Le ecureuil

Let's Encrypt завершает работу протокола ACMEv1: https://community.letsencrypt.org/t/end-of-life-plan-for-acmev1/88430/4 Потому всем следует обновиться на последние версии 2.11 (2.11.D.2.0-0 и выше), 2.16 или 3.01, доступные для ваших устройств. В первую очередь это касается тех, кто находится на версиях 2.10.C.X, 2.11.C.X и 2.11.D.X до 2.11.D.2.0-0, 2.12.C, 2.13.C - выпуск сертификатов скоро навсегда перестанет работать.

IPv6 пока не планируется.

Это между портами свитча, а не в сетевой карте.

В принципе, на сертификатах LE можно сделать IKEv2. Но проблема тут довольно глубокая и фундаментальная. Когда у тебя устройства подконтрольны и свой CA, то можно выписать цепочку сертификатов так, чтобы не было IKE-фрагментации. А с LE, пока у них нет ECDSA-корня, длинная цепочка с intermediate и пока приходится выписывать клиентские RSA минимум по 2048 бит, то IKE-сообщения с fullchain будут фрагментированны. Многие клиенты этих шуток (хотя они и есть в спецификации) не понимают, и мы получаем болт. Потому на самом деле единственное тут чего мы все ждем - это ECDSA-корня у Let's Encrypt. Обещают уже несколько лет подряд.

Хотя если у вас чисто локальный трафик, то неуправляемые свичи должны работать нормально. Но как только пакеты пойдут в роутер - будет ох.

Нет.

WPA3-Enterprise это фактически WPA2-Enterprise с обязательным PMF. Новых алгоритмов там нет.

GDMA (читай - сетевая карта) в MT7621 не поддерживает кадры больше чем в 1536 (baby-jumbo) байт.

Не мытьем, так катаньем Посмотрим в итоге, чей код возьмут.

В сравнению с ftps - это как минимум. А вообще еще и нужно с webdav + https (есть рядом тема), и с ftp + vpn сравнить. Пока только утверждения без обоснования превосходства.

Пожалуйста, голосуйте, но еще и опишите хотя бы область, где tinc выделялся своими фичами над другими. Пока я этого не вижу, и даже смысла рассматривать его интеграцию как минимум тоже.

Навскидку знаю, что это умеют только realtek-свитчи, то есть из активно поддерживаемых устройств - только Ultra II. 7530 судя по доке это не умеет, как и 7628. Итого - нет аппаратной возможности.

Это провайдер должен предоставлять такую возможность, готовых массовых решений для этого не существует.

В конфиге все можно делать руками. И даже куда больше!

Во-первых, так не утверждалось. Во-вторых, как минимум есть кучка костылей поверх FTP или вокруг него для того, чтобы прикрутить к нему подобие безопасности. Ни один из них не занял доминирующей позиции - где-то есть одно, где-то другое. Потому и спрашиваю - чем вам так дорог SFTP, что вы именно за него топите, а не за FTPS или что-то еще? PS: Чем больше будет сообщений "хочу!!!!!11111" без аргументации, тем больше будет игнора. Радуйтесь, пока я у вас пытаюсь выведать суть - значит это мне пока еще небезразлично - потому что если мне эта пустая болтовня надоест, то будете ждать фичи до второго пришествия под тихое молчание.

Ну с wireguard пока понятно - ему всего две недели. А с openvpn что вам не так? Все так топят за эту тонкую настройку, но реально если этим будет пользоваться один или два человека - то это фича из разряда "для вас есть opkg".

То есть накинуть еще более тормозной и нестабильный tinc это здравая идея?

Создавать подобные темы с названиями пакетов бесполезно, посмотреть на список пакетов debian и прикинуть, что у нас еще нет и без вас сумею. Нам интересен ваш опыт и аргументированное мнение, почему именно этой технологии так не хватает и чем она лучше остальных. А также почему она не дублирует уже имеющийся функционал.

А чем оно лучше FTPS? Или оба нужно? Или нужно просто накинуть прямо всего до кучи, а там как вылезет?

Давайте списком, что вам не хватает в openvpn, wireguard, ipsec, sstp, что протребовался бы еще один vpn (который тоже нужно отлаживать и для которого вообще нет клиентов НИГДЕ (вот для любого из представленного списка уже есть, и много где в установке по-умолчанию)).

Wireguard, IPsec и SSTP полностью перекрывают ниши этой штуки, не вижу ни малейшей необходимости в стандартном наборе. А желающие уже давно пользуются в opkg.

Ну в теории да.

Попробуйте включить adjust mss.

ПО делается сразу под всю линейку. На 1110 еще и ОЗУ будет мало и процессора для Go.

Прочитайте внимательно еще раз: - оно не влезет даже в cli-варианте - преимущества перед dot/doh эфимерны и являются вкусовщиной Потому я против накидывания на лопате всего, что только можно.