Le ecureuil

Так оно уже есть, только в cli

Новый OpenSSL 1.1.1 уже в 2.14, а вот когда chacha20-poly1305 добавят в openvpn - ждемс...

Никак. Топология звезда нормально не поддерживается XFRM.

Пока еще все активно доделывается, после появления stable 2.13 должна появится статья в БЗ как и что настраивать

Src или Dst NAT - это зависит от security level у указанных интерфейсов.

Нужно в свежем cli guide смотреть, там возможно это задокументировано.

tls-client не хватает в конфиге, он же вроде красным по-белому пишет что не так.

Насчет неработоспособности TCP: попробуйте поиграть с crypto map tcp-mss. Насчет скорости: лучше найти устройства на 6856 или 7621.

Этого не будет.

Если на диске есть swap-разделы, то keenetic их подключает автоматом все. В итоге если есть два по 256 на разных дисках, то он оба и подключит.

Посмотрим.

Посмотрим, если на 7620 с ipoe воспроизведется, то починим.

Ну он официальный именно для общения пользователей - каждый здесь может что-то написать, обсудить, спросить. А вот в плане технической поддержки и разработки - он неофициальный, поскольку техподдержка в другом месте.

Ничего там не забито, он просто при старте пытается загрузить эти модули, и все: https://git.strongswan.org/?p=strongswan.git;a=blob;f=src/starter/netkey.c;h=b150d3e80beed726c944c1779268e847654c16fd;hb=HEAD#l47. Можно даже racoon или libreswan использовать, все должно работать. Ядро в плане ускорителя никак не связано с userspace в данный момент.

А чем вас версия из ndms не устраивает?

Да, ACMEv2 в роутере готов (2.13+). Посему жду от вас предложений как должен выглядеть хук для acme, чтобы интегрировать его со сторонними способами авторизации.

IKEv1 это тоже поддерживает через Cisco Unity Plugin, но это очень vendor-specific вещь.

Это всем усложнит жизнь, потому пока не планируется.

Явно обещать ничего не могу, но постараюсь.

Я что-то никак не пойму, о чем вы говорите имея в виду "NAT на входе". Вот правила в таблице NAT на устройстве с IPoE. Покажите, какие именно вас смущают? ~ # iptables-save # Generated by iptables-save v1.4.21 on Tue Sep 4 21:23:51 2018 *nat :PREROUTING ACCEPT [5339:545959] :INPUT ACCEPT [264:43210] :OUTPUT ACCEPT [5058:274139] :POSTROUTING ACCEPT [5058:274139] :_NDM_DNAT - [0:0] :_NDM_DNS_REDIRECT - [0:0] :_NDM_EZ_DNAT - [0:0] :_NDM_HOTSPOT_DNSREDIR - [0:0] :_NDM_IPSEC_POSTROUTING_NAT - [0:0] :_NDM_NAT_UDP - [0:0] :_NDM_SL_PRIVATE - [0:0] :_NDM_SNAT - [0:0] :_NDM_STATIC_DNAT - [0:0] :_NDM_STATIC_LOOP - [0:0] :_NDM_STATIC_SNAT - [0:0] -A PREROUTING -j _NDM_DNAT -A PREROUTING -j _NDM_DNS_REDIRECT -A OUTPUT -j _NDM_DNAT -A POSTROUTING -j _NDM_IPSEC_POSTROUTING_NAT -A POSTROUTING -j _NDM_SNAT -A POSTROUTING -i br0 -p udp -m udp -j _NDM_NAT_UDP -A POSTROUTING -i br0 -j MASQUERADE -A POSTROUTING -i br1 -p udp -m udp -j _NDM_NAT_UDP -A POSTROUTING -i br1 -j MASQUERADE -A _NDM_DNAT -j _NDM_STATIC_DNAT -A _NDM_DNS_REDIRECT -j _NDM_HOTSPOT_DNSREDIR -A _NDM_NAT_UDP -p udp -m udp --sport 35000:65535 -j MASQUERADE --to-ports 1024-34999 -A _NDM_NAT_UDP -p udp -m udp --sport 1024:34999 -j MASQUERADE --to-ports 35000-65535 -A _NDM_NAT_UDP -p udp -m udp --sport 0:411 -j MASQUERADE --to-ports 412-1023 -A _NDM_NAT_UDP -p udp -m udp --sport 412:1023 -j MASQUERADE --to-ports 0-411 -A _NDM_SL_PRIVATE -i ra2 -j _NDM_EZ_DNAT -A _NDM_SL_PRIVATE -i ra3 -j _NDM_EZ_DNAT -A _NDM_SL_PRIVATE -i br0 -j _NDM_EZ_DNAT -A _NDM_SNAT -j _NDM_STATIC_LOOP -A _NDM_SNAT -o apcli0 -j _NDM_STATIC_SNAT -A _NDM_SNAT -o eth2.2 -j _NDM_STATIC_SNAT -A _NDM_STATIC_LOOP -i ra2 -o ra2 -j MASQUERADE -A _NDM_STATIC_LOOP -i ra3 -o ra3 -j MASQUERADE -A _NDM_STATIC_LOOP -i br0 -o br0 -j MASQUERADE -A _NDM_STATIC_LOOP -i br1 -o br1 -j MASQUERADE COMMIT

Это lockout-policy. Оно уже настроено нормально, можно не трогать.

А не напомните, что уж там за хук?

Собственно, в Keenetic все готово. Уже интегрирован ACMEv2. Ждем теперь поддержки от облака dns-01.

Что-то странное у вас, возможно даже аппаратная проблема. Попробуйте в официальную поддержку написать.

Этот файл трогать не надо. На самом деле были небольшие расхождения по коду разных линеек драйверов, это поправлено.