slydiman

Если прикинуть реальные сценарии использования, полагаю клиент гораздо нужнее.

В техподдержке мне намекнули про слухи о добавлении поддержки openconnect в прошивке версии 4.2, но это не точно.

Пересмотрел всю тему, не увидел. Если оно где-то в дебрях настройки ocserv или в соседней теме, то как человек нашедший эту тему это узнает? Всё что написал я можно взять и повторить. А "4 команды, о которых писал ранее" - это к экстрасенсу. Изначальная реплика была про ответственность, которую тут никто не несет за мои эксперименты. Вам тут какие-то воры померещились. Снёс давно Keenetic на Xiaomi и вернул X-Wrt. Забудьте.

К чему это? Тут кто-то за что-то несёт ответственность? Учитывая что Keenetic официально не поддерживает opkg вообще, за любые ковыряния с opkg никто ответственности не несет. Собственно поэтому я все эксперименты делаю на том, что не жалко.

Я не читаю соседние темы, я читаю эту. Ссылка или конкретные команды, "в интернете вагон" - это не о чём. Я понятия не имею какой интерфейс создаёт openconnect по умолчанию и переименование просто на всякий случай во избежание конфликтов. Разумеется в простых случаях можно не переименовывать. Где, какие? Как сложно общаться, когда "2 пишу, 3 в уме". Итог - да на Keenetic можно поднять openconnect, через одно место. На серьёзных роутерах с серьёзными конфигами это вообще не вариант. На простых роутерах проще использовать OpenWrt/X-Wrt ибо скорость та же (очень низкая), но есть хоть какой-то UI. Вопрос - как достучаться до представителей Keenetic и получить вразумительный ответ от них по поводу поддержки openconnect?

Именно так, только перед этим нужно установить iptables opkg install iptables Далее VPN на роутере поднимается следующей командой и всё работает (до поры): /opt/sbin/openconnect https://сервер:443 --interface=ssltun0 --no-dtls --non-inter --background --syslog --script /opt/lib/netifd/vpnc-script -u имя --passwd-on-stdin < /opt/etc/openconnect/password На всякий случай для тех, кто первый раз слышит про entware - все файлы лежат внутри /opt , поэтому такие пути, так задумано. Оставшиеся проблемы - как добавить в автозагрузку и как вырубить VPN при необходимости? Попробовал костыль в виде файла /etc/init.d/S90openconnect Внутри #!/bin/sh и команда, что дана выше. Дал файлу нужные разрешения chmod 777 /opt/etc/init.d/S90openconnect Эффекта нет. Кстати opkg mc на Keenetic не работает. Черно белая картинка и не работают стрелки на клавиатуре сводя на нет весь смысл. Собственно пока этого достаточно чтобы замерить скорость и сравнить с X-Wrt. Провайдер 500 мбит. ocserv поднят на VPS с каналом 100 мбит. Cysco AnyConnect под Windows до этого ocserv даёт скорость 70-75 мбит. openconnect на Keenetic и X-Wrt на Xiaomi MI-3G (MT7621) дают одинаковую скорость около 7 мбит (привет ADSL). Поднимать openconnect на чём-то серьёзнее типа Keenetic Hooper (KN-3810) я даже пытаться не буду, ибо без нативной поддержки в прошивке это совершенно не юзабельно. Печаль.

Ясно, всё делать самому. Начнём с малого Решение очевидно ровно такое же как для OpenWrt. Вот отсюда качаем https://letsencrypt.org/ru/certificates/ корневой сертификат ISRG Root X1 (файл isrg-root-x1-cross-signed.pem). Первая команда (может быть и не обязательно, только концы строк меняются с \r\n на просто \n): openssl x509 -outform PEM < isrg-root-x1-cross-signed.pem > letsencrypt_root.cert Вторая команда (вычисляем хэш): openssl x509 -hash -noout -in letsencrypt_root.cert У меня получился хэш "4042bcee". И наконец файл letsencrypt_root.cert переименовываем в 4042bcee и заливаем на роутер в /etc/ssl/certs/4042bcee После этого openconnect нормально валидирует сертификаты letsencrypt и не надо добавлять --servercert pin-sha256:...

Мягко говоря нет. Думаю, может я чего-то упускаю. На роутер Xiaomi MI-3G вместо X-Wrt поставил Keenetic 4.0.7 чтобы сравнить производительность openconnect клиента. Но не тут-то было. Давайте писать инструкции для нормальных людей, а не для линуксоидных гиков. И так чтобы это работало в реальной жизни на конкретных роутерах, а не на абстрактном НАСе с утверждением что на Keenetic всё будет также, но правда не совсем. Забудем пока про сервер и как в реальной жизни автоматически обновляется сертификат letsencrypt каждые 3 месяца. Простейшая задача - настроить на Keenetic VPN клиент openconnect: Это всё таки роутер и нужно чтобы не curl из соседней консоли мог достучаться куда надо, а клиентская машина через этот роутер, то есть должна быть прописана правильная маршрутизация. И нужно чтобы при перезагрузке по питанию всё это само восстанавливалось и не требовало ввода в консоли 100500 давно забытых команд. Итак, на Keenetic установлен openconnect. Из консоли VPN поднимается. Точнее сначала не поднимается, а ругается на сертификат letsencrypt, дескать не может проверить корневой сертификат. Благо сам openconnect предлагает решение - добавить параметр --servercert pin-sha256:... но похоже придётся обновлять эту команду каждые 3 месяца после перевыпуска сертификата letsencrypt и это так себе решение. Правильнее прописать корневой сертификат, но я пока не разбирался как это сделать для openconnect на Keenetic. Также возможно стоит добавить параметры --no-dtls --non-inter --background --syslog --script /opt/lib/netifd/vpnc-script --interface=ssltun0 Явно задать имя интерфейса (в данном случае ssltun0) поможет при дальнейшей конфигурации маршрутизации. Будет ли всё это подниматься само после перезагрузки? Наверное нет, то есть нужно куда-то прописывать. Но сначала нужно решить проблемы с маршрутизацией, ибо после поднятия VPN клиента, подключенные к роутеру клиенты уже никуда попасть не могут вообще. Нужно добавить что-то типа iptables -w -A FORWARD -i br0 -o ssltun0 -j ACCEPT но где и как - загадка, ибо роутер это всё таки не ubuntu. То есть пока утверждение не подтверждается. На OpenWrt/X-Wrt, не на всех, но на определённых версиях, openconnect работает из коробки, включая роутинг для клиентов. Очень хочется увидеть полноценную инструкцию. Заранее спасибо.

Эта тема хоть и называется просто openconnect и создана не мной, но очевидно целью создания этой темы было громко заявить о необходимости добавить полноценную поддержку openconnect в прошивку Keenetic, для начала хотя бы клиента. Также важный момент - официальная поддержка не распространяется на компоненты entware, то есть если у кого-то что-то не получится, поддержки спросить негде. В реальной жизни многие используют VPS и давно подняли там ocserv. Клиентов для openconnect полно под любую операционку или смартфон. Проблема возникает когда на роутере чуть больше чем 1 VPN клиент и больше чем полтора клиента. Услышьте пожалуйста - нужна полноценная поддержка openconnect в прошивке чтобы можно было через UI настраивать правила для разных клиентов и пр. Да, можно пол дня тыкать в консоль, но когда я за рулём, мне звонят и нужно что-то переконфигурировать, я могу это сделать в 3 клика в UI со смартфона, а не с компа на следующий день. Тут рядом ещё есть тема про Cisco AnyConnect, где было заявлено что этим пользуется полтора человека и это никому не нужно. Если лично вы не пользуетесь этим, это не значит что это не востребовано. Другое дело, если разработчик не хочет или не может это сделать. Тогда так и скажите что поддержки openconnect не будет по такой то причине.

Ну хоть какой-то эффект - тему заметили. Ещё бы результат был. Имею сеть на роутерах Keenetic. В основной mesh сети 3 роутера, около 150 устройств (умный дом и всё такое), половина из которых по wi-fi. В этой сети 2 интернет провайдера и разные устройства ходят через разных провайдеров. К этой сети по OpenVPN (TAP и это важно) подключаются роутеры из 2 других мест. Там ещё хитрая блокировка DHCP с обоих сторон. Главный роутер сам поднимает WireGuard VPN до ещё одной сети. Сейчас главный роутер ещё поднимает IKEv2 до VPS и часть устройств ходят в интернет через этот VPN. IKEv2 за кардон для некоторых проводных провайдеров пока не забанили, но недавно был период когда это не работало (тестировали бан). Можно на Keenetic поставить opkg openconnect (собственно я его ставил, он нормально находится и скачивается командой в консоли), но покопавшись в настройках я отказался от этой идеи, заставить его правильно работать в этом зоопарке невозможно. Слишком много правил маршрутизации, всё в динамике. Поэтому единственное адекватное решение в данной ситуации - иметь отдельный роутер только ради openconnect и пускать нужный трафик через него. И если выбирать ставить openconnect на простенький Keenetic с управлением только через консоль или OpenWrt/X-Wrt хоть с каким-то минимальным контролем через UI, то выбор очевиден не в пользу Keenetic. Итого, на данный момент openconnect на Keenetic - это боль. А хочется нормальный юзабельный продукт и это востребовано как никогда.

Вы не понимаете масштаба проблемы. openconnect_9.01-1_mipsel-3.4.ipk зависит от kmod-tun определённой версии, а kmod-tun делается под конкретную версию ядра. Это просто не работает на Keenetic. У меня есть 3 разных роутера Xiaomi для экспериментов. Я пробовал много разных версий OpenWrt и X-Wrt. Из коробки openconnect заработал только на одном из этих роутеров на старой версии OpenWrt 22.03.6. На одном из роутеров не заработал вовсе из-за ошибки в ядре. На последних версиях OpenWrt сломана маршрутизация. На последних X-Wrt удалось поднять openconnect, но только с ручным прописыванием маршрутизации, установкой корневых сертификатов letsencrypt и пр. плясками. И это простейшая конфигурация когда все клиенты ходят в интернет через один VPN, если чуть сложнее, то шансов вообще никаких. Поэтому нужна нормальная поддержка openconnect внутри прошивки Keenetic.

Поправка к предыдущему сообщению: Через какое-то время перестал работать DNS и через WireGuard для custom connection policy на прошивке 4.0.3. Никакие пляски с включением/выключением подключений, их сортировкой не помогали. Грохнул connection policy, создал заново, настроил - работает. Через какое-то время DNS опять перестал работать. nslookup google.com 192.168.1.1 где 192.168.1.1 - это роутер и даже nslookup google.com 8.8.8.8 в Windows говорит DNS request time out При этом браузер Chrome открывал сайты, адреса которых видимо были разрешены ранее и были в кэше. Переключил connection policy для данного клиента на default policy - всё работает.

Вместо сломанного OpenVPN на роутере поднимал IKEv2.Поставил предварительную 4.0.3.Теперь через IKEv2 не разрешается DNS.Не знаю починили ли OpenVPN, но теперь точно сломали IKEv2 при подключении через connection policy. WireGuard работает.

Поддерживаю.

The same issue. It seems that the routing is broken at all for the OpenVPN client (tcp ipv4) on 4.0.2. The connection is "ready", but sent/recv 0 bytes. The same connection works fine from other router with 3.9.2 firmware or directly from Windows and Android.