Петька и Василий Иванович

И TLS 1.3 тоже блокируют.

Роскомнадзор начал блокировать ECH.

У меня сессия по таймауту закрывается. Но да, Mobike на Кинетике не работает. Как костыль - мультилогин.

@r13 В окошках есть ipconfig и там все видно. Здесь как выйти,?

@r13 Тогда как понять что, где, когда и на коком сетевом интерфейсе? То по "show ipv6 prefixes" получается не все?

@r13 Не отображены в интерфейсе Link-local.

4.2А2. Идет обмен данными с подсетями которых не должно быть: Information-request message from fe80::5241:1cff:fe48:98de port 546, transaction ID 0xC7E53A00 Мар 31 12:56:35 dhcpd Sending Reply to fe80::5241:1cff:fe48:98de port 546 Мар 31 13:03:26 dhcpd Information-request message from fe80::5241:1cff:fe48:98de port 546, transaction ID 0xC9A3FA00 Мар 31 13:03:26 dhcpd Sending Reply to fe80::5241:1cff:fe48:98de port 546 При: Действующие маршруты IPv4 Адрес назначения Шлюз Интерфейс 0.0.0.0/0 0.0.0.0 МТС (PPPoE) 62.112.*.*/32 0.0.0.0 МТС (PPPoE) 62.112.*.*/32 0.0.0.0 МТС (PPPoE) 95.165.*.*/32 0.0.0.0 МТС (PPPoE) 192.168.1.0/24 0.0.0.0 Домашняя сеть Действующие маршруты IPv6 Адрес назначения Шлюз Интерфейс fd54:a9c2:6d7b::/64 :: Домашняя сеть self-test_KN-3810_draft_4.02.A.2.0-0_router_2024-03-31T13-05-38.427Z.txt

@Le ecureuil Протестировал на 4.2А2 - получается так:

В 4.2 добавилась поддержка MOBIKE для IKEv2. Протестировал 4.2А2: что со стандартным клиентом Самсунга, что с Стронгсваном - не работает. На телефоне, при включенном VPN, переключался мобильный интернет. И, соответственно, при смене оператора интернет пропадал (блокировался VPNом). Журналы приложил к сообщению. log_Самсунг.txt log_Стронгсван.txt self-test_KN-3810_draft_4.02.A.2.0-0_router_2024-03-31T12-29-37.653Z.txt Клиент Стронгсван.log

@Дима Федоров Не имеет никакого смысла пытаться сидеть в домашенем Wi-Fi с IKEv2, подключаясь к этому роутеру. Вообще бессмысленно и невозможно. Как выход - используйте на Самсунге "Режимы и сценарии". Они как раз поддерживают родной клиент IKEv2. PS Техподдержка сообщила, что MOBIKE планируется внедрить в 4.2. Будет кучеряво. А пока необходимо использовать на сервере "Множественный вход".

@Deadlock Сервер настраивается так: https://help.keenetic.com/hc/ru/articles/360017022999-VPN-сервер-IKEv2 Клиент Самсунга: Можете альтернативный клиент настроить (если встроенный не нравится): https://help.keenetic.com/hc/ru/articles/8866287233180-Подключение-к-VPN-серверу-IKEv2-из-Android

@Илья Хрупалов, да, может и присутствуют глюки в Самсунге, но на текущий момент Кинетик на запрос Самсунга о роуминге, по журналу, посылает его матом восвояси. По факту так же. С тем же Стронгсваном, который рекомендует Кинетик, повторяется.

@Илья Хрупалов, не проверял.

Банально не работает при роуминге телефона в сетях: VPN пропадает навсегда. В предыдущем моем сообщении ссылка имеется. Там логи и способ воспроизведения приведён.

Сейчас роуминга нет. Выручает включение на сервере "Множественный вход". От этого сообщения и до конца темы описана ситуация: Жду. Это с запуска 4.1?

У меня есть сторонний vpn-клиент платный, в том числе поддерживает WG. Почему хочу IKEv2? Только он реализован во встроенном клиенте Самсунга, а это значит есть нормальная поддержка в "Режимы и сценарии" Самсунга. Почему не соединю роутеры? Да просто на работе не имею доступа к их сетевой инфраструктуре, да и смысла нет. И из-за сильных безопасников приходится использовать IKEv2 через свой домашний роутер.

Вот и я говорю, что как минимум про "Always-on VPN" c IKEv2 на Кинетике можно забыть. Или костылить. По моему мнению - это из-за не реализации Кинетиком стандарта MOBIKE. Хотя я и далек от ITишных дел. Ранее создал соответствующую тему. Может и увидят ее разработчики:

Это Самсунг - Wi-Fi - Кинетик1_(IP 94.29.*.* его провайдера, у роутера серый) - Интернет - Кинетик2_с_IKEv2-сервером. Меняется на: Самсунг - сотовая связь - Интернет - Кинетик2_с_IKEv2-сервером.

Здесь видно, что при переходе с wi-fi на сотовую связь 11[IKE] 178.176.*.* is initiating an IKE_SA получил отказ: Фев 26 23:58:22 ipsec 14[IKE] canceling IKE_SA setup due to uniqueness policy А дальше уже и соединение в Кинетике сбросилось: Фев 27 00:00:29 ndm IpSec::CryptoMapInfo: "VirtualIPServerIKE2": crypto map remote client "Lw*" @ "Lw*" from "94.29.*.*" disconnected. Ни о каком режиме "Alway-on VPN" и говорить не приходиться.

Фев 26 23:57:56 ndm Core::Syslog: the system log has been cleared. Фев 26 23:58:08 ipsec 12[IKE] 94.29.*.* is initiating an IKE_SA Фев 26 23:58:08 ipsec 12[CFG] received proposals: IKE:AES_CBC=256/AES_CBC=128/HMAC_SHA2_512_256/HMAC_SHA2_384_192/HMAC_SHA2_256_128/HMAC_SHA1_96/PRF_HMAC_SHA2_512/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_256/PRF_HMAC_SHA1/MODP_2048_256/ECP_384/ECP_256/MODP_2048/MODP_1536, IKE:AES_GCM_16=256/AES_GCM_16=128/PRF_HMAC_SHA2_512/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_256/PRF_HMAC_SHA1/MODP_2048_256/ECP_384/ECP_256/MODP_2048/MODP_1536 Фев 26 23:58:08 ipsec 12[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256 Фев 26 23:58:08 ipsec 12[CFG] selected proposal: IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048 Фев 26 23:58:08 ipsec 12[IKE] remote host is behind NAT Фев 26 23:58:08 ipsec 12[IKE] DH group MODP_2048_256 unacceptable, requesting MODP_2048 Фев 26 23:58:08 ipsec 15[IKE] 94.29.*.* is initiating an IKE_SA Фев 26 23:58:08 ipsec 15[CFG] received proposals: IKE:AES_CBC=256/AES_CBC=128/HMAC_SHA2_512_256/HMAC_SHA2_384_192/HMAC_SHA2_256_128/HMAC_SHA1_96/PRF_HMAC_SHA2_512/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_256/PRF_HMAC_SHA1/MODP_2048/MODP_2048_256/ECP_384/ECP_256/MODP_1536, IKE:AES_GCM_16=256/AES_GCM_16=128/PRF_HMAC_SHA2_512/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_256/PRF_HMAC_SHA1/MODP_2048/MODP_2048_256/ECP_384/ECP_256/MODP_1536 Фев 26 23:58:08 ipsec 15[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256 Фев 26 23:58:08 ipsec 15[CFG] selected proposal: IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048 Фев 26 23:58:08 ipsec 15[IKE] remote host is behind NAT Фев 26 23:58:08 ipsec 14[CFG] looking for peer configs matching 95.68.*.*[%any]...94.29.*.*[Lw*] Фев 26 23:58:08 ipsec 14[CFG] selected peer config 'VirtualIPServerIKE2' Фев 26 23:58:08 ipsec 14[IKE] initiating EAP_IDENTITY method (id 0x00) Фев 26 23:58:08 ipsec 14[IKE] peer supports MOBIKE, but disabled in config Фев 26 23:58:08 ipsec 14[IKE] authentication of '*.keenetic.name' (myself) with RSA_EMSA_PKCS1_SHA2_256 successful Фев 26 23:58:08 ipsec 14[IKE] sending end entity cert "CN=*.keenetic.name" Фев 26 23:58:08 ipsec 14[IKE] sending issuer cert "C=US, O=Let's Encrypt, CN=R3" Фев 26 23:58:08 ipsec 05[IKE] received EAP identity 'Lw*' Фев 26 23:58:08 ipsec 05[IKE] initiating EAP_MSCHAPV2 method (id 0xDA) Фев 26 23:58:08 ipsec 06[IKE] EAP method EAP_MSCHAPV2 succeeded, MSK established Фев 26 23:58:09 ipsec 09[IKE] authentication of 'Lw*' with EAP successful Фев 26 23:58:09 ipsec 09[IKE] authentication of '*.keenetic.name' (myself) with EAP Фев 26 23:58:09 ipsec 09[IKE] IKE_SA VirtualIPServerIKE2[76] established between 95.68.*.*[*.keenetic.name]...94.29.*.*[Lw*] Фев 26 23:58:09 ipsec 09[IKE] peer requested virtual IP %any Фев 26 23:58:09 ndm Core::Server: started Session /var/run/ndm.core.socket. Фев 26 23:58:09 ndm IpSec::CryptoMapInfo: "VirtualIPServerIKE2": allocated address "172.20.*.*" for user "Lw*" @ "Lw*" from "94.29.*.*". Фев 26 23:58:09 ndm Core::Session: client disconnected. Фев 26 23:58:09 ipsec 09[IKE] assigning virtual IP 172.20.*.* to peer 'Lw*' Фев 26 23:58:09 ipsec 09[CFG] received proposals: ESP:AES_GCM_16=256/AES_GCM_16=128/NO_EXT_SEQ, ESP:AES_CBC=256/AES_CBC=128/HMAC_SHA2_512_256/HMAC_SHA2_384_192/HMAC_SHA2_256_128/HMAC_SHA1_96/NO_EXT_SEQ Фев 26 23:58:09 ipsec 09[CFG] configured proposals: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_SHA2_256_128/NO_EXT_SEQ Фев 26 23:58:09 ipsec 09[CFG] selected proposal: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ Фев 26 23:58:09 ipsec 09[IKE] CHILD_SA VirtualIPServerIKE2{33} established with SPIs c2dc31c0_i c7fda6b5_o and TS 0.0.0.0/0 === 172.20.*.*/32 Фев 26 23:58:09 ndm IpSec::CryptoMapInfo: "VirtualIPServerIKE2": crypto map is up: remote client "Lw*" @ "Lw*" with IP "172.20.*.*" connected. Фев 26 23:58:09 ipsec 09[CFG] scheduling RADIUS Interim-Updates every 5s Фев 26 23:58:09 ndm IpSec::Netfilter: start reloading netfilter configuration... Фев 26 23:58:09 ndm IpSec::Netfilter: netfilter configuration reloading is done. Фев 26 23:58:21 ipsec 11[IKE] 178.176.*.* is initiating an IKE_SA Фев 26 23:58:21 ipsec 11[CFG] received proposals: IKE:AES_CBC=256/AES_CBC=128/HMAC_SHA2_512_256/HMAC_SHA2_384_192/HMAC_SHA2_256_128/HMAC_SHA1_96/PRF_HMAC_SHA2_512/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_256/PRF_HMAC_SHA1/MODP_2048_256/ECP_384/ECP_256/MODP_2048/MODP_1536, IKE:AES_GCM_16=256/AES_GCM_16=128/PRF_HMAC_SHA2_512/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_256/PRF_HMAC_SHA1/MODP_2048_256/ECP_384/ECP_256/MODP_2048/MODP_1536 Фев 26 23:58:21 ipsec 11[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256 Фев 26 23:58:21 ipsec 11[CFG] selected proposal: IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048 Фев 26 23:58:21 ipsec 11[IKE] remote host is behind NAT Фев 26 23:58:21 ipsec 11[IKE] DH group MODP_2048_256 unacceptable, requesting MODP_2048 Фев 26 23:58:21 ipsec 09[IKE] 178.176.*.* is initiating an IKE_SA Фев 26 23:58:21 ipsec 09[CFG] received proposals: IKE:AES_CBC=256/AES_CBC=128/HMAC_SHA2_512_256/HMAC_SHA2_384_192/HMAC_SHA2_256_128/HMAC_SHA1_96/PRF_HMAC_SHA2_512/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_256/PRF_HMAC_SHA1/MODP_2048/MODP_2048_256/ECP_384/ECP_256/MODP_1536, IKE:AES_GCM_16=256/AES_GCM_16=128/PRF_HMAC_SHA2_512/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_256/PRF_HMAC_SHA1/MODP_2048/MODP_2048_256/ECP_384/ECP_256/MODP_1536 Фев 26 23:58:21 ipsec 09[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256 Фев 26 23:58:21 ipsec 09[CFG] selected proposal: IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048 Фев 26 23:58:21 ipsec 09[IKE] remote host is behind NAT Фев 26 23:58:22 ipsec 10[CFG] looking for peer configs matching 95.68.*.*[%any]...178.176.*.*[Lw*] Фев 26 23:58:22 ipsec 10[CFG] selected peer config 'VirtualIPServerIKE2' Фев 26 23:58:22 ipsec 10[IKE] initiating EAP_IDENTITY method (id 0x00) Фев 26 23:58:22 ipsec 10[IKE] peer supports MOBIKE, but disabled in config Фев 26 23:58:22 ipsec 10[IKE] authentication of '*.keenetic.name' (myself) with RSA_EMSA_PKCS1_SHA2_256 successful Фев 26 23:58:22 ipsec 10[IKE] sending end entity cert "CN=*.keenetic.name" Фев 26 23:58:22 ipsec 10[IKE] sending issuer cert "C=US, O=Let's Encrypt, CN=R3" Фев 26 23:58:22 ipsec 12[IKE] received EAP identity 'Lw*' Фев 26 23:58:22 ipsec 12[IKE] initiating EAP_MSCHAPV2 method (id 0xEE) Фев 26 23:58:22 ipsec 08[IKE] EAP method EAP_MSCHAPV2 succeeded, MSK established Фев 26 23:58:22 ipsec 14[IKE] authentication of 'Lw*' with EAP successful Фев 26 23:58:22 ipsec 14[IKE] authentication of '*.keenetic.name' (myself) with EAP Фев 26 23:58:22 ipsec 14[IKE] canceling IKE_SA setup due to uniqueness policy Фев 26 23:58:48 ipsec 11[IKE] retransmit 1 of request with message ID 0 Фев 26 23:58:56 ipsec 13[IKE] retransmit 2 of request with message ID 0 Фев 26 23:59:06 ipsec 11[IKE] retransmit 3 of request with message ID 0 Фев 26 23:59:17 ipsec 05[IKE] retransmit 4 of request with message ID 0 Фев 26 23:59:29 ipsec 04[IKE] retransmit 5 of request with message ID 0 Фев 26 23:59:41 ipsec 13[IKE] retransmit 6 of request with message ID 0 Фев 26 23:59:56 ipsec 14[IKE] retransmit 7 of request with message ID 0 Фев 27 00:00:11 ipsec 08[IKE] retransmit 8 of request with message ID 0 Фев 27 00:00:29 ipsec 10[IKE] giving up after 8 retransmits Фев 27 00:00:29 ndm IpSec::Configurator: "VirtualIPServerIKE2": remote peer is down. Фев 27 00:00:29 ndm IpSec::CryptoMapInfo: "VirtualIPServerIKE2": crypto map remote client "Lw*" @ "Lw*" from "94.29.*.*" disconnected. Фев 27 00:00:29 ndm IpSec::Netfilter: start reloading netfilter configuration... Фев 27 00:00:29 ndm IpSec::Netfilter: netfilter configuration reloading is done. Это про то как не работает режим "Always-on VPN" встроенного клиента Самсунга при отключении Wi-Fi на телефоне с переходом на его сотовую связь.

Тема родилась из-за того, что не работает нормально, к примеру, режим "Always-on VPN" на Самсунге. Плюс встроенный клиент IKEv2 Самсунга прекрасно работает в его "Режимы и сценарии". Это фишка Самсунга. Кто использует эти режимы - поймет. Сразу скажу, сторонние клиенты VPN не реализованы в "Режимы и сценарии". Т.ч., к примеру, с работы хотелось бы иметь полноценный доступ к IKEv2-серверу Кинетика дома.

После последовательного выполнения вышеуказанных пунктов 1, 2, 3 сразу выполнить пункт 4 невозможно, т.к. в Кинетике, после пункта 3 остается висящее соединение. Костыль в виде "Множественный вход" решает проблему. Как понял, это из-за того, что Кинетик не реализовал у себя базовый протокол IKEv2 - MOBIKE. И соответственно режим "Always-on VPN" в туда же.

1. Включите в телефоне Wi-Fi; 2. Включите в телефоне ikev2; 3. Выключите в телефоне Wi-Fi; 4. Попробуйте включить ikev2.

Попробуйте без множественного доступа включить/выключить wi-fi (не выключая вручную ikev2) и при сотовой связи и при wi-fi включить ikev2.

Может возникнуть ситуация когда вы же и будете заблокированы. Выход - использовать длинный и сложный пароль . Примерно оценить можно по картинке ниже, и в вашем случает все намного лучше, т.к. хеша нет у злоумышленника: Другое дело, может ли перебор положить роутер.