Deadlock

Почему Peak и Giant сняты с производства? Кто знает причины?

В последней версии openconnect-gui-1.6.2 работает с камуфляжем.

Приветствую, коллеги! Решил задачку по установке split-туннелирования через Openconnect-gui под виндой. Задача состояла в том, чтобы маршрутизировать трафик исключительно в определённую подсеть Кинетика, а клиент Openconnect-gui по умолчанию переопределяет маршрут по умолчанию. Покурив интернеты, нашёл кусок кода и вставил в конфигурационный скрипт клиента "vpnc-script.js" между разделами "Initial setup" и "Utilities". Логика там простая: при объявлении переменной "CISCO_SPLIT_INC", маршрут строится в определённые тобой подсети, иначе маршрут по умолчанию переопределяется. // -------------------------------------------------------------- // Split Tunnel Configuration // -------------------------------------------------------------- // Number of split-include rules to add to the routing table (these will be routed via VPN) env("CISCO_SPLIT_INC") = 1; // Rule 1: Admin-Net_Keenetic_Giga env("CISCO_SPLIT_INC_0_ADDR") = '192.168.xxx.x'; env("CISCO_SPLIT_INC_0_MASK") = '255.255.255.248'; env("CISCO_SPLIT_INC_0_MASKLEN") = 29; // Number of split-exclude rules to add to the routing table (these will be routed via default outbound internet connection). // Setting this to 0 ignores any routes pushed by the VPN. env("CISCO_SPLIT_EXC") = 0; env("CISCO_SPLIT_INC") = 1 - количество правил для добавления в таблицу маршрутизации, env("CISCO_SPLIT_EXC") = 0 - игнорирование прилетеdших маршрутов с сервера. В строчках ниже нолики меняете на единички, если будет второе правило, и так далее: env("CISCO_SPLIT_INC_0_ADDR") env("CISCO_SPLIT_INC_0_MASK") env("CISCO_SPLIT_INC_0_MASKLEN")

SFP + Keenetic + Ростелеком - не без трудностей, но я сделал это https://tt.derfenix.pro/FktTuwrg6h0 ------ XPON ONU STICK и Keenetic GIGA на Ростелекоме. Настройка. https://dzen.ru/a/Zhp9iBkTEnkHW05y?ysclid=mfqcenq2z2242320356

KeeneticOS 4.3.6.1 18/09/2025 Исправления Устранена проблема, из-за которой сервис DNS proxy мог входить в бесконечный цикл при обработке некорректных DNS-ответов, что повысило стабильность и производительность. [NDM-4034]

Расширил список доменов в своём посте.

Потому что иной вариант не имеет смысла в текущих реалиях.

Не нужно так громко кричать о подобных желаниях на этом форуме. Вот тебе полная инструкция, не благодари: 1. Создай новую группу объектов: > object-group fqdn Tytrooba 2. Заполни группу адресами: > object-group fqdn Tytrooba include {address}, где {address} есть: googlevideo.com wide-youtube.l.google.com youtube-nocookie.com youtube.com youtube.googleapis.com youtube.l.google.com youtubei.googleapis.com ytimg.com ytimg.l.google.com youtu.be ggpht.com googleusercontent.com nhacmp3youtube.com gstatic.com wide-youtube.l.google.com play.google.com 1e100.net you.tube yt.be youtube-ui.l.google.com googleapis.com gvt1.com gvt2.com gvt3.com 3. Подруби группу к своему варегуарду: > dns-proxy route object-group Tytrooba Wireguard0 auto reject

А вот что пишут Strongswan'овцы, почему не работает чистый Андрюша ) Согласно проекту EAP-MSCHAPv2 , ключи выводятся согласно RFC 3079 (MPPE). В результате получается два 128-битных ключа: MasterSendKey и MasterReceiveKey (т.е. всего 32 октета). Однако согласно RFC 5247 MSK для методов EAP ДОЛЖЕН быть не менее 64 октетов , поэтому эти ключи необходимо каким-то образом дополнить. Первые бета-версии Windows 7 еще в 2009 году (именно это мы и тестировали, когда реализовывали EAP-MSCHAPv2) делали это следующим образом: MasterReceiveKey|16 zero bytes|MasterReceiveKey|16 zero bytes. Но в версии-кандидате Windows 7 это было изменено на: MasterReceiveKey|MasterReceiveKey|32 zero bytes, которое с тех пор используем мы и другие реализации. Поэтому, пока Google не исправит свой клиент соответствующим образом, вы не сможете подключиться.

Мне интересно!

Винда обновляется? А то был случай с SSTP, не мог до дому подключится. Тут же накатил последний кумулятив и сразу взлетело

Уточняющие нюансы. Если кинетик включить на ожидание удаленного пира, то Керио ругается на отсутствие необходимых пакетов шифрования. Хотя все естесственно согласовано мной в настройках. Согласование SA и хождение трафика по первым сетям происходило, если Кинетик инициатор, а Керио на приеме.

Возможно. Но если добавить вторую подсеть в локальные, то индексов в phase2_sa_list станет в два раза больше)

Мне удалось решить

Заходи, я порешал))