Le ecureuil

Если сервер DoT задать как fqdn, то будет то же самое

К нему не применяются реально никакие настройки, это баг получения данных из ARP и чисто косметический. Потому можете не обращать внимания, постараемся исправить.

1 - а какая подсеть на Home? 2 - какой peer - внутрениий или внешний? Внешние ставятся через tunnel source / tunnel destination. А если внутренний, то зачем?

Небольшие новости. По результатам моих тестов выяснилась такая картина : 7621 7513 7628 NONE 68 40 23 BF-CBC 23.3 16.4 10.7 AES-128-CBC 25 18.2 10.6 AES-GCM-128 23.8 17.9 10 AES-128-OFB 28.2 21.2 11.3 AES-128-CFB 30.5 19.8 11.3 CHACHA20-POLY1305 38.3 26.5 14.4 Краткие выводы (цифры сами говорят за себя, но все же): - NONE - это теоретически максимальная скорость OpenVPN на данном ЦПУ без шифрования и аутентификации трафика вообще. Быстрее точно не будет. - BF-CBC - старый кал, он не оправдывает надежд как "быстрейший шифр". - если вам прямо сейчас нужен быстрейший шифр, то на обеих сторонах туннеля выберите "cipher AES-128-CFB / auth SHA1" и можете получить прирост до 8 Мбит нахаляву. - прямо сейчас везде добавлен шифр CHACHA20-POLY1305, который кладет всех на лопатки (пользователи Wireguard уже это увидели). Он появится в следующих выпусках 3.4, 3.3 beta 7, 2.16 и 2.11. Настроить его просто: "cipher CHACHA20-POLY1305 / auth none" (на обоих сторонах канала!). Из сервисов VPN его уже поддерживает как минимум AirVPN (тема с рекомендациями по настройке, рабочий конфиг в конце).

Пока абсолютно ничего нового.

> show dns-proxy Большей информации нет. Насчет исправления Web в плане отображения - лучше в поддержку написать.

Понимаю вас как пользователя, но кастомные интервалы на данный момент невозможны - многое на них завязано.

Если уж заморачиваться, то нужно везде IPv6 внедрять, во все сервисы. Пока отложим до этого момента.

А вы root ca везде проставите нужный? И в iphone тоже?

И как, оно работает? Я не уверен, что есть поддержка syslog по fqdn. Ну и про то, что данные полетят по интернету в открытом виде это вообще уже за гранью реальности.

Хорошо, проверю.

Раньше были костыли в некоторых вещах, несовместимые с новым ядром 4.9. Мы их начали выкидывать заранее, еще в 2.15. Возможно, задело по касательной.

В 3.0 и выше поправлено. Поскольку 2.16 поддерживается только мной, то исправление выйдет когда у меня будет время на перенос в 2.11 и 2.16.

Принудительный rekey будет не раз в час, а раз в три дня. Это снизит безопасность (незначительно), но повысит стабильность.

Попробуйте > interface wm0 rekey-interval 200000

Давайте в поддержку, там лучше получится.

Реально не хватает информации. Сообщите plz тикеты из поддержки, мы с ними посмотрим, что там не так.

Треп на тему того, что лучше - в Курилке.

Чтобы при смене IP на сервере у вас ничего не отвалилось. Или если эти IP заблокируют случайно, чтобы выбрать другие.

Пишите в техподдержку, они помогут быстрее.

Снимите дамп по "udp port 53", посмотрим что там у вас вылазит наружу. Еще self-test надобно.

Так оно уже есть - включаете adguard (или начиная с 3.3 еще и skydns), устанавливаете dot/doh - и вуаля! Вообще никуда не нужно тыкать

https://yadi.sk/d/Rjm7tXKlBXeOFQ https://yadi.sk/d/isU6dC8pagmq9Q

Раз так, давайте вам соберу последнюю из ветки 2.14.

Суть я понял. Давайте это перенесем в раздел по фичам и будем голосовать. Там хотя бы не забудем.