Le ecureuil

Спасибо за репорт, да, понятно откуда это берется. Поправлю.

Именно, почитайте про cryptorouting.

Это NTLM-hash.

Точно неправда, все работает. Только там не hash, а H(A1) из digest auth: https://datatracker.ietf.org/doc/html/rfc7616#section-3.4.2 Все остальное касается переходного процесса, во время которого мы и правда оставляем старые конфигурации полностью работоспособными даже со слабыми паролями. Наша задача сделать так, чтобы на всех новых конфигурациях задавались только более сложные пароли. Насчет создания пользователей в разном регистре - это вопрос к Web, система позволяет создать одного и того же пользователя несколько раз в разных регистрах без проблем.

Аргумент у команды разбился на два и произошло что-то не то.

А OpenVPN в Linux ее нормально умеет?

Разумеется, внутри WG работает так называемый крипто-роутинг согласно allow-ips. Если вы ставите обоим пирам 0.0.0.0/0, то идти будет только в один и никогда в другой.

Долго раскручивается. Это ядро так пишет, ничего делать не будем.

Добавили keepalive = 15 по умолчанию.

Уже есть.

Сертификатов пока не ожидается.

Нужно бы interface OpenConnect debug в этот момент, и лог.

Все верно, с security-level protected доступа к роутеру нет.

Сейчас жалоб нет, а тогда все подправили.

1. На этом форуме не сидит поддержка. 2. Переходный период, когда поддержка меняла регион, закончился. Теперь все будут там где есть, без исключений.

>> dns-proxy intercept enable Вот это портит вам жизнь, хотя вы не признаетесь, зачем это включили. Отключите это на Hero, и все станет ок.

Вот так мы и выяснили, что вам нужно показать self-test от вышестоящего Keenetic 2311. Почему вот сразу не рассказывать такие существенные подробности?

Прям точно такие же сообщения? Или другие?

@slomblobov

Очень короткий кабель. По сути проблем нет, думаю что это false-positive.

Что за резервный роутер? Случаем вы не через другой Keenetic транзитом сидите, на котором включен фильтр DNS?

Весь лог забит сообщениями, что соединение с Dot/Doh серверами невозможно. На всякий случай можете поставить 4.3 и включить там dns-proxy debug, но думаю это не прояснит ситуацию. Еще можно собрать пакеты на интерфейсе этого провайдера, тогда точно можно будет увидеть что там не так.

А что у вас за такой резервный провайдер? Выглядит так, словно он блочит все DoT и DoH.

В Android нет встроенного клиента SSTP.

Идея хорошая, но пока немного не до нее.