Le ecureuil

Это из-за сочетания сразу двух особенностей. Во-первых, используется небольшой fuzz для определения времени rekey. То есть если задано например 86400 секунд, то настоящий rekey начнется за 86400 - 8640 + 4320 * (rand() % 1) секунд. Это специально сделано, чтобы не было ситуации, когда IKE/CHILD SA удаляются по истечении времени жизни и только потом начинается rekey, что ведет к пропаданию трафика на время + чтобы избежать перегрузки канала и процессора, если настроено сразу несколько туннелей с одинаковым интервалом rekey. Потому в вашем случае rekey может быть инциирован любой из сторон, возможно двумя сторонами сразу, возможно с небольшим лагом друг от друга. Это может выглядеть как излишний rekey. Но в итоге это все равно отработает правильно. Во-вторых, SA в ядре полудуплексные, но из-за особенностей настройки ядра в случае транспортного режима необходимо пересогласовывать каждую SA индивидуально, а для туннельного режима можно обойтись одним разом.

@Leksey118 @Sergey Zozulya Мужики, честно, постараемся. Помним об этой теме, но сейчас у нас есть более важные вещи к починке. А там как немного разгребем - дойдут руки и сюда.

Всем спасибо, работаем.

У вас все нормально, судя по тесту. Удалите нафиг маршруты, они не нужны на Keenetic. Посоветую разве что проверить как там себя ведет удаленная сторона, нет ли в фаерволе чего заблокированного. Плюс в IPsec туннеле не работает NAT, а стандартный firewall винды блокирует доступ, если IP источника не лежит в ее локальной подсети. Проверьте это.

Спасибо за очень интересные селф-тесты, нашлась еще одна неочевидная вещь Поработаем над ней.

Ну емое, ну сверху в объявлениях же https://forum.keenetic.net/announcement/4-как-правильно-добавить-self-test-и-прочую-отладку-в-тему/

Проблема исправлена, следующая сборка будет нормальной. Спасибо за оперативный репорт

MITM или явный proxy

Ну там виндовые шары, http. UDP тоже пойдет. А вообще маршруты не нужно прописывать (по крайней мере на стороне Keenetic). Пришлите self-test в момент, когда соединения установлены.

Над этим работаем. Стандартными средствами пока никак. ping нет, а другие протоколы работают?

Где тут Keenetic?

Youtube работает через quic (UDP) и TLS. Такой трафик невозможно фильтровать без MITM.

Все в ваших руках: https://github.com/ndmsystems/packages/wiki/Opkg-Component#ndmfsd

https://github.com/relan/exfat + Entware + fuse = PROFIT

Фича. Ваш "рандомный" IP пересекается с адресами из Интернет, что плохо. Теперь туда допускается вводить только адреса приватных сетей из RFC 1918: 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16.

SSL будет переделан и расширен, тогда и реализуем все это.

Как именно это должно касаться роутера?

Уже поправлено - означает, что поправлено в исходном коде на момент публикации и появится во всех следующих сборках. Если сборок не было - значит в том, что выложено еще не поправлено.

"Сделайте то, не знаю что..."

Это все железка делает сама, без участия софта.

У GigabitEthernet1 какой MTU в настройках и в выводе show interface?

Ставьте бета-версию через страницу обновления, а этот файл с префиксом draft вам не нужен. По идее настройки слететь не должны.

Надо перепиливать не дрова, а железо. Оно просто не умеет заниматься такими извращениями с доступом к индивидуальным парам.

Скиньте ссылку на более-менее популярный MIB с подобной информацией, подумаем.

Для Keenetic III в бета-канале лежит версия 2.08 с IPsec и с официальной поддержкой. А скоро выйдет стабильная 2.08 с множеством улучшений в IPsec. Так что не волнуйтесь, уже можно ставить и настраивать.