[Собственный аналог zerotier для роутеров Keenetic]

Сейчас есть достаточно средств, чтобы это сделать самим, включая SSTP-клиент/сервер, которые настраиваются вводом 3 параметров, из них только 2 нужно придумать.

[4.2 Alpha 1. нет интернета]

Также поправлено отображение в вебе запрета доступа в Интернет в случае наличия опции conform.

[Не добавляются статические ipv6 маршруты после перезагрузки роутера]

Поправлено, выйдет в следующей версии 4.2.

[Доменное имя - DDNS]

В приложенных self-test все ок.

dyndns для PPPoE0 обновляется - это видно по логу номер 2 в Apr 15 19:30:11. Wireguard не будет обновляться, потому что они никогда не становится WAN - у него ip global 16 тысяч, а у PPPoE - 32 тысячи.

Когда в одном профиле стоят два интерфейса, то обновляться будет только тот, который стал активным WAN.

Если нужно обновлять оба - то нужно создать еще один профиль с wireguard-only, или поменять приоритеты, чтобы WG становился WAN-ом.

[4.2 Alpha 4 Проблема с QUIC и DNS]

Немного улучшил fallback на http/2, посмотрите на следующей 4.2.

[DoQ & DoH/3 Support.]

I have made some logic for autodowngrade to HTTP/2, please try the next 4.2.

[DoQ & DoH/3 Support.]

To be honest, I don't see any bootstrap issues.
The bootstrap takes time, and implemented as asynchronous background process. So the bootstrap repeats attempts for several times, and it can take up to 1-2 minutes. But after that in all your self-tests the bootstraps are completed successfully.

The real issue is the unavailability of QUIC, but I will fix the fallback to HTTP/2.

[Другие правила firewall для резервного WAN USB-модема 4G.]

Сделать две разные политики, в одной только проводной интернет для всех, а в системной - критически важные хосты, в ней же и USB-модем.

[4.2 Alpha 4 Проблема с QUIC и DNS]

Думаю просто сделаю, что ошибка HTTP/3 не является фатальной и скрою их.

[4.2 Alpha 4 Проблема с QUIC и DNS]

16 часов назад, keenet07 сказал:

Оставил только DOH. Ошибки в лог сыпятся как в сообщении выше. Но ответы от DNS приходят. Не известно только через QUIС или HTTP/2. Как определить. 

Прироста скорости ответов вроде тоже не заметно.

Сайты открываются.

Включить system debug. Там будут подробности в логе.

 

[4.2 Alpha 1. нет интернета]

Понятно. Обсудили этот случай, решили что conform будет ставится либо явной командой юзера, либо при авторегистрации. В противном случае (в том числе при чтении из конфига) conform возникать не будет.

[4.2 Alpha 1. нет интернета]

В 08.04.2024 в 15:52, dimon27254 сказал:

@Le ecureuil можете, пожалуйста, разъяснить, как работает ip hotspot host conform?

В docs.keenetic.com приведено описание:

Правильно ли я понимаю, что в случае, если для сегмента настроена политика "без доступа в интернет", а зарегистрированное устройство, подключенное к этому сегменту и использующее "политику по умолчанию", не будет иметь доступа в интернет? Если нужно, чтобы только новые (незарегистрированные) не имели выхода в интернет, потребуется вручную каждое зарегистрированное устройство "отвязывать" от политики сегмента?

Да, не будет иметь доступа.

Да, нужно каждое индивидуально проставить в "разрешить".

[4.2 Alpha 1. нет интернета]

В 08.04.2024 в 16:09, keenet07 сказал:

Вот и у меня сегмент Домашняя сеть находился в политике Без доступа в интернет (Незарегистрированные клиенты в сегментах). С введением этой новой функции все зарегистрированные устройства в Домашней сети так же потеряли доступ в интернет. Понятно, что не хватает дополнительной проверки на наличие уже зарегистрированных хостов, чтобы исключить их из этого правила для всего сегмента. Ну не в ручную же это делать каждый раз.

 

Убираем Домашнюю сеть из политики Без доступа в интернет и он появляется на устройствах. Переносим обратно и снова пропадает доступ на всех зарегистрированных устройствах сегмента, а не только на тех которые не зарегистрированы.

 

Если это фича, то какое у неё назначение? И как сделать Без доступа в интернет для незарегистрированных для сегмента (Домашняя сеть), чтоб при этом  зарегистрированные имели доступ в интернет.

Можете показать свои настройки, чтобы понять что там не так?

[4.2 Alpha 1. нет интернета]

В 13.04.2024 в 23:48, r13 сказал:

Тут проблема в том, что политику default-policy нельзя выбрать явно для клиента, только policyX, а дефаулт - это автоматом conform - что в случае deny политики на сегменте ведет к отсутсвию интернета.

Перещелкивание политики для клиента помогает, но только до перезагрузки. После нее conform возвращается.

Надо это как то разрулить.

Ничего не понял.
deny и политика - это ортогональные понятия.
На хосте может быть

1 - политика и deny (правда смысл, все равно доступа нет)

2 - политика и permit (доступ есть, по политике самого хоста)

3 - conform и deny (тоже смысла мало, доступа нет)

4 - conform и permit (доступ по политике с интерфейса).

Какие из вариантов работают неверно?

[Доменное имя - DDNS]

В 13.04.2024 в 06:50, AndreBA сказал:

Версия ОС 4.2 Alpha 4 без изменений 

Включите plz
interface PPPoE0 debug
interface Wireguard0 debug

system configuration save
и ребутните
когда dyndns не обновится, то пришлите plz лог.

[openconnect]

17 минут назад, snark сказал:

Когда я говорил что у меня сервер на другом порту, а не 443, я имел ввиду вот это. У вас проверка по 443

Все, понял. Работа с портом поправлена, будет в следующем 4.2.

[Не добавляются статические ipv6 маршруты после перезагрузки роутера]

В 13.04.2024 в 09:21, mrGhotius сказал:

Добрый день! На KN-1011(4.1.4) настроен OpenVPN с поддержкой ipv6, также добавлены статические ipv6 маршруты. После перезагрузки роутера и подключения VPN статические маршруты не добавляются. Приходится вручную переподключать OpenVPN соединение для добавления этих маршрутов. Спасибо.

Можно пример конфига?

[DoQ & DoH/3 Support.]

В 14.04.2024 в 00:08, Namenloss сказал:

4.2 a4, hopper (KN-3810):

Apr 13 23:56:17 https-dns-proxy
5028: "https://dns.google/dns-query": curl error message: QUIC connection has been shut down
Apr 13 23:56:17 https-dns-proxy
12C4: "https://dns.google/dns-query": curl error message: QUIC connection has been shut down
Apr 13 23:56:17 https-dns-proxy
5199: "https://dns.google/dns-query": curl error message: QUIC connection has been shut down
Apr 13 23:56:17 https-dns-proxy
F834: "https://dns.google/dns-query": curl error message: QUIC connection has been shut down
Apr 13 23:56:17 https-dns-proxy
F565: "https://dns.google/dns-query": curl error message: QUIC connection has been shut down
Apr 13 23:56:17 https-dns-proxy
D596: "https://dns.google/dns-query": curl error message: QUIC connection has been shut down
Apr 13 23:56:28 https-dns-proxy
E61E: "https://dns.google/dns-query": curl error message: QUIC connection has been shut down
Apr 13 23:56:28 https-dns-proxy
"https://dns.google/dns-query": too many failed requests, try to reload process
Apr 13 23:56:28 ndm
Service: "DoH "System" proxy #0": unexpectedly stopped.

Region: EU. Works for some time, after fails. AdGuard Home on a separate server works without issues with DoH and same Google DNS. 

Also still issue with bootstrap is not fixed, provider DNS is not enough, you need to add something like 1.1.1.1/8.8.8.8 . 

Does it fail unrecoverable, or just makes noisy logs and reloads, but continues to work?
For bootstrap we obviously need some additional information and configuration (or at least your self-test in hidden post).

[4.2 Alpha 4 Проблема с QUIC и DNS]

А кроме спама в логах все продолжает работать?

[4.2 Alpha 4 Wireguard Invalid handshake после перезагрузки]

Без расширенного лога с interface WireguardX debug помочь нечем.

[openconnect]

46 минут назад, snark сказал:

 

Можно ли в текущей реализации на кинетике приспособить "--servercert pin"?

И на всякий случай уточню, у меня сервер не на 443 порту. Если нужно, могу дать креды для тестов

Клиент cisco и Clavister OneConnect (https://apps.apple.com/us/app/clavister-oneconnect/id1565970099), к нему вполне бодро подключаются. Консольный openconnect на маке тоже

 

Порт можно отдельно задать (в cli через пробел), а неудачная верификация сертификата все равно не является фатальной - ровно как и в SSTP.

[4.2: циклический перезапуск NTCE под нагрузкой]

Немного подправил условие, попробуйте на следующей 4.2 или 4.1.

[openconnect]

14 часа назад, snark сказал:

Ещё раз выгрузил

Ошибка выглядит так:

I] Apr 15 10:47:06 ndm: Network::Interface::Ip: "OpenConnect0": IP address cleared. 
[I] Apr 15 10:47:09 openconnect: POST https://*.biz/ 
[I] Apr 15 10:47:09 openconnect: Attempting to connect to server *:443 
[I] Apr 15 10:47:09 openconnect: Connected to *:443 
[I] Apr 15 10:47:09 openconnect: SSL negotiation with *.biz 
[I] Apr 15 10:47:09 openconnect:  Certificate from VPN server "*.biz" failed verification. Reason: signer not found 
[I] Apr 15 10:47:09 openconnect: Connected to HTTPS on *.biz with ciphersuite (TLS1.3)-(ECDHE-X25519)-(ECDSA-SECP256R1-SHA256)-(AES-128-GCM) 
[I] Apr 15 10:47:09 openconnect: Got HTTP response: HTTP/1.1 405 Not Allowed 
[I] Apr 15 10:47:09 openconnect: Server: nginx/1.18.0 (Ubuntu) 
Failed to complete authentication
[I] Apr 15 10:47:09 openconnect: Date: Mon, 15 Apr 2024 08:47:09 GMT 
[I] Apr 15 10:47:09 openconnect: Content-Type: text/html 
[I] Apr 15 10:47:09 openconnect: Content-Length: 166 
[I] Apr 15 10:47:09 openconnect: Connection: keep-alive 
[I] Apr 15 10:47:09 openconnect: HTTP body length:  (166) 
[I] Apr 15 10:47:09 openconnect: Unexpected 405 result from server 
[E] Apr 15 10:47:09 ndm: Service: "OpenConnect0": unexpectedly stopped. 

Вам нужно разобраться с сервером, думаю вы даже через curl сможете сами увидеть проблему.

[openconnect]

И правда не работал нормально syslog, поправил вывод.

[QUIC DNS]

В 13.04.2024 в 19:43, keenet07 сказал:

Спасибо за сервера.

Релиз это конечно хорошо.

Но уже и в Альфа 4 вышла поддержка. Но видимо пока только в CLI. Или вместо DOH попробовать в h3 формате адрес ввести.

 

Оно работает автоматически, вводить нужно все как раньше. Сперва будет попробован http/3, потом будет fallback на http/2 и даже 1.1.