Le ecureuil

Да, именно так. Я тоже читал и думал - неужели настолько жадный, что выдает LL-префиксы. Но нет, судя по тому, что default route тоже не прилетел, это либо внутренний тест, либо кривые настройки.

Покажите еще что у вас в ACL, а то если вы руками открыли доступ в ACL, то это имеет приоритет над security-level.

Где self-test с логами и настройками?

Если вам реально нужен IPsec, то переходите на последний delta / draft, и используйте IKEv2. В 2.06 IPsec хоть и присутствует, но содержит много недоработок.

А что не устраивает в 1.0-3?

Кратко - на 3.4 никогда. А зачем эта дичь может понадобится?

На Ultra/6856 можно хоть десяток тысяч роутов запихнуть - не зависнет. Работать только будет медленно, это да.

Есть исследования, как ведет себя SE и OpenVPN на MIPS32R2 с 64М ОЗУ и 580 МГц процессором? Иначе это пока голословные заявления про "космические скорости".

Нужен self-test, без него ничего непонятно.

Потому что у вас политика запрета применилась на весь интерфейс. Да, это можно оптимизировать, но это будет сделано уже в 2.12.

Если у вас в приоритете скорость - смотрите на cipher BF-CBC.

По идее этот фукционал должен работать как в ванильном клиенте. Почему не работает - другой вопрос. Просьба повторить натурный эксперимент, при этом снять self-test с вариантом когда не произошло переключения на резерв. Хотя я примерно догадываюсь о возможной сути - после того, как соединение разорвалось обычный openvpn остается жив и продолжает путь по списку дальше, наш же openvpn гасится совсем и стартует заново. Подумаем, что можно с этим сделать.

На Extra? Все ожидаемо, проц слабый, пакеты мелкие и их много...

Там еще работать и работать, и не только с конфигом

А где self-test? У вас галка "Запретить доступ незарегистрированным хостам" или хотя бы один хост с запретом доступа / расписанием есть? Вот оно оттуда и выходит.

Секундочку... Что значит "не умеет использовать интернет сервера"? Можно поподробнее раскрыть мысль?

А оно так разве должно работать на обычном linux? Приведите-ка пример в виде статьи с описанием настройки.

Omni довольно печален - до 7-8 Мбит/с. Устройства на 7621 могут показать до 15 Мбит/с. Да, чем круче шифрование, тем меньше скорость. Именно поэтому для слабых устройств и тех, кому важна именно скорость я оставил возможность настроить blowfish и md5 - то примерно в 2 раза быстрее AES/SHA2. Ждем новую версию openvpn + openssl с chacha20-poly1305, он будет безопасен как AES256/SHA256, но быстрее от 2 до 3 раз.

Уточните используемую разновидность IPsec, а еще лучше self-test прикрепите.

Действительно жесть, даже не хочется смотреть на эти простыни. И вообще, тут тема про KeenDNS, а не про что-то еще. Посему: - стоит перейти на 2.12, последние наработки по модемам именно там появляются - отключите 802.1x, он у вас все равно не работает и не настроен, только лог засоряет - отключите модем от кинетика - на интерфейсе модема командой > interface CdcEthernet0 debug или > interface UsbLte0 debug включаете отладку - втыкаете модем, ждете пару минут, убеждаетесь, что не работает. - скачиваете в web файл self-test (не включая никаких отладок в web), и прикладываете его файлом к новой свежесозданной теме в разделе про тестирование 2.12 с описанием проблемы. Не сюда. И никаких больше простыней. Так будет лучше всего. Здесь больше никаких обсуждений про нерабочие модемы не потерплю.

> components auto-update disable

Ну из cli-то ничего не делось, поэтому если вы скатились до унылого буквоедства, то вот вам ответ - идите в cli и настраивайте, заявленная фича есть.

А зачем такое, если есть SSTP?

На деревянной двери один еще советский замок "от честных людей", да и его не закрываю, когда дома.

Потому что я пытаюсь понять, зачем же она вообще может быть нужна. А какие страницы оставить / добавить - решает @Dmitry Tishkin - это нужно ему рассказывать про необходимость.