Le ecureuil

Ну какбы это уже не роутерная фича немного, а скорее для NAS. Плюс iSCSI требует внимательного и аккуратного использования, в среде с пропаданием связи он работает плоховато. Я имел с ним опыт когда был системным администратором, и он довольно требователен к надежности аппаратных средств. Ну и грамотная настройка не уместится в 2-3 поля в браузерном попапе. Потому я в целом против таких вещей в базовой прошивке, но в opkg - пожалуйста.

https://www.opennet.ru/base/sys/iscsi_fedora.txt.html Попробуйте сначала userspace-решение в виде scsi-target-utils. Если у вас все будет отлично работать, подумаем над in-kernel LIO или SCST.

https://wiki.strongswan.org/projects/strongswan/wiki/StrongswanConf Я что-то тут не вижу настроек DNS. Да и скорее всего там используется системный резолвер из uclibc-ng, который хранит записи по TTL.

Да, специалист по chilli выйдет из отпуска и подумаем. Спасибо за информацию.

Через CLI или в старом web.

Gre over IPsec, IPIP over IPsec, EoIP over IPsec, L2TP over IPsec

Похоже на баг, посмотрим.

Начинаем все с чистого листа. Старый раздел был ужасно захламлен, расчищать его нет сил. Потому по всем багам 2.11 legacy создаем новые темы (строго одну на баг, иначе сразу буду закрывать и в мусор - я один, и разбирать завалы у меня времени нет). С 2.11.C.X тоже сюда лучше не приходите. Поехали! PS: Народ, думаю и так всем понятно, что новые устройства, новые фичи и новые прошивки всегда будут в приоритете относительно 2.11. В 2.11 переносятся исправления, реально критичные для стабильной работы в углу без присмотра.

Ветка 2.11 переходит в неофициальную категорию legacy: 2.11.D. Скажем так, good old stable. Эта песочница создана для следующих категорий пользователей: желающие иметь "классический" Web-интерфейс желающие иметь поддержку для LTE, VOX, DSL и Keenetic III и держать их в актуальном состоянии с точки зрения критических багов и уязвимостей Перейти на эту песочницу можно через > components list legacy После этого вы останетесь на ней. Выкладывание бинарников для перехода не планируется. Выпуски будут выходить не на регулярной основе, а по мере необходимости. Если найдутся заметные баги - будет пересобираться, если нет - будет лежать долго в одной и той же версии. ВНИМАНИЕ! Это такая же неофициальная версия, как delta и draft. Поддержка по багам и уязвимостям осуществляется на этом форуме. Обращаться с ней в официальную техподдержку бесполезно. Мы тут с вами остаемся один-на-один. Поддерживаемые устройства: все, на которых была 2.11 в том или ином виде. А именно: Keenetic Start II Keenetic Lite II Keenetic Lite III Keenetic Lite III rev. B Keenetic 4G III Keenetic 4G III rev. B Keenetic Omni Keenetic Omni II Keenetic Viva Keenetic Extra Keenetic II Keenetic Giga II Keenetic Ultra Keenetic III Keenetic DSL Keenetic VOX Keenetic LTE Полный список устройств с разбивкой по каналам выпуска доступен здесь. Новые устройства, которые выйдут на 2.12 и выше в качестве заводской версии, не будут поддерживаться. Версия 2.11.D.0.0-0: добавлен вывод IPv6 Link-local адресов (по просьбе @r13) исправлен декремент TTL в модуле fast_nat при передаче пакетов LAN → WAN починены счетчики трафика зарегистрированных хостов на protected-сегментах OpenSSL обновлен до 1.1.0i VPN: реализован выбор случайного адреса VPN-сервера из DNS Wi-Fi: реализована поддержка SSID в кодировке UTF-8 (только в CLI) HTTP: исправлено вычисление хеша при авторизации (сообщил @AlexU) реализована поддержка режима wwan-force-connected для интерфейсов UsbLte реализована поддержка USB-модема ME909s-120 Wi-Fi: добавлена команда настройки BSSID для WISP: interface {name} mac bssid {bssid} исправлен принудительный сброс сессий при работе некоторых модемов Huawei HiLink реализована поддержка USB-модема Huawei K5160 Opkg: скорректирован обработчик "opkg disk" с учетом символов ':' и '/' (сообщил @Sergey Zozulya) исправлена фиксация TTL на исходящих пакетах "ip interface adjust-ttl send" (сообщил @qwertyhgfdsa) ... и еще много других мелких фиксов, все уже и не упомнишь

dhcp работает на L2 и скорее всего конфликтовать и даже просачиваться не будет.

Ну вы нормальный проект по фильтрации можете предложить? Я вам даже его в opkg соберу, ради бога тестируйте. Только все что я пока вижу - оно либо через nfnetlink_queue (прощай, скорость) или давно сдохло и в 2018 не работает (типа opendpi).

Нужны self-test'ы когда доступ есть, и когда upstream service unavailable.

У вас по PPTP0 приходит этот dns-сервер. Если он вам оттуда не нужен, отключите прием DNS на этом интерфейсе: > no interface PPTP0 ipcp name-servers

Что мешает тут использовать скрипты в opkg?

Код контентной фильтрации (как и самой прошивки) не обновлялся с конца 2009. Извините, это труп. Полный. И он никак не может быть даже примером.

Что и требовалось доказать - из гигабитного устройство превратится в 100 мегабитное

Это скорее всего что-то иное. Здесь давайте разбираться с проблемами с HTTPS/SSL.

Спасибо за логи и self-test. Проблема серьезная, но очень редкая. Разбираемся.

Может потому, что это никому не нужно? )

@ankar84 а если ppe software и ppe hardware отключить попробовать? PS: вообще у меня тоже 1010, правда клиент iOS 11.4. На нем не видел проблем с Instagram

Внешние условия - они не только снаружи, но и внутри роутера. Комбинация настроек заданных пользователем, полученных от провайдера, .... Да все их неперечислить. Плюс возможен аппаратный дефект - контроль качества при прозводстве проводится, но по пути до вас могло случиться всякое. В любом случае спасибо за сообщение об ошибке, а то, что мы не смогли оказать вам должный уровень сервиса и вы не стали нашим клиентом - приносим свои извинения, видимо нам еще есть над чем работать.

По домену HTTPS из SNI - очень ресурсозатратно. Даже Ultra врядли потянет на сколько-либо вменяемой скорости.

У VPN серверов нет L2, собственно нет MAC-адресов.

Да, для всех туннелей (кроме GRE + Key и EoIP + ID) повторяющаяся комбинация источника и адреса являются невалидной (собственно, в ядре туннель именно этой парой и идентифицируется (GRE - четверкой из {src, dst, ikey, okey}, а EoIP - тройкой из {src, dst, id})).