Le ecureuil

Это проприетарные расширения juniper, которые мы не поддерживаем. И ospf у нас тоже нет от слова вообще.

Какие именно Lite III: просто или rev. B? Где self-test с роутеров во время отвала клиентов?

Судя по приложенному логу - у вас реально или подвисает модем, или проблемы с сотовой сетью. Роутер при пропадании связи честно перезагружает модем, и все восстанавливается. Со стороны Keenetic криминала не видно.

Пойдет любая от 1 гига, берите самую скоростную и выносливую из всех, что найдете - иначе или будет тупить заметно, или со временем умрет (может даже без вскриков).

По идее должны, если они есть в vanilla 3.4

Сейчас изоляция доступна только между раздельными сегментами (или bridge, или интерфейс vlan). Внутри сегмента настроить изоляцию между клиентами невозможно.

А теперь предлагаю всем, кто люто голосует за Multiwan "искаропки" описать, как же обычному человеку объяснить все эти глюки, что наблюдает @Leonid Goltsblat (и они очень логичны, и скорее всего в той или иной степени будут проявляться при Multiwan у всех). Плюс рассмотрите вариант с Multiwan, когда у человека будет WAN1 - IPoE, WAN2 - PPPoE DSL с серым адресом, WAN3 - USB свисток с двойным NAT. На самом деле это основное ограничение для интеграции Multiwan в прошивку (а костылять с привязкой популярных сервисов к одному интерфейсу мы не хотим, это скорее на бред похоже, чем на качественное универсальное решение).

Нет идей. Может быть все, что угодно. Это случается чаще под нагрузкой, или и в простое с такой же частотой?

По политике, для подробностей гуглите устройство XFRM.

Для IPsec не нужны маршруты и настройка в firewall, также он не создает какого-либо особого интерфейса VPN.

У вас винда? Если да, то она по-умолчанию блокирует прием пакетов с источником не из своей подсети. А IPsec не делает NAT, в итоге сохраняется оригинальная адресация. Попробуйте настроить firewall на клиентах.

Эти роутеры являются маршрутизаторами в своих сетях? gateway на клиентах прописан через них?

Чем вам создание еще одного сегмента в web не подходит?

Если на одной из crypto map включен virtual ip и она в пассивном режиме, то все остальные crypto map будут отключены (потому что они так и так не будут работать и рано или поздно выплывут конфликты). Это не касается l2tp/ipsec и автотуннелей в клиентском режиме. В теории потом можно будет добавить "расслабляющую" проверку, и если параметры IKE совпадают, то включать эти crypto map все равно - тогда конфликта не будет. Возможно к следующему релизу сделаю, но пока этого нет.

Вы только учтите, что эти датчики вообще не калиброваны и метрологически не поверены. Потому они показывают не градусы цельсия, а свои собственные единицы (которые, возможно, иногда совпадают с *C, а иногда вообще нет), которые использутся прошивкой для компенсации мощности и ухода частоты WiFi (а этому алгоритму метрологическая сертификация вобщем-то побоку). Потому говорить о "температурных датчиках" в отношении этих устройств обратной связи немного некорректно.

А хоть немного подробнее, с примерами? Я вот ничего не понял.

Шифрование PPTP не ускоряется нигде, ни в сервере, ни в клиенте.

2all: MPPE давно признан ненадежным, потому делать L2TP/MPPE никто не будет. Переходите на IPsec или в крайнем случае на PPTP/MPPE, если что-то мешает.

Нет. Зачем шифровать дважды? Почитайте про предназначение IPsec в связке L2TP/IPsec.

Для PPTP/MPPE ppe software не работает тоже

Проверю вашу ситуацию, и потом прокомментирую.

Необязательно.

L2TP/MPPE у нас не поддерживается системой.

Что угодно, тысячи вариантов.

Все уже давно поправлено на 2.08.