Кинетиковод

Внутри зашифрованного Ipsec будет бегать IPIP. Но в отличии от автомата они не привязаны друг к другу и вы через Ipsec сможете пускать и другие туннели.

Да. У вас появятся адреса шлюзов и интерфейс IPIP через которые вы сможете прописывать маршруты.

IKEv2 я и использую для чистого IPsec, а для автомата в мануале кроме (config-if)> ipsec preshared-key mytestingkey больше ничего нет. Кроме того, я использую eoip для удалённой дополнительной подсети, а для основной удалённой работает тот же ipsec, через который идёт и eoip. Грубо говоря один Ipsec на две подсети одновременно. А на автомате, когда я бриджую eoip/ipsec с дополнительной удалённой подсетью у основной удалённой сети соединения с основной (серверной) подсетью нет. Тогда для основной удалённой подсети я использую чистый ipsec. Я так понял, что на автомате по умолчанию используется IKEv1 и если я переведу автомат на IKEv2 не будет ли конфликта с IKEv2 чистого ipsec для основной подсети? Да и вообще стоит ли так заморачиваться из-за потери нескольких мегабит на оверхед это вопрос. Хотя если для основной сети в случае перевода eoip на IKEv2 станет доступен L2TP, то в принципе смысл есть. Надо будет изучить.

Сервер поднимается, клиенты не могут подключиться. Вы сказали, что у вас уже есть несколько IPsec туннелей. Так настройте очередной как вы настраивали все предыдущие. Потом на его концах поднимите IPIP.

Возможно. Но я использую eoip и в транспортном режиме eoip/ipsec приводит к невозможности работы pptp и l2tp серверов, а в туннельном работают все сервера одновременно.

В чём конкретно преимущество? Я разницы не заметил.

Почему бы IPIP просто не пустить через IPsec? Создайте IPsec туннель с нужными вам настройками и пустите через него простой IPIP. Автоматическое заворачивание туннелей в IPsec по статье будет проще для большинства юзеров, но вы можете воспользоваться ручным режимом.

Непонятно почему с точки зрения авторизатора http атакующего можно банить, а https нет. Попытки подключения авторизатор отслеживает у обоих. Или он у https дятла не видит адреса? Надо это дело исправлять.

Весь интернет перешел на https, а он и не защищается. Как мило.

Да, странный конфиг, Гига 2 на даче, Кинетик 1 дома. Вроде на Кинетике VPN серверов не было. Скорее всего что-то прикручено через opkg, там и надо копать.

Вот до консоли клиента ТС никак и не может дорваться. Сначала надо в консоли сервера побывать.)))

Так вот при переводе в приват будет подключаться и без firewall. А firewall это уже для подключений в удалённую сеть.

По адресу клиента это не обязательно. У zx2018 скорее всего не разрешен трафик между домашней сетью и openvpn.

Вы сначала подключаетесь к клиенту openvpn, которым вы сами при подключении и являетесь, а потом находясь в локальной сети пытаетесь подключиться по внешнему адресу. К роутеру не пробовали подключиться? Его адрес в локальной сети 192.168... Если вы не знаете адрес роутера, то тогда подключайтесь к адресу my.keenetic.net.

У меня на Экстре не работает, на Омни работает. Прошивки одинаковые.

Жесть! Первый раз такое вижу.

Раз такое дело, то звонок удалёнке неизбежен. Поправят интернет, а вы уж дальше. Не космический аппарат потеряли. Что у вас там за настройки IPoE такие непонятно. По идее должен был взлететь. Тут ещё может всё-таки доступ пропал, а интернет поднялся. Надо звонить узнавать.

А как обновлялись? Через консоль?

Проверил на Омни, защита работает. Странно.

Включил Омни 1, последняя официальная прошивка 2.07.C.4.0-1, PPTP сервера нет.

Неа. На официальных нет. Омни 2 и Омни 1 это не одно и то же. Я сюда забрёл в поисках VPN сервера для Омни 1, т.к. на стоке его не было.

На удалёнке скорее всего нет VPN сервера. На официальных прошивках для Омни их нет.

Хоспади.? У меня как у владельца есть куча прошивок для Омни1. Какую вам надо? С PPTP сервером? Какой сервер вы предпочитаете в это время дня?

Создаёте новый профиль подключения, где выбираете PPTP клиента в качестве основного канала. Далее к этому профилю привязываете устройства. Если у вас такого нет, то обновите прошивку.

У меня такого не происходит. Включить защиту через CLI невозможно. Селф выложу чуть позже раз надо.