Le ecureuil

Поправлено.

В SSTP-сервере и клиенте тоже реализовано

Реализован camouflage-режим. На клиенте достаточно в upstream просто указать URL. На сервере команда oc-server camouflage его включает, ключ генерируется псевдослучайно и его можно посмотреть в поле secret вывода команды show oc-server.

Сейчас есть достаточно средств, чтобы это сделать самим, включая SSTP-клиент/сервер, которые настраиваются вводом 3 параметров, из них только 2 нужно придумать.

Также поправлено отображение в вебе запрета доступа в Интернет в случае наличия опции conform.

Поправлено, выйдет в следующей версии 4.2.

В приложенных self-test все ок. dyndns для PPPoE0 обновляется - это видно по логу номер 2 в Apr 15 19:30:11. Wireguard не будет обновляться, потому что они никогда не становится WAN - у него ip global 16 тысяч, а у PPPoE - 32 тысячи. Когда в одном профиле стоят два интерфейса, то обновляться будет только тот, который стал активным WAN. Если нужно обновлять оба - то нужно создать еще один профиль с wireguard-only, или поменять приоритеты, чтобы WG становился WAN-ом.

Немного улучшил fallback на http/2, посмотрите на следующей 4.2.

I have made some logic for autodowngrade to HTTP/2, please try the next 4.2.

To be honest, I don't see any bootstrap issues. The bootstrap takes time, and implemented as asynchronous background process. So the bootstrap repeats attempts for several times, and it can take up to 1-2 minutes. But after that in all your self-tests the bootstraps are completed successfully. The real issue is the unavailability of QUIC, but I will fix the fallback to HTTP/2.

Сделать две разные политики, в одной только проводной интернет для всех, а в системной - критически важные хосты, в ней же и USB-модем.

Думаю просто сделаю, что ошибка HTTP/3 не является фатальной и скрою их.

Включить system debug. Там будут подробности в логе.

Понятно. Обсудили этот случай, решили что conform будет ставится либо явной командой юзера, либо при авторегистрации. В противном случае (в том числе при чтении из конфига) conform возникать не будет.

Да, не будет иметь доступа. Да, нужно каждое индивидуально проставить в "разрешить".

Можете показать свои настройки, чтобы понять что там не так?

Ничего не понял. deny и политика - это ортогональные понятия. На хосте может быть 1 - политика и deny (правда смысл, все равно доступа нет) 2 - политика и permit (доступ есть, по политике самого хоста) 3 - conform и deny (тоже смысла мало, доступа нет) 4 - conform и permit (доступ по политике с интерфейса). Какие из вариантов работают неверно?

Включите plz interface PPPoE0 debug interface Wireguard0 debug system configuration save и ребутните когда dyndns не обновится, то пришлите plz лог.

Все, понял. Работа с портом поправлена, будет в следующем 4.2.

Можно пример конфига?

Does it fail unrecoverable, or just makes noisy logs and reloads, but continues to work? For bootstrap we obviously need some additional information and configuration (or at least your self-test in hidden post).

А кроме спама в логах все продолжает работать?

Без расширенного лога с interface WireguardX debug помочь нечем.

Порт можно отдельно задать (в cli через пробел), а неудачная верификация сертификата все равно не является фатальной - ровно как и в SSTP.

Немного подправил условие, попробуйте на следующей 4.2 или 4.1.