Le ecureuil

Есть на это задача, сделаем как немного времени будет.

Сейчас нет никаких ограничений. Это ограничение было в одной из реализаций, но мы его сумели убрать.

Потому что это AEAD - другой тип, когда шифрование и аутентификация являются единой операцией. В данном случае ChaCha20 - это шифр, Poly1305 - это аутентификатор.

Да, на версиях 2.11.D.5.0-1 и 2.16.D.1.0-1 доступен шифр CHACHA20-POLY1305. Устанавливаете эту версию, ставите в поле cipher CHACHA20-POLY1305 и полe auth NONE на обоих концах -> готово.

Да, я про него забыл - все же куча исправлений была. В следующем выпуске будет.

Версия 2.11.D.5.0-1: curl: обновлен до версии 7.68.0 OpenVPN: добавлена поддержка шифра CHACHA20-POLY1305 Udpxy: количество клиентов увеличено до 32 IPv6: устранены возможные перезагрузки при использовании VLAN IPsec: удалены все лимиты по количеству туннелей HTTP: proxy: добавлена передача заголовков Connection и Upgrade для работы WebSocket SNMP: исправлены CVE-2020-6058, CVE-2020-6059, CVE-2020-6060 DNS: реализован ответ NOTIMPL на запрос IQUERY(1) Собрано в delta/draft для KIII/KDSL/KLTE/KVOX.

Версия 2.16.D.1.0-1: curl: обновлен до версии 7.68.0 dropbear: обновлен до версии 2019.78 OpenVPN: добавлена поддержка шифра CHACHA20-POLY1305 VPN: исправлено подключение Android-клиентов с симптомами: ppp-pptp: fsm timeout ppp: compressor dropped pkt исправлено добавление маршрутов с флагом "auto" и явным адресом шлюза SSTP: отключены опции accm, accomp, pcomp для совместимости с VPN Client Pro (сообщил @vasek00) Udpxy: количество клиентов увеличено до 32 SSH: добавлена настройка таймаута для ssh-сессии: ip ssh session timeout {timeout} IPv6: устранены возможные перезагрузки при использовании VLAN Adguard DNS: исправлено определение доступности сервиса IPsec: удалены все лимиты по количеству туннелей HTTP: proxy: добавлена передача заголовков Connection и Upgrade для работы WebSocket SNMP: исправлены CVE-2020-6058, CVE-2020-6059, CVE-2020-6060 DNS: реализован ответ NOTIMPL на запрос IQUERY(1)

А еще ПО гарантированно распухнет в размерах и 1210/1510... (подставьте свое на выбор) станет влезать еще хуже - ведь ipv6 станет базовым компонентом и его будет нельзя удалить. Потому время конечно подходит, вы правы, но еще не пришло.

Бизнес считает, что mesh важнее, чем IPv6. И да, это совсем непросто. Сложнее, чем mesh. Нужно очень многое в системе менять, простым gui не отделаешься.

Пока - только скрипты в entware на подключение/отключение клиентов.

Ну вы правы, это уже не совсем "клиент в домашней сети".

Что у вас за белая гига с прошивкой 2.06? Путаетесь в показаниях. Лучше в официальную ТП с такими вопросами.

добавить в blacklist mac на оба диапазона

Все это настраивается через web, но нужно чтобы к роутеру уже приходило все в vlan.

Создаете на одном порту два vlan, приводите в них интернет транками, затем эти vlan как отдельные интернеты в политику, включаете multipath сообразно пропускной способности, закидываете туда все хосты....???? PROFIT!

Sweet32 не боитесь? Шиндошс так вон вообще каждые 256 Мбайт rekey делает

У нас не может быть несколько mac у одного хоста. Жесткая схема: один mac - одно наименование - одна регистрация. То, что устройство зарегистрировано несколько раз, это скорее фича - можно применить разные правила к нему.

Этим вы только отключите доступ в Web/SSTP по SSL. Все.

Обязательно в техподдержку, если все же хотите помощи.

1. Надо смотреть запросы upnp, там будет понятно кто, зачем и насколько открывает порт. 2. Да, видимо у вас нет патча на iptables, но это некритично.

> ip http ssl no enable

Появление openvpn клиентов в устройствах - особенность реализации, которая не обязательно будет сохранена в будущих версиях.

Обращайтесь в официальную поддержку.

Пока все равно вижу много гемора и мало пользы. Сколько раз нужно это повторить, чтобы стало понятно, что это совсем умозрительная хотелка?

Данная реализация работает уже несколько лет, менять ее никто не собирается. Расчет на то, что устройства не прыгают между сегментами.