Le ecureuil

self-test пришлите в момент когда все настроено, но не работает.

Серверы у cloudflare так себе. Используйте json-формат.

EULA читали? Принимали? А ведь там есть пункт 5, в котором все написано и с которым все согласились.

Подтюним, наверное перестанем показывать столь часто или переведем в system debug.

Почти. Если поле SPKI пустое, то используется верификация сертификата сервера через встроенные корневые сертификаты в прошивке. Но может быть такой сценарий, что прошивка устарела или сертификат еще не добавлен, или самоподписанный сертификат на сервере. Тогда можно указать SPKI, и сервер будет валидироваться на основе этого значения - оно перекрывает корневые сертификаты. Для DOT SPKI и валидация по корневым сертификатам работают только если указать SNI. application/dns-message - это единственный формат DOH, стандартизованный в RFC 8484. Однако, Google не реализует dns-message, а вместо этого использует свой проприетарный формат application/dns-json. Потому правильный ответ таков: указывать надо то, что поддерживает сервер. В случае c Google это только JSON. Но некоторые серверы, в частности CloudFlare, поддерживают оба формата. В этом случае команда и URL выглядят так: > dns-proxy https upstream https://cloudflare-dns.com/dns-query dnsm > dns-proxy https upstream https://cloudflare-dns.com/dns-query?ct=application/dns-json& json

Такое бывает, если сервер разрывает соединение и мы его устанавливаем заново. Страшного ничего нет.

Тема уходит на свалку истории, потому что его реализовывать не будут. Ну а dnscrypt-proxy и протокол сами туда отойдут, без нас. А блеклисты - это совсем другая фича, никак именно к DC не относящаяся. Можно создавать тему с голосовалкой по ней.

Можно тупо компоненты dot и doh удалить на странице компонентов, и будет прям как вы хотите

Ну в web же можно все сделать на странице Интернет-фильтров. Или в cli.

А поподробнее? Я dnscrypt в глаза не видел, для меня "блокировать IP по списку" ничего не значит.

Да, удалив все записи.

По скорости работы - последние три столбца показывают среднюю, медианную задержку и рейтинг сервера. Согласно им и работает все.

opkg dns-override отключает встроенный dns proxy, который остается только для системных нужд. Это ожидаемое поведение. Диагностировать просто - если нет сообщения о "disregarded", настроен хоть один dot/doh upstream, и работает DNS - значит все работает нормально. При включении хотя бы одного апстрима dot/doh обычный plaintext DNS полностью отключается.

Версия 2.11.D.2.0-1: L2TP/IPsec клиент: исправлена ошибка "no proposal chosen" при подключении

А в Entware для Keeentic есть userspace для wireguard? Вот он сейчас очень не помешает

В связи с реализацией DoT и DoH dnscrypt уходит на свалку истории.

Варианта 2. 1 - обновить ultra до последних 2.15 или 2.11 2 - установить на клиенте lcp 45 4

Спасибо за репорт, исправим.

Спасибо, интересно! Взгляните на версию Keenetic OS 3.1

> show ip neighbour alive

Я так подозреваю, что это в связи с массовым использванием IKEv2 для VPN у частников. IKEv1 не трогают, поскольку это как правило корпоративный необновляемый и старый как говно мамонта энтерпрайз, и его ломать не следует.

Лучше перейти на канал legacy, и там остаться. Для него осуществляется неофициальная поддержка с исправлением критичных проблем.

Но вообще, флешка у вас отмирает судя по всему. Может откинуться в любой момент, раз уже однажды потеряла ФС.

Есть опция forceencaps у crypto map для таких случаев. Плюс можно поиграться с ikev1/ikev2. Yota уже давно пытается через раз давать работать IKEv2, но ikev1 пока работает.

yota-yota проще всего с sstp. С реальным IP разницы нет, если сервер напрямую в Интернет не торчит - у вас кроме sstp выбора нет.