Le ecureuil

Сейчас есть достаточно средств, чтобы это сделать самим, включая SSTP-клиент/сервер, которые настраиваются вводом 3 параметров, из них только 2 нужно придумать.

Также поправлено отображение в вебе запрета доступа в Интернет в случае наличия опции conform.

Поправлено, выйдет в следующей версии 4.2.

В приложенных self-test все ок. dyndns для PPPoE0 обновляется - это видно по логу номер 2 в Apr 15 19:30:11. Wireguard не будет обновляться, потому что они никогда не становится WAN - у него ip global 16 тысяч, а у PPPoE - 32 тысячи. Когда в одном профиле стоят два интерфейса, то обновляться будет только тот, который стал активным WAN. Если нужно обновлять оба - то нужно создать еще один профиль с wireguard-only, или поменять приоритеты, чтобы WG становился WAN-ом.

Немного улучшил fallback на http/2, посмотрите на следующей 4.2.

I have made some logic for autodowngrade to HTTP/2, please try the next 4.2.

To be honest, I don't see any bootstrap issues. The bootstrap takes time, and implemented as asynchronous background process. So the bootstrap repeats attempts for several times, and it can take up to 1-2 minutes. But after that in all your self-tests the bootstraps are completed successfully. The real issue is the unavailability of QUIC, but I will fix the fallback to HTTP/2.

Сделать две разные политики, в одной только проводной интернет для всех, а в системной - критически важные хосты, в ней же и USB-модем.

Думаю просто сделаю, что ошибка HTTP/3 не является фатальной и скрою их.

Включить system debug. Там будут подробности в логе.

Понятно. Обсудили этот случай, решили что conform будет ставится либо явной командой юзера, либо при авторегистрации. В противном случае (в том числе при чтении из конфига) conform возникать не будет.

Да, не будет иметь доступа. Да, нужно каждое индивидуально проставить в "разрешить".

Можете показать свои настройки, чтобы понять что там не так?

Ничего не понял. deny и политика - это ортогональные понятия. На хосте может быть 1 - политика и deny (правда смысл, все равно доступа нет) 2 - политика и permit (доступ есть, по политике самого хоста) 3 - conform и deny (тоже смысла мало, доступа нет) 4 - conform и permit (доступ по политике с интерфейса). Какие из вариантов работают неверно?

Включите plz interface PPPoE0 debug interface Wireguard0 debug system configuration save и ребутните когда dyndns не обновится, то пришлите plz лог.

Все, понял. Работа с портом поправлена, будет в следующем 4.2.

Можно пример конфига?

Does it fail unrecoverable, or just makes noisy logs and reloads, but continues to work? For bootstrap we obviously need some additional information and configuration (or at least your self-test in hidden post).

А кроме спама в логах все продолжает работать?

Без расширенного лога с interface WireguardX debug помочь нечем.

Порт можно отдельно задать (в cli через пробел), а неудачная верификация сертификата все равно не является фатальной - ровно как и в SSTP.

Немного подправил условие, попробуйте на следующей 4.2 или 4.1.

Ошибка выглядит так: I] Apr 15 10:47:06 ndm: Network::Interface::Ip: "OpenConnect0": IP address cleared. [I] Apr 15 10:47:09 openconnect: POST https://*.biz/ [I] Apr 15 10:47:09 openconnect: Attempting to connect to server *:443 [I] Apr 15 10:47:09 openconnect: Connected to *:443 [I] Apr 15 10:47:09 openconnect: SSL negotiation with *.biz [I] Apr 15 10:47:09 openconnect: Certificate from VPN server "*.biz" failed verification. Reason: signer not found [I] Apr 15 10:47:09 openconnect: Connected to HTTPS on *.biz with ciphersuite (TLS1.3)-(ECDHE-X25519)-(ECDSA-SECP256R1-SHA256)-(AES-128-GCM) [I] Apr 15 10:47:09 openconnect: Got HTTP response: HTTP/1.1 405 Not Allowed [I] Apr 15 10:47:09 openconnect: Server: nginx/1.18.0 (Ubuntu) Failed to complete authentication [I] Apr 15 10:47:09 openconnect: Date: Mon, 15 Apr 2024 08:47:09 GMT [I] Apr 15 10:47:09 openconnect: Content-Type: text/html [I] Apr 15 10:47:09 openconnect: Content-Length: 166 [I] Apr 15 10:47:09 openconnect: Connection: keep-alive [I] Apr 15 10:47:09 openconnect: HTTP body length: (166) [I] Apr 15 10:47:09 openconnect: Unexpected 405 result from server [E] Apr 15 10:47:09 ndm: Service: "OpenConnect0": unexpectedly stopped. Вам нужно разобраться с сервером, думаю вы даже через curl сможете сами увидеть проблему.

И правда не работал нормально syslog, поправил вывод.

Оно работает автоматически, вводить нужно все как раньше. Сперва будет попробован http/3, потом будет fallback на http/2 и даже 1.1.