Le ecureuil

Gre over IPsec, IPIP over IPsec, EoIP over IPsec, L2TP over IPsec

Похоже на баг, посмотрим.

Начинаем все с чистого листа. Старый раздел был ужасно захламлен, расчищать его нет сил. Потому по всем багам 2.11 legacy создаем новые темы (строго одну на баг, иначе сразу буду закрывать и в мусор - я один, и разбирать завалы у меня времени нет). С 2.11.C.X тоже сюда лучше не приходите. Поехали! PS: Народ, думаю и так всем понятно, что новые устройства, новые фичи и новые прошивки всегда будут в приоритете относительно 2.11. В 2.11 переносятся исправления, реально критичные для стабильной работы в углу без присмотра.

Ветка 2.11 переходит в неофициальную категорию legacy: 2.11.D. Скажем так, good old stable. Эта песочница создана для следующих категорий пользователей: желающие иметь "классический" Web-интерфейс желающие иметь поддержку для LTE, VOX, DSL и Keenetic III и держать их в актуальном состоянии с точки зрения критических багов и уязвимостей Перейти на эту песочницу можно через > components list legacy После этого вы останетесь на ней. Выкладывание бинарников для перехода не планируется. Выпуски будут выходить не на регулярной основе, а по мере необходимости. Если найдутся заметные баги - будет пересобираться, если нет - будет лежать долго в одной и той же версии. ВНИМАНИЕ! Это такая же неофициальная версия, как delta и draft. Поддержка по багам и уязвимостям осуществляется на этом форуме. Обращаться с ней в официальную техподдержку бесполезно. Мы тут с вами остаемся один-на-один. Поддерживаемые устройства: все, на которых была 2.11 в том или ином виде. А именно: Keenetic Start II Keenetic Lite II Keenetic Lite III Keenetic Lite III rev. B Keenetic 4G III Keenetic 4G III rev. B Keenetic Omni Keenetic Omni II Keenetic Viva Keenetic Extra Keenetic II Keenetic Giga II Keenetic Ultra Keenetic III Keenetic DSL Keenetic VOX Keenetic LTE Полный список устройств с разбивкой по каналам выпуска доступен здесь. Новые устройства, которые выйдут на 2.12 и выше в качестве заводской версии, не будут поддерживаться. Версия 2.11.D.0.0-0: добавлен вывод IPv6 Link-local адресов (по просьбе @r13) исправлен декремент TTL в модуле fast_nat при передаче пакетов LAN → WAN починены счетчики трафика зарегистрированных хостов на protected-сегментах OpenSSL обновлен до 1.1.0i VPN: реализован выбор случайного адреса VPN-сервера из DNS Wi-Fi: реализована поддержка SSID в кодировке UTF-8 (только в CLI) HTTP: исправлено вычисление хеша при авторизации (сообщил @AlexU) реализована поддержка режима wwan-force-connected для интерфейсов UsbLte реализована поддержка USB-модема ME909s-120 Wi-Fi: добавлена команда настройки BSSID для WISP: interface {name} mac bssid {bssid} исправлен принудительный сброс сессий при работе некоторых модемов Huawei HiLink реализована поддержка USB-модема Huawei K5160 Opkg: скорректирован обработчик "opkg disk" с учетом символов ':' и '/' (сообщил @Sergey Zozulya) исправлена фиксация TTL на исходящих пакетах "ip interface adjust-ttl send" (сообщил @qwertyhgfdsa) ... и еще много других мелких фиксов, все уже и не упомнишь

dhcp работает на L2 и скорее всего конфликтовать и даже просачиваться не будет.

Ну вы нормальный проект по фильтрации можете предложить? Я вам даже его в opkg соберу, ради бога тестируйте. Только все что я пока вижу - оно либо через nfnetlink_queue (прощай, скорость) или давно сдохло и в 2018 не работает (типа opendpi).

Нужны self-test'ы когда доступ есть, и когда upstream service unavailable.

У вас по PPTP0 приходит этот dns-сервер. Если он вам оттуда не нужен, отключите прием DNS на этом интерфейсе: > no interface PPTP0 ipcp name-servers

Что мешает тут использовать скрипты в opkg?

Код контентной фильтрации (как и самой прошивки) не обновлялся с конца 2009. Извините, это труп. Полный. И он никак не может быть даже примером.

Что и требовалось доказать - из гигабитного устройство превратится в 100 мегабитное

Это скорее всего что-то иное. Здесь давайте разбираться с проблемами с HTTPS/SSL.

Спасибо за логи и self-test. Проблема серьезная, но очень редкая. Разбираемся.

Может потому, что это никому не нужно? )

Внешние условия - они не только снаружи, но и внутри роутера. Комбинация настроек заданных пользователем, полученных от провайдера, .... Да все их неперечислить. Плюс возможен аппаратный дефект - контроль качества при прозводстве проводится, но по пути до вас могло случиться всякое. В любом случае спасибо за сообщение об ошибке, а то, что мы не смогли оказать вам должный уровень сервиса и вы не стали нашим клиентом - приносим свои извинения, видимо нам еще есть над чем работать.

По домену HTTPS из SNI - очень ресурсозатратно. Даже Ultra врядли потянет на сколько-либо вменяемой скорости.

У VPN серверов нет L2, собственно нет MAC-адресов.

Да, для всех туннелей (кроме GRE + Key и EoIP + ID) повторяющаяся комбинация источника и адреса являются невалидной (собственно, в ядре туннель именно этой парой и идентифицируется (GRE - четверкой из {src, dst, ikey, okey}, а EoIP - тройкой из {src, dst, id})).

И раньше это работало?

У вас IPIP4 и IPIP9 имеют одинаковый адрес источника (клиента) (из-за одного общего NAT чтоли сидят?). Вообще говоря, это нерабочая конфигурация. Есть идеи как поправить (через GRE KEY), но пока руки не доходят капитально.

А настройки никакие не менялись, только обновление? Есть ли проблемы с прохождением трафика?

Посмотрите вывод show ip conntrack, каких адресов источников там больше - тот и грузит все соединениями.

no ppe software попробуйте еще. Но вообще у вас очень странный профиль нагрузки, ищите того, кто создает так много подключений. Или все 20-30 человек качают торренты?

dlna включен?

Похоже, мы тут с вами не сработаемся. Прошу вас проследовать в официальную техподдержку.