Le ecureuil

Omni довольно печален - до 7-8 Мбит/с. Устройства на 7621 могут показать до 15 Мбит/с. Да, чем круче шифрование, тем меньше скорость. Именно поэтому для слабых устройств и тех, кому важна именно скорость я оставил возможность настроить blowfish и md5 - то примерно в 2 раза быстрее AES/SHA2. Ждем новую версию openvpn + openssl с chacha20-poly1305, он будет безопасен как AES256/SHA256, но быстрее от 2 до 3 раз.

Уточните используемую разновидность IPsec, а еще лучше self-test прикрепите.

Действительно жесть, даже не хочется смотреть на эти простыни. И вообще, тут тема про KeenDNS, а не про что-то еще. Посему: - стоит перейти на 2.12, последние наработки по модемам именно там появляются - отключите 802.1x, он у вас все равно не работает и не настроен, только лог засоряет - отключите модем от кинетика - на интерфейсе модема командой > interface CdcEthernet0 debug или > interface UsbLte0 debug включаете отладку - втыкаете модем, ждете пару минут, убеждаетесь, что не работает. - скачиваете в web файл self-test (не включая никаких отладок в web), и прикладываете его файлом к новой свежесозданной теме в разделе про тестирование 2.12 с описанием проблемы. Не сюда. И никаких больше простыней. Так будет лучше всего. Здесь больше никаких обсуждений про нерабочие модемы не потерплю.

> components auto-update disable

Ну из cli-то ничего не делось, поэтому если вы скатились до унылого буквоедства, то вот вам ответ - идите в cli и настраивайте, заявленная фича есть.

А зачем такое, если есть SSTP?

На деревянной двери один еще советский замок "от честных людей", да и его не закрываю, когда дома.

Потому что я пытаюсь понять, зачем же она вообще может быть нужна. А какие страницы оставить / добавить - решает @Dmitry Tishkin - это нужно ему рассказывать про необходимость.

Эта, скажем так, кхм, "защита" - примерно как в доме со обычными стеклянными окнами от пола до потолка на первом этаже ставить крутую железную входную дверь, которую ломать автогеном пару часов. Любой, кто захочет получить доступ подслушает эфир и поменит mac - для этого даже автоматические утилиты есть. То есть конечно от совсем дураков оно может и поможет, но если вы таким образом пытаетесь сделать защиту от мало-мальски образованных злоумышленников - только раззадорите сильнее.

Кошмар, это размер NDMS на младших устройствах. Короче, не в этих годах похоже.

А зачем это нужно, можете рассказать?

А размер бинарника сколько?

Это условно нормально. Работаем над исправлением, оно не критичное, но все же.

А где в старом web фильтрация по MAC?

Тогда вам в opkg.

Это не будет работать, нужно перейти на tap-режим.

100+ Мбит/сек, да. Видимо у вас VPS не выдерживает нагрузку (что вполне реально, так как у вас используется юзерспейсный xl2tpd), или провайдер.

Да, возможность настроить резервирование в IPsec была всегда. Только она реализована в cli. > crypto map <test> set-peer 201.201.1.1 > crypto map <test> set-peer-fallback 211.211.1.1 > crypto map <test> fallback-check-interval 600 Приоритет будет у 201.201.1.1, если с ним пропадет связь, то перейдет работать на 211.211.1.1, но раз в 600 секунд будет в фоне проверяться работоспособность 201.201.1.1, и при появлении связи с 201.201.1.1 все вернется туда.

Ок, подумаем.

А почему вы так против SL = public? Именно public включает source NAT, без него у вас в IPIP все полетит с оригинальным адресом и будет ой.

up

Создайте отдельную тему в "Развитии", подумаем.

При чем тут вообще Zywall? Мы вроде Keenetic обсуждаем.

Там все правильно написано, кроме одного - пакеты openwrt нужно пересобрать так, чтобы они смогли запуститься на устройстве.

Если все пингуется (в том числе и полноразмерными пакетами с MTU == MTU интерфейса), то проверьте как работает DNS. DNS пока идет по системной таблице, и может разрешать имена через другие интерфейсы. Знаем об этой ситуации, работаем над ней, но пока сложно сказать когда точно будет сделано - слишком много завязано на DNS.