openconnect

[zyxmon]

12 минуты назад, Dmitry Vasilyev сказал:

Вопрос - как достучаться до представителей Keenetic

На сайте есть контакты тех. поддержки. Но придется сообщить номер своего устройства Keenetic

 

5 минут назад, Dmitry Vasilyev сказал:

К чему это?

Это называется воровство интеллектуальной собственности. К этому.

[zyxmon]

34 минуты назад, Dmitry Vasilyev сказал:

Именно так

Именно об этом я писал, одна из 4 команд.

 

35 минут назад, Dmitry Vasilyev сказал:

Кстати opkg mc на Keenetic не работает.

Работает отлично на настоящих кинетиках. Что там в environment у воров - вопросы к ним.

[slydiman]

8 минут назад, zyxmon сказал:

Именно об этом я писал, одна из 4 команд.

Пересмотрел всю тему, не увидел. Если оно где-то в дебрях настройки ocserv или в соседней теме, то как человек нашедший эту тему это узнает? Всё что написал я можно взять и повторить. А "4 команды, о которых писал ранее" - это к экстрасенсу.

12 минуты назад, zyxmon сказал:

Что там в environment у воров - вопросы к ним.

Изначальная реплика была про ответственность, которую тут никто не несет за мои эксперименты. Вам тут какие-то воры померещились. Снёс давно Keenetic на Xiaomi и вернул X-Wrt. Забудьте.

[docroot]

On 2/11/2024 at 5:05 PM, zyxmon said:

Если есть желающие - выложу openconnect собранный с openssl, а не с gnutls.

Такие есть. )
Выложите, если не сложно.

[zyxmon]

@docroot http://zyxnerd.zyxmon.org/files/openconnect/ - сначала ставить библиотеки

[docroot]

13 hours ago, zyxmon said:

@docroot http://zyxnerd.zyxmon.org/files/openconnect/ - сначала ставить библиотеки

О, спасибо!

Кстати, попробовал собрать сам. Но сборка буквально виснет на 

make[2] -C toolchain/glibc compile

а точнее на glibc/stdio-common

Не сталкивался, случайно?

[zyxmon]

2 часа назад, docroot сказал:

Не сталкивался, случайно?

Не сталкивался. Я собираю на debian 10, другие члены команды на debian 11. Список необходимых хостовых пакетов указан в wiki. Впрочем это тут offtopic. Лучше спрашивайте на канале такое - https://t.me/entware

[docroot]

19 minutes ago, zyxmon said:

Не сталкивался. Я собираю на debian 10, другие члены команды на debian 11. Список необходимых хостовых пакетов указан в wiki. Впрочем это тут offtopic. Лучше спрашивайте на канале такое - https://t.me/entware

Спасибо.

[Chubays]

Прошу прощения!

У меня Keneetic Peak

Можно ли на нём сделать клиент openconnect?

 

А еще подскажите подробную инструкцию по настройке openconnect сервера с камуфляжем на VPS (желательно ubuntu, 4GbRAM 60GbSSD), а то я пока не спец и немного запутался в настройке всего этого.

Edited March 21 by Александр Емшанов

[slydiman]

В техподдержке мне намекнули про слухи о добавлении поддержки openconnect в прошивке версии 4.2, но это не точно.

[snark]

В 4.2 Alpha 1 есть ОpenСonnect сервер - работает. Клиента нет

Камуфляж включить можно, видимо только правкой конфига, как изменить домен 4 уровня для него, так и не нашел 

Edited March 23 by snark

[Le ecureuil]

Камуфляж сделаем, но чуть иначе, а зачем домен менять?

[Dr.ZuLuS]

А клиент скоро планируете сделать?

[snark]

2 часа назад, Le ecureuil сказал:

….а зачем домен менять?

Ну к 3 уровню (Keendns) не подключается. В попытках выяснить причину случайно наткнулся в логах на 4 уровень для openconnect -по нему подключение проходит. Возможно так и задумано, но имхо удобнее самому домен назначить в «Доступ к веб-приложениям»

 

 

Edited March 25 by snark

[slydiman]

В 23.03.2024 в 20:21, snark сказал:

В 4.2 Alpha 1 есть ОpenСonnect сервер - работает. Клиента нет

Если прикинуть реальные сценарии использования, полагаю клиент гораздо нужнее.

[Le ecureuil]

15 часов назад, Dr.ZuLuS сказал:

А клиент скоро планируете сделать?

Планируем, вопрос только в способе аутентификации. Будет поддерживаться только старый-добрый логин/пароль, все эти премудри с сертификатами и OTP - по первости точно нет.

[Le ecureuil]

13 часа назад, snark сказал:

Ну к 3 уровню (Keendns) не подключается. В попытках выяснить причину случайно наткнулся в логах на 4 уровень для openconnect -по нему подключение проходит. Возможно так и задумано, но имхо удобнее самому домен назначить в «Доступ к веб-приложениям»

 

 

Так и задумано, просто веб не доделан, а так это там было бы написано.
Домен 4 уровня можно найти по 
> show oc-server

К сожалению, это ограничение неустранимо. SSTP может работать совместно с веб-ом, потому что он использует свой собственный URI, а openconnect просто монопольно делает POST-запросы на /, их невозможно отличить на этом этапе от веба. Плюс у него "жесткий" TLS-фрейминг по размеру вложенного пакета, потому он несовместим с OpenSSL, только GnuTLS.

[Le ecureuil]

11 час назад, slydiman сказал:

Если прикинуть реальные сценарии использования, полагаю клиент гораздо нужнее.

Клиент будет, ждите обратного гудка.

[dimon27254]

@Le ecureuil возможно ли для сервера OpenConnect применять правила межсетевого экрана?

Например, чтобы в зависимости от подключающихся пользователей (которым назначен тег vpn-oc и присвоены статические адреса) разрешать или запрещать доступ к определенным IP-адресам или подсетям.

[Le ecureuil]

40 минут назад, dimon27254 сказал:

@Le ecureuil возможно ли для сервера OpenConnect применять правила межсетевого экрана?

Например, чтобы в зависимости от подключающихся пользователей (которым назначен тег vpn-oc и присвоены статические адреса) разрешать или запрещать доступ к определенным IP-адресам или подсетям.

Нет. Сейчас это общая боль для всех VPN-серверов, к сожалению.

[snark]

В текущей настройке udp остаётся на порту который указан в конфиге ocserv.conf. Приходится для него отдельно открывать порт

 

+ иногда появляется ошибка

Edited March 31 by snark

[Le ecureuil]

20 часов назад, snark сказал:

В текущей настройке udp остаётся на порту который указан в конфиге ocserv.conf. Приходится для него отдельно открывать порт

 

+ иногда появляется ошибка

На новом draft таймауты немного подправлены, больше быть не должно. А вот про UDP - поправлю.

[Le ecureuil]

UDP поправлен.

[snark]

В 4.2 Alpha 3 добавили OpenConnect клиент. Не догоняю как камуфляж задать? Вдруг кто разобрался

[Le ecureuil]

Пока никак, будет чуть позже реализовано.

[Sergey_3861661]

Здравствуйте. А есть ли руководство как поднять OpenConnect на Keenetic "от "А" до "Я". Что бы не разбираться в глубинах технологий. 

[Le ecureuil]

22 часа назад, Sergey_3861661 сказал:

Здравствуйте. А есть ли руководство как поднять OpenConnect на Keenetic "от "А" до "Я". Что бы не разбираться в глубинах технологий. 

Если не хочется от а до я, то чуть обождите - он скоро появится в веб в таком же простом виде, как и SSTP.

[snark]

Кинетик OpenConnect клиент - работать не хочет,  сервер к которому подключаюсь рабочий, селф приложил,

Апр 13 11:11:33

 ndm

Network::Interface::Ip: "OpenConnect0": IP address cleared. 

Апр 13 11:11:36

 ndm

Service: "OpenConnect0": unexpectedly stopped. 

Апр 13 11:11:36

 

 

Edited April 13 by snark

[snark]

Кинетик OpenConnect сервер - помойму проблема с nat, клиенты подключаются, но выхода в интернет у них нет

[Le ecureuil]

1 час назад, snark сказал:

Кинетик OpenConnect клиент - работать не хочет,  сервер к которому подключаюсь рабочий, селф приложил,

Апр 13 11:11:33

 ndm

Network::Interface::Ip: "OpenConnect0": IP address cleared. 

Апр 13 11:11:36

 ndm

Service: "OpenConnect0": unexpectedly stopped. 

Апр 13 11:11:36

 

 

Попробуйте с 
interface OpenConnect0 debug
снять self-test.