Le ecureuil

Да, важный момент. На устройствах с 7628 DoH работает не через http/2, а через http/1.1 keepalive. Это связано с большим размером библиотеки nghttp2, места для которой не хватает. Нагрузка на CPU от DoH тоже заметно выше, чем от DoT, потому на 7628 DoH стоит рассмотривать в основном лишь как last resort - когда другое не работает или заблокировано провайдером. Потому на 7628 рекомендуется в основном DoT.

Добавьте все, хуже не будет. 30-50 мс это труднодостижимое время для dot/doh, укладка в 100 мс - это уже отличный показатель для average response time. Попробуйте через dnsperf бенчмарки провести, сравним результаты.

Вы сперва с тараканами в своей голове разберитесь, а потом начинайте давать ценные советы.

Вы наверное даже лучше разработчиков осведомлены о том, по каким каналам они получают информацию о проблемах в ПО. И о том, что до этого форума жизни на Keeentic не было, конечно.

А кто обещал бесплатно?

И при этом, например, полное снятие с гарантии и техподдержки. Устроит такой вариант?

Ну можно и в web посмотреть же. Сбросьте устройство - и все увидите.

Ответ на конкретный вопрос - это необходимо для разработки. Как узнать, что после выпуска стабильной версии и начала массового автообновления все хорошо? В основном по репортам о "жизнеспособности", в которых не должно быть статистически значимых аномалий. Список того, что передается написан в eula, если вас не устраивает - можете приобрести любое другое устройство.

Если вы реально параноик, то почему вы вообще используете проприетарное ПО? Берите устройства с librecmc, вот там будет щастье. Или что-то еще, одобренное FSF.

self-test пришлите в момент когда все настроено, но не работает.

Серверы у cloudflare так себе. Используйте json-формат.

EULA читали? Принимали? А ведь там есть пункт 5, в котором все написано и с которым все согласились.

Подтюним, наверное перестанем показывать столь часто или переведем в system debug.

Почти. Если поле SPKI пустое, то используется верификация сертификата сервера через встроенные корневые сертификаты в прошивке. Но может быть такой сценарий, что прошивка устарела или сертификат еще не добавлен, или самоподписанный сертификат на сервере. Тогда можно указать SPKI, и сервер будет валидироваться на основе этого значения - оно перекрывает корневые сертификаты. Для DOT SPKI и валидация по корневым сертификатам работают только если указать SNI. application/dns-message - это единственный формат DOH, стандартизованный в RFC 8484. Однако, Google не реализует dns-message, а вместо этого использует свой проприетарный формат application/dns-json. Потому правильный ответ таков: указывать надо то, что поддерживает сервер. В случае c Google это только JSON. Но некоторые серверы, в частности CloudFlare, поддерживают оба формата. В этом случае команда и URL выглядят так: > dns-proxy https upstream https://cloudflare-dns.com/dns-query dnsm > dns-proxy https upstream https://cloudflare-dns.com/dns-query?ct=application/dns-json& json

Такое бывает, если сервер разрывает соединение и мы его устанавливаем заново. Страшного ничего нет.

Тема уходит на свалку истории, потому что его реализовывать не будут. Ну а dnscrypt-proxy и протокол сами туда отойдут, без нас. А блеклисты - это совсем другая фича, никак именно к DC не относящаяся. Можно создавать тему с голосовалкой по ней.

Можно тупо компоненты dot и doh удалить на странице компонентов, и будет прям как вы хотите

Ну в web же можно все сделать на странице Интернет-фильтров. Или в cli.

А поподробнее? Я dnscrypt в глаза не видел, для меня "блокировать IP по списку" ничего не значит.

Да, удалив все записи.

По скорости работы - последние три столбца показывают среднюю, медианную задержку и рейтинг сервера. Согласно им и работает все.

opkg dns-override отключает встроенный dns proxy, который остается только для системных нужд. Это ожидаемое поведение. Диагностировать просто - если нет сообщения о "disregarded", настроен хоть один dot/doh upstream, и работает DNS - значит все работает нормально. При включении хотя бы одного апстрима dot/doh обычный plaintext DNS полностью отключается.

Версия 2.11.D.2.0-1: L2TP/IPsec клиент: исправлена ошибка "no proposal chosen" при подключении

А в Entware для Keeentic есть userspace для wireguard? Вот он сейчас очень не помешает

В связи с реализацией DoT и DoH dnscrypt уходит на свалку истории.