Le ecureuil

Мы в курсе про VTI, но @r13 прав, до перехода на новое ядро об этом вообще рано думать. Портировать что-то крупное в 3.4 сейчас уже немного поздно - слишком разошелся контекст.

Да, это какой-то странный bug. Давайте два self-testа в ситуациях, когда все загрузилось, но интернета нет, и когда он есть после перезагрузки кинетика, посмотрим почему такое может быть.

Он и раньше был, и сейчас есть, если явно получить сертификат на эти домены через ip http acme get.

Да, пока авторедирект не включен для доменов 4 уровня. Это немного проблематично "взять и сделать", потому что: - могут быть уже полученные руками сертификаты 4 уровня, которые пересекаются с wildcard - может использоваться не keendns-домен - может оставаться старый, необновленный сертификат, где еще нет wildcard - можно откатиться на 2.14, получить сертификат без wildcard, и опять вернуться на 2.15 и поиметь проблем как в предыдущем пункте Пока думаем, как лучше всего обойти все эти ситуации в автоматическом режиме.

Если вам кроме модулей netfilter ничего не нужно, то 2.11 - это ваш выбор. Она и помельче, и там не будет никаких автоапдейтов никогда, ну и вообще там главный лозунг "просто работает". Потому попробуйте. Надежность swap через usb на самом деле крайне мала. Отвалился диск на пару секунд из-за плохого питания - все полетело или встало колом. С zram вы можете попробовать продлить агонию, но несильно.

interface OpenVPNX mac address {value}

Не раньше 2.16. Сперва нужно с нашим облаком отладить.

Если нужен стабильный mac - задайте его руками для OpenVPN0.

Насчет поведения непонятно, но даже если это и баг - с 2.13 разбираться не будем Потому лучше сразу это решить на актуальном ПО. Прошивки 2.12, 2.13 являются "проходными". На них не остается никаких устройств ни в каких песочницах. Потому после выпуска следующего stable, они становятся полностью неподдерживаемыми.

2.13 все. Ничего там исправляться не будет. Проверяйте на 2.14 или (еще лучше) на 2.15.

А скиньте пожалуйста self-test, когда все настроено и подключено, но не работает. Проверим. Ну и да, после добавления маршрута клиента нужно "передернуть", иначе маршрут на него не заработает.

Возьмите 2.11, она поменьше.

Кинетик только лампочкой моргает, если нет доступа. Больше никаких действий не предпринимается, насильно ничего не отключается.

Попробуйте снять дампы, чтобы посмотреть, где же затык.

Как только выйдет релиз с этим - сразу появится в draft.

Транзитная сеть не должна пересекаться с объединяемыми сетями. Иначе может быть что угодно. Если посмотрите внимательно, то даже в БЗ настраивается именно так.

Достаточно доступа к любому - к google.com - то доступ открыт? ) Ну и настраивать можно, уже 100 и еще 10 раз обсуждалось как - повторять устал.

Пинговать и пробовать нужно с обоих устройств, а вот все остальное - да, на omni.

Вы точно понимаете, как именно работает и что именно делает компонент ping-check?

Немного не понял, кто разработчик прошивки - я или Вы? Индикатор Internet в настройке по-умолчанию начиная с 2.10 проверяет TCP-соединение с ya.ru / nic.ru / google.com. Собственно, если "дальше на линии" есть проблемы, эта проверка на сработает.

Отлично, теперь стало чуть более понятно. Значит, нужно следующее: - отключаете vpn соединение на omni - включаете на omni interface L2TPX debug (на том, что vpn) - включаете захват "proto udp" на omni на CdcEthernet0 с размером пакета 1500 и буфером в 8 мбайт - включаете захват трафика на интерфейсе vpn на omni с размером пакета 1500 и буфером в 8 мбайт - включаете vpn - пингуете в обе стороны секунд по 20, пытаетесь зайти, еще как-либо проверяете - гасите vpn на omni - снимаете selftest на сервере и на omni, и два дампа с omni, прикладываете сюда Это все должно занять не более 2-3 минут.

Это уже давно не так.

Мало места на flash -> используем squashfs с максимальным блоком и сжатием -> требуется много RAM для работы с ФС -> RAM перестает хватать -> все плохо. На самом деле лимиты в transmission и прочих вещах взяты не с потолка - если отрубить все лимиты, как сделано в draft, то на устройствах с ограниченными ресурсами будет работать так, как в первом посте.

Трогать никакие не стоит. Они все важны для работы той или иной функциональности. Если есть вопросы куда добавлять ваши собственные правила - спрашивайте с описанием ситуации, подскажу.

Пока только руками через opkg.