Le ecureuil

Не удалось воспроизвести, хаб спокойно переживает отпадание и переподключение одного из клиентов, при этом остальные не затрагиваются. Нужно более точные сведения.

Проверим.

Поправлено. Точное описание каждого уровня в ближайшем будущем появится в CLI guide, ожидайте.

Прошивка не использует tc.

А /opt/etc/ndm/ зачем вам?

Роутер сам себе будет отвечать в лубом случае.

Ставьте Entware/Debian и настраивайте.

Вот лично вы создаете здесь слишком много бесполезного шума, не считаете? Кроме постоянного нытья, требования запиливания никому нахрен не упавшего и давно умершего DC++ и поливания грязью разработчиков ничего от вас не помню, ни одного более-менее полезного репорта или предложения.

Да, транспортный режим даст использовать IPsec под GRE, причем все будет проходить через NAT.

У вас TS неправильные, если вы pptp-ipsec пытаетесь использовать для защиты туннеля. В итоге туннель уходит в Интернет "голышом". Сами смотрите: Jul 21 16:14:24 ndm: Network::Interface::Tunnel: "Gre0": resolved destination 192.168.2.2 (192.168.2.2). Jul 21 16:14:24 ndm: Network::Interface::Tunnel: "Gre0": resolved source 4X.2YZ.10.2. И Jul 21 16:03:31 ipsec: 12[IKE] CHILD_SA pptp-ipsec{29} established with SPIs c9bb72d4_i c6644240_o and TS 192.168.0.1/32 === 192.168.2.2/32 Плюс ко всему вам нужен транспортный режим IPsec, и в TS укажите gre протокол вместо ip (в него у вас будет весь трафик заворачиваться, не только GRE). access-list _WEBADMIN_IPSEC_pptp-ipsec permit gre 192.168.0.0 255.255.255.0 192.168.2.2 255.255.255.255 ! Короче еще раз внимательно подумайте о настройках и все поправьте.

Какая версия прошивки? Где self-test? Как настраивали на Keenetic?

Проверяйте exit-code от curl, и если он отличен от 0, то через секунду повторяйте (раз 5-6). Это самый оптимальный вариант.

Есть одна идея, попробуем решить в следующем draft.

Да, NSL M2 - это риптер. У вашей проблемы нет простого решения, мы в курсе, но пока не придумали как наиболее правильно это починить.

Событие на изменение WAN пришло, но канал не успел "просраться". Такое вполне может быть в течении 2-3-4 секунд.

self-test где?

Ломать существующее legacy и обратную совместимость без вестких причин почти невозможно. Пока таких причин, вставших во весь рост, нет.

Пока вас всего двое желающих из сотен тысяч пользователей. Понимаете, почему сделано так, а не иначе? Хотя мы прислушиваемся и к единичным хотелкам, так что активнее в соответствеющих темах.

Ждем еще голосов, пока маловато желающих.

Подменить дрова в ndms не выйдет, так как управляющий демон сам их загружает / выгружает и активно работает с ними. Максимум что можно добиться - segfault и кирпича. Такие эксперименты лучше ставить на LEDE.

Да, проблема локализована. Просьба всем до перевыпуска 2.09.C не обновляться на нее, поскольку слетят настройки.

Поправлено, появится в новой сборке.

Ну так потерпите и увидите. Если я пишу починено, это означает что код написан и закоммичен, моя работа закончена. А когда он попадет к юзерам - уже немного не мое дело, а дело отдела QA или выпускающего draft-ы.

В 2.09 починено.

Keenetic (как и любой другой NAPT-роутер) волен менять порт при трансляции как ему захочется, и даже в RFC описано, что эта ситуация должна корректно восприниматься реализациями IKE: https://tools.ietf.org/html/rfc3947#page-3 Потому если у вас другая реализация IKE, полагающаяся на vendor-specific реализацию, то наверное стоит ее сменить или приспособиться к текущей.