Le ecureuil Posted September 23 Share Posted September 23 4 часа назад, Роман rvb сказал: Еще одно замечание. Сейчас после установления соединения система сразу создает маршрут на IP vpn-сервера через свежеподнятый интерфейс. Не всегда это надо (я об тот же сервер свой внешний IP curl'ом определяю), хотелось бы этот маршрут отключаемой фичей. Покажите-ка, что это такое. Сейчас OpenConnect-клиент работает через policy routing, потому маршрутов до сервера создавать не должен. Quote Link to comment Share on other sites More sharing options...
Dalex Posted September 23 Share Posted September 23 11 час назад, Роман rvb сказал: Еще одно замечание. Сейчас после установления соединения система сразу создает маршрут на IP vpn-сервера через свежеподнятый интерфейс. Не всегда это надо (я об тот же сервер свой внешний IP curl'ом определяю), хотелось бы этот маршрут отключаемой фичей. Несмотря на то, что на сервере в ocserv.conf стоит route=default - никаких дополнительных маршрутов OpenConnect клиент (Keenetic OS 4.2) на Кинетике не создает. Quote Link to comment Share on other sites More sharing options...
Dalex Posted September 23 Share Posted September 23 В 18.09.2024 в 09:14, Dalex сказал: Тестирую OpenConnect клиента на Keenetic Ultra У меня с включенным UDP - загрузка выходит под 90мбс, а с закомментированным udp-port на сервере - ~15. отдача правда страдает и там и там - ~25 против ~50. Тестировал неоднократно - и speedtest и iperf прям до VPN сервера. Где может быть затык? Тему изучил, настройки ocserv довольно стандартные. Осталась одна идея - ВМ OpenVZшная и вероятно что-то в общем ядре не дает OpenConnect работать в полную силу - так и не удалось добиться скорости выше 30м\с до OpenConnect сервера, хотя любая другая технология дает ~90мб\с. Хотя очень странно - он вроде бы работает строго в userspace. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted September 24 Share Posted September 24 11 час назад, Dalex сказал: Несмотря на то, что на сервере в ocserv.conf стоит route=default - никаких дополнительных маршрутов OpenConnect клиент (Keenetic OS 4.2) на Кинетике не создает. И не создаст - дефолтный маршрут в KeeneticOS никто по приказу свыше создать не может, кроме настройки политик доступа. Quote Link to comment Share on other sites More sharing options...
Роман rvb Posted September 28 Share Posted September 28 В 23.09.2024 в 22:46, Dalex сказал: Несмотря на то, что на сервере в ocserv.conf стоит route=default - никаких дополнительных маршрутов OpenConnect клиент (Keenetic OS 4.2) на Кинетике не создает. Так не дефолтный, а точечно на сервер VPN весь трафик в свежесозданную трубу. Что далеко не всегда надо, и хотелось бы отключать без прикручивания хуков. Quote Link to comment Share on other sites More sharing options...
Роман rvb Posted September 28 Share Posted September 28 В 23.09.2024 в 15:16, Le ecureuil сказал: Покажите-ка, что это такое. Сейчас OpenConnect-клиент работает через policy routing, потому маршрутов до сервера создавать не должен. Вот какой-то глюк - он их создает не каждый раз, но регулярно. Грубо говоря - VPN имеет адрес 1.2.3.4, и сразу после подключения (но не первого после ребута, похоже), появляется маршрут 1.2.3.4 dev numcli0. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted October 1 Share Posted October 1 Неплохо все же self-test выложить. Quote Link to comment Share on other sites More sharing options...
SemyonG Posted October 6 Share Posted October 6 (edited) Добрый день! KN-3710 OpenConnect-клиент проработал месяц, вчера отвалился и висит в состоянии "идет подключение" трафик в впн не идет, на сервере сессия в статусе эктив. Была прошивка 4.2 beta3, обновил до 4.2.1 результат тот же. Клиенты с конечных хостов подключаются без проблем. UDP: Причину выяснил, клиент не осилил 1471 маршрут с OpenConnect-сервера в 24е подсети. Хотя он их и не принимает насколько я понял. Даже при меньшем количестве приходилось прописывать статику непосредственно на роутере. Edited October 6 by SemyonG скрыл self-test Quote Link to comment Share on other sites More sharing options...
avn Posted October 10 Share Posted October 10 (edited) @Le ecureuil А как можно задать параметр --prot=fortinet ? Скрытый текст [I] Oct 10 10:54:20 openconnect: POST https://portal.testdomain.ru:10443/ [I] Oct 10 10:54:20 openconnect: Attempting to connect to server 16.11.1.10:10443 [I] Oct 10 10:54:20 openconnect: Connected to 16.11.1.10:10443 [I] Oct 10 10:54:20 openconnect: SSL negotiation with portal.testdomain.ru [I] Oct 10 10:54:21 openconnect: Certificate from VPN server "portal.testdomain.ru" failed verification. Reason: signer not found [I] Oct 10 10:54:21 openconnect: Connected to HTTPS on portal.testdomain.ru with ciphersuite (TLS1.3)-(ECDHE-SECP384R1)-(RSA-PSS-RSAE-SHA256)-(AES-256-GCM) [I] Oct 10 10:54:21 openconnect: Got HTTP response: HTTP/1.1 405 Method Not Allowed [I] Oct 10 10:54:21 openconnect: Date: Thu, 10 Oct 2024 07:54:21 GMT [I] Oct 10 10:54:21 openconnect: Server: xxxxxxxx-xxxxx [I] Oct 10 10:54:21 openconnect: Transfer-Encoding: chunked [I] Oct 10 10:54:21 openconnect: Content-Type: text/html [I] Oct 10 10:54:21 openconnect: X-Frame-Options: SAMEORIGIN [I] Oct 10 10:54:21 openconnect: Content-Security-Policy: frame-ancestors 'self'; object-src 'none'; script-src 'self' https 'unsafe-eval' 'unsafe-inline'; [I] Oct 10 10:54:21 openconnect: X-XSS-Protection: 1; mode=block [I] Oct 10 10:54:21 openconnect: X-Content-Type-Options: nosniff [I] Oct 10 10:54:21 openconnect: Strict-Transport-Security: max-age=31536000 [I] Oct 10 10:54:21 openconnect: HTTP body chunked (-2) [I] Oct 10 10:54:21 openconnect: Error in chunked decoding. Expected '', got: '<HEAD>' Edited October 10 by avn Quote Link to comment Share on other sites More sharing options...
Vladislav Kravchenko Posted October 13 Share Posted October 13 В 22.09.2024 в 21:16, Роман rvb сказал: Поддержка IPv6 в клиенте OpenConnect планируется? На мой взгляд, это какое-то фиаско. Запилить новый протокол, а подключение у него опять по IPv4 и все 2 Quote Link to comment Share on other sites More sharing options...
avn Posted October 14 Share Posted October 14 (edited) В 10.10.2024 в 10:59, avn сказал: @Le ecureuil А как можно задать параметр --prot=fortinet ? Скрыть содержимое [I] Oct 10 10:54:20 openconnect: POST https://portal.testdomain.ru:10443/ [I] Oct 10 10:54:20 openconnect: Attempting to connect to server 16.11.1.10:10443 [I] Oct 10 10:54:20 openconnect: Connected to 16.11.1.10:10443 [I] Oct 10 10:54:20 openconnect: SSL negotiation with portal.testdomain.ru [I] Oct 10 10:54:21 openconnect: Certificate from VPN server "portal.testdomain.ru" failed verification. Reason: signer not found [I] Oct 10 10:54:21 openconnect: Connected to HTTPS on portal.testdomain.ru with ciphersuite (TLS1.3)-(ECDHE-SECP384R1)-(RSA-PSS-RSAE-SHA256)-(AES-256-GCM) [I] Oct 10 10:54:21 openconnect: Got HTTP response: HTTP/1.1 405 Method Not Allowed [I] Oct 10 10:54:21 openconnect: Date: Thu, 10 Oct 2024 07:54:21 GMT [I] Oct 10 10:54:21 openconnect: Server: xxxxxxxx-xxxxx [I] Oct 10 10:54:21 openconnect: Transfer-Encoding: chunked [I] Oct 10 10:54:21 openconnect: Content-Type: text/html [I] Oct 10 10:54:21 openconnect: X-Frame-Options: SAMEORIGIN [I] Oct 10 10:54:21 openconnect: Content-Security-Policy: frame-ancestors 'self'; object-src 'none'; script-src 'self' https 'unsafe-eval' 'unsafe-inline'; [I] Oct 10 10:54:21 openconnect: X-XSS-Protection: 1; mode=block [I] Oct 10 10:54:21 openconnect: X-Content-Type-Options: nosniff [I] Oct 10 10:54:21 openconnect: Strict-Transport-Security: max-age=31536000 [I] Oct 10 10:54:21 openconnect: HTTP body chunked (-2) [I] Oct 10 10:54:21 openconnect: Error in chunked decoding. Expected '', got: '<HEAD>' Есть возможность задать параметр protocol? https://www.infradead.org/openconnect/fortinet.html Edited October 14 by avn Quote Link to comment Share on other sites More sharing options...
sevastianovv Posted October 14 Share Posted October 14 Доброго. Установил сервер на kn3810 клиент на kn1912 подключение есть трафик не ходит, что еще нужно сделать? Quote Link to comment Share on other sites More sharing options...
ariss Posted October 14 Share Posted October 14 (edited) Всем привет. Прочитал все страницы темы, так и не понял ... KN-1010, Версия ОС4.2.1 Если включен camouflage mode - то соединение можно установить только между кинетиками? Ибо если включаю на kn1010 - в CLI смотрю secret, в строке клиента (android, который без камужляжа подключается норм) добавляю после ...keenetic.pro/?1ce45gh (secret тут от балды написал), не соединяется, в логе пишет "No address associated with hostname".... Edited October 14 by ariss Quote Link to comment Share on other sites More sharing options...
kavboy Posted October 14 Share Posted October 14 (edited) ariss, в начале адреса https? У меня в secret 8 символов. Соединяется с кинетиком с включенным camouflage mode и из под андройда (openconnect_1119) и из по винды (openconnect-gui-1.6.2) Edited October 14 by kavboy Quote Link to comment Share on other sites More sharing options...
ariss Posted October 15 Share Posted October 15 Спасибо. Дело было в клиенте VPN Client pro - openconnect отлично подключается. Quote Link to comment Share on other sites More sharing options...
Corvax Posted October 16 Share Posted October 16 В 14.10.2024 в 22:22, kavboy сказал: ariss, в начале адреса https? У меня в secret 8 символов. Соединяется с кинетиком с включенным camouflage mode и из под андройда (openconnect_1119) и из по винды (openconnect-gui-1.6.2) И виндовый клиент без проблем соединился? У меня ругается на сертификат. На андроиде юзаю cisco secure client, там надо в настройках снимать галку с пункта "Блокировать ненадёжные серверы", тогда он игнорит сертификат и подключается. На винде такой настройки нет. Quote Link to comment Share on other sites More sharing options...
ariss Posted October 17 Share Posted October 17 (edited) Openconnect для Windows - без проблем. Скрытый текст Edited October 17 by ariss Quote Link to comment Share on other sites More sharing options...
Sanёk Posted October 17 Share Posted October 17 Привет. Подскажите, как в клиенте SSTP указать "secret" для подключения к роутеру, после включения "Camouflage mode"? Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted October 17 Share Posted October 17 4 минуты назад, Sanёk сказал: Привет. Подскажите, как в клиенте SSTP указать "secret" для подключения к роутеру, после включения "Camouflage mode"? Нужно в команде interface peer или в поле адреса в вебе ввести не test.keenetic.com (например), а https://test.keenetic.com/123456, где 123456 - это и есть secret. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted October 17 Share Posted October 17 В 14.10.2024 в 10:59, avn сказал: Есть возможность задать параметр protocol? https://www.infradead.org/openconnect/fortinet.html Нет, потому что не было апстримов для тестов. Если будут варианты, с которыми можно лично мне проверить, то появится и выбор. Quote Link to comment Share on other sites More sharing options...
Sanёk Posted October 17 Share Posted October 17 (edited) 2 часа назад, Le ecureuil сказал: Нужно в команде interface peer или в поле адреса в вебе ввести не test.keenetic.com (например), а https://test.keenetic.com/123456, где 123456 - это и есть secret. Не помогло. ЧЯДНТ? Прописал. Скрытый текст { "prompt": "(config)", "status": [ { "status": "message", "code": "72286908", "ident": "Network::Interface::Sstp", "message": "\"SSTP0\": set peer \"https://*.keenetic.pro/*****604\"." } ] } Результат на клиенте. Скрытый текст ndm: Network::Interface::Base: "SSTP0": interface is up. ndm: Network::Interface::EndpointTracker: "SSTP0": remote endpoint is "xxx.165.xxx.xxx". ndm: Network::Interface::EndpointTracker: "SSTP0": connecting via "UsbLte0" (UsbLte0). ndm: Network::Interface::EndpointTracker: "SSTP0": local endpoint is "xx.172.x.xx". ndm: Network::Interface::EndpointTracker: "SSTP0": added a host route to xxx.165.xxx.xxx via xx.172.xxx.xxx (UsbLte0). ndm: Network::Interface::Ppp: "SSTP0": enabled connection via UsbLte0 interface. pppd[7132]: Plugin sstp-pppd-plugin.so loaded. pppd[7132]: pppd 2.4.4-4 started by root, uid 0 pppd[7132]: Using interface ppp0 pppd[7132]: Connect: ppp0 <--> /dev/pts/0 sstpc_SSTP0[7133]: Error: Expected HTTP code 200 sstpc_SSTP0[7133]: HTTP handshake with server failed Параметры интерфейса SSTP на клиенте (KN-2212 4.2.1). Скрытый текст { "id": "SSTP0", "index": 0, "interface-name": "SSTP0", "type": "SSTP", "description": "s*****", "traits": [ "Ip", "Ip6", "Supplicant", "Peer", "Ppp", "PppTunnel", "EncryptedPppTunnel", "Sstp" ], "link": "down", "connected": "no", "state": "down", "role": [ "misc" ], "mtu": 1400, "tx-queue-length": 1000, "global": false, "security-level": "public", "ipv6": {}, "auth-type": "none", "fail": "protocol", "via": "UsbLte0", "last-change": "2649.452196", "summary": { "layer": { "conf": "disabled", "link": "disabled", "ipv4": "disabled", "ipv6": "disabled", "ctrl": "disabled" } }, "prompt": "(config)" } Параметры сервера SSTP (KN-1011 4.2.1). Скрытый текст { "enabled": true, "ndns-name": "*.keenetic.pro", "secret": "*****604", "has-ndns-certificate": true, "prompt": "(config)" } Edited October 17 by Sanёk Дополнил Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted October 17 Share Posted October 17 1 час назад, Sanёk сказал: Не помогло. ЧЯДНТ? Прописал. Скрыть содержимое { "prompt": "(config)", "status": [ { "status": "message", "code": "72286908", "ident": "Network::Interface::Sstp", "message": "\"SSTP0\": set peer \"https://*.keenetic.pro/*****604\"." } ] } Результат на клиенте. Скрыть содержимое ndm: Network::Interface::Base: "SSTP0": interface is up. ndm: Network::Interface::EndpointTracker: "SSTP0": remote endpoint is "xxx.165.xxx.xxx". ndm: Network::Interface::EndpointTracker: "SSTP0": connecting via "UsbLte0" (UsbLte0). ndm: Network::Interface::EndpointTracker: "SSTP0": local endpoint is "xx.172.x.xx". ndm: Network::Interface::EndpointTracker: "SSTP0": added a host route to xxx.165.xxx.xxx via xx.172.xxx.xxx (UsbLte0). ndm: Network::Interface::Ppp: "SSTP0": enabled connection via UsbLte0 interface. pppd[7132]: Plugin sstp-pppd-plugin.so loaded. pppd[7132]: pppd 2.4.4-4 started by root, uid 0 pppd[7132]: Using interface ppp0 pppd[7132]: Connect: ppp0 <--> /dev/pts/0 sstpc_SSTP0[7133]: Error: Expected HTTP code 200 sstpc_SSTP0[7133]: HTTP handshake with server failed Параметры интерфейса SSTP на клиенте (KN-2212 4.2.1). Скрыть содержимое { "id": "SSTP0", "index": 0, "interface-name": "SSTP0", "type": "SSTP", "description": "s*****", "traits": [ "Ip", "Ip6", "Supplicant", "Peer", "Ppp", "PppTunnel", "EncryptedPppTunnel", "Sstp" ], "link": "down", "connected": "no", "state": "down", "role": [ "misc" ], "mtu": 1400, "tx-queue-length": 1000, "global": false, "security-level": "public", "ipv6": {}, "auth-type": "none", "fail": "protocol", "via": "UsbLte0", "last-change": "2649.452196", "summary": { "layer": { "conf": "disabled", "link": "disabled", "ipv4": "disabled", "ipv6": "disabled", "ctrl": "disabled" } }, "prompt": "(config)" } Параметры сервера SSTP (KN-1011 4.2.1). Скрыть содержимое { "enabled": true, "ndns-name": "*.keenetic.pro", "secret": "*****604", "has-ndns-certificate": true, "prompt": "(config)" } Прошу прощения, забыл про знак вопроса. Правильный URL для клиента выглядит так: https://keenetic.name/?secret 1 Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted October 17 Share Posted October 17 @avnне все так просто. OpenConnect в режиме fortinet может потребовать кучу доппараметров, кроме логина и пароля, и даже открыть страничку в браузере для SSO. Потому код я накидал, но для полноценной работы нужно больше тестов, пока не буду выкладывать. Quote Link to comment Share on other sites More sharing options...
miltt Posted October 17 Share Posted October 17 6 часов назад, Le ecureuil сказал: Правильный URL для клиента выглядит так: https://keenetic.name/?secret Для openconnect работает, для sstp - нет. Open SSTP Client пишет, что не может найти адрес, а VPN Client Pro неумеет в логи. Quote Link to comment Share on other sites More sharing options...
snark Posted October 18 Share Posted October 18 7 часов назад, miltt сказал: Для openconnect работает, для sstp - нет. Open SSTP Client пишет, что не может найти адрес, а VPN Client Pro неумеет в логи. sstp + камуфляж работает только между кинетиками 1 Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted October 18 Share Posted October 18 @avn добавил fortinet - в следующей 4.3 пробуйте команду interface openconnect protocol fortinet 2 Quote Link to comment Share on other sites More sharing options...
Colgate Posted October 18 Share Posted October 18 (edited) Добрый день. Настроил KeenDNS через облако и поднял OpenConnect VPN сервер с камуфляжем, используя следующие инструкции: https://help.keenetic.com/hc/ru/articles/360000400919-Сервис-доменных-имен-KeenDNS https://help.keenetic.com/hc/ru/articles/16344403237148-OpenConnect-VPN-сервер Пытаюсь подключиться с Android, используя следующую инструкцию: https://help.keenetic.com/hc/ru/articles/16377318105756-Подключение-OpenConnect-VPN-из-Android Но не получается. указываю адрес сервера abcd.mydomain.keenetic.pro. Cisco Secure Client ругается на сертификат. CertificateManager: verifyX509ServerCertForHost: confirmbecause certificate did not match server: javax.net.ssl.SSLExeption: hostname in certificate did not match <abcd.mydomain.keenetic.pro> != <keenetic.pro> OR <*.keenetic.pro> При этом если открыть https://abcd.mydomain.keenetic.pro в браузере, то там будет 404, но в сертификате сайта буду hostname mydomain.keenetic.pro и *.mydomain.keenetic.pro Откуда Cisco Secure Client берет сертификат для другого домена? Edited October 18 by Colgate дополнение Quote Link to comment Share on other sites More sharing options...
Corvax Posted October 18 Share Posted October 18 (edited) 1 час назад, Colgate сказал: Cisco Secure Client ругается на сертификат. Нужно в настройках снять эту галочку. Возможно ещё нужно отключить камуфляж. Edited October 18 by Corvax дополнил Quote Link to comment Share on other sites More sharing options...
Colgate Posted October 18 Share Posted October 18 @CorvaxДа, с камуфляжем не работало. Может нужно какой-то другой адрес вбивать при использовании камуфляжа? Quote Link to comment Share on other sites More sharing options...
miltt Posted October 18 Share Posted October 18 2 часа назад, Corvax сказал: Нужно в настройках снять эту галочку. Возможно ещё нужно отключить камуфляж. Галку, да. Cisco такой серт. считает недоверенным. AnyConnect с камуфляжем работает. А вот мультипротокольный VPN Client Pro, только без камуфляжа. Хоть и богаче по настройкам, а ни в какую. Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.