Le ecureuil

Немного подправил условие, попробуйте на следующей 4.2 или 4.1.

Ошибка выглядит так: I] Apr 15 10:47:06 ndm: Network::Interface::Ip: "OpenConnect0": IP address cleared. [I] Apr 15 10:47:09 openconnect: POST https://*.biz/ [I] Apr 15 10:47:09 openconnect: Attempting to connect to server *:443 [I] Apr 15 10:47:09 openconnect: Connected to *:443 [I] Apr 15 10:47:09 openconnect: SSL negotiation with *.biz [I] Apr 15 10:47:09 openconnect: Certificate from VPN server "*.biz" failed verification. Reason: signer not found [I] Apr 15 10:47:09 openconnect: Connected to HTTPS on *.biz with ciphersuite (TLS1.3)-(ECDHE-X25519)-(ECDSA-SECP256R1-SHA256)-(AES-128-GCM) [I] Apr 15 10:47:09 openconnect: Got HTTP response: HTTP/1.1 405 Not Allowed [I] Apr 15 10:47:09 openconnect: Server: nginx/1.18.0 (Ubuntu) Failed to complete authentication [I] Apr 15 10:47:09 openconnect: Date: Mon, 15 Apr 2024 08:47:09 GMT [I] Apr 15 10:47:09 openconnect: Content-Type: text/html [I] Apr 15 10:47:09 openconnect: Content-Length: 166 [I] Apr 15 10:47:09 openconnect: Connection: keep-alive [I] Apr 15 10:47:09 openconnect: HTTP body length: (166) [I] Apr 15 10:47:09 openconnect: Unexpected 405 result from server [E] Apr 15 10:47:09 ndm: Service: "OpenConnect0": unexpectedly stopped. Вам нужно разобраться с сервером, думаю вы даже через curl сможете сами увидеть проблему.

И правда не работал нормально syslog, поправил вывод.

Оно работает автоматически, вводить нужно все как раньше. Сперва будет попробован http/3, потом будет fallback на http/2 и даже 1.1.

Нет, слишком много возни и усилий ради очень узкой прослойки. Работает он нормально, но поскольку dns-https находится в базовой версии, то он появится у всех, и вызовет проблемы при автообновлении из-за возросшего размера. Отдельные же компоненты придется поддерживать, и обьяснять владельцам других моделей, почему у них один, а не два. Рост бестолковой нагрузки на поддержку нам не нужен.

@snark в self-test не включен debug на OpenConnect0.

Пока еще нет.

Вам все то же самое - включить debug и снимать логи.

Попробуйте с interface OpenConnect0 debug снять self-test.

Спасибо за репорт! Пока можете попробовать "почнить" через установку DNS руками: скажем 8.8.8.8 или 1.1.1.1 именно на 6to4 подключении, скорее всего поможет. Туда же и IPv6 можно добавить: 2001:4860:4860::8888 2001:4860:4860::8844

В итоге в выходящем 4.2 будет включено на всех устройствах с более чем 32 МБ flash - то есть на всех, кроме моделей на MT7628 и KN-3010.

conform всегда ставится автоматически, если нет другой политики. Это нормально и правильно. А вот то, что не работает запрет доступа - это другое, conform по идее этому ортогонален. Это будем чинить.

В случае с conform хост следует за политиками сегмента, если же не conform, а есть выделенная политика для этого хоста, то применяется только она. Все, больше без хитростей.

Viva тоже будет добавлена, но попозже - у нас очень много моделей, нужно по всем пробежаться, чтобы выяснить что там с размером flash.

Нет там никакого quiche, openssl + nghttp3 + curl. Однако места все это добро занимает на flash, и на SPI-устройства я это включать не буду (потому что DoH всходит в рекомендованный набор, и он перестанет влезать у многих), только на те, где flash 128 и выше.

Поддержка DoH HTTP/3 появится на устройствах с >= 256 Мбайт ОЗУ в следующей версии 4.02.

DoH support for HTTP/3 will appear for models with >= 256 MB RAM in the next 4.2 release.

Открыл, в следующей 4.2 будет.

Готово, в следующей 4.2 будет.

У нас connect via толком не умеет в IPv6, потому дырку откроем, но bind() на ipv6-адреса все равно не будет работать.

Если не хочется от а до я, то чуть обождите - он скоро появится в веб в таком же простом виде, как и SSTP.

Была обнаружена проблема с truncated-битом при рекурсивном резолвинге, в следующих версиях 4.1 и 4.2 будет поправлено.

Ok, теперь стало понятнее. Попробуем это решить.

K PPTP подключается клиент из локалки, или тот же самый кинетик?

Пока никак, будет чуть позже реализовано.