Кинетиковод

Нет. Нет. На ваших моделях производительность PPTP в районе 40 мегабит. Возможно скорость между узлами, которые соединяет туннель ограничена 2,5 мегабитами.

Маршруты кто будет прописывать?

Полностью весь интерфейс.

no interface IPIP0 Для просмотра "творений" show interface

Внутри зашифрованного Ipsec будет бегать IPIP. Но в отличии от автомата они не привязаны друг к другу и вы через Ipsec сможете пускать и другие туннели.

Да. У вас появятся адреса шлюзов и интерфейс IPIP через которые вы сможете прописывать маршруты.

IKEv2 я и использую для чистого IPsec, а для автомата в мануале кроме (config-if)> ipsec preshared-key mytestingkey больше ничего нет. Кроме того, я использую eoip для удалённой дополнительной подсети, а для основной удалённой работает тот же ipsec, через который идёт и eoip. Грубо говоря один Ipsec на две подсети одновременно. А на автомате, когда я бриджую eoip/ipsec с дополнительной удалённой подсетью у основной удалённой сети соединения с основной (серверной) подсетью нет. Тогда для основной удалённой подсети я использую чистый ipsec. Я так понял, что на автомате по умолчанию используется IKEv1 и если я переведу автомат на IKEv2 не будет ли конфликта с IKEv2 чистого ipsec для основной подсети? Да и вообще стоит ли так заморачиваться из-за потери нескольких мегабит на оверхед это вопрос. Хотя если для основной сети в случае перевода eoip на IKEv2 станет доступен L2TP, то в принципе смысл есть. Надо будет изучить.

Сервер поднимается, клиенты не могут подключиться. Вы сказали, что у вас уже есть несколько IPsec туннелей. Так настройте очередной как вы настраивали все предыдущие. Потом на его концах поднимите IPIP.

Возможно. Но я использую eoip и в транспортном режиме eoip/ipsec приводит к невозможности работы pptp и l2tp серверов, а в туннельном работают все сервера одновременно.

В чём конкретно преимущество? Я разницы не заметил.

Почему бы IPIP просто не пустить через IPsec? Создайте IPsec туннель с нужными вам настройками и пустите через него простой IPIP. Автоматическое заворачивание туннелей в IPsec по статье будет проще для большинства юзеров, но вы можете воспользоваться ручным режимом.

Непонятно почему с точки зрения авторизатора http атакующего можно банить, а https нет. Попытки подключения авторизатор отслеживает у обоих. Или он у https дятла не видит адреса? Надо это дело исправлять.

Весь интернет перешел на https, а он и не защищается. Как мило.

Да, странный конфиг, Гига 2 на даче, Кинетик 1 дома. Вроде на Кинетике VPN серверов не было. Скорее всего что-то прикручено через opkg, там и надо копать.

Вот до консоли клиента ТС никак и не может дорваться. Сначала надо в консоли сервера побывать.)))

Так вот при переводе в приват будет подключаться и без firewall. А firewall это уже для подключений в удалённую сеть.

По адресу клиента это не обязательно. У zx2018 скорее всего не разрешен трафик между домашней сетью и openvpn.

Вы сначала подключаетесь к клиенту openvpn, которым вы сами при подключении и являетесь, а потом находясь в локальной сети пытаетесь подключиться по внешнему адресу. К роутеру не пробовали подключиться? Его адрес в локальной сети 192.168... Если вы не знаете адрес роутера, то тогда подключайтесь к адресу my.keenetic.net.

У меня на Экстре не работает, на Омни работает. Прошивки одинаковые.

Жесть! Первый раз такое вижу.

Раз такое дело, то звонок удалёнке неизбежен. Поправят интернет, а вы уж дальше. Не космический аппарат потеряли. Что у вас там за настройки IPoE такие непонятно. По идее должен был взлететь. Тут ещё может всё-таки доступ пропал, а интернет поднялся. Надо звонить узнавать.

А как обновлялись? Через консоль?

Проверил на Омни, защита работает. Странно.

Включил Омни 1, последняя официальная прошивка 2.07.C.4.0-1, PPTP сервера нет.

Неа. На официальных нет. Омни 2 и Омни 1 это не одно и то же. Я сюда забрёл в поисках VPN сервера для Омни 1, т.к. на стоке его не было.