Le ecureuil

Если у вас в приоритете скорость - смотрите на cipher BF-CBC.

По идее этот фукционал должен работать как в ванильном клиенте. Почему не работает - другой вопрос. Просьба повторить натурный эксперимент, при этом снять self-test с вариантом когда не произошло переключения на резерв. Хотя я примерно догадываюсь о возможной сути - после того, как соединение разорвалось обычный openvpn остается жив и продолжает путь по списку дальше, наш же openvpn гасится совсем и стартует заново. Подумаем, что можно с этим сделать.

На Extra? Все ожидаемо, проц слабый, пакеты мелкие и их много...

Там еще работать и работать, и не только с конфигом

А где self-test? У вас галка "Запретить доступ незарегистрированным хостам" или хотя бы один хост с запретом доступа / расписанием есть? Вот оно оттуда и выходит.

Секундочку... Что значит "не умеет использовать интернет сервера"? Можно поподробнее раскрыть мысль?

А оно так разве должно работать на обычном linux? Приведите-ка пример в виде статьи с описанием настройки.

Omni довольно печален - до 7-8 Мбит/с. Устройства на 7621 могут показать до 15 Мбит/с. Да, чем круче шифрование, тем меньше скорость. Именно поэтому для слабых устройств и тех, кому важна именно скорость я оставил возможность настроить blowfish и md5 - то примерно в 2 раза быстрее AES/SHA2. Ждем новую версию openvpn + openssl с chacha20-poly1305, он будет безопасен как AES256/SHA256, но быстрее от 2 до 3 раз.

Уточните используемую разновидность IPsec, а еще лучше self-test прикрепите.

Действительно жесть, даже не хочется смотреть на эти простыни. И вообще, тут тема про KeenDNS, а не про что-то еще. Посему: - стоит перейти на 2.12, последние наработки по модемам именно там появляются - отключите 802.1x, он у вас все равно не работает и не настроен, только лог засоряет - отключите модем от кинетика - на интерфейсе модема командой > interface CdcEthernet0 debug или > interface UsbLte0 debug включаете отладку - втыкаете модем, ждете пару минут, убеждаетесь, что не работает. - скачиваете в web файл self-test (не включая никаких отладок в web), и прикладываете его файлом к новой свежесозданной теме в разделе про тестирование 2.12 с описанием проблемы. Не сюда. И никаких больше простыней. Так будет лучше всего. Здесь больше никаких обсуждений про нерабочие модемы не потерплю.

> components auto-update disable

Ну из cli-то ничего не делось, поэтому если вы скатились до унылого буквоедства, то вот вам ответ - идите в cli и настраивайте, заявленная фича есть.

А зачем такое, если есть SSTP?

На деревянной двери один еще советский замок "от честных людей", да и его не закрываю, когда дома.

Потому что я пытаюсь понять, зачем же она вообще может быть нужна. А какие страницы оставить / добавить - решает @Dmitry Tishkin - это нужно ему рассказывать про необходимость.

Эта, скажем так, кхм, "защита" - примерно как в доме со обычными стеклянными окнами от пола до потолка на первом этаже ставить крутую железную входную дверь, которую ломать автогеном пару часов. Любой, кто захочет получить доступ подслушает эфир и поменит mac - для этого даже автоматические утилиты есть. То есть конечно от совсем дураков оно может и поможет, но если вы таким образом пытаетесь сделать защиту от мало-мальски образованных злоумышленников - только раззадорите сильнее.

Кошмар, это размер NDMS на младших устройствах. Короче, не в этих годах похоже.

А зачем это нужно, можете рассказать?

А размер бинарника сколько?

Это условно нормально. Работаем над исправлением, оно не критичное, но все же.

А где в старом web фильтрация по MAC?

Тогда вам в opkg.

Это не будет работать, нужно перейти на tap-режим.

100+ Мбит/сек, да. Видимо у вас VPS не выдерживает нагрузку (что вполне реально, так как у вас используется юзерспейсный xl2tpd), или провайдер.

Да, возможность настроить резервирование в IPsec была всегда. Только она реализована в cli. > crypto map <test> set-peer 201.201.1.1 > crypto map <test> set-peer-fallback 211.211.1.1 > crypto map <test> fallback-check-interval 600 Приоритет будет у 201.201.1.1, если с ним пропадет связь, то перейдет работать на 211.211.1.1, но раз в 600 секунд будет в фоне проверяться работоспособность 201.201.1.1, и при появлении связи с 201.201.1.1 все вернется туда.