Le ecureuil
-
Постов
11 731 -
Зарегистрирован
-
Посещение
-
Победитель дней
692
Тип контента
Профили
Форумы
Галерея
Загрузки
Блоги
События
Весь контент Le ecureuil
-
То есть работает, если он основной в системной политике, и не работает, если основной в дополнительной политике? -
Покажите-ка, что это такое. Сейчас OpenConnect-клиент работает через policy routing, потому маршрутов до сервера создавать не должен.
-
Да, спасибо за репорт, постараемся поправить.
-
Это норма. Для политик всегда работает перехват DNS-трафика. Добавляйте ваши правила перехвата раньше в nat PREROUTING.
-
Добавьте DoH через мобильный интернет, через Proxy не нужно (это для экстренных случаев).
-
Нужно не -A, а -I
-
Попробуйте все же задать параметры с client-id внутри, может и заработает )
-
Покажите self-test в момент, когда доступ не туда, будем смотреть.
-
Так уже можно использовать asc совместно с client-id, единственное ограничение - что h1/h2/h3/h4 должны быть меньше чем 255 (0xFF). В остальном никаких вопросов.
-
Проверю, возможно есть такое.
-
Утечка памяти уже устранена в версии 4.2.b3 и выше.
-
Можно использовать DoH, DoT или вообще только DNS из самого VPN.
-
Нужно видимо changelog подправить.
-
Пока выглядит правильно. Поскольку ip route 142.250.0.0/15 идет через Wireguard0, и он (Wireguard0) в этой политике разрешен, то он будет скопирован. Если бы он разрешен не был, то и не был бы скопирован. Основное назначение команды не запретить копировать статические маршруты, а запретить копировать все недефолтные маршруты с интерфейсов, которые в политике запрещены. Поведение по умолчанию - копировать все недефолты, даже если интерфейс запрещен.
-
А снаружи в firewall что-то открыто?
-
Ну так это сторонная утилита из entware. Я все не могу понять, при чем тут компонент Wireguard в Keenetic, и где у него "деградация возможностей".
-
Можно, но тогда человек врядли бы спрашивал "что делать"
-
Есть вероятность, что вы туда что-то не то зашили, например от 2010. Тогда это конец, потому что процессор у них схожий, он запустит обновление загрузчика и вы получите кирпич для помойки.
-
Делать полный сброс зажимом кнопки reset.
-
И где здесь противоречие тому, что я сказал?
-
Безусловно, нужно только придумать что делать, если есть оба адреса в наличии: какой из них выбрать.
-
Он не мог так резолвить, вам показалось. Вы просто заменяли endpoint ip на другой, IPv6 через wg-утилиту. Так и сейчас работает, однако мы этой утилитой вообще не пользуемся - у нас код сразу через netlink с ядром общается, и там никогда не было поддержки IPv6.
-
Вы путаете модуль ядра и управляющий интерфейс в userspace. Модуль ядра родной от автора, он, конечно, умеет. Управляющий userspace никогда и не умел.
-
Умеет, но не делает, потому что Wireguard ходить по IPv6 у нас пока не обучен.
-
Проброс портов на неосновные соединения работает только в основной / системной политике.
