KorDen

Вы возможно не совсем понимаете, что "пакет" от @McMCC и модуль в прошивке - это в какой-то степени одно и то же. Грубо говоря: компонент в прошивке кладет собранные (но некорректно работающие на ядре 4.9) модули в /lib. "пакет"/"образ" - это те же самые модули (но исправленные), только собраны немного "вслепую" и кладутся в /opt/lib. А дальше делается костыльная магия по подгрузке модулей из /opt/lib вместо /lib. Чтобы продолжать собирать модули в качестве компонента - нужно чтобы кто-то из разработчиков был заинтересован в обновлении того, чем пользуется хорошо если 0.001% пользователей. Удаление и так поломанного компонента - логичный шаг. Кинуть камень в огород разработчиков прошивки пожалуй можно разве что за необновление исходников 4.x на гитхабе. Ну, еще, если развивать мысль возможность развития таких вот пользовательских модулей - недостаточность исходников для сборки модулей (понятно, что там вопрос и к NDA по всяким SDK и т.п., но насколько возможно...) и подумать о возможных упрощениях для того чтобы делать меньше костылей при загрузке сторонних модулей.

Предполагаю, у них SBC проксирует PBX, PBX проксирует софтсвич, софтсвич проксирует провайдерский транк, и так далее... Каждый вначале дает свое SDP а затем заменяет на то что прилетело дальше по цепочке, или что-то в этом роде. Там и 180 вон с SDP летит. Может воспроизводиться при звонках на определенные нумерации. Еще вспомнилось - 183+180 бывают при переходах SIP-ОКС7 на некоторых железках.

А эта подсеть терминируется за одним из IP в домашней сети или как? Смотрите ip static и ip nat. По идее вам достаточно просто "ip nat 192.168.36.0 255.255.255.0"

3V3 же не обязателен? На заметку, у китайских USB-TTL обычно цвета Vcc TX RX GND и Vcc=5V

А у этого дополнительного сегмента галка "Использовать NAT" стоит?

Ээээ... Да, Россия 24 теперь тоже plp=1, то есть ваш лист вроде правильный, вот всё в plp=1: 02 РОССИЯ-1;ГП КС:618000::T:27500:1021:1022:1024:0:1020:8835:2:0 07 РОССИЯ-24;ГП КС:618000::T:27500:1071:1072:0:0:1070:8835:2:0 09 ОТР;ГП КС:618000::T:27500:1091:1092:0:0:1090:8835:2:0 Радио России;ГП КС:618000::T:27500:0:1132:0:0:1130:8835:2:0

@dadaduda, ЕМНИП Россия 24 во втором PLP, т.е. "plp=2" должно быть, а не 1

Разрешающие ACL для интерфейса ISP

Так он же на 3DES преимущественно, на AES-128 и выше там требуемый объем в эксабайты, не? Вот только rekey в кинетике вызывает пересогласование всего соединения с переподнятием линка и потерей пакетов, и хорошо если не всех соседних туннелей "за компанию".

Сейчас для всех туннелей задано жесткое значение lifebytes в 20 гигабайт, из-за чего имеются проблемы с передачей через туннель больших объемов за раз. Как вариант расширить имеющееся "crypto ipsec transform-set <set> lifetime <seconds>" до цисковского "crypto ipsec security-association lifetime {seconds seconds | kilobytes kilobytes}" (шепотом: и для 2.16.D, если реально)

Так сделать третью опцию: Через облако / Прямой доступ (IP интерфейса провайдера) / Прямой доступ (определяемый облаком внешний IP)

это как

Ага, и сколько было время работы на момент странностей? Сохранились логи/self-test/какой-нибудь дамп или еще чего на тот момент?

Вспоминается и ныне актуальная статья https://habr.com/ru/post/205612/

А роутер во время экспериментов перезагружался?

..., в том числе self-hosted,...

А хотя чего бы и нет. Вполне себе прыжки между цепочками-таблицами netfilter. "ip policy Policy10 permit global Policy20" (астанавите меня кто-нибудь, а то мысли уже в netgraph улетели)

Покидайте устройство между профилями и посмотрите как меняется в конфиге блок ip hotspot. Так охота и тортик съесть и не потолстеть.

Нет. "Основной профиль" это на самом деле его отсутствие. Кажется, подобный разговор уже был, и эта фича может вполне пригодиться. Пример с выходом одного сегмента через VPN уже приводился. Каждый раз лезть в морду переключать профиль крайне неудобно во многих ситуациях, гораздо удобнее иметь две ТД или два VLAN (два LAN-порта) с разными параметрами. На мой взгляд, это ближе к реализации PBR по ACL, хотя даже в какой-то степени это уже VRF. Собственно говоря о вопросе "как должен выглядеть PBR по портам", который был в курилке - да просто матчить по ACL как с IPsec. Это одновременно решит и это предложение (матчить по SRC IP сегмента). Но пока в голове не укладывается, как правильнее матчить, чтобы это охватило разные варианты использования - если по принципу IPsec, то что делать с устройствами/сегментами с нестандартным полиси? Кто должен иметь приоритет? Если же в каждой строчке ACL указывать полиси, то тогда появляется второй уровень вложенности...

Это и есть отдельный reject-маршрут.

Уточню: ожидается например ввод в CLI ip route 192.168.5.0/24 reject ip route 192.168.5.0/24 IPIP0 auto Поведение аналогично через старый линуксовый route route add -net 192.168.5.0/24 dev ipip0 route add -net 192.168.5.0/24 reject

Но если хочется максимальной производительности, лишней фрагментации надо по максимуму избегать. Какая именно фрагментация поддерживается теперь аппаратно?

Ну подключите вы 4 LAN, а дальше оно все в бутылочное горлышко на 1 гбит/с уходит. Вы на WiFi до гигабита хотя бы дойдите.. на KN-1010 это явно невозможно.

Схема возможна. Смотреть security-level для интерфейсов VPN, isolate-private, маршруты, NAT, ACL.

Вариантов два.. Первый, правильный - поставить управляемый свич и разрулить вланами. Стоимость управляемых свичей (гигабитных) начинается где-то от 2к, дешевле пожалуй будет купить Keenetic Start по скидкам [насколько я понимаю, у вас Lite, т.е. сеть стомегабитная], и тогда вопрос вообще можно будет закрыть как угодно. Второй, экономный - попробовать пошаманить на L3. Если на PON-терминале можно отключить DHCP-сервер, можно попробовать повесить сегмент WAN алиасом на LAN и сделать маршурт туда.. Фиг знает, насколько вообще это будет работать... т.е. терминал 100.1, на кинетике статикой 100.2 и дефолтный маршрут на 100.1, но в этот же L2-сегмент кинетик выдает свой домашний сегмент... Еще приходят на ум мысли о MAC-based VLAN, но в кинетиках наверное такое не прокатит.. Так вам надо распилить сетку не там где кинетик ведь.