r13

Если дома динамический ip то keendns можно использовать как доменное имя в подключении в остальном настройка vpn тут: https://zyxel.ru/kb/4214/ В дополнение к статье прописать маршрут до домашней сети на дачном роутере

Для того чтобы работал проброс нужен белый ip на билайне, если этого нет, никакой kendns вам получить доступ камере не поможет. В этом случае если только пробрасывать vpn тоннель до дома если дома белый ip. Зы в отсутствии белого ip keendns позволяет получить только удаленный доступ к веб морде роутера

думаю потому что это функция не роутера а облака zyxel. У меня например после сброса к заводским доступ на роутер через приложение сохранился.

@vitgan Только что воспроизвел, все работает, Ультра 2 сервер подсеть 192.168.1.0 Гига 2 удаленный роутер подсеть 192.168.2.1, ip на vpn 172.16.1.2 Удаленный клиент ip на vpn 172.16.1.20 Надеюсь разберетесь.

там же где и для клиентов роутеров, в настройках vpn сервера(ваш первый скриншот) Предположу что пользователь с ником admin на 1м скриншоте это как раз клиент для удаленного подключения? Если так, то он как раз и подойдет, для него назначен адрес 172.16.1.33 На этот адрес и надо добавить маршрут с роутера клиента.

Для "извне", нужен маршрут на "извне" Самое простое подключаетесь к роутеру серверу извне так же через VPN назначив в роутере этому соединению статический IP скажем 172.16.1.100 и на клиенте прописать маршрут к адресу 172.16.1.100 через шлюз 172,16,1,33(шлюз из скриншота)

Если убрать галку "использовать для выхода в интернет" то нужно настроить static routing на клиентах до сети сервера. И судя по наличию проброса портов пытаетесь заходить на них даже не из сети сервера??? если так то нужен роутинг до этих сетей. (При наличии галки "использовать для выхода в интернет" все идет через default route) Проще также по VPN подключиться к роутеру-серверу и через это соединение заходить на клиентов прописав правильно роутинг на сервере и клиентах

@himhom На 2.06 пишите сразу полностью ndns check-name ..

Zyxel лопнет если будет пытаться через себя весь клиентский трафик гонять Если есть другой кинетик с белым адресом, можно поднять тоннель до него с этого.

Нет, облачная служба это только на роутер через приложение

Работает, роутер доступен через приложение для смартфонов.

Не знаю, G клиенты у меня уже много лет как отсутствуют

Это и так есть, когда клиенты в простое у меня линки 65, 135, 270, Но под нагрузкой у клиентов поднимается на 72, 150, 300 Никаких доп настроек не вносил.

Нарисовал себе такой скрипт, Так как провайдеры передают свои DNS в таблице маршрутов, дергаю шлюз из этих записей #!/opt/bin/sh dev3_route=`ip route | awk '/77.37.251.33/ {print $3}'`#DNS провайдера на интерфесе eth3 dev2_4_route=`ip route | awk '/212.1.224.6/ {print $3}'`#DNS провайдера на интерфесе eth2.4 R_nexthop=`ip route | awk '/nexthop via / {print $1}'` if test "$R_nexthop" = '' && test "$dev3_route" != '' && test "$dev2_4_route" != '' ; then echo "Multiwan not running, setting up..." ip route del default ip ro add default scope global nexthop via $dev3_route dev eth3 weight 10 nexthop via $dev2_4_route dev eth2.4 weight 10 ip ro flush cache elif test "$R_nexthop" != ''; then echo "Multiwan already active. Nothing to do." else echo "There is no multiple connections active this time. Exiting." fi Теперь вопрос куда его лучше запихнуть? В wan.d?

@vasek00 Было: default via 95.220.192.1 dev eth2.4 10.1.30.0/24 dev br1 proto kernel scope link src 10.1.30.1 10.2.30.0/24 dev br2 proto kernel scope link src 10.2.30.1 после удаления через некоторое время проставился роут с 2го интерфейса: ip ro default via 178.140.196.1 dev eth3 10.1.30.0/24 dev br1 proto kernel scope link src 10.1.30.1 10.2.30.0/24 dev br2 proto kernel scope link src 10.2.30.1 После следующего удаления снова перещелкнулось на 1й интерфейс: ip ro default via 95.220.192.1 dev eth2.4 10.1.30.0/24 dev br1 proto kernel scope link src 10.1.30.1 10.2.30.0/24 dev br2 proto kernel scope link src 10.2.30.1

@Le ecureuil А как насчет давнего предложения @ndm увеличить число активных карт (сейчас 2) на топовых железках в отладочной версии?

@vasek00 У меня 2 Dynamic IP и ни одной записи вида ip route default в running-config нет, Видимо в этом разница, для static шлюз указывается в настройках

@vasek00 нет его в running-config, есть только роут с основного подключения следующего содержания: ip route xx.xx.xx.xx ISP auto

@vasek00 с прямым не так, нужен гейт, а его в выводе ifconfig нету

@Roman_Petrov Со скриптами пока не понятно откуда брать гейт резервного канала поэтому у меня пока просто хардкод, благо ip меняются редко.

Ultra 2 v2.08(AAUX.0)A4 + Entware-3x + 2 IPoE

Вопреки этой рекомендации так не завелось, писал об этом выше, с указанием gateway все завелось

Здравствуйте, Ultra 2 v2.08(AAUX.0)A4 + Entware-3x eth3 основной интерфейс, eth2.4 резервный Выполняю команды route del default ip ro flush cache ip ro add default scope global nexthop dev eth3 weight 10 nexthop dev eth2.4 weight 10 Все вроде выполняется, но вместо балансировки интернет пропадает. Пинги в интерфейс до этих команд работают, после пинги идут только через eth2.4 вывод команды ip ro: Что я делаю не так???

@vlad Настройки алгоритмов шифрования на сервере и клиенте не совпадают для начала можете поставить все галочки на кинетике, а так, проанализировать блок доступных настроек клиента: IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, IKE:AES_CBC=256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_2048/#, IKE:AES_CBC=256/HMAC_SHA2_512_256/PRF_HMAC_SHA2_512/MODP_2048/#, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1536/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1536/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=128/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/# И выставить соответствующие настройки на сервере

@Le ecureuil В changelog 2.08 IPsec: добавлена поддержка IKEv1 Virtual IP: клиенты iOS и OS X могут подключаться стандартными средствами, используя профиль Cisco VPN клиенты на Android могут подключаться, используя профиль IPsec XAUTH PSK Как это задействовать? Настроил Ikev1 Режим XAuth Client Режим согласования: Aggressive Но при попытке соединения в логе: 09[IKE] found 1 matching config, but none allows XAuthInitPSK authentication using Aggressive Mode