snark

Когда я говорил что у меня сервер на другом порту, а не 443, я имел ввиду вот это. У вас проверка по 443

Только что подключился к этому серверу, консольным клиентом из ubuntы > openconnect bla-bla-bla.com:YYYY POST https://bla-bla-bla.com:YYYY/ Attempting to connect to server xx.xx.xx.xx:YYYY Connected to xx.xx.xx.xx:YYYY SSL negotiation with bla-bla-bla.com Server certificate verify failed: signer not found Connected to HTTPS on bla-bla-bla.com with ciphersuite (TLS1.3)-(ECDHE-SECP256R1)-(ECDSA-SECP256R1-SHA256)-(AES-256-GCM) Got HTTP response: HTTP/1.1 200 OK Set-Cookie: webvpncontext=; expires=Thu, 01 Jan 1970 22:00:00 GMT; path=/; Secure; HttpOnly Content-Type: text/xml Content-Length: 306 X-Transcend-Version: 1 HTTP body length: (306) XML POST enabled Please enter your username. Username:zzzzzzz POST https://bla-bla-bla.com:YYYY/auth Got HTTP response: HTTP/1.1 200 OK Set-Cookie: webvpncontext=AHw/12xmowvEwyiaJZTWeJ/iSlclnlyBfrralZ6H+CA=; Max-Age=3600; Secure; HttpOnly Content-Type: text/xml Content-Length: 310 X-Transcend-Version: 1 HTTP body length: (310) Please enter your password. Password: POST https://bla-bla-bla.com:YYYY/auth Got HTTP response: HTTP/1.1 200 OK Connection: Keep-Alive Content-Type: text/xml Content-Length: 189 X-Transcend-Version: 1 Set-Cookie: webvpncontext=AHw/12xmowvEwyiaJZTWeJ/iSlclnlyBfrralZ6H+CA=; Secure; HttpOnly Set-Cookie: webvpn=<elided>; Secure; HttpOnly Set-Cookie: webvpnc=; expires=Thu, 01 Jan 1970 22:00:00 GMT; path=/; Secure; HttpOnly Set-Cookie: webvpnc=bu:/&p:t&iu:1/&sh:ECC9876E61345F84B9032FB3B726B14831409C6E; path=/; Secure; HttpOnly HTTP body length: (189) TCP_INFO rcv mss 1419, snd mss 1448, adv mss 65483, pmtu 65535 Got CONNECT response: HTTP/1.1 200 CONNECTED X-CSTP-Version: 1 X-CSTP-Server-Name: OpenConnect VPN Server X-CSTP-Hostname: LLLLLLLL X-CSTP-DPD: 90 X-CSTP-Default-Domain: bla-bla-bla.com X-CSTP-Address: 192.168.99.228 X-CSTP-Netmask: 255.255.255.0 X-CSTP-DNS: 8.8.8.8 X-CSTP-Tunnel-All-DNS: false X-CSTP-Client-Bypass-Protocol: false X-CSTP-Split-Exclude: 192.168.0.0/255.255.0.0 X-CSTP-Split-Exclude: 10.0.0.0/255.0.0.0 X-CSTP-Split-Exclude: 172.16.0.0/255.240.0.0 X-CSTP-Split-Exclude: 127.0.0.0/255.0.0.0 X-CSTP-Keepalive: 32400 X-CSTP-Idle-Timeout: none X-CSTP-Smartcard-Removal-Disconnect: true X-CSTP-Rekey-Time: 172795 X-CSTP-Rekey-Method: ssl X-CSTP-Session-Timeout: 0 X-CSTP-Session-Timeout-Remaining: 0 X-CSTP-Disconnected-Timeout: none X-CSTP-Keep: true X-CSTP-TCP-Keepalive: true X-CSTP-License: accept X-DTLS-DPD: 90 X-DTLS-Port: YYYY X-DTLS-Rekey-Time: 172805 X-DTLS-Rekey-Method: ssl X-DTLS-Keepalive: 32400 X-DTLS-App-ID: 7277868a3088da5619880561d8f1bd477017139e137c48cfbc5ba8d2159a80fd X-DTLS-CipherSuite: PSK-NEGOTIATE X-CSTP-Base-MTU: 1500 X-CSTP-MTU: 1434 CSTP connected. DPD 90, Keepalive 32400 UDP SO_SNDBUF: 28680 DTLS initialised. DPD 90, Keepalive 32400

Кстати, в nextdns http/3 очень бодро работает

Можно ли в текущей реализации на кинетике приспособить "--servercert pin"? И на всякий случай уточню, у меня сервер не на 443 порту. Если нужно, могу дать креды для тестов Клиент cisco и Clavister OneConnect (https://apps.apple.com/us/app/clavister-oneconnect/id1565970099), к нему вполне бодро подключаются. Консольный openconnect на маке тоже

Ещё раз выгрузил

Именно так и сделал, self в скрытом сообщении

Кинетик OpenConnect сервер - помойму проблема с nat, клиенты подключаются, но выхода в интернет у них нет

Кинетик OpenConnect клиент - работать не хочет, сервер к которому подключаюсь рабочий, селф приложил, Апр 13 11:11:33 ndm Network::Interface::Ip: "OpenConnect0": IP address cleared. Апр 13 11:11:36 ndm Service: "OpenConnect0": unexpectedly stopped. Апр 13 11:11:36

В 4.2 Alpha 3 добавили OpenConnect клиент. Не догоняю как камуфляж задать? Вдруг кто разобрался

В текущей настройке udp остаётся на порту который указан в конфиге ocserv.conf. Приходится для него отдельно открывать порт + иногда появляется ошибка

тогда для начала, нужно DNS A запись проверить

А на кинетике вообще белый фиксированный ип?

Да, но в таком случае, серт будет не «мой», а от let’s encrypt

Ну к 3 уровню (Keendns) не подключается. В попытках выяснить причину случайно наткнулся в логах на 4 уровень для openconnect -по нему подключение проходит. Возможно так и задумано, но имхо удобнее самому домен назначить в «Доступ к веб-приложениям»

В 4.2 Alpha 1 есть ОpenСonnect сервер - работает. Клиента нет Камуфляж включить можно, видимо только правкой конфига, как изменить домен 4 уровня для него, так и не нашел