KorDen

1) убрать нафиг не нужные переадресации 80 и 443 2) попробовать выключить upnp

Вот здесь было: Для начала попробуйте на кинетике сделать "ip nat udp-port-preserve" и затем пробросить порт 6672 по всей цепочке роутеров на нужный ПК. (по идее на тплинке и на кинетике только надо, если я правильно вашу схему понял, воздух у вас мостом работает)

Как вы себе это представляете?

ШТА?!

Там есть три модели: 180-C/180-R - это "парные" master/remote, а 180-T - это CPE. Нужно понимать, что обычный SFP в общем случае - это Ethernet + немножко данных по DDM. Исключение - всякие станционные поновские и т.п., но там своя кухня. Поэтому расценивайте такой модуль как обычный однопортовый бриджовый модем или медиаконвертер в компактном корпусе и без блока питания. Конкретно по 180-T вообще нет никакой информации кроме куцей обобщенной надписи "Support Ethernet Boot & Management", которая может означать что угодно. Почему я на это обратил внимание - вспомните обычные модемы в режиме бриджа. PPPoE поднимается без IP на интерфейсе, но вы можете назначить вручную 192.168... и попасть в веб-интерфейс модема. Точно так же может быть в теории и здесь (например, так работает поновский D-Link DPN-100), но только в теории.

Типичный набор для PSTN в РФ "0x|[01]xx|[2-79]xxxxx|8,[3489]xxxxxxxxx|8,[125]x,xxxx+" или у вас там замены прописаны?

Уверены, что переключает на 5 ГГц? Нужно смотреть в логи роутера (или в журнал переходов WiFi-системы) при переходе подальше-поближе. Скорее всего у вас телефон банально не переходит обратно на 5 ГГц с 2.4 ГГц, а в логах можно попробовать увидеть например попытки роутера предложить смарту переход по 11v ( "bndstrg: band steering: send BTM request to .... for roam to 5GHz band" )

IPIP-туннель, L3-маршрутизация, прямо из шапки Полный фарш включает так же AES128/SHA на уровне туннеля для выкраивания максимума байт, отключение ip nat и вместо него ip static. Ну, без учета мелочевки типа ACL, isolate-private, pmtu и т.п. Тогда на уровне туннеля получается MTU 1420 и соответствующий TCP MSS, нет лишней фрагментации во время передачи, как это происходит с голым IPsec и EoIP.

@Mr. Grey, а вы EoIP бриджом с Home заводили именно из-за острой необходимости единого Broadcast-сегмента? В таком виде ведь каждый пакет > 1400 байт или около того фрагментируется на два. У UDP-видео длина пакета сильно меньше, а вот TCP с большими размерами сегментов естественно отправляет с максимальным размером пакета, т.е. фрагментируется дважды. Если есть возможность избежать использования одного Broadcast-домена, за нее на больших скоростях надо ухватываться обеими руками..

которого нет на девайсах без полноценного USB... Редакторов тоже нет.

... он тут же улетает в ребут. Это если через вебморду

Типичное буферное там 13.6 Giga II, Ultra II, Giga KN-1010, Ultra KN-1810. Бастион СКАТ 12-3.0-DIN, Meanwell PSC-60A/DRC-40A/DRC-60A... ...уже 5 лет живет на буферном с постепенными изменениями роутеров и ББП.

При обновлении на 3.5 слетает регистрация трубок - https://forum.keenetic.net/topic/8972-dect-при-обновлении-на-35-слетает-регистрация-трубок/

У меня в 3.0 воткнута 3.0 флешка в режиме 3.0, и dect в 2.0, и так работает уже 3 года. Да, Plus DECT в целом слабее обычной базы, но хуже не становится А WiFi 2.4 ГГц у вас одновременно с этим не глохнет?

Планируется ли возможность полного отключения "спихивания" для не поддерживающих k/v клиентов, но с сохранением работы k/v?

https://wi-cat.ru/wi-fi-roaming/migraciya-rouming-v-wi-fi-setyah-chast-2-band-steering/

Для начала отключите на роутере BandSteering, и, возможно, WPA3

... Где в RFC говорится о том что UA должен ходить сам на указанный в Service-Route хост?!

@Joe D, описанное вами - это стандартная Challenge-Response аутентификации чтобы не передавать пароль в открытом виде. Там может быть что угодно, значения полей из раздела WWW-Authenticate в других местах не используются. Если хочется поискать различия, надо смотреть финальное сообщение 200 OK в ответ на REGISTER и строчку Service-Route в нём. Наверняка там дается в одних случаях какой-нибудь обычный айпишник или домен, а в других это самое 3gppnetwork. Ога, SIP и IPsec - два монстра... Сидишь себе с парой SIP-прокси и несколькими транками, всё вроде понятно, и даже домофон созванивается с видеотелефоном как-то сам по себе, только кодек одинаковый выбрать и разрешить. А как окунешься в "serious business" с outbound proxy, раздельными регистрантами-прокси, раздельными логинами-номерами-etc и кучей расширений-заголовков, так уже перестаешь понимать, что вообще происходит. Вишенка на торте - согласование этой тысячи расширений с SS7-фиксой, экстра-бонус контент - с опсосами

Стоп. Нет. "6.1. Procedures at the UA": "it uses the content of the Service-Route header field as a preloaded Route header field in outgoing initial requests". И всё. Service-Route - это не outbound-прокси, и тем более не редирект регистрации. Пример описан в разделе 6.4. Клиенту UA1 возвращают в качестве Service-Route P2 и HSP, но он продолжает обращаться к P1, просто у себя в Route он МОЖЕТ подставлять присланные P2 и HSP.

Но его значение при успешных регах не блаблабла-3gpp, а вполне нормальный IP или домен же?

Видимо билайн решил не тратить лишние ресурсы и SIP-телефония стыкуется с остальное сетью через уже имеющийся IMS. Но не регистрироваться же на него Хм. В тех дампах, что сходу гуглятся, это безобразие присутствует в полях Contact для INVITE, а так же в realm и domain для ответов на REGISTER. По этим полям кинетик по идее не должен лезть на такой домен

Пожалуй лучше так: нужна возможность задавать вес STP для всех интерфейсов

без Ipsec это stateless туннель, в логах ничего и не должно быть (он просто постоянно UP будет), это у вас микрот чего-то чудит

Чрут же вроде только в Debian, в Entware /opt без чрута, не? Или вы сами устроили себе чрут, а теперь оно вам аукнулось?