Le ecureuil

Нужен self-test с устройства в отладочном режиме во время подключения + версию андроида.

Или какое-то из устройств чудит, или в топологии ошибка.

Принято, перенесем в 2.16. В 3.01 и 3.03 это уже есть.

Так нужно opkg-kmod-netfilter поставить же.

Giga II не поддерживает подсчет трафика в аппаратном ускорителе из-за ограничений чипсета. Потому там могут быть произвольные данные. Если же перейти только на ppe software, то там будет точнее, но: интервалы обновляются не мгновенно, а гранулярно тикам. В итоге на графике за 1 час не будет самых последних 60 секунд, в графике за 3 часа не будет последних 180 секунд, в дневном графике - последних 1440 секунд. Потом они догонят.

В 2.16 ничего по Web меняться не будет. Это legacy - канал для исправления критических проблем безопасности и по части маршрутизации. Бизнес-логика в Web развивается только в актуальных версиях.

Опишите, с какой версии вы обновлялись?

Теперь трафик показывается только для зарегистрированных устройств. Это фича.

1110 и прочие были выпущены во времена 2.10. Тогда все умещалось нормально. Новые модели уже производятся с 32 Мбайт flash.

На Lite III rev. B (kl_rh) размер flash составляет 16 Мбайт (2x8, чип W25Q128CSIG). Откуда вы взяли неверные данные?

Если на 1110 / 1310 запустить ipsec + openvpn, то вместо половины памяти внезапно она почти закончится...

IRL раньше (до 3.10+) ядро не умело правильно обрабатывать ситуацию с устареванием CHILD_SA при резком прыжке во времени (во времена прошивки 2.06). Потому был сделан костыль с внешней проверкой. Потом я перенес в 3.4 патчи, которые умеют обрабатывать прыжки (это было в 2.08), но костыль так и остался. На 2.11 / 2.16 я менять ничего не буду скорее всего, есть оно не просит, но разлом совместимости где-то может быть. А вот в актуальной версии пожалуй стоит удалить внешнюю проверку, но это произойдет когда буду затягивать новую версию strongswan.

Фатального ничего не вижу - может быть много CHILD_SA.

Нет. Есть внешние реализации в opkg.

Можете спать спокойно, на legacy-каналах автообновления не будет.

Пока там все вяло.

Подключить можно, будет выглядеть в системе как еще один Ethernet-интерфейс. WiFi-система скорее всего правильно его использовать не сможет.

Версия 2.16.D.1.0-0: OpenSSL: обновлен до версии 1.1.1d tzdata: обновлен до версии 2019c ACME: улучшена совместимость с новым CDN Let's Encrypt NAT: добавлена поддержка протоколов ICMP, GRE и IPIP в правилах "ip static" добавлена поддержка устойств с отказавшим внешним модулем WiFi на шине PCI Express (Keenetic II: 2,4; Giga II: 2,4; Ultra: 2,4 и 5; LTE: 2,4; VOX: 2,4; DSL: 2,4; Extra: 5 ГГц) (подробности о первоначальном восстановлении тут) исправлены CVE-2019-11477, CVE-2019-11478 RT6856: исправлено высокое значение LA

Да, вам лучше в официальную ТП.

Ваш хост почему-то получает разные адреса. А что в логах dhcp?

Версия 2.11.D.5.0-0: OpenSSL: обновлен до версии 1.1.1d tzdata: обновлен до версии 2019c ACME: улучшена совместимость с новым CDN Let's Encrypt Собрано в delta/draft для KIII/KDSL/KLTE/KVOX.

Это особенность реализации. В основном профиле будут все соединения, можно менять только их приоритет.

@BB2019 для устаревших моделей 2.16 лежит в draft (считайте что это просто место такое), но формально это legacy. Формат legacy определяется не местоположением, а комбинацей устройства и версии. Внизу есть цветовая расшифровка, смотреть стоит на нее.

Параллельно. Планы некоторые есть, в основном на тему багфиксов и унификации софта в 2.11 - 2.16 - master для упрощения сопровождения.

PPTP VPN есть в этой модели, как и в винде. Настраиваете сервер на устройстве, печатающие клиенты цепляются в винды и все делают.