Le ecureuil

Это не странно, это покажет правду. Вот возьмите свой диск внешний, даже по USB3 - это все равно максимум 50-70 iops. А теперь качайте торрент размером в десяток гигов с сотней пиров, раздающих чанки по 4 Мбайт. Внимание, вопрос! Сколько недокачанных чанков уместится в ОЗУ и как часто нужно будет их класть на диск и поднимать оттуда для дописывания и проверки хэша? Даже для топовых устройств это в районе 100 штук, а то и меньше - а значит большее число пиров абсолютно бесполезно и только ухудшит скорость. И это больше числа iops для диска, так что реально работает не больше 50 пиров. В то время как комп может спокойно кэшировать по 500+ чанков и потихоньку тянуть данные с 500+ пиров. SSD здесь за счет кратного роста в IOPS показывает это самое узкое место, снижая его влияние на порядки.

Что значит чистый IPsec? Site-to-site? Так включите уже DPD.

У 7621S два потока, это у 7621A(T) - 4 с 2 ядрами. Да, должны упереться в 100 mbps.

> ip name-server 192.168.1.1 Ав ообще достаточно просто было спросить, всего 2 команды ввести-то )

SSTP-сервер это фактически обычный SSL-сервер. Если у вас по https открывается web в этом режите, то и SSTP прекрасно будет работать. Гейтвей можно указать где угодно, например > ip route default 192.168.1.1 Home

С ними пока есть баг - они не работоспособны вообще Планируем поправить на днях. Будет работать обычный dot/doh для них, который задали system-wide руками или plaintext, если не задан.

Что-то вы перемудрили. Если вы втыкаете upstream-роутер в LAN у Keenetic, то сеть линейная и все работает, никаких разных адресаций снаружи и изнутри не нужно.

Конечно. Но мы исходим из того, что включая интернет-фильтр человек прямо-таки жестким и воелвым решением хочет насадить всем устройствам эту политику. И любой проскок мимо в данном случае зло.

OpenVPN давно пора сделать лучше, подождем до этого момента.

Нет, перехват включается только при активации DNS-фильтров. Если DNS-фильтры не включены, то весь транзитный DNS (не предназначенный роутеру) пройдет мимо.

7 delta 2.11.D.2.0-0 8 legacy 2.11.D.2.0-1 9 draft 2.11.D.2.0-1 Переходите на legacy-канал, видимо в delta проглядел. Следующая сборка (на днях) попадет везде.

В режиме ТД есть много вопросов с роутингом для VPN, пока этот вопрос в стадии проектирования.

Оно есть еще со времен 2.06. Но работает только для Интернет-фильтров. К счастью, adguard полностью поддерживает doh/dot. Потому - ставите doh/dot компоненты - ставите adguard - включаете его - profit! Все само работает по dot/doh без настроек, с заворотом всех DNS-запросов принудительно на роутер.

DoH на 7628 работает нормально, отличия между http/2 и http/1.1 на самом деле не так значительны, как может показаться. Разница при суровой нагрузке в pipeline только, и то процентов на 20-30. Вообще на мой взгляд незаслуженно забываете про крутые и недорогие устройства DSL и DUO. DSL за 3,5 тысячи на мой взгляд хуже 1910 только в части WiFi. Все остальное там даже лучше, чем на 7621S. Это отличная замена для любого устройства на 7628, если нужны именно сетевые фичи без сильного акцента на WiFi. Не обращайте внимания, что это DSL, просто не пользуйтесь этим куском. Зато там есть аппаратный IPsec и процессор мощнее, чем MT7621S. И ОЗУ и flash много. Фактически, это прямой наследник Keenetic II на Big Endian и с DSL, но еще мощнее и со всеми новыми фичами.

Правильная команда выглядит так: > show dns-proxy Она же покажет и proxy в ip policy сразу.

Да, все работает на всех устройствах. Этот REST API - это не морда, это именно что API. Потому доступен только URI /rci, все остальное выдает ошибку.

Если вы включите Интернет-фильтр, то все запросы "мимо", включая даже dot/doh мимо - будет завернуты на роутер или дропнуты. Такая штука существует для plaintext udp/53 и tcp/53 еще с 2.06, а для dot/doh появилась в 3.0. Что еще осталось, кроме black-list? Запуск скриптов по cron считаю избыточным, потому что в системе без opkg это излишество (скрипты хранить негде), а с opkg вы так и так можете поставить cron.

Наши условия уже изложены в EULA и на ценнике в магазине. Все остальное - спекуляции.

Все, что шлется "мимо" роутера при включенном интерент-фильтре (любом) принудительно заворачивается на роутер.

Откуда проверялся DoT? С ПК или с роутера?

Разумеется, нужно смотреть в момент, когда запросы идут непрерывно. В остальные времена это "погода на Марсе".

Да, важный момент. На устройствах с 7628 DoH работает не через http/2, а через http/1.1 keepalive. Это связано с большим размером библиотеки nghttp2, места для которой не хватает. Нагрузка на CPU от DoH тоже заметно выше, чем от DoT, потому на 7628 DoH стоит рассмотривать в основном лишь как last resort - когда другое не работает или заблокировано провайдером. Потому на 7628 рекомендуется в основном DoT.

Добавьте все, хуже не будет. 30-50 мс это труднодостижимое время для dot/doh, укладка в 100 мс - это уже отличный показатель для average response time. Попробуйте через dnsperf бенчмарки провести, сравним результаты.

Вы сперва с тараканами в своей голове разберитесь, а потом начинайте давать ценные советы.

Вы наверное даже лучше разработчиков осведомлены о том, по каким каналам они получают информацию о проблемах в ПО. И о том, что до этого форума жизни на Keeentic не было, конечно.