Le ecureuil

Попробуйте сделать на IKEv2-интерфейсе правило в firewall на выход (out) в acl (это сделать можно только в cli, веб редактирует только in), которое разрешит выход трафика с источником 10.0.0.101 через этот самый ikev2-интерфейс, а в in добавьте правило которое разрешит вход с Ikev2 на адрес 10.0.0.101. По идее должно заработать.

Они сортируются в том числе и в порядке зависимостей друг от друга, если вы сделаете один работающий через другой, то родительский всегда будет раньше в конфиге.

Уже сейчас так и происходит. Сперва выбираете proxy protocol socks5, затем proxy socks5-udp, и все будет как описано в посте.

WG R2 стоит с security level private? Команда ip nat <WG R2> введена?

А сами как думаете, им нужно выполнять требования от РКН? The answer is blowing in the wind.

Показывайте self-test с версии 5.0. На 4.3 больше жалобы не принимаются.

Посмотреть в логе сервера.

Что значит "отключается"?

Все существующие варианты тем или иным образом неидеальные + нет нормального стандарта общепрнятого.

Ну вы же про масштабы спрашиваете Я вам подсказываю масштаб, начиная с которого запросы на фичи будут обрабатываться максимально оперативно. А в целом нам конечно же важна обратная связь и мнение всех пользователей, но конкретно SSH клиент спрашивают в целом настолько мало (относительно других запросов, разумеется), что его появление в ближайшее время маловероятно. Сами видите - за 5 лет всего 10 голосов, хотя рядом есть темы по 100+ голосов.

Пакеты от openwrt, включая их веб на luci и саму систему uci на Keenetic никак не подходят, также этого никогда и не обещалось, и не планируется.

Именно так, совместная работа этих штуковин может вызывает разные приколы, потому что фильтры выдают разные ответы для разных клиентов на один и тот же адрес.

self-test на версии 5.0 приложите с этой ошибкой.

Да, думаю можно. Пока не было запросов.

Если готовы купить ну скажем от тысяч пяти роутеров только из-за этой фичи, то сделаем прям быстро. Масштаб примерно такой.

На следующей версии проверяйте, будут улучшения.

Покажите self-test.

Покажите ваши self-test с сервера.

Устройство слабое, тянуть на нем большие файлы по L2TP/IPsec можно, но будет медленно и без гарантий.

Нет, debug он для отладки. Постоянно им пользоваться нельзя. Если в целом, то все верно - нужно использовать нормальные, "неподмененные" DNS, иначе будет ерунда. Насчет неработы - стоит проверить на грядущей версии, там есть некоторые улучшения.

А зачем перезагружать весь роутер? Можно же просто интерфейс модема перезагружать по расписанию.

Напишите в официальную поддержку, пусть они проверят этот сценарий с вами.

Сейчас специально на разных моделях посмотрел - везде все верно показывается. Приложите свой self-test для оценки.

И это тоже, но не всегда доступен TLS и не все протоколы его используют.

Если удаленное от кина не забанено, то будет работать, почему нет? Это один из самых базовых механизмов как работает распознавание - есть список доменов, ассоциированных с сервисом, ловятся запросы DNS в которых есть такие домены и ответы на них, списки адресов запоминаем. Затем если есть трафик на эти адреса, то это явно этот сервис - все, распознано. Да, есть кучка сервисов которые имеют жесткие списки адресов типа amazon, но именно по DNS распознается ну очень многое.