SySOPik

А дальше https://help.keenetic.com/hc/ru/articles/360010551419-Доступ-в-Интернет-через-WireGuard-туннель

Купить белый IP. Поднять Wireguard.

Можно. Ставите Wireguard или IP-Sec, регистрируете два keendns имени. Второй роутер основной, первый клиент ну и далее 2 WAN по приоритетности. Подключайтесь VPN не по IP провайдера, а через Keendns имя. Совсем бесшовно не будет, при переключении на основном роутере на резервный инет пройдет несколько минут, пока Keendns обновит IP на другой.

Переходите на IP-Sec или WG. Тогда уже и не будет низкой скорости VPN.

Не, там вроде ставил типа DES + MD5 + долго тюнил sndbuf/rcvbuf, MTU, и еще опции. Правда то все года 3 назад.

Если точнее то до 40, но очень со скрипом. Смотря какое шифрование впихнуть, чем безопаснее - тем скорость помельче. OpenVPN есть везде, даже на стартах.

Speedster имеет порты 1 гб. Но OpenVPN будет около 50 реальных мб.

В ТП писал, на форуме писал. А воз и ныне там.... Опять же, баги для домохозяйки с 1 роутером или организации с десятками устройств имеют один приоритет, пользователи не маркируются по важности/отказоустойчивости/приоритетности. На драфтах/бетах не сильно разойдёшься, если в работе стоят несколько десятков единиц, туда ставить бету и потом иметь геморрой с отвалившейся рабочей точкой то еще занятие. Опять же, советы переход на корпоратив сиско/юбик не предвидится из-за цены (война тянет много денег) и отсутствия расширенной клауд структуры (электричество пропадет, инет отвалится, авария провайдера + отвал маршрутов).

Ну отчасти правда, дешевый Китай работает очень так себе. Прошивки раз в год, если повезет, может и того меньше. Однако кинетик в плане стабильности прошивок за последний год-два тоже субъективно прям не айс. То обновление кривое на серверах положило все кинетики, то глюк пинг-чека с отвалом гейта (кстати новые узлы проверки в авторежиме, за год, так и не добавились), то DOT/DOH с WG/IP-Sec периодически с "фичами". Причем много глюков инфраструктуры тянут за собой отвал работы роутера, то есть при нештатной работе клауд сервисов он превращается в "кирпич" и например кнопкой FN временно его превратить в "тупой роутер" не получится. PS. Прошу прощения за оффтоп, конструктивная критика о наболевшем.

Странно. AES 128 / SHA256 довольно стандартно. Скорей проблема в группе дифф-хельмана.

А какие до того использовались настройки шифрования фаз?

Странно, фортики очень хорошие устройства, для корпоратива вообще супер (учитывая что там есть IPS, веб защита, антивир, контроль приложений - то чего нет в Кинетах), правда цена подороже будет. Да и поддержка у регионального партнера, если купил много девайсов куда более приоритетная, а не как у кинетика норматив 3 рабочих дня, даже если у тебя под 60 + девайсов в проекте. Тогда навряд в статусе писало б подключено. А с другого провайдера запустить тестово? PS. Форт 40F с сисько, микротом и джунипером работают с VPN нормально.

Рекомендую поднять Site-to-site ipsec, проще и безопаснее.

У меня похожее случалось, проблема решилась после изучения файра и стат маршрутов, была ошибка допущена.

А в файрволе правильно прописано разрешение? На скрине стат маршрут, а не разрешения файра.

Сами приняли лицензионное условие. Там все описано, что и как работает и куда какие данные идут. Кинетик точно также отсылает данные на сервера компании и никакого крика-воя по тому поводу я не слышу. Можете выкинуть свой айфон или гуглофон, купить китайский кнопочник и наслаждаться безопасностью. Вы сами и начали ныть про не дружественность, что все за вами следят и хотят обмануть. Потому и спросил может курнули или выпиваете?

Очень дружелюбные. Просто есть такое понятие как санкции против жуликов, воров и убийц Че? Какие видоизменные? Вы курнули рязанского сахара-2? Приложения размещаются от офф компаний и проходят проверку.

У меня работает через десятки кинетиков более 100 камер. Если на видио Дахуа прицеплять камери Хиквижн, будет идти передача по 554 порту, так как задействован onvif, если на родное Дахуа повесить нативно камеру дахуа, пойдет по порту 37777. Вы плагин не путайте с передачей потока с камеры на видеорегистратор. Вопрос звучит как камеру дахуа прикрутить к видеорегистратору, а не смотреть в плагине.

Видео идет не всяко, оно по RTSP , также Dahua работает с TCP и UDP, потому там и указаны порты. Порт 80,433 для доступа к вебу. Через Keendns ходит только https трафик, коим не является видео по 554 порту и 37777.

Я не говорю что он врет, я говорю что такой протокол не заявлен в KeenDNS. Если б он упоминался в описании, я б не покупал белые IP у провайдеров для работы Dahua, а пользовался KeenDNS.

Вебморда будет работать, потому как там https. Видео идет в RTSP , а данный протокол не заявлен в KeenDNS.

Dahua передает видео не по https, а Keendns работает только через http/https.

Так то ж сервер WG отдает IP через сервис DDNS, кинетик конектится туда, куда ему DDNS говорит. Какая IP в логе отображается во время смен адреса.

Значит оно сделано не по стандартам работи с сетями. Как минимум зачем от маршрутизатора требовать работу в нештатном режиме?

Link-Local Address — адреса сети, которые предназначены только для коммуникаций в пределах одного сегмента местной сети или магистральной линии. Они позволяют обращаться к хостам, не используя общий префикс адреса. Подсети link-local не маршрутизируются: маршрутизаторы не должны отправлять пакеты с адресами link-local в другие сети.