rm_

Факт, не знаю в половине или нет, но 3 раза из 10 поймал. Причём на том что во Франции вообще. Поковырявшись в dig +trace, из странностей заметил вот что: Работает через раз. Видимо когда гугл попадает на этот сервер, это для него является фатальной проблемой, и соседние сервера он не пробует. Собссна такое же поведение наблюдал от 8.8.8.8 и по своему личному домену, когда один из двух его NSов был недоступен.

1) А почему нельзя? REJECT это помогать себя DDoS'ить, просто делайте DROP. 2) вы уверены что проблема именно в REJECT, а не в LOG перед ним, которое каждый пакетик старательно пишет в логи? Убрать это и посмотреть стало ли лучше. 3) если всё же правда в REJECT, попробуйте вместо него перейти на -t raw -I PREROUTING -m set ! --match-set ... -j DROP

Если у кого-то есть сервер HP, куда такое вставляется (в обычном PCI-E не работает, пробовалось по-разному): то могу отправить за цену пересылки. В наличии 3 штуки. На моих ещё и оперативка в слоте стоит, но не помню на всех или нет.

У него же есть маршрут это должно быть более приоритетно, чем любые /16. Или таки metric смотрится первым? О.о

В каком смысле? То что и его тоже уберут? По-моему не должны.

Нет, по крайней мере в Debian, с трансляцией -- это iptables-nft. А если перенастроить чтобы использовался iptables-legacy, тогда всё останется полностью как раньше. Что я и сделал у себя везде. Новый вариант применял мой скрипт файрволла 12 секунд, тогда как старый справляется за 3 секунды. Производительность собственно самой фильтрации не сравнивал. Но все результаты которые смог найти, указывают, что nftables тормозное. Выигрывает только там, где для iptables подсовывают заведомо дурацкий вариант (например фильтр набора IP-адресов без использования ipset, отдельными правилами). https://developers.redhat.com/blog/2017/04/11/benchmarking-nftables/ http://www.diva-portal.org/smash/get/diva2:1212650/FULLTEXT01.pdf

Это на промежуточных роутерах отменили, а на конечных хостах (разбивка у отправителя, и сборка у получателя) возможность осталась.

Мне недавно заходелось сделать L2 туннель с 9000 MTU поверх интернета, емнип работало как с l2tp (ip l2tp add tunnel ...), так и ip6gretap (ip link add tunX type ip6gretap), но в итоге остановился на VXLAN поверх WireGuard, и фрагментация средствами последнего. Ну то есть это всё было внутри WireGuard, но опять же емнип первые два умеют фрагментировать и сами.

Вообще у них адрес internet@beeline.ru, насколько я понимаю это поддержка клиентов ШПД, но я туда жаловался когда после разблокировки моего сайта РКНом Билайн для своих клиентов блокировал его ещё 2 недели -- и в итоге помогло, разблочили.

А вы нормативку разве не читали? Ту самую из-за которой и ТГ блокируют. Там именно "отдайте нам все пароли ключи шифрования, и мы сами всё посмотрим".

Не нашел там m.2 слота M.2 SSD M.2 connector supports up to 2T M.2 NVME SSD он с обратной стороны платы, если что. но с таким подходом "разжуйте мне и в рот положите" SBC не ваше, лучше сразу забудьте.

https://shop.allnetchina.cn/collections/frontpage/products/rock-pi-4-model-a-board-only-no-wlan-bluetooth-poe

А между серверами что, Интернет через сторонних провайдеров, или ваша локалка и сервера рядом стоят? Если локалка, то VXLAN видится избыточным, можно просто сбриджевать это с одним из VLANов. Если Интернет, то можно думать и в сторону "кто-то что-то иногда начинает блокировать", я бы попробовал IPv6 в кач-ве транспорта для VXLAN и посмотрел, будет ли с ним та же проблема.

Ну да, оно пыталось перейти в /data/lib/

Proxmox ставится в Debian штатно: https://pve.proxmox.com/wiki/Install_Proxmox_VE_on_Debian_Stretch Если без KVM и без доступа, то опробуйте лучше его.