Ну вот, смотрите, как у меня на Ростелекоме, на не самом высоком тарифе:

         day         rx      |     tx      |    total    |   avg. rate
     ------------------------+-------------+-------------+---------------
     06/02/2017   137.73 GiB |  865.22 GiB |    0.98 TiB |   99.71 Mbit/s
     06/03/2017   150.81 GiB |  984.01 GiB |    1.11 TiB |  112.82 Mbit/s
     06/04/2017   162.02 GiB |  895.13 GiB |    1.03 TiB |  105.10 Mbit/s
     06/05/2017   162.62 GiB |  825.14 GiB |  987.76 GiB |   98.20 Mbit/s
     06/06/2017   154.87 GiB |  854.38 GiB |    0.99 TiB |  100.34 Mbit/s
     06/07/2017   124.70 GiB |  898.08 GiB |    1.00 TiB |  101.69 Mbit/s
     06/08/2017   139.87 GiB |  988.74 GiB |    1.10 TiB |  112.21 Mbit/s
     06/09/2017   107.33 GiB |  804.43 GiB |  911.76 GiB |   90.65 Mbit/s
     06/10/2017   100.68 GiB |  738.97 GiB |  839.65 GiB |   83.48 Mbit/s
     06/11/2017   120.50 GiB |  896.88 GiB |    0.99 TiB |  101.15 Mbit/s
     06/12/2017   119.27 GiB |  769.46 GiB |  888.73 GiB |   88.36 Mbit/s
     06/13/2017   131.97 GiB |  778.76 GiB |  910.72 GiB |   90.54 Mbit/s
     06/14/2017   149.93 GiB |  873.00 GiB |    1.00 TiB |  101.70 Mbit/s
     06/15/2017   126.90 GiB |  824.17 GiB |  951.07 GiB |   94.56 Mbit/s
     06/16/2017   115.67 GiB |  739.28 GiB |  854.95 GiB |   85.00 Mbit/s
     06/17/2017   142.98 GiB |  781.85 GiB |  924.83 GiB |   91.95 Mbit/s
     06/18/2017   134.56 GiB |  858.32 GiB |  992.88 GiB |   98.71 Mbit/s
     06/19/2017   110.78 GiB |  843.21 GiB |  953.99 GiB |   94.85 Mbit/s
     06/20/2017   113.49 GiB |  825.90 GiB |  939.39 GiB |   93.39 Mbit/s
     06/21/2017   120.06 GiB |  780.23 GiB |  900.29 GiB |   89.51 Mbit/s
     06/22/2017   120.73 GiB |  748.30 GiB |  869.03 GiB |   86.40 Mbit/s
     06/23/2017   144.61 GiB |  776.56 GiB |  921.17 GiB |   91.58 Mbit/s
     06/24/2017   179.13 GiB |  878.90 GiB |    1.03 TiB |  105.19 Mbit/s
     06/25/2017   144.20 GiB |  894.98 GiB |    1.01 TiB |  103.32 Mbit/s
     06/26/2017   241.24 GiB |  847.80 GiB |    1.06 TiB |  108.27 Mbit/s
     06/27/2017   152.92 GiB |  819.55 GiB |  972.48 GiB |   96.68 Mbit/s
     06/28/2017   131.08 GiB |  756.59 GiB |  887.67 GiB |   88.25 Mbit/s
     06/29/2017   102.93 GiB |  753.60 GiB |  856.53 GiB |   85.16 Mbit/s
     06/30/2017   142.98 GiB |  813.53 GiB |  956.51 GiB |   95.10 Mbit/s

Такое, в принципе, можно и стандартными средствами разграничения прав сделать: групповой чат, где говорить могут только люди, имеющие voice, а voice обычным пользователям не выдавать.

Боты есть, они делаются так же, как обычные аккаунты, т.е. нет разделение на бот-человек, как в телеграме.
Каналы — групповые чаты? Я не знаю, что такое каналы. Если это как блог, без возможности комментирования, то в протоколе и в некоторых серверах уже есть PubSub, но пока в клиентах поддержки нет.
Синхронизация истории, пересылка медиафайлов есть. Для истории актуальный XEP-313, а файлы теперь заливаются на сервер по HTTP.

https://gist.github.com/ValdikSS/30f866602413c036e4e6924c1895b838

http://f0rum.tis-dialog.ru/viewtopic.php?t=548727#p9486453

Информация

Уважаемый абонент!

Компания ООО «ТИС-Диалог» информирует, что в связи с внесением изменений в ФЗ о новых нормах хранения трафика операторами связи, обязывающих операторов хранить метаданные пользовательского трафика до трех лет, а весь трафик – до шести месяцев и вводом в эксплуатацию системы «Ревизор», планирует ввести лимит ежемесячного объема интернет-трафика в размере 2 ТБ на всех тарифных планах с 1 июля 2017 г., а именно:

1) На всех тарифных планах для пользователей интернет — физических лиц устанавливается ежемесячный объем интернет-трафика в размере 2 ТБ.
2) При исчерпании Абонентом ежемесячного включенного объема интернет-трафика скорость доступа его оборудования к сети Интернет будет снижена до 1 Мб/с.
3) Восстановление скорости доступа его оборудования к сети Интернет согласно тарифного плана производится через дополнительную опцию «Интернет 100ГБ». Стоимость опции «Интернет 100ГБ» — 50 руб.

Пожалуйста, обратите внимание на используемый Вами объем интернет-трафика.

См. https://geektimes.ru/post/290457/#comment_10156443

Леонид Левин — депутат от Справедливой России — приглашал представителей VPN-сервисов и анонимайзеров в Думу. Сообщение об этом появилось в четверг, а приглашал он на понедельник. Подробностей никаких не было. Я решил, что надо идти. С террористами не общаются, но я решил, что все проблемы в думе из-за того, что депутаты не понимают техническую часть, не видят полной картины, проблем, которые принесет этот закон, не понимают, для чего люди используют VPN, что это вообще такое. Посчитал, что раз в моих силах донести до них эту информацию, стоит попытаться это сделать.

Так как никаких подробностей о встрече не было, было непонятно, нужно ли на нее предварительно регистрироваться, есть ли ограничения на вход, какие-то дополнительные условия. Звонил по всем телефонам половину четверга и всю пятницу. Меня не покидало ощущение, что встреча сделана для галочки, чтобы потом сказать что-то в духе: «Ну вот, мы звали представителей, а никто не пришел, значит их устраивает наш законопроект». К концу пятницы еле-еле дозвонился по левому телефону, там мне дали еще один телефон, там еще один, там еще один, там еще один, и, в конечном итоге, я попал в приемную Левина. Вписал 4 человек от имени анонимайзера, и darkk, от имени Tor Project. Оказалось, что от имени одной огранизации (анонимайзера) мог идти только один человек, и никто из 4 не смог пойти, зато пошел darkk.

У меня было пять основных пунктов:

— нет никакого анализа рисков от принятия законопроекта, на мой взгляд есть риски для критической инфраструктуры, о которых никто не говорил до вчерашней встречи: переполнение таблицы маршрутов по модели https://habrahabr.ru/post/330934/ (подобные опасения также высказали представители от МТС и Ростелекома)

— пустить всё на DPI — это увеличить расходы на него в 100-200 раз, если верить цифрам МТС это потребует какие-то астрономические цифры (текущее внедрение DPI обошлось МТС в цифры порядка милиарда долларов — не уверен, что записал правильно)

— чем больше трафика льётся DPI на транзите, тем больше рисков развития Египетского кейса и массового заражения малварью

— в текущей формулировке даже «законопослушные» VPN-сервисы не могут его исполнять на 100%, т.к. определение «российскости» пользователя довольно сложное и если подключиться ко второму VPN через первый, то «российскость» адреса теряется, т.е. закон не достигает целей полностью, а ровно это и является причиной по которой вносится законопроект: «практика выявила недостаточную эффективность блокировок, полностью достичь целей не удаётся»

— Tor также не может реализовать технически принудительные фильтры, поэтому к нему скорее всего будут применены «меры административного принуждения» (читай, блокировка)
Добавление в блокировки сетей I2P, Tor и т.п. может дать возможность массово пополнять реестр и таблицы маршрутизации записями уже не только «граням.ру», а вполне таким интернет-анархистам, которые могут счесть блэкаут рунета достойным пранком, что мне без предварительной проработки и унификации правил блокировки представляется риском. Ту же проблему несёт в себе закон о блокировке «зеркал».

Когда меня с улыбкой спросили, почему не пришли коллеги, ответил, что Саркис поди занят делом Богатова, волонтёра-оператора узла Tor, который третий месяц в СИЗО, а остальные по спискам не влезли и Левин это прекрасно знает =)
‎
Толка может быть и мало, но время я провёл вполне интеренсо, поиграл в плюрализм :)

Ну и что? Думаете, кто-то из депутатов прислушался? Да нет, всем насрать, закон приняли единогласно в первом чтении.

Все верно. Здесь экспертиза используется в ее оригинальном смысле — процесс исследования, а не в смысле опыта.

На моем старом роутере на MIPS-процессоре с частотой 560 МГц, без шифрования где-то 24 мегабита в секунду, а с шифрованием — 19-21.

Если уменьшить переключения контекста, увеличив MTU до 18000, то без шифрования были стабильные 100 мегабит (ограничение порта), а с шифрованием — около 70.

keepalive является макросом над командами ping и ping-restart:

For example, --keepalive 10 60 expands as follows:

    if mode server:
        ping 10                    # Argument: interval
        ping-restart 120           # Argument: timeout*2
        push "ping 10"             # Argument: interval
        push "ping-restart 60"     # Argument: timeout
    else
        ping 10                    # Argument: interval
        ping-restart 60            # Argument: timeout

Он используется на zaborona.

OpenVPN 2.3 использовал системный резолвер, поэтому уважал TTL записи, которую он получил через DNS. Если происходит обрыв, используется опция persist-tun и время TTL уже вышло, домен будет пытаться резолвиться через DNS-сервер внутри VPN, хотя VPN-соединение не установлено.

OpenVPN 2.4 получает IP-адрес с домена только один раз, при первом подключении, и кеширует его, не уважая TTL записи. При переподключении он не обращается к DNS, а сразу переподключается по IP-адресу.

Раньше на zaborona не использовался параметр persist-tun, но, по какой-то причине, у людей на Windows, в случае разрыва соединения с сервером, переставал работать DNS вообще, до перезагрузки. Подозреваю, происходило следующее: сервис OpenVPN, по какой-то причине, не убирал блокировку сторонних DNS (опция block-outside-dns), туннельный интерфейс отключался, и все обращения на порт 53 оказывались заблокированными. У меня проблема не проявляется нигде, и люди, у которых она проявлялась, не написали мне на почту и не создали баги в багтрекере. Так что решено было эту опцию пушить с сервера.

https://geektimes.ru/post/286790/#comment_9939376 и объяснение https://geektimes.ru/post/286790/#comment_9941430

И в догонку: https://habrahabr.ru/post/225539/

Самую большую нагрузку на процессор создает не шифрование, а переключение контекста и чтение по одному пакету за раз. Шифрование на 3-4 месте по нагрузке на процессор в профилировщике.

Есть такие DPI, которые могут отслеживать запросы даже внутри HTTP- и Socks5-прокси, на любом порту. Я их называю Full DPI.

У вас в настройках keepalive 300 900 если оставить так же для UDP, будет с такой же переодичностью в пять минут слать keepalive, но вам виднее.

Слабые домашние роутеры могут забывать о UDP-соединении уже через 40 секунд. На какой-то из мобильных сетей РФ UDP-соединения забывались уже через 25 секунд.
Данные о TCP-соединениях хранятся минимум 5 минут, обычно около 15.

Что касается возможного MiTM — ну на сервере в консоли как правило не вводят конфиденциальные данные.

Если такое случится, злоумышленник не просто сможет смотреть, что вы вводите в сессию, но и выполнять произвольные команды самостоятельно, до первого rekeying (где-то час).

Может, кто-то мне подскажет утилиту-обертку над iproute2, которая бы сама создавала таблицы на каждый интерфейс, и настраивала rule'ы? Чтобы не писать отдельные правила для каждого интерфейса вручную, а они бы настраивались типовым образом, автоматически?

Из более-менее работающих знаю только:
https://github.com/kristrev/multi
https://github.com/kristrev/multihomed-routing
https://github.com/ncopa/pingu

Может, кто-то что-то еще подскажет?

У вас могут быть установлены расширения, несовместимые с многопроцессностью. Откройте about:support, в Multiprocess Windows должно быть 1.

умеют ли вообще у нас операторы блокировать IPV6?

Да. Провайдеры, предоставляющие IPv6, часто (но не всегда) осуществляют блокировки и по IPv6.
Некоторые провайдеры, не предоставляющие IPv6, блокируют серверы Teredo, 6to4 (192.88.99.1), т.к., по их словам, приходят проверяющие со своим ноутбуком с Windows, и у них открываются заблокированные сайты.

Таких подавляющее большинство.

Сейчас модемов с PPP-режимом меньшинство, в основном используются продвинутые протоколы: QMI, MBIM. Модемы нужно переключать через usb-modeswitch в нужный режим. Для некоторых модемов (huawei) не совсем корректные драйверы под Linux (винить в этом нужно Huawei, т.к. они сделали две разных железки, работающие в разных режимах, которые программно отличить друг от друга невозможно).