john ibsuser

При чем тут это? Это же тема по trusttunnel. fastd ненужен, по UDP прекрасно работает и openconnect уже имеющийся, да и wg в геолокациях без деградации интернета.

Спасибо, я видел что его можно запустить. Однако в текущей реализации это userspace и даже без opkgtun, который поддавался бы управлению через web UI.

+1, раньше работало, сейчас приходится вбивать номер модели, чтобы посмотреть changelog. Добавлю, что это не какая-то прихоть, а обычный флоу если основное устройство выходит в интернет всегде с "зарубежного" IP.

Как аналог OpenConnect с меньшим latency (в режиме TCP only) https://github.com/TrustTunnel/TrustTunnel/blob/master/README.md#client-setup

sad but true, видимо разумное количество деградирующих серверов имеется ввиду )

Это se (3812)

А там в новом дефолте +AES-128-GCM, а не минус ).

Да тут все палево и вопрос времени, зафингерпринтить этот GnuTLS при использовании только по TCP тоже не составит проблем

А в логе подключается по какому cipher? И у меня hopper SE, UDP включено, без него пинг неюзабельный

В общем не удержался, перенес настройки со старого роутера уже на этой неделе ). 100Мбит на OpenConnect выдает при загрузке проца около 60%.

На древней Omni (KN-1410) тоже 20мбит, но с такой настройкой сервера keenetic hopper se протестирую в ближайшие пару недель

В ocserv.conf: tls-priorities = "LEGACY:-AES-256-GCM:-AES-128-GCM:+CHACHA20-POLY1305:%SERVER_PRECEDENCE:%COMPAT:-VERS-SSL3.0:-VERS-TLS1.0:-VERS-TLS1.1"

Что написано в конфиге про accept routes / no accept routes?

@Le ecureuil спасибо за клиента, все работает! А как добавить корневой let's encrypt куда надо без opkg и настроить клиент так, чтобы не игнорировал signer not found. edit: похоже, все там есть в ca store. надо было только ocserv подсунуть fullchain.pem вместо cert.pem Поскольку у клиента настроек ciphersuites нет, пошаманил с сервером и в итоге работает в 3 раза быстрее, чем AES-GCM: connected with ciphersuite (TLS1.3)-(ECDHE-SECP256R1)-(RSA-PSS-RSAE-SHA256)-(CHACHA20-POLY1305)

update: по какой-то причине в момент включения vpn zerotier теряет пиров / mac-адреса. На кинетике: wps - display WPS interface info zerotier - display ZeroTier interface info (config)> show interface ZeroTier0 mac ================================================================================ Port MAC Aging VLAN ================================================================================ ZeroT [удОлил]:e0 0 0 (config)> show interface ZeroTier0 mac (config)> show interface ZeroTier0 mac (config)> show interface ZeroTier0 mac (config)> show interface ZeroTier0 mac (config)> show interface ZeroTier0 mac (config)> show interface ZeroTier0 mac (config)> show interface ZeroTier0 mac (config)> show interface ZeroTier0 mac (config)> show interface ZeroTier0 mac (config)> show interface ZeroTier0 mac ================================================================================ Port MAC Aging VLAN ================================================================================ ZeroT [удОлил]:e0 0 0 (config)> show interface ZeroTier0 mac ================================================================================ Курил tcpdump, кто-нибудь может пояснить как трафик (часть трафика?) zerotier начинает течь через WireGuard. Зачем тогда для zerotier настройка Connect via... tcpdump на интерфейсе WireGuard: