snark

Sunday at 07:45 AM

12 часа назад, Le ecureuil сказал:

Нужен лог с interface OpenConnect0 debug

В скрытом сообщении

Saturday at 05:43 PM

Апр 20 20:35:59 ndm
OpenConnect::Interface: "OpenConnect0": system failed [0xcffd0291].
Апр 20 20:35:59 openconnect
Failed to open /dev/vhost-net: No such file or directory

Вот такая ошибка на 4.2 Alpha 5

А ещё в случае разрыва со стороны сервера, не хочет переподключаться

Апр 20 20:49:22 openconnect
sleep 10s, remaining timeout 300s
Апр 20 20:49:33 openconnect
SSL negotiation with xxxxxxxxxx
Апр 20 20:49:33 openconnect
Connected to HTTPS on xxxxxxxxxx with ciphersuite (TLS1.3)-(ECDHE-SECP256R1)-(ECDSA-SECP256R1-SHA256)-(AES-256-GCM)
Апр 20 20:49:33 openconnect
Got inappropriate HTTP CONNECT response: HTTP/1.1 405 Method Not Allowed
Апр 20 20:49:33 openconnect
sleep 20s, remaining timeout 290s
Апр 20 20:49:53 openconnect
SSL negotiation with xxxxxxxxxx
Апр 20 20:49:53 openconnect
Connected to HTTPS on xxxxxxxxxx with ciphersuite (TLS1.3)-(ECDHE-SECP256R1)-(ECDSA-SECP256R1-SHA256)-(AES-256-GCM)
Апр 20 20:49:53 openconnect
Got inappropriate HTTP CONNECT response: HTTP/1.1 405 Method Not Allowed
Апр 20 20:49:53 openconnect
sleep 30s, remaining timeout 270s
Апр 20 20:50:23 openconnect
SSL negotiation with xxxxxxxxxx
Апр 20 20:50:24 openconnect
Connected to HTTPS on xxxxxxxxxx with ciphersuite (TLS1.3)-(ECDHE-SECP256R1)-(ECDSA-SECP256R1-SHA256)-(AES-256-GCM)
Апр 20 20:50:24 openconnect
Got inappropriate HTTP CONNECT response: HTTP/1.1 405 Method Not Allowed
Апр 20 20:50:24 openconnect
sleep 40s, remaining timeout 240s

April 15

3 часа назад, Le ecureuil сказал:
Ошибка выглядит так:
[I] Apr 15 10:47:09 openconnect: Attempting to connect to server *:443 
Вам нужно разобраться с сервером, думаю вы даже через curl сможете сами увидеть проблему.

Когда я говорил что у меня сервер на другом порту, а не 443, я имел ввиду вот это. У вас проверка по 443

April 15

1 час назад, Le ecureuil сказал:

Порт можно отдельно задать (в cli через пробел), а неудачная верификация сертификата все равно не является фатальной - ровно как и в SSTP.

Только что подключился к этому серверу, консольным клиентом из ubuntы

> openconnect bla-bla-bla.com:YYYY

POST https://bla-bla-bla.com:YYYY/
Attempting to connect to server xx.xx.xx.xx:YYYY
Connected to xx.xx.xx.xx:YYYY
SSL negotiation with bla-bla-bla.com
Server certificate verify failed: signer not found
Connected to HTTPS on bla-bla-bla.com with ciphersuite (TLS1.3)-(ECDHE-SECP256R1)-(ECDSA-SECP256R1-SHA256)-(AES-256-GCM)
Got HTTP response: HTTP/1.1 200 OK
Set-Cookie: webvpncontext=; expires=Thu, 01 Jan 1970 22:00:00 GMT; path=/; Secure; HttpOnly
Content-Type: text/xml
Content-Length: 306
X-Transcend-Version: 1
HTTP body length:  (306)
XML POST enabled
Please enter your username.
Username:zzzzzzz
POST https://bla-bla-bla.com:YYYY/auth
Got HTTP response: HTTP/1.1 200 OK
Set-Cookie: webvpncontext=AHw/12xmowvEwyiaJZTWeJ/iSlclnlyBfrralZ6H+CA=; Max-Age=3600; Secure; HttpOnly
Content-Type: text/xml
Content-Length: 310
X-Transcend-Version: 1
HTTP body length:  (310)
Please enter your password.
Password:
POST https://bla-bla-bla.com:YYYY/auth
Got HTTP response: HTTP/1.1 200 OK
Connection: Keep-Alive
Content-Type: text/xml
Content-Length: 189
X-Transcend-Version: 1
Set-Cookie: webvpncontext=AHw/12xmowvEwyiaJZTWeJ/iSlclnlyBfrralZ6H+CA=; Secure; HttpOnly
Set-Cookie: webvpn=<elided>; Secure; HttpOnly
Set-Cookie: webvpnc=; expires=Thu, 01 Jan 1970 22:00:00 GMT; path=/; Secure; HttpOnly
Set-Cookie: webvpnc=bu:/&p:t&iu:1/&sh:ECC9876E61345F84B9032FB3B726B14831409C6E; path=/; Secure; HttpOnly
HTTP body length:  (189)
TCP_INFO rcv mss 1419, snd mss 1448, adv mss 65483, pmtu 65535
Got CONNECT response: HTTP/1.1 200 CONNECTED
X-CSTP-Version: 1
X-CSTP-Server-Name: OpenConnect VPN Server
X-CSTP-Hostname: LLLLLLLL
X-CSTP-DPD: 90
X-CSTP-Default-Domain: bla-bla-bla.com
X-CSTP-Address: 192.168.99.228
X-CSTP-Netmask: 255.255.255.0
X-CSTP-DNS: 8.8.8.8
X-CSTP-Tunnel-All-DNS: false
X-CSTP-Client-Bypass-Protocol: false
X-CSTP-Split-Exclude: 192.168.0.0/255.255.0.0
X-CSTP-Split-Exclude: 10.0.0.0/255.0.0.0
X-CSTP-Split-Exclude: 172.16.0.0/255.240.0.0
X-CSTP-Split-Exclude: 127.0.0.0/255.0.0.0
X-CSTP-Keepalive: 32400
X-CSTP-Idle-Timeout: none
X-CSTP-Smartcard-Removal-Disconnect: true
X-CSTP-Rekey-Time: 172795
X-CSTP-Rekey-Method: ssl
X-CSTP-Session-Timeout: 0
X-CSTP-Session-Timeout-Remaining: 0
X-CSTP-Disconnected-Timeout: none
X-CSTP-Keep: true
X-CSTP-TCP-Keepalive: true
X-CSTP-License: accept
X-DTLS-DPD: 90
X-DTLS-Port: YYYY
X-DTLS-Rekey-Time: 172805
X-DTLS-Rekey-Method: ssl
X-DTLS-Keepalive: 32400
X-DTLS-App-ID: 7277868a3088da5619880561d8f1bd477017139e137c48cfbc5ba8d2159a80fd
X-DTLS-CipherSuite: PSK-NEGOTIATE
X-CSTP-Base-MTU: 1500
X-CSTP-MTU: 1434
CSTP connected. DPD 90, Keepalive 32400
UDP SO_SNDBUF: 28680
DTLS initialised. DPD 90, Keepalive 32400

April 15

2 часа назад, Le ecureuil сказал:

Оно работает автоматически, вводить нужно все как раньше. Сперва будет попробован http/3, потом будет fallback на http/2 и даже 1.1.

Кстати, в nextdns http/3 очень бодро работает

April 15

1 час назад, Le ecureuil сказал:

Ошибка выглядит так:

Можно ли в текущей реализации на кинетике приспособить "--servercert pin"?

И на всякий случай уточню, у меня сервер не на 443 порту. Если нужно, могу дать креды для тестов

Клиент cisco и Clavister OneConnect (https://apps.apple.com/us/app/clavister-oneconnect/id1565970099), к нему вполне бодро подключаются. Консольный openconnect на маке тоже

April 14

37 минут назад, Le ecureuil сказал:

@snark в self-test не включен debug на OpenConnect0.

Ещё раз выгрузил

April 13

5 часов назад, Le ecureuil сказал:

Попробуйте с
interface OpenConnect0 debug
снять self-test.

Именно так и сделал, self в скрытом сообщении

April 13

Кинетик OpenConnect сервер - помойму проблема с nat, клиенты подключаются, но выхода в интернет у них нет

April 13

Кинетик OpenConnect клиент - работать не хочет, сервер к которому подключаюсь рабочий, селф приложил,

Апр 13 11:11:33

ndm

Network::Interface::Ip: "OpenConnect0": IP address cleared.

Апр 13 11:11:36

ndm

Service: "OpenConnect0": unexpectedly stopped.

Апр 13 11:11:36

April 6

В 4.2 Alpha 3 добавили OpenConnect клиент. Не догоняю как камуфляж задать? Вдруг кто разобрался

March 31

В текущей настройке udp остаётся на порту который указан в конфиге ocserv.conf. Приходится для него отдельно открывать порт

+ иногда появляется ошибка

March 29

тогда для начала, нужно DNS A запись проверить

March 29

В 27.03.2024 в 14:19, Chubays сказал:

Так там тоже хрень какая-то!

А на кинетике вообще белый фиксированный ип?

March 27

7 часов назад, Leshiyart сказал:

ip http ssl acme get mydomain.name

Да, но в таком случае, серт будет не «мой», а от let’s encrypt

March 25

2 часа назад, Le ecureuil сказал:

….а зачем домен менять?

Ну к 3 уровню (Keendns) не подключается. В попытках выяснить причину случайно наткнулся в логах на 4 уровень для openconnect -по нему подключение проходит. Возможно так и задумано, но имхо удобнее самому домен назначить в «Доступ к веб-приложениям»

March 23

В 4.2 Alpha 1 есть ОpenСonnect сервер - работает. Клиента нет

Камуфляж включить можно, видимо только правкой конфига, как изменить домен 4 уровня для него, так и не нашел

March 11

В 3/6/2024 в 20:10, snark сказал:

Бодрый вечер, а случайно никто не подскажет что это за ошибка при подключении к SSTP серверу .Сервер это кинетик

Mar 6 19:57:21 xxx nginx 2024/03/06 19:57:21 [error] 1820#0: *149470 upstream prematurely closed connection while reading response header from upstream, client: 83.0.237.0, server: xxxx.keenetic.pro, request: "SSTP_DUPLEX_POST /sra_{BA195980-CD49-458b-9E23-C84EE0ADCD75}/ HTTP/1.1", upstream: "http://127.0.0.1:54322/sra_{BA195980-CD49-458b-9E23-C84EE0ADCD75}/", host: "xxxx.keenetic.pro"

в nginx.conf есть,

    location ~ "/sra_{BA195980-CD49-458b-9E23-C84EE0ADCD75}/" {
      ...
      proxy_pass http://127.0.0.1:54322;

но на этом порту 54322 висит deadwood, беглый поиск говорит что это рекурсивный дсн.

bash-5.2# netstat -tulpan | grep 54322
tcp        0      0 127.0.0.1:54322         0.0.0.0:*               LISTEN      857/deadwood
udp        0      0 127.0.0.1:54322         0.0.0.0:*                           857/deadwood

Хотя в /var/run/sstp-server/accel.conf

[sstp]
...
  bind=127.0.0.1:54322
...

А где sstp сервер вообще не ясно

bash-5.2# ps ax | grep "pppd"
 1099 ?        Ssl    0:00 /usr/sbin/accel-pppd --no-sigsegv -c /var/run/sstp-server/accel.conf

bash-5.2# netstat -tulpan | grep ppp
bash-5.2# netstat -tulpan | grep acc
bash-5.2#

March 10

На 4.1.1, то же самое

March 6

Бодрый вечер, а случайно никто не подскажет что это за ошибка при подключении к SSTP серверу .Сервер это кинетик

Mar 6 19:57:21 xxx nginx 2024/03/06 19:57:21 [error] 1820#0: *149470 upstream prematurely closed connection while reading response header from upstream, client: 83.0.237.0, server: xxxx.keenetic.pro, request: "SSTP_DUPLEX_POST /sra_{BA195980-CD49-458b-9E23-C84EE0ADCD75}/ HTTP/1.1", upstream: "http://127.0.0.1:54322/sra_{BA195980-CD49-458b-9E23-C84EE0ADCD75}/", host: "xxxx.keenetic.pro"

October 9, 2023

У вас жд разделен на три раздела, для трех маков, и судя по скрину каждый раздел подключен к своему маку одновременно как afp и smb? Зачем afp нужен - он считается устаревшим

September 14, 2023

OpenVPN у меня нет, но сообщение в логах есть.

August 1, 2023

4.0.2 - не исправлено

July 22, 2023

Собственно в логах "Can't find library for match `ndmslin'. "

Что бы это значило?

July 10, 2023

При включении на WAN Ping Check, отваливается KeenDNS.

Моему доменному имени присваиваются какие то левые ip. После отключения Ping Check, присваивается мой белый

Sign In

Profiles

Forums

Gallery

Downloads

Blogs

Events

Posts posted by snark