SySOPik

Тогда спасение утопающих дело рук самих утопающих. Я сомневаюсь что в обозримом будущем такое реализует, для того "нужно 5 лет и 1 млн $" (c)WG Там вагон и тележка еще не реализованного, более критических фич, например внешний дизайн интерфейса. Тут еще в стадии "альфа" разработки допиливание удобоваримого лога или устранение глюков IP-Sec и т.д.

Если в пределах одной AS, вполне реально сделать маршрут на всю подсеть хх.хх.хх.хх/24 и до /20. Можно и несколько сетей /24 , /22 и т.д. Если там нарезка /15 и до /1 , тогда да пол интернета нет смысла впихивать.

Если у STUN сервера отдельная и не меняющаяся IP, тупо маршрутами загоните его через "хорошего" провайдера. Я так сделал с RDP и еще несколькими сервисами. PS. Только не ставьте эксклюзивный маршрут.

В теории делать VLAN, на старте входящий порт запихивать в отдельный Vlan и прокинуть к основному, там уже прописать в Wan. Хотя я сомневаюсь что сейчас такое реализуемо, можете спросить у ТП, может через Cli получится.

Есть такое дело. С активированным Dot на гугл днс какие-то чудеса начинаются. Походу если удалить DOT, перегрузить роутер и добавить заново то на первый взгляд помогает.

Можно с Vlan поиграться, можно в Wan ткнуть, можно с маршрутами. В его случае проще 1 сеть разделить пополам между кинетиками и сделать меш.

Сделайте тогда меш сеть. И интернет везде, и доступ друг к другу, и покрытие увеличится.

Видимо разработчики протопитировали ситуацию и с 0 проверкой, вполне реально канал работал и зависал, так как нету проверки состояния канала. Посему решили кардинально выставив обязательный keep-alive. Она устаивает 99,99% пользователей, потому видимо так и будет. Как вариант выставить там 3600 секунд с двух сторон.

Если гасить VPN то уже и гасить весь интернет или весь роутер, экономить ресурс, ну а че? Хотелка Имхо гемморойная будет, там подводных камней будет уйма, сомневаюсь из-за 1 человека кто-то будет городить костыли. Я думаю, что keep-alive собсно потому и есть, потому что протокол не умеет или не понимает данное условие.

а в чем проблема поставить хх секунд?

странно, у меня все отображается. Там скорей всего будет на 2 подключении висеть, оно ж не пропадает, а висит в фоне скорей всего.

А в чем суть в 1 соединение запихивать еще и PPPoE? Что провайдер ночью выключает линк? А там что нет шлюза и локальной и удалённой сети? Как трафик ходит? Нужно лог смотреть, может там не штатно глюки после впихивания 2 линка в основной.

Тогда нужно смотреть лог, на что ругается IP-Sec.

Ну как минимум, чтоб понять какой интернет и когда включен, какие настройки IP-Sec, ну и отрезок лога когда IP-Sec жалуется. а сам IP возвращается тот же или другой?

Без подробностей и скринов настроек ответа не будет. Возможно белый IP меняется, тогда лучше воспользоваться Keendns, подключатся по доменному имени.

1. Зачем в сервере стоит галочка выход в интернет? Сеть что должна через мобилку в инете выходить в инет? Почему в клиенте 10.0.7.2/32? Если должно /24? В настройках пиров и там и там что-то вообще не по инструкции. В серверной части в пире вписано зачем-то лишнее. Зачем-то переадресация портов, которая не нужна. У вас вообще белый IP? На картинке затерто. Походу вы скрестили 2 инструкции и вышла смесь бульдога с носорогом. Если нужно просто с мобилки пользовался инетом с роутера, рекомендую поднять PPTP или L2TP. Сильно проще и удобнее

Маловато, хотя смотря с чего и как заходить. Я использую связки с 7628 start + 7621 speedster - wireguard линк качает около 12-14 мегабит. На 7621 speedster + 7621 speedster реально около 20-25 мегабит. Входные каналы 100 мбит. Причем что интересно, в обоих случаях загрузка процессора 35-60% .

Все не так. Вам сервер нужен для доступа в локалку извне с мобильного?

А Вы что хотели в сохо девайсе, чтоб 10G порты? Это не циско и не джунипер, на минутку. Посмотрите блок схему MT7622, почитайте даташит, там четко написано: One HSGMII(1/2.5Gbps) and one RGMII/MII interface, что как б намекает... PS. Кстати, наличие в спецификации пункта SATA3.0 x 1, как б тоже намекает, что за 1$ можно было распаять порт Sata и сделать еще за 1 $ крышечку с салазками в корпусе топовых роутеров.

вполне обычные разъёмы ,как и везде, с 1 китайской бочки. а зачем его убирать, если он там есть, так и задумано.

Если на офисах тоже стоят кинетики, создайте site-to-site Ip-Sec/Wireguard и включайтесь на сервер по VPN внутренней сети. Более безопасно и всякая гадость не будет стучатся на порты RDP.

Сторонний сервис покажет IP шлюза, который один на всех при серой IP.

Я догадывался, что провайдер видимо "пионер", раз сеть так построена и нет реальных айпи. Разработчики вряд будут отключать функцию проверки keendns на реальность адреса, из-за единого кейса с "кривой" сеткой.

Может проще реальный адрес купить или попробовать с IPv6 поиграться, все проблемы отпадут сами собой и будет все нормально.

Так оно работает исключительно, при попустительстве Вашего провайдера, который допустил дырку в безопасности, разрешив напрямую обмен между точками внутри сети, и разработчиками, что допустили навешивание DDNS на внутренний адрес. Если провайдер сделает Vlan per User и выключит обмен, то обмена не будет.