SySOPik

А дальше https://help.keenetic.com/hc/ru/articles/360010551419-Доступ-в-Интернет-через-WireGuard-туннель

Купить белый IP. Поднять Wireguard.

Можно. Ставите Wireguard или IP-Sec, регистрируете два keendns имени. Второй роутер основной, первый клиент ну и далее 2 WAN по приоритетности. Подключайтесь VPN не по IP провайдера, а через Keendns имя. Совсем бесшовно не будет, при переключении на основном роутере на резервный инет пройдет несколько минут, пока Keendns обновит IP на другой.

Переходите на IP-Sec или WG. Тогда уже и не будет низкой скорости VPN.

Не, там вроде ставил типа DES + MD5 + долго тюнил sndbuf/rcvbuf, MTU, и еще опции. Правда то все года 3 назад.

Если точнее то до 40, но очень со скрипом. Смотря какое шифрование впихнуть, чем безопаснее - тем скорость помельче. OpenVPN есть везде, даже на стартах.

Speedster имеет порты 1 гб. Но OpenVPN будет около 50 реальных мб.

В ТП писал, на форуме писал. А воз и ныне там.... Опять же, баги для домохозяйки с 1 роутером или организации с десятками устройств имеют один приоритет, пользователи не маркируются по важности/отказоустойчивости/приоритетности. На драфтах/бетах не сильно разойдёшься, если в работе стоят несколько десятков единиц, туда ставить бету и потом иметь геморрой с отвалившейся рабочей точкой то еще занятие. Опять же, советы переход на корпоратив сиско/юбик не предвидится из-за цены (война тянет много денег) и отсутствия расширенной клауд структуры (электричество пропадет, инет отвалится, авария провайдера + отвал маршрутов).

Ну отчасти правда, дешевый Китай работает очень так себе. Прошивки раз в год, если повезет, может и того меньше. Однако кинетик в плане стабильности прошивок за последний год-два тоже субъективно прям не айс. То обновление кривое на серверах положило все кинетики, то глюк пинг-чека с отвалом гейта (кстати новые узлы проверки в авторежиме, за год, так и не добавились), то DOT/DOH с WG/IP-Sec периодически с "фичами". Причем много глюков инфраструктуры тянут за собой отвал работы роутера, то есть при нештатной работе клауд сервисов он превращается в "кирпич" и например кнопкой FN временно его превратить в "тупой роутер" не получится. PS. Прошу прощения за оффтоп, конструктивная критика о наболевшем.

Странно. AES 128 / SHA256 довольно стандартно. Скорей проблема в группе дифф-хельмана.

А какие до того использовались настройки шифрования фаз?

Странно, фортики очень хорошие устройства, для корпоратива вообще супер (учитывая что там есть IPS, веб защита, антивир, контроль приложений - то чего нет в Кинетах), правда цена подороже будет. Да и поддержка у регионального партнера, если купил много девайсов куда более приоритетная, а не как у кинетика норматив 3 рабочих дня, даже если у тебя под 60 + девайсов в проекте. Тогда навряд в статусе писало б подключено. А с другого провайдера запустить тестово? PS. Форт 40F с сисько, микротом и джунипером работают с VPN нормально.

Рекомендую поднять Site-to-site ipsec, проще и безопаснее.

У меня похожее случалось, проблема решилась после изучения файра и стат маршрутов, была ошибка допущена.

А в файрволе правильно прописано разрешение? На скрине стат маршрут, а не разрешения файра.