Le ecureuil

У нас спецально пропатчено, чтобы неизвестные опции вызывали фатальные ошибки - так проще выявить неработоспособность вместо иллюзии что "все хорошо". Ну а добавив в игнор человек показывает, что он понимает что делает.

Нужно вводить > interface ISP ip adjust-ttl send 65 , у вас нет префикса у команды.

Пока наш OpenVPN не умеет получать DNS снаружи, потому пропишите их руками. А вообще если он поднялся, то поднимите у него приоритет на странице broadband.globals. У OpenVPN должно быть самое больше число (при создании оно обычно самое низкое). Тогда все будет работать через него. И не забудьте поставить галку "Получать маршруты от удаленной стороны".

На одном кинетике имена должны быть разные (ну это и логично, два одинаковых вам система не даст создать, так что можете не забивать голову), и теперь может быть несколько автотуннельных соединений в режиме сервера в IKEv2 одновременно! А вот на двух разных кинетиках у одного туннеля имена должны быть общие: например на одной стороне Gre6, значит на другой стороне тоже обязательно Gre6, и не иначе.

Всем спасибо за фидбек, он был учтен Дальше обсуждаем уже реализованную вещь:

И tun, и tap. В системе представляется для совместимости в виде Ethernet-интерфейса, можно включать в Bridge (даже tun ), но для tun недоступны VLAN. OpenVPN уже есть в 2.10 на всем, для чего она собралась. Единственное ограничение - все ключи должны быть интегрированы в один файл конфига (пример ниже). Дерзайте! А если что, я хоть и в отпуске, но периодически буду посматривать форум и подскажу с особо непонятными местами. Если что-то идет не так, то > interface OpenVPNX debug и потом self-test в тему. remote 172.16.1.1 dev tun proto udp nobind persist-tun cipher AES-128-CBC comp-lzo no verb 3 ifconfig 10.8.0.2 10.8.0.1 <secret> # # 2048 bit OpenVPN static key # -----BEGIN OpenVPN Static key V1----- caacc3274dfc05c41f9086261903bb68 adbdd7520caa89ec84a3314eb6eaff5d 49367611a9ec657dbacd47b148ae9f23 cbbbba43ccfc6c6149ee8453a5552944 e31eb1b928c96d9a515dd3f5d486a040 71ccf6a363d94368fb43023c6dcbbb75 3ef0e6fb69525689f3c9bae1ed1fe3b4 72875ae045fe284d70d5388cca730893 c30d4d0d7dd17aafd2e173afd257ab89 9ae308b40cca1f27093e186a59b9f6eb aca37680e01156dd54cd740fb830c994 eaea8a15074b49e85e126841dea57636 f627d50398e5dc756b07806a9f7374a4 a52016cc3ed51c3ae8ba021e26dba3d5 cc5b0e29472961ec0af0ab76b7270e83 ed27316a395fef6ca5f883850f10632e -----END OpenVPN Static key V1----- </secret>

Обратитесь в теподдержку.

Что такое "локальные ресурсы"?

Там хранится так называемый H(A1) из https://tools.ietf.org/html/rfc7616 (то есть MD5(username:realm:password)), причем realm равен модели устройства. Для Ultra2 там будет строка "ZyXEL Keenetic Ultra II" (оно же поле Model: в startup-config).

А wget точно умеет digest-авторизацию? Потому что они разные бывают, тот что в busybox - не умеет. # wget -O /tmp/1 http://admin:test@192.168.12.1/rci/show/ip/hotspot Connecting to 192.168.12.1 (192.168.12.1:80) wget: server returned error: HTTP/1.1 401 Unauthorized А GNU wget умеет: $ wget -O /tmp/1 http://admin:test@172.16.110.87/rci/show/ip/hotspot --2017-06-07 12:43:35-- http://admin:*password*@172.16.110.87/rci/show/ip/hotspot Connecting to 172.16.110.87:80... connected. HTTP request sent, awaiting response... 401 Unauthorized Reusing existing connection to 172.16.110.87:80. HTTP request sent, awaiting response... 200 OK Length: 505 [text/json] Saving to: ‘/tmp/1’ 100%[======================================>] 505 --.-K/s in 0s 2017-06-07 12:43:36 (101 MB/s) - ‘/tmp/1’ saved [505/505] А еще лучше вообще через curl все это делать: curl -X GET --digest http://admin:test@172.16.110.87/rci/show/ip/hotspot

Лучше брать информацию из http://192.168.1.1/rci/show/ip/hotspot - вся инфа по хостам в машиночитаемом виде.

Любой captive portal / перенаправитель трафика успешно пройдет эту проверку, и железка будет ложно считать, что Интернет есть.

Что-то я ничего не понял. Что такое Phone? Какое устройство? Что такое my.dinamic.ip.address? На какой адрес подключается клиент? Через WiFi, находясь в LAN-сегменте?

Это неподдерживаемая железка. 1. Можно. 2. Сойдет. 3. События в /etc/ndm/wan.d 4. /dev/tty* лучше вообще не трогать внешними утилитами, прошивка на это не рассчитана 5. ? 6. Если он показывается как UsbLte, значит он в CDC-режиме. 7. Скорее всего нет.

Что значит "сбой у провайдера"? Конкретнее. Чтобы можно было воспроизвести.

Что хоть у вас за роутер-то?

По выданной ссылке нигде не указано, что хаб позволяет подключить внешнее питание. Если позволяет, и оно помогает - тогда он хороший, но об этом стоило указать.

После восстановления в 2-53 связи с миром не было? То есть по логу как бы все хорошо, а на самом деле пакеты не ходят?

Спасибо за идеи. Давно напрашивается мысль о перепроектировании ping-check, следите за новостями.

Пока ( ) - да.

Исправлено, во всех следующих сборках все будет хорошо. Спасибо за репорт. Пока временно задайте нужные значения через CLI: > crypto ipsec profile <name> xauth-identity <identity> > crypto ipsec profile <name> xauth-password <password> > system config-save

Настройте PingCheck.

А логи?

Нужны дампы EoIP-трафика на WAN-интерфейсах устройств в случае K<>M и M<>M.

Вы забываете про статистический анализ. Пакеты от обычного HTTPS и от OpenVPN/TLS сильно отличаются по статистическим особенностям размера и характера передачи во времени.