[QUIC DNS]

В 14.04.2024 в 10:07, kda2495 сказал:

А на Speedster KN-3010 совсем-совсем никак не реализовать? Ждал столько времени эту функцию. Нестабильно себя ведёт на нём? Может всё-таки добавите этот роутер в список поддерживаемых, если это возможно, конечно. Или сделать этот компонент не включённым в рекомендованный список, чтобы хватало места для установки рекомендованных компонентов, а там пусть пользователь выбирает между DoH и DoH3, к примеру.

Нет, слишком много возни и усилий ради очень узкой прослойки. Работает он нормально, но поскольку dns-https находится в базовой версии, то он появится у всех, и вызовет проблемы при автообновлении из-за возросшего размера. Отдельные же компоненты придется поддерживать, и обьяснять владельцам других моделей, почему у них один, а не два. Рост бестолковой нагрузки на поддержку нам не нужен.

[openconnect]

@snark в self-test не включен debug на OpenConnect0.

[openconnect]

В 13.04.2024 в 19:40, keenet07 сказал:

4.2 Alpha 4 

В веб-интерфейсе ещё ничего не присутствует? Ни сервер, ни клиент?

Пока еще нет.

[openconnect]

В 13.04.2024 в 12:56, Dr.ZuLuS сказал:

А подскажите полный список команд для коннекта клиента openconnect к серверу.

Сделал openconnect upstream ip port

openconnect authenticate identy username

openconnect authenticate password password 

 

Интерфейс поднимается, но Коннект Стейт down.

interface Openconnect1 up делал

Пробовал прописать ip для интерфейса, это тоже не помогло.

Вам все то же самое - включить debug и снимать логи.

[openconnect]

1 час назад, snark сказал:

Кинетик OpenConnect клиент - работать не хочет,  сервер к которому подключаюсь рабочий, селф приложил,

Апр 13 11:11:33

 ndm

Network::Interface::Ip: "OpenConnect0": IP address cleared. 

Апр 13 11:11:36

 ndm

Service: "OpenConnect0": unexpectedly stopped. 

Апр 13 11:11:36

 

 

Попробуйте с 
interface OpenConnect0 debug
снять self-test.

[После обновления с 4.0.? на 4.1.3 отвалился DNS]

Спасибо за репорт!
Пока можете попробовать "почнить" через установку DNS руками: скажем 8.8.8.8 или 1.1.1.1 именно на 6to4 подключении, скорее всего поможет. Туда же и IPv6 можно добавить: 
2001:4860:4860::8888

2001:4860:4860::8844

[QUIC DNS]

В итоге в выходящем 4.2 будет включено на всех устройствах с более чем 32 МБ flash - то есть на всех, кроме моделей на MT7628 и KN-3010.

[4.2 Alpha 1. нет интернета]

10 часов назад, vasek00 сказал:

Это еще пол беды, при заливки конф файла обратно (рабочего после исправления всех настроек, клиенты работают) - все возвращается опять на свое место, т.е. при установленной для сегмента настроена политика "без доступа в интернет", а зарег. имеют.

ip hotspot
    policy Home deny *******************
    host хх:хх:хх:хх:хх:68 permit
    host хх:хх:хх:хх:хх:68 conform

снова и снова "confotm" прописывается для каждого зарег устройства.

conform всегда ставится автоматически, если нет другой политики. Это нормально и правильно.

А вот то, что не работает запрет доступа - это другое, conform по идее этому ортогонален. Это будем чинить.

[4.2 Alpha 1. нет интернета]

11 час назад, dimon27254 сказал:

@Le ecureuil и ещё один небольшой вопросик к вам.

Параметр conform предназначен только для раздельного управления политиками доступа к интернету зарегистрированным и незарегистрированным устройствам сегмента, или с его использованием возможны (или ожидаются) ещё какие-то фичи?

В случае с conform хост следует за политиками сегмента, если же не conform, а есть выделенная политика для этого хоста, то применяется только она. Все, больше без хитростей.

[QUIC DNS]

2 минуты назад, Ruslan Y сказал:

Прискорбно, пора обновлять виву на что-то новое. Вот прям сейчас протыкал (РБ)

dnslookup example.org h3://dns.google/dns-query - пока ещё работает
dnslookup example.org https://dns.google/dns-query - не работает
dnslookup example.org tls://dns.google - не работает
Подозреваю что DoT будет резаться вообще весь

А полез я в это всё тыкаться потому что после обновления до 4.1.3 на Viva 1910 спустя несколько часов после ребута все запросы к DNS начинают возвращать таймауты

Viva тоже будет добавлена, но попозже - у нас очень много моделей, нужно по всем пробежаться, чтобы выяснить что там с размером flash.

[QUIC DNS]

Нет там никакого quiche, openssl + nghttp3 + curl. Однако места все это добро занимает на flash, и на SPI-устройства я это включать не буду (потому что DoH всходит в рекомендованный набор, и он перестанет влезать у многих), только на те, где flash 128 и выше.

[QUIC DNS]

Поддержка DoH HTTP/3 появится на устройствах с >= 256 Мбайт ОЗУ в следующей версии 4.02.

[DoQ & DoH/3 Support.]

DoH support for HTTP/3 will appear for models with >= 256 MB RAM in the next 4.2 release.

[ZeroTier interface ignore]

19 часов назад, r13 сказал:

и на том спасибо!

Открыл, в следующей 4.2 будет.

[Неотключаемый перехват DNS-запросов в отдельном сегменте]

В 04.04.2024 в 12:29, ValdikSS сказал:

Если бы было именно так, то и проблемы бы не было.

А проблема в том, что запросы на любой_ip_адрес:53 перенаправляются на 192.168.1.1:53.

Готово, в следующей 4.2 будет.

[ZeroTier interface ignore]

19 часов назад, r13 сказал:

@Le ecureuil Опять дискриминация! Дырка открыта в ipv4, в ipv6 закрыто

У нас connect via толком не умеет в IPv6, потому дырку откроем, но bind() на ipv6-адреса все равно не будет работать.

[openconnect]

22 часа назад, Sergey_3861661 сказал:

Здравствуйте. А есть ли руководство как поднять OpenConnect на Keenetic "от "А" до "Я". Что бы не разбираться в глубинах технологий. 

Если не хочется от а до я, то чуть обождите - он скоро появится в веб в таком же простом виде, как и SSTP.

[Проблема с бутстрапом после обновления до KeeneticOS 4.1.2, 4.1.3]

Была обнаружена проблема с truncated-битом при рекурсивном резолвинге, в следующих версиях 4.1 и 4.2 будет поправлено.

[Неотключаемый перехват DNS-запросов в отдельном сегменте]

В 04.04.2024 в 12:29, ValdikSS сказал:

Если бы было именно так, то и проблемы бы не было.

А проблема в том, что запросы на любой_ip_адрес:53 перенаправляются на 192.168.1.1:53.

Ok, теперь стало понятнее. Попробуем это решить.

[PPPTP over Wireguard]

K PPTP подключается клиент из локалки, или тот же самый кинетик?

[openconnect]

Пока никак, будет чуть позже реализовано.

[4.2 Alpha 1. нет интернета]

Конечно все также и останется, пока self-test не пришлете.

[ZeroTier interface ignore]

В 06.04.2024 в 10:19, gaaronk сказал:

 

Добрый день!

 

По быстрому проверил. Да, работает bind на интерфейс. Порт открывается.

По сути слушается стандартный порт 41500. Так же ZT слушает дополнительный рандомный UDP порт, но это дело такое.

Например

# netstat -anp | i zero
tcp        0      0 10.184.101.197:63916    0.0.0.0:*               LISTEN      1116/zerotier-one
tcp        0      0 10.184.101.197:41500    0.0.0.0:*               LISTEN      1116/zerotier-one
tcp        0      0 127.0.0.1:41500         0.0.0.0:*               LISTEN      1116/zerotier-one
tcp        0      0 ::1:41500               :::*                    LISTEN      1116/zerotier-one
udp        0      0 10.184.101.197:63916    0.0.0.0:*                           1116/zerotier-one
udp        0      0 10.184.101.197:41500    0.0.0.0:*                           1116/zerotier-one

Если интерфейсу сделать down - из firewall порт не убирается. Но опять же это не no interface ....  а просто down.

Со сменой адреса на IP WAN интерфейсе отрабатывает корректно

 

Да, порт резервируется сразу при создании интерфейса и он его "держит" до удаления. Другое ничего там не появится, потому не страшно.

Насчет secondary port - пусть будет, жить не мешает.

[ZeroTier interface ignore]

6 часов назад, gaaronk сказал:

Что еще заметил

 

Команда ip arp на зеротире не работает правильно.

При включении/ребуте статическая запись появляется, но потом видимо интерфейс меняет свой статус и все... все пропадает.

То есть, если выполнить no zerotier network-id, то запись пропадет, а если опять вступить в сеть, то не появляется?

[NTP Keentic Server ( Кинетик в роли NTP/SNTP Сервера)]

Покажите дамп трафика к роутеру с запросами NTP, посмотрим что отвечает Keenetic. А пока дампа нет, то и "неработащего NTP" нет.