Добавь ручной и автоматический режимы VPN

README.md

@@ -12,7 +12,7 @@ CLI-установка корпоративного VPN `vpn.lemanapro.ru` дл
 - опциональный Touch ID helper для мастер-пароля Bitwarden;
 - Swift Menu Bar app `LemanaVPN.app`;
 - безопасный DNS cleanup через root-owned wrapper;
-- алиасы `vpn`, `vpn-debug`, `vpn-fix-dns`.
+- алиасы `vpn`, `vpn-auto`, `vpn-manual`, `vpn-debug`, `vpn-fix-dns`.
 
 ## Быстрая установка
 
@@ -89,7 +89,7 @@ curl -fsSL https://example.org/dokril/lemana-vpn/raw/branch/main/install.sh \
 | `/usr/local/sbin/lemana-vpn-dns-cleanup` | Root-owned wrapper для сброса только корпоративных DNS |
 | `/etc/sudoers.d/lemana-vpn-openconnect` | `NOPASSWD` только для `openconnect` |
 | `/etc/sudoers.d/lemana-vpn-dns` | `NOPASSWD` только для DNS cleanup wrapper |
-| `~/.zshrc` | Идемпотентный блок алиасов `vpn`, `vpn-debug`, `vpn-fix-dns` |
+| `~/.zshrc` | Идемпотентный блок алиасов `vpn`, `vpn-auto`, `vpn-manual`, `vpn-debug`, `vpn-fix-dns` |
 
 ## Статус модулей
 
@@ -304,14 +304,23 @@ open ~/Applications/LemanaVPN.app
 
 ```sh
 vpn                 # подключиться
+vpn-auto            # автоматический режим: скрытый браузер, auto-fill и submit
+vpn-manual          # ручной режим: видимый браузер, auto-fill без submit
+vpn --manual        # то же самое без alias
 vpn --status        # статус без нового подключения
 vpn --status --json # статус в JSON
 vpn-debug           # видимый браузер и debug-логи
-vpn --manual-sso --debug # видимый браузер без auto-fill/auto-submit Keycloak
+vpn --manual --debug # ручной режим с debug-логами
 vpn-fix-dns         # сбросить корпоративные DNS после аварийного завершения
 open ~/Applications/LemanaVPN.app  # открыть Swift-приложение в menu bar
 ```
 
+Режимы подключения:
+
+- `auto` — режим по умолчанию. Браузер скрытый, LDAP-пароль и TOTP берутся из Bitwarden/Keychain, Keycloak форма заполняется и отправляется автоматически.
+- `manual` — браузер видимый, LDAP-пароль и TOTP берутся из Bitwarden/Keychain и подставляются в поля, но кнопки входа не нажимаются. Нажимаешь сам после проверки формы.
+- `--manual-sso` оставлен как совместимый alias для `--manual`.
+
 Первый запуск с Bitwarden:
 
 1. CLI проверит `bw`.
@@ -372,7 +381,9 @@ curl -fsSL https://git.dokops.ru/dokril/lemana-vpn/raw/branch/main/install.sh \
 | `input/change events` | Оставляет старое прямое `value = ...`, но после него отправляет DOM events | Keycloak не реагирует на прямую запись value без событий |
 | `legacy auto-fill` | Сохраняет старую рабочую схему `ApplicationWorld`, прямой `value = ...` и простой `click()` | Это ровно тот режим, на котором hidden SSO раньше стабильно проходил Keycloak |
 | `URL guard` | Проверяет `location.href` через `new RegExp(...)` перед auto-fill | Qt игнорирует `@include`, без guard auto-fill может кликнуть Cisco ACS и сломать SAML |
-| `manual SSO disable` | Позволяет отключить auto-fill через `LEMANA_VPN_AUTOFILL_DISABLE=1` | Нужен для ручной диагностики в видимом браузере |
+| `auth redirect` | Читает 302 с `vpn.lemanapro.ru` без автоматического follow-redirect | Python `requests` может падать на TLS reset при открытии `/` на `sslvpna/b`, хотя для SAML нужен только конечный host |
+| `manual submit gate` | Позволяет отключить только auto-click через `LEMANA_VPN_AUTOFILL_CLICK=0` | Ручной режим видит заполненную форму, но сам решает, когда нажать вход |
+| `manual SSO disable` | Позволяет полностью отключить auto-fill через `LEMANA_VPN_AUTOFILL_DISABLE=1` | Нужен для низкоуровневой диагностики без подстановки полей |
 
 Перед первым изменением CLI сохраняет оригинальный файл:
 
@@ -415,19 +426,21 @@ curl -fsSL https://git.dokops.ru/dokril/lemana-vpn/raw/branch/main/install.sh |
 vpn-lemanapro.sh --patch-only
 ```
 
+Если лог падает раньше браузера с `SSLEOFError` / `UNEXPECTED_EOF_WHILE_READING` на `sslvpna.lemanapro.ru` или `sslvpnb.lemanapro.ru`, это ломается этап определения конечного Cisco headend. Актуальный runtime-патч `auth redirect` не открывает `/` на `sslvpna/b`, а только берёт `Location` из 302 ответа `vpn.lemanapro.ru` и продолжает штатный SAML init через POST.
+
 Если SSO ломается после обновления `openconnect-lite`, запусти:
 
 ```sh
 vpn-debug
 ```
 
-Если нужно самому посмотреть форму Keycloak и исключить влияние автоматического заполнения:
+Если нужно самому посмотреть форму Keycloak, но оставить подстановку LDAP/TOTP:
 
 ```sh
-vpn --manual-sso --debug
+vpn --manual
 ```
 
-В этом режиме браузер видимый, а `openconnect-lite` не запускает auto-fill/auto-submit. LDAP-пароль и TOTP seed всё ещё берутся из Keychain, но ввод на странице выполняется вручную.
+В этом режиме браузер видимый, `openconnect-lite` заполняет поля из Keychain/Bitwarden, но не нажимает submit. Для полной диагностики без подстановки можно отдельно выставить `LEMANA_VPN_AUTOFILL_DISABLE=1`.
 
 Если установка падает на строке `install: /usr/local/sbin/...: No such file or directory`, значит на машине не было `/usr/local/sbin`. Актуальный `install.sh` создаёт эту директорию сам; достаточно повторить установку свежей командой `curl`.
 
@@ -437,7 +450,8 @@ CLI перед подключением патчит `openconnect-lite`:
 - добавляет `input` и `change` events для Keycloak auto-fill, сохраняя старое прямое присваивание `value = ...`;
 - оставляет auto-fill в старом `ApplicationWorld` и не добавляет stateful click guards/native setters;
 - добавляет URL guard, чтобы auto-fill не кликал submit на Cisco ACS;
-- добавляет manual SSO disable для видимой ручной диагностики без auto-fill.
+- добавляет auth redirect patch, чтобы Python не падал на TLS reset при follow-redirect к `sslvpna/b`;
+- добавляет manual submit gate для видимой ручной диагностики с auto-fill, но без auto-submit.
 
 ## Удаление