Кинетиковод

Вам для захода в серую сеть через белую лучше использовать L2TP сервер. Но если по каким то причинам нужен именно чистый ipsec, то можно на l2tp сервере выделить диапазон адресов в сети 192.168.1.0 непересекающийся с домашним диапазоном. Тогда клиенты l2tp смогут ходить на хосты в сети 192.168.2.0. Но как бы чтобы не плодить сущности можно всё делать на одном севере. Кроме того на 2.16 сейчас появился wg и если важна скорость, то лучше использовать его, т.к. на wg скорость должна быть выше.

Так у вас l2tp/ipsec или чистый ipsec?

Трафик конечно есть, но тут правильно говорить о клиенте или о сервере. Я так понял у вас l2tp клиент идущий в удалённую сеть. С SSTP вы в эту сеть не попадёте, а с ikev2 попадёте, если у вас есть возможность его использовать.

Белый может быть и динамическим. Не совсем понятно что вы имеете ввиду, но завернуть из ike в l2tp можно.

Если операторы пропускают, а у Старта белый ip, то попробуйте ikev2.

Эти маршруты с известного сайта не для всех сервисов корректно работают, да и они могут меняться со временем. Вам бы kvas поставить, роутер позволяет. Маршруты больше для тех у кого нет возможности допы прикрутить, а на вашем Хоппере это не проблема.

Поднимайте openvpn tap и получите что хотите. Только скорость на 3710 будет в районе 20 мегабит, хотя для соцсетей и просмотра медиа с NAS должно хватить, если конечно речь не о тяжёлых рипах. Если нужно больше скорости, то берите ARM Кинетик.

А чем вас awg+kvas не устраивает? Зачем такие извращения?

Белого в квартире хватит. Это служба DNS. Она белые адреса не предоставляет. Зато предоставляет доменное имя, которое вы и укажите в настройках eoip. Внимательно прочитайте гайд по сссылке выше. Откройте настройки на обеих роутерах и действуйте пошагово по инструкции. Вроде всё понятно расписано. Если что-то непонятно, то напишите что конкретно.

https://forum.keenetic.com/topic/1183-все-о-туннелях-ipip-gre-и-eoip/?do=findComment&comment=185599

Глянул Sierra 7455 в паре с Экстрой 2, которая работает на 7628 у которого нет лимитов EP. 7455 занял 13 EP, ещё одна ЕР как я понял это контроллер Экстры и ещё одна EP USB адаптер модема. Итого 15.

Вот те раз. Старый добрый 7628 уделывает более мощных собратьев. А эти лимиты как-то динамически распределяются? Ну типа как на компах линии pci урезаются для существующего устройства, если добавлено новое. Или принцип такой, что заходит новое устройство и говорит "мне надо столько то endpoints", а ему отвечают "столько нет" и он выходит? Глянул у себя ситуацию, подключено три харда, два из которых через хаб. Таким образом хаб и три usb-sata конроллера делят между собой 15 endpoints. Распределение endpoints следующее: два xHCI контроллера по 1 EP, usb hub 1 EP и три харда по 4. Итого 15 EP. Правда харды работают по формуле 2+4. Но будем считать что харды берут 4 EP, тогда всё сходится. Втыкаю в хаб флешку, все EP у всех устройств не меняются, но флешка берёт ещё 2 EP, получается их уже 17. Флешка нормально работает. Непонятная картина. А в случае 860GL получается что он заходит и говорит "мне нужно 10 EP", а ему говорят "есть только 5" и он отказывается работать? Типа ужаться до 5 он не может? Видеокарта например в случае ограничений по линиям pci просто будет медленней работать.

Это только на mips или и на arm тоже?

Это какой-то "умный" хаб. Возможно он распознаёт USB адаптер для модема как устройство USB 2.0 и ограничивает подачу питания до 0,5 ампер, которых возможно не хватает для старта модема. Хотя вроде один модем без флешки работает. Другого хаба не такого умного нет? Флешка потребляет обычно совсем мало и возможно питания от порта Hero хватит и так. Без доп питания не пробовали заводить? Мне кажется дело в хабе.

Часто внешнее питание идёт только на один USB порт. Зависит конечно от модели хаба. Если порт с внешним питанием никак не обозначен, то попробуйте повтыкать в разные порты.

А что за политики вы применили? Может у вас телек идёт через awg и с внешки Kinopoisk и KION не работают? Я этими ресурсами не пользуюсь, не знаю их ограничения. Но никаких политик для awg применять не надо, маршрутов достаточно. Верните телеку выход через провайдера, если загнали его в awg.

Ресурсы до которых маршруты не добавлены не работают. Копайте в сторону поиска маршрутов.

У меня Твиттер нормально работает и через openvpn и через awg. Через прокси не пробовал. Прописывал такие домены:

Я всё снёс, скачал на github ipk 1.1.8 release 2, закинул в чистую энтварь в папку tmp и далее cd /opt/tmp opkg install ./kvas_1.1.8-release_2_all.ipk Список разблокировки пришлось заново вводить. При обновлении на 1.1.9-beta_2 всё так накрылось, что без сноса энтвари не смог никак оживить.

Маршрут до сети сервера MAIN пропишите на REMOTE. REMOTE не знает куда отправлять пакеты для VPN клиента на MAIN. Это в случае PPTP. Если используете WG, то и подключайтесь к MAIN по WG. WG как и SSTP есть в маркете.

Гляньте тут.

Разные процессоры.

Используйте data-ciphers CHACHA20-POLY1305

На домашней Ультре делаете допсегмент (сегмент 3 по умолчанию) в разделе домашняя сеть. (знак + рядом с гостевой сетью). В этом сегменте задайте диапазон адресов отличный от других существующих у вас сетей (192.168.хх.0), создайте точку доступа wifi и отключите dhcp сервер. Домашнюю сеть спаривать с офисной крайне не рекомендую, но если вам очень хоцца приключений, то создание нового сегмента можно пропустить. Далее на офисной Ультре делаете следующие настройки: А на домашней такие: В пункте удаленная сторона вбиваете адрес офиса. Включаете eoip на обоих Ультрах и если вы всё сделали правильно, то при подключении к созданной в допсегменте точке доступа вы попадёте в офис. При желании можно и LAN порт выделить. Если у вас два сетевых адаптера, то вы можете сидеть сразу в домашней и офисной сети одновременно. Будет ли в такой ситуации работать ваш спецсофт покажет практика. Если не будет, то придется при подключении к офису отключаться от домашней сети.

Для вашего медицинского софта это лучше, но у слияния через eoip есть и свои минусы о которых вы пока не догадываетесь. tap даст возможность оказаться в сети офиса когда вам это надо без слияния сетей и вытекающих из этого минусов. Как вариант можно дома сделать тот самый дополнительный сегмент и слить с офисом его. Тогда вы сможете заходить в офис через него не сливая с офисом домашнюю сеть. Вам же не круглосуточно надо доступ к медсерверу, а только по необходимости. Так есть ультра 1810, а есть 1811. У них разные процессоры и разная производительность. Если вам нужен максимально быстрый канал, то 1811 должна стоять на обоих концах, иначе 1810 будет резать скорость. Раз вы openvpn не осилили, то сливайте в единую сеть с офисом тогда допсегмент. Создадите на нём точку доступа и будете подключаться по необходимости. Там настройка в сравнении с tap простая.