Le ecureuil

В новой версии веба эти выключатели скоро вернутся.

Читаете неправильно. DoH как раз работает через TCP, и потому отлично пролезает в Socks.

iptables nat prerouting, до правил DNS_REDIR

Это был баг.

Все так, перехват тоже надо отключать.

Какой именно VPN? Где self-test с включенным interface debug на "залипающем" интерфейсе?

Чисто теоретически, то что вы настроили, хоть и не дает никакой изоляции между сетями, но работать должно. Вопрос насчет роутинга между этими подсетями: попробуйте сегмент CCTV сделать не protected, а private. Также вам нужно убрать isolate-private в cli, потому что у вас и так физический сегмент единый, и смысла в подобной изоляции у вас нет. После этого должно все (в теории) заработать.

Если кратко: opkg сейчас так устроен, что при изменении настроек (реальном изменении, если 2 раза команду ввести, то изменения нет) opkg он: - убивает все процессы внутри opkg - заново выполняет init-скрипт opkg В итоге вот и выходит так, что изменение настройки тут же все прибивает. В принципе, реально важных изменений, требующих полного реинита в этой команде нет, потому вероятно все же сделаем ее без полного прибития и перезагрузки, но только чуть позже.

И не создаст - дефолтный маршрут в KeeneticOS никто по приказу свыше создать не может, кроме настройки политик доступа.

Покажите self-test с buddy и с ultra в этот момент.

Покажите self-test с buddy и с ultra в этот момент.

То есть работает, если он основной в системной политике, и не работает, если основной в дополнительной политике?

Покажите-ка, что это такое. Сейчас OpenConnect-клиент работает через policy routing, потому маршрутов до сервера создавать не должен.

Да, спасибо за репорт, постараемся поправить.

Это норма. Для политик всегда работает перехват DNS-трафика. Добавляйте ваши правила перехвата раньше в nat PREROUTING.

Добавьте DoH через мобильный интернет, через Proxy не нужно (это для экстренных случаев).

Нужно не -A, а -I

Попробуйте все же задать параметры с client-id внутри, может и заработает )

Покажите self-test в момент, когда доступ не туда, будем смотреть.

Так уже можно использовать asc совместно с client-id, единственное ограничение - что h1/h2/h3/h4 должны быть меньше чем 255 (0xFF). В остальном никаких вопросов.

Проверю, возможно есть такое.

Утечка памяти уже устранена в версии 4.2.b3 и выше.

Можно использовать DoH, DoT или вообще только DNS из самого VPN.

Нужно видимо changelog подправить.

Пока выглядит правильно. Поскольку ip route 142.250.0.0/15 идет через Wireguard0, и он (Wireguard0) в этой политике разрешен, то он будет скопирован. Если бы он разрешен не был, то и не был бы скопирован. Основное назначение команды не запретить копировать статические маршруты, а запретить копировать все недефолтные маршруты с интерфейсов, которые в политике запрещены. Поведение по умолчанию - копировать все недефолты, даже если интерфейс запрещен.