Le ecureuil

Работаем над этим.

Спасибо за подсветку проблемы. Сейчас этот функционал на самом деле работает, но провайдеры перехватывают нешифрованные dns и тупо их блокируют (в том числе и запросы в зону .lib). Потому нашел вам кучку opennic-серверов, которые умеют dot и doh. Добавляйте их к обычным dot/doh серверам, и все будет работать: https://servers.opennic.org/edit.php?srv=ns10.de.dns.opennic.glue https://servers.opennic.org/edit.php?srv=ns12.nh.nl.dns.opennic.glue https://servers.opennic.org/edit.php?srv=ns8.he.de.dns.opennic.glue https://servers.opennic.org/edit.php?srv=ns31.de.dns.opennic.glue Прямо сейчас не поддерживаются DoH-сервера с указанием порта в uri, но в следующих релизах это будет поправлено.

DNS на конкретное соединение не игнорируется - именно по причине, озвученной выше. Можно еще его даже до домена ограничить.

Если это возможно, то полный сброс и попытаться опять настроить. Если не залезет - то перегенерить ключи и сертификаты, чтобы занимали меньше места.

Попробуйте в официальную техподдержку обратиться.

Да, возможно. Описано все в cli guide (ищите для версий 2.05 и младше).

Неправильно. Есть firewall, а есть проброс портов / протоколов. Это разные вещи, на разных вкладках в web настраиваются.

Можно, но это не всегда возможно. Плюс в таком случае обычно вообще проще использовать L3-туннель, а не L2.

Попробуйте отключить discovery. Видимо "кривое" устройство на запрос любого IP отвечает, что он принадлежит ему.

Похоже на проблемы с физикой на линии. Проверьте кабель, насколько он хорошо подключен. Можно еще провайдера попинать.

Он работает немного не так, как этого ожидают пользователи. Потому и не выведен.

Странно. Напишите в техподдержку, там будем исправлять.

Давайте через техподдержку. Они посмотрят, что может быть настроено не так.

При включении изменения TTL ускорители отключаются - это нормально.

Там же есть рекомендация добавить нативные IPv6 DNS. С ними также плохо работает? Или на клиентов прилетает LL?

Отключить dns-proxy или сделать dns-proxy override.

В целом будет еще хуже по скорости.

Шифрование работает в keenetic на одинаковой скорости при любых алгоритмах, ставьте aes256-sha1-modp2048 и будет все ок.

MPPE не ускоряется аппаратно, потому потери пакетов вполне возможны. IPsec ускоряется, потому там все лучше.

Особенность биллинга. У меня у РТ тоже был статический белый IP, но pppoe они все равно рвали раз в 24 часа. Да даже внутреннюю сеть intranet с серыми адресами они тоже рвали раз в сутки.

Версия 2.11.D.3.0-0: исправлены CVE-2019-11477, CVE-2019-11478 HTTP: добавлен сброс исходящих сессий при срабатывании защиты от перебора пароля (сообщил @JIABP) обновлен пакет tzdata до версии 2019b Собрано в delta/draft для KIII/KDSL/KLTE/KVOX.

Она включена. Модули нужно загрузить руками.

Я ответил - аномалий не вижу с первого взгляда. Если есть желание выяснить что не так - прошу пожаловать в ТП.

Да, это ок.

Это нарушает end-to-end principle, а в случае протоколов уровня выше чем 4 мощностей роутера для этого будет маловато.