Le ecureuil

Сложно и нужно полутора человекам, которые могут поставить opkg. Распространенные случаи и так уже обработаны настройками политик. Могу согласиться, что клиентам VPN-серверов неплохо бы политики приделать, но пожалуй и все.

Видимо тонкости с 32-битным значением поля. Этот код полностью соответствует тому, что лежит в ядре Linux, потому видимо авторы так захотели Кроме визуальных эффектов вроде проблем нет.

Перерезолв поправлен, будет в новой 4.2 и 4.1.4.

MOBIKE в 4.2 включили.

Выглядит все нормально.

Нет. Сейчас это общая боль для всех VPN-серверов, к сожалению.

Были некоторые исправления, в следующем драфте давайте посмотрим.

Все ушли. Спросить-то что хотели?

Так работает сам transmission, придется терпеть. Побороть это кроме как переписыванием с нуля невозможно.

Если не хотите, чтобы стало лучше, то конечно можете продолжать общение в таком стиле. Судя по картине все нормально. Никак не могу понять что там за "Порт-1" и где он на ней.

Покажите self-test. Вполне возможно что у вас в Site-to-Site такие широкие селекторы, что вы вообще весь трафик блокируете.

UI кинетика или UI transmission?

Ничего не понял. Порт-1 это синяя Ethernet-часть комбо порта? Что значит "назначить по умолчанию"? Если у вас WAN на синем порту, то вытащив из него Ethernet и вставив SFP вы получите "по умолчанию". При чем тут еще дополнительная сеть?

В этом режиме подразумевалось что будет использован Chacha20-Poly1305, то есть 1-в-1 как в Wireguard, и такой же программный. И в этом отношении нет разницы. Немного смысла это имело бы для устройств на 7628, да и только. На устройствах с аппаратным модулем L2TP/IPsec уже (и всегда использовал, с момента релиза) использует его, потому не вижу проблемы.

Я считаю, что постановка 3600 - отличное решение. Проверять канал хотя бы раз в час - нужно, иначе мы не можем считать его "даже в теории рабочим". Плюс почти у всех по этому каналу бегает куча служебной информации, хотя бы DNS - в таком случае рассчеты "а сколько же сожрет у меня KA для WG" считаю слегка неуместными. Простите, а если вы реальный трафик пустите, и скажем, мегабайт 20-30 скачаете (в принципе дело десятка секунд на LTE), то без штанов-то не останетесь? Это ж 50 долларов вам будет стоить. В таком случае вам возможно вообще нужны другие подходы, и все распространенные протоколы частных сетей не устроят.

Лампочка "интернет"-то на устройстве горела?

Прямо на днях, думаю.

То есть вас смущает, что Combo-порт SFP/Ethernet может работать только в одном режиме, но не сразу в двух? Ну так это изначально известно было - или только SFP, или только Ethernet.

Клиент будет, ждите обратного гудка.

Так и задумано, просто веб не доделан, а так это там было бы написано. Домен 4 уровня можно найти по > show oc-server К сожалению, это ограничение неустранимо. SSTP может работать совместно с веб-ом, потому что он использует свой собственный URI, а openconnect просто монопольно делает POST-запросы на /, их невозможно отличить на этом этапе от веба. Плюс у него "жесткий" TLS-фрейминг по размеру вложенного пакета, потому он несовместим с OpenSSL, только GnuTLS.

Планируем, вопрос только в способе аутентификации. Будет поддерживаться только старый-добрый логин/пароль, все эти премудри с сертификатами и OTP - по первости точно нет.

Пробуйте на 4.1.3, все известные вопросы постарались там решить.

После загрузки с конфигом, приведенным ниже, не поднимается?

Думаю, это уже не будет поправлено. Переходите на WIreguard. Из веба опцию уберем.

Камуфляж сделаем, но чуть иначе, а зачем домен менять?