Le ecureuil

Для ccd на устройствах с storage-разделом можете попробовать использовать его. Он располагается по адресу /storage Использование USB-drive неразумно, поскольку порядок поднятия интерфейсов и монтирования дисков не связан, и у вас будут рандомные глюки.

Серверная сторона настроена так, чтобы не инициировать rekey сама, но отвечает на него.

Какой именно счетчик? Счетчик CHILD_SA в {X}? Так он и не должен.

Понятие "сервер" и "клиент" в IPsec немного неверное, обе стороны вообще говоря равноправны. Скорее их нужно называть "инициатор" и "ответчик". Именно поэтому в IKEv1 мы не можем сказать, к какому именно соединению пришел ответный IKE-пакет, и это определяется перебором с небольшой эвристикой, которая не всегда правильно (и не всегда может из-за недостатка информации) срабатывает.

Попробуйте поиграться с tx-burst на WifiMaster0 и WifiMaster1, потому что показометр от спидтеста очень своеобразен и не всегда показывает истину:

Потолок на 7628 - 70 Мбит/с (это когда шифрование и хэш равны NULL, openvpn только переклеиванием заголовков занимается). Не сильно-то и разгуляешься. На 7621 наверное в такой синтетике можно выжать 100 Мбит/с. В таких условиях блок шифрования применять смысла нет, потому что ускорение с условных 30 до условных 40 Мбит/с (а выше 70 не прыгнешь даже в теории - см. выше + overhead на копирование в ядро/обратно) - очень жидко для столь большого объема работы. Потому все полностью программно. Если нужна максимальная скорость с шифрованием - тогда нужно выбирать BF-CBC/MD5 или AES-GCM - по тестам они самые лучшие.

>> crypto map VPNL2TPIPsecServer no l2tp-server nat

Такой вариант пока никак, без вариантов.

Она уже есть, просто настройте ее Насчет встраивания ipp посмотрю.

Скиньте пример дерева конфигов в виде файлов, а там я подумаю что вам можно предложить.

Поправлено.

Конечно, почему нет? Все, что позволяет настроить обычный конфиг - все можно. Единственное ограничение - все внешние файлы нужно сделать inline-блоками в конфиге.

Собственно, реализовано. Дальше обсуждение тут.

Гыгы. В принципе, логичное поведение. У вас интерфейс OpenVPN имеет security-level private или public? Исправим, чтобы ip hotspot autoscan игнорировал OpenVPN-интерфейсы.

Хорошо, поработаем над этим.

Через утилиту ndmq.

Профиль A.

Оно само запускается только для автотуннелей и L2TP/IPsec клиента, в противном случае эта команда обязана быть в конфиге. Просто сейчас Web сам ее шлет без отдельной галки, потому и кажется, что стало "само".

Роутер точно не перезагружался?

А service ipsec выполнен?

Для ppp операция up/down не вызывает реконнекта. Используйте утилиту ndmq и вызывайте команды "interface PPPoE0 no connect" / "interface PPPoE0 connect via ISP". Подробнее смотрите в теме про переполучение серого адреса на Ростелеке.

Итак, в ветке 2.11 был реализован L2TP/IPsec сервер. На данный момент его настройка осуществляется только из CLI, потому здесь будет приведен список команд для желающих настроить и попробовать. Конфиг CLI: access-list VPNL2TPIPsecServer permit udp 0.0.0.0 0.0.0.0 port eq 1701 0.0.0.0 0.0.0.0 ! crypto ike key VPNL2TPIPsecServer l2tpipsecvpn any crypto ike proposal VPNL2TPIPsecServer encryption 3des encryption des encryption aes-cbc-128 encryption aes-cbc-256 dh-group 2 dh-group 1 dh-group 14 integrity sha1 integrity md5 ! crypto ike policy VPNL2TPIPsecServer proposal VPNL2TPIPsecServer lifetime 28800 mode ikev1 negotiation-mode main ! crypto ipsec transform-set VPNL2TPIPsecServer cypher esp-aes-128 cypher esp-3des cypher esp-des hmac esp-sha1-hmac hmac esp-md5-hmac lifetime 28800 ! crypto ipsec profile VPNL2TPIPsecServer dpd-interval 30 dpd-clear identity-local address 0.0.0.0 match-identity-remote any authentication-local pre-share mode transport policy VPNL2TPIPsecServer ! crypto map VPNL2TPIPsecServer set-peer any set-profile VPNL2TPIPsecServer set-transform VPNL2TPIPsecServer match-address VPNL2TPIPsecServer set-tcpmss pmtu nail-up no reauth-passive virtual-ip no enable l2tp-server range 172.16.2.33 172.16.2.43 l2tp-server interface Home l2tp-server nat l2tp-server multi-login l2tp-server lcp echo 30 3 l2tp-server enable enable ! При этом "Общий ключ PSK" равен l2tpipsecvpn, настроен пул из 10 адресов, привязка к интерфейсу Home, включен NAT для доступа в Интернет и разрешено несколько подключений для одного и того же пользователя. В целом настройки полностью повторяют функционал стандартного PPTP VPN-сервера. Не забудьте добавить пользователей и установить им тег ipsec-l2tp, чтобы они могли коннектится к серверу! PS: Проверена совместимость с Windows XP, 7, 10, Android, iOS и macOS. Везде использовались стандартные средства. Однако возможны разные странности в работе, поскольку это только первый релиз. Жду self-test'ов и описания ситуации, если что-то не работает. PS2: Да, перед настройкой удалите все настроенные IPsec соединения, иначе могут быть разные глюки. Хотя совместимость с Virtual IP и другими туннелями в теории есть, ее нужно _специально_ готовить. Это все будет учтено в версии, которая будет настраиваться из Web, а пока лучше не рисковать.

Вроде удалось нейтрализовать пропадание default route, проверьте на новом draft из 2.11.

Проблема не воспроизводится, и вообще очень странно формулируется, потому что по коду нигде нет очистки счетчиков, есть только добавление и наращивание. Проверьте подробнее, все ли условия выполняются.

Пока работающей связки OpenVPN и KeenDNS нет.