Dr.ZuLuS Posted April 13 Share Posted April 13 (edited) 9 минут назад, Le ecureuil сказал: Попробуйте с interface OpenConnect0 debug снять self-test. А подскажите полный список команд для коннекта клиента openconnect к серверу. Сделал openconnect upstream ip port openconnect authenticate identy username openconnect authenticate password password Интерфейс поднимается, но Коннект Стейт down. interface Openconnect1 up делал Пробовал прописать ip для интерфейса, это тоже не помогло. Edited April 13 by Dr.ZuLuS Quote Link to comment Share on other sites More sharing options...
snark Posted April 13 Share Posted April 13 5 часов назад, Le ecureuil сказал: Попробуйте с interface OpenConnect0 debug снять self-test. Именно так и сделал, self в скрытом сообщении Quote Link to comment Share on other sites More sharing options...
keenet07 Posted April 13 Share Posted April 13 4.2 Alpha 4 В веб-интерфейсе ещё ничего не присутствует? Ни сервер, ни клиент? Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted April 14 Share Posted April 14 В 13.04.2024 в 12:56, Dr.ZuLuS сказал: А подскажите полный список команд для коннекта клиента openconnect к серверу. Сделал openconnect upstream ip port openconnect authenticate identy username openconnect authenticate password password Интерфейс поднимается, но Коннект Стейт down. interface Openconnect1 up делал Пробовал прописать ip для интерфейса, это тоже не помогло. Вам все то же самое - включить debug и снимать логи. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted April 14 Share Posted April 14 В 13.04.2024 в 19:40, keenet07 сказал: 4.2 Alpha 4 В веб-интерфейсе ещё ничего не присутствует? Ни сервер, ни клиент? Пока еще нет. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted April 14 Share Posted April 14 @snark в self-test не включен debug на OpenConnect0. Quote Link to comment Share on other sites More sharing options...
snark Posted April 14 Share Posted April 14 37 минут назад, Le ecureuil сказал: @snark в self-test не включен debug на OpenConnect0. Ещё раз выгрузил Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted April 15 Share Posted April 15 И правда не работал нормально syslog, поправил вывод. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted April 15 Share Posted April 15 14 часа назад, snark сказал: Ещё раз выгрузил Ошибка выглядит так: I] Apr 15 10:47:06 ndm: Network::Interface::Ip: "OpenConnect0": IP address cleared. [I] Apr 15 10:47:09 openconnect: POST https://*.biz/ [I] Apr 15 10:47:09 openconnect: Attempting to connect to server *:443 [I] Apr 15 10:47:09 openconnect: Connected to *:443 [I] Apr 15 10:47:09 openconnect: SSL negotiation with *.biz [I] Apr 15 10:47:09 openconnect: Certificate from VPN server "*.biz" failed verification. Reason: signer not found [I] Apr 15 10:47:09 openconnect: Connected to HTTPS on *.biz with ciphersuite (TLS1.3)-(ECDHE-X25519)-(ECDSA-SECP256R1-SHA256)-(AES-128-GCM) [I] Apr 15 10:47:09 openconnect: Got HTTP response: HTTP/1.1 405 Not Allowed [I] Apr 15 10:47:09 openconnect: Server: nginx/1.18.0 (Ubuntu) Failed to complete authentication [I] Apr 15 10:47:09 openconnect: Date: Mon, 15 Apr 2024 08:47:09 GMT [I] Apr 15 10:47:09 openconnect: Content-Type: text/html [I] Apr 15 10:47:09 openconnect: Content-Length: 166 [I] Apr 15 10:47:09 openconnect: Connection: keep-alive [I] Apr 15 10:47:09 openconnect: HTTP body length: (166) [I] Apr 15 10:47:09 openconnect: Unexpected 405 result from server [E] Apr 15 10:47:09 ndm: Service: "OpenConnect0": unexpectedly stopped. Вам нужно разобраться с сервером, думаю вы даже через curl сможете сами увидеть проблему. Quote Link to comment Share on other sites More sharing options...
snark Posted April 15 Share Posted April 15 (edited) 1 час назад, Le ecureuil сказал: Ошибка выглядит так: Можно ли в текущей реализации на кинетике приспособить "--servercert pin"? И на всякий случай уточню, у меня сервер не на 443 порту. Если нужно, могу дать креды для тестов Клиент cisco и Clavister OneConnect (https://apps.apple.com/us/app/clavister-oneconnect/id1565970099), к нему вполне бодро подключаются. Консольный openconnect на маке тоже Edited April 15 by snark Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted April 15 Share Posted April 15 46 минут назад, snark сказал: Можно ли в текущей реализации на кинетике приспособить "--servercert pin"? И на всякий случай уточню, у меня сервер не на 443 порту. Если нужно, могу дать креды для тестов Клиент cisco и Clavister OneConnect (https://apps.apple.com/us/app/clavister-oneconnect/id1565970099), к нему вполне бодро подключаются. Консольный openconnect на маке тоже Порт можно отдельно задать (в cli через пробел), а неудачная верификация сертификата все равно не является фатальной - ровно как и в SSTP. Quote Link to comment Share on other sites More sharing options...
snark Posted April 15 Share Posted April 15 (edited) 1 час назад, Le ecureuil сказал: Порт можно отдельно задать (в cli через пробел), а неудачная верификация сертификата все равно не является фатальной - ровно как и в SSTP. Только что подключился к этому серверу, консольным клиентом из ubuntы > openconnect bla-bla-bla.com:YYYY POST https://bla-bla-bla.com:YYYY/ Attempting to connect to server xx.xx.xx.xx:YYYY Connected to xx.xx.xx.xx:YYYY SSL negotiation with bla-bla-bla.com Server certificate verify failed: signer not found Connected to HTTPS on bla-bla-bla.com with ciphersuite (TLS1.3)-(ECDHE-SECP256R1)-(ECDSA-SECP256R1-SHA256)-(AES-256-GCM) Got HTTP response: HTTP/1.1 200 OK Set-Cookie: webvpncontext=; expires=Thu, 01 Jan 1970 22:00:00 GMT; path=/; Secure; HttpOnly Content-Type: text/xml Content-Length: 306 X-Transcend-Version: 1 HTTP body length: (306) XML POST enabled Please enter your username. Username:zzzzzzz POST https://bla-bla-bla.com:YYYY/auth Got HTTP response: HTTP/1.1 200 OK Set-Cookie: webvpncontext=AHw/12xmowvEwyiaJZTWeJ/iSlclnlyBfrralZ6H+CA=; Max-Age=3600; Secure; HttpOnly Content-Type: text/xml Content-Length: 310 X-Transcend-Version: 1 HTTP body length: (310) Please enter your password. Password: POST https://bla-bla-bla.com:YYYY/auth Got HTTP response: HTTP/1.1 200 OK Connection: Keep-Alive Content-Type: text/xml Content-Length: 189 X-Transcend-Version: 1 Set-Cookie: webvpncontext=AHw/12xmowvEwyiaJZTWeJ/iSlclnlyBfrralZ6H+CA=; Secure; HttpOnly Set-Cookie: webvpn=<elided>; Secure; HttpOnly Set-Cookie: webvpnc=; expires=Thu, 01 Jan 1970 22:00:00 GMT; path=/; Secure; HttpOnly Set-Cookie: webvpnc=bu:/&p:t&iu:1/&sh:ECC9876E61345F84B9032FB3B726B14831409C6E; path=/; Secure; HttpOnly HTTP body length: (189) TCP_INFO rcv mss 1419, snd mss 1448, adv mss 65483, pmtu 65535 Got CONNECT response: HTTP/1.1 200 CONNECTED X-CSTP-Version: 1 X-CSTP-Server-Name: OpenConnect VPN Server X-CSTP-Hostname: LLLLLLLL X-CSTP-DPD: 90 X-CSTP-Default-Domain: bla-bla-bla.com X-CSTP-Address: 192.168.99.228 X-CSTP-Netmask: 255.255.255.0 X-CSTP-DNS: 8.8.8.8 X-CSTP-Tunnel-All-DNS: false X-CSTP-Client-Bypass-Protocol: false X-CSTP-Split-Exclude: 192.168.0.0/255.255.0.0 X-CSTP-Split-Exclude: 10.0.0.0/255.0.0.0 X-CSTP-Split-Exclude: 172.16.0.0/255.240.0.0 X-CSTP-Split-Exclude: 127.0.0.0/255.0.0.0 X-CSTP-Keepalive: 32400 X-CSTP-Idle-Timeout: none X-CSTP-Smartcard-Removal-Disconnect: true X-CSTP-Rekey-Time: 172795 X-CSTP-Rekey-Method: ssl X-CSTP-Session-Timeout: 0 X-CSTP-Session-Timeout-Remaining: 0 X-CSTP-Disconnected-Timeout: none X-CSTP-Keep: true X-CSTP-TCP-Keepalive: true X-CSTP-License: accept X-DTLS-DPD: 90 X-DTLS-Port: YYYY X-DTLS-Rekey-Time: 172805 X-DTLS-Rekey-Method: ssl X-DTLS-Keepalive: 32400 X-DTLS-App-ID: 7277868a3088da5619880561d8f1bd477017139e137c48cfbc5ba8d2159a80fd X-DTLS-CipherSuite: PSK-NEGOTIATE X-CSTP-Base-MTU: 1500 X-CSTP-MTU: 1434 CSTP connected. DPD 90, Keepalive 32400 UDP SO_SNDBUF: 28680 DTLS initialised. DPD 90, Keepalive 32400 Edited April 15 by snark Quote Link to comment Share on other sites More sharing options...
snark Posted April 15 Share Posted April 15 3 часа назад, Le ecureuil сказал: Ошибка выглядит так: [I] Apr 15 10:47:09 openconnect: Attempting to connect to server *:443 Вам нужно разобраться с сервером, думаю вы даже через curl сможете сами увидеть проблему. Когда я говорил что у меня сервер на другом порту, а не 443, я имел ввиду вот это. У вас проверка по 443 Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted April 15 Share Posted April 15 17 минут назад, snark сказал: Когда я говорил что у меня сервер на другом порту, а не 443, я имел ввиду вот это. У вас проверка по 443 Все, понял. Работа с портом поправлена, будет в следующем 4.2. 1 Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted April 18 Share Posted April 18 Реализован camouflage-режим. На клиенте достаточно в upstream просто указать URL. На сервере команда oc-server camouflage его включает, ключ генерируется псевдослучайно и его можно посмотреть в поле secret вывода команды show oc-server. 3 3 Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted April 19 Share Posted April 19 В SSTP-сервере и клиенте тоже реализовано 3 Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted April 19 Share Posted April 19 В 13.04.2024 в 11:21, snark сказал: Кинетик OpenConnect сервер - помойму проблема с nat, клиенты подключаются, но выхода в интернет у них нет Поправлено. Quote Link to comment Share on other sites More sharing options...
snark Posted April 20 Share Posted April 20 (edited) Апр 20 20:35:59 ndm OpenConnect::Interface: "OpenConnect0": system failed [0xcffd0291]. Апр 20 20:35:59 openconnect Failed to open /dev/vhost-net: No such file or directory Вот такая ошибка на 4.2 Alpha 5 А ещё в случае разрыва со стороны сервера, не хочет переподключаться Апр 20 20:49:22 openconnect sleep 10s, remaining timeout 300s Апр 20 20:49:33 openconnect SSL negotiation with xxxxxxxxxx Апр 20 20:49:33 openconnect Connected to HTTPS on xxxxxxxxxx with ciphersuite (TLS1.3)-(ECDHE-SECP256R1)-(ECDSA-SECP256R1-SHA256)-(AES-256-GCM) Апр 20 20:49:33 openconnect Got inappropriate HTTP CONNECT response: HTTP/1.1 405 Method Not Allowed Апр 20 20:49:33 openconnect sleep 20s, remaining timeout 290s Апр 20 20:49:53 openconnect SSL negotiation with xxxxxxxxxx Апр 20 20:49:53 openconnect Connected to HTTPS on xxxxxxxxxx with ciphersuite (TLS1.3)-(ECDHE-SECP256R1)-(ECDSA-SECP256R1-SHA256)-(AES-256-GCM) Апр 20 20:49:53 openconnect Got inappropriate HTTP CONNECT response: HTTP/1.1 405 Method Not Allowed Апр 20 20:49:53 openconnect sleep 30s, remaining timeout 270s Апр 20 20:50:23 openconnect SSL negotiation with xxxxxxxxxx Апр 20 20:50:24 openconnect Connected to HTTPS on xxxxxxxxxx with ciphersuite (TLS1.3)-(ECDHE-SECP256R1)-(ECDSA-SECP256R1-SHA256)-(AES-256-GCM) Апр 20 20:50:24 openconnect Got inappropriate HTTP CONNECT response: HTTP/1.1 405 Method Not Allowed Апр 20 20:50:24 openconnect sleep 40s, remaining timeout 240s Edited April 20 by snark Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted April 20 Share Posted April 20 1 час назад, snark сказал: Апр 20 20:35:59 ndm OpenConnect::Interface: "OpenConnect0": system failed [0xcffd0291]. Апр 20 20:35:59 openconnect Failed to open /dev/vhost-net: No such file or directory Вот такая ошибка на 4.2 Alpha 5 А ещё в случае разрыва со стороны сервера, не хочет переподключаться Апр 20 20:49:22 openconnect sleep 10s, remaining timeout 300s Апр 20 20:49:33 openconnect SSL negotiation with xxxxxxxxxx Апр 20 20:49:33 openconnect Connected to HTTPS on xxxxxxxxxx with ciphersuite (TLS1.3)-(ECDHE-SECP256R1)-(ECDSA-SECP256R1-SHA256)-(AES-256-GCM) Апр 20 20:49:33 openconnect Got inappropriate HTTP CONNECT response: HTTP/1.1 405 Method Not Allowed Апр 20 20:49:33 openconnect sleep 20s, remaining timeout 290s Апр 20 20:49:53 openconnect SSL negotiation with xxxxxxxxxx Апр 20 20:49:53 openconnect Connected to HTTPS on xxxxxxxxxx with ciphersuite (TLS1.3)-(ECDHE-SECP256R1)-(ECDSA-SECP256R1-SHA256)-(AES-256-GCM) Апр 20 20:49:53 openconnect Got inappropriate HTTP CONNECT response: HTTP/1.1 405 Method Not Allowed Апр 20 20:49:53 openconnect sleep 30s, remaining timeout 270s Апр 20 20:50:23 openconnect SSL negotiation with xxxxxxxxxx Апр 20 20:50:24 openconnect Connected to HTTPS on xxxxxxxxxx with ciphersuite (TLS1.3)-(ECDHE-SECP256R1)-(ECDSA-SECP256R1-SHA256)-(AES-256-GCM) Апр 20 20:50:24 openconnect Got inappropriate HTTP CONNECT response: HTTP/1.1 405 Method Not Allowed Апр 20 20:50:24 openconnect sleep 40s, remaining timeout 240s Нужен лог с interface OpenConnect0 debug Quote Link to comment Share on other sites More sharing options...
snark Posted April 21 Share Posted April 21 12 часа назад, Le ecureuil сказал: Нужен лог с interface OpenConnect0 debug В скрытом сообщении Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted April 22 Share Posted April 22 В 21.04.2024 в 10:45, snark сказал: В скрытом сообщении Поправлено. Quote Link to comment Share on other sites More sharing options...
john ibsuser Posted May 9 Share Posted May 9 (edited) @Le ecureuil спасибо за клиента, все работает! А как добавить корневой let's encrypt куда надо без opkg и настроить клиент так, чтобы не игнорировал signer not found. edit: похоже, все там есть в ca store. надо было только ocserv подсунуть fullchain.pem вместо cert.pem Поскольку у клиента настроек ciphersuites нет, пошаманил с сервером и в итоге работает в 3 раза быстрее, чем AES-GCM: connected with ciphersuite (TLS1.3)-(ECDHE-SECP256R1)-(RSA-PSS-RSAE-SHA256)-(CHACHA20-POLY1305) Edited May 9 by john ibsuser ошибку signer not found починил, однако неплохо бы иметь настройку не соединяться при невалидном сертификате Quote Link to comment Share on other sites More sharing options...
passwd Posted May 28 Share Posted May 28 В 09.05.2024 в 19:18, john ibsuser сказал: @Le ecureuil спасибо за клиента, все работает! А как добавить корневой let's encrypt куда надо без opkg и настроить клиент так, чтобы не игнорировал signer not found. edit: похоже, все там есть в ca store. надо было только ocserv подсунуть fullchain.pem вместо cert.pem Поскольку у клиента настроек ciphersuites нет, пошаманил с сервером и в итоге работает в 3 раза быстрее, чем AES-GCM: connected with ciphersuite (TLS1.3)-(ECDHE-SECP256R1)-(RSA-PSS-RSAE-SHA256)-(CHACHA20-POLY1305) Как ты это сделал? Quote Link to comment Share on other sites More sharing options...
Niiserg Posted June 5 Share Posted June 5 Кто-то пробовал уже настроить доступ с телефона извне к домашней сети через OpenConnect ? Чет у меня не получается, не знаю куда смотреть, пробую на прошивке 4.2 Alpha 12., ultra 1811: 1. серый ip покупаю виртуальный сервер, ставлю на него open connect server, покупаю дешевенький домен на год для сертификата 2. Через встроенный клиент keenetic ultra сервер видит, телефон через cisco any connect тоже подключается к серверу 3. А вот с телефона достучаться до ресурсов в локальной сети дома (NAS) не могу. Не пойму каких настроек не хватает. В случае с Wireguard для этого еще на самом кинетике надо было прописывать что то типа "ip route 10.66.67.0 255.255.255.0 Wireguard0 auto", а в случае OpenConnect. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted June 6 Share Posted June 6 В 05.06.2024 в 12:10, Niiserg сказал: Кто-то пробовал уже настроить доступ с телефона извне к домашней сети через OpenConnect ? Чет у меня не получается, не знаю куда смотреть, пробую на прошивке 4.2 Alpha 12., ultra 1811: 1. серый ip покупаю виртуальный сервер, ставлю на него open connect server, покупаю дешевенький домен на год для сертификата 2. Через встроенный клиент keenetic ultra сервер видит, телефон через cisco any connect тоже подключается к серверу 3. А вот с телефона достучаться до ресурсов в локальной сети дома (NAS) не могу. Не пойму каких настроек не хватает. В случае с Wireguard для этого еще на самом кинетике надо было прописывать что то типа "ip route 10.66.67.0 255.255.255.0 Wireguard0 auto", а в случае OpenConnect. А почему сразу не поднять OpenConnect-сервеп на кинетике, и не ходить сразу в него? Если адреса серые, то через облачный режим KeenDNS. Quote Link to comment Share on other sites More sharing options...
Niiserg Posted June 7 Share Posted June 7 В 06.06.2024 в 13:59, Le ecureuil сказал: А почему сразу не поднять OpenConnect-сервеп на кинетике, и не ходить сразу в него? Если адреса серые, то через облачный режим KeenDNS. А че-то не работает через KeenDNS . Включил на Ultra openconnect server, стандартные настройки, ничего не менял. На телефоне пытаюсь подключиться через AnyConnect VPN даже не доходит до окна с вводом логина и пароля, вываливается "Не удалось установить подключение" При этом если разворачиваю SSTP сервер, то через KeenDNS с мобильного без проблем подключаюсь. Quote Link to comment Share on other sites More sharing options...
mega1volt Posted June 7 Share Posted June 7 В отличие от SSTP здесь надо на телефоне указывать домен KeenDNS 4-го уровня. На второй странице обсуждения есть как его увидеть через WebCli. 1 Quote Link to comment Share on other sites More sharing options...
Niiserg Posted June 7 Share Posted June 7 20 минут назад, mega1volt сказал: В отличие от SSTP здесь надо на телефоне указывать домен KeenDNS 4-го уровня. На второй странице обсуждения есть как его увидеть через WebCli. Оно, заработало, спасибо Quote Link to comment Share on other sites More sharing options...
john ibsuser Posted June 14 Share Posted June 14 On 5/28/2024 at 8:01 PM, passwd said: Как ты это сделал? В ocserv.conf: tls-priorities = "LEGACY:-AES-256-GCM:-AES-128-GCM:+CHACHA20-POLY1305:%SERVER_PRECEDENCE:%COMPAT:-VERS-SSL3.0:-VERS-TLS1.0:-VERS-TLS1.1" Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.