Le ecureuil

Поправлено.

В SSTP-сервере и клиенте тоже реализовано

Реализован camouflage-режим. На клиенте достаточно в upstream просто указать URL. На сервере команда oc-server camouflage его включает, ключ генерируется псевдослучайно и его можно посмотреть в поле secret вывода команды show oc-server.

Сейчас есть достаточно средств, чтобы это сделать самим, включая SSTP-клиент/сервер, которые настраиваются вводом 3 параметров, из них только 2 нужно придумать.

Также поправлено отображение в вебе запрета доступа в Интернет в случае наличия опции conform.

Поправлено, выйдет в следующей версии 4.2.

В приложенных self-test все ок. dyndns для PPPoE0 обновляется - это видно по логу номер 2 в Apr 15 19:30:11. Wireguard не будет обновляться, потому что они никогда не становится WAN - у него ip global 16 тысяч, а у PPPoE - 32 тысячи. Когда в одном профиле стоят два интерфейса, то обновляться будет только тот, который стал активным WAN. Если нужно обновлять оба - то нужно создать еще один профиль с wireguard-only, или поменять приоритеты, чтобы WG становился WAN-ом.

Немного улучшил fallback на http/2, посмотрите на следующей 4.2.

Сделать две разные политики, в одной только проводной интернет для всех, а в системной - критически важные хосты, в ней же и USB-модем.

Думаю просто сделаю, что ошибка HTTP/3 не является фатальной и скрою их.

Включить system debug. Там будут подробности в логе.

Понятно. Обсудили этот случай, решили что conform будет ставится либо явной командой юзера, либо при авторегистрации. В противном случае (в том числе при чтении из конфига) conform возникать не будет.

Да, не будет иметь доступа. Да, нужно каждое индивидуально проставить в "разрешить".

Можете показать свои настройки, чтобы понять что там не так?

Ничего не понял. deny и политика - это ортогональные понятия. На хосте может быть 1 - политика и deny (правда смысл, все равно доступа нет) 2 - политика и permit (доступ есть, по политике самого хоста) 3 - conform и deny (тоже смысла мало, доступа нет) 4 - conform и permit (доступ по политике с интерфейса). Какие из вариантов работают неверно?

Включите plz interface PPPoE0 debug interface Wireguard0 debug system configuration save и ребутните когда dyndns не обновится, то пришлите plz лог.

Все, понял. Работа с портом поправлена, будет в следующем 4.2.

Можно пример конфига?

А кроме спама в логах все продолжает работать?

Без расширенного лога с interface WireguardX debug помочь нечем.

Порт можно отдельно задать (в cli через пробел), а неудачная верификация сертификата все равно не является фатальной - ровно как и в SSTP.

Немного подправил условие, попробуйте на следующей 4.2 или 4.1.

Ошибка выглядит так: I] Apr 15 10:47:06 ndm: Network::Interface::Ip: "OpenConnect0": IP address cleared. [I] Apr 15 10:47:09 openconnect: POST https://*.biz/ [I] Apr 15 10:47:09 openconnect: Attempting to connect to server *:443 [I] Apr 15 10:47:09 openconnect: Connected to *:443 [I] Apr 15 10:47:09 openconnect: SSL negotiation with *.biz [I] Apr 15 10:47:09 openconnect: Certificate from VPN server "*.biz" failed verification. Reason: signer not found [I] Apr 15 10:47:09 openconnect: Connected to HTTPS on *.biz with ciphersuite (TLS1.3)-(ECDHE-X25519)-(ECDSA-SECP256R1-SHA256)-(AES-128-GCM) [I] Apr 15 10:47:09 openconnect: Got HTTP response: HTTP/1.1 405 Not Allowed [I] Apr 15 10:47:09 openconnect: Server: nginx/1.18.0 (Ubuntu) Failed to complete authentication [I] Apr 15 10:47:09 openconnect: Date: Mon, 15 Apr 2024 08:47:09 GMT [I] Apr 15 10:47:09 openconnect: Content-Type: text/html [I] Apr 15 10:47:09 openconnect: Content-Length: 166 [I] Apr 15 10:47:09 openconnect: Connection: keep-alive [I] Apr 15 10:47:09 openconnect: HTTP body length: (166) [I] Apr 15 10:47:09 openconnect: Unexpected 405 result from server [E] Apr 15 10:47:09 ndm: Service: "OpenConnect0": unexpectedly stopped. Вам нужно разобраться с сервером, думаю вы даже через curl сможете сами увидеть проблему.

И правда не работал нормально syslog, поправил вывод.

@snark в self-test не включен debug на OpenConnect0.