подробнее. Кинетик - клиент, сервер - свой strongSwan 5.7.2, где настройки IPsec практически аналогичны тем что на кинетике в режиме сервера. Наблюдаю иногда двойное пересогласование, как я понимаю из-за того, что таймеры reauth/rekey выставляются в случайные значения (8 часов плюс-минус несколько минут). Со стороны сервера выглядит как Aug 25 15:39:48 db-a2 charon: 14[KNL] creating rekey job for CHILD_SA ESP/... *пересогласование ESP* Aug 25 15:39:49 db-a2 charon: 10[IKE] CHILD_SA closed через пару минут полная переустановка: Aug 25 15:42:08 db-a2 charon: 11[IKE] received DELETE for IKE_SA *полная переустановка IKE/ESP* Со стороны кинетика I [Aug 25 18:39:48] ipsec: 05[CFG] received proposals: ESP:... *пересогласование ESP* I [Aug 25 18:39:48] ndm: kernel: EIP93: release SPI.... .... I [Aug 25 18:42:07] ipsec: 06[IKE] reauthenticating IKE_SA IPIP0[7] *полное пересогласование* ... I [Aug 25 18:42:08] ipsec: 04[IKE] scheduling reauthentication in 28780s ... I [Aug 25 18:42:08] ipsec: 04[IKE] received AUTH_LIFETIME of 28037s, scheduling reauthentication in 28017s На туннеле кинетик-кинетик вот этого вот лишнего пересогласования ESP перед полным пересогласованием не наблюдаю. Подозреваю, дело собственно в таймерах - когда таймер пересогласования ESP меньше таймера пересогласования IKE - так и происходит (таймер со стороны сервера), а в кинетиковской реализации оно подавлено. Просто хочу для себя понять, в правильную ли я сторону копаю. Хочу максимально уменьшить лишние телодвижения по пересогласованию, потому что это лишние потери пакетов как обычно в самый неподходящий момент.